s10 - seguridad perimetral

55
Seguridad perimetral Curso: Seguridad Informática Martin Valdivia B. CISA, CISM, ISMS-LA, ITIL, CCISO

Upload: dionisio-saforas

Post on 28-Nov-2015

69 views

Category:

Documents


4 download

TRANSCRIPT

• Amenazas y Seguridad en Internet

Firewalls

Ataques pasivos

• Análisis de red

• Eavesdropping Interceptación)

• Análisis de tráfico

Ataques activos

• Brute-force attack

• Packet replay

• Phishing

• Message modification

• Unauthorized access through the Internet or web-based services

• Denial of service

• Dial-in penetration attacks

• E-mail bombing and spamming

• E-mail spoofing

Impacto de las Amenazas

Pérdida de ingresos

Mayor costo de recuperación

(corrigiendo la información y

restableciendo los servicios)

Mayor costo de asegurar los sistemas de manera

retrospectiva

Pérdida de información (datos críticos,

información propietaria, contratos)

Pérdida de secretos comerciales

Daño a la reputación

Desempeño degradado en los sistemas de la red

Incumplimiento con las leyes y regulaciones

Incumplimiento de compromisos contractuales

Acción legal de parte de los clientes por pérdida de datos confidenciales

Firewalls

Criterio básico

• Existen dos posiciones iniciales para

poder representar la política de

seguridad (+ reglas adicionales):

– Todo acceso prohibido (default deny)

– Todo acceso permitido (default permit)

FIREWALL

ENTRADA

SALIDA

PROHIBIDO PROHIBIDO

SALIDA

ENTRADA

Red A Red B

Firewalls

Filtrado de Paquetes

• Actúa dentro del nivel IP según el

modelo TCP/IP

• Suele ser implementado utilizando

routers

• Cada paquete puede ser analizado en

función de:

– @IP origen / destino

– Puerto origen / destino

– Protocolo usado: TCP / UDP / ICMP

Firewalls

Proxy server

• Actúa dentro de los niveles de transporte y aplicación (circuit level gateway y application gateway respectivamente) según el modelo TCP/IP.

• Procesa, valida y regenera cada paquete recibido; impidiendo la conexión directa entre 2 redes diferentes.

• Para cada servicio (telnet, ftp, http...) se utiliza un proxy específico, pudiendo así prohibir el uso de determinadas órdenes de un servicio.

Firewalls

Stateful multilayer inspection

• Actúa dentro de los niveles de IP, transporte y aplicación según el modelo TCP/IP

• Comprueba (y no procesa, como en un Proxy server) los paquetes a distintos niveles verificando la validez de estos, basándose en un seguimiento del estado de la conexión en cada momento.

• Permite conexiones directas entre distintas redes, dando un servicio transparente a ambos lados.

Firewalls

Firewalls

Las siguientes cuestiones deben ser consideradas:

• Los appliances no sufren las vulnerabilidades de los sistemas operativos subyacentes.

• Estos firewalls también tienden a ser más rápidos

• La ventaja de los firewalls basados en

servidores es la Escalabilidad.

Politica de Seguridad de Firewalls

• Una politica de firewall dicta la forma

como el firewall debe manejar el tráfico

de las aplicaciones tales como Internet,

correo electrónico, o telnet. La política

debe describir la forma en que el

firewall será gestionado y actualizado.

Politica de Seguridad de Firewalls • Los pasos para la creación de una política de firewalls son las

siguientes:

Identificación de aplicaciones de red

Identificación de las vulnerabilidades asociadas con las aplicaciones,

Análisis costo-beneficio de los métodos para asegurar las aplicaciones

Creación de la matriz de de tráfico de aplicaciones que muestra el método de protección, y

Creación de reglas del firewall basadas en la matriz de tráfico aplicaciones.

Implementar rulesets

• Las reglas del firewall se puede configurar

después de completar la matriz de tráfico de

aplicaciones.

• Las reglas deben ser construidas siendo lo

más específico posible con respecto al tráfico

bajo su control.

• Las reglas deben mantenerse lo más simple

posible, a fin de no introducir accidentalmente

"agujeros" que podría permitir tráfico no

autorizado o no deseado.

Evaluando la Politica de Firewalls

• Las políticas de seguridad deben ser auditadas y verificadas por lo menos trimestralmente.

• En muchos casos, las políticas de cortafuegos se pueden verificar usando dos métodos:

– Hardcopies

– Evaluación de configuración

Seguridad física de Firewall

• Si los dispositivos están ubicados en zonas no seguras, son sensibles a los daños de intrusos y un mayor riesgo de daño accidental.

• Otro factor es la calidad de las conexiones eléctricas, de red y de control ambiental. El firewall deberá contar con fuentes de alimentación y conexiones redundantes con redes externas.

• El firewall debe ser protegido, de manera razonable de desastres naturales tales como incendios e inundaciones.

Administración de Firewalls –

Acceso a la plataforma firewall

• El método más común para irrumpir en un firewall es aprovechar los recursos disponibles para la gestión remota del firewall. Por lo general, esto incluye explotar el acceso al sistema operativo de la consola o el acceso a una interfaz de administración gráfica.

• El acceso al sistema operativo y/o consola debe ser cuidadosamente controlado. Normalmente se controla a través del uso de encriptación, autenticación fuerte y/o acceso restingido por IP. La mayoría de las interfaces gráficas de firewall incorporan algún tipo de encriptación interna. Otra opción es usar Secure Sockets Layer (SSL) o soluciones como SSH.

Administración de Firewalls –

Logs

• Casi todos los cortafuegos cuentan con

algún tipo de funcionalidad de logging.

• Se recomienda que los registros del log

de los cortafuegos sean pasados a un

servidor centralizado de registro, que

examine automaticamente los registros.

Administración de Firewalls –

Backups

• La realización y el mantenimiento de copias de seguridad son los puntos clave de cualquier política de firewall. Todos los firewall deberían ser objeto de un backup Zero Day . Todos los firewall debe ser backupeados inmediatamente antes de una actualización en producción.

• Como principio general, todas las copias de seguridad de firewall debe ser copias de seguridad completas. No hay ningún requisito real o la necesidad de copias de seguridad incrementales.

• Sistemas Detectores de Intrusos (IDS)

• Componentes:

• Sensores responsables de la recolección de datos

• Analizadores que reciben input de los sensores y

determinan la actividad intrusiva

• Una consola de administración

Detección / Prevención de

Intrusos

IDS: modelos de detección

• Detección del mal uso

– Verificación sobre tipos ilegales de tráfico

de red

– Se implementa observando cómo explotar

los puntos débiles de los sistemas y

describiéndolos mediante patrones

– Ej.: combinaciones ‘imposibles’ dentro de

un paquete, detección de sniffers,...

Detección / Prevención de

Intrusos

IDS: modelos de detección

• Detección de uso anómalo

– Estadísticas sobre tráfico típico en la red

– Detecta cambios en los patrones de

utilización o comportamiento del sistema

– Utiliza modelos estadísticos y busca

desviaciones estadísticas significantes

– Ej.: tráfico excesivo en horario fuera de

oficina, accesos repetitivos ...

Detección / Prevención de

Intrusos

Topología de IDS • Antes del cortafuegos

– Aviso prematuro

– Detecta rastreo de puertos

– Número de alertas elevado

• En la DMZ

– Configuración exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ

• En la intranet

– Volumen de tráfico a monitorizar reducido

– NIDS menos potentes

Detección / Prevención de

Intrusos