s10 - seguridad perimetral
TRANSCRIPT
Seguridad perimetral
Curso: Seguridad Informática
Martin Valdivia B.
CISA, CISM, ISMS-LA, ITIL, CCISO
• Amenazas y Seguridad en Internet
Firewalls
Ataques pasivos
• Análisis de red
• Eavesdropping Interceptación)
• Análisis de tráfico
Ataques activos
• Brute-force attack
• Packet replay
• Phishing
• Message modification
• Unauthorized access through the Internet or web-based services
• Denial of service
• Dial-in penetration attacks
• E-mail bombing and spamming
• E-mail spoofing
Impacto de las Amenazas
Pérdida de ingresos
Mayor costo de recuperación
(corrigiendo la información y
restableciendo los servicios)
Mayor costo de asegurar los sistemas de manera
retrospectiva
Pérdida de información (datos críticos,
información propietaria, contratos)
Pérdida de secretos comerciales
Daño a la reputación
Desempeño degradado en los sistemas de la red
Incumplimiento con las leyes y regulaciones
Incumplimiento de compromisos contractuales
Acción legal de parte de los clientes por pérdida de datos confidenciales
Firewalls
Factores casuales para los ataques en Internet
Firewalls
• Un sistema para implementar la política
de seguridad establecida sobre el
intercambio de información entre 2 o
más redes.
• Primera línea de defensa sobre ataques
externos; también puede ser usado
para prevenir ataques internos.
Firewalls
Operación básica de un
Firewall
Firewalls
¿En que capa trabaja el Firewall?
Firewalls
Criterio básico
• Existen dos posiciones iniciales para
poder representar la política de
seguridad (+ reglas adicionales):
– Todo acceso prohibido (default deny)
– Todo acceso permitido (default permit)
FIREWALL
ENTRADA
SALIDA
PROHIBIDO PROHIBIDO
SALIDA
ENTRADA
Red A Red B
Firewalls
Tipos de Firewall
Filtrado de paquete por
medio de router
Sistemas de Firewall de aplicación
Inspección a nivel de estado
Firewalls
Filtrado de Paquetes
• Actúa dentro del nivel IP según el
modelo TCP/IP
• Suele ser implementado utilizando
routers
• Cada paquete puede ser analizado en
función de:
– @IP origen / destino
– Puerto origen / destino
– Protocolo usado: TCP / UDP / ICMP
Firewalls
Filtrado de Paquetes
Firewalls
Proxy server
• Actúa dentro de los niveles de transporte y aplicación (circuit level gateway y application gateway respectivamente) según el modelo TCP/IP.
• Procesa, valida y regenera cada paquete recibido; impidiendo la conexión directa entre 2 redes diferentes.
• Para cada servicio (telnet, ftp, http...) se utiliza un proxy específico, pudiendo así prohibir el uso de determinadas órdenes de un servicio.
Firewalls
Circuit Level Gateways
Firewalls
Aplication Level Gateways
Firewalls
Stateful multilayer inspection
• Actúa dentro de los niveles de IP, transporte y aplicación según el modelo TCP/IP
• Comprueba (y no procesa, como en un Proxy server) los paquetes a distintos niveles verificando la validez de estos, basándose en un seguimiento del estado de la conexión en cada momento.
• Permite conexiones directas entre distintas redes, dando un servicio transparente a ambos lados.
Firewalls
Stateful Multilayer Inspection
Firewall
Firewalls
• Ejemplos de implantación de Firewall
• Screened host firewall
• Dual homed firewall
• Demilitarized zone (DMZ) or screened subnet
firewall
Firewalls
• Sistemas de seguridad de Firewall
• Aspectos de Firewall
• Falso sentido de seguridad
• La “sacada de vuelta” a los firewall
• Firewalls mal configurados
• Carencia de actividades regulares de monitoreo
• Políticas de firewall
Firewalls
• Plataformas de Firewall
– Firewall via hardware o software
– Appliances vs servidores
Firewalls
Firewalls
Las siguientes cuestiones deben ser consideradas:
• Los appliances no sufren las vulnerabilidades de los sistemas operativos subyacentes.
• Estos firewalls también tienden a ser más rápidos
• La ventaja de los firewalls basados en
servidores es la Escalabilidad.
Implementación de Firewalls
• Principio KISS.
• Uso de dispositivos como fueron
destinados a ser utilizados.
• Cree defensa en profundidad.
• Preste atención a las amenazas internas.
Politica de Seguridad de Firewalls
• Una politica de firewall dicta la forma
como el firewall debe manejar el tráfico
de las aplicaciones tales como Internet,
correo electrónico, o telnet. La política
debe describir la forma en que el
firewall será gestionado y actualizado.
Politica de Seguridad de Firewalls
Politica de Seguridad de Firewalls • Los pasos para la creación de una política de firewalls son las
siguientes:
Identificación de aplicaciones de red
Identificación de las vulnerabilidades asociadas con las aplicaciones,
Análisis costo-beneficio de los métodos para asegurar las aplicaciones
Creación de la matriz de de tráfico de aplicaciones que muestra el método de protección, y
Creación de reglas del firewall basadas en la matriz de tráfico aplicaciones.
Implementar rulesets
• Las reglas del firewall se puede configurar
después de completar la matriz de tráfico de
aplicaciones.
• Las reglas deben ser construidas siendo lo
más específico posible con respecto al tráfico
bajo su control.
• Las reglas deben mantenerse lo más simple
posible, a fin de no introducir accidentalmente
"agujeros" que podría permitir tráfico no
autorizado o no deseado.
Evaluando la Politica de Firewalls
• Las políticas de seguridad deben ser auditadas y verificadas por lo menos trimestralmente.
• En muchos casos, las políticas de cortafuegos se pueden verificar usando dos métodos:
– Hardcopies
– Evaluación de configuración
Seguridad física de Firewall
• Si los dispositivos están ubicados en zonas no seguras, son sensibles a los daños de intrusos y un mayor riesgo de daño accidental.
• Otro factor es la calidad de las conexiones eléctricas, de red y de control ambiental. El firewall deberá contar con fuentes de alimentación y conexiones redundantes con redes externas.
• El firewall debe ser protegido, de manera razonable de desastres naturales tales como incendios e inundaciones.
Administración de Firewalls –
Acceso a la plataforma firewall
• El método más común para irrumpir en un firewall es aprovechar los recursos disponibles para la gestión remota del firewall. Por lo general, esto incluye explotar el acceso al sistema operativo de la consola o el acceso a una interfaz de administración gráfica.
• El acceso al sistema operativo y/o consola debe ser cuidadosamente controlado. Normalmente se controla a través del uso de encriptación, autenticación fuerte y/o acceso restingido por IP. La mayoría de las interfaces gráficas de firewall incorporan algún tipo de encriptación interna. Otra opción es usar Secure Sockets Layer (SSL) o soluciones como SSH.
Administración de Firewalls –
Logs
• Casi todos los cortafuegos cuentan con
algún tipo de funcionalidad de logging.
• Se recomienda que los registros del log
de los cortafuegos sean pasados a un
servidor centralizado de registro, que
examine automaticamente los registros.
Administración de Firewalls –
Backups
• La realización y el mantenimiento de copias de seguridad son los puntos clave de cualquier política de firewall. Todos los firewall deberían ser objeto de un backup Zero Day . Todos los firewall debe ser backupeados inmediatamente antes de una actualización en producción.
• Como principio general, todas las copias de seguridad de firewall debe ser copias de seguridad completas. No hay ningún requisito real o la necesidad de copias de seguridad incrementales.
• Sistema que intenta detectar y alertar
sobre las intrusiones en un sistema o en
una red.
• Complemento de seguridad de los
firewalls.
• Intrusión: actividad realizada por
personas no autorizadas o actividades no
autorizadas
Detección / Prevención de
Intrusos
Características
• Detección de intrusos
• Recolección de evidencia sobre actividad intrusiva
• Respuesta automatizada
• Monitoreo de seguridad
Detección / Prevención de
Intrusos
• Sistemas Detectores de Intrusos (IDS)
• Componentes:
• Sensores responsables de la recolección de datos
• Analizadores que reciben input de los sensores y
determinan la actividad intrusiva
• Una consola de administración
Detección / Prevención de
Intrusos
Clasificación
– NIDS (Network Intrusion Detection System)
– HIDS (Host Intrusion Detection System)
Detección / Prevención de
Intrusos
NIDS
• Analiza el tráfico de toda la red
• Examina paquetes en búsqueda de
opciones no permitidas y diseñadas
para no ser detectadas por los firewalls.
Detección / Prevención de
Intrusos
Detección / Prevención de
Intrusos
NIDS: Componentes
• Sensores (agentes): situado en un
segmento de red monitoriza en busca
de tráfico sospechoso
• Una consola: recibe las alarmas de los
sensores y reacciona según el tipo de
alarma recibida
Detección / Prevención de
Intrusos
NIDS: Ventajas
• Detectan accesos no deseados en la
red
• No necesitan software adicional en los
servidores
• Fácil instalación y actualización
(sistemas dedicados)
Detección / Prevención de
Intrusos
NIDS: Desventajas
• Número de falsos-positivos
• Sensores distribuidos en cada
segmento de la red
• Tráfico adicional en la red
• Difícil detección de los ataques de
sesiones encriptadas
Detección / Prevención de
Intrusos
HIDS: Introducción
• Analiza el tráfico sobre un servidor o un
PC
• Detecta intentos fallidos de acceso
• Detecta modificaciones en archivos
críticos
Detección / Prevención de
Intrusos
HIDS: Ventajas • Potente: registra comandos, ficheros
abiertos, modificaciones importantes,...
• Menor número de falsos-positivos que
el NIDS
• Menor riesgo en las respuestas activas
que los NIDS
Detección / Prevención de
Intrusos
HIDS: Inconvenientes
• Instalación en máquinas locales
• Carga adicional en los sistemas
• Tiende a confiar la auditoria y el loggin
a la máquina
Detección / Prevención de
Intrusos
IDS: modelos de detección
• Detección del mal uso
– Verificación sobre tipos ilegales de tráfico
de red
– Se implementa observando cómo explotar
los puntos débiles de los sistemas y
describiéndolos mediante patrones
– Ej.: combinaciones ‘imposibles’ dentro de
un paquete, detección de sniffers,...
Detección / Prevención de
Intrusos
IDS: modelos de detección
• Detección de uso anómalo
– Estadísticas sobre tráfico típico en la red
– Detecta cambios en los patrones de
utilización o comportamiento del sistema
– Utiliza modelos estadísticos y busca
desviaciones estadísticas significantes
– Ej.: tráfico excesivo en horario fuera de
oficina, accesos repetitivos ...
Detección / Prevención de
Intrusos
Topología de IDS • Antes del cortafuegos
– Aviso prematuro
– Detecta rastreo de puertos
– Número de alertas elevado
• En la DMZ
– Configuración exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ
• En la intranet
– Volumen de tráfico a monitorizar reducido
– NIDS menos potentes
Detección / Prevención de
Intrusos
Topología de IDS: Ejemplo
Detección / Prevención de
Intrusos
VPN
Redes publicas son usadas para mover información entre segmentos de
red confiables usando tecnologias como Frame Relay or ATM
Una Red Privada Virtual reemplaza esto utilizando el desempeño y
disponibilidad de la Internet
• Caracteristicas
• Extienden la red corporativa
• Utilizan el Internet
• Elimina la necesidad de lineas dedicadas
• Independientes de plataformas
VPN
Por que VPNs?
VPN
Tipos de VPN
VPN
Implementaciones VPN
VPN
Que requieren las VPN ?
• VPNs deben ser encriptadas
• VPNs deben estar autenticadas
• Nadie fuera de la VPN puede alterar la VPN
• Todas las partes de la VPN deben acordar las propiedades de seguridad
VPN