_________________________________________________ FIREWALLS

SEGURIDAD EN REDES

Ing. Jos I. Gallardo

Univ.Nac.Patagonia "S.J.Bosco"

SEGURIDAD- FIREWALLS

TEMAS
1. Principios diseo de firewalls 1.1. Caractersticas de firewalls 1.2. Tipos de firewalls 1.3. Configuraciones de firewalls 2. Sistemas Confiables (trusted) 2.1. Control de acceso a datos 2.2. El concepto de sistemas confiables 2.3. Defensa de troyanos.
JIG 2

 FIREWALL : Es un sistema grupo de sistemas que refuerza la poltica de control de acceso entre dos redes. En principio provee dos servicios bsicos: Bloquea trfico indeseado Permite trfico deseable Los Sistemas de Informacin tuvieron una sostenida evolucin de pequeas LANs a la conectividad de Internet, pero no se establecieron medidas acordes de seguridad para todas la WS y servidores. Presiones operativas:1Conectividad y 2 Seguridad. Dentro de las Estrategias de Seguridad de una organizacin, un Firewall pertenece al grupo de Proactivas, para minimizar vulnerabilidades. ( Fig.1)

Introduccin a Firewalls (Muros Cortafuegos) ________________________________________________

JIG

Introduccin a Firewalls ________________________________________________

Fig.1: Estrategia de Seguridad (Benson) [Ref.2]

Firewalls

JIG

1. Principios de Diseo de Firewalls ________________________________________________

Los Firewalls estn insertados entre la red local y la Internet (red no confiable ) Objetivos: Establecer un enlace controlado Proteger la red local de ataques basados en la Internet Proveer un nico punto de choque.

Router+ Firewall

JIG

Objetivos de Diseo: Todo el trfico interno hacia el exterior debe pasar a travs del FW. Slo el trfico autorizado (definido por poltica de seguridad local) ser permitido pasar, a travs de filtros y gateways. El FW en s mismo es inmune a penetraciones (usando sistema confiable con sistema operativo seguro). 4 Tcnicas generales para Control Accesos: a. Control de Servicios: determina tipo servicios de Internet que pueden ser accedidos. b. Control de Direccin: determina la direccin en que se permiten fluir requerimientos de servicios particulares. c. Control de Usuarios: controla acceso a servicio acorde a permisos de usuarios d. Control de Comportamiento: controla cmo se usan servicios particulares (Ejplo: filtros de email).

1.1. Caractersticas de Firewalls ________________________________________________

JIG

1.2. Tipos de Firewalls ________________________________________________

Tres tipos comunes de Firewalls : 1) Router con Filtrado de Paquetes 2) Gateway a Nivel de Aplicaci n 3) Gateway a Nivel de Circuitos + (Host Bastin) Router con Filtrado de Paquetes

JIG

Aplica un set de reglas para cada paquete entrante y luego lo reenva descarta. Filtra paquetes en ambas direcciones. El filtrado de paquetes se setea tpicamente como una lista de reglas (ACL: Access Control List) basadas en matches de campos de cabeceras IP TCP/UDP. Dos polticas por default: discard/deny forward/allow Mejor habilitar explcitamente (default= deny) Se implementa con notacin especfica de cada router. Ventajas:

JIG

1.2.1. Router con Filtrado Paquetes ________________________________________________

Simplicidad Transparencia hacia usuarios Alta velocidad Dificultad en el seteo de reglas de filtrado Falta de Autenticacin
8

Desventajas:

1.2.1. Router con Filtrado Paquetes ________________________________________________

Posibles ataques y Contramedidas apropiadas: IP Address Spoofing (mentir direccin IP) Descartar paquetes con dir IP interna que arribe del exterior. Ataques Source Routing (paquete IP con opcin ruteo fuente) Descartar todos los paquetes que usen esta opci n. Ataques por Tiny Fragments (fragmentos muy pequeos) Descartar todos paquetes donde tipo protocolo sea TCP y Offset de Fragmento=1 en Header_IP.

JIG

1.2.2. Sistema de FW con GW a Nivel Aplicacin ____________________________________________________

Gateway a Nivel Aplicacin ( Proxy Server)

Son hosts corriendo Proxy servers, que evitan trfico directo entre redes. Acta como un relay (conmutador) de trfico a nivel de aplicacin. Ms eficiente y posible control de contenidos. Puede ponerse un AV en el gateway.

JIG

10

1.2.2. Sistema de FW con GW a Nivel Aplicacin ____________________________________________________

Proxy de Aplicacin: programa que representa a toda la red interna, ocultando la LAN de la red p blica. Toma decisiones de forwarding en los 2 sentidos.
Har el forward de clientes autorizados a servers del exterior y traer las respuestas a dichos clientes. Proxy HTTP puede mantener pginas web en cach.

Ventajas: Ms seguros que filtros de paquetes. Slo necesita discriminar una pocas aplicaciones permitidas (Telnet, HTTP, etc), no a nivel de IP TCP. Fcil control de log y auditar todo el trfico entrante Desventajas: Overhead de procesamiento adicional en cada conexin, ya que hay dos conexiones divididas y el Gateway que acta como splice, debe examinar y reenviar todo el trfico.
JIG 11

1.2.3. Sistema de FW con GW a Nivel Circuitos __________________________________________________

Gateway a Nivel de Circuitos :

Puede ser un sistema stand-alone una funcin especializada realizada por un GW de nivel aplicaci n. No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre usuarios TCP externo e interno con l. GW hace conmutacin de segmentos TCP de una conexin a otra sin examinar contenido.
JIG 12

1.2.3. Sistema de FW con GW a Nivel Circuitos __________________________________________________

La funci n de seguridad consiste en determinar qu conexiones sern permitidas. Usado tpicamente en situaciones donde el administrador del sistema confa en los usuarios internos. Un ejemplo de implementacin es el paquete SOCKS (v.5 en RFC 1928)
Capa entre niveles de Transporte y Aplicacin No provee servicios de GW a capa de red, como el forwarding de mensajes ICMP. Consiste de Server Socks, Libreras de clientes socks y Programas clientes sock-ificados de las aplicaciones estndares.

JIG

13

1.2.4. Bastion Host __________________________________________________

Es un sistema identificado por el administrador del firewall como un punto crtico en la seguridad de la red. Host bastin sirve como una plataforma para un gateway a nivel de aplicacin de circuito. Su plataforma de hardware corre versin segura de S.O. Sistema Confiable . Administrador de red instala slo servicios esenciales en l, como aplicaciones proxies como Telnet, DNS, FTP, SMTP y Autenticacin usuarios.
Cada proxy se configura para requerir autenticacin adicional, antes de permitir a usuario acceder a servicios. C/u mantiene info auditora por logging de todo el trfico de c/conexin. Cada mdulo proxy es un pequeo paquete SW diseado para seguridad en red, e independiente de los otros proxies. Proxy gralmente no realiza accesos a disco, salvo leer configuracin inicial, tal de dificultar instalacin de troyanos sniffers.
JIG 14

1.3. Configuraciones de Firewalls ________________________________________________ Adems del uso de configuraciones simples de un sistema nico , como router con filtrado de paquetes gateway nico, son posibles configuraciones ms complejas, siendo las tres ms comunes:
1) 2) 3) Sistema FW con screened host (single-homed bastion host) (FW con host apantallado y conectado a una sola red) Sistema FW con screened host (dual-homed bastion host) (FW con host apantallado y conectado con 2 placas red) Sistema FW con screened subnet (con DMZ) (FW con subred apantallada De-Militarized Zone)

JIG

15

1.3.1. Sistema FW con screened host

El firewall consiste de dos sistemas: Un router con filtrado de paquetes y un host bastin.

_____________________________________________

(single-homed bastion host)

Configuracin para el router con filtrado paquetes:

Router slo permite pasar paquetes desde hacia el host bastin.

El Host Bastin realiza funciones de proxy y autenticacin.

JIG

16

1.3.1. Sistema FW con screened host _____________________________________________

Mejor seguridad que configuraciones simples por dos motivos: Esta configuracin implementa ambos filtrados, a nivel de paquetes y de aplicaci n, permitiendo flexibilidad en la definici n de poltica de seguridad. Un intruso debera atravesar ambas barreras (dos sistemas separados) Esta configuraci n tambin permite la posibilidad de proveer acceso directo a Internet, con servidores de informaci n pblica como web servers. (single-homed bastion host)

JIG

17

1.3.2. Sistema FW con screened host _____________________________________________

(dual-homed bastion host)

Con 2 placas de red, evita que si el router con filtrado de paquetes est comprometido, el trfico pase directamente a la red interna. El trfico entre Internet y los hosts de la red interna privada tiene que pasar atravs del host bastin. Mantiene las dos capas de seguridad, y pueden conectarse servers con el router, segn la poltica de seguridad.

JIG

18

1.3.3. Sistema FW con Screened-Subnet (DMZ) _________________________________________________

Configuracin ms segura de las tres, con 2 Routers interno y externo con filtrado de paquetes. Crea una subred aislada, DMZ (De Militarized Zone) que puede consistir de un simple host bastin, de ms servers pblicos. Los routers slo permiten trfico hacia desde la subred DMZ.
JIG 19

1.3.3. Sistema FW con Screened-Subnet (DMZ) _________________________________________________

Ventajas:
Tres niveles de defensa ante intrusos. El Router Externo slo declara hacia la Internet la existencia de la subred protegida La red interna es invisible para la Internet. El Router Interno slo declara hacia la red interna la existencia de la subred protegida Los sistemas de la red interna no pueden construir rutas directas hacia Internet. Los routers slo permiten trfico a/desde la red DMZ.

Zona DMZ: se tiene cierto control, deja que algunas aplicaciones puedan ser accedidas como servicios externos de servers Web DNS y GW de aplicaci n para clientes internos. Normalmente se implementa NAT (Network Address Translation), que oculta las direcciones reales y dificulta impide accesos.
NAT til si no se poseen suficientes dir IP v lidas. Solamente se necesitan dir IP reales si queremos salir de nuestra red interna, para acceder a servers externos. Mapeo muchos-a-1 1-a-1; Los proxies proveen muchos-a-1.
20

JIG

10

2. Sistemas Confiables ________________________________________________

Una forma de mejorar la habilidad de un sistema de defensa contra intrusos y programas maliciosos, es implementar tecnologa de Sistemas Confiables. (Trusted Systems)

2.1. Control de Acceso a Datos

A travs de procedimientos de control de accesos de usuarios (log on), un usuario puede ser identificado por el sistema. Asociado a cada usuario puede existir un Perfil que especifica sus operaciones y accesos a archivos permitidos. El sistema operativo puede aplicar reglas basadas en el perfil de usuario. Los Modelos generales de control de Acceso pueden ser: Matriz de Accesos Lista de Control de Accesos Lista de Capacidades
JIG 21

2.1. Control de Acceso a Datos ________________________________________________

Matriz de Accesos

Los Elementos bsicos del modelo son: Sujeto ( Subject): una entidad capaz acceder objetos. Concepto equivalente al de proceso. Objeto: algo al que su acceso se controla (Ejplo: archivos, programas y segmentos de memoria). Derechos de Acceso: el modo en que un objeto es accedido por un sujeto (Ejplo: read, write, execute).
JIG 22

11

2.1. Control de Acceso a Datos ________________________________________________

Un eje de la Matriz (Y) consiste de los sujetos identificados que pueden intentar acceder a los datos. El otro eje (X) lista los objetos que pueden ser accedidos. Cada entrada en la matriz indica los derechos de acceso de cada sujeto para cada objeto.

Lista de Control de Accesos : descomposici n de la matriz por columnas. Lista los usuarios y sus derechos de accesos permitidos. La lista puede contener una entrada p blica por default.
Lista Ctrl Accesos Programa1 Proceso1 (Read, Execute)

JIG

23

2.1. Control de Acceso a Datos ________________________________________________

Lista de Capacidades: descomposicin de la matriz por filas. Un ticket de capacidad especifica objetos autorizados y operaciones para un usuario. Cada usuario tiene un nmero de tickets.
Lista Capacidades pProceso1 Programa1 (Read, Execute) SegmentoA (Read, Write)

JIG

24

12

Sistemas Confiables (Trusted): Proteccin de datos y recursos en base a niveles de seguridad, como en lo militar, donde la informaci n se categoriza como U (unclassified), C (confidential ), S (secret) y TS (top secret). Los usuarios pueden obtener permisos para acceder a ciertas categoras de datos. Seguridad Multinivel: definicin cuando hay mltiples categoras niveles de datos. Un sistema de seguridad multinivel debe aplicar las siguientes reglas:
No Read Up: un sujeto slo puede leer un objeto de nivel de seguridad igual menor (Simple Security Property) No Write Down: un sujeto slo puede escribir en un objeto de nivel de seguridad igual mayor (*.Property)
JIG 25

2.2. El concepto de Sistemas Confiables ________________________________________________

Concepto de Monitor de Referencia: aproximacin de seguridad multinivel para un sistema de procesamiento de datos.

2.2. El concepto de Sistemas Confiables ________________________________________________

JIG

26

13

 Monitor de Referencia: Elemento de control en el hardware y sistema operativo de una computadora que regula el acceso de sujetos a objetos en base a parmetros de seguridad. El Monitor tiene acceso a un archivo (Security Kernel Database) Aplica las reglas de seguridad (no read up, no write down). Propiedades del Monitor : Mediaci n Completa: reglas seguridad se aplican en todo acceso. Aislacin: el monitor de referencia y la DB estn protegidos de modificaciones no autorizadas. Correctitud: la exactitud del monitor de referencia debe ser comprobable (matemticamente). Un sistema que pueda proveer tales verificaciones ( propiedades), se puede referir como un Sistema Confiable.
JIG 27

2.2. El concepto de Sistemas Confiables ________________________________________________

Troyanos : programa malicioso que aparentando hacer algo normal, har algo inesperado, a travs de trapdoor un ataque (acceder a una cuenta ejecutar comandos con privilegios de otro usuario). Secuencia a y b muestra ataque de troyano de usuario A, que consigue acceso legtimo al sistema e instala un troyano y un arch.privado a ser usado en el ataque como un back pocket.

2.3. Defensa de Troyanos ________________________________________________

Arch Back Pocket

JIG 28

14

 Sistemas Operativos confiables y seguros, constituyen un modo de defensa contra ataques de troyanos (Trojan Horse Attacks). Secuencias c y d con S.O.Seguro, donde Monitor no permite a B escribir (no W down) el string en un arch pblico (back pocket). Si B tiene nivel seguridad sensitivo, y A nivel pblico, cuando B invoca al troyano, este programa adquiere nivel seg de B.
Arch Data Programa Monitor Referencia Programa Arch Data Monitor Referencia

2.3. Defensa de Troyanos ________________________________________________

Programa

Arch Back Pocket

Programa

Arch Back Pocket

JIG

29

Bibliografa Fuentes:
1. 2. 3. 4. Network Security Essentials - W. STALLINGS- Prentice Hall- Cap.10. Security Strategy- Christopher BENSON. http://www.microsoft.com/technet/security/bestprac/secstrat.asp Building Internet Firewalls - CHAPMAN & ZWICKY- OReilly. Web Security Basics- S.BASHIN- Premier Press-2003- Chap.8.

JIG

30

15