Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema Seguridad IP
Tema Seguridad IP
y
protocolos asociados
Ingeniera de Protocolos
Curso 2003/2004
MariCarmen Romero Ternero
mcromero@dte.us.es
Atribucin-NoComercial-LicenciarIgual 2.5
Tu eres libre de:
copiar, distribuir, comunicar y ejecutar pblicamente la obra
hacer obras derivadas
Bajo las siguientes condiciones:
Al reutilizar o distribuir la obra, tienes que dejar bien claro los trminos de la
licencia de esta obra.
Alguna de estas condiciones puede no aplicarse si se obtiene el permiso del titular
de los derechos de autor
Los derechos derivados del uso legtimo, del agotamiento u otras limitaciones o
excepciones reconocidas por la ley no se ven afectados por lo anterior.
Esto es un resumen simple del texto legal. La licencia completa est disponible en:
http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Attribution-NonCommercial-ShareAlike 2.5
You are free:
to copy, distribute, display, and perform the work
to make derivative works
Under the following conditions:
Attribution. You must attribute the work in the manner specified by the
author or licensor.
Noncommercial. You may not use this work for commercial purposes.
Share Alike. If you alter, transform, or build upon this work, you may
distribute the resulting work only under a license identical to this one.
For any reuse or distribution, you must make clear to others the license terms of
this work.
Any of these conditions can be waived if you get permission from the copyright
holder.
Your fair use and other rights are in no way affected by the above.
This is a human-readable summary of the Legal Code. Read the full license at:
http://creativecommons.org/licenses/by-nc-sa/2.5/legalcode
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
su privacidad
su integridad
su autenticidad
su disponibilidad
Ataques ms comunes
Rastreadores o sniffers
Suplantaciones de IP o spoofing
Ataques de contraseas
Control de salida ilegal de informacin sensible desde una
fuente interna
Ataques de hombre en el medio (o man-in-the-middle
attacks)
Ataques de denegacin de servicio, Denial of Service o
ataques DoS.
Ataques a nivel de aplicacin para explotar
vulnerabilidades conocidas
Caballos de Troya (Trojan Horses), virus y otros cdigos
maliciosos
Mecanismos de seguridad
De prevencin:
mecanismos de autenticacin e identificacin
mecanismos de control de acceso
mecanismos de separacin (fsica, temporal, lgica,
criptogrfica y fragmentacin)
mecanismos de seguridad en las comunicaciones
(cifrado de la informacin)
De deteccin:
IDS (Intruder Detected System)
De recuperacin:
copias de seguridad (backup)
mecanismos de anlisis forense: averiguar alcance, las
actividades del intruso en el sistema y cmo entr
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
ACL. Sumario
Definicin
ACLs estndares
Ejemplos
ACLs extendidas
Ejemplos
ACLs nombradas
Ejemplos
ACLs y protocolos
Ubicacin de las ACLs
Por qu usar las ACLs?
ACLs
Una ACL es un grupo de sentencias que define cmo
se procesan los paquetes:
Entran a las interfaces de entrada
Se reenvan a travs del router
Salen de las interfaces de salida del router
ACLs estndar
Una ACL estndar puede servir para bloquear todo el trfico de una red o
de un host especfico, permitir todo el trfico de una red especfica o denegar
paquetes por protocolos
Definir sentencias para una ACL:
Router(config)# access-list num_ACL {deny | permit}
fuente [wildcard_fuente] [log]
Eliminar una ACL:
1. Router(config-if)# no ip access-group num_ACL
2. Router(config)# no access-list num_ACL
Son equivalentes:
Router(config)# access-list 2 permit 36.48.0.3 0.0.0.0
Router(config)# access-list 2 permit host 36.48.0.3
Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255
Router(config)# access-list 2 permit any
red 194.23.145.0
Crear una lista de acceso IP estndar que deniegue paquetes provenientes del host
192.5.5.2 hacia cualquier host en la red 210.93.105.0 y que permita el trfico desde
todas las dems redes.
Dnde colocamos la ACL y por qu?
ACLs extendidas
Ofrecen una mayor cantidad de opciones de control que las ACLs
estndares, son ms verstiles
Verifican direcciones origen y destino de los paquetes, protocolos,
nmeros de puerto y otros parmetros especficos
Las ACLs extendidas usan un nmero dentro del intervalo del 100 al
199
Al final de la sentencia de la ACL extendida, se puede especificar
opcionalmente el nmero de puerto de protocolo TCP o UDP para el que
se aplica la sentencia:
- 20 y 21: datos y programa FTP
- 23: Telnet
- 25: SMTP
- 53: DNS
- 69: TFTP
...
ACLs extendidas
Definir ACL extendida:
Router(config)# access-list num_ACL {permit | deny} protocolo fuente
[mascara-fuente destino mascara-destino operador operando]
[established]
num_ACL Identifica nmero de lista de acceso utilizando un nmero
dentro del intervalo 100-199
protocolo IP, TCP, UDP, ICMP, GRE, IGRP
fuente | destino Identificadores de direcciones origen y destino
mascara-fuente | mascara-destino Mscaras de wildcard
operador lt, gt, eq, neq
operando un nmero de puerto
established permite que pase el trfico TCP si el paquete utiliza
una conexin establecida (p.e. tiene bits de ACK establecidos)
Asociar
ACL a interfaz:
Crear una ACL que bloquee todo el trfico desde la red 221.23.123.0 al
servidor 198.150.13.34 provocando la menor cantidad de trfico en la red.
Dnde colocamos la ACL y por qu?
ACLs nombradas
Permiten que las ACL IP estndar y extendidas se identifiquen con una
cadena alfanumrica (nombre) en lugar de la representacin numrica
actual (1 a 199)
Se usan si:
Se desea identificar intuitivamente las ACL utilizando un nombre
alfanumrico, o
Existen ms de 99 ACL simples y 100 extendidas que se deben
configurar en un router para un protocolo determinado
Tener en cuenta que:
- No son compatibles con
versiones < 11.2 del IOS
- No se puede usar el mismo
nombre en varias ACLs
interface ethernet0
ip address 2.0.5.1 255.255.255.0
ip access-group Internetfilter out
ip access-group come-on in
ACLs y protocolos
ACLs pueden controlar la mayora de los protocolos en un router Cisco
El protocolo al que tiene que aplicarse la ACL se indica como un
nmero en el intervalo de nmeros de protocolo
Slo se puede especificar una ACL por protocolo y por interfaz
Para algunos protocolos, se pueden agrupar hasta 2 ACL a una interfaz
(entrante y saliente). Con otros protocolos, se agrupa slo 1 ACL
Si ACL es entrante, se comprueba al recibir el paquete
Si ACL es saliente, se comprueba despus de recibir y enrutar un
paquete a la interfaz saliente
Nombrar o numerar un protocolo IP:
usando las palabras reservadas: eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos,
ospf, tcp, o udp, o bien
con un n entero (0 a 255) , que representa un n de protocolo IP
la palabra reservada ip indica cualquier protocolo Internet
los protocolos y sus nmeros correspondientes se enumeran en RFC 1700,
junto con los nmeros de puerto
ipchain, iptable
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
VLAN. Sumario
Segmentacin tradicional
La pertenencia de un
usuario a una VLAN no
depende del cableado fsico
El router permite la
comunicacin entre VLANs
Routers y VLANs
Las VLANs son dominios de broadcast separados, por
lo tanto, no se pueden comunicar directamente
Normalmente, cada VLAN se corresponde con una
subred
La comunicacin entre VLANs se hace a travs de un
router
La conexin entre los switches VLAN y el router se
hace normalmente mediante enlaces de alta capacidad
El router admite el etiquetado 802.1Q e ISL (Cisco InterSwitch Link), de modo que puede conectarse
directamente al enlace backbone conmutado
Hubs y VLANs
Es posible usar hubs en VLANs para reducir costes
El hub se conecta
a un puerto de un switch VLAN
a un cierto nmero de usuarios
Asignacin a VLANs
Seguridad:
un usuario slo puede ver el trfico broadcast de su VLAN
un usuario no puede conectarse a la red sin la aprobacin del
administrador
configuracin de los switches: slo desde la VLAN de gestin
los routers pueden incorporar listas de control de acceso para filtrar el
trfico entre VLANs
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Criptografa en redes
Conceptos
Relacin entre criptografa y redes
Mtodos bsicos de cifrado en redes
Cifrado de enlace
Cifrado extremo a extremo
Conceptos
Criptologa (del griego krypto y logos, estudio de lo
oculto, lo escondido) es la ciencia que trata los
problemas tericos relacionados con la seguridad en el
intercambio de mensajes en clave entre un emisor y un
receptor a travs de un canal de comunicaciones (en
trminos informticos, ese canal suele ser una red de
computadoras). Esta ciencia est dividida en dos
grandes ramas:
la criptografa, ocupada del cifrado de mensajes en
clave y del diseo de criptosistemas, y
el criptoanlisis, que trata de descifrar los mensajes
en clave, rompiendo as el criptosistema
Conceptos (II)
un alfabeto
un espacio de claves
un conjunto de transformaciones de cifrado
un conjunto de transformaciones de descifrado
Emisor
Texto en
claro
Cifrador
(texto,
clave_cifrado)
Receptor
Texto cifrado
o criptograma
Descifrador
(criptograma,
clave_descifrado)
Texto en
claro
Canal de comunicaciones
Tipos de criptosistema:
de clave privada o secreta (simtricos): DES (Data Encryption Standard)
de clave pblica (asimtricos): RSA (Rivest-Shamir-Adleman)
Conceptos (III)
Cifrador
(texto,
clave_cifrado)
Receptor
Texto cifrado
o criptograma
Clave pblica
del receptor
Descifrador
(criptograma,
clave_descifrado)
Texto en
claro
Clave privada
del receptor
Cifrador
(texto,
clave_cifrado)
Clave privada
del emisor
Receptor
Texto cifrado
o criptograma
Descifrador
(criptograma,
clave_descifrado)
Clave pblica
del emisor
Texto en
claro
Conceptos (IV)
Esteganografa (del griego stegos (cubierta)): ciencia
que estudia los procedimientos encaminados a ocultar la
existencia de un mensaje en lugar de ocultar su
contenido
El objetivo de la criptografa es que un atacante que consigue
un mensaje no sea capaz de averiguar su contenido y el objetivo
de la esteganografa es ocultar ese mensaje dentro de otro sin
informacin importante, de forma que el atacante ni siquiera se
entere de la existencia de dicha informacin oculta
No sustituye al cifrado convencional sino que lo complementa,
pues ocultar un mensaje reduce las posibilidades de que sea
descubierto. Sin embargo, en caso de ser descubierto, el que
ese mensaje haya sido cifrado introduce un nivel adicional de
seguridad
Descifrar
Cifrar
Destino
Nodo intermedio
Cifrado
Descifrado
Origen
Destino
Cifrado
Descifrado
Nodo intermedio
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Protocolos seguros
Servicios de seguridad:
Manejo de claves
(negociacin y almacenamiento de claves)
Confidencialidad / Privacidad
No repudio
Integridad
Autenticacin
Autorizacin
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
Nivel de Aplicacin
Nivel de Transporte
Nivel de Red
El reenvo por TCP/IP trabaja con el cliente SSH y pide que un determinado
puerto en el lado del cliente o del servidor sea asignado a la conexin SSH
existente.
Para asignar un puerto local del cliente a un puerto remoto del servidor, primero
hay que saber los nmeros de puerto de ambas mquinas. Es posible asignar
dos puertos no estndar, diferentes el uno del otro.
ssh -L <puerto-local>:<maquina-remota>:<puerto-remoto> <nombre-usuario>@<maquina>
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
Nivel de Aplicacin
Nivel de Transporte
Nivel de Red
SSL
SSL
Assert
Assert
Protocol
Protocol
SSL
SSL
Handshake
Handshake
Protocol
Protocol
SSL
SSLRecord
RecordProtocol
Protocol
SSL. Arquitectura
Protocolos de capa de Aplicacin (HTTP, FTP, SMTP, Telnet ...)
Configurar
certificado
Compresin
Cifrado y MAC
Negociacin (handshake)
TCP
Reensamblaje
Descompresin
Descifrado y verificacin
Arquitectura
SSL
SSL. Funcionamiento
Su funcionamiento es el siguiente:
El cliente al hacer la conexin informa sobre los sistemas criptogrficos
que tiene disponibles, y el servidor responde con un identificador de la
conexin, su clave certificada e informacin sobre los sistemas
criptogrficos que soporta
El cliente deber elegir un sistema criptogrfico, verificar la clave pblica
del servidor. Entonces se genera una clave cifrada con la clave del
servidor
Este es uno de los puntos importantes del protocolo SSL, porque si
alguien pudiese descifrar la informacin, slo conseguira romper esa
conexin, y una conexin posterior requerira una clave criptogrfica
diferente
Una vez finalizado este proceso, los protocolos toman el control de nivel
de aplicacin, de modo que SSL nos asegura que:
los mensajes que enviamos o recibimos no han sido modificados
ninguna persona sin autorizacin puede leer la informacin transmitida
efectivamente recibe la informacin quien debe recibirla
2 conexin y sucesivas
(restart o resume)
Servidor SSL
Cliente SSL
Servidor SSL
Client Hello
Server Hello
Certificate*
Server Key Exchange*
Certificate Request*
Server Hello Done
Certificate*
Client Key Exchange
Certificate Verify*
[Change Cipher Spec]
Finished
Client Hello V3
Fin Handshake
HTTP request
HTTP response
Close Notify Alert
Close Notify Alert
* opcional
Server Hello
Change Cipher Spec
Finished
HTTP response
Close Notify Alert
Nota: estos puertos tambin son vlidos para las implementaciones de dichos protocolos sobre TLS
Autenticacin
Autenticacin basada en certificado
Criptosistema de clave pblica
Integridad
Message Authentication Code (MAC)
No repudio
Certificado
Firma digital
SSL. Problemas
Slo trabaja sobre TCP (no UDP ni IPX)
crear sesin SSL sobre TCP y cifrar los paquetes UDP con el fruto
de esa negociacin. Requiere que cada paquete UDP pueda
descifrarse por separado y se cifre con claves distintas
No repudio de transacciones
SSL lo implementa si ambos extremos tienen certificados
Usar S/MIME sobre SSL
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
Nivel de Aplicacin
Nivel de Transporte
Nivel de Red
Control de accesos
Integridad no orientada a la conexin
Autenticacin del origen de datos
Rechazo o reenvo de paquetes
Confidencialidad
Negociacin de compresin IP
IPSec. Arquitectura
Componentes fundamentales de esta arquitectura:
Protocolos de seguridad:
AH (Authentication Header), RFC 2402
ESP (Encapsulation Security Payload), RFC 2406
Protocolo
ProtocoloESP
ESP
Algoritmo
Algoritmode
de
cifrado
cifrado
Protocolo AH
Protocolo AH
Algoritmo
Algoritmode
de
autenticacin
autenticacin
DOI (Domain
Of Interpretation)
DOI (Domain Of Interpretation)
Formato cabecera AH
Identificador
unvoco de la
SA
31
16
Longitud de carga til*
Reservado
* payload
24
16
Nmero de secuencia
mbito de la autenticacin
mbito de la confidencialidad
Cabecera siguiente
31
IPSec. AH vs EPS
AH
Control en el acceso
Integridad sin conexin
Autenticacin en el origen de datos
Rechazo de paquetes retocados (antireplay)
Confidencialidad
Confidencialidad limitada por el trfico
ESP (cifrado +
autenticacin)
Combinaciones:
AH en modo transporte
AH en modo tnel
ESP en modo transporte
ESP en modo tnel
IPSec. Encapsulado
Modo transporte
Cabecera IP
Cabecera IP
Datos
Cabecera IPSec
Datos
Modo tnel
Cabecera IP
Datos
Cabecera IP
Datos
Modo transporte
Internet
Modo tnel
Internet
Host 2
Internet
Gateway 1
Gateway 2
Host 2
Internet
Host Host
Gateway Gateway
SA 1 (tnel)
SA 2 (tnel)
Host 1
Gateway 1
Gateway 2
Internet
Host Gateway
Host Host
Host 1
Gateway 2
Gateway 1
Internet
SA 1 (tnel)
SA 2 (tnel)
SA 1 (tnel)
Host 2
SA 2 (tnel)
Host 2
Internet/
Intranet
Una o varias SA (AH, ESP, transporte o tnel)
Gateway 1
Gateway 2
Internet
Intranet
Intranet
Una o ms SA (tnel)
Host 2
Gateway 1
Gateway 2
Host 2
Internet
Intranet
Intranet
Una o ms SA (tnel)
Host 1
Host 2
Internet
Intranet
Una o ms SA (tnel)
Una o ms SA (AH, ESP, transporte o tnel)
En este caso, entre el host 1 y el gateway de seguridad slo se puede
emplear el modo tnel, y entre los hosts, cualquiera de los modos
IPSec. Encapsulado
Modo transporte
Cabecera IP
Cabecera IP
Datos
Cabecera IPSec
Datos
Modo tnel
Cabecera IP
Datos
Cabecera IP
Datos
IPv4
Datos
TCP
AH
* excepto
para campos
mutables
Datos
TCP
Autenticado*
Antes de aplicar AH:
Cabecera
IP original
Cabeceras de
extensin
IPv6
TCP
Datos
Salto-por-salto
encaminador,
Fragmentacin
AH
Dest opcional
Autenticado*
TCP
Datos
IPv4
Datos
TCP
* Excepto para
campos mutables en
nueva cabecera IP
AH
Cabecera IP
original
Datos
TCP
Autenticado*
Antes de aplicar AH:
Cabecera
IP original
IPv6
Cabeceras de
extensin
TCP
Datos
Cabeceras de
extensin
nuevas
AH
Cabecera IP
original
Cabeceras de
extensin
originales
Autenticado*
TCP
Datos
IPv4
TCP
Datos
EH
Datos
TCP
ESP trailer
ESP auth
Cifrado
Autenticado
IPv6
Cabeceras de
extensin
TCP
Datos
Salto-por-salto
encaminador,
fragmentacin
EH
Dest
opcional
TCP
Cifrado
Autenticado
Datos
IPv4
Datos
TCP
EH
Cabecera IP
original
Datos
TCP
ESP trailer
ESP auth
Cifrado
Autenticado
IPv6
Cabeceras de
extensin
TCP
Datos
Cabeceras de
extensin
nuevas
EH
Cabecera IP Cabeceras de
extensin
original
originales
TCP
Cifrado
Autenticado
Datos
Triple DES:
Ms costoso de procesar (ms lento)
100% seguro
IPSec vs SSL/TLS
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
VPN. Sumario
Qu es tunneling?
Protocolos de tunneling
Comparativa
Qu es una VPN?
Clasificacin general de las VPNs
Elementos de una VPN
Implementacin de una VPN
Funcionamiento bsico
Para qu sirven las VPNs?
Ventajas e inconvenientes de usar VPNs
Evolucin de los estndares de VPNs
Alternativas a las VPNs
Qu es tunneling?
La transmisin de paquetes de datos de un determinado
protocolo encapsulados en otro, de manera que el
contenido del paquete original puede llegar inalterado a su
destino, creando algo as como una conexin punto a
punto virtual a travs de una red
Ejemplos:
Tnel SNA para enviar paquetes IP
MBone: tneles multicast sobre redes unicast
6Bone: tneles IPv6 sobre redes IPv4
Tneles IPv4 para hacer enrutamiento desde el origen
Tambin permiten crear redes privadas virtuales o VPNs
(Virtual Private Networks)
Qu es tunneling? Ejemplo
Encapsulador
Encapsulador
Red SNA
Red TCP/IP
Red TCP/IP
Paquete SNA
Datagrama IP
Protocolos de tunneling
PPTP vs L2TP
Tanto PPTP como L2TP utilizan PPP para proporcionar una envoltura inicial
para los datos y luego guardan las cabeceras adicionales para transporte a
travs de la red. Los dos protocolos son muy similares, sin embargo existen
ciertas diferencias significativas:
PPTP requiere que la red sea IP, mientras que L2TP requiere que slo el tnel
provea conectividad punto a punto orientada a paquetes. L2TP puede ser utilizado
sobre IP (utilizando UDP), Circuitos virtuales permanentes (PVC's) en Frame Relay,
Circuitos virtuales en X.25 o ATM
PPTP solamente soporta un tnel simple entre dos puntos, mientras que L2TP
permite la utilizacin de mltiples tneles entre dos puntos. Adems se pueden
crear diferentes tneles para diferentes QoS
L2TP permite compresin de cabeceras. Cuando esta compresin est habilitada,
ste opera con 4 bytes de overhead en comparacin con los 6 bytes de PPTP
L2TP permite autenticacin de tnel, mientras que PPTP no lo permite. Sin
embargo, cuando cualquiera de estos protocolos es utilizado sobre IPSec, la
autenticacin de tnel es realizada por IPSec de manera que la autenticacin en la
capa 2 no es necesaria.
Qu es una VPN?
VPNs de Extranets
amplan la red de las empresas e incluyen proveedores, empresas
asociadas y/o clientes
Autenticacin
Para dar acceso slo a sistemas permitidos
Cifrado
Para asegurar confidencialidad e integridad
Tunneling
Como mecanismo de intercambio de informacin
Internet
Cortafuegos
con servicio VPN
IPSec sobre TCP/IP
Red interna
Servidor
web
Servidor
POP3/SMTP
2.
3.
4.
5.
Usuario remoto
Tnel
ISP
Internet
Internet
Router o
Red corporativa Firewall
Red
corporativa
Internet
Red
corporativa
Servidor VPN
Internet
Red
corporativa
IP Tunneling IP
IPSec
PPP Tunneling
PPTP/L2TP
Circuit-Level Proxying
SOCKS v5
WAN :
Coste muy elevado, no asumible por la mayora de
empresas
Ej: FDDI, ATM, ...
Sumario
Introduccin
ACLs (Access Control Lists)
VLAN (Virtual LAN)
Criptografa en redes
Protocolos seguros
VPN (Virtual Private Network)
Cortafuegos
Cortafuegos. Sumario
Qu es un cortafuegos?
Hasta qu nivel nos protegen?
Funciones de los cortafuegos
Componentes de los cortafuegos
Tcnicas aplicadas en los cortafuegos
Arquitecturas de los cortafuegos
Distintas clasificaciones de cortafuegos
Servicios adicionales de un cortafuegos
Qu es un cortafuegos?
Combinacin de tcnicas, polticas de seguridad y
tecnologas (hardware y software) encaminadas a
proporcionar seguridad en la red, controlando el trfico
que circula entre dos o ms redes (y ms concretamente,
entre una red privada e Internet)
Cortafuegos = firewall o gateway de seguridad
Evolucin:
Aparicin de
los primeros
cortafuegos
de filtrado de
paquetes
1980
Cortafuegos a
nivel de
Aplicacin
Cortafuegos
Filtrado
de inspeccin
dinmico de
de estados
paquetes
1990
Kernel
Proxys
2000
Qu es un cortafuegos? (II)
Internet
Cortafuegos
Red local
Funciones de un cortafuegos
Controlar, permitiendo o denegando, los accesos desde la
red local hacia el exterior y los accesos desde el exterior
hacia la red local (redes, subredes o nodos especficos y
servicios)
Filtrar los paquetes que circulan, de modo que slo los
servicios permitidos puedan pasar
Monitorizar el trfico, supervisando destino, origen y
cantidad de informacin recibida y/o enviada
Almacenar total o parcialmente los paquetes que circulan
a travs de l para analizarlos en caso de problemas
Establecer un punto de cifrado de la informacin si se
pretende comunicar dos redes locales a travs de Internet
Componentes de un cortafuegos
Filtros
dispositivos que permiten bloquear selectivamente determinados
paquetes
normalmente se trata de routers con capacidad de filtrado o
computadoras con utilidades de filtrado
Filtrado de paquetes
se controla selectivamente el trfico de la red definiendo una serie
de reglas que especifican qu tipos de paquetes pueden circular
en cada sentido y cules deben bloquearse
las reglas para definir qu paquetes se permiten o no se basan en
las cabeceras de los paquetes
Cortafuegos
Servidor delegado
(proxy server)
Red local
Cliente delegado
(proxy client)
Arquitecturas de cortafuegos
La combinacin de los dos componentes bsicos, filtro y
nodo bastin, y las tcnicas de filtrado y delegacin,
permite definir mltiples arquitecturas para los
cortafuegos:
Cortafuegos de filtrado de paquetes (Screening Router)
Cortafuegos con nodo de doble interfaz (Dual-Homed
host arquitecture)
Cortafuegos con nodo pantalla
Cortafuegos con red pantalla (DMZ, DeMilitarized
Zone)
Red local
ext
Nodo con
doble interfaz
int
Red local
Cortafuegos
Filtro
Red local
Nodo bastin
Nodo bastin
Cortafuegos
Router interior
Red local
Clasificaciones de cortafuegos
Clasificacin segn las capas OSI en que opera:
Cortafuegos a nivel de red (capas 2, 3 y/o 4)
Evaluacin ms rpida y transparente
Clasificaciones de cortafuegos
Clasificacin desde el punto de vista de la arquitectura del
sistema:
Servicios que se ejecutan sobre SO robustos
IPTables en UNIX
Cisco Centri Firewall en Windows NT/2000
Criterios de filtrado:
Direccin IP origen y destino (capa 3)
Protocolos usados en capa 2 y 3
Tipo de trfico: ICMP, TCP, UDP... (capas 3 y 4)
Nmeros de puertos origen y destino para una sesin (capa 4)
Interfaz fsico por donde entra y sale el paquete (capa 1)
Ejemplos
IPTables (UNIX)
ACLs (Cisco)
Aceptar = Accept
Denegar / Rechazar = Deny o Drop
Descartar = Discard
Inconvenientes:
funcionalidad limitada
complejidad de su configuracin (por expertos) susceptibles a
error en la implementacin de las reglas
fcilmente vulnerables mediante tcnicas de spoofing
no previenen contra ataques que exploten vulnerabilidades de
aplicaciones
histricos de accesos imprecisos
Inconvenientes:
limitacin a la comprobacin del protocolo TCP
imposibilidad de examinar protocolos superiores
limitacin inherente a su funcionamiento para llevar histrico de
sucesos
imposibilidad de implementar servicios adicionales (por ejemplo,
filtrado de URLs)
Proceso
proxy cliente
Anlisis
Proceso
proxy servidor
Cliente real
Agente proxy
Ventajas:
detallados registros de trfico (ya que pueden examinar la totalidad del
paquete de datos)
valor aadido del servicio de autenticacin de cara a asegurar nuestra red
casi nula vulnerabilidad ante ataques de suplantacin (spoofing)
aislamiento de la red interna
mayor flexibilidad de configuracin (seguridad a alto nivel de los
protocolos que inspeccionan y los servicios aadidos, como cach y filtro
de URLs, que prcticamente todos implementan)
Inconvenientes:
menores prestaciones (- velocidad de inspeccin)
necesidad de contar con servicios especficos para cada tipo distinto de
trfico e imposibilidad de ejecutar muchos otros servicios en l (puesto
que escucha en los mismos puertos)
imposibilidad de inspeccionar protocolos como UDP, RPC y otros
servicios comunes
vulnerables ante ataques directos al SO sobre el que se suelen ejecutar
Cortafuegos hbridos
Combinan las mejores caractersticas de dos o ms de los
anteriores tipos
Ejemplo comercial muy utilizado actualmente: CheckPoint
Firewall-1
Es de inspeccin de estado, pero intercepta los paquetes entre las
capas 2 y 3, extrae informacin relativa al estado de la conexin y
mantiene dinmicamente unas tablas con informacin sobre el
estado de las conexiones abiertas o en trmites de ser
establecidas
El mdulo de inspeccin del Firewall-1 se carga dinmicamente
en el ncleo (kernel) del SO de la mquina que lo aloja,
inspeccionando todos los paquetes entrantes y salientes que
pasan por las interfaces de red
Ningn paquete es procesado por las capas superiores hasta que
el motor de inspeccin verifica que cumple con las polticas de
seguridad establecidas
Referencias
Referencias.doc