SEGURIDAD EN REDES

_________________________________________________

FIREWALLS

Ing. Jos I. Gallardo Univ.Nac.Patagonia "S.J.Bosco" 1

SEGURIDAD- FIREWALLS

TEMAS
1. Principios diseo de firewalls
1.1. Caractersticas de firewalls
1.2. Tipos de firewalls
1.3. Configuraciones de firewalls
2. Sistemas Confiables (trusted)
2.1. Control de acceso a datos
2.2. El concepto de sistemas confiables
2.3. Defensa de troyanos.
JIG 2

1
Introduccin a Firewalls (Muros Cortafuegos)
________________________________________________
FIREWALL: Es un sistema grupo de sistemas que refuerza la
poltica de control de acceso entre dos redes.
En principio provee dos servicios bsicos:
Bloquea trfico indeseado
Permite trfico deseable
Los Sistemas de Informacin tuvieron una sostenida evolucin
de pequeas LANs a la conectividad de Internet, pero no se
establecieron medidas acordes de seguridad para todas la WS y
servidores. Presiones operativas:1Conectividad y 2 Seguridad.
Dentro de las Estrategias de Seguridad de una organizacin, un
Firewall pertenece al grupo de Proactivas, para minimizar
vulnerabilidades. ( Fig.1)

JIG 3

Introduccin a Firewalls
________________________________________________
Fig.1: Estrategia de Seguridad (Benson) [Ref.2]

Firewalls

JIG 4

2
1. Principios de Diseo de Firewalls
________________________________________________
Los Firewalls estn insertados entre la red local y la Internet
(red no confiable ) Objetivos:
Establecer un enlace controlado
Proteger la red local de ataques basados en la Internet
Proveer un nico punto de choque.

Router+ Firewall

JIG 5

1.1. Caractersticas de Firewalls

________________________________________________
Objetivos de Diseo:
Todo el trfico interno hacia el exterior debe pasar a travs del FW.
Slo el trfico autorizado (definido por poltica de seguridad local)
ser permitido pasar, a travs de filtros y gateways.
El FW en s mismo es inmune a penetraciones (usando sistema
confiable con sistema operativo seguro).
4 Tcnicas generales para Control Accesos:
a. Control de Servicios: determina tipo servicios de Internet que
pueden ser accedidos.
b. Control de Direccin: determina la direccin en que se permiten
fluir requerimientos de servicios particulares.
c. Control de Usuarios: controla acceso a servicio acorde a permisos
de usuarios
d. Control de Comportamiento: controla cmo se usan servicios
particulares (Ejplo: filtros de email).

JIG 6

3
1.2. Tipos de Firewalls
________________________________________________
Tres tipos comunes de Firewalls :
1) Router con Filtrado de Paquetes
2) Gateway a Nivel de Aplicacin
3) Gateway a Nivel de Circuitos
+ (Host Bastin)
Router con Filtrado de Paquetes

JIG 7

1.2.1. Router con Filtrado Paquetes

________________________________________________
Aplica un set de reglas para cada paquete entrante y luego lo
reenva descarta. Filtra paquetes en ambas direcciones.
El filtrado de paquetes se setea tpicamente como una lista de
reglas (ACL: Access Control List) basadas en matches de
campos de cabeceras IP TCP/UDP.
Dos polticas por default: discard/deny forward/allow
Mejor habilitar explcitamente (default= deny)
Se implementa con notacin especfica de cada router.
Ventajas:
Simplicidad
Transparencia hacia usuarios
Alta velocidad
Desventajas:
Dificultad en el seteo de reglas de filtrado
Falta de Autenticacin

JIG 8

4
 1.2.1. Router con Filtrado Paquetes
________________________________________________
Posibles ataques y Contramedidas apropiadas:

IP Address Spoofing (mentir direccin IP)

Descartar paquetes con dir IP interna que arribe del
exterior.
Ataques Source Routing (paquete IP con opcin ruteo
fuente) Descartar todos los paquetes que usen esta
opci n.
Ataques por Tiny Fragments (fragmentos muy pequeos)
Descartar todos paquetes donde tipo protocolo sea TCP
y Offset de Fragmento=1 en Header_IP.

JIG 9

1.2.2. Sistema de FW con GW a Nivel Aplicacin

____________________________________________________
Gateway a Nivel Aplicacin ( Proxy Server)

Son hosts corriendo Proxy servers, que evitan trfico directo entre redes.
Acta como un relay (conmutador) de trfico a nivel de aplicacin.
Ms eficiente y posible control de contenidos.
Puede ponerse un AV en el gateway.

JIG 10

5
1.2.2. Sistema de FW con GW a Nivel Aplicacin
____________________________________________________
Proxy de Aplicacin: programa que representa a toda la red
interna, ocultando la LAN de la red pblica. Toma decisiones de
forwarding en los 2 sentidos.
Har el forward de clientes autorizados a servers del exterior y
traer las respuestas a dichos clientes.
Proxy HTTP puede mantener pginas web en cach.
Ventajas:
Ms seguros que filtros de paquetes.
Slo necesita discriminar una pocas aplicaciones permitidas
(Telnet, HTTP, etc), no a nivel de IP TCP.
Fcil control de log y auditar todo el trfico entrante
Desventajas:
Overhead de procesamiento adicional en cada conexin, ya
que hay dos conexiones divididas y el Gateway que acta
como splice, debe examinar y reenviar todo el trfico.

JIG 11

1.2.3. Sistema de FW con GW a Nivel Circuitos

__________________________________________________
Gateway a Nivel de Circuitos :

Puede ser un sistema stand-alone una funcin especializada

realizada por un GW de nivel aplicacin.
No permite conexiones TCP end-to-end, sino que GW setea 2
conexiones TCP entre usuarios TCP externo e interno con l.
GW hace conmutacin de segmentos TCP de una conexin a
otra sin examinar contenido.

JIG 12

6
1.2.3. Sistema de FW con GW a Nivel Circuitos
__________________________________________________
La funci n de seguridad consiste en determinar qu
conexiones sern permitidas.
Usado tpicamente en situaciones donde el administrador del
sistema confa en los usuarios internos.
Un ejemplo de implementacin es el paquete SOCKS (v.5 en
RFC 1928)
Capa entre niveles de Transporte y Aplicacin
No provee servicios de GW a capa de red, como el forwarding de
mensajes ICMP.
Consiste de Server Socks, Libreras de clientes socks y Programas
clientes sock-ificados de las aplicaciones estndares.

JIG 13

1.2.4. Bastion Host

__________________________________________________
Es un sistema identificado por el administrador del firewall como
un punto crtico en la seguridad de la red.
Host bastin sirve como una plataforma para un gateway a nivel
de aplicacin de circuito.
Su plataforma de hardware corre versin segura de S.O.
Sistema Confiable .
Administrador de red instala slo servicios esenciales en l, como
aplicaciones proxies como Telnet, DNS, FTP, SMTP y
Autenticacin usuarios.
Cada proxy se configura para requerir autenticacin adicional, antes
de permitir a usuario acceder a servicios. C/u mantiene info auditora
por logging de todo el trfico de c/conexin.
Cada mdulo proxy es un pequeo paquete SW diseado para
seguridad en red, e independiente de los otros proxies.
Proxy gralmente no realiza accesos a disco, salvo leer configuracin
inicial, tal de dificultar instalacin de troyanos sniffers.

JIG 14

7
 1.3. Configuraciones de Firewalls
________________________________________________
Adems del uso de configuraciones simples de un
sistema nico , como router con filtrado de paquetes
gateway nico, son posibles configuraciones ms
complejas, siendo las tres ms comunes:

1) Sistema FW con screened host (single-homed bastion host)

(FW con host apantallado y conectado a una sola red)
2) Sistema FW con screened host (dual-homed bastion host)
(FW con host apantallado y conectado con 2 placas red)
3) Sistema FW con screened subnet (con DMZ)
(FW con subred apantallada De-Militarized Zone)

JIG 15

1.3.1. Sistema FW con screened host

(single-homed bastion host)
_____________________________________________
El firewall consiste de dos sistemas: Un router con filtrado de
paquetes y un host bastin.

Configuracin para el router con filtrado paquetes:

Router slo permite pasar paquetes desde hacia el host bastin.
El Host Bastin realiza funciones de proxy y autenticacin.

JIG 16

8
 1.3.1. Sistema FW con screened host
(single-homed bastion host)
_____________________________________________
Mejor seguridad que configuraciones simples por dos motivos:
Esta configuracin implementa ambos filtrados, a nivel de
paquetes y de aplicacin, permitiendo flexibilidad en la definicin
de poltica de seguridad.
Un intruso debera atravesar ambas barreras (dos sistemas
separados)

Esta configuraci n tambin permite la posibilidad de proveer acceso

directo a Internet, con servidores de informaci n pblica como web
servers.

JIG 17

1.3.2. Sistema FW con screened host

(dual-homed bastion host)
_____________________________________________

Con 2 placas de red, evita que si el router con filtrado de paquetes

est comprometido, el trfico pase directamente a la red interna.
El trfico entre Internet y los hosts de la red interna privada tiene
que pasar atravs del host bastin.
Mantiene las dos capas de seguridad, y pueden conectarse servers
con el router, segn la poltica de seguridad.

JIG 18

9
1.3.3. Sistema FW con Screened-Subnet (DMZ)
_________________________________________________

Configuracin ms segura de las tres, con 2 Routers interno y

externo con filtrado de paquetes.
Crea una subred aislada, DMZ (De Militarized Zone) que puede
consistir de un simple host bastin, de ms servers pblicos.
Los routers slo permiten trfico hacia desde la subred DMZ.

JIG 19

1.3.3. Sistema FW con Screened-Subnet (DMZ)

_________________________________________________
Ventajas:
Tres niveles de defensa ante intrusos.
El Router Externo slo declara hacia la Internet la existencia de la
subred protegida La red interna es invisible para la Internet.
El Router Interno slo declara hacia la red interna la existencia de
la subred protegida Los sistemas de la red interna no pueden
construir rutas directas hacia Internet.
Los routers slo permiten trfico a/desde la red DMZ.
Zona DMZ: se tiene cierto control, deja que algunas
aplicaciones puedan ser accedidas como servicios externos de
servers Web DNS y GW de aplicacin para clientes internos.
Normalmente se implementa NAT (Network Address Translation),
que oculta las direcciones reales y dificulta impide accesos.
NAT til si no se poseen suficientes dir IP vlidas. Solamente se
necesitan dir IP reales si queremos salir de nuestra red interna, para
acceder a servers externos.
Mapeo muchos-a-1 1-a-1; Los proxies proveen muchos-a-1.

JIG 20

10
2. Sistemas Confiables
________________________________________________
Una forma de mejorar la habilidad de un sistema de defensa
contra intrusos y programas maliciosos, es implementar
tecnologa de Sistemas Confiables. (Trusted Systems)

2.1. Control de Acceso a Datos

A travs de procedimientos de control de accesos de usuarios
(log on), un usuario puede ser identificado por el sistema.
Asociado a cada usuario puede existir un Perfil que especifica
sus operaciones y accesos a archivos permitidos.
El sistema operativo puede aplicar reglas basadas en el perfil de
usuario.
Los Modelos generales de control de Acceso pueden ser:
Matriz de Accesos
Lista de Control de Accesos
Lista de Capacidades

JIG 21

2.1. Control de Acceso a Datos

________________________________________________
Matriz de Accesos

Los Elementos bsicos del modelo son:

Sujeto ( Subject): una entidad capaz acceder objetos.
Concepto equivalente al de proceso.
Objeto: algo al que su acceso se controla (Ejplo: archivos,
programas y segmentos de memoria).
Derechos de Acceso: el modo en que un objeto es
accedido por un sujeto (Ejplo: read, write, execute).

JIG 22

11
2.1. Control de Acceso a Datos
________________________________________________
Un eje de la Matriz (Y) consiste de los sujetos identificados que
pueden intentar acceder a los datos.
El otro eje (X) lista los objetos que pueden ser accedidos.
Cada entrada en la matriz indica los derechos de acceso de cada
sujeto para cada objeto.
Lista de Control de Accesos: descomposicin de la matriz
por columnas. Lista los usuarios y sus derechos de accesos
permitidos. La lista puede contener una entrada pblica por
default.
Lista Ctrl Accesos Programa1
Proceso1 (Read, Execute)

JIG 23

2.1. Control de Acceso a Datos

________________________________________________
Lista de Capacidades: descomposicin de la matriz por filas.
Un ticket de capacidad especifica objetos autorizados y
operaciones para un usuario. Cada usuario tiene un nmero de
tickets.

Lista Capacidades pProceso1

Programa1 (Read, Execute)
SegmentoA (Read, Write)

JIG 24

12
 2.2. El concepto de Sistemas Confiables
________________________________________________
Sistemas Confiables (Trusted):
Proteccin de datos y recursos en base a niveles de seguridad,
como en lo militar, donde la informaci n se categoriza como U
(unclassified), C (confidential), S (secret) y TS (top secret).
Los usuarios pueden obtener permisos para acceder a ciertas
categoras de datos.

Seguridad Multinivel: definicin cuando hay mltiples categoras

niveles de datos.
Un sistema de seguridad multinivel debe aplicar las siguientes
reglas:
No Read Up: un sujeto slo puede leer un objeto de nivel de
seguridad igual menor (Simple Security Property)
No Write Down: un sujeto slo puede escribir en un objeto de
nivel de seguridad igual mayor (*.Property)

JIG 25

2.2. El concepto de Sistemas Confiables

________________________________________________
Concepto de Monitor de Referencia: aproximacin de
seguridad multinivel para un sistema de procesamiento de
datos.

JIG 26

13
 2.2. El concepto de Sistemas Confiables
________________________________________________
Monitor de Referencia:
Elemento de control en el hardware y sistema operativo de
una computadora que regula el acceso de sujetos a objetos
en base a parmetros de seguridad.
El Monitor tiene acceso a un archivo (Security Kernel
Database)
Aplica las reglas de seguridad (no read up, no write down).
Propiedades del Monitor :
Mediaci n Completa: reglas seguridad se aplican en todo
acceso.
Aislacin: el monitor de referencia y la DB estn protegidos
de modificaciones no autorizadas.
Correctitud: la exactitud del monitor de referencia debe ser
comprobable (matemticamente).
Un sistema que pueda proveer tales verificaciones (
propiedades), se puede referir como un Sistema Confiable.
JIG 27

2.3. Defensa de Troyanos

________________________________________________
Troyanos: programa malicioso que aparentando hacer algo
normal, har algo inesperado, a travs de trapdoor un ataque
(acceder a una cuenta ejecutar comandos con privilegios de
otro usuario).
Secuencia a y b muestra ataque de troyano de usuario A, que
consigue acceso legtimo al sistema e instala un troyano y un
arch.privado a ser usado en el ataque como un back pocket.

Arch Back Pocket

JIG 28

14
 2.3. Defensa de Troyanos
________________________________________________
Sistemas Operativos confiables y seguros, constituyen un modo
de defensa contra ataques de troyanos (Trojan Horse Attacks).
Secuencias c y d con S.O.Seguro, donde Monitor no permite a B
escribir (no W down) el string en un arch pblico (back pocket).
Si B tiene nivel seguridad sensitivo, y A nivel pblico, cuando B
invoca al troyano, este programa adquiere nivel seg de B.
Arch Data Programa Arch Data
Monitor
Programa Referencia

Monitor
Referencia

Programa Arch Back Pocket Programa Arch Back Pocket

JIG 29

Bibliografa
Fuentes:
1. Network Security Essentials - W. STALLINGS- Prentice Hall- Cap.10.
2. Security Strategy- Christopher BENSON.
http://www.microsoft.com/technet/security/bestprac/secstrat.asp
3. Building Internet Firewalls - CHAPMAN & ZWICKY- OReilly.
4. Web Security Basics- S.BASHIN- Premier Press-2003- Chap.8.

JIG 30

15