VPNs y Cortafuegos

Índice

• Redes Privadas Virtuales (VPNs) y seguridad inalámbrica

• Cortafuegos (Firewalls) en una política de seguridad de redes

2
 VPNs
Una Red Privada Virtual (VPN) es una red privada
que utiliza una red pública existente para
interconectar diversos sitios remotos
Capa 2 o 3 del modelo OSI
Tipos de VPNs:
◦ Acceso remoto (host-to-site)
◦ Sitio-a-sitio (site-to-site)
◦ Equipo a equipo (host-to-host)

3
Ventajas
Ahorro de costes
Integración sin necesidad de cambios en la topología o arquitectura de la red
Acceso remoto seguro
Conexión con equipos en la extranet (socios o colaboradores externos)
Bajo mantenimiento

4
 Acceso remoto (host-to-site)
El usuario inicia la conexión hacia la red de la
organización
◦ Navegador web
◦ Aplicación cliente VPN

La comunicación se establece desde el equipo del

usuario hacia una pasarela de la VPN:
◦ Un router
◦ Un firewall avanzado

5
 Sitio-sitio (site-to-site)

Interconectan redes en lugar de un

equipo en una red
Transparente para usuarios finales

6
 Acceso a dispositivos fuera de la VPN
Hairpinning: la pasarela VPN se comporta como un hub, todo el tráfico (dirigido o no a la red interna
de conexión) pasa por ella
Split tunneling: sólo se dirige a la pasarela de VPN el tráfico dedicado a la red interna

7
Propiedades VPNs
Tunneling

Anti- Autenticación
repetición de los datos

Cifrado de los Integridad de

datos los datos

8
Protocolos para VPNs
Arquitectura Protocolo
IPSec
Generic Routing Protocol (GRE)
Site-to-Site Multiprotocol Label Switching (MPLS)
Dynamic Multipoint VPN (DMVPN)
Group Encrypted Transport VPN (GETVPN)
Point to Point Transport Protocol (PPTP)
Acceso remoto Secure Socket Layer/Transport Layer Security (SSL/TLS)
IPSec

9
 GRE
Encapsula un datagrama IP en otro datagrama IP
No proporciona ningún mecanismo de seguridad, sólo tunneling

Encabezado capa 2 Encabezado GRE Encabezado IP Datagrama TCP/UDP

10
Seguridad WiFi
WEP (Wired Equivalent Privacy) es un protocolo inseguro con múltiples vulnerabilidades
conocidas
WPA2 (Wi-Fi Protected Access, versión 2):
◦ Dos versiones: WPA-Personal (PSK) y WPA-Enterprise (servidor RADIUS)
◦ Protocolos de cifrado:
◦ Temporal Key Integrity Protocol (TKIP) → Garantiza la compatibilidad
◦ CCMP basado en AES (Advanced Encryption Protocol)
◦ Esquema de autenticación para WPA-Enterprise: protocolo EAP (RFC 2284)
◦ EAP-MD5 → inseguro
◦ EAP-TLS → sólo certificado por WiFI Alliance
◦ EAP-LEAP (EAP ligero o EAP-cisco) → utiliza contraseñas muy fuertes, pero es suceptible ataques de fuerza bruta
◦ PEAP (EAP protegido)
◦ Protocolos de control de acceso basados en puertos

11
Índice

• Redes Privadas Virtuales (VPNs) y seguridad inalámbrica

• Cortafuegos (Firewalls) en una política de seguridad de redes

12
Defensa en profundidad

13
 Cortafuegos
Usuarios remotos

Un Cortafuegos (o Firewall) es
Intranet Internet
un dispositivo que proporciona
conectividad segura entre redes Firewall Router

DMZ

Usuarios externos
(no confiables)

14
Objetivos de un Cortafuegos
Garantizar el cumplimiento de las políticas de seguridad relacionadas con el tráfico de red específicas
de una organización:
◦ El tráfico de red marcado como autorizado debe poder enviarse y recibirse sin problemas
◦ El tráfico de red no autorizado no debe poder atravesar las redes indicadas
Debe ser robusto ante ataques desestabilizadores
Otras propiedades:
◦ Registro del tráfico
◦ Network Address Translation (NAT)
◦ Tunneling (o cifrado de comunicaciones)
Limitaciones:
◦ Sólo actúa sobre el tráfico de red que lo atraviesa, incluyendo rangos de direcciones IP, protocolos aplicaciones
y tipo de contenido
◦ Depende de su configuración

15
Política asociada a un firewall
Desarrollo a partir de la información obtenida de analizar el riesgo de la organización y las
políticas derivadas

Determinar que tipo de tráfico de red es necesario para el funcionamiento de los procesos de la
organización
◦ Combinación de los elementos de filtrado junto a una topología de firewall apropiada

16
 Filtrado del tráfico
Tipos A nivel de paquete Listas de control de acceso

A nivel de sesión Filtrado dinámico de paquetes

Stateful Inspection

Acceso basado en contextos (zonas)

17
 Filtrado de Paquetes
Decisiones tomadas a nivel de paquete:
◦ Dirección IP de origen
◦ Dirección IP destino
◦ Puerto origen/destino
◦ Interfaz de red
◦ Etc.

No se almacena información del estado

Definición de reglas que se aplican a los paquetes entrantes y salientes
◦ Generalmente deben coincidir los encabezados de los paquetes
◦ Acciones posibles:
◦ Descartar el paquete
◦ Reenviar el paquete

18
 Ejemplo

Regla Dirección Origen Destino Protocolo Puerto Puerto Acción

Origen destino
1 Entrada Pública Privada TCP 25 >1023 Permitir
2 Salida Privada Publica TCP >1023 25 Permitir
3 Salida Privada Pública TCP 25 >1023 Permitir
4 Entrada Pública Privada TCP >1023 25 Permitir
5 Cualquiera Cualquiera Cualquiera Cualquiera Cualquiera Cualquiera Bloquear

19
Evolución de los cortafuegos
Filtrado de paquetes
Filtrado por sesiones
Uso de la información de las
cabeceras de los mensajes Filtrado de aplicaciones
Filtrado por sesiones
Paquete individual
Capa 4 OSI Firewall ultima generación
Capa 3 OSI
Stateful Inspection Capa 7 OSI
Acciones: permitir o borrar
Configuración por zonas Incluyen otras características
ACLs
avanzadas como IPS,
creación de VPNs, NAT, …
Reputación de IPs
Fortinet, ASA de Cisco,…

20
Tipos de Cortafuegos
Web Application
Host
Firewalls (WaF)
Local
Firewall

Personales
Bastión
Proxy
Red
Router

21
VPNs y Cortafuegos