Firewalls 1

Seguridad en Sistemas: Firewalls
Riesgos
Origen de los Riesgos en la Seguridad:

Interno (el 70% de los incidentes de seguridad reportados):
Externo:
Seguridad perimetral para prevenir accesos no autorizados a la red
privada desde el mundo externo (Internet o dial-in).
Vulnerabilidades en la Red:
Protocolos de red.
Software.
Configuracin.
1
Especificacin de la Poltica de Seguridad

No existe un sistema de proteccin efectivo sin una poltica
de seguridad sensata.
La poltica es la base de la seguridad.
especifica que cosas son importantes de proteger dentro de una
organizacin y que acciones amenazan estas cosas.
La poltica de seguridad de red define:
Quin puede hacer qu, cundo, desde dnde y con qu tipo de
autentificacin?
Qu actividades son consideradas amenazas a la seguridad?
Quin tiene autoridad/responsabilidad de implementar esta
poltica?
En la clase de hoy veremos que podemos hacer en cuanto a
proteccin de nuestra organizacin frente al mundo exterior.
2
Ataques va Protocolos de Comunicacin

IP Address spoofing
UDP Spoofing
TCP Sequence Number Attacks
Internet Routing Attacks
ICMP Redirect
Ping of Death (PoD) Nombres en ingls dado su uso popular
ARP attacks
TCP SYN Flood Attack
IP Fragmentation Attack
UDP Port Denial-of-Service y bombas UDP
Random Port Scanning
Packet sniffers (Eavesdropping)
Man-in-the-Middle (connection hijacking)
TCP Connection Spoofing
3
Ataques va Autentificacin y Aplicaciones
Passwords dbiles
Password Sniffers
Troyanos
Apropiacin de conexiones (connection hijacking)
Ingeniera social
Ataques a DNS, SMTP, NFS, NTP, Remote-login, X-Window
Fuga de informacin (finger, whois, echo, ping, traceroute)
URL y Web Spoofing
Cdigo Java y ActiveX applets maliciosos, virus
Buffer overflow
Ataques CGI
4
Negociacin de Conexin en TCP/IP

Ejemplo
SYN (A, SNA)
Mquina A
SYN (A, SNA)
SYN (B, SNB) Mquina B
ACK (B, SNB)
Connection
5
Denegacin de Servicio (DoS) va Red
ftp://info.cert.org/pub/tech_tips/denial-of-service
SYN Flooding
Ping of Death (Win95 target, pruebe ping -l 65510 target)
Smurfing
spoofing de paquetes ICMP echo (ping) con la direccin de la vctima como la
direccin fuente y la direccin de broadcast como destino.
Ataques mediante paquetes maliciosos (aplique los patches provistos por el proveedor)
Land Drop (Win95)
Latierra (Win NT y Win95)
Tear Drop (Linux, Win NT y Win95)
6
DoS: SYN Flooding
SYN(C)
1 Vctima B
Atacante A
ACK(C), SYN(B)
SYN(C)
2
ACK(C), SYN(B)
SYN(C)
10
7
Debilidades de Seguridad en Internet

Falta de autentificacin en protocolos.
Seguridad limitada en routers.
Eavesdropping.
Confianza en control de acceso basado en passwords.
Suposicin de nmeros bajos de ports
Sistemas mal configurados
confianza explcita en el mundo (Everybody/FullControl ), cuentas
no cerradas, NFS y FTP no restringidos, etc.
Errores de software y backdoors

sendmail, finger, etc.
8
Los Problemas
La gente externa a nuestra mquina/red

quiere acceder a recursos internos sin
nuestro permiso.
Contacta a un compaero (doble agente) en
nuestro sistema o a un programa legtimo.
Los programas dentro de nuestra
red/computadora quieren acceder a
Internet sin nuestro permiso.
Un caballo de troya en nuestro sistema
contacta a alguien (atacante) del exterior.
9
Desarrollo de una Poltica
Debemos decidir como controlar el trfico a travs del firewall

Lo que no est explcitamente prohibido est permitido
Amigable al usuario.
Aparecen constantemente nuevos servicios.
Mayor potencial de ser vctima de nuevos agujeros de seguridad.
Sin sentido hoy en da.
Lo que no est explcitamente permitido est prohibido

Ms seguro.
Menos amigable al usuario.
10
Conectividad en Internet
Desconectarse de Internet
los usuarios se hacen dependientes de sus servicios rapidamente.
los negocios/educacin requieren conectividad Internet.
NO PRCTICO.
Mejorar la seguridad en los Hosts
Pros
No trae inconvenientes a los usuarios legtimos.
Provee proteccin intra-organizacin.
El software puede ayudar a automatizar la seguridad.
Contras
Muchas mquinas es difcil implementar seguridad en todas!
No hay herramientas de auditora centralizada - quin est entrando?
Bastante bien pero no es suficiente. 11
Fortificacin del Permetro de la Red
Internet
12
Fortificacin del Permetro de la Red (2)

Pros:
El acceso a la red interna se dirige a un nico a hacia un pequeo conjunto de
sistemas.
Ms fcil para el administrador.
Ms fcil de auditar el trfico entrante y saliente.
Contras:
Es difcil determinar el permetro de la red.
Los firewalls pueden ser difciles de configurar y mantener.
Son muchas las tcnicas a considerar.
FIREWALL
Un sistema de software o hardware que regula las comunicaciones entre
redes:
Entre red interna y externa. Entre subredes internas.
13
Funciones de un Firewall
Proveer conectividad segura entre redes (posiblemente
varios niveles de confianza).
Implementar y hacer cumplir una poltica de seguridad
entre redes.
Redes y Servers no
Redes Confiables Firewall Confiables
Usuarios no
Confiables
Internet
Router
Intranet
DMZ Servers y Redes

accesibles desde el
exterior (pblicos) Usuarios
Confiables
14
Definicin de Firewall
Definicin del Websters Dictionary: una

pared construida para prevenir que el fuego
en un lado de un edificio pase al otro.
Un firewall de red tiene un propsito
similar: evitar que los peligros de las redes
exteriores (Internet) pasen a nuestra red.
Punto de acceso controlado.
15
Los Firewalls pueden:
Restringir el trfico entrante y saliente a

partir de las direcciones IP, ports o usuarios.
Bloquear paquetes invlidos.
Proveer de un nico punto de choque.
Proveer funciones de logueo y auditora.
Los puntos anteriores tambin se aplican al
interior al comunicarse con el exterior.
16
Conveniente
Dar informacin acerca del trfico gracias a

la posibilidad de loguear.
Network Address Translation (NAT).
Encripcin.
17
Los Firewalls NO pueden proteger de: (1)

Trfico que no pasa por ellos
Ruteado por otro lado (ej: modems).
Trfico interno.
Cuando estn mal configurados pueden ser
intiles.
Proteger (confidencialidad) los datos en Internet.
Prevenir ataques activos (session hijacking, routing, etc)
Manejar dispositivos de IP mvil.
Queremos una solucin end-to-end.
Criptografa.
18
Los Firewalls NO pueden proteger de: (2)
Informacin exportada en CD ROM o diskette.

Estupidez de los empleados que divulgan
informacin confidencial por telfono.
Virus, etc. que llegan via e-mail.
Generalizando: cierto software malicioso es
subido o copiado usando un canal legtimo y
luego es ejecutado.
19
El mejor Firewall
a la red

Funcionalidad: Muy Mala
electricidad
20
De-Militarized Zone (DMZ)
DMZ zona desmilitarizada

Area de red entre dos packet filters.
El filtro externo solo permite trfico desde el exterior.
El filtro interno solo permite trfico desde el interior.
Separa la red externa de la interna.
Contiene nodos que proveen
servicios externos (ej: webserver, DNS) y
gateways (aplicaciones) para clientes internos.
Cuando los nodos estn comprometidos
El trfico interno no puede ser objeto de sniffing.
Proteccin del filtro interno.
21
Control de Acceso
ALERTA!!
Internet
Requerimiento de Seguridad
Control de acceso a la red y a sus recursos.
Proteger la red de posibles ataques.
22
Local Area Network Public Network/

Un firewall asegura
Internet
DB nuestra LAN:
wkstn
server
- restringiendo las
conexiones externas
wkstn wkstn (entrantes y salientes) a
las mquinas y servicios
especificados.
web fire - analizando, logueando y

server wall filtrando todo el trfico
- detectando y reportando
wkstn wkstn intentos de entrar.
- ocultando la estructura
mail interna (direcciones) de la
wkstn
server LAN de la Red Pblica.
23
Dos Tipos de Firewalls

Packet Filters
El control de acceso sobre la red se efecta analizando los
paquetes entrantes y salientes. Se los deja pasar o se
descartan segn la direccin IP de la mquina fuente y de la
mquina destino.
Puede ser un router, bridge o un host particular.
Application Proxy
El proxy es un programa que representa a todas las
computadoras de la red interna, ocultando la LAN de la red
pblica. El proxy toma todas las decisiones de forwarding,
en los dos sentidos.
El proxy har el forwarding para los clientes autorizados
hacia servers del exterior y traer las respuestas a dichos
clientes.
24
25
Firewall Local Area Network Public Network/

comprometido DB
Internet
wkstn
server
wkstn wkstn
Redes de modem
Telefona Pblica
web fire
server wall
wkstn wkstn
mail
wkstn
server
26

Firewalls 1

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Firewalls 1

Cargado por

Copyright:

Formatos disponibles

Seguridad en Sistemas: Firewalls

Origen de los Riesgos en la Seguridad:

Especificacin de la Poltica de Seguridad

Ataques va Protocolos de Comunicacin

Ataques va Autentificacin y Aplicaciones

Negociacin de Conexin en TCP/IP

SYN (A, SNA)

ACK (B, SNB)

Denegacin de Servicio (DoS) va Red

DoS: SYN Flooding

Debilidades de Seguridad en Internet

Errores de software y backdoors

La gente externa a nuestra mquina/red

Desarrollo de una Poltica

Debemos decidir como controlar el trfico a travs del firewall

Lo que no est explcitamente permitido est prohibido

Fortificacin del Permetro de la Red

Fortificacin del Permetro de la Red (2)

DMZ Servers y Redes

Definicin del Websters Dictionary: una

Los Firewalls pueden:

Restringir el trfico entrante y saliente a

Dar informacin acerca del trfico gracias a

Los Firewalls NO pueden proteger de: (1)

Los Firewalls NO pueden proteger de: (2)

Informacin exportada en CD ROM o diskette.

De-Militarized Zone (DMZ)

DMZ zona desmilitarizada

Local Area Network Public Network/

web fire - analizando, logueando y

Dos Tipos de Firewalls

Firewall Local Area Network Public Network/

También podría gustarte