Tema 6

SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Tema 6. Seguridad Perimetral

Parte 1. Cortafuegos
Seguridad en Sistemas Informticos

Octubre-2012

Tema 6

Contenido

SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Conceptos bsicos

Tipos de cortafuegos
Cortafuegos de filtrado de paquetes
Pasarelas de nivel de aplicacin (Proxies)

Topologas de cortafuegos

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Conceptos bsicos
Cortafuegos/Firewalls: Mecanismos de control de acceso
a la red y los recursos informticos de una organizacin
Formado por componentes hardware y software
Separa nuestra red interna (equipos de confianza) de los equipos externos
(potencialmente hostiles) mediante el control del trfico
Deniega intentos de conexin no autorizados (en ambos sentidos)
Finalidad: prevencin de ataques desde el exterior hacia equipos internos
Opcionalmente: control del uso de la red por parte de los equipos
internos
Proteccin del propio equipo: firewalls personales

Principios bsicos de funcionamiento

1 Todo el trfico desde interior a exterior y viceversa debe pasar por el
Cortafuegos/Firewall.
bloqueo de todos los accesos fsicos a red propia excepto el del
Cortafuegos
diferentes topologas diferentes niveles de aislamiento
2 El Cortafuegos permite slo trfico autorizado
definido por las polticas de seguridad de la organizacin
cada tipo de Cortafuegos permite distintos tipos de control
3 El Corfafuegos debe ser inmune a intrusiones
Sistema Operativo y software fiable

Tema 6
SSI

Tipos controles realizados

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Control de Servicios determinar los tipos de servicios

de red accesibles desde interior y exterior
Dos grandes alternativas:
1 Cortafuegos filtra trfico a los servicios basndose en la direccin IP
+ nms. de puerto
2 Cortafuegos proporciona un software intermediario (Proxy) para cada
servicio concreto a controlar.
Proxy recibe e interpreta las solicitudes a nivel de aplicacin, permitiendo o no su paso

Control de Direcciones determinar qu direcciones

pueden iniciar las solicitudes de servicios y hacia
cules se permite su paso a travs del Cortafuegos
Control de Usuarios control de accesos en base al
usuario concreto que pretende acceder
Control de Comportamiento control de cmo se usan
los servicios
Ejemplos: restriccin de acceso a determinados servicios Web,
filtrado de SPAM, etc...

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Utilidad de los Cortafuegos

Definen un punto nico de resistencia frente a ataques
mantiene usuarios no autorizados fuera de la red protegida
prohibe entrada o salida de servicios potencialmente vulnerables
proteccin frente a ciertos ataques de suplantacin de IP (IP
spoofing)
simplifica la administracin (punto nico de entrada)

Ofrece ubicacin donde realizar supervisin de eventos

de seguridad
registro de accesos, intentos de intrusin, gestin de alarmas de
seguridad, auditorias, etc

Ofrece ubicacin cmoda para situar otros elementos

de gestin de red (no exclusivamente relacionados con
la seguridad)
traduccin de direcciones, NAT(network address translation)
direcciones locales (privadas) direcciones pblicas de Internet

software de auditoria y registro del uso de la red

plataforma para implantar pasarelas IPSec o similares (enlaces de
redes virtuales privadas [VPN])
plataforma donde centralizar sistemas de deteccin de intrusiones
(ej.: SNORT)
plataforma para ubicar filtros de nivel de aplicacin (antivirus, SPAM,
etc,...)

Tema 6
SSI

Limitaciones

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

No protegen contra ataques que no pasen a travs del

Cortafuegos
conexiones adicionales que ofrecen un punto de entrada alternativo
fuera de su control

No protegen contra amenazas internas

Pueden proporcionar una sensacin de falsa seguridad
el Cortafuegos no basta por si slo
seguridad en redes afecta a muchos aspectos
Idea: defensa en profundidad
implementar diversas capas de mecanismos de defensa
complementarios y coordinados
no confiar la defensa de la red a un nico mecanismo
(cortafuegos)

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

NOTA: NAT (network address translation) en Cortafuegos

Ventajas del NAT (enmascaramiento)
Permite ahorrar direcciones pblicas de Internet
Todos los equipos de la red interna usarn un conjunto reducido de
direcciones IP vlidas en la red externa
Ofrecen un nivel adicional de seguridad
Se ocultan (hacia el exterior) las caractersticas de la red
interna
Desde el exterior slo son visibles las direcciones IP externas
Suele ser recomendable implantar NAT
NAT sopone imponer un Cortafuegos implcito
En principio, slo permite conexiones salientes originadas en la
red interna (direcciones privadas)
Las conexiones entrantes requieren configuracin especfica,
por lo que estn muy controladas

Los Cortafuegos suelen ofrecer funciones de NAT

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Esquema usual: traduccin de direcciones mediante

reparto de puertos
traduce direcciones privadas a 1 ( ms) pblica, mediante el uso de
distintos nm. de puerto
puerto origen (de la mquina cliente) no suele ser relevante (se
asigna al azar al establecer la conexin)
NAT (enmascaramiento) se implementa usando una tabla que mapea
direcciones internas a puertos
Ejemplo: Comparticin de la dir. IP pblica 193.147.87.47 desde la red privada 10.0.2.0/24

origen interno
dir.origen
puerto origen
10.0.2.16
20122
10.0.2.45
12856
10.0.2.16
5378
...
...

origen NAT
dir. NAT
puerto NAT
193.147.87.47
37012
193.147.87.47
6734
193.147.87.47
11003
...
...

destino externo
dir.destino
puerto destino
193.144.51.100
80
87.123.56.120
22
200.132.50.27
80
...
...

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Clasificacin general de los

tipos de Cortafuegos
Filtros de paquetes
Inspeccionan los paquetes recibidos/enviados y comprueban si encajan en
las reglas
Filtrado basado en la informacin contenida en cada paquete
recibido/enviado
cada paquete se inspecciona de forma aislada y la decisin se toma de forma aislada
filtro sin estado
no tiene en cuenta si los paquetes son parte de una conexin

Uso de puertos estndar para bloquear servicios concretos

Filtros con estado

Llevan registro de las conexiones8que pasan a travs del Cortafuegos
< de inicio/fin de conexin
que forman parte de conexiones
Estudian y reconocen paquetes
:
ya abiertas

Filtros a nivel de aplicacin (Proxies)

Cortafuegos basados en el uso de Proxies del nivel de aplicacin
interceptan los mensajes entre aplicaciones
bloqueo de aplicaciones no permitidas (las que no cuenten con Proxy)
control del trfico de las aplicaciones permitidas

Proxy comprende el protocolo de una aplicacin concreta

previene abusos
permite limitar porciones concretas del protocolo
pueden detectar uso de protocolos no permitidos en puertos estndar

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Filtrado de paquetes
Dispositivos encaminan trfico entre red externa e interna
Trabajan en las capas de red (IP) y/o transporte (TCP,UDP)
Suelen implementarse como un elemento aadido a un router o como un
equipo dedicado

Analizan cada paquete (antes de la decisin de enrutado) y aplican

un conj. de reglas para decidir si se retransmite o descarta
inspecciona las cabeceras del paquete y comprueba si encajan en la lista
de reglas aceptacin/rechazo
filtrado basado en la informacin de cada paquete concreto
cada paquete se analizan de forma aislada
no tiene en cuenta si son parte de una conexin
mtodos sin estado

Reglas de filtrado emplean la informacin contenida en

cada paquete de red analizado
direccin IP de origen (info. del nivel de red)
direccin IP destino (info. del nivel de red)
puerto de origen (info. del nivel de transporte)
puerto de destino (info. del nivel de transporte)
tipo de protocolo (flags en los paquetes IP): TCP, UDP, IMCP,...
interfaz de entrada o salida (en Cortafuegos con 3 o ms conexiones)
otra informacin: tamao del paquete, tiempo del vida del paquete, indicadores especficos de
protocolos de transporte, ...

El control de servicios se basa en el filtrado de los puertos

Tema 6

Funcionamiento general

SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

El filtrado de paquetes se configura como una lista de

reglas estticas
condiciones: basadas en los campos de la cabecera IP y/o TCP
acciones: descartar, rechazar, retransmitir

Funcionamiento
1 Reglas comprobadas secuencialmente una a una (el orden es importante)
2 Cuando hay una correspondencia, se invoca la regla (aceptar o denegar el paquete)
3 Si ninguna regla encaja, se aplica la accin predeterminada
denegar por defecto: lo que no est expresamente permitido, est prohibido
poltica ms conservadora, todo est bloqueado
los servicios permitidos deben aadirse explcitamente
indicar explicitamente qu paquetes se dejan pasar
mayor dificultad de administracin (muy perceptible por el usuario)
mayor nivel de proteccin
aceptar por defecto: lo que no est expresamente prohibido, est permitido
poltica ms permisible, todo est permitido
servicios vulnerables/peligrosos deben bloquearse explcitamente
mayor facilidad de administracin (puesta en marcha sencilla)
nivel de proteccin ms bajo (incrementa el riesgo)

Tema 6
SSI

Filtros con estado

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Llevan registro de las conexiones que pasan a travs

del Cortafuegos
Estudian y reconocen los paquetes
que inician/finalizan las conexiones
que forman parte de conexiones establecidas
que estn relacionados con conexiones previas

Permiten un control ms fino que los filtros sin estado

Ejemplo en GNU/Linux: NETFILTER/iptables con
mdulos de seguimiento de conexiones (connection
tracking)

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

NOTA: Rechazar vs. denegar paquetes

descartar: se deniega el paquete sin informar al origen de que no se
proces
rechazar: se notifica al origen (mensaje ICMP) el rechazo del paquete

Suele ser preferible descartar

responder aumenta el trfico de red
respuestas ofrecen informacin potencialmente til sobre la red
denegacin es ms robusta ante ataques DOS (denial of service)
(cualquier paquete al que se responda se podra usar en DOS)

Tema 6

Ventajas y limitaciones del

Filtrado de Paquetes

SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Ventajas.
Simplicidad: maneja una informacin mnima (cabeceras de los paquetes) y la
especificacin de reglas es simple
permite establecer un filtrado en casi cualquier red
Rapidez/eficiencia: mnimo proceso a realizar sobre los paquetes para la
toma de decisiones (coste y retardos reducidos)
Son transparentes al usuario (no requieren participacin por su parte)

Limitaciones.
Usan info. de bajo nivel, no examinan datos de niveles superiores (capa
aplicacin)
no puede evitar ataques que aprovechen vulnerabilidades o funcionalidades especficas de
las aplicaciones
no pueden bloquear comandos especficos del protocolo de aplicacin

Posibilidades de registro (log) reducidas

manejan info. limitada (capas IP y/o TCP/UDP)
No admiten esquemas de autenticacin/control de usuarios (requieren info. de
niveles ms altos)

Reglas de filtrado muy complejas pueden ser difciles de definir/gestionar

pueden ocultar agujeros de seguridad causados por una configuracin inadecuada

Identificacin basada en direcciones IP son vulnerables a la falsificacin

de direcciones (IP spoofing)

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Pasarelas nivel aplicacin (Proxies)

Dispositivos repetidores de trfico a nivel de aplicacin.
Proxy separa completamente red interna de red externa,
Acta como servidor intermediario, ofreciendo un nm. limitado de servicios
a nivel de aplicacin
Hace posible un control a ms alto nivel
permite analizar las conexiones a nivel de cada aplicacin concreta
permite la autentificacin de usuarios

Para cada protocolo de nivel aplicacin permitido, se debe ejecutar el

correspondiente Proxy en el equipo que acte como cortafuegos.
Cortafuegos slo permite trfico de aplicaciones que cuenten con Proxy

Ejemplo: proxy-cache WEB SQUID.

Funcionamiento
Cliente interno que desee conectar con exterior establece conex. con Proxy
Proxy establece conexin con servidor externo en nombre de ese cliente

cliente_interno Proxy : Proxy hace papel de servidor

2 conexiones
Proxy servidor_externo : Proxy hace papel de cliente
Para ambas aplicaciones son conexiones transparentes: cliente y servidor
tienen la sensacin de una conexin directa
Proxy recibe, examina y retransmite el trfico bidireccionalmente entre
cliente(interno) y servidor(externo) tomando todas las decisiones de envo
de mensajes
puede realizar otras tareas: cache de datos/recursos recibidos,...

Tema 6

Ventajas y limitaciones de los

Proxies

SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Ventajas
Mayor seguridad que filtros de paquetes
Proxy est especializado en analizar/controlar una aplicacin concreta

Centralizacin de la informacin de cada protocolo del nivel de aplicacin

Evitan comunicacin directa con servidor destino
Mayores posibilidades de control mayor flexibilidad
control fino para cada aplicacin concreta
Ej.: limitar comandos de subida a servidor FTP, bloqueo contenidos o servidores WEB, ....

Autentificacin de usuario a alto nivel

Posibilita registro de eventos a nivel de aplicacin
Posibilidad servicios aadidos: cach, gestin/comparticin conexiones

Inconvenientes
Exige instalar Proxy para cada aplicacin que se pretenda controlar
No totalmente transparentes al usuario (requieren cierta intervencin)
Alto coste de procesamiento (mantener/controlar 2 conexiones)
menor rendimiento que filtros de paquetes
cantidad de servicios con Proxy est limitada por recursos del equipo cortafuegos.

Tema 6
SSI

Pasarelas de nivel de circuitos

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Mecanismo de control hbrido entre filtros de paquetes y

Proxies de aplicacin
Puede ser un sistema autnomo o una funcin complementaria realizada
por un Proxy para ciertas aplicaciones concretas
Funciona como intermediaro (Proxy) de conexiones
No permiten conexin TCP directa de extremo a extremo
La pasarela de circuitos establece 2 conexiones TCP
pasarelaequipo_interno, pasarelaequipo_externo
Pasarela de circuitos retransmite paquetes TCP desde una conexin a la otra sin analizar
sus contenidos
La seguridad que aporta consiste en determinar qu conexiones se permiten

Diferencia con Proxies de aplicacin

no analiza el trfico (no maneja info. del protocolo de aplicacin)
menor necesidad de procesamiento (slo retransmite paquetes TCP entre 2 conexiones ya
abiertas)
una vez establecidas las 2 conexiones, las pasarelas de circuitos tienen un funcionamiento
anlogo al de un filtro de paquetes con estado

Ejemplo: SOCKS (servidor + librera cliente)

Tema 6
SSI

Topologas de cortafuegos (I)



Conceptos
Tipologa
Filtros paquetes

Decisiones clave: ubicacin de

reglas de filtrado
servicios pblicos

Proxies

Topologas

(a) Cortafuegos bsico de borde

Un equipo acta como cortafuegos, conectando red
interna con la externa
Ofrece todas las funcionalidades de Cortafuegos + (opcionalmente)
todos los servicios adicionales
Si se ve comprometido, todo el sistema se compromete

Opcin 1: router con filtrado de paquetes

Opcin ms simple, pero menos potente
Escasas posibilidades de monitorizacin

Opcin 2: equipo dedicado (dual homed host)

Sistema estndar con 2 interfaces de red con la posibilidad de
encaminamiento (IP forwarding) activada y regulada por las reglas de
filtrado
Todas las conexiones pasan a travs de l
Puede integrar los Proxies precisos

Tema 6
SSI

Topologas de cortafuegos (II)

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

(a) Cortafuegos bsico de borde (cont.)

Organizacion tpica dual homed host
Los equipos de la red externa slo pueden comunicarse con el dual
homed host
Idealmente, lodos los servicios al exterior se ofrecern nicamente
desde el dual homed host
Equipos de red interna y externa no deberan poder entrar en
contacto directamente, sino a travs de un intermediario (Proxy)

Tema 6
SSI
Conceptos

Topologas de cortafuegos (III)

(b) Host oculto (screened host)

Tipologa
Filtros paquetes
Proxies

Topologas

Ofrecer los servicios (internos y externos) en una nica

mquina ubicada en el interior (red protegida)
alojar a los Proxies de aplicacin usados por la red interna
alojar los servicios ofrecidos al exterior
en esquema anterior estaban en el Cortafuegos o repartidos en la LAN interna

nica mquina accesible desde exterior (host bastion)

Elemento potencialmente vulnerable por ser nico accesible desde exterior
Administracin delicada (base de la seguridad de este esquema)
mnimos servicios software instalados (slo los imprescindibles)
actualizaciones de seguridad del S.O. + servidores
monitorizacin de ficheros de log

Tema 6
SSI

Topologas de cortafuegos (IV)

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

(c) Host inseguro (untrusted host)

Variante del anterior
El host bastin con los servicios hacia el exterior se
ubica fuera de la red protegida
Cortafuegos no tiene efecto sobre l

Caractersticas:
ofrece los servicios pblicos sin debilitar la red interna
configuracin y administracin delicada

Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

Topologas de cortafuegos (V)

(d) Red de Permetro/Zona Desmilitarizada(DMZ)
Objetivo: aislar servicios al exterior para evitar acceso a la
red protegida
Host inseguro se sita detrs del Cortafuegos en una red aislada propia
Cortafuegos con 3 interfaces
Incrementa seguridad, fiabilidad y disponibilidad del host inseguro
Equipos internos siguen sin poder confiar en ese host
Dentro de DMZ puede ubicarse ms de 1 host
DMZ define una red
de servicios pblicos
proxies de aplicacin para red interna
DMZ suele incluir
servicios que requieran acceso controlado desde exterior

Tema 6
SSI

Topologas de cortafuegos (V)

Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

(e) DMZ con doble firewall (screened subnet)

Mejora del esquema anterior: aade un segundo
cortafuegos
cortafuegos externo (de acceso): bloquea trfico no deseado externo DMZ
cortafuegos interno (de contencin): bloquea trfico no deseado DMZ interno

Idea: aumentar la separacin entre la red de servicios

externos(DMZ) y la red interna
DMZ se sita entre cortafuegos externo e interno
Se crean 2 niveles de seguridad (red DMZ + red interna)
Trfico de exterior a red interna debe atravesar 2 cortafuegos

Tema 6

Topologas de cortafuegos (VI)

SSI
Conceptos
Tipologa
Filtros paquetes
Proxies

Topologas

(e) DMZ con doble firewall (cont.)

Mayor tolerancia a fallos: evita puntos nicos de fallo
Superando cortafuegos externo (acceso), slo quedara desprotegida DMZ
An comprometiendo un equipo de la DMZ, se contara con el cortafuegos
de contencin (no hay acceso directo desde DMZ a red interna)

Ventajas.
mayor seguridad y tolerancia a fallos
mayor flexibilidad: pueden definirse tantas DMZ como sea preciso, con
distintos niveles de seguridad

Limitaciones.
dificultad de administracin (gestionar 2 conjuntos de reglas de filtrado
funcionando en conjunto)
sensacin de falsa seguridad