Seguridad en Sistemas: Firewalls

Riesgos
Origen de los Riesgos en la Seguridad:
Interno (el 70% de los incidentes de seguridad reportados): Externo:
Seguridad perimetral para prevenir accesos no autorizados a la red

privada desde el mundo externo (Internet o dial-in).

Vulnerabilidades en la Red:
Protocolos de red. Software. Configuracin.

Seguridad en Sistemas: Firewalls

Especificacin de la Poltica de Seguridad

No existe un sistema de proteccin efectivo sin una poltica de seguridad sensata. La poltica es la base de la seguridad.
especifica que cosas son importantes de proteger dentro de una organizacin y que acciones amenazan estas cosas.

La poltica de seguridad de red define:

Quin puede hacer qu, cundo, desde dnde y con qu tipo de autentificacin? Qu actividades son consideradas amenazas a la seguridad? Quin tiene autoridad/responsabilidad de implementar esta poltica?

En la clase de hoy veremos que podemos hacer en cuanto a proteccin de nuestra organizacin frente al mundo exterior.
2

Seguridad en Sistemas: Firewalls

Ataques va Protocolos de Comunicacin

IP Address spoofing UDP Spoofing TCP Sequence Number Attacks Internet Routing Attacks ICMP Redirect Nombres en ingls dado su uso popular Ping of Death (PoD) ARP attacks TCP SYN Flood Attack IP Fragmentation Attack UDP Port Denial-of-Service y bombas UDP Random Port Scanning Packet sniffers (Eavesdropping) Man-in-the-Middle (connection hijacking) TCP Connection Spoofing
3

Seguridad en Sistemas: Firewalls

Ataques va Autentificacin y Aplicaciones

Passwords dbiles
Password Sniffers Troyanos Apropiacin de conexiones (connection hijacking)

Ingeniera social
Ataques a DNS, SMTP, NFS, NTP, Remote-login, X-Window Fuga de informacin (finger, whois, echo, ping, traceroute) URL y Web Spoofing Cdigo Java y ActiveX applets maliciosos, virus Buffer overflow Ataques CGI
4

Seguridad en Sistemas: Firewalls

Negociacin de Conexin en TCP/IP

Ejemplo

SYN (A, SNA)

Mquina A

SYN (A, SNA) SYN (B, SNB) ACK (B, SNB) Connection

Mquina B

Seguridad en Sistemas: Firewalls

Denegacin de Servicio (DoS) va Red

ftp://info.cert.org/pub/tech_tips/denial-of-service SYN Flooding Ping of Death (Win95 target, pruebe ping -l 65510 target) Smurfing spoofing de paquetes ICMP echo (ping) con la direccin de la vctima como la direccin fuente y la direccin de broadcast como destino. Ataques mediante paquetes maliciosos (aplique los patches provistos por el proveedor) Land Drop (Win95) Latierra (Win NT y Win95) Tear Drop (Linux, Win NT y Win95)
6

Seguridad en Sistemas: Firewalls

DoS: SYN Flooding

1
Atacante A

SYN(C)

Vctima B

SYN(C)

ACK(C), SYN(B)

ACK(C), SYN(B)

SYN(C) 10
7

Seguridad en Sistemas: Firewalls

Debilidades de Seguridad en Internet

Falta de autentificacin en protocolos. Seguridad limitada en routers. Eavesdropping. Confianza en control de acceso basado en passwords. Suposicin de nmeros bajos de ports Sistemas mal configurados
confianza explcita en el mundo (Everybody/FullControl ), cuentas no cerradas, NFS y FTP no restringidos, etc.

Errores de software y backdoors

sendmail, finger, etc.
8

Seguridad en Sistemas: Firewalls

Los Problemas
La gente externa a nuestra mquina/red quiere acceder a recursos internos sin nuestro permiso.
Contacta a un compaero (doble agente) en nuestro sistema o a un programa legtimo.

Los programas dentro de nuestra red/computadora quieren acceder a Internet sin nuestro permiso.
Un caballo de troya en nuestro sistema contacta a alguien (atacante) del exterior.

Seguridad en Sistemas: Firewalls

Desarrollo de una Poltica

Debemos decidir como controlar el trfico a travs del firewall Lo que no est explcitamente prohibido est permitido
Amigable al usuario. Aparecen constantemente nuevos servicios. Mayor potencial de ser vctima de nuevos agujeros de seguridad. Sin sentido hoy en da.

Lo que no est explcitamente permitido est prohibido

Ms seguro. Menos amigable al usuario.
10

Seguridad en Sistemas: Firewalls

Conectividad en Internet
Desconectarse de Internet
los usuarios se hacen dependientes de sus servicios rapidamente. los negocios/educacin requieren conectividad Internet. NO PRCTICO.

Mejorar la seguridad en los Hosts

Pros
No trae inconvenientes a los usuarios legtimos. Provee proteccin intra-organizacin. El software puede ayudar a automatizar la seguridad.

Contras
Muchas mquinas es difcil implementar seguridad en todas! No hay herramientas de auditora centralizada - quin est entrando?

Bastante bien pero no es suficiente.

11

Seguridad en Sistemas: Firewalls

Fortificacin del Permetro de la Red

Internet

12

Seguridad en Sistemas: Firewalls

Fortificacin del Permetro de la Red (2)

Pros:
El acceso a la red interna se dirige a un nico a hacia un pequeo conjunto de sistemas. Ms fcil para el administrador. Ms fcil de auditar el trfico entrante y saliente.

Contras:
Es difcil determinar el permetro de la red. Los firewalls pueden ser difciles de configurar y mantener. Son muchas las tcnicas a considerar.

FIREWALL
Un sistema de software o hardware que regula las comunicaciones entre redes:
Entre red interna y externa. Entre subredes internas.
13

Seguridad en Sistemas: Firewalls

Funciones de un Firewall

Proveer conectividad segura entre redes (posiblemente varios niveles de confianza). Implementar y hacer cumplir una poltica de seguridad entre redes.
Redes y Servers no Confiables

Redes Confiables

Firewall

Usuarios no Confiables

Internet Intranet DMZ

Router Servers y Redes accesibles desde el exterior (pblicos)

Usuarios Confiables
14

Seguridad en Sistemas: Firewalls

Definicin de Firewall
Definicin del Websters Dictionary: una pared construida para prevenir que el fuego en un lado de un edificio pase al otro. Un firewall de red tiene un propsito similar: evitar que los peligros de las redes exteriores (Internet) pasen a nuestra red. Punto de acceso controlado.

15

Seguridad en Sistemas: Firewalls

Los Firewalls pueden:

Restringir el trfico entrante y saliente a partir de las direcciones IP, ports o usuarios. Bloquear paquetes invlidos. Proveer de un nico punto de choque. Proveer funciones de logueo y auditora. Los puntos anteriores tambin se aplican al interior al comunicarse con el exterior.
16

Seguridad en Sistemas: Firewalls

Conveniente
Dar informacin acerca del trfico gracias a la posibilidad de loguear. Network Address Translation (NAT). Encripcin.

17

Seguridad en Sistemas: Firewalls

Los Firewalls NO pueden proteger de: (1)

Trfico que no pasa por ellos
Ruteado por otro lado (ej: modems). Trfico interno.

Cuando estn mal configurados pueden ser intiles. Proteger (confidencialidad) los datos en Internet. Prevenir ataques activos (session hijacking, routing, etc) Manejar dispositivos de IP mvil. Queremos una solucin end-to-end.
Criptografa.
18

Seguridad en Sistemas: Firewalls

Los Firewalls NO pueden proteger de: (2)

Informacin exportada en CD ROM o diskette. Estupidez de los empleados que divulgan informacin confidencial por telfono. Virus, etc. que llegan via e-mail. Generalizando: cierto software malicioso es subido o copiado usando un canal legtimo y luego es ejecutado.
19

Seguridad en Sistemas: Firewalls

El mejor Firewall

a la red

Funcionalidad: Muy Mala

electricidad

20

Seguridad en Sistemas: Firewalls

De-Militarized Zone (DMZ)

DMZ zona desmilitarizada Area de red entre dos packet filters.
El filtro externo solo permite trfico desde el exterior. El filtro interno solo permite trfico desde el interior. Separa la red externa de la interna.

Contiene nodos que proveen

servicios externos (ej: webserver, DNS) y gateways (aplicaciones) para clientes internos.

Cuando los nodos estn comprometidos

El trfico interno no puede ser objeto de sniffing. Proteccin del filtro interno.
21

Seguridad en Sistemas: Firewalls

Control de Acceso

ALERTA!!

Internet

Requerimiento de Seguridad
Control de acceso a la red y a sus recursos. Proteger la red de posibles ataques.

22

Seguridad en Sistemas: Firewalls

Local Area Network DB server wkstn wkstn

Public Network/ Internet

Un firewall asegura nuestra LAN: - restringiendo las conexiones externas (entrantes y salientes) a las mquinas y servicios especificados.

wkstn

web server

fire wall

- analizando, logueando y filtrando todo el trfico

- detectando y reportando intentos de entrar. - ocultando la estructura interna (direcciones) de la LAN de la Red Pblica.
23

wkstn

wkstn

mail server

wkstn

Seguridad en Sistemas: Firewalls

Dos Tipos de Firewalls

Packet Filters
El control de acceso sobre la red se efecta analizando los paquetes entrantes y salientes. Se los deja pasar o se descartan segn la direccin IP de la mquina fuente y de la mquina destino. Puede ser un router, bridge o un host particular.

Application Proxy
El proxy es un programa que representa a todas las computadoras de la red interna, ocultando la LAN de la red pblica. El proxy toma todas las decisiones de forwarding, en los dos sentidos. El proxy har el forwarding para los clientes autorizados hacia servers del exterior y traer las respuestas a dichos clientes.
24

Seguridad en Sistemas: Firewalls

25

Seguridad en Sistemas: Firewalls

Firewall comprometido

Local Area Network DB server wkstn wkstn

Public Network/ Internet

wkstn

Redes de Telefona Pblica

modem

web server

fire wall

wkstn

wkstn

mail server

wkstn
26