Seguridad y Alta Disponibilidad - Universidad de Castilla

Transcripción

Seguridad y Alta Disponibilidad
Instalación y configuración de cortafuegos
David Villa Alises
Escuela Superior de Informática
Universidad de Castilla-La Mancha
Contenidos
●
Introducción
●
Tipos de cortafuegos.
●
●
Características.
●
Funciones principales.
Introducción
Diseño del sistema cortafuegos.
●
DMZ
●
netfilter / iptables.
●
Distribuciones libres para cortafuegos dedicados.
●
Cortafuegos hardware.
http://www.esi.uclm.es
2
Cortafuegos
3
Cortafuegos
RAE: 2. m. Arq. Pared toda de fábrica, sin madera alguna, y de
un grueso competente, que se eleva desde la parte inferior del
edificio hasta más arriba del caballete, con el fin de que, si hay
fuego en un lado, no se pueda este comunicar al otro.
Wikipedia: es una parte de un sistema o una red que está
diseñada para bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas. Se trata de un
dispositivo o conjunto de dispositivos configurados para
permitir/limitar, cifrar/descifrar el tráfico entre los diferentes
ámbitos sobre la base de un conjunto de normas y otros criterios.
4
Un cortafuegos es un dispositivo o
sistema que controla el flujo de tráfico
entre diferentes áreas de una red.
[R.A. Deal, Cisco Router Firewall Security]
5
¿Para qué sirve?
¿Para qué sirve?
El objetivo de todo cortafuegos es proporcionar un
medio para implementar la política de control de
acceso.
●
Control
Ej: Los usuarios de mi red solo podrán acceder a
ciertos sitios web, y no podrán usar IRC.
●
●
Seguridad/Protección
Ej: Solo los usuarios de cierta red pueden acceder a mi
servidor SSH.
●
red protegida
red exterior
●
Vigilancia
Ej: Determinar qué máquina está haciendo
constantemente intentos de acceso a mi servidor.
●
router
cortafuegos
6
7
Características habituales
●
Ligados a un encaminador.
●
Controla el tráfico.
●
Protege los recursos sensibles.
●
Oculta la estructura interna.
●
Establece áreas con restricciones diferentes.
●
Registra e informa de incidencias.
Tipos de cortafuegos
8
Cortafuegos
de filtrado de paquetes
Tipos de cortafuegos
●
De filtrado de paquetes (packet-filtering ó stateless)
●
Con estado (stateful)
●
Pasarela de aplicación (application gateway)
●
Cortafuegos NAT (address-translation)
●
Local o personal (host-based)
●
Híbridos
●
Sin estado (no tienen en cuenta el tráfico anterior).
●
Dado un paquete y un conjunto de reglas decide:
●
Reenviar: ACCEPT
●
Descartar: DROP
●
Rechazar: REJECT. Como DROP pero informando al remitente
(con ICMP).
●
9
Dos políticas:
●
Restrictiva: Todo lo que no esté explícitamente permitido, está prohibido.
●
Permisiva: Todo lo que no esté explícitamente prohibido, está permitido.
10
11
Cortafuegos de filtrado de paquetes
Inspección
Inspección de paquetes
Formato del paquete IP
20 – 65536 bytes
●
Dirección de capa 3 (IP) origen o destino.
●
Dirección de capa 4 (puerto) origen o destino.
●
Carga útil de paquete (campo protocol).
●
Flags de la cabecera: SYN, RST, ...
Paquete IP
versión
Interfaz de red, de entrada o salida
●
El propietario del proceso que creó el paquete.
●
etc...
encabezado
carga (payload)
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
20 bytes
●
20 – 60 bytes
IHL
tiempo de vida
longitud total
tipo de servicio
D M
F F
identificación
protocolo
offset del fragmento
checksum
dirección del origen
0 – 40 B
dirección del destino
12
opciones
13
Inspección
Inspección
Formato del segmento UDP
Formato del segmento TCP
1
2
3
0
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
puerto TCP origen
2
3
0
1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
puerto UDP destino
(opcional)
longitud del mensaje UDP
número de acuse de recibo
checksum (opcional)
(completo)
puerto TCP destino
número de secuencia
offset
reservado
URG
ACK
PSH
RST
SYN
FIN
puerto UDP origen
checksum
cuerpo del mensaje
ventana
puntero urgente
opciones
relleno
cuerpo del mensaje
14
Un ejemplo
Ventajas y limitaciones
200.1.1.10
15
Ventajas:
200.1.1.11
●
Rápido, como requisitos de CPU y memoria.
●
Flexibles y muchos extensibles mediante módulos.
Internet
Limitaciones:
Web:200.1.1.2
DNS:200.1.1.3
●
Pueden ser difíciles de configurar.
●
No pueden manejar información de sesión o aplicación.
●
No proporcionan soporte para autenticación.
●
Las capacidades de registro de sucesos son limitadas.
e-mail:200.1.1.4
Regla
Origen
Protocolo
Puerto
1
Any
Destino
200.1.1.2
TCP
80
ALLOW
2
Any
200.1.1.3
UDP
53
ALLOW
3
Any
200.1.1.4
TCP
25
ALLOW
4
Any
Other
Any
Any
Acción
DROP
[Cisco Router Firewall Security, Fig 2.6]
16
Filtrado asimétrico
200.1.1.10
Cortafuegos con estado
200.1.1.11
B
●
Hacen seguimiento de las conexiones.
●
●
Internet
●
Web server
200.1.1.2
●
●
17
170.1.1.1
●
Impedir que tráfico externo llegue a B.
Permitir a B abrir conexiones al exterior.
Inicio, transferencia y terminación.
Permite distinguir si la conexión fue iniciada desde
la red interna o desde la externa.
Crea reglas de filtrado dinámicamente cuando
detecta una conexión y las elimina al terminar.
Esa información se almacena en la tabla de
estado.
18
Establecimiento de
conexión de TCP
●
●
Cortafuegos con estado
Cada extremo debe sincronizarse con el otro antes de transmitir
datos. Hay un rol activo (cliente) y el otro pasivo (servidor).
Ventajas:
Triple “apretón de manos”:
●
Conocen el estado de las conexiones.
cliente
●
Pueden detectar y prevenir ataques DoS.
servidor
SYN
seq: 1200
, ac
ACK
SYN +
k: -
00, ack:
seq: 48
1201
ACK
seq: 1201
, ac
k: 4801
1. El cliente indica su ISN
(Initial Sequence Number) y
otros parámetros de
conexión como el MSS
Limitaciones:
2. El servidor confirma, indica
su ISN y otros datos de
conexión
3. El cliente confirma y puede
enviar datos en ese
segmento
19
20
●
Pueden ser difíciles de configurar.
●
No pueden manejar información de aplicación.
●
No proporcionan soporte para autenticación.
●
Existen protocolos sin estado: UDP, ICMP, etc.
●
Aplicaciones con conexiones adicionales: FTP.
●
La tabla de estado puede suponer un problema.
21
Cortafuegos Proxy
Cortafuegos Proxy
●
●
●
●
●
Pasarela de conexión
También llamados «Cortafuegos de Pasarela de
Aplicación».
1.El cliente externo intenta una conexión hacia un
servidor interno.
Permiten tratamiento específico por aplicación: DNS,
FTP, LDAP, SMTP, etc.
Soporte específico para autenticación.
2.El cortafuegos intercepta la conexión y solicita al
usuario una autenticación. El cortafuegos abre
una conexión hacía el servidor interno.
Autentican usuarios en lugar de máquinas o
conexiones.
3.El tráfico del cliente externo es procesado por el
cortafuegos y redirigido al servidor interno.
Tipos:
●
de conexión (Connection Gateway Firewall)
●
cut-throught
4.Cualquier nueva conexión es rechazada si no se
proporciona la autenticación correspondiente.
22
Cortafuegos Proxy
Cortafuegos Proxy
Pasarela de conexión
Cut-through
●
●
●
23
Realiza un proceso de autenticación como el
cortafuegos de pasarela de conexión.
Después añade temporalmente reglas de filtrado
para permitir al usuario utilizar el recurso.
Sólo la autenticación ocurre en la capa de
aplicación. Es mucho más eficiente.
24
Cortafuegos Proxy
Cortafuegos Proxy
Cut-through
25
Ventajas:
●
Proporcionan una buena defensa ante ataques DoS y
«spoofing».
●
Total control a nivel de aplicación.
●
Registros muy detallados.
●
Mucha flexibilidad.
Inconvenientes:
●
Todo el procesamiento es software.
●
Limitado a un conjunto de aplicaciones.
●
26
Cortafuegos NAT
●
●
Cuando no es web, requiere software especial en el PC de
los usuarios.
27
Cortafuegos NAT
NAT permite exponer servicios de la red interna
sin que los usuarios conozcan la estructura y
esquema de direccionamiento.
El administrador puede modificar completamente
la organización de los servicios y la estructura de
la red sin que sea percibido desde el exterior.
28
29
Cortafuegos «personal»
●
Cortafuegos híbridos
Es habitual que los cortafuegos comerciales
(hardware) proporcionen otras funcionalidades:
Se utiliza para proteger un solo computador (servidor o
PC).
●
Normalmente son cortafuegos de filtrado de paquetes.
●
Servidor DHCP
●
Ventajas:
●
Concentrador VPN
●
Detección de intrusos (IDS)
●
Proxy/Caché Web
●
Caché DNS
●
etc.
●
●
●
Sencillo y barato
Seguridad y autenticación adicional.
Inconvenientes:
●
Poca escalabilidad
●
Basados en software
●
Pocas opciones de filtrado
30
31
Guía de diseño
●
Definir una política de seguridad
●
Diseño del sistema
cortafuegos
●
●
●
El sistema es débil si solo hay una línea de defensa.
Considerar las amenazas internas
●
Cada equipo o programa está diseñada para un fin.
Implementar varias líneas de defensa
●
●
Como siempre, principio KISS.
Usar los dispositivos adecuados
●
●
¿Qué necesita ser protegido?¿A qué «precio»?
Diseñar una solución sencilla
~70% de las violaciones de seguridad proceden de la red interna
32
Estructura de la red
DMZ
Diferentes partes de la red requieren niveles de
seguridad diferente:
●
La red externa (sobre la que no tenemos control).
●
La red de servicios públicos (DMZ)
●
La red interna (no accesible desde el exterior).
●
●
33
●
DMZ (demilitarized zone) es la subred que
contiene los servicios accesibles desde el exterior.
red
interna
DMZ
34
Internet
35
DMZ
DMZ
Reglas y niveles de seguridad
Reglas y niveles de seguridad
Se asignan niveles de seguridad desde más bajo al más
alto.
Por defecto, el tráfico puede ir de los niveles altos a los
bajo, pero no al revés.
●
Las excepciones a esta regla deben se implementan
como reglas de filtrado (lo más específicas posible).
●
A nivel menor: ALLOW
●
A nivel mayor o igual: DROP.
36
37
●
DMZ
DMZ
Tipos
Sencillo
Sencillo
●
Segmento único
●
Service leg
●
DMZ múltiple
●
DMZ interno
●
Segmento único
●
Service leg
[Cisco Router Firewall Security, Fig 2.24-25]
[Cisco Router Firewall Security, Fig 2.24-25]
38
DMZ
DMZ
Múltiple
Interno
39
Medium
Medium
40
Componentes del
sistema cortafuegos
●
●
●
41
Componentes del
sistema cortafuegos
Encaminador perimetral
●
Encaminamiento con la red externa
●
Filtrado de paquetes y conexiones
●
Traducción de direcciones
Cortafuegos
●
Separación entre subredes internas (DMZs)
●
Autenticación
IDS (Intrusion Detection System)
●
Vigilancia, detección e incluso medidas de contención.
42
43
Sistema Cortafuegos
Consideraciones
●
Filtrado de paquetes en la periferia.
●
Todos los servidores públicos en una DMZ.
●
●
●
●
Caso de estudio
Linux netfilter / iptables
Servidores críticos deben tener su propio
cortafuegos.
Colocar el servidor BD en un nivel de seguridad
mayor que el servidor web.
Utilizar VPN para conectar con sitios remotos, y
asumir que podrían estar comprometidos.
Utilizar sistemas IDS en las redes sensibles.
44
45
netfilter / iptables
netfilter / iptables
●
Cortafuegos software de filtrado de paquetes
●
Seguimiento de conexiones: stateful
●
NAT (masquerading)
●
Packet mangling
●
Control de tasa
●
Registro de sucesos configurable
46
●
●
●
●
●
iptables
iptables
cadenas (chains)
tablas
prerouting (antes de saber
dónde debe ir)
red
input (hacia el host)
PREROUTING
(DNAT)
output (generados por el
host, no encaminado aún)
forward (reenviar a otro
host)
rutado
postrouting (cuando se
sabe el destino)
POSTROUTING
(SNAT)
●
filter
●
nat
●
mangle
FORWARD
(filter)
INPUT
(filter)
●
47
Manipulación / etiquetado
OUTPUT
(filter, DNAT)
aplicaciones
en el host
iptables
iptables
Filtrado de paquetes («filter»)
NAT (tabla «nat»)
●
IP: direcciones origen y destino, fragmentos
●
ICMP: tipo y código
●
UDP: puertos origen y destino
●
48
●
●
TCP: puertos origen y destino, flags, opciones,
propietario del proceso.
●
input y output son cadena para filtrado local.
●
forward es para filtrado de tráfico remoto.
Traducción de dirección origen (SNAT)
●
Se hace en postrouting.
●
También conocido como «masquerading».
Traducción de dirección destino (DNAT)
●
Se hace en prerouting o output.
●
También conocido como «redirección».
50
iptables
iptables
Seguimiento de conexiones
Control de tasa
●
Cadenas prerouting y ouput.
●
Previene ataques DoS.
●
La tabla de estado contiene:
●
Permite limitar:
●
49
●
Campo protocol de la cabecera IP
●
Ráfaga máxima
●
(IP,puerto) origen y destino
●
Número máximo de coincidencias por segundo.
●
Estado de la conexión (TCP)
●
Temporizadores (TCP)
●
Números de secuencia (TCP)
51
Estados: NEW, ESTABLISHED, RELATED, INVALID.
52
53
iptables
iptables
Sintaxis de comandos
Un router/firewall básico
●
Iptables [-t tabla] comando cadena parámetros
●
Comandos:
●
web
red
interna
-A: añadir (al final)
●
-D: borrar (por regla o posición)
●
-I: Insertar en la posición indicada
●
-L: listar
●
-F: borrar todas las reglas
●
-Z: limpiar los contadores
●
-P: definir la política
Servidor SSH
192.168.1.2
●
54
iptables
iptables
Política restrictiva para FORWARD.
●
Aceptar todo el tráfico ICMP (desde cualquier parte).
Aceptar todo el tráfico TCP (desde la red interna).
Aceptar TCP de la red externa para conexiones establecidas.
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Permitir tráfico hacía y desde loopback.
●
Permitir acceso al servidor web en el router.
# iptables -A INPUT -p tcp --dport http -j ACCEPT
●
Aplicar SNAT para conexiones al exterior
Redirigir un puerto (DNAT) hacia el servidor SSH.
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --todestination 192.168.1.2:22
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
55
# iptables -A INPUT -p tcp -i eth1 -j ACCEPT
●
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
●
Activar el reenvío de paquetes
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -A INPUT -p ICMP -j ACCEPT
●
eth1
192.168.1.1
# iptables -P FORWARD DROP ó iptables -A INPUT -j DROP como última regla
●
Internet
eth0
●
192.168.1.0/24
56
57
Distribuciones para cortafuegos
dedicados
●
Distribuciones libres para
implementar cortafuegos en
máquinas dedicadas.
●
Distribuciones de software libre para implementar
cortafuegos en máquinas con pocas prestaciones.
Basadas en:
●
●
●
Basada en GNU/Linux
●
Características:
●
Cortafuegos con estado: iptables
●
IDS/IPS: SNORT
●
VPN: PPTP, IPSec, OpenVPN
●
Proxy Web: Squid
●
Filtrado de contenido y antivirus: DansGuardian
●
Informes y estadísticas: MRTG
FreeBSD: m0n0wall, pfSense,...
Suelen ofrecer una interfaz web para
administración del router/cortafuegos
58
59
ClearOS
ClearOS
●
GNU/Linux: ClearOS, Gibraltar, IPCop, Zentyal,
SmoothWall,...
Interfaz web
60
61
ClearOS
ClearOS
Interfaz web
Interfaz web
62
ClearOS
ClearOS
Interfaz web
Interfaz web
64
63
65
CISCO PIX (Private Internet eXchange)
Cortafuegos hardware
CISCO PIX
66
CISCO PIX
●
Gama de cortafuegos de alto rendimiento.
●
SO específico: PIX OS
●
Características
●
NAT/PAT
●
Filtrado de contenido (Java/ActiveX)
●
IPsec VPN
●
DHCP
●
PPoE
●
RADIUS
67
CISCO PIX
Rendimiento:
●
PIX 535:
●
1 Gbps, 95 Mbps 3DES VPN 2000 túneles Ipsec
●
500.000 conexiones simultáneas
●
PIX 525: 360 Mbps, 70 Mbps 3DES VPN
●
PIX 501: 10 Mbps, 3 Mbps 3DES VPN
●
280.000 conexiones
http://www.netcraftsmen.net/resources/archived-articles/369-cisco-pix-firewall-basics.html
68
69
CISCO PIX
●
●
●
Referencias
ASA (Adaptive Security Appliance) es un módulo
que aumenta las capacidades del PIX.
●
Actualmente la serie ASA ha reemplazado a la
gama PIX.
●
●
Simulador PIX: http://networksims.com/pix.html
70
Transmisión de datos y redes de comunicaciones,
B.A. Forouzan. Mc Graw Hill.
Router Firewall Security, R.A. Deal. CISCO Press.
Firewall fundamentals, W.J. Noonan, CISCO
Press. Prentice Hall.
●
Guía Avanzada de Firewalls Linux, R.L. Ziegler.
●
Firewalls and Internet Security, W.R. Cheswick.
●
Linux 2.4 Packet Filtering HOWTO. Rusty Russell.
71

Seguridad y Alta Disponibilidad - Universidad de Castilla

Transcripción

Documentos relacionados

TRATAMIENTOS TÉRMICOS DEL SUELO CARIDAD PÉREZ DE

FICHA GRUPO DE INVESTIGACIÓN O EQUIPO DE

Salvador Moya, Amparo