UD04_SAD_alvaroprimoguijarro

Transcripción

2012
Practicas Cortafuegos
Primo Guijarro, Álvaro
Seguridad Informática
02/02/2012
Practicas Cortafuegos 2012
Contenido
1. CONFIGURACIÓN ROUTER-FIREWALL ....................................................................................... 4
a) Router DLINK: ........................................................................................................................ 4
b) Router LINKSYS:..................................................................................................................... 5
c) Router TP-LINK: ..................................................................................................................... 5
2. ACL (CISCO)................................................................................................................................ 6
a) Resolución de ejercicios. ....................................................................................................... 6
b) Resolución escenario UD3-2.a. Router Frontera. ............................................................... 14
3. IPTABLES (LINUX)..................................................................................................................... 15
b) Resolución escenario UD3-1.a. NAT.................................................................................... 15
IPTABLES .................................................................................................................................. 19
4. DMZ. ........................................................................................................................................ 28
a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a. .......................................... 28
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b..................................... 28
5. CORTAFUEGOS SOFTWARE. .................................................................................................... 29
a) Cortafuego integrado en Windows. .................................................................................... 29
i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). .............. 29
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad ........... 38
en la empresa: ..................................................................................................................... 38
Microsoft Forefront..................................................................................................................... 38
Funcionalidades y ventajas ..................................................................................................... 39
b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas................... 43
i) Instalación y configuración del cortafuegos “Firewall Zentyal”. ...................................... 43
ii) Instalación y configuración del cortafuegos “Firewall IpCop”. ....................................... 48
6. CORTAFUEGOS HARDWARE. ................................................................................................... 61
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange)
y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. ........................ 61
Cortafuegos ................................................................................................................................. 61
Private Internet Exchange ....................................................................................................... 62
Cisco ASA.................................................................................................................................. 62
Pix Cisco firewall 505 .......................................................................................................... 63
Private Internet Exchange (PIX)................................................................................. 63
Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500....................................... 64
Tranquilidad ........................................................................................................................... 64
2
Características destacadas .................................................................................................. 64
b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de
Amenazas “Firewall UTM” (Unified Threat Management). .................................................... 65
3
1. CONFIGURACIÓN ROUTER-FIREWALL
a) Router DLINK:
Creamos una regla que se llame primoguijarro que se deniegue 60 direcciones ip, acceder
desde la 90 a la 100, de martes a sábado, de las 4 y 20 de la mañana hasta las 8 y 15 de la
mañana.
4
b) Router LINKSYS:
Permite realizarle un filtro multicast, bloquear peticiones anonymous, etc…
c) Router TP-LINK:
Este es mas básico solo permite Encenderlo y apagarlo:
5
Respecto a ACL, nos permite:
2. ACL (CISCO)
a) Resolución de ejercicios.
DADO ESTE ESCENARIO:
6
1) Elige el router adecuado para que los paquetes del PC1 no sean transmitido por la red
10.XX.0.0. Comprobar que si se permite los paquetes enviados por el PC2.
Probamos desde el equipo de 196.20.0.10
Ahora probamos desde el equipo 196.20.0.20
7
2) Configurar en la red 192.XX.0.0/24 un filtro “anti-spoofing” para que no sea enviado
ningún paquete por la red 10.XX.0.0 que no coincida con su dirección de origen. Realizarlo
también para la red 196.XX.0.20
Lo hacemos primero con la red 196.20.0.0/24:
Ahora con la red 192.20.0.0/24:
8
Insertamos un PC nuevo con la dirección IP 192.20.0.30, e intentamos realizar un ping a la otra
red, y comprobamos que no nos funciona:
3) Borrar las ACLs definidas anteriormente.
Para la red 192.20.0.0/24
Para la red 196.20.0.0/24
4) Permitir que el equipo PC3 pueda utilizar el servidor HTTP de SERVNORTE y no pueda
utilizar el resto de servicios de dicho servidor.
Denegamos que el servidor dns y de correo, resuelva para el equipo 192.20.0.10
9
access-list 101 permit tcp host 192.20.0.10 host 196.20.0.2 eq www
access-list 101 deny tcp host 192.20.0.10 host 196.20.0.2 eq 25
access-list 101 deny udp host 192.20.0.10 host 196.20.0.2 eq 53
access-list 101 permit ip any any
Comprobamos en el cliente que no nos resuelve el servidor DNS:
5) Permitir que el equipo PC1 pueda utilizar el servidor FTP de SERVSUR y el PC2 no pueda
utilizarlo dicho servicio.
Permitimos que el pc1 acceda al servicio ftp y el pc2 no pueda:
Probamos en el equipo PC1, que nos tiene que dejar acceder con el usuario jorge:
10
Ahora con el PC2, no nos deja acceder:
6) No permitir que el PC2 pueda comunicarse con el PC4.
access-list 101 deny ip host 196.20.0.20 host 192.20.0.20
access-list 101 deny icmp host 196.20.0.20 host 192.20.0.20 echo
access-list 101 deny tcp host 196.20.0.20 host 192.20.0.20
access-list 101 deny udp host 196.20.0.20 host 192.20.0.20
Probamos desde el cliente PC2, realizar un ping al PC4
11
7) Borrar las ACLs anteriores.
8) No permitir que los ordenadores de la red 192.XX.0.0 se comuniquen con los
ordenadores de la red 196.XX.0.0
Otra forma de hacerlo:
access-list 110 deny ip any 196.20.0.0 0.0.0.255
access-list 110 deny icmp any 196.20.0.0 0.0.0.255
access-list 110 deny tcp any 196.20.0.0 0.0.0.255
access-list 110 deny udp any 196.20.0.0 0.0.0.255
Realizamos desde un ping la PC2 al servidor ftp de la otra red y comprobamos que no no deja.
12
Realizamos un ping del PC4 al servidor DNS de la otra red, y no podemos acceder:
9) Borrar las ACL definidas anteriores.
10) Impedir cualquier tráfico ICMP entrante excepto el “Destino Unreachable” y el “Echo
Reply” en el router RNORTE.
ACcess-list
ACcess-list
ACcess-list
ACcess-list
100
100
100
100
Permit ICmp Any Any ECHO-Reply
Permit ICmp Any Any Unreachable
DEny ICmp Any Any
Permit IP Any Any
13
b) Resolución escenario UD3-2.a. Router Frontera.
Tenemos el siguiente escenario, donde queremos que los equipos de la empresa
accedan al ISP, pero que el ISP no pueda acceder a la LAN del Router frontera.
En el Router del ISP activamos las siguientes ACL:
Ahora comprobamos como desde el PC1 de la red 192.168.1.0/24 (Router frontera) podemos
acceder al ISP:
14
Ahora desde un equipo de fuera del router frontera, intentamos acceder , y no nos tiene que
dejar:
3. IPTABLES (LINUX)
b) Resolución escenario UD3-1.a. NAT.
Creamos primero el escenario
15
Borrar reglas iptables:
iptables -t nat –F
iptables -t nat –z
Listar reglas:
iptables -t nat -L -n
Agregamos una tarjeta de red y la configuramos:
Borramos las reglas
16
Configurar reenvio en Debian:
echo 1 > /proc/sys/net/ipv4/ip_forward
Acceder al fichero /etc/sysctl.conf y eliminar el comentario de la linea:
net.ipv4.ip_forward = 1
Configurar NAT en Debian
Cuando es estático:
Desde un cliente, configurado para la red 10.33.20.0/24.
17
Intentamos acceder a internet desde un cliente de la red 10.33.20.0/24:
18
IPTABLES
Firewall en la propia máquina
1º) Ver la vesión de Iptables:
2º) Borrado de todas las reglas
3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde
la dirección 192.168.0.155.
COMPROBACION:
4º) Eliminar todos los paquetes que entren.
Con esta opcion podremos observar que el ping no se ejecuta:
19
5º) Permitir la salida de paquetes.
6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde
la dirección 192.168.0.155.
la dirección de red 192.168.0.0.
Comprobación:
la dirección 192.168.0.155 y enviar un mensaje de error icmp.
COMPROBACION:
9º) Permitir conexiones locales (al localhost), por ejemplo a mysql.
20
10º) Permitir el acceso a nuestro servidor web (puerto TCP 80).
COMPROBACION
11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).
COMPROBACION:
12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de
SSH.
21
Comprobación:
13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de
Telnet.
COMPROBACION:
14º) Rechazamos las conexiones que se originen de la máquina con la dirección física
00:db:f0:34:ab:78.
COMPROBACION:
22
Firewall de una LAN
CONFOGURACION DEL ROUTER:
15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red
remota, como Internet, a través de la interfaz eth0.
23
Comprobación:
16º) Cerramos el rango de puerto bien conocido desde cualquier origen:
Comprobación Antes de la regla:
A continuación:
24
17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):
COMPROBACION:
DESDE UN EQUIPO DE LA RED 192.168.2.0 a un servidor web remoto:
18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:
COMPROBACION DESDE UN CLIENTE DE LA RED 192.168.2.0 A UN SERVIDOR WEB HTTPS:
25
19º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y
denegamos todo el resto a nuestra red:
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p udp -–dport 53 –
j ACCEPT
iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p tcp -–dport 53 –
j ACCEPT
iptables –A FORWARD –s 192.168.0.0/24 –i eth1 –d 0.0.0.0/0 -j DROP
Ahora comprobaremos que un cliente de la red 192.168.2.0 puede realizar una resolución DNS
pero por ejemplo no puede realizar un ping, puesto que tiene denegada esa función:
Comprobación del DNS:
Pero el ping fallara o mejor dicho no se realizara, por la elección de la opcion DROP:
26
20º) Permitimos enviar y recibir e-mail a todos:
NO PUEDO COMPROBAR ESTAS REGLAR POR NO DISPONER DE UN SERVIDOR DE CORREO
INSTALDO:
21º) Cerramos el acceso de una red definida 10.33.20.0/24 a nuestra red LAN 192.168.2.0/24:
Ahora realizamos un ping desde un host de la red 10.33.20.0 a un host de la red
192.168.2.0/24:
22º) Permitimos el paso de un equipo específico 10.33.20.50 a un servicio (puerto 5432) que
ofrece un equipo específico (192.168.2.40) y su respuesta:
iptables –A FORWARD –s 10.33.20.50/24 –i eth0 –d 192.168.2.40 –p tcp –dport
5432 –j ACCEPT
iptables –A FORWARD –s–i eth0 –d 192.168.2.40 –p tcp –dport 5432 –j ACCEPT
ESTA CONFIGURACION NO LA HE PODIDO COMPROBAR POR NO SABER COMO REALIZAR UNA
CONEXION HACIA ESE PUERTO.
27
23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es nueva pero está
relacionada a una conexión ya establecida.
4. DMZ.
a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a.
El tráfico de la red externa a la DMZ está autorizado
El tráfico de la red externa a la red interna está prohibido
El tráfico de la red interna a la DMZ está autorizado
El tráfico de la red interna a la red externa está autorizado
El tráfico de la DMZ a la red interna está prohibido
El tráfico de la DMZ a la red externa está denegado
HAY QUE HACERLO MEDIANTE NAT Y NO SE HACERLO EN PACKET TRACERT.
b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b.
28
5. CORTAFUEGOS SOFTWARE.
a) Cortafuego integrado en Windows.
i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux).
Accedemos a la página oficial de www.kerio.com y lo descargamos:
En el progreso de instalación nos saldrá esta ventana, donde nos avisa que va ha deshabilitar el
Firewall que trae por defecto Windows.
Ponemos un usuario y una contraseña:
29
Inicio/Todos los Programas/Kerio/Kerio
Firewall
Accedemos con nuestro usuario y
contraseña:
Mediante el asistente configuramos la conexión a internet que tendremos, es decir, si vamos a
tener una red local, que pasara atreves de este PC, el cual filtrara los paquetes:
30
Lo realizaremos mediante una conexión a Internet, le indicamos la interfaz, que salga
directamente a Internet.
De momento permitimos todos los servicios, pero más adelante denegaremos el ftp.
31
Esto es para si utilizásemos un Servidor VPN Kerio, como nunca se sabe, Marcamos que
Esta opción es para si tuviésemos algún servidor dentro de la LAN, es decir, para realizar una
DMZ, con un servidor web o VPN, que puedan acceder:
32
Una vez terminado el Asistente le damos a Politica de trafico, seleccionamos Trafico de
firewall, y pinchamos donde pone Servicio:
33
Nos saldrá esta ventanita, donde seleccionamos FTP, y le damos a quitar. Aplicamos los
cambios:
Ahora probaremos a realizar una conexión ftp, mediante el terminal:
Como podemos observar no nos deja acceder.
34
También podemos ver otras opciones de estadísticas de la red.
35
Las conexiones que existen atraves de la regla Trafico del firewall
36
Aquí podemos un log de la configuración que vamos haciendo:
37
ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad
en la empresa:
Microsoft Forefront
Microsoft Forefront es una completa línea
de productos de seguridad que permite una
mayor protección y control por medio de
una excelente integración con su
infraestructura de TI actual y una operación
más sencilla de implantación, gestión y
análisis. La línea de productos de seguridad
Microsoft Forefront ofrece protección para
las máquinas cliente, aplicaciones de
servidor y la red perimetral.
Su completo conjunto de productos de
seguridad, que se integran entre sí y con la
infraestructura informática de su empresa,
puede complementarse e interoperar con
soluciones de terceros.
Contiene los siguientes productos:
 Microsoft Forefront Client Security (anteriormente denominada Microsoft Client
Protection).

Microsoft Forefront Server for Exchange Server (anteriormente denominada
Microsoft Antigen for Exchange).
Microsoft Forefront Server for SharePoint® (anteriormente denominada
Microsoft Antigen for SharePoint).
 Microsoft Forefront Security for Office Communications Server (anteriormente
denominada Antigen for Instant Messaging).
 Microsoft Internet Security and Acceleration (ISA) Server 2006 (Descargue la

información de este producto en XPS / PDF)
 Intelligent Application Gateway (IAG) 2007 (Descargue la información de este
producto en XPS / PDF)

Forefront Server Security Management Console.
38
Funcionalidades y ventajas
Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la
competencia que podemos resumir en:
Protección para sistemas operativos
Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece detección
en tiempo real, programado o a demanda así como eliminación de virus, spyware, rootkits y
otras amenazas emergentes.
Protección de aplicaciones de servidores críticas
Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una estrategia
de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e inspección de datos
específicos de protocolo y de aplicaciones.
Acceso seguro y controlado
Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así como
funcionalidades de administración de identidades que ayudan a asegurar que sólo los usuarios
autorizados tengan acceso a los datos y recursos de TI especificados.
Protección de datos confidenciales
39
Los productos Forefront resguardan los datos confidenciales y protegen la propiedad
intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada aplicación
en toda la red, como también tecnologías que garantizan la confidencialidad y autenticidad de
los datos valiosos para su empresa.
Integración desde el diseño
Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda lograr
una mayor eficiencia y control en términos de seguridad de la red.
Integración con aplicaciones
Los productos anti-malware y de seguridad de acceso Microsoft Forefront están especialmente
diseñados para proteger e integrarse con aplicaciones de servidores de misión crítica tales
como Exchange, Outlook® Web Access y SharePoint.
Integración con la infraestructura informática
Esta infraestructura unificadora permite administrar sin
inconvenientes la implementación, distribución,
configuración y aplicación de los productos de seguridad,
y permite hacerlo con un nivel de control detallado y
minucioso.
Integración en Forefront
Los productos Forefront están diseñados para poder
operar juntos, de modo que se puedan aprovechar sus
funcionalidades y lograr una mayor cobertura de
seguridad.
Administración simplificada y centralizada
Los productos Microsoft Forefront están diseñados de
forma tal que permiten simplificar la implementación,
configuración, administración, generación de informes y
análisis. De esta forma, su empresa tiene mayor
confiabilidad en cuanto a una excelente protección.
Implementación simplificada
Los utilitarios como ISA Server Best Practices Analyzer
Tool y los asistentes de configuración ayudan a establecer
una base sólida para una instalación de seguridad
contundente. La integración de Forefront con Active
Directory y los sistemas de actualizaciones como Systems
Management Server proporcionan los cimientos comunes
40
para la administración de configuraciones y cambios. Tanto los usuarios como los
administradores se benefician con la distribución centralizada de configuraciones y políticas
actualizadas así como de actualizaciones de sistemas operativos o antivirus para clientes y
servidores.
Unificación de generación de informes y análisis
Forefront centraliza la recopilación y el análisis de la información de administración de
seguridad, dado que toda la información de seguridad se almacena en un único repositorio
SQL Server™, que puede utilizar los servicios de generación de informes y análisis (SQL Server
Reporting and Análisis Services) para identificar e interpretar los eventos de seguridad.
Administración simplificada
La administración y la generación de informes de seguridad están centralizadas en Forefront.
Sus componentes se integran plenamente con los sistemas de administración existentes,
incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows
Server™ Update Services. Las consolas de administración integradas de Forefront ofrecen las
conocidas interfaces de Microsoft y son, además, fáciles de utilizar; por otra parte, reducen el
tiempo de capacitación necesaria y ayudan a controlar los costes.
Énfasis en la capacidad de "aseguramiento"
Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración y la
administración de la seguridad –el "aseguramiento" de la infraestructura-, Forefront ayuda a
su empresa a:
 Centralizar la administración de la seguridad.
 Evitar los errores en la configuración.
 Implementar la seguridad en toda la red.
Obtener una visión unificada de la seguridad de la red.
Conclusión
En conclusión, nos encontramos ante una familia de productos que, tanto juntos como de
manera independiente, nos ofrecen una solución:
Completa
A medida que los ataques aumentan, se tornan cada vez más costosos para su empresa,
aumentando el tiempo de reposo necesario, la recuperación e impactando en forma negativa
en la productividad y en la utilización de su software.
41
Integrada
En general, los productos de seguridad no se integran mucho entre sí ni con la infraestructura
de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea más
difícil de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red.
Microsoft Forefront integra capacidades de seguridad en toda la línea de productos, con
aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted
puede lograr mayor eficiencia y control sobre la seguridad de su red.
Simplificada
Puede ser difícil obtener visibilidad crítica acerca del estado de seguridad de su red,
especialmente sin una herramienta de administración central. Sin este tipo de visibilidad,
implementar y administrar la seguridad es más difícil, ineficiente, propicia al error y consume
más tiempo.
Microsoft Forefront mejora su capacidad para mantener la seguridad de su organización al
simplificar la administración, instalación y uso de los productos de seguridad, con lo que
aumentará su confianza en que su organización está bien protegida.
Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista
individual de la red, permitiendo una administración y una mitigación de amenazas mejor y
más informada.
42
b) Distribuciones libres para implementar cortafuegos en máquinas
dedicadas.
i) Instalación y configuración del cortafuegos “Firewall Zentyal”.
Tenemos el siguiente escenario:
43
Lo primero que haremos será habilitar el cortafuegos desde el panel de control de Zentyal:
Le damos a Cortafuegos, y vamos a configurar una regla para una red Interna, hacia el Servidor
Zentyal.
44
Teniendo otro equipo de la misma red con la dirección ip:
Asignaremos la regla para que no pueda acceder al servicio FTP, de Zentyal.
45
Aquí podemos ver la regla:
Probamos con el cliente acceder, y vemos como no responde.
46
Ahora borramos la lista para comprobar que funciona:
Intentamos acceder al servidor ftp de Zentyal:
47
ii) Instalación y configuración del cortafuegos “Firewall IpCop”.
El escenario correcto que se tendría que hacer para una correcta configuración de IPCOP, seria
esta, donde el Cortafuegos seria un servidor que redirecciona todo lo que entre por la interfaz
eth1 (192.168.197.x) hacia la eth0, de modo que saldrían a internet gracias a este equipo, de
esta forma se podría controlar el filtrado de paquetes correctamente.
Pero como solo queremos configurarlo los aspectos más principales, nos crearemos otro
escenario acuerdo con los requisitos que disponemos:
Donde estando en la misma red, el
equipo XP administrara el Servidor
Firewall.
48
Descargamos la imagen de ipcop y la arrancamos desde el CD. Seleccionamos el idioma
español.
Arrancamos desde el cd:
49
Esperamos mientras revisa la configuración Hardware.
Comienza a instalar los ficheros necesarios para la correcta configuración del Firewall
50
Saltamos este paso, marcamos la opción y le damos a Enter.
Configuraremos la tarjeta de red, en modo de interfaz GREEN, de modo que le damos a
Prueba:
51
Nos dice que nos ha detectado correctamente, la tarjeta de red. Ok.
Le asignamos una dirección de red valida, de modo que usaremos:
52
Nos dice que la prueba ha sido exitosa:
Configuramos el horario y le ponemos un nombre adecuado a la maquina:
53
Aquí configuramos el servicio ISDN (Integrated Services Digital Network o RDSI Red
Digital de servicios Integrados), si es que fuera la forma por la que accedemos a
internet, en este caso es una conexión ADSL así que inhabilitaremos el ISDN, eligiendo
la opcion Inhabilite RDSI
Le damos a Ok, se aplican los cambios.
54
Realizamos la configuracion DNS, junto con su puerta de enlace.
En el menú, le damos a Configuracion de direcciones y seleccionamos la interfaz GREEN, que es
la que usaremos solamente:
55
Le introducimos una contraseña valida al root, para poder acceder:
Se reiniciara:
56
Accedemos de la siguiente manera:
Ahora desde un cliente de la misma red, vamos Administrar el Servidor, mediante un usuario y
contraseña que ya hemos establecido anteriormente.
57
En la Pestaña Control de trafico, vamos a restringir la velocidad de bajada y de subida:
Aqui añadimos unas cuantas restricciones de acceso al DNS, y al puerto 8080 asociado a un
Servidor WEB.
58
Aquí podemos ver como se puede configurar un Proxy Web:
En modo grafico podemos ver la configuración de las tarjetas de red.
59
O las tablas de enrutamiento ARP…
Incluso podríamos instalar un IDS…
60
6. CORTAFUEGOS HARDWARE.
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX
(Private Internet Exchange) y la tecnología ASA de Cisco. Comenta en
detalle algún producto Cisco PIX.
Cortafuegos
Soluciones para la seguridad de la red
Descubra por qué un cortafuego es un
componente clave para la seguridad de la red y
conozca las soluciones de cortafuego fiables e
integradas de Cisco.
Un cortafuegos fiable es el rasgo distintivo de una red altamente protegida. Las redes ofrecen
soporte para aplicaciones y procesos sensibles y fundamentales, y proporcionan una
infraestructura común para los servicios convergentes de datos, voz y vídeo. Cisco integra la
seguridad de cortafuegos en toda la red, e incorpora los servicios de seguridad en todos sus
productos, en lugar de ofrecer productos puntuales que establecen un nivel de seguridad
básico. El enfoque de Cisco convierte la seguridad de cortafuegos en un aspecto transparente,
escalable y fácil de gestionar de la red y la infraestructura empresarial.
Un cortafuegos personalizado para la red
Cada cortafuegos de Cisco se basa en plataformas modulares y escalables y está diseñado para
adaptarse a los requisitos de seguridad de los diversos entornos de red. Un cortafuegos puede
implementarse de manera independiente para proteger una zona específica de la
infraestructura de red, o se puede combinar para ofrecer un enfoque de defensivo más
profundo, por capas. Todas las soluciones de cortafuegos de Cisco están diseñadas siguiendo
las mejores prácticas y directrices desarrolladas para soluciones del mundo real.
61
Private Internet Exchange
PIX es el acrónimo de Private Internet EXchange.
Esta sigla es utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de
equipos Cortafuegos (FireWalls).
Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una
máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio
de usuario se asemeja más a un router que a un sistema Unix clásico.
El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier
paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le
aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de
estado de la conexión (PIX es stateful) enmemoria; para ello, a cada interfaz del firewall se le asigna un nivel de
seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna). La filosofía de
funcionamiento del Adaptive Security Algorithm se basa en estas reglas:


Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.

Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es
denegada, si no se permite explícitamente mediante listas de acceso.



Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.
Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se
prohíbe explícitamente mediante listas de acceso.
Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog.
Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que
su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en
caso de que lo sea comprobar si del host origen se ha establecido una conexión con anterioridad; si no había una
conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos
necesarios para identificar a la conexión.
El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya
que como hemos dicho se asemeja más a un router que a un servidor con cualquier flavour de Unix; es por tanto
recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser
[JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems
(http://www.cisco.com/).
Cisco ASA
En las redes de ordenadores , Cisco ASA 5500 Series Adaptive Security Appliances , o simplemente serie Cisco
ASA 5500 , es Cisco línea @ s de seguridad de la red los dispositivos introducidos en 2005,
[ 1 ]
que logró tres líneas
existentes de los populares productos de Cisco:



Cisco PIX , que proporciona firewall y Network Address Translation (NAT funciones).
Cisco IPS 4200 Series, que trabajó como sistemas de prevención de intrusiones (IPS).
Cisco VPN 3000 Series concentradores, que preveía la creación de redes privadas virtuales (VPN).
62
Ejemplo:
Pix Cisco firewall 505
Private Internet Exchange (PIX), refiere a los modelos de equipos Cortafuegos (Firewalls) que
tiene Cisco. Se trata de un firewall completamente hardware: a diferencia de otros sistemas
cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo
empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que
a un sistema Unix clásico.
Private Internet Exchange (PIX)
El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm
(ASA). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:





Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado.
Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino
(outbound) es permitida, y cualquiera que tenga como origen una interfaz o red de
menor seguridad que su destino (inbound) es denegada, lo anterior, si no se prohíbe
explícitamente mediante listas de acceso.
Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente.
Cualquier intento de violación de las reglas anteriores es detenido y se envía un
mensaje de alerta.
Cuando a un interfaz del firewall llega un paquete proveniente de una red con menor
nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm
para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si
del host origen se ha establecido una conexión con anterioridad; pues en caso
contrario, el firewall PIX crea una nueva entrada en su tabla de estados en la que se
incluyen los datos necesarios para identificar a la conexión.
63
Dispositivo de Seguridad Adaptativo de Cisco ASA Serie 5500
Tranquilidad
Mantenga un alto grado de confianza en la seguridad de su
red.
Cualquier empresa que dependa de su red, necesita una seguridad sólida. Los Dispositivos
de Seguridad Adaptativos de Cisco ASA Serie 5500 ofrecen una seguridad de última
generación con la flexibilidad necesaria para satisfacer las necesidades de su compañía a
medida que ésta crece y cambia.
Características destacadas
Los Dispositivos de Seguridad Adaptativos de Cisco ASA Serie 5500 soportan:





Personalización: Personalice la seguridad según sus necesidades de acceso específicas y
sus políticas comerciales.
Flexibilidad: Conforme su negocio crezca y necesite cambios, podrá agregar fácilmente
capacidades o actualizar de un dispositivo a otro.
Seguridad avanzada: Aproveche los últimos avances en seguridad de contenidos, cifrado,
autenticación de identidad, autorización y prevención de intrusiones.
Simplicidad: Utilice un dispositivo diseñado para ser fácil de instalar, gestionar y
supervisar.
Redes avanzadas: Configure redes privadas virtuales (VPN) que proporcionen a los
trabajadores remotos y móviles un acceso seguro a los recursos de la compañía o
establezca VPN entre partners, otras oficinas o empleados basadas en roles.
Al mantener su red segura y protegida, los empleados podrán acceder siempre a ella
desde su ubicación. Los Dispositivos de Seguridad Adaptativos de la ASA Serie 5500 de
Cisco son su primera y mejor línea de defensa.
Caracteristicas:
Los Dispositivos de Seguridad Adaptativa de Cisco ASA Serie 5500 ofrecen una amplia
gama de características y posibles ventajas, entre las que se incluyen:






Caracterísiticas de seguridad galardonadas
Soporte para dos VPN para comunicación entre oficinas o partners, con expansión de hasta
25 (ASA 5505) o 750 (ASA 5520) empleados
Soporte para cualquier tipo de red de área local desde 5 (ASA 5505) hasta 250 (ASA 5550)
usuarios de red
Opciones múltiples para conexiones de red de alta velocidad, en función de sus
necesidades de rendimiento
Paquetes preconfigurados para facilitar los pedidos y la configuración
Opciones para incrementar la fiabilidad
64
b) Elabora un informe sobre productos comerciales que implemente
Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat
Management).
Los Firewalls más caros son los filtros Hardware, que producen una conmutación más rápida
que un equipo software (el Hardware esta optimizado para esas tareas), y además
proporcionan un nivel de seguridad muy alto, pudiéndose mejorar con nuevos y más
modernos sistemas, gracias a las continuas actualizaciones On-Line. El avance de la tecnología,
ligado a amenazas cada vez más complejas, ha provocado que las soluciones de seguridad
perimetral avancen a una nueva generación, cuyo exponente más destacado aparece en las
distintas gamas de UTM (Unified Threat Management).
Gestión unificada de amenazas (UTM) se refiere a un producto de seguridad integral que
incluye la protección contra amenazas múltiples. Un producto UTM normalmente incluye un
firewall , software antivirus , filtrado de contenidos y un filtro de spam en un solo paquete
integrado. El término fue acuñado originalmente por IDC, un proveedor de datos de mercado,
análisis y servicios relacionados. Proveedores de UTM de Fortinet incluyen, LokTek, Secure
Computing Corporation y Symantec . Las principales ventajas de la UTM son la sencillez, la
instalación y el uso racionalizado, y la capacidad de actualizar todas las funciones de seguridad
o programas simultáneamente.
Como la naturaleza y la diversidad de las amenazas de Internet evolucionan y se vuelve más
complejo, los productos UTM pueden ser adaptados para mantenerse al día con todos ellos.
Esto elimina la necesidad de que los administradores de sistemas para mantener múltiples
programas de seguridad en el tiempo.
65
Las principales ventajas
1. Reducción de la complejidad: solución de seguridad única. Solo proveedor. Solo AMC
2. Simplicidad: Evitar la instalación del software y el mantenimiento de múltiples
3. Gestión sencilla: Plug & Play Arquitectura, GUI basada en Web para una fácil gestión
4. Reducción de los requisitos de capacitación técnica, un producto de aprender.
5. Cumplimiento de la normativa
Desventajas clave
1. Punto único de fallo para el tráfico de red
2. Único punto de compromiso si la UTM tiene vulnerabilidades
3. Impacto potencial sobre la latencia y el ancho de banda cuando la UTM no puede
mantenerse al día con el tráfico
Ejemplo:
Dlink DFL-860
Firewall UTM para pequeñas empresas
El firewall UTM DFL-860 ofrece una
potente solución de seguridad para las
oficinas de pequeño o medio tamaño,
con hasta 150 usuarios, contra una
amplia variedad de amenazas para la red
en tiempo real. Al integrar un sistema de
prevención de intrusos (IPS), un gateway
antivirus (AV)y el filtrado de contenidos
web (WCF) en un diseño industrial de
tamaño de sobremesa, este dispositivo
está dirigido a las empresas que buscan
seguridad para la red a un precio
competitivo.
Gestión de amenazas unificada
El DFL-860 integra un sistema de prevención de intrusos (IPS), un gateway antivirus (AV)y el
filtrado de contenidos/URL web para una mejor protección con inspección de contenido de
nivel 7.
Está disponible un servicio opcional de subscripciones para mantener actualizadas en tiempo
real cada una de estas defensas.
Seguridad de red proactiva
El DFL-860 incluye una característica especial llamada ZoneDefense: un mecanismo que
funciona perfectamente con los conmutadores xStack de Dlink para ofrecer seguridad de la
red proactiva. ZoneDefense pone en cuarentena automáticamente los ordenadores
66
infectados de la red e impide que el tráfico malicioso invada la red.
Acelerador por hardware
El DFL-860 usa un acelerador por hardware para llevar a cabo las funciones de escaneado
antivirus e IPS simultáneamente, sin que se degrade el rendimiento del firewall ni de la red
privada virtual.
Este potente acelerador le permite al firewall trabajar con un rendimiento muy superior al de
los firewall UTM con función antivirus del mercado.
Potente rendimiento de la red privada virtual
El DFL-860 dispone de un motor de red privada virtual basado en hardware para soportar y
gestionar hasta 300 túneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo
cliente/servidor y también puede manejar el tráfico que pasa a través de él.
La autentificación de usuario puede llevarse a cabo por medio de un servidor RADIUS externo
o a través de la base de datos interna del firewall, que admite hasta 500 cuentas.
Regulación de tráfico y compartición de carga
El DFL-860 proporciona tecnología de regulación de tráfico avanzada, lo que permite a los
administradores priorizar y diferenciar el tráfico de la red y establecer límites de ancho de
banda. Dos interfaces WAN aportan redundancia y equilibrio de carga saliente. *
Además, el DFL-860 soporta SLB (Server Load Balancing), que permite compartir las peticiones
del servicio de red entre varios servidores, con lo que mejora el rendimiento y la escalabilidad
de la aplicación.
*Funcionalidad disponible en próxima actualización del firmware.
Hardware
- 7 puertos switch Ethernet 10/100Base-TX integrados.
- 2 puertos WAN 10/100Base-TX para la conexión de módem DSL o de cable.
- 1 puerto DMZ.
- Puerto consola (RS-232).
Rendimiento
- Rendimiento: 150 Mbps (firewall), 60 Mbps (3DES/AES VPN).
- Hasta 25.000 sesiones simultáneas.
Firewall
- Protección DoS/DDoS
- Filtros de contenido (bloqueo de palabra clave en URL, bloqueo Java/ActiveX/Cookie/VB,
bloqueo IM/P2P).
- Modo PPPoE, NAT, PAT y transparente.
- ALG (Application Layer Gateway).
- Mecanismo ZoneDefense (seguridad de red proactiva).
Enrutamiento
- Enrutamiento basado en políticas (PBR).
- Enrutamiento estático.
- Enrutamiento dinámico OSPF.
Gestión de amenazas unificada
- Sistema de prevención de intrusos (IPS).
67
- Protección de antivirus (AV).
- Filtrado de contenido web (WCF).
VPN y autentificación
- Hasta 300 túneles específicos para VPN.
- IPSec NAT traversal
- Encriptación: DES, 3DES, AES, Blowfish, Twofish, CAST-128.
- Autentificación de usuario por medio de servidor RADIUS, LDAP, Active Directory o base de
datos local (hasta 500 usuarios).
- Vinculación direcciones IP-MAC.
Gestión de ancho de banda
- Políticas basada en regulación del tráfico.
- Ancho de banda garantizado, ancho de banda máximo, prioridad de ancho de banda.
- Equilibrio de carga del servidor (SLB).
- Equilibrio de carga saliente.1
1 Funcionalidad disponible en próxima actualización del firmware.
Tolerancia a fallos
- Caída de enlace WAN.
Registro y gestión
- Sistema de monitorización y aviso y registro de eventos, en tiempo real.
- Configuración basada en web (http/https/SSH), interfaz de línea de comandos.
- SNMP v1, v2c.
68

UD04_SAD_alvaroprimoguijarro

Transcripción

Documentos relacionados

cortafuegos - Seguridad TIC Melilla

IC Sofia AVE cuestiones básicas

cortafuegos