Escolar Documentos
Profissional Documentos
Cultura Documentos
Controles Lógicos
Controles Lógicos
Sistemas de
Seguridad: Firewalls
FIREWALL: Historia
Firewall: Definición
Es un dispositivo de red que crea una separación entre redes públicas (no
confiables) y redes privadas (confiables) mediante el análisis del tráfico de red
permitiendo solamente el paso de cierto tráfico entre la red no confiable y la red
confiable.
Red Externa
No Confiable
●
Dispositivos de defensa perimetral: separa redes.
●
Filtra tráfico dependiendo de reglas predefinidas.
●
No protege de ataques internos.
●
No protege de accesos no autorizados.
●
No protege de todos los ataques dañinos.
FIREWALL: Características
● Tipos de presentación:
● Por software: funcionan en una PC con 2 ó más NICs
prohibido (WhiteList)
● Todo lo que no está expresamente prohibido, está
permitido (BlackList)
Referencia: VPN
Una estructura de red que con soporte lógico que permite el trafico
de información privada sobre una infraestructura de red pública
mediante el uso de criptografía.
Protocolos
● IPSec
● SSL / TLS
● PPTP, L2TP
● Administración Centralizada (Único punto de administración para todos los firewalls de la red)
● Defensa en profundidad (Usando múltiples tipos de firewalls para obtener los beneficios de todos
y no ser vulnerable a la debilidad de uno solo.)
Hasta:
●
Hacer e-Commerce
●
Implementar sistemas B2B, C2B, CRM, SCM
Empresa A Empresa B
Empresa C
Internet
Empresa A
Router Firewall
Red Interna
Empresa A
Router Firewall
Seguridad y Calidad en Aplicaciones Web
UNIVERSIDAD NACIONAL DE LA MATANZA
Departamento de Ingeniería e Investigaciones Tecnológicas
DMZ
Internet Empresa A
Us
ua
rio
s
Red Interna
re
Router
mo
Firewall Empresa A
Con VPN
to
s
Conceptos básicos de IP
Atributos IP
Conceptos básicos de IP
Conceptos básicos de IP
De 10.0.0.1
para 10.0.0.3
10.0.0.2
10.0.0.3
10.0.0.1
Atributos UDP
Protocolo TCP/UDP
65535
De 10.0.0.7:80
65535
... Para 10.0.0.1:...
443
...
80
Cliente
10.0.0.1 Servidor
... 25 10.0.0.7
0 0
De 10.0.0.1:...
Para 10.0.0.7:25
Seguridad y Calidad en Aplicaciones Web
UNIVERSIDAD NACIONAL DE LA MATANZA
Departamento de Ingeniería e Investigaciones Tecnológicas
Puertos TCP/UDP
Puerto Servicio
7/tcp Protocolo Echo (Eco) Responde con eco a llamadas remotas
9/tcp Protocolo Discard Elimina cualquier dato que recibe
13/tcp Protocolo Daytime Fecha y hora actuales
17/tcp Quote of the Day (Cita del Día)
20/tcp FTP File Transfer Protocol (Protocolo de Transferencia de Ficheros) - datos
21/tcp FTP File Transfer Protocol (Protocolo de Transferencia de Ficheros) - control
22/tcp SSH, scp, SFTP
23/tcp Telnet manejo remoto de equipo, inseguro
25/tcp SMTP Simple Mail Transfer Protocol (Protocolo Simple de Transferencia de Correo)
37/tcp time (comando)
53/udp DNS Domain Name System (Sistema de Nombres de Dominio), por ejemplo BIND9
80/tcp HTTP HyperText Transfer Protocol (Protocolo de Transferencia de HiperTexto)
(WWW)
88/tcp Kerberos Agente de autenticación
110/tcp POP3 Post Office Protocol (E-mail)
Puertos TCP/UDP
Puerto Servicio
123/udp NTP Protocolo de sincronización de tiempo
137/tcp NetBIOS Servicio de nombres
138/tcp NetBIOS Servicio de envío de datagramas
139/tcp NetBIOS Servicio de sesiones
143/tcp IMAP4 Internet Message Access Protocol (E-mail)
161/tcp SNMP Simple Network Management Protocol
389/tcp LDAP Protocolo de acceso ligero a Bases de Datos
443/tcp HTTPS/SSL usado para la transferencia segura de páginas web
445/tcp Microsoft-DS (Active Directory, compartición en Windows, gusano Sasser, Agobot) o
también es usado por Microsoft-DS compartición de ficheros
1433/tcp Microsoft-SQL-Server
2049/tcp NFS Archivos del sistema de red
3306/tcp MySQL sistema de gestión de bases de datos
6881/tcp BitTorrent puerto por defecto
6969/tcp BitTorrent puerto de tracker
Firewall: NAT
Network Address Translation. Su función es traducir un conjunto de
direcciones, comúnmente privadas, a una o pocas direcciones públicas.
Firewall: NAT
De: 10.0.0.5:4321
De: 173.1.1.4:5432
De: 10.0.0.5:4321 A: 173.194.118.174:80
A: 173.194.118.174:80
10.0.0.1
173.194.118.174
10.0.0.5
173.1.1.4
De: 173.194.118.174:80
De: 173.194.118.174:80 A: 173.1.1.4:5432
A: 173.1.1.4:5432
A: 10.0.0.5:4321
Tipos de Firewall
1. Packet filters
2. Circuit Level Gateways
3. Application Level Gateways
4. State–Full Multilayer Inspection
OSI: Open System Interconnection, Modelo de interconexión de sistemas abiertos (ISO/IEC 7498-1)
●
Monitorea fuentes y destino IP de la conexión.
●
Verifica puerto de destino.
●
No verifica contenidos.
●
¿Cómo se engaña?
●
Mediante spoofing: se pueden enviar paquetes no
deseados a una red utilizando una dirección IP falsa. Se
puede detectar ruteando el tráfico.
●
Redireccionando puertos.
●
Firewalls de Filtrado de Paquetes
●
Paso/Denegación de paquetes TCP/IP basado en reglas
Internet
Red
Privada
Filtro de
Paquetes
Perímetro de seguridad
●
Es un firewall que opera a nivel de la capa de sesión
del modelo OSI o la capa TCP de TCP/IP.
●
Permite conexiones a través de él, creando un circuito.
●
Permite monitorear la conexión.
●
La verificación de contenido es limitada.
●
Son conocidos con el nombre de proxies.
●
Conceptualmente son similares a los Circuit Level Gateways, con la
diferencia de que son específicos para cada aplicación/protocolo.
●
El firewall comienza una conexión en nombre del usuario.
●
Se puede filtrar la aplicación si se configura el firewall para que
espere solo cierto tráfico.
●
Como mantiene la conexión en nombre del usuario, produce una
gran carga de trabajo.
●
Las aplicaciones, ruteo, browsing y mail necesitan apuntar al firewall
ó a una IP (alias) sobre el firewall para poder conectarse.
●
Las conexiones UDP no se pueden manejar fácilmente.
paquetes TCP/IP.
● Realiza funciones de “proxy reverso”
Protocolos específicos
FTP Proxy
Telnet Proxy
Internet
Perímetro de seguridad
Servidor Proxy
Seguridad y Calidad en Aplicaciones Web
UNIVERSIDAD NACIONAL DE LA MATANZA
Departamento de Ingeniería e Investigaciones Tecnológicas
FIREWALL: Implementación
●
Revisar los valores por defecto.
●
Configuración y cambio de accesos.
●
Planificación de servicio, definición de configuraciones y reglas.
●
Resistir las Presiones Operativas:
●
Conectividad primero, seguridad después
●
La llamada: “Tenemos un gerente que está intentando acceder a
la red desde Internet...”
●
Testing de aplicaciones nuevas: “Si funciona con estas reglas,
porque no lo dejamos asi por ahora...”
●
Capacitación, actualización y habilidad del grupo de soporte.
Conclusiones
●
El mejor firewall no es un producto, es una combinación de factores.
●
Un firewall es tan bueno como las políticas que se implementen.
●
Se justifica su existencia en la reducción del impacto y/o probabilidad de
amenazas que reduzcan el riesgo.
●
Debe ser administrado pro-activamente, revisado y actualizado
periódicamente
●
Se puede implementar una combinación de firewalls, bajo el concepto
de defensa en profundidad.
●
Los firewalls ayudan a proteger los recursos, pero son parte de un plan
de seguridad general.
●
Estar actualizado con respecto a vulnerabilidades, exploits, parches y
revisiones de seguridad.
Firewalls Personales
Firewalls Personales
Red
Personal Firewall
Firewalls Personales
● Son dispositivos lógicos (software) que se instalan en
la propia terminal
● Actualmente se encuentran disponibles en la mayoría
de los sistemas operativos
● Permiten aplicar filtros a la información de red
correspondiente a cada interfaz y/o aplicación
● Pueden utilizarse como un complemento al firewall de
red, con el fin de prevenir ataques internos
TinyWall
Productos
● ESET Mobile Security ● NoRoot Firewall
● Norton Smartphone Security ● LostNet NoRoot Firewall
● Airscanner Mobile Firewall ● Firewall Gold
● Kaspersky Mobile Security
Posición global,
Imagen, sonido...
Propietario
•
Prey (Multiplataforma)
Instrucciones de
•
Cerberus bloqueo, borrado, etc.
•
Anti-robo & Find My Phone
•
Avast Anti-Theft
•
Android (Ajustes/ Seguridad / Administradores del dispositivo)
IDS - Sistema de
Detección de Intrusiones
●
Intrusión:
- Conjunto de acciones que intentan comprometer
la integridad, confidencialidad o disponibilidad de un
recurso (Anderson, 1980).
●
Sistema de Detección de Intrusiones:
- Elemento que detecta, identifica y responde a
actividades no autorizadas o anormales (Denning,
1987).
Infraestructura de IDS
Internet
Router
Firewall
Switch
Servers
IDS
Clasificaciones
Basados en máquinas
Basados en multi-máquinas
Fuentes de Basados en red
datos
Basados en Aplicación
Basados en objetivos
Sistemas Usos indebidos
Método de
de
Detección Anomalías
Detección
de Análisis
Intrusiones Tiempo real
Tiempo
Por lotes
Activa
Respuesta
Pasiva
Detección de ¿Coincide
regla?
ataques Datos de Perfil de Estado de
auditoría sistema
conocidos ataque
Ej: Snort, Bro Información de
sincronización
Añadir reglas
●
Detección de anomalías Actualizar perfil
¿Desviación
Detección de estadística?
Datos de Perfil de Estado de
ataques no auditoría sistema ataque
conocidos
Ej: Imsafe,
Generar nuevos perfiles
Prelude
de forma dinámica
Pantalla
Respuesta pasiva:
- Generación de eventos.
- Envío de alerta (correo electrónico,
iles
mensaje a celular, mensaje a Notificar Correo
v
Mo
pager, etc.)
Registros de
eventos
Respuesta activa:
- Cierre de la sesión de usuario.
- Bloqueo de la conexión del intruso. Reconfigurar
●
IPS (Sistemas de Prevención de Intrusiones)
Resultado de la combinación de IDS + Firewall.
Identifican el curso de un ataque y lo bloquean antes de que suceda.
Ej: IntruShield, Hogwash, Radware, Storm watch. ISS, Juniper,
Tipping Point (3Com), Cisco, Suricata, etc.
●
Site para descargar los ataques característicos:
http://www.iss.net/security_center/reference/vuln/
0010101010101010
Sniffers
Sniffers
●
Existen sniffers para Redes Ethernet (LAN) y algunos de
ellos son: Ethereal ,WinPcap, Ettercap, TCPDump,
WinDump, WinSniffer, Hunt, Darkstat, Traffic-vis, etc.
●
Para Redes Inalámbricas (wireless): Kismet, Network
Stumbler, etc.
HUB
Sniffer
Sniffer
Nuevos Dispositivos de
Seguridad
Dispositivos UTM
Son firewalls de red que manejan diferentes servicios en un
mismo equipo. Algunos de ellos son:
● Función de un firewall de inspección de paquetes
● Antispyware
Dispositivos UTM
● Los dispositivos UTM (Unified Threat Management) son
soluciones centrales y fáciles de instalar.
● Funcionan en forma de sistemas de control de acceso a redes.
● Los proveedores de networking y seguridad (Symantec, Cisco,
Microsoft, Checkpoint y Juniper, entre otros), están desarrollando
soluciones UTM.
● Algunos UTMs examinan los paquetes desde la capa uno a la
siete (del modelo OSI), pero sólo una vez. Así se puede
implementar una solución de seguridad en tiempo real sin afectar
a la performance de la red.
● Los UTM se pueden integrar con toda la infraestructura legacy
utilizando SOA (Service Oriented Architecture) y otras
arquitecturas extensibles.
Dispositivos UTM
Usualmente los encontraremos configurados con los siguientes
modos:
Modo proxy
Hacen uso de proxies para procesar y redirigir todo el tráfico
interno. El firewall UTM hace de cliente y de servidor, y es el
intermediario indirecto de las comunicaciones desde y hacia el
internet (o otras redes).
Modo Transparente
No redirigen ningún paquete que pase por la línea, simplemente lo
procesan y son capaces de analizar en tiempo real los paquetes.
Este modo, como es de suponer, requiere de unas altas
prestaciones hardware pero es la mejor alternativa de UTM.
Dispositivos UTM
Servidor Web
Apache
Modulo
WAF
HTTP Aplicación
Web
Cliente Web
Beneficios de un WAF
●
A simple vista, parece ser la solución idónea, pero si nuestra
aplicación está sujeta a cambios en el diseño o
funcionamiento este modelo de seguridad puede volverse
difícil de mantener. Otras ventajas de este modelo es que
no dependen de ningún tipo de actualizaciones y nos
protegen de ataques desconocidos, como desventaja,
son más propensos a detectar falsos positivos y
necesitan un proceso de aprendizaje, para saber como
funciona la aplicación.
●
El factor negativo, es que, si nuestra aplicación utiliza
caracteres que el WAF tenga en su "lista negra", denegará
las peticiones de los usuarios, en este caso hay dos
soluciones: rediseñar el funcionamiento de la aplicación o
configurar el WAF para que ignore dichos caracteres.
Proceso de Aprendizaje
Supongamos que tenemos una aplicación que muestra los productos de un catálogo
y para mostrar un producto, se realiza la siguiente petición:
GET http://sitepath.com/show_article.php?id=15
La aplicación de por si sola, creará una regla que especifique que el valor de esa
variable es numérica. Si se realiza la siguiente petición:
GET http://sitepath.com/show_article.php?id=15' or 1=1 –
El WAF detectará una anomalía y tomará las medidas necesarias, que suelen ser, la
denegación de la petición o el redireccionamiento a una página previamente
configurada, como un error 404.
Modos de Funcionamiento
Fases de Procesamiento -
ModSecurity 2.X
● Request headers
(REQUEST_HEADERS)
● Request body
(REQUEST_BODY)
● Response headers
(RESPONSE_HEADERS)
● Response body
(RESPONSE_BODY)
● Logging (LOGGING)
Productos WAF
Impacto en la organización
Impacto en la organización
● Cambios en lo que respecta a los riesgos para la seguridad a través del tiempo
● Políticas de seguridad corporativa
● Evaluación y tratamiento del riesgo
● Políticas de control de accesos
● Gestión de la continuidad del negocio
● Procedimientos de cumplimiento de políticas
● Manejo de las comunicaciones y de las operaciones
● Administración de los incidentes en Seguridad de la Información
● Protocolos para la gestión de los activos
● Adquisición, desarrollo y mantenimiento de los sistemas de información
● Seguridad física y ambiental
● Organización de la Seguridad de la Información
● Integración de la Seguridad de la Información
http://www.bligoo.com/media/users/1/50369/files/cisco_security_index_may08.pdf
Seguridad y Calidad en Aplicaciones Web
UNIVERSIDAD NACIONAL DE LA MATANZA
Departamento de Ingeniería e Investigaciones Tecnológicas
Bibliografía recomendada
Bibliografía recomendada