SEGURIDAD de REDES III

FIREWALLS
Son dispositivos y sistemas de hardware y software que controlan el trfico entrante y saliente del punto donde son instalados. Son equipos que trabajan principalmente a nivel de red, es decir capa 3 TCP/IP, pero su campo de accin se extiende hasta el nivel de aplicacin.
jar_2010 2

Tipos de Firewalls
Los ms empleados son: Packet Filtering Application Level Stateful Packet Inspection Dynamic Packet Filtering Kernel Proxy

jar_2010

Packet Filtering
Este tipo de Firewall fue el primero que apareci en el mercado conocido tambin como screening router. Trabaja principalmente en el nivel 3(Internet) y en menor grado en el nivel 4(Transporte) del modelo OSI. Este Firewall filtra paquetes basado en la direccin IP fuente y destino de los paquetes entrantes, no realizando anlisis de contenido ni seguimiento de la conexin.
jar_2010 4

Packet Filtering
Estos Firewalls son implementados incluso dentro del router, y trabajan con listas de control de Acceso(ACLs), que son archivos de Base de Datos que residen en el Firewall y mantenidos por el administrador de red. Estos firewalls adems chequean los puertos TCP y UDP fuente y destino de una conexin para proceso de filtrado de trfico.

jar_2010

Application Level Firewalls

Este Firewall es una computadora que ejecuta un software proxy, que la hace trabajar como servidor proxy. Este firewall trabaja transfiriendo una copia de cada paquete de datos aceptado de una red a otra enmascarando el origen del dato. Esto controla los servicios que son utilizados por las estaciones de trabajo y protege adems a la red de usuarios externos que traten de obtener informacin acerca del diseo de la red.
jar_2010 6

Application Level Firewalls

Estos firewalls son conocidos como de segunda generacin Application Layer Gateway. Operan en el nivel 7(Aplicacin). Uno de los inconvenientes de este tipo de firewall es que se reduce la performance de la red , ya que el firewall debe analizar cada paquete de datos en todos los niveles.

jar_2010

Application Level Firewalls

Una variacin de este firewall es el Circuit Level Firewall que es similar a un Aplication Level Firewall y es utilizado como servidor proxy. El firewall crea un circuito virtual entre la estacin cliente y el servidor y provee seguridad a una amplia variedad de protocolos.

jar_2010

Stateful Inspection Firewall

En este tipo de firewall los paquetes son capturados por un motor de inspeccin que est operando a la velocidad de la red. Estos paquetes son encolados y analizados en todos los niveles OSI. Esto eleva la performance en comparacin a los Application Level Firewalls y adems provee un mayor anlisis de datos al examinar el estado y contexto de los paquetes entrantes. De esta manera se puede seguir el rastro de las aplicaciones no orientadas a conexin. Son conocidos como de tercera generacin.
jar_2010 9

Dynamic Packet Filtering Firewall

Este tipo de firewall es de tecnologa de cuarta generacin , que habilita la modificacin de las reglas del firewall. Esta tecnologa es mayormente utilizada para proveer soporte para UDP. Por un periodo corto de tiempo este firewall recuerda los paquetes UDP que han cruzado el permetro de red y decide si habilitar no a los paquetes a la red.

jar_2010

10

Kernel Proxy
Es una arquitectura de quinta generacin que provee evaluacin de sesiones multicapa de manera modular basada en kernel. Se ejecuta en el Windows NT, 2000 y 2003. A diferencia del stack TCP/IP convencional, este stack es construido fuera del nivel del Kernel.

jar_2010

11

Arquitecturas de Firewall
Existen varias arquitecturas de firewall las cuales se escogen de acuerdo a las necesidades de la organizacin: Packet Filtering Routers Screened-host firewall systems Dual-homed host firewall Screened-subnet firewall con zonas desmilitarizadas(DMZ)
jar_2010 12

Packet Filtering Routers

Es el dispositivo ms antiguo y uno de los ms utilizados. Este dispositivo se coloca entre la red confiable(privada) y la no confiable(internet). Se le conoce tambin como ruteador de borde(boundary router). Trabaja con listas de control de acceso. El problema principal con este tipo de arquitectura es que los ACLs son difciles de mantener.

jar_2010

13

Screened-Host Firewall Systems

Esta arquitectura emplea tanto el packet filtering router y el bastin host(proxy). Ofrece un mayor nivel de seguridad ya que realiza el anlisis tanto en la capa de red(packetfiltering) y la capa de aplicacin(proxy). Este sistema es considerado ms seguro ya que requiere que el atacante vulnere 2 sistemas separados antes de que la red privada sea vulnerada. El packet-filtering router se coloca entre la red pblica y el bastin host, al ser este el foco del ataque, tambin se le conoce como el host de sacrificio.
jar_2010 14

Screened-Host Firewall

jar_2010

15

Dual-homed host firewalls

Conocido tambin como multi-homed bastion host. Esta arquitectura se compone de un host con 2 NICs, una conectada a la red local confiable y la otra conectada a la internet. Filtra parte del trfico que va de una red a otra. La capacidad de ruteo est deshabilitada para evitar que el trfico pase transparentemente y se evite que el firewall cumpla su funcin. Esta arquitectura permite trasladar trfico entre redes diferentes. Por ejemplo Ethernet con Token Ring.
jar_2010 16

Dual-Homed Host Firewall

jar_2010

17

Screened-Subnet Firewall DMZ

Esta arquitectura es muy popular y es considerada una de las ms seguras. Emplea 2 packet-filtering routers y un bastin host. Este firewall soporta tanto servicios de packet-filtering y proxy, adems define una zona desmilitarizada(DMZ). Esto crea una red entre la red privada y la red pblica donde se encuentra el bastin host y los otros servidores pblicos.

jar_2010

18

Screened-Subnet Firewall DMZ

El router externo provee proteccin contra ataques externos, mientras que el router interno maneja los accesos de la red privada a la DMZ por enrutamiento a travs del bastion host. Una consideracin con este tipo de arquitectura es el mantenimiento. Es necesario conocer en este punto el tema de NAT.

jar_2010

19

Screened-Subnet Firewall DMZ

jar_2010

20

Screened-Subnet Firewall DMZ

jar_2010

21

NAT
NAT es un concepto importante en redes en especial con firewalls. Como una medida de seguridad , el administrador de red debe evitar que los atacantes y visitantes externos sepan cual es el rango de direcciones internas con las que trabaja. IANA(Internet Assigned Numbers Authority) ha reservado los siguientes 3 bloques de espacio de direcciones para redes privadas:
jar_2010 22

NAT
10.0.0.0/8 176.16.0.0/16 192.168.0.0/16

NAT es una herramienta que permite enmascarar direcciones IP internas con direcciones IP externas. NAT convierte una direccin IP privada en una direcin IP pblica. Existen 2 mtodos: Esttico y Dinmico.
jar_2010 23

Deteccin de Intrusos con el Firewall

Para detectar actividades hostiles, se debe habilitar la opcin de registro de actividades en el firewall. Estas actividades van desde actividades consideradas de menor importancia (visita a paginas web, ingreso al sistema, etc), hasta actividades de alta prioridad (reinicio del sistema, escaneos del sistema, etc).

jar_2010

24

Los firewalls permiten detectar actividades principalmente relacionadas con: Escaneos Intentos de conexin fallida Spoofing Denial of Service

jar_2010

25

Escaneos
El Firewall registra intentos de conexin provenientes de una estacin, esto es un indicador de una fase de reconocimiento por parte del usuario.

jar_2010

26

Intentos de Conexin fallida

Intentos de conexin a un puerto en especial con parmetros errneos de conexin: nmero de secuencia invalido, opciones incongruentes, etc.

jar_2010

27

Spoofing
El Spoofing se da cuando se pretende establecer una sesin indicando una direccin fuente falsa. Como la fuente debe conocer la secuencia de comunicacin, trata de adivinarla y mantener la sesin. Si el firewall no hace seguimiento de la sesin, puede ser sorprendido y permitir estas comunicaciones.
jar_2010 28

Denial of Service
Los Firewalls pueden mantener control de flujo de trfico evitando que las redes que protegen sean inundadas de trfico hostil o de tipo spoofing.

jar_2010

29

Acciones Evasivas
Los firewalls ofrecen pocas caractersticas de acciones evasivas y son pocos los firewalls que las poseen. Las acciones que se pueden ejecutar son: Cerrar la sesin establecida Bloquear el trfico

jar_2010

30

Evaluacin de Firewalls
Los firewalls deben ser evaluados de distintas maneras, para ello existen diversas herramientas como : fragroute, escaneadores, etc. Se debe evaluar lo siguiente: Verificar el filtrado de puertos. Evitar el paso de trfico encapsulado. Anular la posibilidad de spoofing. Filtrar el trfico de direcciones que no pertenecen a la red no son vlidas.
jar_2010 31

Reglas Fundamentales
El primer objetivo del administrador de seguridad es evitar el trfico innecesario hacia y desde su red. El ancho de banda es un recurso muy valioso y hay que aprovecharlo al mximo. Existen varias formas de configurar un firewall, una de las ms comunes es denegar todo e ir habilitando filtros permisivos.
jar_2010 32

Reglas Fundamentales

Filtros desde la red Pblica hacia la red Privada.(RFC 1918) Filtros desde la red Privada hacia la red Pblica. Habilitar el registro de actividades. Habilitacin de acceso remoto. Habilitar opciones de control de trfico. Habilitar servicios para autenticacin de usuarios. Definir tiempos de duracin de conexiones.
jar_2010 33

Errores Comunes

Los principales son: Dejar la mayora de parmetros por omisin. Habilitacin de permisos innecesarios. Denegacin de permisos necesarios. Problemas de conexin con el router.
jar_2010 34

Registros y Reportes
Los firewalls no ofrecen reportes de por si. Estos equipos registran las actividades que se dan en los sistemas que protegen y por lo general es abundante informacin que debe ser procesada por el departamento de seguridad. Se debe hacer uso de herramientas adicionales de reportes.

jar_2010

35

Registros y Reportes
Estas herramientas proveen varios reportes dentro de los cuales tenemos: Estaciones que ms han usado el enlace. Protocolos ms usados. Actividades hostiles ms frecuentes y clasificadas por severidad. Pginas ms visitadas Distribucin de trfico por da/semana/mes.
jar_2010 36