Lección 5: Seguridad Perimetral
Alejandro Ramos Fraile
[email protected]
Tiger Team Manager (SIA company)
Security Consulting (CISSP, CISA)
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
Seguridad perimetral
• Arquitectura y elementos de red que proveen
de seguridad al perímetro de una red interna
frente a otra que generalmente es Internet.
– Cortafuegos.
– Sistemas de Detección y Prevención de Intrusos.
– Pasarelas antivirus y antispam.
– Honeypots
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
2
Ejemplo de arquitectura sin seguridad
perimetral
× Red plana sin segmentar.
× Publicación de servicios
internos: base de datos.
× No hay elementos de
monitorización.
× No se filtra tráfico de entrada ni
salida.
× No se verifica malware o spam
en el correo electrónico.
× Cliente remoto accede
directamente a los servicios.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
3
Cortafuegos (Firewalls)
• Elemento de red donde se define la política de
accesos, permitiendo o denegando el tráfico
según se definan sus reglas.
• Dos filosofías distintos de uso:
√ Política restrictiva (lista blanca): se deniega todo
menos lo que se acepta explícitamente.
x Política permisiva (lista negra): se acepta todo
menos lo que se deniega explícitamente.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
4
Cortafuegos - Tipos
• Circuito a nivel de pasarela
– Funciona para aplicaciones específicas.
• Cortafuegos de capa de red
– Filtra en capa de red (IP origen/destino) o de transporte
(puerto origen/destino).
• Cortafuegos de capa de aplicación
– Funciona según el protocolo a filtrar, p. ej HTTP o SQL.
• Cortafuegos personal
– Aplicación para sistemas personales como PCs o móviles.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
5
Ejemplo de reglas de un cortafuegos
Regla Acción
IP Origen
IP Destino
Aceptar
Aceptar
172.16.0.0/16
192.168.0.4
cualquiera
192.168.10.8
Aceptar
172.16.0.0/16
192.168.0.2
1
2
3
4
Proto-
colo
tcp
tcp
tcp
Puerto
Origen
cualquiera
cualquiera
cualquiera
Puerto
Destino
25
80
80
Negar
cualquiera
cualquiera
cualquiera cualquiera
cualquiera
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
6
Zona Desmilitarizada (DMZ)
• Diseño de una red local ubicada
entre red interna y red externa (p.
ej. Internet).
• Utilizada para servicios públicos:
correo electrónico, dns, web, ftp,
que serán expuestos a los riesgos
de seguridad.
• Creada mediante uno o dos
el
cortafuegos
tráfico entre las tres redes.
que
restringe
• Desde la DMZ no se permiten
conexiones a la red interna.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
7
Sistemas de Detección y Prevención de
Intrusos (IDS/IDPS)
• Dispositivo que monitoriza y genera alarmas si se
producen alertas de seguridad.
• Los
IDPS
(Intrusion Detection and Prevention
Systems) bloquean el ataque evitando que tenga
efecto.
• Sus principales funciones:
Identificación de
posibles ataques
Registro de
eventos
Bloqueo del
ataque
Reporte a
administradores
y personal de
seguridad
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
8
Sistemas de Detección y Prevención de
Intrusos (IDS/IDPS)
• Dos tipos de IDS:
– HIDS: Host IDS, monitoriza
cambios en el sistema operativo
y aplicaciones.
– NIDS: Network IDS, monitoriza
el tráfico de la red.
• Dos métodos de detección:
– Firmas.
– Patrones de comportamiento.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
9
Ejemplo de firma de IDS (snort)
alert tcp
$EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-IIS ISAPI .printer access";
flow:to_server,established;
uricontent:".printer"; nocase;
reference:arachnids,533; reference:bugtraq,2674;
reference:cve,2001-0241; reference:nessus,10661; classtype:web-
application-activity;
sid:971;
rev:9;)
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
10
Honeypots
• Sistema configurado con vulnerabilidades usado para recoger
ataques y estudiar nuevas técnicas.
• Dos tipos principales de honeypots:
– De baja interacción: aplicación que simula
vulnerabilidad y sistema operativo.
– De alta interacción: el sistema operativo
no es simulado.
• También se usan para recoger muestras de virus o spam.
• Han de permanecer especialmente controlados y
desconectados de cualquier red.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
11
Pasarelas Antivirus y AntiSpam
• Sistemas
filtran
malicioso en canales de entrada a la red.
intermedios
que
contenido
• Detección de malware en pasarelas web y servidores
de correo.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
12
Redes Virtuales Privadas (VPN)
• Es un tipo de red que utiliza una infraestructura pública (y por
lo tanto no segura) para acceder a una red privada de forma
confiable.
• Es comúnmente utilizada para conectar usuarios remotos,
sucursales u oficinas con su intranet (punto a punto).
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
13
Redes Virtuales Privadas - Características
• Autentificación y autorización: mediante gestión de usuarios
y roles y permisos.
Integridad: con el uso de funciones hash.
•
• Confidencialidad: la información es cifrada con DES, 3DES,
AES, etc.
• No repudio: los datos transmiten firmados.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
14
Gestión Unificada de Amenazas / UTM
• Equipos que integran en un único dispositivo un
conjunto de soluciones de seguridad perimetral:
– Cortafuegos.
– Sistemas de detección y prevención de intrusos.
– Pasarelas antivirus/antispam.
– Redes privadas virtuales.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
15
Ejemplo de arquitectura con seguridad
perimetral
Instalación de cortafuegos.
DMZ y Red Interna
Política restrictiva
Instalación de antispam y
antivirus.
Instalación de NIDS en las
tres interfaces.
Segmentación de servicios
públicos: web y pasarela
antivirus/antispam.
Servicios internos movidos:
base de datos y correo.
Clientes remotos usan VPN.
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
16
Madrid, España, febrero 2011
Video intypedia005es © intypedia 2011 Creative Commons
Contacto:
[email protected]
Comentarios de: Lección 5: Seguridad Perimetral (0)
No hay comentarios