PDF de programación - LECCIÓN 5: SEGURIDAD PERIMETRAL

Imágen de pdf LECCIÓN 5: SEGURIDAD PERIMETRAL

LECCIÓN 5: SEGURIDAD PERIMETRALgráfica de visualizaciones

Publicado el 11 de Septiembre del 2017
489 visualizaciones desde el 11 de Septiembre del 2017
944,9 KB
10 paginas
Creado hace 9a (22/02/2011)
VÍDEO intypedia005es

LECCIÓN 5: SEGURIDAD PERIMETRAL

AUTOR: Alejandro Ramos Fraile

Tiger Team Manager (SIA Company), Security Consulting (CISSP, CISA)



BERNARDO

Hola, bienvenidos a intypedia. Hoy vamos a explicar los fundamentos de la seguridad
perimetral. Un concepto emergente que asume la integración de diversos elementos y
sistemas para proteger los perímetros de una red informática, la detección de
tentativas de intrusión e incluso la disuasión de los potenciales atacantes. Un tema muy
interesante… ¡Acompáñanos!


ESCENA 1. FUNDAMENTOS DE LA SEGURIDAD PERIMETRAL. INTRODUCCIÓN A LOS
CORTAFUEGOS


ALICIA

Hola Bernardo. La nueva empresa para la que trabajo me ha pedido que evalúe las medidas de
seguridad perimetral de su arquitectura de red informática y les proponga mejoras. Mira, me
han facilitado este diagrama en el cual todos los equipos se conectan directamente a Internet a
través de un router y esto podría acarrear problemas. Quieren que les proponga alternativas
para tener una red más segura.



Guión intypedia005es 1

Me han sugerido que debería comenzar por separar los servicios ofrecidos a través de Internet,
que son los que más ataques reciben, del resto de la red y ubicarlos en un segmento especial
llamado Zona Desmilitarizada DMZ (Demilitarized Zone). De esta forma, si consiguen acceder a
alguno de ellos, no podrán acceder al resto de la red. ¿Cómo puedo hacerlo?



BERNARDO

Alicia, es típico separar servicios accesibles a través de Internet, como puede ser la página Web
de una empresa o su correo electrónico, del funcionamiento de su red interna o intranet. En
este sentido las DMZ son de gran utilidad. Las DMZ generalmente se crean con un dispositivo
llamado cortafuegos o firewall. Esta tecnología está diseñada para filtrar tráfico tanto de
entrada como de salida. Si implantas este elemento y separas los servicios públicos de la red
interna, el mapa de una nueva arquitectura podría quedar así.

Si te fijas, el tráfico desde la red interna y la DMZ hacia Internet está permitido. En cambio el
cortafuegos bloqueará todas las peticiones hacia la red interna, sea cual sea su origen, y sólo
aceptará el tráfico hacia la DMZ de aquellos servicios para lo que esté configurado.



Guión intypedia005es 2

ALICIA

Claro, con ese método si hubiese un incidente en uno de los servidores de la DMZ, el intruso
quedaría aislado. Pero… ¿realmente cómo funciona un cortafuegos?

BERNARDO

Un cortafuegos funciona en base a reglas. Existen dos grandes filosofías para definirlas: por un
lado está la política permisiva, que acepta todo el tráfico menos el que sea denegado
expresamente y, por otro, la política restrictiva, que deniega todo el tráfico menos lo que se
acepte expresamente. Esta última política es más difícil de mantener pero más segura y es la
que se debería utilizar siempre.

En general se puede hablar de cuatro tipos de cortafuegos, según sus características y la capa
OSI en la que funciona. En primer lugar tenemos los denominados cortafuegos de pasarela,
que funcionan para aplicaciones específicas como telnet, ftp o Web; en segundo lugar los
cortafuegos de capa de red que permiten una configuración en base a dirección IP y puerto de
origen y destino. Luego están los cortafuegos de aplicación que entienden y analizan
protocolos concretos como HTTP y filtran peticiones según patrones o comportamientos
determinados y, por último, los cortafuegos personales que se usan en equipos de escritorio,
como por ejemplo ZoneAlarm, Comodo Pro, etc.

Para que entiendas mejor cómo funcionan estos dispositivos basados en reglas vamos a ver un
pequeño ejemplo con un cortafuegos de capa red que sería de utilidad en tu situación.

Por ejemplo, podríamos tener un cortafuegos con una regla que indicase que el rango de red
172.16.0.0/16 puede acceder al servidor SMTP (puerto 25) con dirección IP 192.168.0.4 y al
servicio Web (puerto 80) con dirección 192.168.0.2. Otra regla podría establecer que cualquier
dirección podría tener acceso a otro servicio Web en la dirección 192.168.10.8. Lógicamente el
resto de conexiones serían denegadas.



ALICIA

Gracias Bernardo, empiezo a darme cuenta del potencial de estos dispositivos. Los tendré en
cuenta…



Guión intypedia005es 3

ESCENA 2. SISTEMAS DE DETECCION DE INTRUSOS. IDS y HONEYPOTS

ALICIA

Bernardo, una vez que he considerado los cortafuegos, ¿por dónde debería continuar?

BERNARDO

La verdad es que te quedan aún bastantes medidas de seguridad que puedes aplicar, como por
ejemplo instalar un sistema de detección de intrusos IDS (Intrusion Detection Systems) que se
utilizan para identificar ataques en tiempo real, almacenar los registros y reportar al personal
de administración y seguridad para que puedan tomar medidas adicionales.

ALICIA



Vaya, otro aparato. Tiene apariencia de ser un sistema complejo y poco productivo si sólo sirve
para que reporte ataques.

BERNARDO

No te apresures en los juicios Alicia, los IDS tienen mucho valor como cuaderno de bitácora y
pueden ser el punto de partida para identificar el origen de un ataque. Además, los IDS han
evolucionado a los Sistemas de Detección y Prevención de Intrusos IDPS (Intrusion Detection
and Prevention Systems), unos elementos más complejos que también son capaces de
bloquear la conexión si detectan que el evento es peligroso, al igual que hacen los cortafuegos
de aplicación.

ALICIA

¡Qué interesante!... Me surgen ahora dos dudas, ¿dónde debería conectarlo y cómo es capaz
de identificar lo que es un ataque de lo que no lo es?

BERNARDO

La arquitectura típica de un sistema de detección y prevención de intrusos IDPS consiste en la
instalación de sondas (sensores) que informarán sobre anomalías en los elementos bajo
estudio. Un ejemplo de estas sondas son las sondas de sistema HIDS (Host-based Intrusion
Detection Systems), que monitorizan los cambios en un ordenador, por ejemplo, en el sistema
operativo, en su configuración, el registro del equipo y sus aplicaciones, etc. Otro tipo de IDS
son los basados en sondas de red NIDS (Network Intrusion Detection Systems), que se basan en
instalar una sonda en cada segmento de la red que se quiera monitorizar.

Guión intypedia005es 4





Los NIDS pueden funcionar de dos formas distintas. El método más común es comprobar el
tráfico contra una base de datos de firmas y si hay coincidencias, generar la alarma. La otra
opción consiste en registrar tráfico durante un tiempo y crear un patrón de comportamiento;
posteriormente todos los paquetes recibidos son comprobados contra el patrón inicial
causando una alerta si no hubiese coincidencias.

Por aquí tengo una firma sencilla para que veamos cómo funciona.

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
(msg:"WEB-IIS ISAPI .printer access";
flow:to_server,established;
uricontent:".printer"; nocase;
reference:arachnids,533; reference:bugtraq,2674; reference:cve,2001-0241; reference:nessus,10661;
classtype:web-application-activity;
sid:971;
rev:9;)


En este ejemplo puedes ver en la primera línea cómo se identifica en qué interfaz, protocolo y
servicio sería comprobada la firma. La segunda línea identifica el mensaje que sería enviado
como alerta si, tal y como dice la tercera y cuarta línea, en una conexión establecida se
encuentra la cadena “.printer” dentro de una petición Web URI (Uniform Resource Identifier).
Las últimas líneas reflejan las referencias a esta vulnerabilidad y otros datos de identificación y
clasificación.

ALICIA

Pero… ¿esta base de datos con firmas se actualizará periódicamente para que los nuevos
ataques sean detectados rápidamente, no?



Guión intypedia005es 5

BERNARDO

Efectivamente, estos sistemas y la configuración general de seguridad han de mantenerse
siempre actualizados. Las firmas son muy efectivas para detectar ataques rápidamente, pero
además existen otras tecnologías para conocer nuevas tendencias y técnicas utilizadas por los
intrusos; en este sentido son muy útiles las honeypots. Se denomina honeypot al software o
conjunto de ordenadores cuya intención es atraer a atacantes; para ello se instalan y
configuran con fallos graves precisamente para que sean vulnerados. Cuando los intrusos
entren, todas sus acciones serán controladas y monitorizadas para mejorar la arquitectura de
seguridad.

ALICIA

Esto me parece algo peligroso. ¿Dónde se definen las vulnerabilidades, en el sistema operativo
o en aplicaciones? Es más, ¿qué vulnerabilidades se utilizan?

BERNARDO

Es verdad, estas trampas tienen riesgos y por eso requieren mucho trabajo para asegurar que
su aislamiento, su desconexión de las redes principales, es completo. Este es uno de los
principales motivos por los que su uso no es habitual. En cuanto a las vulnerabilidades,
depende del tipo de honeypot. Hay dos clases: de baja interacción, en las que se simula el
sistema operativo y las aplicaciones, o bien las de alta interacción en las que los fallos se
encuentran en los servicios. Un ejemplo puede ser algo tan sencillo como establecer una
contraseña fácilmente adivinable como 1234 para el usuario root de un ftp o ssh.

ALICIA

Y cuando intenten entrar… ¡el cazador es cazado!

BERNARDO

¡Exacto! Y junto a él, obtendremos muestras de nuevas vulnerabilidades, gusanos, correos con
spam y todo lo que no desearíamos en nuestra red.



ESCENA 3. TRÁFICO EN LA RED. ANTIVIRUS, ANTISPAM y VPN

ALICIA

Bernardo, tengo una duda. Dentro de la seguridad perimetral, ¿se podría establecer algún tipo
d
  • Links de descarga
http://lwp-l.com/pdf6923

Comentarios de: LECCIÓN 5: SEGURIDAD PERIMETRAL (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad