PDF de programación - Firewalls de Internet

Firewalls de Internet

Ricardo D. Pantazis

Introducción

Firewall: sistema que restringe el acceso
entre una red protegida e Internet.
Nociones de seguridad.
Conceptos para construcción de firewalls.

13-nov-03

UCEMA

2

Agenda

Nociones de seguridad en redes
Tecnologías de Firewall
Arquitecturas de Firewall
Filtrado de paquetes en LINUX
Herramientas
Referencias

13-nov-03

UCEMA

3

Concepto

Los firewalls son parte de una estrategia
efectiva para resolver el problema de la
seguridad en Internet.
La mejor solución es a menudo una
combinación de tecnologías y depende
mucho de las políticas y de los servicios que
deben implementarse.

13-nov-03

UCEMA

4

Motivación

Tratamos de proteger

Datos.
Recursos.
Reputación.

Contra ataques de

Intrusión.
Negación de servicio.
Robo de información.

13-nov-03

UCEMA

5

Modelos de Seguridad

Seguridad por Secreto (oscuridad)
Seguridad de Máquinas
Seguridad de Redes

Por lo general es necesaria una combinación

de estos modelos.

13-nov-03

UCEMA

6

Etimología

En construcción, la palabra “firewall” denota una
pared que evita que el fuego (los peligros de
Internet) se propague dentro del edificio (nuestra
red interna).
En la práctica un firewall es más similar al foso
que rodeaba a los castillos medievales:

Restringe entradas y salidas a un punto bien controlado.
Evita que los atacantes se acerquen a otras defensas.

13-nov-03

UCEMA

7

Que puede hacer un Firewall?

Foco para decisiones de seguridad.
Imponer una política de seguridad.
Registrar eficientemente la actividad de
Internet.
Limitar la exposición ante ataques.

13-nov-03

UCEMA

8

Que no puede hacer un Firewall?

Proteger contra usuarios maliciosos.
Proteger contra conexiones que no pasan
por el firewall.
Proteger contra nuevas amenazas.
Proteger completamente contra virus.
Autoconfigurarse correctamente.

13-nov-03

UCEMA

9

Desventajas de los Firewalls

Interfieren con el uso de Internet.
Los problemas que los firewalls no pueden
resolver (amenazas internas y conexiones
externas que no pasan por el firewall) son
más importantes que los problemas que los
firewalls pueden resolver.

13-nov-03

UCEMA

10

Servicios de Internet

World Wide Web (HTTP).
Correo Electrónico (SMTP).
Transferencia de Archivos (FTP).
Acceso remoto (Telnet, SSH).
Búsqueda de nombres y direcciones (DNS).
Los servicios tienen distintos niveles de
seguridad. Pero se pueden usar servicios
seguros de manera insegura y viceversa.

13-nov-03

UCEMA

11

Estrategias de Seguridad

Mínimo privilegio.
Defensa en profundidad.
Cuello de botella.
Eslabón más débil.
Política para el caso de fallas.
Participación universal.
Diversidad de defensas.
Simplicidad.

13-nov-03

UCEMA

12

Paquetes y Protocolos

Para transferir eficientemente la
información, la misma debe dividirse en
pequeños trozos llamados paquetes.
Cada paquete consta de:

encabezado
cuerpo

La comunicación se establece mediante
protocolos que se agrupan en capas.

13-nov-03

UCEMA

13

Paquetes y Protocolos

Las capas de TCP/IP sobre las que se basa
Internet son:

Capa de Aplicaciones (HTTP, SMTP, FTP)
Capa de Transporte (TCP, UDP)
Capa de Internet (IP)
Capa de Acceso a la Red (Ethernet, ATM)

Las capas inferiores encapsulan los
paquetes de las capas superiores.

13-nov-03

UCEMA

14

Paquetes y Protocolos

Encapsulado

13-nov-03

UCEMA

15

Paquetes y Protocolos

Anatomía de un paquete IP v4

13-nov-03

UCEMA

16

Paquetes y Protocolos

Fragmentación

13-nov-03

UCEMA

17

Paquetes y Protocolos

Fragmentación

13-nov-03

UCEMA

18

Paquetes y Protocolos

TCP

TCP es el protocolo más utilizado para
brindar servicios de Internet.
Provee conexión confiable y bidireccional.
Confiable, significa que el destino recibe la
información enviada:

Completamente.
Sin duplicaciones.
En el mismo orden en que fue enviada.

13-nov-03

UCEMA

19

Paquetes y Protocolos

TCP

Bidireccional: la misma conexión se usa para
pedidos al servidor y para respuestas a los clientes.
TCP implica costos de establecimiento y de
operación de la conexión.
TCP usa números secuenciales para garantizar que
los paquetes lleguen en el orden correcto.
Opciones TCP (flags)
ACK (reconocimiento)
SYN (sincronización)
URG (urgente)

PSH (empujar)
RST (restablecer)
FIN (terminar)

13-nov-03

UCEMA

20

Paquetes y Protocolos

TCP - Conexión

13-nov-03

UCEMA

21

Paquetes y Protocolos

TCP

De interés para un firewall son las opciones:

ACK: porque permite determinar el inicio de
una conexión.
RST porque permite interrumpir una conexión
sin devolver un mensaje útil al agente externo.

13-nov-03

UCEMA

22

Paquetes y Protocolos

UDP

Mayor eficiencia que TCP porque no
garantiza orden de los paquetes.
Puede haber paquetes duplicados.
La aplicación es responsable de
implementar las garantías que UDP no
ofrece.

13-nov-03

UCEMA

23

Paquetes y Protocolos

ICMP

Protocolo utilizado para estado de IP y para
enviar mensajes de control.
Mensajes típicos:

Pedido de eco (echo request)
Respuesta a eco (echo response)
Tiempo excedido
Destino no alcanzable.
Redirección

13-nov-03

UCEMA

24

Ataques basados en detalles de

bajo nivel de los protocolos

Análisis de puertos (port scanning).
Debilidades de la implementación.
Intercepción de paquetes.

13-nov-03

UCEMA

25

Vocabulario

Enrutador (router): dispositivo que permite
interconectar distintas redes IP.
Máquina (host): computadora conectada a una red.
Máquina bastión: computadora altamente segura.
PROXY: programa intermediario que comunica a
clientes internos con servidores externos.

13-nov-03

UCEMA

26

Tecnologías de Firewall

13-nov-03

UCEMA

27

Tecnologías de Firewall

Filtrado de paquetes.
Servicios proxy.
Traducción de direcciones (NAT).
Redes privadas virtuales (VPN).

13-nov-03

UCEMA

28

Tecnologías de Firewall

Filtrado de Paquetes

Operan en capa IP o de acceso a la red.
Por lo general, el enrutador debe decidir en
base a la dirección IP de destino.
Tablas de ruteo, fijas o protocolo de ruteo.
Enrutador: cómo enviar el paquete?
Filtro de paquetes: debo enviar el paquete?

13-nov-03

UCEMA

29

Tecnologías de Firewall

Filtrado de Paquetes

Ventajas:

Un solo enrutador con filtrado puede proteger
toda una red completa.
El filtrado simple es muy eficiente.

Desventajas:

El filtrado reduce la performance del enrutador.
Algunas políticas no son fáciles de implementar
por enrutadores comunes.

13-nov-03

UCEMA

30

Tecnologías de Firewall

Sistemas PROXY

Idea: proveer acceso a Internet a un gran
número de máquinas, a través de pocas
máquinas conectadas a Internet.
Las máquinas conectadas a Internet actúan
como intermediarias (PROXY) para las que
no tienen conexión.
Operan en la capa de aplicaciones.

13-nov-03

UCEMA

31

Tecnologías de Firewall

Sistemas PROXY

13-nov-03

UCEMA

32

Tecnologías de Firewall

Sistemas PROXY

Ventajas:

Registro eficiente de conexiones
Capacidad de filtrado inteligente/caching.
Autenticación de usuarios.
Protección automática para debilidades en la
implementación

Desventajas:

Demora en disponer del proxy para nuevas
aplicaciones.
A menudo implican modificaciones a los clientes y las
aplicaciones.

13-nov-03

UCEMA

33

Tecnologías de Firewall

Traducción de direcciones (NAT)

13-nov-03

UCEMA

34

Tecnologías de Firewall

Traducción de puertos (PAT)

13-nov-03

UCEMA

35

Tecnologías de Firewall
Traducción de direcciones

Ventajas:

Impone control sobre conexiones salientes.
Oculta la configuración de la red interna.

Desventajas:

Problemas con direcciones IP embebidas.
Interferencia con registro, filtrado de paquetes,
sistemas de encriptación y autenticación.

13-nov-03

UCEMA

36

Redes Privadas Virtuales

VPN

Idea: uso de encriptación y control de
integridad para poder usar una red pública
(Internet) como si fuera privada.
Combinar el bajo costo de las redes públicas
con la seguridad de las redes privadas.

13-nov-03

UCEMA

37

Redes Privadas Virtuales

VPN

Ventajas:

Proveen encriptación global.
Permiten utilizar protocolos difíciles de
segurizar.
Costo

Desventajas:

Implican conexiones riesgosas a red pública.
Extienden la red que debemos proteger.

13-nov-03

UCEMA

38

Arquitecturas de Firewall

13-nov-03

UCEMA

39

Arquitecturas de Firewall
Enrutador con filtrado

13-nov-03

UCEMA

40

Arquitecturas de Firewall
Máquina con dos interfases

13-nov-03

UCEMA

41

Arquitecturas de Firewall

Máquina Filtrada

13-nov-03

UCEMA

42

Arquitecturas de Firewall

Red Filtrada

13-nov-03

UCEMA

43

Arquitecturas de Firewall

Red Filtrada Separada

13-nov-03

UCEMA

44

Diseño de Firewall

13-nov-03

UCEMA

45

Diseño de Firewalls

Proceso

Definir requerimientos.
Evaluar productos disponibles
Integrar productos seleccionados

Requerimientos

Servicios que deben ofrecerse.
Nivel relativo de seguridad.
Nivel de utilización.
Confiabilidad

13-nov-03

UCEMA

46

Diseño de Firewalls

Evaluación de productos disponibles

Escalabilidad.
Confiabilidad y redundancia.
Auditabilidad.
Herramientas de manejo y configuración.
Flexibilidad.

13-nov-03

UCEMA

47

Diseño de Firewalls

Integración de productos seleccionados.

Implementación de registros (log).
Copias de respaldo.
Servicios de soporte requeridos (DNS, NTP).
Manejo de alarmas.
Informes de rutina.

13-nov-03

UCEMA

48

Tecnologías de Firewall

13-nov-03

UCEMA

49

Filtrado de Paquetes

Enrutadores deciden como transmitir los
paquetes basados en la dirección de destino
y tablas de ruteo.
Enrutadores son un cuello de botella.
Proteger toda una red desde un único punto.

13-nov-03

UCEMA

50

Filtrado de Paquetes
Dinámico o con estado

13-nov-03

UCEMA

51

Filtrado de Paquetes

Configuración

Protocolos usualmente bidireccionales.
Distinguir “entrante” y “saliente” para
paquetes y para servicios.
Definir postura por omisión (default).
Filtrado por interfase.

13-nov-03

UCEMA

52

Tecnologías de Firewall

Filtrado de Paquetes
Características de un filtro de paquetes