Cortafuegos
Descargar como PPT, PDF0 recomendaciones1,393 vistas
El documento habla sobre cortafuegos de seguridad en redes telemáticas. Explica que un cortafuegos determina quién puede acceder a los recursos de una red local y facilita la labor del administrador de red al concentrar la seguridad. También describe los diferentes componentes de un cortafuegos como routers filtrador de paquetes, gateways a nivel de aplicación y circuito, y diferentes arquitecturas como host de base dual y subred de filtrado. Finalmente, menciona algunos cortafuegos comerciales como TIS Firewall Toolkit, Gauntlet
Cortafuegos
- 1. Cortafuegos Seguridad en Redes Telemáticas – Cortafuegos SEGURIDAD EN REDES TELEMÁTICAS Álvaro Torre Ruíz – Canales Eduardo de Frutos Salgado Curso 2000/2001
- 2. Introducción Prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, Vigilar tráfico. Detección de ataques. Seguridad en Redes Telemáticas – Cortafuegos
- 3. Conceptos Generales I Determina quien puede entrar para utilizar los recursos de red local. Seguridad en Redes Telemáticas – Cortafuegos
- 4. Conceptos Generales II Facilita la labor al Administrador de la red. Concentra la Seguridad. Genera alarmas de seguridad Monitoriza y registra el uso de servicios de Internet. Lugar lógico para desplegar un Traductor de Direcciones de Red (NAT). Seguridad en Redes Telemáticas – Cortafuegos
- 5. Limitaciones No puede protegerse contra aquellos ataques que efectúen fuera de su punto de operación. Por ejemplo: c onexiones cicunvecina s. Virus informático. Son solucionables. Seguridad en Redes Telemáticas – Cortafuegos
- 6. Diseño de Cortafuegos I Elegir la política del cortafuegos. “ Todo lo que no está explícitamente permitido está prohibido”. “ Todo lo que no está explícitamente prohibido está permitido”. Política interna de seguridad de la organización. ¿Qué se protege? Seguridad en Redes Telemáticas – Cortafuegos
- 7. Diseño de Cortafuegos II Componentes: Router Filtra-paquetes. Gateway (pasarela) a Nivel-aplicación. Gateway a (pasarela) a Nivel-circuito. Seguridad en Redes Telemáticas – Cortafuegos
- 8. Router filtra-paquetes I Decisiones sobre el paso de paquetes. Las reglas de filtrado se basan en r evisa r la información que poseen los datagramas en su cabecera . Seguridad en Redes Telemáticas – Cortafuegos
- 9. Router filtra-paquetes II L imitaciones : Definición del filtrado de paquetes compleja. Dificil monitorización y comprobación de los routers. Muchas implementaciones se fian de la dirección IP que puede ser falsificada con relativa facilidad A taques Por el direccionamiento IP. Agresiones originadas en el router. Agresiones por fragmentación. Seguridad en Redes Telemáticas – Cortafuegos
- 10. Gateways a nivel de aplicación I Se instala un código de propósito especial ( Proxy) para cada servicio que se desee proteger. Más estricto, costoso y poco flexible. Bastion Host La plataforma de hardware ejecuta una versión ‘segura’ de su sistema operativo. Sólo se instalan proxys de los servicios ‘esenciales’ Seguridad en Redes Telemáticas – Cortafuegos
- 11. Gateways a nivel de aplicación II Debe mantener la información detallada y auditada de todos los registros del tráfico de cada conexión. Soporta únicamente un conjunto de comandos. Cada proxy es independiente del resto de proxys del servidor de defensa. Sin acceso al disco. Seguridad en Redes Telemáticas – Cortafuegos
- 12. Gateways a nivel de aplicación II I Completo control de cada servicio. Soportan autenticaciones forzando al usuario para proveer información. Las reglas de filtrado son más fáciles que en un router filtra-paquetes. Limitación: Instalación de software especializado en cada sistema , servicio que se quiera proteger. Seguridad en Redes Telemáticas – Cortafuegos
- 13. Ejemplo: Gateway de Telnet Outside-Client > telnet servidor_defensa Username: Larry Emd Challenge Number "237936" Challenge Response: 723456 Trying 200.43.67.17 ... HostOS UNIX (servidor_defensa) bh-telnet-proxy> help Valid commands are: connect hostname help/? Quit/exit bh-telnet-proxy> connect servidor_interno HostOS UNIX (servidor_interno) login: Larry Emd Password: ###### Last login: Wendnesday June 15 11:17:15 Welcome Servidor_Interno >_ Seguridad en Redes Telemáticas – Cortafuegos
- 14. Gateways a nivel de circuito I Función que puede ser perfeccionada en un Gateway a nivel aplicación. Transmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes. U na vez establecida la conexión el cortafuegos actúa de forma independiente. Seguridad en Redes Telemáticas – Cortafuegos
- 15. Gateways a nivel de circuito II Seguridad en Redes Telemáticas – Cortafuegos
- 16. Arquitecturas de Cortafuegos Factores de evaluación de las arquitecturas: Control de daños en caso de vulneración del cortafuegos. Zona de riesgo (número de sistemas que pueden ser accedidos desde el exterior). Modo de fallo. Facilidad de uso Política empleada Seguridad en Redes Telemáticas – Cortafuegos
- 17. Arquitecturas de cortafuegos Encaminadores de filtrado (I). Implementación formada únicamente por un router de filtrado entre la red privada y la red externa. Seguridad en Redes Telemáticas – Cortafuegos
- 18. Arquitecturas de cortafuegos Encaminadores de filtrado (II). La zona de riesgo es igual al número de ordenadores de la red y el número y tipo de servicios hacia los que el router de filtrado permite el tráfico. Si el router falla o es vulnerado se deja sin protección a la red interna. Seguridad en Redes Telemáticas – Cortafuegos
- 19. Arquitecturas de cortafuegos Host de base dual Cortafuegos implementado situando un host entre las redes interna y externa que bloquea el tráfico directo entre las dos redes. Este host es un bastion host. Opciones de funcionamiento: Instalar en ese host gateways a nivel de aplicación Permitir login remoto en dicho host para, desde allí acceder al resto de host. Seguridad en Redes Telemáticas – Cortafuegos
- 20. Arquitecturas de cortafuegos Ejemplo de host de base dual donde se ha instalado un gateway para el correo. Facilidad para mantener los logs de las acciones que van aconteciendo Seguridad en Redes Telemáticas – Cortafuegos
- 21. Arquitecturas de cortafuegos Screened host gateway I Una de las configuraciones más utilizadas que se implementa utilizando un host bastion (donde se instalan los proxys) y un router de selección. El bastion host está en la red privada siendo el único equipo alcanzable desde el exterior. El router de selección permite que sólo los servicios que tienen instalado un proxy en el host bastion se comuniquen con él. Seguridad en Redes Telemáticas – Cortafuegos
- 22. Arquitecturas de cortafuegos Screened host gateway II. Un ejemplo de esta arquitecura ligeramente modificada es: Seguridad en Redes Telemáticas – Cortafuegos
- 23. Arquitecturas de cortafuegos Subred de filtrado: Aisla la red interna del exterior usando routers de selección con los que se pueden implementar varios niveles de filtrado (crear varias sub-redes). El ataque es muy díficil porque requiere reconfigurar el enrutamiento en las seb-redes. Seguridad en Redes Telemáticas – Cortafuegos
- 24. Cortafuegos comerciales Algunos ejemplos de cortafuegos comerciales son: Tis Firewall Toolkit, de Trusted Information System. (Libre distribución). Gauntlet Internet Firewall de Trusted Information System. Firewall – 1, de CheckPoint . Firewall FreeBsd. (Libre distribución). PIX Firewall, de Cisco System . Seguridad en Redes Telemáticas – Cortafuegos
- 25. Cortafuegos comerciales Tis Firewall Toolkit Realiza un filtrado a nivel de aplicación. Pensado para plataformas UNIX. En la distribución oficial contiene: Proxys para ftp, smtp, http/gohper, telnet, rlogin Herramientas para construir otros proxys Servidor de autenticación, demonio de log Lo usual es combinarlo con un router de selección (screened host gteway) Sigue la política: “todo lo que no se permite expresamente está prohíbido”. Seguridad en Redes Telemáticas – Cortafuegos
- 26. Cortafuegos comerciales TIS – FWTK II. Proceso de configuración de un gateway: Establecer el servicio como tal dentro del servidor UNIX. Hacer que el demonio inetd escuche también del puerto asociado al servicio. Definir las reglas de acceso al servicio en cuestión utilizando el fichero de configuración del TIS-FWTK ( netperm-table ). Seguridad en Redes Telemáticas – Cortafuegos
- 27. Cortafuegos comerciales Gauntlet Internet Firewall. Basado en el TIS-FWTK (usa su misma política). Combina los gateways a nivel de aplicación con técnicas de filtrado de paquetes incluídas en la propia herramienta. Permite gestión remota (HP Openview, CA Unicenter) Distingue dos grupos de servicios para peticiones desde redes reguras y para peticiones desde redes desconocidas. Seguridad en Redes Telemáticas – Cortafuegos
- 28. Cortafuegos comerciales Firewall – 1 Arquitectura modular, escalable Gestión centralizada. Disponible para varias plataformas Componentes: Interfaz gráfica de usuario. Servidor de gestión Módulo cortafuegos. Seguridad en Redes Telemáticas – Cortafuegos
- 29. Cortafuegos comerciales Firewall – 1 Módulo cortafuegos: Control de accesos. Autenticación de clientes y sesiones. Traducción de direcciones de red. Encriptación. Seguridad de contenidos. Seguridad en Redes Telemáticas – Cortafuegos