tema5: cortafuegos

Elvira Baydal Cardona 19/04/00

Tema 1: Introducción 1

1

Te

ma

5:

Co

rt

af

ue

go

s Tema5: Cortafuegos

n Cortafuegosu ¿Qué es un cortafuegos?u Filtros de paquetesu Sistemas proxyu Arquitecturas para cortafuegos

F Chapman, caps. 2, 4, 6 y 7F www.iti.upv.es/seguridadF www.rediris.es/cert/docs/cf-reglas.es.htmlF www.tis.com/Home/networksecurity.html

Índice del tema

2

Te

ma

5:

Co

rt

af

ue

go

s

Objetivosn Aprender qué tipo de protección

proporciona un cortafuegos, así como loselementos intervienen en su construcción

n Conocer los tipos de cortafuegos, susprincipales características defuncionamiento y de configuración

Objetivos del tema



3

Te

ma

5:

Co

rt

af

ue

go

s

5.1 ¿Qué es un cortafuegos?

5.1 ¿Qué es un cortafuegos?n Un cortafuegos es similar a la puerta de

entrada de una fortalezan Está formado por una serie de

mecanismos hardware y software cuyoobjetivo es mantener nuestra red a salvode los peligros que puedan venir desde elexterior (Internet). Permite:u Restringir la entrada/salida de los usuarios

a un punto que puede controlarsecuidadosamente

u Impedir que los atacantes puedanacercarse a nuestras defensas

4

Te

ma

5:

Co

rt

af

ue

go

s

¿Qué es un cortafuegos? (II)n A menudo se instala en el punto de conexión de

nuestra red con la Internetn No puede solucionar todos los problemas de

seguridad y debe utilizarse junto a otras medidasinternas de seguridad

Red local INTERNETCortafuegos




5

Te

ma

5:

Co

rt

af

ue

go

s¿Qué cosas puede hacer uncortafuegos?

n Proporcionar un punto donde concentrar lasmedidas de seguridad

n Ayudar a llevar a cabo la política de seguridad:u Permite desactivar servicios que se consideran

inseguros desde Internetu Permite restringir fácilmente el acceso o la

salida desde/hacia determinadas máquinasn Permitir el registro de información sobre la

actividad entre la red interna y el exteriorn Aislar unas secciones internas de la red de otras


6

Te

ma

5:

Co

rt

af

ue

go

s

¿Qué cosas no puede hacerun cortafuegos?n Proteger de enemigos internos

u La información confidencial no sólo puedeexportarse a través de la red

u Las acciones indebidas sobre máquinas (accesosno autorizados, introducción de virus, etc.) sepueden realizar aún más fácilmente desde la redinterna

n Impedir y proteger conexiones que no pasan a travésde él (¡ojo con los módems!)

n Proteger contra nuevos tipos de ataque que no tienecatalogados

n Impedir la entrada de virus5.1 ¿Qué es un cortafuegos?



7

Te

ma

5:

Co

rt

af

ue

go

s

5.2 Filtros de paquetes (I)n Los filtros de paquetes encaminan paquetes

entre ordenadores internos y externos a la redde forma selectiva, según las reglasestablecidas por la política de seguridad

n Llevan a cabo tareas de encaminamientopero...u Un router normal analiza la dirección destino de

cada paquete y escoge la mejor ruta para elmismo

u Un router de filtrado de paquetes analiza elpaquete y decide si debe o no encaminarlo

5.2 Filtros de paquetes

8

Te

ma

5:

Co

rt

af

ue

go

s

Filtros de paquetes (II)

INTERNET

Router

Red interna

Router de filtrado depaquetes

n Sólo pasan lospaquetespermitidos por lasreglas de filtrado(en cualquiera delos dos sentidos)




9

Te

ma

5:

Co

rt

af

ue

go

s

Información que utilizann Cada paquete IP lleva información en su

cabecera sobre:u Direcciones IP fuente y destinou Protocolo (TCP, UDP, ICMP)u Puertos fuente y destino TCP o UDPu Tipo de mensaje ICMP

n Además, el router conoce:u La interfaz de llegada del paqueteu La interfaz de salida del paquete


10

Te

ma

5:

Co

rt

af

ue

go

s

Posibilidades de los filtrosn Permiten controlar las transferencias de

paquetes en base a:u La dirección (supuestamente) fuente de los

datosu La dirección destino de los datosu El protocolo de aplicación que utilizan

n No pueden (por ejemplo):u Dar diferentes privilegios a distintos usuariosu Permitir transferencias de algunos ficheros

pero no de otros5.2 Filtros de paquetes



11

Te

ma

5:

Co

rt

af

ue

go

sVentajas e inconvenientes delos filtrosn Facilitan la

administración de lared

n Son transparentespara el usuario (amenos que intentehacer algo prohibido)

n Amplia disponibilidadpara incorporarlos alos routers

n Incómodos deconfigurar

n Es difícil comprobarsu correctofuncionamiento

n Capacidad de filtradomuy limitada enmuchos de losproductos

n No se adaptan bien atodas las políticas deseguridad


12

Te

ma

5:

Co

rt

af

ue

go

s

Convenciones para las reglasde filtrado

n Diferentes filtros utilizan distintasconvenciones para definir las reglas de filtrado

n En nuestros ejemplos:u Identificaremos las direcciones de red como

“internas“ (de nuestra red IP) y “externas” (elresto)

u El router examinará las reglas en orden hastaencontrar la que se ajuste al paquete

u La última regla será negar el acceso (másseguro)




13

Te

ma

5:

Co

rt

af

ue

go

s

Filtrado por dirección (I)n Restringe el flujo de paquetes basándose

únicamente en las direcciones fuente ydestinou No examina información del nivel de

transporten Es el tipo más simple de filtrado, aunque

no el más comúnn Utilidad principal: Impedir el acceso a los

paquetes del exterior que intentan utilizaruna dirección de la red interna


14

Te

ma

5:

Co

rt

af

ue

go

s

Filtrado por dirección (II)n Regla para evitar las suplantaciones de

hosts internos desde el exterior de la red

n Este filtrado no permite detectar lassuplantaciones de host externosu la solución a este problema requiere

autentificación criptográfica

Sentido Dir. fte. Dir. dtno. AcciónEntrada Interna Cualquiera Rechazar




15

Te

ma

5:

Co

rt

af

ue

go

s

Filtrado por servicion Es más complejo, pero proporciona

mayores posibilidadesn Emplea información de nivel IP y de nivel

de transporte, por ejemplo:u Direcciones IP fuente y destinou Tipo de protocolo de transporteu Puerto fuente y puerto destino


16

Te

ma

5:

Co

rt

af

ue

go

s

Ejemplo: Filtrado por servicion Queremos permitir el envío y la recepción

de correo mediante SMTP (y nada más)n Podemos empezar con estas reglas de

filtrado:Sentido Dirección

fuenteDir. destino Protocol

oPto.destino

Acción

A In Externa Int TCP 25 PermitirB Out Interna Ext TCP >1023 PermitirC Out Interna Ext TCP 25 PermitirD In Externa Int TCP >1023 PermitirE In/Out * * * * Rechaza

r




17

Te

ma

5:

Co

rt

af

ue

go

s

Ejemplo (II)

INTERNET

Red interna

194.168.3.7

Cliente SMTPTCP 1321

Servidor SMTPTCP 25

158.42.53.127

Cortafuegos

B A


18

Te

ma

5:

Co

rt

af

ue

go

s

Ejemplo (III)


Sentido Dir.fuente

Dir.destino

Proto Pto.fuente

Pto.destino

Acción

A In Ext Int TCP >1023 25 PermitirB Out Int Ext TCP 25 >1023 PermitirC Out Int Ext TCP >1023 25 PermitirD In Ext Int TCP 25 >1023 PermitirE In/Out * * * * * Rechazar

→←

Dir.fuente

Dir.destino

Proto Pto.fuente

Pto.destino

ACK

Acción

A In Ext Int TCP >1023 25 * PermitirB Out Int Ext TCP 25 >1023 SI PermitirC Out Int Ext TCP >1023 25 * PermitirD In Ext Int TCP 25 >1023 SI PermitirE In/

Out* * * * * * Rechazar



19

Te

ma

5:

Co

rt

af

ue

go

s

5.3 Servicios proxyn Son aplicaciones que se ejecutan en un

cortafuegos, analizan las peticiones de losusuarios para servicios Internet y las reenvían ono de acuerdo con la política de seguridadestablecida

n Se les llama también “cortafuegos de nivel deaplicación”

n Son específicos para cada servicio y (a diferenciade los proxys) pueden tener en cuenta lasparticularidades del mismou Por ejemplo, un proxy FTP podría denegar a

sus usuarios permiso para exportar ficheros opodría permitir importar ficheros sólo dedeterminados servidores

20

Te

ma

5:

Co

rt

af

ue

go

s

Conexiones a través de un proxyn La conexión cliente - servidor se

sustituye ahora por dosconexiones:u conexión cliente - proxyu conexión proxy - servidor

n El usuario tiene la ilusión deestar hablando directamentecon el servidor externo

n El servidor externo no ve másallá del proxy (el resto de la redpermanece oculta)

C S

C P C

5.3 Sistemas proxy



21

Te

ma

5:

Co

rt

af

ue

go

s

Efectividad del proxyn El servidor proxy sólo resulta efectivo si se

utiliza junto a un mecanismo (p.ej. Un filtrode paquetes) que impida la comunicacióndirecta entre el interior y el exterior de lared

INTERNETCliente

LANProxy

5.3 Sistemas proxy

22

Te

ma

5:

Co

rt

af

ue

go

s

5.4 Arquitecturas paracortafuegos

n Rara vez la construcción de un cortafuegos seapoya en una única técnica o elemento

n Generalmente se emplearán diferentesmecanismos para solucionar distintos problemasu Algunos protocolos (p. ej. Telnet, SMTP)

pueden manejarse mejor mediante filtros depaquetes, otros sin embargo, (FTP, gopher,WWW) se ajustan mejor al tratamientomediante proxys

n La mayoría de los cortafuegos emplearán unacombinación de filtros de paquete y servidoresproxy

5.4 Arquitecturas para cortafuegos



23

Te

ma

5:

Co

rt

af

ue

go

sArquitectura 1: hostdoblemente conectadon El cortafuegos está constituido por un

único host que se encarga de aislar la reddel exterior

n El host proporciona servicios proxyimpidiendo alcanzar la red directamentedesde el exterior

Cortafuegos

INTERNETRed interna


24

Te

ma

5:

Co

rt

af

ue

go

s

n El acceso al exterior puede tambiénconseguirse permitiendo a los usuarios dela red tener cuenta en el host delcortafuegos (opción poco recomendable)

n Frente a otras opciones que veremospresenta el inconveniente de que un hostsiempre presenta más puntos débilesfrente a los ataques que un router por loque suele resultar más difícil de defender

Arquitectura 1: hostdoblemente conectado




25

Te

ma

5:

Co

rt

af

ue

go

sArquitectura 2 : router + hostbastion (I)n En este caso el cortafuegos incluye un

router de filtrado de paquetes y un hostbastión*

* Ordenador fuertemente protegido porque es vulnerable a ataques, usualmente por estarexpuesto a Internet

INTERNET

Red interna

Cortafuegos


26

Te

ma

5:

Co

rt

af

ue

go

s

Arquitectura 2 : router + hostbastion (II)n En esta arquitectura la seguridad se apoya

principalmente en el filtro de paquetesn El tráfico que viene de Internet sólo puede

establecer conexión con el host bastión (ysólo determinado tipo de tráfico)u Se requiere el empleo de medidas de

seguridad adicionales en este host




27

Te

ma

5:

Co

rt

af

ue

go

sArquitectura 2: Router + hostbastión (III)n Dependiendo de la política de seguridad

elegida, el router:u Permitirá sólo las conexiones que vienen

del host bastión (para los serviciostolerados)

u Permitirá a otros hosts internos establecerconexiones directamente con servidores deInternet en el exterior (tolerando esosservicios vía filtrado de paquetes)

n Puede utilizarse una mezcla de las dosopciones


28

Te

ma

5:

Co

rt

af

ue

go

s

Puntos débiles de laarquitectura 2n ¿Qué arquitectura proporciona más

seguridad, la 2 ó la 1?n Inconvenientes de la arquitectura 2:

u Un intruso que consiga el acceso al hostbastión podrá examinar todo el tráfico de lared (es fácil que pueda ver los nombres delas cuentas de los usuarios y suspasswords)

u El router es un punto singular de fallo, si unintruso compromete el router tendrá la redentera a su disposición




29

Te

ma

5:

Co

rt

af

ue

go

sArquitectura 3: Con redperimetral (I)

RED PERIMETRAL

INTERNET

RED INTERNA

router exterior

router interior

host bastion

CORTAFUEGOS


30

Te

ma

5:

Co

rt

af

ue

go

s

Arquitectura 3: Con redperimetral (II)n Esta arquitectura proporciona un nivel extra de

seguridad sobre la anterior añadiendo una redintermedia que aísla la red interna de la Internet

n Esto disminuye el impacto que provocaba en laarquitectura 2 el acceso de un intruso al hostbastión

n La red intermedia está limitada por dos routersfiltros de paquetes, uno que permite el acceso aInternet y el otro a la red interior

n Si se desea mayor seguridad en determinadaszonas de la red interna pueden establecersevarias redes perimetrales en lugar de una sola




31

Te

ma

5:

Co

rt

af

ue

go

s

Configuración de los routersn Todo el tráfico que circula por la red perimetral

debería ser tráfico entre el host bastión y la redinterna o entre el host bastión y la Internet (nodeberían aparecer los paquetes cuyo origen y destinose encuentran en la red interna)

n Los dos routers pueden configurarse con las mismasreglas de filtradou Pero no siempre se tiene libertad para configurar

el router externo (p. ej. Cuando lo proporciona elproveedor de acceso a Internet

u Sólo el router externo puede filtrar los paquetesque desde Internet intentan suplantar ordenadoresdel interior


tema5: cortafuegos

Documents