tema5: cortafuegos
TRANSCRIPT
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 1
1
Te
ma
5:
Co
rt
af
ue
go
s Tema5: Cortafuegos
n Cortafuegosu ¿Qué es un cortafuegos?u Filtros de paquetesu Sistemas proxyu Arquitecturas para cortafuegos
F Chapman, caps. 2, 4, 6 y 7F www.iti.upv.es/seguridadF www.rediris.es/cert/docs/cf-reglas.es.htmlF www.tis.com/Home/networksecurity.html
Índice del tema
2
Te
ma
5:
Co
rt
af
ue
go
s
Objetivosn Aprender qué tipo de protección
proporciona un cortafuegos, así como loselementos intervienen en su construcción
n Conocer los tipos de cortafuegos, susprincipales características defuncionamiento y de configuración
Objetivos del tema
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 2
3
Te
ma
5:
Co
rt
af
ue
go
s
5.1 ¿Qué es un cortafuegos?
5.1 ¿Qué es un cortafuegos?n Un cortafuegos es similar a la puerta de
entrada de una fortalezan Está formado por una serie de
mecanismos hardware y software cuyoobjetivo es mantener nuestra red a salvode los peligros que puedan venir desde elexterior (Internet). Permite:u Restringir la entrada/salida de los usuarios
a un punto que puede controlarsecuidadosamente
u Impedir que los atacantes puedanacercarse a nuestras defensas
4
Te
ma
5:
Co
rt
af
ue
go
s
¿Qué es un cortafuegos? (II)n A menudo se instala en el punto de conexión de
nuestra red con la Internetn No puede solucionar todos los problemas de
seguridad y debe utilizarse junto a otras medidasinternas de seguridad
Red local INTERNETCortafuegos
5.1 ¿Qué es un cortafuegos?
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 3
5
Te
ma
5:
Co
rt
af
ue
go
s¿Qué cosas puede hacer uncortafuegos?
n Proporcionar un punto donde concentrar lasmedidas de seguridad
n Ayudar a llevar a cabo la política de seguridad:u Permite desactivar servicios que se consideran
inseguros desde Internetu Permite restringir fácilmente el acceso o la
salida desde/hacia determinadas máquinasn Permitir el registro de información sobre la
actividad entre la red interna y el exteriorn Aislar unas secciones internas de la red de otras
5.1 ¿Qué es un cortafuegos?
6
Te
ma
5:
Co
rt
af
ue
go
s
¿Qué cosas no puede hacerun cortafuegos?n Proteger de enemigos internos
u La información confidencial no sólo puedeexportarse a través de la red
u Las acciones indebidas sobre máquinas (accesosno autorizados, introducción de virus, etc.) sepueden realizar aún más fácilmente desde la redinterna
n Impedir y proteger conexiones que no pasan a travésde él (¡ojo con los módems!)
n Proteger contra nuevos tipos de ataque que no tienecatalogados
n Impedir la entrada de virus5.1 ¿Qué es un cortafuegos?
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 4
7
Te
ma
5:
Co
rt
af
ue
go
s
5.2 Filtros de paquetes (I)n Los filtros de paquetes encaminan paquetes
entre ordenadores internos y externos a la redde forma selectiva, según las reglasestablecidas por la política de seguridad
n Llevan a cabo tareas de encaminamientopero...u Un router normal analiza la dirección destino de
cada paquete y escoge la mejor ruta para elmismo
u Un router de filtrado de paquetes analiza elpaquete y decide si debe o no encaminarlo
5.2 Filtros de paquetes
8
Te
ma
5:
Co
rt
af
ue
go
s
Filtros de paquetes (II)
INTERNET
Router
Red interna
Router de filtrado depaquetes
n Sólo pasan lospaquetespermitidos por lasreglas de filtrado(en cualquiera delos dos sentidos)
5.2 Filtros de paquetes
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 5
9
Te
ma
5:
Co
rt
af
ue
go
s
Información que utilizann Cada paquete IP lleva información en su
cabecera sobre:u Direcciones IP fuente y destinou Protocolo (TCP, UDP, ICMP)u Puertos fuente y destino TCP o UDPu Tipo de mensaje ICMP
n Además, el router conoce:u La interfaz de llegada del paqueteu La interfaz de salida del paquete
5.2 Filtros de paquetes
10
Te
ma
5:
Co
rt
af
ue
go
s
Posibilidades de los filtrosn Permiten controlar las transferencias de
paquetes en base a:u La dirección (supuestamente) fuente de los
datosu La dirección destino de los datosu El protocolo de aplicación que utilizan
n No pueden (por ejemplo):u Dar diferentes privilegios a distintos usuariosu Permitir transferencias de algunos ficheros
pero no de otros5.2 Filtros de paquetes
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 6
11
Te
ma
5:
Co
rt
af
ue
go
sVentajas e inconvenientes delos filtrosn Facilitan la
administración de lared
n Son transparentespara el usuario (amenos que intentehacer algo prohibido)
n Amplia disponibilidadpara incorporarlos alos routers
n Incómodos deconfigurar
n Es difícil comprobarsu correctofuncionamiento
n Capacidad de filtradomuy limitada enmuchos de losproductos
n No se adaptan bien atodas las políticas deseguridad
5.2 Filtros de paquetes
12
Te
ma
5:
Co
rt
af
ue
go
s
Convenciones para las reglasde filtrado
n Diferentes filtros utilizan distintasconvenciones para definir las reglas de filtrado
n En nuestros ejemplos:u Identificaremos las direcciones de red como
“internas“ (de nuestra red IP) y “externas” (elresto)
u El router examinará las reglas en orden hastaencontrar la que se ajuste al paquete
u La última regla será negar el acceso (másseguro)
5.2 Filtros de paquetes
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 7
13
Te
ma
5:
Co
rt
af
ue
go
s
Filtrado por dirección (I)n Restringe el flujo de paquetes basándose
únicamente en las direcciones fuente ydestinou No examina información del nivel de
transporten Es el tipo más simple de filtrado, aunque
no el más comúnn Utilidad principal: Impedir el acceso a los
paquetes del exterior que intentan utilizaruna dirección de la red interna
5.2 Filtros de paquetes
14
Te
ma
5:
Co
rt
af
ue
go
s
Filtrado por dirección (II)n Regla para evitar las suplantaciones de
hosts internos desde el exterior de la red
n Este filtrado no permite detectar lassuplantaciones de host externosu la solución a este problema requiere
autentificación criptográfica
Sentido Dir. fte. Dir. dtno. AcciónEntrada Interna Cualquiera Rechazar
5.2 Filtros de paquetes
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 8
15
Te
ma
5:
Co
rt
af
ue
go
s
Filtrado por servicion Es más complejo, pero proporciona
mayores posibilidadesn Emplea información de nivel IP y de nivel
de transporte, por ejemplo:u Direcciones IP fuente y destinou Tipo de protocolo de transporteu Puerto fuente y puerto destino
5.2 Filtros de paquetes
16
Te
ma
5:
Co
rt
af
ue
go
s
Ejemplo: Filtrado por servicion Queremos permitir el envío y la recepción
de correo mediante SMTP (y nada más)n Podemos empezar con estas reglas de
filtrado:Sentido Dirección
fuenteDir. destino Protocol
oPto.destino
Acción
A In Externa Int TCP 25 PermitirB Out Interna Ext TCP >1023 PermitirC Out Interna Ext TCP 25 PermitirD In Externa Int TCP >1023 PermitirE In/Out * * * * Rechaza
r
5.2 Filtros de paquetes
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 9
17
Te
ma
5:
Co
rt
af
ue
go
s
Ejemplo (II)
INTERNET
Red interna
194.168.3.7
Cliente SMTPTCP 1321
Servidor SMTPTCP 25
158.42.53.127
Cortafuegos
B A
5.2 Filtros de paquetes
18
Te
ma
5:
Co
rt
af
ue
go
s
Ejemplo (III)
5.2 Filtros de paquetes
Sentido Dir.fuente
Dir.destino
Proto Pto.fuente
Pto.destino
Acción
A In Ext Int TCP >1023 25 PermitirB Out Int Ext TCP 25 >1023 PermitirC Out Int Ext TCP >1023 25 PermitirD In Ext Int TCP 25 >1023 PermitirE In/Out * * * * * Rechazar
→←
Dir.fuente
Dir.destino
Proto Pto.fuente
Pto.destino
ACK
Acción
A In Ext Int TCP >1023 25 * PermitirB Out Int Ext TCP 25 >1023 SI PermitirC Out Int Ext TCP >1023 25 * PermitirD In Ext Int TCP 25 >1023 SI PermitirE In/
Out* * * * * * Rechazar
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 10
19
Te
ma
5:
Co
rt
af
ue
go
s
5.3 Servicios proxyn Son aplicaciones que se ejecutan en un
cortafuegos, analizan las peticiones de losusuarios para servicios Internet y las reenvían ono de acuerdo con la política de seguridadestablecida
n Se les llama también “cortafuegos de nivel deaplicación”
n Son específicos para cada servicio y (a diferenciade los proxys) pueden tener en cuenta lasparticularidades del mismou Por ejemplo, un proxy FTP podría denegar a
sus usuarios permiso para exportar ficheros opodría permitir importar ficheros sólo dedeterminados servidores
20
Te
ma
5:
Co
rt
af
ue
go
s
Conexiones a través de un proxyn La conexión cliente - servidor se
sustituye ahora por dosconexiones:u conexión cliente - proxyu conexión proxy - servidor
n El usuario tiene la ilusión deestar hablando directamentecon el servidor externo
n El servidor externo no ve másallá del proxy (el resto de la redpermanece oculta)
C S
C P C
5.3 Sistemas proxy
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 11
21
Te
ma
5:
Co
rt
af
ue
go
s
Efectividad del proxyn El servidor proxy sólo resulta efectivo si se
utiliza junto a un mecanismo (p.ej. Un filtrode paquetes) que impida la comunicacióndirecta entre el interior y el exterior de lared
INTERNETCliente
LANProxy
5.3 Sistemas proxy
22
Te
ma
5:
Co
rt
af
ue
go
s
5.4 Arquitecturas paracortafuegos
n Rara vez la construcción de un cortafuegos seapoya en una única técnica o elemento
n Generalmente se emplearán diferentesmecanismos para solucionar distintos problemasu Algunos protocolos (p. ej. Telnet, SMTP)
pueden manejarse mejor mediante filtros depaquetes, otros sin embargo, (FTP, gopher,WWW) se ajustan mejor al tratamientomediante proxys
n La mayoría de los cortafuegos emplearán unacombinación de filtros de paquete y servidoresproxy
5.4 Arquitecturas para cortafuegos
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 12
23
Te
ma
5:
Co
rt
af
ue
go
sArquitectura 1: hostdoblemente conectadon El cortafuegos está constituido por un
único host que se encarga de aislar la reddel exterior
n El host proporciona servicios proxyimpidiendo alcanzar la red directamentedesde el exterior
Cortafuegos
INTERNETRed interna
5.4 Arquitecturas para cortafuegos
24
Te
ma
5:
Co
rt
af
ue
go
s
n El acceso al exterior puede tambiénconseguirse permitiendo a los usuarios dela red tener cuenta en el host delcortafuegos (opción poco recomendable)
n Frente a otras opciones que veremospresenta el inconveniente de que un hostsiempre presenta más puntos débilesfrente a los ataques que un router por loque suele resultar más difícil de defender
Arquitectura 1: hostdoblemente conectado
5.4 Arquitecturas para cortafuegos
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 13
25
Te
ma
5:
Co
rt
af
ue
go
sArquitectura 2 : router + hostbastion (I)n En este caso el cortafuegos incluye un
router de filtrado de paquetes y un hostbastión*
* Ordenador fuertemente protegido porque es vulnerable a ataques, usualmente por estarexpuesto a Internet
INTERNET
Red interna
Cortafuegos
5.4 Arquitecturas para cortafuegos
26
Te
ma
5:
Co
rt
af
ue
go
s
Arquitectura 2 : router + hostbastion (II)n En esta arquitectura la seguridad se apoya
principalmente en el filtro de paquetesn El tráfico que viene de Internet sólo puede
establecer conexión con el host bastión (ysólo determinado tipo de tráfico)u Se requiere el empleo de medidas de
seguridad adicionales en este host
5.4 Arquitecturas para cortafuegos
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 14
27
Te
ma
5:
Co
rt
af
ue
go
sArquitectura 2: Router + hostbastión (III)n Dependiendo de la política de seguridad
elegida, el router:u Permitirá sólo las conexiones que vienen
del host bastión (para los serviciostolerados)
u Permitirá a otros hosts internos establecerconexiones directamente con servidores deInternet en el exterior (tolerando esosservicios vía filtrado de paquetes)
n Puede utilizarse una mezcla de las dosopciones
5.4 Arquitecturas para cortafuegos
28
Te
ma
5:
Co
rt
af
ue
go
s
Puntos débiles de laarquitectura 2n ¿Qué arquitectura proporciona más
seguridad, la 2 ó la 1?n Inconvenientes de la arquitectura 2:
u Un intruso que consiga el acceso al hostbastión podrá examinar todo el tráfico de lared (es fácil que pueda ver los nombres delas cuentas de los usuarios y suspasswords)
u El router es un punto singular de fallo, si unintruso compromete el router tendrá la redentera a su disposición
5.4 Arquitecturas para cortafuegos
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 15
29
Te
ma
5:
Co
rt
af
ue
go
sArquitectura 3: Con redperimetral (I)
RED PERIMETRAL
INTERNET
RED INTERNA
router exterior
router interior
host bastion
CORTAFUEGOS
5.4 Arquitecturas para cortafuegos
30
Te
ma
5:
Co
rt
af
ue
go
s
Arquitectura 3: Con redperimetral (II)n Esta arquitectura proporciona un nivel extra de
seguridad sobre la anterior añadiendo una redintermedia que aísla la red interna de la Internet
n Esto disminuye el impacto que provocaba en laarquitectura 2 el acceso de un intruso al hostbastión
n La red intermedia está limitada por dos routersfiltros de paquetes, uno que permite el acceso aInternet y el otro a la red interior
n Si se desea mayor seguridad en determinadaszonas de la red interna pueden establecersevarias redes perimetrales en lugar de una sola
5.4 Arquitecturas para cortafuegos
Elvira Baydal Cardona 19/04/00
Tema 1: Introducción 16
31
Te
ma
5:
Co
rt
af
ue
go
s
Configuración de los routersn Todo el tráfico que circula por la red perimetral
debería ser tráfico entre el host bastión y la redinterna o entre el host bastión y la Internet (nodeberían aparecer los paquetes cuyo origen y destinose encuentran en la red interna)
n Los dos routers pueden configurarse con las mismasreglas de filtradou Pero no siempre se tiene libertad para configurar
el router externo (p. ej. Cuando lo proporciona elproveedor de acceso a Internet
u Sólo el router externo puede filtrar los paquetesque desde Internet intentan suplantar ordenadoresdel interior
5.4 Arquitecturas para cortafuegos