Sunteți pe pagina 1din 71

Seguridad y Alta Disponibilidad

Instalacin y configuracin de cortafuegos

David Villa Alises


Escuela Superior de Informtica Universidad de Castilla-La Mancha

Contenidos

Introduccin Tipos de cortafuegos.


Caractersticas. Funciones principales. DMZ

Diseo del sistema cortafuegos.

netfilter / iptables. Distribuciones libres para cortafuegos dedicados. Cortafuegos hardware.


http://www.esi.uclm.es

Introduccin

http://www.esi.uclm.es

Cortafuegos
RAE: 2. m. Arq. Pared toda de fbrica, sin madera alguna, y de
un grueso competente, que se eleva desde la parte inferior del edificio hasta ms arriba del caballete, con el fin de que, si hay fuego en un lado, no se pueda este comunicar al otro.

Wikipedia: es una parte de un sistema o una red que est


diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir/limitar, cifrar/descifrar el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios.

http://www.esi.uclm.es

Cortafuegos

Un cortafuegos es un dispositivo o sistema que controla el flujo de trfico entre diferentes reas de una red.
[R.A. Deal, Cisco Router Firewall Security]

http://www.esi.uclm.es

Para qu sirve?
El objetivo de todo cortafuegos es proporcionar un medio para implementar la poltica de control de acceso.

red protegida

red exterior

router

cortafuegos

http://www.esi.uclm.es

Para qu sirve?

Control

Ej: Los usuarios de mi red solo podrn acceder a ciertos sitios web, y no podrn usar IRC. Ej: Solo los usuarios de cierta red pueden acceder a mi servidor SSH. Ej: Determinar qu mquina est haciendo constantemente intentos de acceso a mi servidor.
http://www.esi.uclm.es

Seguridad/Proteccin

Vigilancia

Caractersticas habituales

Ligados a un encaminador. Controla el trfico. Protege los recursos sensibles. Oculta la estructura interna. Establece reas con restricciones diferentes. Registra e informa de incidencias.

http://www.esi.uclm.es

Tipos de cortafuegos

http://www.esi.uclm.es

Tipos de cortafuegos

De filtrado de paquetes (packet-filtering stateless)

Con estado (stateful)

Pasarela de aplicacin (application gateway) Cortafuegos NAT (address-translation) Local o personal (host-based) Hbridos

http://www.esi.uclm.es

10

Cortafuegos de filtrado de paquetes

Sin estado (no tienen en cuenta el trfico anterior). Dado un paquete y un conjunto de reglas decide:

Reenviar: ACCEPT Descartar: DROP Rechazar: REJECT. Como DROP pero informando al remitente
(con ICMP).

Dos polticas:

Restrictiva: Todo lo que no est explcitamente permitido, est prohibido. Permisiva: Todo lo que no est explcitamente prohibido, est permitido.

http://www.esi.uclm.es

11

Cortafuegos de filtrado de paquetes

Inspeccin de paquetes

Direccin de capa 3 (IP) origen o destino. Direccin de capa 4 (puerto) origen o destino. Carga til de paquete (campo protocol). Flags de la cabecera: SYN, RST, ... Interfaz de red, de entrada o salida El propietario del proceso que cre el paquete. etc...

http://www.esi.uclm.es

12

Inspeccin

Formato del paquete IP


20 65536 bytes 20 60 bytes

Paquete IP

encabezado

carga (payload)

0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

versin

IHL

tipo de servicio D M F F

longitud total offset del fragmento checksum

20 bytes

identificacin tiempo de vida protocolo

direccin del origen direccin del destino

0 40 B

opciones

http://www.esi.uclm.es

13

Inspeccin

Formato del segmento UDP

2 3 0 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

puerto UDP origen longitud del mensaje UDP


(completo) (opcional)

puerto UDP destino checksum (opcional)

cuerpo del mensaje

http://www.esi.uclm.es

14

Inspeccin

Formato del segmento TCP


1 2 3 0 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

puerto TCP origen

puerto TCP destino

nmero de secuencia nmero de acuse de recibo


offset reservado
URG ACK PSH RST SYN FIN

ventana puntero urgente relleno

checksum opciones

cuerpo del mensaje

http://www.esi.uclm.es

15

Cortafuegos de filtrado de paquetes

Un ejemplo
200.1.1.10 200.1.1.11

Internet

Web:200.1.1.2

DNS:200.1.1.3

e-mail:200.1.1.4

Regla 1 2 3 4

Origen Any Any Any Any

Destino 200.1.1.2 200.1.1.3 200.1.1.4 Other

Protocolo TCP UDP TCP Any

Puerto 80 53 25 Any

Accin ALLOW ALLOW ALLOW DROP


16

http://www.esi.uclm.es

[Cisco Router Firewall Security, Fig 2.6]

Cortafuegos de filtrado de paquetes

Ventajas y limitaciones
Ventajas:

Rpido, como requisitos de CPU y memoria. Flexibles y muchos extensibles mediante mdulos. Pueden ser difciles de configurar. No pueden manejar informacin de sesin o aplicacin. No proporcionan soporte para autenticacin. Las capacidades de registro de sucesos son limitadas.

Limitaciones:

http://www.esi.uclm.es

17

Filtrado asimtrico
200.1.1.10 200.1.1.11

Internet

Web server 200.1.1.2


170.1.1.1

Impedir que trfico externo llegue a B. Permitir a B abrir conexiones al exterior.


[Cisco Router Firewall Security, Fig 2.11]

http://www.esi.uclm.es

18

Cortafuegos con estado

Hacen seguimiento de las conexiones.

Inicio, transferencia y terminacin.

Permite distinguir si la conexin fue iniciada desde la red interna o desde la externa. Crea reglas de filtrado dinmicamente cuando detecta una conexin y las elimina al terminar. Esa informacin se almacena en la tabla de estado.

http://www.esi.uclm.es

19

Establecimiento de conexin de TCP

Cada extremo debe sincronizarse con el otro antes de transmitir datos. Hay un rol activo (cliente) y el otro pasivo (servidor). Triple apretn de manos:
cliente servidor

seq: 1200 , a ck : ACK SYN +

SYN

1. El cliente indica su ISN (Initial Sequence Number) y otros parmetros de conexin como el MSS 2. El servidor confirma, indica su ISN y otros datos de conexin 3. El cliente confirma y puede enviar datos en ese segmento

00, se q : 4 8

01 a ck : 1 2

seq: 1201 ,a

ACK

ck: 4801

http://www.esi.uclm.es

20

Cortafuegos con estado

Ventajas y limitaciones
Ventajas:

Conocen el estado de las conexiones. Pueden detectar y prevenir ataques DoS. Pueden ser difciles de configurar. No pueden manejar informacin de aplicacin. No proporcionan soporte para autenticacin. Existen protocolos sin estado: UDP, ICMP, etc. Aplicaciones con conexiones adicionales: FTP. La tabla de estado puede suponer un problema.
http://www.esi.uclm.es

Limitaciones:

21

Cortafuegos Proxy

Tambin llamados Cortafuegos de Pasarela de Aplicacin. Permiten tratamiento especfico por aplicacin: DNS, FTP, LDAP, SMTP, etc. Soporte especfico para autenticacin. Autentican usuarios en lugar de mquinas o conexiones. Tipos:

de conexin (Connection Gateway Firewall) cut-throught


http://www.esi.uclm.es

22

Cortafuegos Proxy

Pasarela de conexin
1.El cliente externo intenta una conexin hacia un servidor interno. 2.El cortafuegos intercepta la conexin y solicita al usuario una autenticacin. El cortafuegos abre una conexin haca el servidor interno. 3.El trfico del cliente externo es procesado por el cortafuegos y redirigido al servidor interno. 4.Cualquier nueva conexin es rechazada si no se proporciona la autenticacin correspondiente.
http://www.esi.uclm.es

23

Cortafuegos Proxy

Pasarela de conexin

[Cisco Router Firewall Security, Fig 2.17]

http://www.esi.uclm.es

24

Cortafuegos Proxy

Cut-through

Realiza un proceso de autenticacin como el cortafuegos de pasarela de conexin. Despus aade temporalmente reglas de filtrado para permitir al usuario utilizar el recurso. Slo la autenticacin ocurre en la capa de aplicacin. Es mucho ms eficiente.

http://www.esi.uclm.es

25

Cortafuegos Proxy

Cut-through

[Cisco Router Firewall Security, Fig 2.18]

http://www.esi.uclm.es

26

Cortafuegos Proxy

Ventajas y limitaciones
Ventajas:

Proporcionan una buena defensa ante ataques DoS y spoofing. Total control a nivel de aplicacin. Registros muy detallados. Mucha flexibilidad. Todo el procesamiento es software. Limitado a un conjunto de aplicaciones. Cuando no es web, requiere software especial en el PC de los usuarios.
http://www.esi.uclm.es

Inconvenientes:

27

Cortafuegos NAT

NAT permite exponer servicios de la red interna sin que los usuarios conozcan la estructura y esquema de direccionamiento. El administrador puede modificar completamente la organizacin de los servicios y la estructura de la red sin que sea percibido desde el exterior.

http://www.esi.uclm.es

28

Cortafuegos NAT

[Cisco Router Firewall Security, Fig 2.20]

http://www.esi.uclm.es

29

Cortafuegos personal

Se utiliza para proteger un solo computador (servidor o PC). Normalmente son cortafuegos de filtrado de paquetes. Ventajas:

Sencillo y barato Seguridad y autenticacin adicional. Poca escalabilidad Basados en software Pocas opciones de filtrado
http://www.esi.uclm.es

Inconvenientes:

30

Cortafuegos hbridos
Es habitual que los cortafuegos comerciales (hardware) proporcionen otras funcionalidades:

Servidor DHCP Concentrador VPN Deteccin de intrusos (IDS) Proxy/Cach Web Cach DNS etc.
http://www.esi.uclm.es

31

Diseo del sistema cortafuegos

http://www.esi.uclm.es

32

Gua de diseo

Definir una poltica de seguridad

Qu necesita ser protegido?A qu precio? Como siempre, principio KISS. Cada equipo o programa est diseada para un fin. El sistema es dbil si solo hay una lnea de defensa. ~70% de las violaciones de seguridad proceden de la red interna
http://www.esi.uclm.es

Disear una solucin sencilla

Usar los dispositivos adecuados

Implementar varias lneas de defensa

Considerar las amenazas internas

33

Estructura de la red
Diferentes partes de la red requieren niveles de seguridad diferente:

La red externa (sobre la que no tenemos control). La red de servicios pblicos (DMZ) La red interna (no accesible desde el exterior).

http://www.esi.uclm.es

34

DMZ

DMZ (demilitarized zone) es la subred que contiene los servicios accesibles desde el exterior.

red interna

DMZ

Internet

http://www.esi.uclm.es

35

DMZ

Reglas y niveles de seguridad

Se asignan niveles de seguridad desde ms bajo al ms alto. Por defecto, el trfico puede ir de los niveles altos a los bajo, pero no al revs.

Las excepciones a esta regla deben se implementan como reglas de filtrado (lo ms especficas posible).

http://www.esi.uclm.es

36

DMZ

Reglas y niveles de seguridad

A nivel menor: ALLOW A nivel mayor o igual: DROP.

[Cisco Router Firewall Security, Fig 2.28]

http://www.esi.uclm.es

37

DMZ

Tipos

Sencillo

Segmento nico Service leg

DMZ mltiple DMZ interno

[Cisco Router Firewall Security, Fig 2.24-25]

http://www.esi.uclm.es

38

DMZ

Sencillo

Segmento nico

Service leg

[Cisco Router Firewall Security, Fig 2.24-25]

http://www.esi.uclm.es

39

DMZ

Mltiple

[Cisco Router Firewall Security, Fig 2.26]

http://www.esi.uclm.es

40

DMZ

Interno

Medium

Medium

[Cisco Router Firewall Security, Fig 2.27]

http://www.esi.uclm.es

41

Componentes del sistema cortafuegos

Encaminador perimetral

Encaminamiento con la red externa Filtrado de paquetes y conexiones Traduccin de direcciones Separacin entre subredes internas (DMZs) Autenticacin Vigilancia, deteccin e incluso medidas de contencin.
http://www.esi.uclm.es

Cortafuegos

IDS (Intrusion Detection System)

42

Componentes del sistema cortafuegos

http://www.esi.uclm.es

43

Sistema Cortafuegos

Consideraciones

Filtrado de paquetes en la periferia. Todos los servidores pblicos en una DMZ. Servidores crticos deben tener su propio cortafuegos. Colocar el servidor BD en un nivel de seguridad mayor que el servidor web. Utilizar VPN para conectar con sitios remotos, y asumir que podran estar comprometidos. Utilizar sistemas IDS en las redes sensibles.
http://www.esi.uclm.es

44

Caso de estudio Linux netfilter / iptables

http://www.esi.uclm.es

45

netfilter / iptables

Cortafuegos software de filtrado de paquetes Seguimiento de conexiones: stateful NAT (masquerading) Packet mangling Control de tasa Registro de sucesos configurable

http://www.esi.uclm.es

46

netfilter / iptables

http://www.esi.uclm.es

47

iptables

cadenas (chains)

prerouting (antes de saber dnde debe ir) input (hacia el host) output (generados por el host, no encaminado an) forward (reenviar a otro host) postrouting (cuando se sabe el destino)
PREROUTING (DNAT)

red

POSTROUTING (SNAT) FORWARD (filter)

rutado

INPUT (filter)

OUTPUT (filter, DNAT)

aplicaciones en el host
http://www.esi.uclm.es

48

iptables

tablas

filter nat mangle

Manipulacin / etiquetado

http://www.esi.uclm.es

49

iptables

Filtrado de paquetes (filter)


IP: direcciones origen y destino, fragmentos ICMP: tipo y cdigo UDP: puertos origen y destino TCP: puertos origen y destino, flags, opciones, propietario del proceso. input y output son cadena para filtrado local. forward es para filtrado de trfico remoto.

http://www.esi.uclm.es

50

iptables

NAT (tabla nat)

Traduccin de direccin origen (SNAT)


Se hace en postrouting. Tambin conocido como masquerading. Se hace en prerouting o output. Tambin conocido como redireccin.

Traduccin de direccin destino (DNAT)


http://www.esi.uclm.es

51

iptables

Seguimiento de conexiones

Cadenas prerouting y ouput. La tabla de estado contiene:


Campo protocol de la cabecera IP (IP,puerto) origen y destino Estado de la conexin (TCP) Temporizadores (TCP) Nmeros de secuencia (TCP)

Estados: NEW, ESTABLISHED, RELATED, INVALID.


http://www.esi.uclm.es

52

iptables

Control de tasa

Previene ataques DoS. Permite limitar:


Rfaga mxima Nmero mximo de coincidencias por segundo.

http://www.esi.uclm.es

53

iptables

Sintaxis de comandos

Iptables [-t tabla] comando cadena parmetros Comandos:


-A: aadir (al final) -D: borrar (por regla o posicin) -I: Insertar en la posicin indicada -L: listar -F: borrar todas las reglas -Z: limpiar los contadores -P: definir la poltica
http://www.esi.uclm.es

54

iptables

Un router/firewall bsico
192.168.1.0/24
web

red interna eth0


192.168.1.1

Internet eth1

Servidor SSH
192.168.1.2

Activar el reenvo de paquetes


# echo 1 > /proc/sys/net/ipv4/ip_forward

http://www.esi.uclm.es

55

iptables

Un router/firewall bsico

Poltica restrictiva para FORWARD.


# iptables -P FORWARD DROP iptables -A INPUT -j DROP como ltima regla

Aceptar todo el trfico ICMP (desde cualquier parte).


# iptables -A INPUT -p ICMP -j ACCEPT

Permitir trfico haca y desde loopback.


# iptables -A INPUT -i lo -j ACCEPT # iptables -A OUTPUT -o lo -j ACCEPT

Aplicar SNAT para conexiones al exterior


# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

http://www.esi.uclm.es

56

iptables

Un router/firewall bsico

Aceptar todo el trfico TCP (desde la red interna).


# iptables -A INPUT -p tcp -i eth1 -j ACCEPT

Aceptar TCP de la red externa para conexiones establecidas.


# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Permitir acceso al servidor web en el router.


# iptables -A INPUT -p tcp --dport http -j ACCEPT

Redirigir un puerto (DNAT) hacia el servidor SSH.


# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --todestination 192.168.1.2:22

http://www.esi.uclm.es

57

Distribuciones libres para implementar cortafuegos en mquinas dedicadas.

http://www.esi.uclm.es

58

Distribuciones para cortafuegos dedicados

Distribuciones de software libre para implementar cortafuegos en mquinas con pocas prestaciones. Basadas en:

GNU/Linux: ClearOS, Gibraltar, IPCop, Zentyal, SmoothWall,... FreeBSD: m0n0wall, pfSense,...

Suelen ofrecer una interfaz web para administracin del router/cortafuegos

http://www.esi.uclm.es

59

ClearOS

Basada en GNU/Linux Caractersticas:


Cortafuegos con estado: iptables IDS/IPS: SNORT VPN: PPTP, IPSec, OpenVPN Proxy Web: Squid Filtrado de contenido y antivirus: DansGuardian Informes y estadsticas: MRTG

http://www.esi.uclm.es

60

ClearOS

Interfaz web

http://www.esi.uclm.es

61

ClearOS

Interfaz web

http://www.esi.uclm.es

62

ClearOS

Interfaz web

http://www.esi.uclm.es

63

ClearOS

Interfaz web

http://www.esi.uclm.es

64

ClearOS

Interfaz web

http://www.esi.uclm.es

65

Cortafuegos hardware CISCO PIX

http://www.esi.uclm.es

66

CISCO PIX (Private Internet eXchange)

Gama de cortafuegos de alto rendimiento. SO especfico: PIX OS Caractersticas


NAT/PAT Filtrado de contenido (Java/ActiveX) IPsec VPN DHCP PPoE RADIUS


http://www.esi.uclm.es

67

CISCO PIX
Rendimiento:

PIX 535:

1 Gbps, 95 Mbps 3DES VPN 2000 tneles Ipsec 500.000 conexiones simultneas 280.000 conexiones

PIX 525: 360 Mbps, 70 Mbps 3DES VPN

PIX 501: 10 Mbps, 3 Mbps 3DES VPN

http://www.esi.uclm.es

68

CISCO PIX

http://www.netcraftsmen.net/resources/archived-articles/369-cisco-pix-firewall-basics.html

http://www.esi.uclm.es

69

CISCO PIX

ASA (Adaptive Security Appliance) es un mdulo que aumenta las capacidades del PIX. Actualmente la serie ASA ha reemplazado a la gama PIX. Simulador PIX: http://networksims.com/pix.html

http://www.esi.uclm.es

70

Referencias

Transmisin de datos y redes de comunicaciones, B.A. Forouzan. Mc Graw Hill. Router Firewall Security, R.A. Deal. CISCO Press. Firewall fundamentals, W.J. Noonan, CISCO Press. Prentice Hall. Gua Avanzada de Firewalls Linux, R.L. Ziegler. Firewalls and Internet Security, W.R. Cheswick. Linux 2.4 Packet Filtering HOWTO. Rusty Russell.
http://www.esi.uclm.es

71