Embed Size (px)
Citation preview
Firewalls de Internet
Ricardo D. Pantazis
13-nov-03 UCEMA 2
Introducción
Firewall: sistema que restringe el acceso entre una red protegida e Internet.
Nociones de seguridad.
Conceptos para construcción de firewalls.
13-nov-03 UCEMA 3
Agenda
Nociones de seguridad en redes
Tecnologías de Firewall
Arquitecturas de Firewall
Filt rado de paquetes en LINUX
Herramientas
Referencias
13-nov-03 UCEMA 4
Concepto
Los firewalls son parte de una estrategia efectiva para resolver el problema de la seguridad en Internet.
La mejor solución es a menudo una combinación de tecnologías y depende mucho de las políticas y de los servicios que deben implementarse.
13-nov-03 UCEMA 5
Motivación
Tratamos de protegerDatos.Recursos.Reputación.
Contra ataques deIntrusión.Negación de servicio.Robo de información.
13-nov-03 UCEMA 6
Modelos de Seguridad
Seguridad por Secreto (oscuridad)
Seguridad de Máquinas
Seguridad de Redes
Por lo general es necesaria una combinación de estos modelos.
13-nov-03 UCEMA 7
Etimología
En construcción, la palabra “ firewall ” denota una pared que evita que el fuego (los peligros de Internet) se propague dentro del edificio (nuestra red interna).
En la práctica un firewall es más similar al foso que rodeaba a los castillos medievales:
Restringe entradas y salidas a un punto bien controlado.
Evita que los atacantes se acerquen a otras defensas.
13-nov-03 UCEMA 8
Que puede hacer un Firewall?
Foco para decisiones de seguridad.
Imponer una política de seguridad.
Registrar eficientemente la actividad de Internet.
Limitar la exposición ante ataques.
13-nov-03 UCEMA 9
Que no puede hacer un Firewall?
Proteger contra usuarios maliciosos.
Proteger contra conexiones que no pasan por el firewall.
Proteger contra nuevas amenazas.
Proteger completamente contra virus.
Autoconfigurarse correctamente.
13-nov-03 UCEMA 10
Desventajas de los Firewalls
Interfieren con el uso de Internet.
Los problemas que los firewalls no pueden resolver (amenazas internas y conexiones externas que no pasan por el firewall) son más importantes que los problemas que los firewalls pueden resolver.
13-nov-03 UCEMA 11
Servicios de Internet
World Wide Web (HTTP).Correo Electrónico (SMTP).Transferencia de Archivos (FTP).Acceso remoto (Telnet, SSH).Búsqueda de nombres y direcciones (DNS).Los servicios tienen distintos niveles de seguridad. Pero se pueden usar servicios seguros de manera insegura y viceversa.
13-nov-03 UCEMA 12
Estrategias de Seguridad
Mínimo privilegio.
Defensa en profundidad.
Cuello de botella.
Eslabón más débil .
Política para el caso de fallas.
Participación universal.
Diversidad de defensas.
Simplicidad.
13-nov-03 UCEMA 13
Paquetes y Protocolos
Para transferir eficientemente la información, la misma debe dividirse en pequeños trozos llamados paquetes. Cada paquete consta de:
encabezado cuerpo
La comunicación se establece mediante protocolos que se agrupan en capas.
13-nov-03 UCEMA 14
Paquetes y Protocolos
Las capas de TCP/IP sobre las que se basa Internet son:
Capa de Aplicaciones (HTTP, SMTP, FTP)Capa de Transporte (TCP, UDP)Capa de Internet (IP)Capa de Acceso a la Red (Ethernet, ATM)
Las capas inferiores encapsulan los paquetes de las capas superiores.
13-nov-03 UCEMA 15
Paquetes y Protocolos Encapsulado
13-nov-03 UCEMA 16
Paquetes y ProtocolosAnatomía de un paquete IP v4
13-nov-03 UCEMA 17
Paquetes y ProtocolosFragmentación
13-nov-03 UCEMA 18
Paquetes y ProtocolosFragmentación
13-nov-03 UCEMA 19
Paquetes y ProtocolosTCP
TCP es el protocolo más utili zado para brindar servicios de Internet.Provee conexión confiable y bidireccional.Confiable, significa que el destino recibe la información enviada:
Completamente.Sin duplicaciones.En el mismo orden en que fue enviada.
13-nov-03 UCEMA 20
Paquetes y ProtocolosTCP
Bidireccional: la misma conexión se usa para pedidos al servidor y para respuestas a los clientes.TCP implica costos de establecimiento y de operación de la conexión.TCP usanúmeros secuenciales para garantizar que los paquetes lleguen en el orden correcto.Opciones TCP (flags)ACK (reconocimiento) PSH (empujar)SYN (sincronización) RST (restablecer)URG (urgente) FIN (terminar)
13-nov-03 UCEMA 21
Paquetes y ProtocolosTCP - Conexión
13-nov-03 UCEMA 22
Paquetes y ProtocolosTCP
De interés para un firewall son las opciones:ACK: porque permite determinar el inicio de una conexión.
RST porque permite interrumpir una conexión sin devolver un mensaje útil al agente externo.
13-nov-03 UCEMA 23
Paquetes y ProtocolosUDP
Mayor eficiencia que TCP porque no garantiza orden de los paquetes.
Puede haber paquetes duplicados.
La aplicación es responsable de implementar las garantías que UDP no ofrece.
13-nov-03 UCEMA 24
Paquetes y ProtocolosICMP
Protocolo utili zado para estado de IP y para enviar mensajes de control.Mensajes típicos:
Pedido de eco (echo request)Respuesta a eco (echo response)Tiempo excedidoDestino no alcanzable.Redirección
13-nov-03 UCEMA 25
Ataques basados en detalles de bajo nivel de los protocolos
Análisis de puertos (port scanning).
Debil idades de la implementación.
Intercepción de paquetes.
13-nov-03 UCEMA 26
Vocabulario
Enrutador (router): dispositivo que permite interconectar distintas redes IP.
Máquina (host): computadora conectada a una red.
Máquina bastión: computadora altamente segura.
PROXY: programa intermediario que comunica a clientes internos con servidores externos.
13-nov-03 UCEMA 27
Tecnologías de Firewall
13-nov-03 UCEMA 28
Tecnologías de Firewall
Filt rado de paquetes.
Servicios proxy.
Traducción de direcciones (NAT).
Redes privadas virtuales (VPN).
13-nov-03 UCEMA 29
Tecnologías de FirewallFilt rado de Paquetes
Operan en capa IP o de acceso a la red.
Por lo general, el enrutador debe decidir en base a la dirección IP de destino.
Tablas de ruteo, fijas o protocolo de ruteo.
Enrutador: cómo enviar el paquete?
Filt ro de paquetes: debo enviar el paquete?
13-nov-03 UCEMA 30
Tecnologías de FirewallFilt rado de Paquetes
Ventajas:Un solo enrutador con filt rado puede proteger toda una red completa.
El filt rado simple es muy eficiente.
Desventajas:El filt rado reduce la performance del enrutador.
Algunas políticas no son fáciles de implementar por enrutadores comunes.
13-nov-03 UCEMA 31
Tecnologías de FirewallSistemas PROXY
Idea: proveer acceso a Internet a un gran número de máquinas, a través de pocas máquinas conectadas a Internet.
Las máquinas conectadas a Internet actúan como intermediarias (PROXY) para las que no tienen conexión.
Operan en la capa de aplicaciones.
13-nov-03 UCEMA 32
Tecnologías de FirewallSistemas PROXY
13-nov-03 UCEMA 33
Tecnologías de FirewallSistemas PROXY
Ventajas:Registro eficiente de conexionesCapacidad de filtrado inteligente/caching.Autenticación de usuarios.Protección automática para debilidades en la implementación
Desventajas:Demora en disponer del proxy para nuevas aplicaciones.A menudo implican modificaciones a los clientes y las aplicaciones.
13-nov-03 UCEMA 34
Tecnologías de FirewallTraducción de direcciones (NAT)
13-nov-03 UCEMA 35
Tecnologías de FirewallTraducción de puertos (PAT)
13-nov-03 UCEMA 36
Tecnologías de FirewallTraducción de direcciones
Ventajas:Impone control sobre conexiones salientes.
Oculta la configuración de la red interna.
Desventajas:Problemas con direcciones IP embebidas.
Interferencia con registro, filt rado de paquetes, sistemas de encriptación y autenticación.
13-nov-03 UCEMA 37
Redes Privadas VirtualesVPN
Idea: uso de encriptación y control de integridad para poder usar una red pública (Internet) como si fuera privada.
Combinar el bajo costo de las redes públicas con la seguridad de las redes privadas.
13-nov-03 UCEMA 38
Redes Privadas VirtualesVPN
Ventajas:Proveen encriptación global.Permiten utilizar protocolos difíciles de segurizar.Costo
Desventajas:Implican conexiones riesgosas a red pública.Extienden la red que debemos proteger.
13-nov-03 UCEMA 39
Arquitecturas de Firewall
13-nov-03 UCEMA 40
Arquitecturas de FirewallEnrutador con filtrado
13-nov-03 UCEMA 41
Arquitecturas de FirewallMáquina con dos interfases
13-nov-03 UCEMA 42
Arquitecturas de FirewallMáquina Filt rada
13-nov-03 UCEMA 43
Arquitecturas de FirewallRed Filtrada
13-nov-03 UCEMA 44
Arquitecturas de FirewallRed Filtrada Separada
13-nov-03 UCEMA 45
Diseño de Firewall
13-nov-03 UCEMA 46
Diseño de Firewalls
ProcesoDefinir requerimientos.
Evaluar productos disponibles
Integrar productos seleccionados
RequerimientosServicios que deben ofrecerse.
Nivel relativo de seguridad.
Nivel de util ización.
Confiabil idad
13-nov-03 UCEMA 47
Diseño de Firewalls
Evaluación de productos disponiblesEscalabil idad.
Confiabilidad y redundancia.
Auditabilidad.
Herramientas de manejo y configuración.
Flexibil idad.
13-nov-03 UCEMA 48
Diseño de Firewalls
Integración de productos seleccionados.Implementación de registros (log).
Copias de respaldo.
Servicios de soporte requeridos (DNS, NTP).
Manejo de alarmas.
Informes de rutina.
13-nov-03 UCEMA 49
Tecnologías de Firewall
13-nov-03 UCEMA 50
Filt rado de Paquetes
Enrutadores deciden como transmitir los paquetes basados en la dirección de destino y tablas de ruteo.
Enrutadores son un cuello de botella.
Proteger toda una red desde un único punto.
13-nov-03 UCEMA 51
Filt rado de PaquetesDinámico o con estado
13-nov-03 UCEMA 52
Filt rado de PaquetesConfiguración
Protocolos usualmente bidireccionales.
Distinguir “entrante” y “saliente” para paquetes y para servicios.
Definir postura por omisión (default).
Filt rado por interfase.
13-nov-03 UCEMA 53
Tecnologías de FirewallFilt rado de Paquetes
Características de un filt ro de paquetesPerformance adecuada.Simple especificación de reglas.Permitir reglas basadas en la información contenida en el paquete y en otra información (por que interfase entra o sale el paquete).Aplicar las reglas en el orden especificado.Capacidad para registrar paquetes aceptados y rechazados.Capacidad de prueba y validación.
13-nov-03 UCEMA 54
Filtrado de Paquetes en LINUX
13-nov-03 UCEMA 55
netfilter/iptables
netfilter: interfase con el núcleo (kernel) del sistema operativo a través de la cual módulos pueden modificar paquetes.
iptables: Módulos de núcleo:NAT, registro (log), monitoreo de conexiones.
Herramientas de usuario
13-nov-03 UCEMA 56
iptables - Reglas
Sintaxis:iptables <descripción> <acción>iptables <criteria> <target>
Regla: aplicar la acción a los paquetes que se ajustan a la descripción.Paquetes TCP y UDP contienen información de puertos de origen y destino.Paquetes Ethernet contienen direcciones de origen y destino (MAC address).
13-nov-03 UCEMA 57
iptables: descripciones (criteria)
Interfase de entrada: -i (--in-interface).Interfase de salida: -o (--out-interface).Protocolo: -p (--protocol).Origen: -s (--source)Destino: -d (--destination)Fragmento: -f (--fragment)Puerto de origen: -sport (--source-port)Puerto de destino: -sport (--destination-port)
13-nov-03 UCEMA 58
iptables: descripciones (criteria)
Opción SYN: --syn.
Tipo ICMP: --icmp-type.
Dirección MAC: --mac-source.
Estado: --state (NEW, ESTABLISHED, RELATED, INVALID)
Límite: --limit frecuencia (n/second, n/minute, n/hour).
--limit-burst
Inversión: signo de admiración !
13-nov-03 UCEMA 59
iptables: acciones (targets)
ACCEPT: paquete aceptado.
DROP: paquete rechazado.
QUEUE
RETURN: regresar a tabla anterior
LOG: registrar paquete
MASQUERADE: cambiar dirección
13-nov-03 UCEMA 60
iptables – esquema simpli ficado
13-nov-03 UCEMA 61
iptables – tablas y cadenas
13-nov-03 UCEMA 62
iptables – políticas
La política de una cadena es la acción que debe tomarse cuando ninguna de las otras reglas de la cadena se satisface.Implementa la acción por defecto.iptables –P FORWARD DROPindica que los paquetes que no hayan cumplido ninguna de las reglas de la cadena FORWARD deben descartarse.
13-nov-03 UCEMA 63
iptables – ejemplos de reglas
iptables –A FORWARD –p UDP -sport 137:139 –j DROP
iptables –A FORWARD --in-interface wlan0 \
-m mac –mac-source ! 1a:2b:3c:4d:5e:6f -j DROP
13-nov-03 UCEMA 64
iptables – seguimiento de conexiones
Una conexión TCP se establece a través de las opciones SYN y ACK (3-way handshake).
Pedido de sincronización del cliente.Confirmación y pedido de sincronización del servidor.Confirmación del cliente.
Existe un módulo del núcleo que registra estos intercambios y que mantiene el estado de la conexión: NEW, ESTABLISHED, RELATED, INVALID.
13-nov-03 UCEMA 65
iptables – seguimiento de conexiones
EjemplosSuponiendo de PUB=ppp0 es la interfase de Internet y PRI=eth0 laprivada, las siguientes reglas permiten establecer conexiones desde la red privada, pero no desde Internet.
Permite además pasar a paquetes que forman parte de conexiones establecidas o relacionadas, y descarta todos los paquetes que no corresponden a conexiones establecidas.
iptables –A FORWARD –m state -–state NEW –i $PRI –j ACCEPT
iptables –A FORWARD –m state -–state NEW –i $PUB –j DROP
iptables –A FORWARD –m state –state ESTABLISHED,RELATED -j ACCEPTiptables –A FORWARD –m state -–state INVALID -j DROP
13-nov-03 UCEMA 66
iptables - limites
Para limitar los paquetes que nuestro servidor de web recibe
iptables –A INPUT –p TCP –dpor t 80 –m limit --limit 1/second \--limit-burst 5 –j ACCEPT
limita a 5 paquetes durante el primer segundo y luego a 1 paquete por segundo.Para proteger al servidor de excesivos pedidos de sincronización (SYN)
iptables –A INPUT –p TCP –syn –m ! limit --limit 1/second \--limit-burst 4 –j DROP
13-nov-03 UCEMA 67
iptables – otras cadenas
iptables –N TCP_CHAIN
iptables –A FORWARD –p tcp –j TCP_CHAINS
iptables –A TCP_CHAIN –dport 22 –j RETURN
iptables –A TCP_CHAIN –dport 21 –j ACCEPT
iptables –A TCP_CHAIN –dport 25 –j ACCEPT
iptables –A TCP_CHAIN –dport 80 –j ACCEPT
iptables –A TCP_CHAIN –j DROP
13-nov-03 UCEMA 68
iptables – otras cadenas
iptables –N SYN_FLOOD
iptables –A FORWARD –p tcp –j SYN_FLOODS
iptables –A SYN_FLOOD –m ! limit --limit 1/s\
--limit-burst 4 –j RETURN
iptables –A SYN_FLOOD –j LOG \
--log-prefix “** SYN FLOOD ** ”
iptables –A SYN_FLOOD –j DROP
13-nov-03 UCEMA 69
iptables - NAT
Existen dos tipos de traducciones, Direcciones de origen (SNAT).Direcciones de destino (DNAT).
Tabla de NAT tiene tres cadenas:PREROUTING (DNAT)OUTPUT (DNAT)POSTROUTING (SNAT)
SNAT: Traducción de direcciones privadas a direcciones públicas de Internet.DNAT: Redirección.
13-nov-03 UCEMA 70
iptables – SNAT
Direcciones IP estáticas
iptables–t nat –A POSTROUTING –o $PUB –j SNAT –to 200.33.44.5
Direcciones IP dinámicas
iptables–t nat –A POSTROUTING –o $PUB –j MASQUERADE
13-nov-03 UCEMA 71
iptables - DNAT
iptables –t nat –A PREROUTING –i $PUB \–p tcp –d 200.33.44.5 --dport 80 \–j DNAT --to 10.0.0.5 # HTTP
iptables –t nat –A PREROUTING –i $PUB \–p tcp –d 200.33.44.5 --dport 25 \–j DNAT --to 10.0.0.8 # SMTP
iptables –t nat –A PREROUTING –i $PUB \–p tcp –d 200.33.44.5 --dport 53 \–j DNAT --to 10.0.0.2 # DNS
13-nov-03 UCEMA 72
iptables – manejo de reglas
Luego del arduo trabajo de configurar correctamente un filt ro de paquetes es conveniente almacenar las reglas en un archivo
#/sbin/iptables-save> firewall_rules.save
#/sbin/iptables -F
#/sbin/iptables-restore< firewall_rules.save
13-nov-03 UCEMA 73
Herramientas
Dada la dificultad en producir un conjunto de reglas coherentes con la política a implementar se recurre a herramientas que facilit an la generación de las reglas.
Existen numerosas herramientas con interfases gráficas o de texto.
Presentamos algunas a modo de ejemplo.
13-nov-03 UCEMA 74
Herramientas
http://expansa.sns.it/knetfilter/http://www.simonzone.com/software/guarddog/
http://www.simonzone.com/software/guidedog/
http://www.fwbuilder.org/
13-nov-03 UCEMA 75
Conclusión
Fundamentos para construir firewalls de Internet.
Entender al firewall como parte de la estrategia de seguridad.
Filt ros de paquetes en LINUX.
Herramientas.
13-nov-03 UCEMA 76
Referencias
Libros“Building Internet Firewalls” , Zwicky, Cooper & Chapman, 2nd edition, O’Reilly, 2000.
“Firewalls and Internet Security” , Cheswick & Bellovin, Addison-Wesley, 1994.
“ Internetworking with TCP/IP Volume I: Principles, Protocols and Architecture” , 3rd edition, Prentice Hall, 1995.
“Practical UNIX & Internet Security” , Garfinkel & Spafford, O’Reil ly, 1996.
13-nov-03 UCEMA 77
Referencias
Sitioshttp://www.telstra.com.au/info/security.htmlhttp://www.cerias.purdue.eduhttp://www.cert.orghttp://www.first.orghttp://www.ietf.orghttp://www.usenix.orghttp://www.sans.org
13-nov-03 UCEMA 78
FIN
Favor llenar la encuesta.
Preguntas?
