Arquitectura de firewalls

Miguel Torrealba [email protected]

Seguridad Informática y de las Comunicaciones

Tema IV

Arquitecturas de Firewalls

Prevención de Intrusiones

Intrusión: Acción y efecto de intrusarse (RAE)

Intrusarse: Apropiarse, sin razón ni derecho, de un cargo, una autoridad, una jurisdicción, etc. (RAE)

Intruso: Que se ha introducido sin derecho (RAE)

Prevención: Acción y efecto de prevenir (RAE)

Prevenir: Preparar, aparejar y disponer con anticipación lo necesario para un fin. ■ Prever, ver, conocer de antemano o con anticipación un daño o perjuicio. ■ Precaver, evitar, estorbar o impedir algo (RAE)

Léxico Básico

Procesar IntrusionesRequiere tiempo.- El proceso de captura de evidencia, análisis y elaboración de conclusiones requiere tiempo

Comparta información.- El análisis de eventos con intrusos se beneficia extraordinariamente cuando el caso se comparte con expertos del área

Demanda registrar datos detalladamente.- Un buen proceso de captura, procesamiento y análisis de intrusiones requiere que se lleven registros formales de lo que se haga


Procesar IntrusionesEn general 4 tipos de IDPS

.- Basados en Red

.- Basados en Host

.- Analíticos sobre el comportamiento de la red

.- Inalámbricos

En la práctica se combinan varios de estos tipos en diversos sistemas para reforzar la detección

También asisten en el mejoramiento de las políticas de seguridad, reconocer amenazas a la organización y disuadir a algunos de cometer infracciones a la normativa de seguridad


Procesar Intrusiones


Fuente: W. Stallings

Ingeniería de la Seguridad


Sensores colocadosen línea


Snort®



Anatomía de una regla en Snort

alert tcp !10.1.1.0/24 any -> 10.1.1.0 any (flags: SF; msg: “SYN-FIN scan”;)

Encabezado de la regla

Opciones de la regla

Se emite una regla cuando se captura cualquier tráfico originado en la red 10.1.1.X bajo cualquier puerto y que va dirigido a cualquier equipo en la red 10.1.1.X y cualquier puerto destino.

Las opciones de la regla indica que se buscarán en las opciones de paquetes SYN y FIN. En caso de que se detecten ambas, se emitirá la alerta. Los dos flags juntos son una anomalía



Un firewall es un sistema que tradicionalmente se coloca en fronteras y actúa como un filtro, separando datos que tratan de cruzar de un lado hacia otro

Generalmente el Firewall tiene como propósito defender un perímetro (LAN) y asume que, los sistemas a quienes protege son confiables y que los que son externos a esa área (WAN), son de quienes debe desconfiar


Múltiples Firewalls




“Pero un firewall es un sistema de reducción de riesgos, no es un sistema de mitigación de riesgos –esto significa que, siempre habrá algún peligro de que en ocasiones algo puedan ir fatalmente mal con cualquier cosa construida por humanos”

Marcus Ranum



Firewall Simple

.- Un sistema anfitrión con doble interfaces y capacidad de control de acceso. Puede ser un servidor proxy de doble acceso, un anfitrión bastión o un enrutador exterior

.- Un conmutador con capacidad de filtrado en capa 3 (puede ser visto como un enrutador interior)



DMZ


Software de Firewalls que no son personalesSoftware Abierto.- Iptables®.- Freestone®.- Bulldog Firewall.- Dante.- ftpproxy

Software Propietario.- Screend (se incorpora a sistemas Unix/ incluido en True64Unix®).- TIS FWTK® (facilita construir filtrados).- SOCKS® (permite desarrollar proxy).- Gauntlet®.- Firewall-1®.- Raptor®


Elementos Básicos en las tecnologías Firewalls

1.- Directivas de seguridad en coherencia con la política de seguridad corporativa

2.- Sistema de Autenticación Avanzado

3.- Diseño de los dominios de redes y DMZ

4.- Filtrado de Paquetes

5.- Pasarelas de AplicaciónProxiesServicios Habilitados

6.- Mantenimiento continuo


Evaluación de FirewallsProbar tráfico.- Muchas herramientas para generar tráfico de red

Arquitectura de firewalls

Documents

Transcript of Arquitectura de firewalls