LE, EI, Profesor Ramón Castro Liceaga

UNIVERSIDAD LATINA (UNILA)

III.- FIREWALLS Y PROXIES CON OPENBSD Y LINUX

¿Qué es un Firewall (cortafuegos)?

Dispositivo que controla las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de seguridad.

Internet

FIREWALL = “Cortafuegos”

¿Qué es un Firewall?

También es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

Las 7 capas de una red según el modelo OSI

Tipos de filtrado de Firewall

filtro de paquetes• Capa 3; A este nivel se pueden realizar filtros según los

distintos campos de los paquetes IP: dirección IP origen, dirección IP destino.

• Capa 4; filtro puerto origen y destino,

• Capa 2; dirección MAC

Capa 7; por ejemplo, si se trata de tráfico HTTP se pueden realizar filtrados según la URL a la que se está intentando acceder.

En este caso es denominado Proxy.

Se instala en un computador personal, filtra las comunicaciones entre la PC el y el resto de la red

de aplicación

personal

Funcionamiento

REGLASREGLAS

Todo lo que venga de la red local al Firewall : ACEPTAR

Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR

Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR

Todo lo que venga de la red local al exterior = ENMASCARAR

Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR

Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR

Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR

ALTERNATIVA: implementar reglas por PROXY a nivel aplicación

Que es un Proxy ?

• es un programa o dispositivo intermedio que realiza una acción en representación de otro, esto es, si una hipotética máquina A solicita un recurso a una C, lo hará mediante una petición a B; C entonces no sabrá que la petición procedió originalmente de A. Esta situación estratégica de punto intermedio suele ser aprovechada para soportar una serie de funcionalidades: proporcionar caché, control de acceso, registro del tráfico, prohibir cierto tipo de tráfico, etc.

Función del Servidor Proxy ?

• consiste en interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc. Esta función de servidor proxy puede ser realizada por un programa o dispositivo

Proxy

Internet

Los clientes se conectan hacia un proxy

El proxy solicita las páginas en Internet

Internet

Proxy

Internet

El Proxy entrega lo solicitado, desde su cache

Proxy

Limitaciones de proxies/cortafuegos

• No protege de ataques fuera de su área

• No protege de espías o usuarios inconscientes

• No protege de ataques de “ingeniería social”

• No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.

Que es OPENBSD ?

• Sistema operativo libre tipo Unix multiplataforma, basado en 4.4BSD (Derivado de UNIX Berkeley Software Distribution).

• Es un descendiente de NetBSD (Versión para red derivado de UNIX), con aplicaciones para la seguridad en las redes y la criptografía.

• Este sistema operativo se concentra en la portabilidad, cumplimiento de normas y regulaciones, correcciones, seguridad proactiva y criptografía integrada.

• Se distribuye bajo la licencia BSD (Software Libre), aprobada por la OSI.

Seguridad en OPENBSD • OpenBSD se usa mucho en el sector de seguridad informática como sistema

operativo para cortafuegos y sistemas de detección de intrusos.

• El filtro de paquetes de OpenBSD, pf es un potente cortafuegos y fue el primer sistema operativo libre que se distribuyó con un sistema de filtrado de paquetes incorporado.

• OpenBSD usa un algoritmo de cifrado de contraseñas muy veloz.

• Implementa un analizador estático de dimensiones añadido al compilador, que detecta fallos comunes de programación en tiempo de compilación.

• Contiene un escaneador de puertos y puede usar Systrace para proteger los puertos del sistema.

• OpenBSD también implementa el sistema W^X (pronunciado W XOR X), que es un esquema de gestión de memoria de gran detalle, que asegura que la memoria es editable o ejecutable, pero jamás las dos, proveyendo así de otra capa de protección contra los desbordamientos de búfer.

• Implementa la separación de privilegios, revocación de privilegios y carga de librerías totalmente aleatoria que contribuyen a aumentar la seguridad del sistema.

• OpenBSD es considerado por los expertos en seguridad como un sistema muy seguro y estable.

Que es LINUX?

• Es un sistema operativo, compatible Unix. • Dos características muy peculiares lo diferencian del resto

de los sistemas que podemos encontrar en el mercado, la primera, es que es libre, esto significa que no tenemos que pagar ningún tipo de licencia a ninguna casa desarrolladora de software por el uso del mismo, la segunda, es que el sistema viene acompañado del código fuente.

• El sistema lo forman el núcleo del sistema (kernel) mas un gran numero de programas / librerías que hacen posible su utilización.

• LINUX se distribuye bajo la GNU Public License: Ingles , por lo tanto, el código fuente tiene que estar siempre accesible.

Seguridad en LINUX?

• Control de los Recursos: son las partes del sistema utilizadas por los procesos.

• Control de los Dominios de protección: son el conjunto de recursos y operaciones sobre estos recursos que podrán utilizar todos aquellos procesos que se ejecuten sobre él.

• Reducción del numero de operaciones posibles sobre un recurso (archivo): podemos controlar 3 operaciones sobre los archivos, que son la lectura (r), escritura (w) y la ejecución (x).

• Reducción del número de dominios que aparecen en la lista. Esto se consigue mediante el concepto de grupos de usuarios.

• Control a nivel de Propietario: indica quién creó el archivo

• Control a nivel de Grupo del propietario: reúne a todos los usuarios que pertenecen al grupo del propietario.

• Control del Resto de usuarios: los que no crearon el archivo y no pertenecen al grupo del propietario

Seguridad en LINUX?

• Protección de archivos en el nivel de 16 bits

• Control de contraseñas de Linux que utilizan el algoritmo de cifrado de IBM Data Encryption Standard (DES).

• Utiliza Encriptación PGP (Pretty Good Privacy). , la criptografía de clave publica, como la utilizada por PGP, utiliza una clave para encriptar y una clave para desencriptar. Funciona como la caja fuerte de un banco, necesita dos llaves para abrirla: una pública y una privada. La pública se publica, la privada no, y la combinación pública-privada es única. Cada usuario, entonces, tiene dos claves. La clave privada solo la conoce el dueño de la clave. La clave pública es conocida por otros usuarios en otras máquinas. De estas dos claves, la publica y la privada, solo viaja la publica y esta disponible para que cualquiera haga la encriptación. La clave privada no viaja y es mantenida por el usuario para desencriptar los mensajes encriptados con la clave publica correcta. Por tanto l a clave pública cifra y la privada descifra.

BIBLIOGRAFIA

• Fuster Sabater, Amparo. Criptografía, Protección de datos y Aplicaciones. Mexico: Alfaomega. 364 pp ( QA76.9 A25 F87)