Seguridad Perimetral

1

Fernando ZepedaCCAI, CCNA, CCNP.

2

Murphy's Technology Law #4: To err is human, but to really foul things up requires a computer.

¿Qué es la SEGURIDAD?

¿Qué es seguro?La salud…El dinero…La libertad…El amor…

Los diez mandamientos personales de la seguridad (Nada por… Pago siempre) yla teoría de las fronteras

There is no such thing as absolute security.

Security is always a question of economics

as same as:

3

Se define al perímetro informático de una compañía como el límite entre la parte controlada de un ambiente de procesamiento de datos, y los otros entornos informáticos no controlados por una empresa.

la definición de perímetro informático no ha cambiado, pero pasó de abarcar un concepto solamente “físico” (paredes) a implicar un concepto “lógico” , sin dejar de lado lo anterior. Esta definición se fue ampliando con la particularidad de que la evolución ha obligado a ir colocando “capas” de seguridad unas sobre otras. Cada una es importante para mitigar un subconjunto de riesgos y todas en conjunto hacen que se pueda tener un perímetro de seguridad informática adecuado.

La palabra perímetro proviene del latín perimĕtros, que a su vez deriva de un concepto griego. Se refiere al contorno de una superficie o de una figura y a la medida de éste.

Perímetro, Frontera, límite… ¿Qué más da?

4

La invencibilidad depende de uno mismo; la vulnerabilidad del enemigo, de él.

La invencibilidad reside en la defensa; la posibilidad de la victoria en el ataque.

La mejor defensa es el ataque.

Kalimán

Keep the level of all your defenses at about the same height.

5

1980 1985 1990 1995 2000

Password GuessingDisabling Audits

Backdoors & Trojan HorsesHijacking Sessions

Password CrackersPacket Sniffers

Stealth Diagnostics

Tools with GUIsOS Detectors

Port ScannersVulnerability Scanners

Packet SpoofingHIGH

LOW

External Threats: Hacker Tool ExplosionRecent Web Search for

“Hacker Tools” returned over 2100 hits

Distributed DoS Attacks

I get scanned dozens of times everyday. Less than 20% of those scans are US based ISS User

6

Introducción“We have found that Internet Security is not verydifferent from other forms of security... The details are different, ..., but the same approaches, rules and lessons apply. Not even nuclear launch codes are absolutely secure; to give just one example, a U.S. president once left thecodes in a suit that was sent off for cleaning”.

Cheswick, Bellovin, Rubin. Firewalls and Internet Security

7

EnfoqueNecesitamos conocer las debilidades de nuestra red, sólo así podremos protegerla. Esta frase parece trivial, sin embargo, conocer las tecnologías que soportan nuestras redes puede no ser trivial.

Know your enemies, know your weeknesses, know yourdefenses, know your technologies, know your(human/tech) capabilities.

Enfoque: Caracterización de Riesgos o ¿cuánto estás dispuesto a perder?

8

Introducción – El Universo de la Seguridad• Análisis de Riesgos• Estrategia de Seguridad• Políticas y Procedimientos• Arquitectura Técnica

– Redes (Perímetro, LAN, WAN, NAS-RAS, Wireless, Firewalls, Routers, Switches, VPN, Monitores de Red, Detección de Intrusos)

– Sistemas Operativos– Aplicaciones– Bases de Datos

• Operación• Desarrollo• Seguridad Física• Respuesta a Incidentes• Continuidad del Negocio• Concientización• ... œ

9

Evolución de las Vulnerabilidades en la Red

Wkst

Wkst

Sucursal

Ruteador Interno

Internet

Ruteador Externo

Firewall

Servidores Internet /DMZ

Carencia de la aceptación y de la promulgación de buenas políticas de seguridad, los procedimientos, guías y estándares mínimos.

Servicios No Autenticados

Passwords débiles, fáciles de adivinar y reusables que a nivel de estación de trabajo pueden comprometer los servidores

Versiones de software sin parches o desactualizados, manteniendo las configuraciones de default

Usuarios o cuentas de prueba con privilegios excesivos

Excesivas relaciones de confianza tales como NT Domain Trust y archivos UNIX .rhost y host.equiv quepueden proveer a los atacantes acceso no autorizadoa sistemas sensitivos

Mala configuración en las listas de control de acceso del firewall o del ruteador que pueden permitir acceso a los sistemas internos directamente o una vez que los servidores de la DMZ han sido comprometidos

Servidores con mala configuración o ejecutando servicios no necesarios

Filtración de información que puede proveer al atacante las versiones del sistema operativo y aplicaciones, usuarios, grupos, información del DNS y servicios ejecutándose como SNMP, finger, SMTP, telnet, etc.

Inadecuado logeo o registro, monitoreo y capacidades de detección al nivel de red y servidores

Inadecuado control de acceso del ruteador; listas de control de acceso mal configuradas que filtra información a través de ICMP, IP, NetBIOS, y conduce a acceso no autorizado a los servicios de la DMZ

Puntos de acceso no seguro y sin monitorear proveen un medio de acceso fácil a la red corporativa

Servidor de Acceso Remoto

Usuario remoto

10

Anatomía de un ataque• Reconocimiento inicial

– Google! - direcciones IP, correos electrónicos, sistemas.

– Whois! – direcciones IP, correos electrónicos, números telefónicos, DNS (arin, lacnic, apnic, ripe)

– IFAI– REDES SOCIALES– Ingeniería social - ¿han oído hablar de Ira Winkler? –

Casos: secretos nucleares India, espionaje industrial compañía hi-tech.

11

Anatomía de un ataque

• Identificación de objetivos– Mapeo de la red (host alive), escaneo de puertos

(puertos open/filtered/closed UDP/TCP), identificación de banners de servicios activos, identificación del sistema operativo.

• NMAP!• Strobe• Superscan• Netscan tools pro• wups

12

Anatomía de un ataque

• Identificación de vulnerabilidades– Manual

• Análisis: versión de aplicación identificada vs. vulnerabilidades reportadas (y las no reportadas? – 0day, 1day exploits)

• Selección de herramientas específicas – “Para abrir un refresco necesito

una llave no una escopeta”

• Buscando el eslabón más débil

– Automática – “Los famosos escaners de vulnerabilidades”• Nessus! (open source, free)

• ISS - Internet Scanner!$$

• eEye - Retina!$ Security is always a question of economics.

13

Anatomía de un ataque• Actividades de Penetración

– Exploits! (packetstormsecurity.org, securityfocus.com, ntbugtraq.com, ...)

• Nota: Si vas a utilizar un código que tu no programaste por favor tómate la molestia de analizar que es lo que hace.

– Ataques (en línea o fuera de línea) sobre elementos de autenticación (user/passwd).

– Ataques a la medida – sql injection, DoS, virus, phishing, programación, spoofing, sniffing, relaciones de confianza (terceros/outsourcing), evasión de IDS, ... Tan amplio como amplio es el mundo de la tecnología y la información, elementos tan bizarros como la imaginación lo permita. Y no olvidemos los ataques que no tienen que ver con tecnología como “plantación de empleados” ¿Quién hace background check? Robo de laptops en aeropuertos y valet parking, ta lvez ustedes si utilicen crypto pero ¿sus directores también?.

14

Anatomía de un ataque• Consolidación

– Acceso usuario – escalar privilegios– Acceso administrator/root – es sólo el principio buscar el

siguiente objetivo, recopilación de información relevante de este sistema – archivos de contraseñas, relaciones de confianza, nombres de sistemas, info. sensitiva, ... Y de ahí la metástasis.

– Una vez que un atacante logra comprometer un sistema con privilegios de administrator/root sólo su creatividad es el límite – caballos de troya, backdoors, hasta harden del equipo!!! (sonará a broma pero sucede a menudo y tiene mucha lógica, les suena familiar el término “casas de seguridad” –secuestro)

15

Anatomía de un ataque• El problema se complica, parece que no todo se soluciona con

“Windows Update” o con los patch-clusters de Solaris, o con el nuevo fix para IOS, o el nuevo fix para ...., ¿Estamos de acuerdo? – Los ataques van más allá de explotar vulnerabilidades (uso de xploits).

• Adicionalmente, la administración de vulnerabilidades es sólo parte de la solución del problema. Debemos tomar en cuenta además que la administración de vulnerabilidades tampoco es trivial, conlleva:– Inventario de tecnologías/sistemas operativos/aplicaciones– Políticas y Procedimientos– Estrategias y soluciones de respaldos– Ambientes de prueba– Personal

16

Importancia de la Seguridad a nivel RedGran parte de los ataques, hoy en día, utilizan las redes ya sea internas o externas como ruta o medio.

De aquí la relevancia de la Seguridad a nivel Red. Pero no olvidar que es sólo una parte y que deberá estar alineada con los demás esfuerzos de un Programa Corporativo de Seguridad de la Información (Análisis de Riesgos, Estrategia de Seguridad, Políticas y Procedimientos, Continuidad, etc.)

17

Importancia de la Seguridad a nivel Red

• Red• Equipos Intermedios• Sistemas Operativos• Aplicaciones• Bases de Datos

Red– Columna Vertebral

18

Importancia de la Seguridad a nivel Red

• Esta columna vertebral puede convertirse en si misma en una excelente primera línea de defensa si está bien configurada y administrada, sin embargo, también puede convertirse en el camino que permita un doloroso ataque.

• Algunos componentes/tecnologías que forman parte de la seguridad a nivel red: – Routers– Firewalls

• Filtrado de paquetes• Inspección de estado• Proxies/Gateways de Aplicación

– Switches– Detectores de Intrusos– Monitores de Red– Accesos Remotos – VPN/RAS/NAS– Sistemas Operativos – servicios de red– Aplicaciones en Red/Distribuidas – Cliente Servidor– Bases de Datos en Red/Distribuidas

19

Importancia de la Seguridad a nivel Red

Que no se nos olvide que todos estos elementos también son susceptibles de ataque por lo que deberán ser protegidos, monitoreados y administrados correctamente.

• ¿Les gusta la idea de tener puertos abiertos en un firewall?

• ¿Cuántos de ustedes permiten telnet a su router de frontera?

20

An attacker doesn 't go through security, but around it.

21

• Uno de los elementos básicos en cualquier estrategia de seguridad es el control de acceso – tanto a nivel red como a nivel host.

• Este control de acceso a nivel de red puede ser provisto por los conocidísimos firewalls.

• NOTA: No hablaremos de routers, que también pueden ser elementos de control de acceso a nivel red, dada su importancia se mostrarán posteriormente, pero en definitiva no poseen capacidad suficiente de respuesta.

Firewalls

22

Un Router no es capaz de defender:TCP sequence number predictionSource routingRIP attacksExterior Gateway ProtocolSome ICMP attacksAuthentication server attacksfinger (firewall or internal nodes) PCMAIL DNS accessFTP authentication attacksAnonymous FTP access (accept or reject) SNMP (to firewall or through firewall) IP spoofingMAC address spoofingARP spoofingReserved port attacks

External takeover from outsidenetworksExternal compromiseTCP wrappersGopher spoofingMIME spoofingNetwork analysis facilitiesAutosave of set-up and parameters Autoboot into secure mode with or without manual intervention Prevents DNS manipulationsFirewall performance statisticssoftware Cross-charging facilitiesSecurity logging and analysis tools. . . And much more

23

¿Qué se busca de un Firewall?Por software:Port scanning/filteringPort blockingInbound & outboundAntiphishingAntimalwareHelp and Support: Online chat, Email, Telephone, 24/7Supported Configurations: WIN xp, vista, 7, 8Neil J. Rubenking

Por Hardware:Plataforma bien reconocida y de confianza (ICSA certified)Accesibilidad en admon. (GUI)Soporte VPNCapacidad: # puertos, vel, GW, routing, CPU.Asistencia técnicaIf secure-wirelessIf filtrado de contenidoVigilancia y notificación avanzadaAutomatic Failover

24

¿Cuál es el bueno?CheckPoint FireWall-1 5pfsense 5Firestarter 5Netfilter 4SmoothWall Express 3Guarddog 3ipchain 3Endian 2Susefirewall 1Cisco ASA/PIX 1ClearOS 1APF 1Firewall Builder 1Auto firewall in Puppy Linux 1Drawbridge 1Monowall 1Firehol 1SuSEfirewall2 1Plesk 1

25

Firewall personal por software Top 10 2015

http://personal-firewall-software-review.toptenreviews.com/

26

Soluciones empresariales Magic Quadrantfor Enterprise

Network Firewalls

Magic-Quadrant-Next-Generation-Firewalls.pdf

Documento

27

¿Y para smartphones?

AFwall+Android FirewallRoot FirewallDoirwallXprivacyF-DroidMobiwolNetguardFirewall IP….

28

Firewalls• Hay quien dice que los firewalls no sirven. Y en el

fondo podrían tener razón. El fundamento de lo anterior es que, viéndolos como un elemento de defensa perimetral, sólo están “garantizando” que ciertas aplicaciones en red/servicios/protocolo /puertos estén disponibles, ej: apache/servidor de web/http/80

• Hoy en día por la complejidad de los ambientes perimetrales – aplicaciones en red, bases de datos, administración remota – es difícil vivir sin un firewall.

29

Firewalls

Únicamente tiene abierto el puerto 80 / Servidor de Web / Apache / Web / Apache / sobre OpenBSD

¿Qué sobra?

30

Firewalls

• Pero hoy día es poco probable encontrarnos una Compañía que sólo requiera un servidor de web. Sin embargo, este ejemplo nos deja ver claramente cual es la funcionalidad de un firewall.

• Pasemos a un ejemplo con una arquitectura más compleja.

31

Firewalls

http:80/tcp

32

Firewalls

33

Firewalls• Lo que empezó con un simple router, firewall y servidor de web se complicó de

manera importante. • Adicionalmente, el esquema anterior sólo está protegiendo la red interna del

exterior (Internet), pero no está protegiendo a los servidores críticos de la red interna. ¿Qué pasaría, con el esquema anterior, si un atacante logra tomar control del servidor de correo electrónico?

20% 14%

22% 44%

No estuvo comprometidaNo está seguro

Fue penetrada porusuarios externos

Fue penetrada porusuarios internos

Estadísticas:

34

Firewalls• Aquí es cuando empieza a cobrar

relevancia la teoría de: Defense in Depth. Esto no es otra cosa que proveer a nuestra estrategia de seguridad de varios niveles de seguridad de tal manera que si uno falla, podremos contener el ataque y contaremos con un siguiente nivel de protección.

Internet

Zona A

Zona B

Internet

Zona A

Zona B

Zona A comprometida, pero no Zona B

Ataque exitoso

¿Qué zona debe ser más fuerte?¿los equipos A y

B deben ser iguales?

35

Firewalls

Inte

rnet

DMZLAN

SERVIDORES CRITICOS

Base de Datos –Transacciones en línea

Dividiendo zonas por la criticidad y sensibilidad de la información contenida en ellas

36

FirewallsSiempre se nos olvida el segmento de administración – también es crítico y por tanto debe estar separado de otros segmentos

37

Firewalls

• Tipos de firewalls:– Filtrado de paquetes– Inspección de Estado– Proxy de Aplicación– Proxy de Circuito (Socks)– NGFW– VF

38

Filtrado de Paquetes• Tiene la habilidad de filtrar paquetes

inspeccionando capas 3 y 4.

• Comúnmente implementado en routers

• Funcionalidad de IPtables en Linux

• Lista de control de acceso– Dir IP: Servicio -> allow or deny

¿ACLs? ¿Firewalling?39

Filtrado de Paquetes

Fuente Destino

Dirección IP Dirección IP

Puerto Puerto

Capa 3Capa 4

40

Filtrado de Paquetes• Problemas:

– Source Routing (ej.: puerto 53)

– Fragmentación

– Spoofing

– Negación de Servicio

– Punto único de falla

41

Inspección de Estado• Similar al filtrado de paquetes. Adiciona la funcionalidad de

interpretar las banderas de sesión de TCP (SYN, ACK, etc.), con lo cual establece una tabla de estado con el afán de monitorear todas las conexiones y permitir paquetes sólo de sesiones que se hayan iniciado por hosts autorizados.

• Los más comunes: CheckPoint FW-1, Cisco PIX, IPTables, Firewall de Windows XP, etc.

42

Inspección de Estado

New connection?

Packet part of an existing connection

in connections table?Reject packet

Pass packet

Compare connection to

rule base

Accept or reject?

Add connection to connections

table

NO NO

YESYES

ACCEPT

REJECT

New connection?

Packet part of an existing connection

in connections table?Reject packet

Pass packet

Compare connection to

rule base

Accept or reject?

Add connection to connections

table

NO NO

YESYES

ACCEPT

REJECT

43

Inspección de Estado• Problemas

– ¿Y la capa de aplicación? Attachments: Can't Live With 'Em, Can't Live Without 'Em

• Se pueden mitigar algunos ataques si mantengo una tabla de estado, sin embargo, una gran cantidad de ataques se dan a nivel capa aplicación.

• Split Three Way Handshake

– UDP no orientado a conexión - ¿Cómo

mantengo estado?

• A pesar de esto son los más utilizados44

Proxy de Aplicación

• Logran inspeccionar todo el paquete .• Entienden distintos protocolos, esto tiene una gran

ventaja, ya que sólo dejarán pasar los protocolos que sepan hablar. La desventaja es que necesitan hablar todos los protocolos que utilizo/necesito (ftp, http, ssh, smtp, pop3, etc.).

• Los equipos detrás el proxy de aplicación nunca dan la cara hacia “el exterior”.

• Ej.: Microsoft ISA Server, Gauntlet45

SQUIDCARACTERÍSTICAS:

Proxy y Caché de HTTP, FTP, y otras URLSquid Proxy para SSL.Jerarquías de caché .ICP, HTCP, CARP y caché digests .Caché transparente.WCCP (Web Cache Control Protocol). Control de acceso.Aceleración de servidores HTTP.SNMP.Caché de resolución DNS.Proxy Web.

PLATAFORMAS:

AIX

BSDI

Digital Unix

FreeBSD

HP-UX

IRIX

GNU/Linux

Mac OS X

NetBSD

NeXTStep

OpenBSD

SCO Unix

SunOS/Solaris

Windows NT (Cygwin/GnuWin32)

46

Proxy de Aplicación

47

Proxy de Circuito• Provee un circuito entre la computadora fuente y destino• No requiere de un proxy por cada protocolo de nivel aplicación • No provee la ventaja de poder inspeccionar a nivel capa de

aplicación• El ejemplo más común es SOCKS, sin embargo se requiere un

cliente que soporte SOCKS.

Servidor Socks

Cliente Socks

48

NGFW Next Generation Firewalls• Gartner defines an NGFW as "a wire-speed integrated network

platform that performs deep inspection of traffic and blocking of attacks."

• Además de las funcionalidades de los Firewalls tradicionales NGFW integra:Deep Packet Inspection, NAT, PAT, VPN

• IPS• Intercepción SSL/SSH• Filtrado específico Website• QoS/Bandwith (Streaming video, social network, VoIP, range-time)• Inspección Antivirus• Third-party Integration (AD, white & black lists)

49

Derroteros NGFW• Performance in line

• Automatización de resoluciones (block p 80)

• UTM vs separación.

• $ PA 7050

50

Next Generation Firewalls¿Unified Threat Management?

51

Next Generation Firewalls¿Unified Threat Management?

52

Next Generation Firewalls¿Unified Threat Management?

53

Virtual Firewalls

• Virtual domains.

• Virtual Appliances.

• Firewalls-HV

54

Virtual Firewalls

Virtual domains.

Es una tecnología por medio de la cual se divide una unidad (Hardware) en dos o más unidades virtuales que funcionan como múltiples unidades independientes.

FWDomain A

FWDomain B

FWDomain C

Hardware FW

55

Virtual Firewalls

Virtual Appliances.

• No dependen de las API del Hipervisor.

• Pueden emplear VirtualDomains.

• Compatibles con la mayoría de los HV.

• Se auxilian del Vswitch del HV.

• Algunos ofrecen servicios a las redes externas

56

Virtual Firewalls

Firewalls-HV.

• Dependen de las API del Hipervisor.

• Maneja un Firewall-engine por VM.

• Maneja una lista de reglas por VM.

• Manejan una VM para administrar las políticas y los registros.

57

Virtual Firewalls

Algunos modelos en el mercado.

• Cisco’s Virtual Security Gateway and ASA 1000V• HP TippingPoint Secure Virtualization Framework• Juniper Networks vGW• VMware vShield• FortiGate Virtual Appliance Benefits.• Check Point Security Gateway Virtual Edition• Entre otros.

58

VF Virtual Firewalls• Las VMs pueden operar aisladas (p.ej. como guest en un SO de una PC) o bajo un

ambiente unificado virtual como VM supervisor monitor o proceso Hypervisor.

• En el Segundo caso los equipos de ambiente virtual se conectan vía una red virtual que consiste de switches virtuales entre equipos e interfaces de red virtualizadas. Esta nube implementa protocolos de red tradicionales como TCP o redes virtualescomo VLANs o VPNs

• Existe una inherente percepción de que las VMs son seguras porque son vistas como Sandbox dentro del SO residente. Se cree que el host está seguro contra la explotación de la VM en si porque es un asset protegido por la seguridad físicatradicional.

• Hay que tomar en cuenta que los sistemas virtualizados fueron creados enlaboratorio para pruebas aisladas donde la seguridad no era algo crucial. Hoy en díala seguridad en ambientes virtuales deben observar las mismas medidas de seguridad que los ambientes reales.

59

Derroteros VFAl ser redes reales las redes virtuales pueden sufrir de las mismas vulnerabilidades asociadas con la red física como pueden ser:

• Los usuarios de VMs tienen acceso a otras VMs dentro la misma red virtual .

• Comprometer o usar inapropiadamente una VM en una red virtual es suficiente para proveeruna plataforma para ataques adicionales en contra de otras máquinas en el mismo segmento de red.

• Si la red virtual inteactúa con la red física se puede tener acceso a recursos externos (y exploits externos) que pueden quedar abiertos para su explotación.

• El tráfico que pasa directamente a través de las máquinas pasa sobre los dispositivos de seguridad sin ser monitoreado.

• Los problemas creados por la invisibilidad del tráfico VM-to-VM en una red virtual son iguales a los de las redes físicas, agravandose por los paquetes que se mueven enteramente dentro del hardware de un host. El tráfico no puede ser visto por el administrador quien no puedeinterceptar y no puede saber que clase de tráfico es. Hacer logs para verificación y compliance es difícil. Mal uso de ancho de banda y otros recursos es difícil de descubrir y rectificar así comolos servicios corriendo o inusuales pueden no ser detectados.

60