La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en Sistemas: Firewalls 1 Filtrado Packet filtering –ACLs (Access Control Lists) Session filtering –Filtrado dinámico de paquetes –Información.

Publicada porVictorino Cara Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad en Sistemas: Firewalls 1 Filtrado Packet filtering –ACLs (Access Control Lists) Session filtering –Filtrado dinámico de paquetes –Información."— Transcripción de la presentación:

1 Seguridad en Sistemas: Firewalls 1 Filtrado Packet filtering –ACLs (Access Control Lists) Session filtering –Filtrado dinámico de paquetes –Información de estado (historia) –Filtrado “inteligente” de paquetes –Control de acceso basado en el contexto Filtrado (1)

2 Seguridad en Sistemas: Firewalls 2 Filtrado Los paquetes son chequeados y luego son pasados (o descartados). El tráfico entrante y saliente depende de la política empleada. El firewall “tradicional” a nivel network es el router. Muy rápido y transparente a los usuarios. Filtrado (2)

3 Seguridad en Sistemas: Firewalls 3 Fragmentación/reensamblado Chequeo de número de secuencia ICMP Filtrado (3)

4 Seguridad en Sistemas: Firewalls 4 Las decisiones se toman sobre cada paquete. No se guarda información de estado. Packet Filtering

5 Seguridad en Sistemas: Firewalls 5 El filtrado de paquetes permite controlar la transferencia de datos basándose en: –La dirección (supuesta) de donde vienen los datos. –La dirección a donde van los datos. –Los protocolos de aplicación que están siendo usados para la transferencia. Algunos ejemplos de lo que se puede obtener mediante el filtrado de paquetes: –No permitir que nadie use Telnet para loguearse desde el exterior. –Dejar que todo el mundo nos envie emails vía SMTP. –No permitir que salgan datagramas originados en el host 123.4.5.6. Packet Filtering

6 Seguridad en Sistemas: Firewalls 6 Los Ports > 1023 se dejan abiertos. Si se utilizan protocolos dinámicos se deben permitir posiblemente rangos completos para que el protocolo funcione. Configuración Típica

7 Seguridad en Sistemas: Firewalls 7 ¿Cómo lograr que los usuarios internos accedan a servicios del exterior mientras se mantiene una “buena” seguridad mediante el firewall en cuestión? La respuesta es el host bastión [bastión, sustantivo, parte de un fuerte que se destaca del resto]. El host bastión es una computadora (elegida entre muchas otras del sitio), la cual está fuertemente fortificada para servir como nexo de comunicación segura. Host Bastión

8 Seguridad en Sistemas: Firewalls 8 Un host bastión es (esperamos que sea!) un punto seguro y fuertemente defendido capaz de resistir ataques. Screened Host Firewall

9 Seguridad en Sistemas: Firewalls 9 El acceso (en ambos sentidos) a una red es controlado mediante un router, el cual opera en la capa network. Screened Subnet

10 Seguridad en Sistemas: Firewalls Applications Presentations Sessions Transport DataLink Physical DataLink Physical Router Presentations Sessions Transport DataLink Physical Network NetworkApplications Packet Filtering

11 Seguridad en Sistemas: Firewalls 11 Cerrar el acceso a todos los ports menores de 1024. – Permitir (selectivamente) el acceso a los ports necesarios (ej:, FTP, telnet, ssh, smtp, etc.). Devolver el tráfico que llega a ports aleatorios  1024 – Se debe permtir el acceso a todos los ports  1024. – Selectivamente cerrar el acceso a ports que pueden causar problemas (ej: NFS, X Windows, etc.). Tenemos abiertos todos los ports  1024! Soluciones: – Utilizar source port filtering. filtrar los paquetes entrantes según el port fuente en lugar del destino. – Emplear los TCP “code bits” – identificar las “established connections”. No pueden ser paquetes de iniciación de conexión. Tendrán seteado el bit ACK en el header TCP (pero no el bit SYN). Deben ser parte de conexiones existentes salientes. Estrategia para Packet Filtering

12 Seguridad en Sistemas: Firewalls 12 Ejemplos de Packet Filtering

13 Seguridad en Sistemas: Firewalls 13 Las decisiones sobre cada paquete se hacen según el contexto de la conexión. Si el paquete crea una nueva conexión se debe chequear contra la política de seguridad. Si el paquete es parte de una conexión existente deberá concordar con el estado presente en la tabla de estado/actualizar la tabla. Session Filtering

14 Seguridad en Sistemas: Firewalls 14 Todo cerrado (denied) a menos que se permita explícitamente. Los protocolos dinámicos (FTP, ICQ, RealAudio, etc.) se permitirán únicamente si están soportados en nuestra red. Configuración Típica

15 Seguridad en Sistemas: Firewalls 15 TeroknorPortCS Port Inside Outside  1024 53 Outside Inside 53 4526 – ¿El segundo paquete es: una respuesta legítima a una consulta DNS saliente?, O un intento de falsear una consulta RPC? ¡Sin mantener información de estado es muy difícil de decidir! Inspección del Estado FTP – requiere dos conexiones Conexion inicial (saliente) y conexión de datos (entrante). – La conexión entrante es hacia un port alto (  1024). Parece ser a un server “renegado”, los packet filters descartarán estas conexiones! UDP es un protocolo no orientado a conexión (connection-less)

16 Seguridad en Sistemas: Firewalls 16 Applications Presentations Sessions Transport DataLink Physical DataLink Physical Applications Presentations Sessions Transport DataLink Physical Network Presentations Sessions Transport Applications Dynamic State Tables Tablas Dinámicas de Estado Chequea TODOS los intentos, Protege Todas las aplicaciones. Extrae y mantiene información de “estado”. Crea una decisión inteligente sobre el tráfico. Session Filtering

17 Seguridad en Sistemas: Firewalls 17 “PORT 1234”   “ACK” Cliente TelnetServidor Telnet 231234  El cliente abre una conexión e informa al server su número de port. El bit ACK no se inicializa mientras se está estableciendo la conexión pero se seteará en el paquete siguiente.  El s erver acknowledges (ACK). Telnet (1)

18 Seguridad en Sistemas: Firewalls 18 Formato: access-list [ ] [ ] Las reglas siguientes permiten telnet desde la dirección IP (172.168.10.11) hacia cualquier destino pero no vice-versa: access-list 100 permit tcp host 172.168.10.11 gt 1023 any eq 23 ! Permite paquetes externos hacia servers de Telnet remotos access-list 101 permit tcp any eq 23 host 172.168.10.11 established ! Permite que vuelvan los paquetes de retorno. Verifica que se encuentre seteado el bit ACK. interface Ethernet 0 access-list 100 out ! Aplicar la primer regla al tráfico saliente access-list 101 in ! Aplicar la primer regla al tráfico entrante Nota: Todo lo que no se permite explícitamente se niega implícitamente. Telnet (2)

19 Seguridad en Sistemas: Firewalls 19 “PORT 5151”   “OK”  CANAL DE DATOS  TCP ACK FTP ClientFTP Server 20 Data 21 Command51505151  El cliente abre un command channel hacia el server y le informa al server el segundo número de port.  El server envía un ACK.  El server abre un canal de datos hacia el segundo port del cliente.  El cliente envía un ACK. FTP

20 Seguridad en Sistemas: Firewalls 20 Formato: access-list [ ] [ ] Las siguientes reglas permiten que un usuario realice FTP (no pasivo) desde cualquier dirección IP hacia el server de FTP (172.168.10.12) : access-list 100 permit tcp any gt 1023 host 172.168.10.12 eq 21 access-list 100 permit tcp any gt 1023 host 172.168.10.12 eq 20 ! Permite paquetes desde cualquier cliente hacia los ports de control y de datos de FTP access-list 101 permit tcp host 172.168.10.12 eq 21 any gt 1023 access-list 101 permit tcp host 172.168.10.12 eq 20 any gt 1023 ! Permite que el server de FTP envíe los paquetes de retorno a cualquier dirección IP con ports TCP > 1023 interface Ethernet 0 access-list 101 in ! Aplicar la primer regla al tráfico entrante access-list 100 out ! Aplicar la primer regla al tráfico saliente Ejemplo FTP – Packet Filtering

21 Seguridad en Sistemas: Firewalls 21  El cliente abre un command channel hacia el server y solicita modo pasivo.  El server asigna un port para el data channel y le informa al cliente el número de este port.  El cliente abre el data channel hacia el segundo port del server.  El server envía un ACK. “PASV”   “OK 3267”  TCP ACK  DATA CHANNEL Cliente de FTPServer de FTP 20 Data 21 Command51505151 3267 FTP – Modo Pasivo

22 Seguridad en Sistemas: Firewalls 22 Relay (forwarding) de conexiones Cliente Proxy Server Dos niveles – Aplicación – Circuito Proxy Firewalls

23 Seguridad en Sistemas: Firewalls 23 “Entiende” de aplicaciones específicas –Proxies limitados. –El proxy “representa” ambos lados de la conexión. Necesita muchos recursos –proceso por conexión Los proxies de HTTP pueden mantener páginas web en una cache. Application Gateways

24 Seguridad en Sistemas: Firewalls 24 Más apropiado para TCP. ICMP es difícil de manejar. Bloquear todo a menos que se permita explícitamente. Se debe escribir una nueva aplicación proxy para soportar nuevos protocolos. –No es trivial! Proxies transparentes. Application Gateways

25 Seguridad en Sistemas: Firewalls Application Gateway Applications Presentations Sessions Transport DataLink Physical Applications Presentations Sessions Transport DataLink Physical Network DataLink Physical Applications Presentations Sessions Transport Network NetworkTelnetTelnetHTTPHTTPFTPFTP Application Layer GW / Proxies

26 Seguridad en Sistemas: Firewalls 26 Son hosts corriendo servidores proxy, los cuales evitan el tráfico directo entre redes. Un proxy puede realizar logs y auditorías sobre el tráfico entrante/saliente. Puede hacer el firewall menos transparente. Application Level Firewalls

27 Seguridad en Sistemas: Firewalls 27 El Dual Homed Gateway es un host que corre un software de proxy. Tiene dos placas de red, una en cada red y bloquea todo el tráfico que pasa entre ellas. Dual Homed Gateway

28 Seguridad en Sistemas: Firewalls 28 Soporta más servicios que el Application- level Gateway –menos control sobre los datos. Es difícil manejar protocolos como el FTP. Los clientes saben que están utilizando un circuit-level proxy (no es transparente). Protege contra el problema de fragmentación. Circuit Level Gateways

29 Seguridad en Sistemas: Firewalls 29 Circuit level Gateway Soporta TCP SOCKS v5 soporta UDP, las versiones anteriores solo TCP. Ver http://www.socks.nec.com SOCKS

30 Seguridad en Sistemas: Firewalls 30 SeguridadPerformanceServiciosoporta Packet Filter31No dinámico Session Filter22El soporte dinámico depende del producto Circuit GW23 App. GW14Tipicamente < 20 Nota: Menor número mejor seguridad y mayor performance. Comparación (1)

31 Seguridad en Sistemas: Firewalls 31 ¿Se deben modificar las aplicaciones del cliente? Packet Filter No Session Filter No Circuit GW Tipicamente, se deben “SOCK-ificar” las aplics. del cliente. App. GW A menos que sea transparente, la aplic. Del cliente debe no solo saber que existe el proxy sino que debe estar configurada. Comparación (2)

32 Seguridad en Sistemas: Firewalls 32 ICMPFragmen-tación Packet FilterSiNo Session FilterSiTal vez Circuit GW (SOCKS v5) Si App. GWNoSi Comparación (3)

33 Seguridad en Sistemas: Firewalls 33 Comparación (4)

34 Seguridad en Sistemas: Firewalls Más Consideraciones sobre Firewalls

35 Seguridad en Sistemas: Firewalls 35 ¿Por qué son mucho más comunes los proxies de TCP que los de UDP o ICMP? La naturaleza misma del TCP (orientado a conexión) lo hace más fácil de implementar en un proxy. ICMP y UDP son más difíciles (pero no imposibles) debido a que cada paquete es una transacción separada. Los Session Filters determinan que paquetes parecen ser respuestas. Proxy para UDP/ICMP

36 Seguridad en Sistemas: Firewalls 36 No es suficiente leer únicamente el port de FTP (command). El port puede estar en uso, el proxy deberá elegir otro port. Puede (tal vez) obligarnos como administra- dores a instalar el server de FTP en otro host. Más sobre el FTP y los Proxies

37 Seguridad en Sistemas: Firewalls 37 Es útil si la organización no posee suficientes direcciones IP reales. Medida adicional de seguridad si los hosts internos no tienen direcciones IP válidas (es más difícil engañar al firewall). Solamente se necesitan direcciones IP reales si queremos salir de nuestra red interna (para acceder a servidores externos). Network Address Translation (NAT)

38 Seguridad en Sistemas: Firewalls 38 Mapeo muchos-a-1 (n-a-m). Mapeo 1-a-1 (n-a-n). Los proxies proveen muchos-a-1 No se requiere NAT en firewalls de filtrado de paquetes. NAT (2)

39 Seguridad en Sistemas: Firewalls 39 Masquerading Firewalls: se ve un conjunto de direcciones desde el exterior y otro desde el interior. Address Translation (NATs): Muchas máquinas, generalmente compartiendo una única dirección IP desde el exterior, ocultando red interna. 192.168.*.* 10.*.*.* RFC acerca de NAT: www.rfc-editor.com RFC 1631www.rfc-editor.com Class A (1-126) – 17 millones de hosts cada una Class B (128-191) – 65000 hosts Class C (192-223) – 256 NAT (3)

40 Seguridad en Sistemas: Firewalls 40 Autentificación de direcciones, integridad, control de acceso y confidencialidad. –Usa una variedad de algoritmos de cifrado. –Emplea dos headers: AH (Authentication Header) y ESP (Encapsulating Security Payload). –AH verifica que no se hayan alterado los datos. –ESP encripta los datos para asegurar confidencialidad. –Más detalles en la próxima clase. IPSec

41 Seguridad en Sistemas: Firewalls 41 Es una conexión temporal y segura sobre una red pública. Provee confidencialidad, integridad del mensaje, autentificación y auto- rización de recursos para todas las entidades que hacen uso de la misma. CONTROL DE ACCESO Gris AUTENTIFICACIÓN ENCRIPCION Blanco y Negro Virtual Private Networks (VPN)

42 Seguridad en Sistemas: Firewalls 42 Application Presentation Session Transport Network Datalink Physical Seguridad en Datos Tipo de Firewall SSL, TLS IPSec PPTP S/MIME, PEM, S-HTTP Circuit Proxy Packet Filtering Application Proxy Seguridad en VPN

43 Seguridad en Sistemas: Firewalls 43 ¿Qué tipo de tráfico es permitido? ¿Solamente IP? ¿Puede examinarse el tráfico del túnel? ¿Pueden limitarse los servicios/usuarios en cuanto al tráfico del túnel? Túneles Encriptados

44 Seguridad en Sistemas: Firewalls 44 IP Security - IP next generation (IPSec) – Autentificación en capa network, integridad y confidencialidad. – la mayoría de los firewalls soportan IPSec. Protocolos seguros (nivel Aplicación) – Secure HTTP, Secure DNS Protocolos seguros (nivel Transporte) – Secure Sockets Layer (SSL) Protocolos seguros (nivel Presentación) – SET Protocolos seguros de e-mail – Pretty Good Privacy (PGP), PEM, S/MIME Protocolos Criptográficamente Seguros

45 Seguridad en Sistemas: Firewalls 45 Vimos como un intruso trata de ganar acceso alterando la dirección IP de un paquete haciéndolo lucir como un paquete proveniente desde algún punto de la red con mayor privilegio. IP Spoofing (repaso)

46 Seguridad en Sistemas: Firewalls 46 Se debe tener acceso (nivel network) a los paquetes. Se deben comparar los paquetes con las direcciones permitidas por interface. Con proxies, los headers IP se pierden y nunca alcanzan el nivel aplicación. Anti-Spoofing (1)

47 Seguridad en Sistemas: Firewalls 47 Internet 200.49.224.0 200.49.225.0 200.49.226.0 e1 e2e3 e4 Redes Permitidas E1: 200.49.224.0 / 24 E2: 200.49.225.0 / 24 E3: 200.49.226.0 / 24 E4: todo excepto E1,E2,E3 Anti-Spoofing (2)

48 Seguridad en Sistemas: Firewalls 48 ,  Se envían dos fragmentos con el bit ACK seteado; cuando el servidor reensambla el paquete, se eligen los offset de tal forma que el datagrama completo forme un paquete con el bit SYN seteado (el offset del fragmento del segundo paquete se solapa con el primero).  Los paquetes sucesivos tendran el bit ACK seteado. Telnet Client Telnet Server 231234 Permitirlo sólo si está ACK  FRAG1 (con ACK) FRAG2 (con ACK) Paquete SYN (sin ACK) ACK   Fragmentado (1)

49 Seguridad en Sistemas: Firewalls 49 Data Link Layer Header Ver/IHLType of ServiceTotal Length IdentifierFlagsFragment Offset Time To LiveProtocolHeader Checksum Source Address Destination Address Options + Padding Source PortDestination Port Sequence Number Acknowledgement Number Offset/ReservedU A P R S FWindow ChecksumUrgent Pointer Options + Padding Data Data Link Layer Trailer IP Datagram IP Header TCP Header Fragmentado (2)

50 Seguridad en Sistemas: Firewalls 50 En lugar de fragmentar el header TCP, fragmentar la porción de datos o de ICMP para atacar el S.O. de los clientes. No todos los S.Os. chequean los límites de los paquetes (ej: ‘early Friday bug’) –Paquetes rearmados ICMP y de gran tamaño causaba un buffer overrun. Fragmentar una URL o un comando put (FTP) –Un proxy lo atraparía. Fragmentado (3)

51 Seguridad en Sistemas: Firewalls 51 Empezar bloqueando TODO. Evaluar los riesgos para cada punto de riesgo. Permitir servicios haciendo un análisis de cada caso. Tener una DMZ (De-Militarized zone) para proteger segmentos completos de nuestra red. Estrategia General para Firewalls

Descargar ppt "Seguridad en Sistemas: Firewalls 1 Filtrado Packet filtering –ACLs (Access Control Lists) Session filtering –Filtrado dinámico de paquetes –Información."

Presentaciones similares

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
Dirección IP - Características

Dirección IP - Características
Riesgos Origen de los Riesgos en la Seguridad:

Riesgos Origen de los Riesgos en la Seguridad:
CAPA DE TRANSPORTE MODELO OSI

CAPA DE TRANSPORTE MODELO OSI
Curso de Java Java – Redes Rogelio Ferreira Escutia.

Curso de Java Java – Redes Rogelio Ferreira Escutia.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
AYUDA A LA FUNCIÓN DOCENTE Internet

AYUDA A LA FUNCIÓN DOCENTE Internet
Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.
TEMA 2 MÚLTIPLOS Y DIVISORES

TEMA 2 MÚLTIPLOS Y DIVISORES
02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- Plan Organización Docente v.2 Noviembre 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.

02- PLAN DOCENTE Febrero 2009 SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR.
Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó

Aladdín-respuestas 1.Vivía 2.Era 3.Amaba 4.Quería 5.Gustaban 6.Se sentía 7.Salía 8.Tenía 9.Decidió 10.escapó 11. Se vistió 12. Conoció 13. Vio 14. Pensó
Respuestas Buscando a Nemo.

Respuestas Buscando a Nemo.
ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO

ABECEDARIO FIGURAS GEOMÉTRICAS NÚMERO
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
COMP 417 TROUBLESHOOTING IP ADDRESSING. PROBLEMA Un usuario dentro del Sales LAN no puede acceder al Server B. Usted debe ejecutar los cuatro pasos básicos.

COMP 417 TROUBLESHOOTING IP ADDRESSING. PROBLEMA Un usuario dentro del Sales LAN no puede acceder al Server B. Usted debe ejecutar los cuatro pasos básicos.
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Conexiones VPN usando RouterOS

Conexiones VPN usando RouterOS
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.

Presentaciones similares

Anuncios Google