LUIS MENGUAL (c)Gestión de Bases de Datos LUIS MENGUAL (c)Gestión de Bases de Datos
REDES INTERNAS CORPORATIVAS SEGURAS
LUIS MENGUAL (c)Gestión de Bases de Datos
Redes Internas Corporativas
• Presentar la estructura básica de una red corporativa segura
• Introducir el concepto de “cortafuegos” como elemento esencial de seguridad en un red corporativa y en el acceso a una Base de Datos
• Analizar las decisiones básicas de diseño de un cortafuegos
• Estudiar varios ejemplos de cortafuegos ampliamente utilizados
• Presentar un Sink Hole Router como solución a los ataques por denegación de servicio. (DoS)
Objetivos:
LUIS MENGUAL (c)Gestión de Bases de Datos
• Traslación de direcciones IP privadas• Estructura de una red Corporativa segura• Beneficios y limitaciones de los Cortafuegos• Diseño de un cortafuegos.• Ejemplos de cortafuegos:
– Encaminador con filtrado de paquetes– Encaminador de filtrado de paquetes+Pasarela de Nivel de
Aplicación– Encaminador Externo+pasarela de Nivel de Aplicación+encaminador
Interno– Ataques por Denegación de servicio (Sink Hole Routers)
Índice:Redes Internas Corporativas
LUIS MENGUAL (c)Gestión de Bases de Datos
NAT(Network Address Translation)
TABLA NAT
10.0.0.1 192.100.100.1
INTERNET
10.0.0.1
RED CORPORATIVA
Destino: 128.100.10.1Origen: 10.0.0.1
Destino: 128.100.10.1Origen: 192.100.100.1
Destino: 192.100.100.1Origen: 128.100.10.1
Destino: 10.0.0.1Origen: 128.100.10.1
128.100.10.1
LUIS MENGUAL (c)Gestión de Bases de Datos
NPAT(Network Adress Port Translation)
10.0.0.510.0.0.110.0.2.6
21023386
26600
128.10.19.20128.10.19.20
207.200.75.200
808021
140031401014012
tcptcptcp
Dir. IPPrivadas
PuertosPrivadas
Dir. IPDestino
PtosDestino Ptos Nat Protocolo
10.0.0.5, 21023, 128.10.19.20, 80, TCP
RED CORPORATIVA
10.100.10.6 (26600)
10.100.10.1 (386)
IP:PÚBLICA: 201.100.100.1
128.10.19.20 (80)10.100.10.5 (21023)
207.200.75.200 (21)
INTERNET
201.100.100.1, 14003, 128.10.19.20, 80, TCP 10.0.0.1, 386, 128.10.19.20, 80, TCP 201.100.100.1, 14010, 128.10.19.20, 80, TCP
10.0.2.6, 26600, 207.200.75.200, 21, TCP 201.100.100.1, 14012, 207.200.75.200, 21, TCP
LUIS MENGUAL (c)Gestión de Bases de Datos
CORTAFUEGOS DE INTERNET(Internet Firewalls)
INTERNET
RED CORPORATIVAOFICINAS REMOTAS
OFICINAS REMOTASFRAME RELAYMODEMS
PERÍMETRO DE SEGURIDADSISTEMA DECORTAFUEGOS
LÍNEAS DEDICADA
• Un cortafuegos es un sistema o conjunto de sistemas que implementa una política de seguridad entre la red de una organización e Internet
LUIS MENGUAL (c)Gestión de Bases de Datos
BENEFICIOS DE LOS CORTAFUEGOS
• Protege a los sistemas internos de los ataques de otros sistemas de Internet– Protege servicios vulnerables– Filtra paquetes
• Es un lugar ideal para:– La monitorización del tráfico– Situar un NAT (Network Address Translator)– Localizar servidores WWW y FTP
LUIS MENGUAL (c)Gestión de Bases de Datos
LIMITACIONES DE LOS CORTAFUEGOS
• No puede proteger de conexiones a Internet desde dentro de la organización ajenas al propio cortafuegos
• No pueden proteger de usuarios legítimos o descuidados de la red corporativa
• No pueden proteger de la transferencia de software o ficheros infectados con virus
• No puede proteger frente a ataques conducidos por datos
LUIS MENGUAL (c)Gestión de Bases de Datos
DECISIONES DE DISEÑO DE UN CORTAFUEGOS (I)
• Comportamiento del Cortafuegos– “Todo lo no específicamente permitido es denegado”
– “Todo lo no específicamente denegado es permitido ”
• La política de seguridad de la Organización– Análisis de las necesidades del negocio y evaluación de riesgos
LUIS MENGUAL (c)Gestión de Bases de Datos
DECISIONES DE DISEÑO DE UN CORTAFUEGOS (II)
• Coste financiero• Sistemas componentes del cortafuegos (uno o más de uno):– Encaminador con filtrado de paquetes– Pasarela de nivel de aplicación (o servidor proxy)
– Pasarela de nivel de circuito
LUIS MENGUAL (c)Gestión de Bases de Datos
ENCAMINADOR CON FILTRADO DE PAQUETES (I)
• El encaminador toma la decisión de permitir o denegar cada datagrama recibido
• Hay flujo directo de paquetes entre sistemas internos y externos a la organización
• El encaminador examina la cabecera de cada datagrama y aplica sus reglas de filtrado
• Las reglas de filtrado se basan en:– Las direcciones IP origen y destino– Protocolo de encapsulado (TCP, UDP, ICMP..)– Puerto TCP/UDP– Interfaz entrante /saliente
LUIS MENGUAL (c)Gestión de Bases de Datos
ENCAMINADOR DE FILTRADO DE PAQUETES (II)
ip:A.B.C.1 ip:H.J.K.3ip:A.B.C.3 ip:H.J.K.1
ENCAMINADOR FILTRADO PAQUETES
CONEXIÓN DIRECTA
IP DEST.:H.J.K.1IP ORIGEN:A.B.C.1 DATOS IP DEST.:H.J.K.1IP ORIGEN:A.B.C.1 DATOS
IP DEST.:A.B.C.1IP ORIGEN:H.J.K.1 DATOS IP DEST.:A.B.C.1IP ORIGEN:H.J.K.1 DATOS
LUIS MENGUAL (c)Gestión de Bases de Datos
BENEFICIOS Y LIMITACIONES DE LOS ENCAMINADORES CON FILTRADO DE
PAQUETES
• VENTAJAS:– Transparentes a usuarios y aplicaciones
• No requiere ni usuarios especializados ni software específico en cada sistema
• LIMITACIONES:– El configurar los filtros puede ser una tarea
compleja– El rendimiento de un encaminador se degrada al
aumentar el número de filtros– No proporciona suficiente control sobre el
tráfico
LUIS MENGUAL (c)Gestión de Bases de Datos
PASARELA DE NIVEL DE APLICACIÓN (“BASTION HOST”) (I)
• Permite implantar una política de seguridad más estricta
• No hay flujo directo de paquetes entre sistemas internos y externos a la organización
• Un código de propósito especial (servidor Proxy) se encuentra instalado por cada aplicación– Cualquier usuario que quiera acceder a un servicio se
tiene que conectar primero al “servidor proxy”– Este código es configurado por el Administrador de
Red para permitir aquellos aspectos aceptables mientras deniega otros
LUIS MENGUAL (c)Gestión de Bases de Datos
PASARELA DE NIVEL DE APLICACIÓN (“BASTION HOST”) (II)
ip:A.B.C.1 ip:H.J.K.3ip:A.B.C.3 ip:H.J.K.1
GATEWAY DE NIVELDE APLICACIÓN
CONEXIÓN INDIRECTA 2 SOCKETS
IP DEST.:A.B.C.3IP ORIGEN:A.B.C.1 DATOS IP DEST.:H.J.K.1IP ORIGEN:H.J.K.3 DATOS
IP DEST.:A.B.C.1IP ORIGEN:A.B.C.3 DATOS IP DEST.:H.J.K.3IP ORIGEN:H.J.K.1 DATOS
SERVIDOR PROXY
LUIS MENGUAL (c)Gestión de Bases de Datos
• La mejora de seguridad implica:– Un incremento en el coste de la plataforma
hardware– Coste del código del “servidor Proxy”– Decremento del nivel de servicio proporcionado
a los usuarios– Pérdida de transparencia
PASARELA DE NIVEL DE APLICACIÓN (“BASTION HOST”) (III)
LUIS MENGUAL (c)Gestión de Bases de Datos
BENEFICIOS Y LIMITACIONES DE LA PASARELA DE NIVEL DE APLICACIÓN
• VENTAJAS:– El administrador de Red tiene completo control sobre
cada servicio– Soportan autenticación de usuario– Proporcionan log detallados– Las reglas de filtrado a nivel de aplicación son más
fáciles de configurar y chequear que a nivel de paquete
• LIMITACIONES:– Un software especializado tiene que cargarse en cada
sistema para que acceda a los servicios proxy– Se establecen dos conexiones hasta llegar al sistema
final
LUIS MENGUAL (c)Gestión de Bases de Datos
PASARELA DE NIVEL DE CIRCUITO
• Es una función especializada que puede ser realizada por una pasarela de nivel de aplicación
• Simplemente retransmite conexiones TCP sin realizar ningún procesamiento adicional de paquete o filtrado
• La conexión parece que se origina desde el cortafuegos ocultándose la información de la red protegida
LUIS MENGUAL (c)Gestión de Bases de Datos
INTERNET
ROUTER DEFILTRADO DE
PAQUETES
RED PRIVADA CORPORATIVA
SISTEMAS INTERNOSDE LA ORGANIZACIÓN
Ejemplo 1 Cortafuegos: (I)ENCAMINADOR DE FILTRADO DE PAQUETES
LUIS MENGUAL (c)Gestión de Bases de Datos
• Se trata de un simple encaminador situado entre la red privada y la Internet
• Reglas de filtrado:– Los sistemas de la red Interna tiene acceso a
Internet– Los sistemas externos tienen limitado el acceso a
los sistemas de la red Interna– El comportamiento de estos encaminadores es
típicamente: “todo lo no específicamente permitido es denegado”
Ejemplo 1 Cortafuegos: (II)ENCAMINADOR DE FILTRADO DE PAQUETES
LUIS MENGUAL (c)Gestión de Bases de Datos
Ejemplo 1 Cortafuegos: (III)ENCAMINADOR DE FILTRADO DE PAQUETES
• Beneficios– Coste reducido– Transparente al usuario
• Limitaciones– Exposición a ataques por filtros mal configurados– Ataques canalizados a través de servicios
permitidos– Cada sistema individual de la red privada necesita
una sofisticada autenticación de usuarios
LUIS MENGUAL (c)Gestión de Bases de Datos
Ejemplo 2 Cortafuegos: (I)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
PASARELA DE NIVELDE APLICACIÓN
SERVIDORES PROXY
SERVIDOR DEINFORMACIÓN
ENCAMINADORCON FILTRADO DE PAQUETES
RED PRIVADA CORPORATIVA
SISTEMAS INTERNOSDE LA ORGANIZACIÓN
INTERNET
LUIS MENGUAL (c)Gestión de Bases de Datos
• Mayor nivel de seguridad:– Implementa la seguridad a nivel de red
(filtrado de paquetes) y a nivel de aplicación (servicios proxy)
– Un intruso tiene que entrar en dos sistemas para comprometer la seguridad
Ejemplo 2 Cortafuegos: (II)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
LUIS MENGUAL (c)Gestión de Bases de Datos
• Las reglas de filtrado del encaminador están configuradas de modo que:– Los sistemas de Internet solo pueden acceder
a la P.N.A (Pasarela de Nivel de Aplicación).El tráfico dirigido a otras máquinas está bloqueado
– Respecto a los sistemas internos:• La política de seguridad de la organización
determina si se les permite acceder directamente a la Internet o si tienen que usar los servidores proxy de la P.N.A
• El encaminador puede ser forzado a aceptar solo el tráfico que venga del P.N.A
Ejemplo 2 Cortafuegos: (III)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
LUIS MENGUAL (c)Gestión de Bases de Datos
• Un servidor público de información puede ser situado en el segmento compartido entre el encaminador y la P.N.A.– Si se requiere un nivel moderado de
seguridad el router puede ser configurado para permitir acceder a los usuarios externos directamente
– Si se requiere un mayor de seguridad la P.N.A. puede implementar servicios proxy para que los usuarios externos accedan a la P.N.A. antes de acceder al Servidor de Información
Ejemplo 2 Cortafuegos: (IV)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
LUIS MENGUAL (c)Gestión de Bases de Datos
PASARELA DE NIVELDE APLICACIÓN
SERVIDORES PROXY
SERVIDOR DEINFORMACIÓN
ENCAMINADOR DE FILTRADODE PAQUETES
RED PRIVADA CORPORATIVA
SISTEMAS INTERNOSDE LA ORGANIZACIÓN
INTERNET
• Se puede conseguir un nivel adicional de seguridad usando una PSN dual• La topología física fuerza a que todo el tráfico destinado a la red privada
pase por la PNA
Ejemplo 2 Cortafuegos: (V)ENCAMINADOR DE FILTRADO DE
PAQUETES+PASARELA DE NIVEL DE APLICACIÓN
LUIS MENGUAL (c)Gestión de Bases de Datos
Ejemplo 3 Cortafuegos: (I)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
PASARELA DE NIVELDE APLICACIÓN
SERVIDOR DEINFORMACIÓN
ENCAMINADOR EXTERNO
RED PRIVADA CORPORATIVAINTERNET
SERVIDORES PROXY
MODEMS
ENCAMINADOR INTERNO
ZONA DESMILITARIZADADMZ (DEMILITARIZED ZONE)
BASE DATOSCORPORATIVA
LUIS MENGUAL (c)Gestión de Bases de Datos
• Es el cortafuegos más seguro– Soporta seguridad a nivel de red, de aplicación y
además protege los sistemas internos de forma más eficiente
• Se define una zona de la red (DMZ, Demilitarized Zone) donde el Administrador sitúa:– La pasarela de Nivel de Aplicación– La pila de módems– Los servidores de información
Ejemplo 3 Cortafuegos: (II)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
LUIS MENGUAL (c)Gestión de Bases de Datos
• La red DMZ es una red pequeña y aislada situada entre la red privada e Internet
• La red DMZ está configurada de modo que:– Los sistemas de Internet y de la red privada
pueden acceder a un número limitado de sistemas de la red DMZ
– La transmisión directa de tráfico a través de la red DMZ está prohibido
Ejemplo 3 Cortafuegos: (III)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
LUIS MENGUAL (c)Gestión de Bases de Datos
• El encaminador externo:– Protege de los ataques estándar– Está configurado de modo que:
• Permite que los sistemas externos solo accedan a la P.N.A. (y al Servidor de Información)
• Respecto al tráfico de salida solo acepta aquél que le llega del PNA
• El encaminador interno proporciona una segunda línea de defensa:– Solo acepta tráfico externo que venga de la P.N.A.– Está configurado de modo que:
• Permite que los sistemas internos solo accedan a la P.N.A. (y al Servidor de Información)
Ejemplo 3 Cortafuegos: (IV)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
LUIS MENGUAL (c)Gestión de Bases de Datos
• BENEFICIOS– Un intruso debe acceder a tres sistemas para
entrar en la red privada– Los sistemas privados son invisibles a Internet
• Solo son accesibles los sistemas de la DMZ– Los sistemas internos acceden a Internet siempre
a través de la P.N.A.– Se evita tener una P.N.A. dual
Ejemplo 3 Cortafuegos: (V)ENCAMINADOR EXTERNO+PASARELA DE NIVEL
DE APLICACIÓN+ENCAMINADOR INTERNO
LUIS MENGUAL (c)Gestión de Bases de Datos
CONCLUSIONES
• No hay una solución única para el diseño e implementación de un cortafuegos
• La decisión de una organización estará motivada por:– La política de seguridad, el coste, las potenciales amenazas etc
LUIS MENGUAL (c)Gestión de Bases de Datos
192.1.0.0/24
Host AtacanteInternet
ISP’s Edge Router
192.1.0.1
Objetivo Ataque
Tráfico Normal
Tráfico DoS*
*Denial-Of-Service attack
Ataque por Denegación de ServicioSINK HOLE ROUTERS (I)
LUIS MENGUAL (c)Gestión de Bases de Datos
192.1.0.0/24
Host AtacanteInternet
ISP’s Edge Router192.1.0.1
Objetivo Ataque
Tráfico Normal
Tráfico DoS*
Denial-Of-Service attack
Ataque por Denegación de ServicioSINK HOLE ROUTERS (II)
Sink Hole Router
LUIS MENGUAL (c)Gestión de Bases de Datos
Sink Hole Router Collector
Sniffers and Anayzers
Ataque por Denegación de ServicioSINK HOLE ROUTERS (III)
Sink Hole Network