Post on 26-Jul-2015
Miguel Torrealba S.mtorrealba@usb.ve
Seguridad Informática y de las Comunicaciones
Tema IV
Arquitecturas de Firewalls
Prevención de Intrusiones
Intrusión: Acción y efecto de intrusarse (RAE)
Intrusarse: Apropiarse, sin razón ni derecho, de un cargo, una autoridad, una jurisdicción, etc. (RAE)
Intruso: Que se ha introducido sin derecho (RAE)
Prevención: Acción y efecto de prevenir (RAE)
Prevenir: Preparar, aparejar y disponer con anticipación lo necesario para un fin. ■ Prever, ver, conocer de antemano o con anticipación un daño o perjuicio. ■ Precaver, evitar, estorbar o impedir algo (RAE)
Léxico Básico
Procesar IntrusionesRequiere tiempo.- El proceso de captura de evidencia, análisis y elaboración de conclusiones requiere tiempo
Comparta información.- El análisis de eventos con intrusos se beneficia extraordinariamente cuando el caso se comparte con expertos del área
Demanda registrar datos detalladamente.- Un buen proceso de captura, procesamiento y análisis de intrusiones requiere que se lleven registros formales de lo que se haga
Prevención de Intrusiones
Procesar IntrusionesEn general 4 tipos de IDPS
.- Basados en Red
.- Basados en Host
.- Analíticos sobre el comportamiento de la red
.- Inalámbricos
En la práctica se combinan varios de estos tipos en diversos sistemas para reforzar la detección
También asisten en el mejoramiento de las políticas de seguridad, reconocer amenazas a la organización y disuadir a algunos de cometer infracciones a la normativa de seguridad
Prevención de Intrusiones
Procesar Intrusiones
Prevención de Intrusiones
Fuente: W. Stallings
Procesar Intrusiones
Prevención de Intrusiones
Procesar Intrusiones
Prevención de Intrusiones
Ingeniería de la Seguridad
Procesar Intrusiones
Sensores colocadosen línea
Procesar Intrusiones
Prevención de Intrusiones
Ingeniería de la Seguridad
Snort®
Procesar Intrusiones
Ingeniería de la Seguridad
Anatomía de una regla en Snort
alert tcp !10.1.1.0/24 any -> 10.1.1.0 any (flags: SF; msg: “SYN-FIN scan”;)
Encabezado de la regla
Opciones de la regla
Se emite una regla cuando se captura cualquier tráfico originado en la red 10.1.1.X bajo cualquier puerto y que va dirigido a cualquier equipo en la red 10.1.1.X y cualquier puerto destino.
Las opciones de la regla indica que se buscarán en las opciones de paquetes SYN y FIN. En caso de que se detecten ambas, se emitirá la alerta. Los dos flags juntos son una anomalía
Ingeniería de la Seguridad
Arquitecturas de Firewalls
Un firewall es un sistema que tradicionalmente se coloca en fronteras y actúa como un filtro, separando datos que tratan de cruzar de un lado hacia otro
Generalmente el Firewall tiene como propósito defender un perímetro (LAN) y asume que, los sistemas a quienes protege son confiables y que los que son externos a esa área (WAN), son de quienes debe desconfiar
Ingeniería de la Seguridad
Múltiples Firewalls
Arquitecturas de Firewalls
Ingeniería de la Seguridad
Arquitecturas de Firewalls
“Pero un firewall es un sistema de reducción de riesgos, no es un sistema de mitigación de riesgos –esto significa que, siempre habrá algún peligro de que en ocasiones algo puedan ir fatalmente mal con cualquier cosa construida por humanos”
Marcus Ranum
Ingeniería de la Seguridad
Arquitecturas de Firewalls
Firewall Simple
.- Un sistema anfitrión con doble interfaces y capacidad de control de acceso. Puede ser un servidor proxy de doble acceso, un anfitrión bastión o un enrutador exterior
.- Un conmutador con capacidad de filtrado en capa 3 (puede ser visto como un enrutador interior)
Ingeniería de la Seguridad
Arquitecturas de Firewalls
DMZ
Ingeniería de la Seguridad
Software de Firewalls que no son personalesSoftware Abierto.- Iptables®.- Freestone®.- Bulldog Firewall.- Dante.- ftpproxy
Software Propietario.- Screend (se incorpora a sistemas Unix/ incluido en True64Unix®).- TIS FWTK® (facilita construir filtrados).- SOCKS® (permite desarrollar proxy).- Gauntlet®.- Firewall-1®.- Raptor®
Ingeniería de la Seguridad
Elementos Básicos en las tecnologías Firewalls
1.- Directivas de seguridad en coherencia con la política de seguridad corporativa
2.- Sistema de Autenticación Avanzado
3.- Diseño de los dominios de redes y DMZ
4.- Filtrado de Paquetes
5.- Pasarelas de AplicaciónProxiesServicios Habilitados
6.- Mantenimiento continuo
Ingeniería de la Seguridad
Evaluación de FirewallsProbar tráfico.- Muchas herramientas para generar tráfico de red