TALLER DE SEGURIDAD Licenciatura en Ciencias de la Computación.
-
Upload
bayardo-aparicio -
Category
Documents
-
view
105 -
download
0
Transcript of TALLER DE SEGURIDAD Licenciatura en Ciencias de la Computación.
TALLER DE SEGURIDAD
Licenciatura en Ciencias de la Computación
Panorama de Seguridad
•Los controles de acceso a la información constituyen uno de los parámetros más importantes a la hora de administrar la seguridad en los mismos.
•En la medida que el uso de los Sistemas de Información se expande y más personas dependen de su continuidad operativa, se vuelve más importante contar con un adecuado Plan de Contingencia y Recuperación que facilite superar situaciones no deseadas
¿De quién nos protegemos?
Ataque Externo
InternetAtaqueInterno
AtaqueAtaqueAccesoAccesoRemotoRemoto
Principales aspectos sobre seguridad
AUTENTICACION
DISPONIBILIDAD
INTEGRIDAD
CONFIDENCIALIDAD
• Para implementar un eficiente nivel de cobertura ante situaciones de desastre que podrán ser de mayor o menor importancia, de acuerdo a las circunstancias, se deben tomar en cuenta una serie de aspectos como: – Identificación en forma preliminar de factores
de riesgos ante situaciones de desastres. – Planificación de acciones a seguir. – Designación de Responsables de la
implementación del Plan. – Asegurar el correcto funcionamiento del Plan.
Medidas de Seguridad
POLITICAS de
SEGURIDAD
MONITOREO
REVISION
PLANIFICACION Y PREVENCION
• Cortafuegos• Software fiable• IPsec
• IDS
• Escaneo de vulnerabilidades
• Adminitración de recursos• Administración del riesgo.
PROTECCION
ASPECTOS A TOMARSE EN CUENTA EN LA ELABORACION DE PROGRAMAS DE SEGURIDAD
• Para el desarrollo de programas de Seguridad es necesario basarse en una adecuada Administración de los Riesgos, para lo cual hay que identificar, evaluar y adoptar medidas que tiendan a minimizar y mantener los riesgos a un nivel aceptable para la organización, tomando en cuenta los costos y beneficios a que se van a obtener con los mismos.
• Por Riesgo se puede entender cualquier contingencia que pueda tener un efecto adverso sobre la organización, a través de un impacto en las actividades de la misma y/o en sus Sistemas de Información.
• Por Contingencia pueden considerarse eventualidades.
Análisis de Riesgo
• Preguntas a formularse:– Que podría ocurrir?– Cual sería el impacto?– Con que frecuencia se podría dar?– Grado de confianza en las respuestas
• Elementos a tomar en cuenta– Costos anuales involucrados– Análisis costo/beneficio
• Análisis de Vulnerabilidades y Amenazas
• Medición y Administración del Riesgo
• Resistencias y Beneficios
Evaluación del Riesgo
Evaluación del Riesgo
Plan de Contingencia
• Definición del alcance para recuperación. • Determinación del impacto.• Definición de la estrategia de recuperación.• Desarrollo del plan.• Implementación del plan.• Prueba del Plan.• Modificación del Plan.
Seguridad y Auditoría
•Seguridad:
• Diseño de Plataformas tecnológicas.
• Diseño de Políticas, Procedimientos y Reglas, y establecimiento
de reglamentos.
• Análisis de Vulnerabilidades y Amenazas.
• Investigación, Desarrollo, Implementación y
Mejoramiento de aplicaciones y tecnologías específicas.
•Auditoría:
• Performance Global de la Organización.
• Cumplimiento de las Leyes, Normas y Procedimientos.
Performance (Rendimiento)
• Proceso continuo y estructurado de revisión del desempeño para identificar puntos fuertes y oportunidades y diseñar objetivos para siguientes períodos.
Políticas de Seguridad
• Políticas, Procedimientos y Guías de Seguridad.
• Componentes de una Política de Seguridad Informática.
• Tipos de Políticas de Seguridad.
• Atributos de Calidad de una Política de Seguridad.
Políticas, Procedimientos y Guías de Seguridad
• Objetivo de una política: Establecer que es lo que debe de hacerse.
• Los Procedimientos y las Guías de Seguridad indican los detalles de como realizarlas.
• Las Políticas de Seguridad permiten proteger a las personas y a los bienes.
Componentes de una Política de Seguridad
• Razón de la misma.
• Documentación relacionada.
• Políticas que son superadas por esta.
• Sobre que y a quienes se aplica.
• Acciones derivadas.
• Responsabilidades.
• De nivel Corporativo (Organizacional).
• Regionales.
• Departamentales o Locales.
• Políticas sobre temas específicos.
• Procedimientos de Seguridad y listas de tareas.
• Reglas.
Alcance de Políticas de Seguridad
Atributos de Calidad de una Política de Seguridad
• Claridad.
• Debe ser Concisa (directa).
• Debe ser Realista.
• Debe proveer elementos suficientes para deducir políticas de menor nivel.
• Debe permitir revisión y modificación.
• Debe estar rápidamente disponible.
Tiposs de Políticas
• Sobre Seguridad en general • Sobre prevención y evaluación del riesgo
informático• Sobre integridad de la Información• Sobre conexiones de red• Sobre control de usuarios• Sobre información del sistema y software• Sobre control de acceso físico a los
equipos• Sobre servicios y puertos abiertos
Acciones
• Conducir las revisiones de seguridad sobre cualquier sistema de la Organización, a efecto de asegurar la autentificación, confidencialidad, integridad y disponibilidad de la información.
• Investigar posibles incidentes de seguridad informática conforme a las políticas de seguridad de la organización.
• Monitorear la actividad de los sistemas y usuarios informáticos.
• Realizar evaluaciones periódicas de los riesgos de la Seguridad, con el fin de determinar áreas de vulnerabilidad e iniciar las acciones de mitigación apropiadas.
• Ayudar a los empleados a determinar que información puede ser entregada a quienes no son empleados, así como la información que no debiera ser divulgada fuera de la Organización, sin la autorización pertinente.
• Determinar el uso aceptable del equipamiento informático en la Organización. Esta Política se estipula para protección de los empleados y de la Organización.El uso inapropiado de los equipos expone a riesgos, tanto de seguridad informática como legales, a los empleados y a la Organización.
• Describir la manera por la cual las terceras partes se conectarán a las redes de la Organización.
NORMAS COBIT
• Las Normas COBIT (Control Objectives for Information and related Technology) constituye un estandar internacional para la aplicación de un correcto control de los sistemas de información.Es aplicable a un amplio rango de Sistemas de información que van desde el nivel de Computadoras Personales hasta Grandes Computadores (Mainframes), e Instalaciones Cliente-Servidor.
• Ser una guía importante para la gerencia en la toma de decisiones sobre riesgos y controles
• Ayudar al usuario de Tecnología a obtener seguridad y control sobre los productos y servicios que adquiere.
• Proveer a la Auditoría de Sistemas Informáticos, una herramienta fundamental para evaluar Controles Internos,Controles Gerenciales,y los mínimos requerimientos de Control compatibles con el necesario balance Costo-Beneficio de la Organización.
OBJETIVOS DE LAS NORMAS COBIT
DESARROLLO DEL COBIT
• Planificación y organización
Definición de un plan estratégicoDefinición de la arquitectura de informaciónDeterminación de la dirección tecnológicaDefinición de organización y relacionesAdministración de la inversiónComunicación de las políticasAdministración de los recursos humanosAsegurar el cumplimiento con los requerimientos ExternosEvaluación de riesgosAdministración de proyectosAdministración de la calidad
• Prestación y soporte
Definición de los niveles de serviciosAdministrar los servicios de tercerosAdministrar la capacidad y rendimientosAsegurar el servicio continuoAsegurar la seguridad de los sistemasEntrenamiento a los usuariosIdentificar y asignar los costosAsistencia y soporte a los clientesAdministración de la configuraciónAdministración de los problemasAdministración de los datosAdministración de las instalacionesAdministración de la operación
• Adquisición e implementación
Identificación de soluciones automatizadasAdquisición y mantenimiento del software aplicativoAdquisición y mantenimiento de la infraestructura tecnológicaDesarrollo y mantenimiento de procedimientosInstalación y aceptación de los sistemasAdministración de los cambios
• Control
Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
Obtener realización de las evaluaciones independientes
ADQUISICION E IMPLEMENTACION
ENTREGA Y SOPORTE
MONITOREO PLANEACION Y ORGANIZACION
INFORMACION
•EFECTIVIDAD•EFICIENCIA•CONFIDENCIALIDAD•INTEGRIDAD•DISPONIBILIDAD•CUMPLIMIENTO •CONFIABILIDAD
RECURSOS
• DATOS• APLICACIONES• TECNOLOGIA• INSTALACIONES• PERSONAS
COBIT
OBJETIVOS
(CONTROL OBJETIVES FOR INFORMATION SYSTEMS AND RELATED TECHNOLOGYS)
Conceptos de Arquitectura
• Arquitecturas de Seguridad
• Comportamiento del protocolo TCP/IP
• IpSec
• Túneles
• Redes Privadas Virtuales
• Firewalls y Routers
• IDSs
Arquitecturas de Seguridad
• Es la parte del diseño que describe la vista, función, ubicación y componentes de software y hardware de Seguridad.
• Se derivan y dependen de la Arquitectura de Tecnología Informática.
• Definen como los componentes serán nombrados y utilizados, donde los accesos serán controlados, como se generarán y distribuiran las alertas.
Protocolo TCP/IP
• Inseguro por Naturaleza.
• El tráfico es muy simple de alterar o fraguar:
• IP Spoofing
• DNS Spoofing
• Hijacking
• Network Snooping
• Negación de Servicio (DOS, DDOS)– POD
– Syn floo
IPSEC (Internet Protocol Secure):
• IPsec puede utilizar dos métodos para brindar seguridad, ESP (Encapsulating Security Payload) o AH (Authentication Header
• ESP cifra los paquetes con algoritmos de cifrado definidos y los autentica y AH sólo los autentica y firma digitalmente los paquetes asegurándose la identidad del emisor y del receptor.
IPSec modo transporte
Internet
Túnel IPSec
Internet
Router o cortafuegocon IPSec
IPSec modo túnel Router o cortafuegocon IPSec
Host con IPSec Host con IPSec
Encapsulado de IPSec
DatosCabecera
IP
Cabecera IPSec
Cabecera IP Túnel
DatosCabecera
IP
DatosCabecera IP
Cabecera IPSec
DatosCabecera IP
Encriptado si se usa ESP
Encriptado si se usa ESP
Modo transporte
Modo túnel
Túneles: ¿qué es un túnel?
• Permiten conectar un protocolo a través de otro
• Ejemplos:– Túnel SNA (Systems Network Architecture)
para enviar paquetes IP– MBone: túneles multicast sobre redes
unicast– Túneles IPv4 para hacer enrutamiento desde
el origen• También permiten crear redes privadas
virtuales o VPNs (Virtual Private Networks)
Red SNA
Ejemplo de túnel
Red TCP/IP
Túnel SNA transportando datagramas IPLos datagramas IP viajan ‘encapsulados’ en paquetes SNA
Encapsulador Encapsulador
Datagrama IPPaquete
SNA
Red TCP/IP
Gateway TCP/IP-SNA• Se puede implementar como estrategia en una
red TCP/IP, un gateway como el Microsoft SNA Server, que corre sobre la plataforma Windows NT, puede operar sobre procesadores Intel, ALPHA, MIPS y PowerPC, no requiere un sistema dedicado, ya que el mismo sistema Windows NT puede ser utilizado como servidor de aplicaciones, de ficheros, de impresoras, de correo, de bases de datos, o como servidor WEB, servidor DHCP, como servidor DNS, etc., además, se pueden instalar varios servidores SNA, de forma que la carga se reparta entre ellos de forma automática y garanticen la conexión en caso de que algún problema se produzca en alguna conexión.
APPC (Advanced Peer-to-Peer Communications) (Comunicación Avanzada entre Nodos de Igual Nivel) Esquema SNA (Systems Network Architecture).
AS (Autonomous System) (Sistema Autónomo) Un AS es un conjunto de enrutadores y redes administrados por una única organización. Un AS consiste de un grupo de enrutadores intercambiando información mediante un protocolo de ruteo común.
CA400 (Router)
MBONE• MBone (IP Multicast Backbone) es una red virtual a nivel
mundial que utiliza la técnica multicast y cuyo principal uso es la transmisión de vídeo y audio de forma óptima sobre Internet. A diferencia del sistema habitual de transmisión unicast empleado en Internet, donde los paquetes se intercambian entre dos estaciones extremo a extremo uno-a-uno, la comunicación multicast permite el envío de paquetes de información de uno-a-muchos optimizando la carga que reciben las estaciones transmisora y receptoras así como el ancho de banda entre los enlaces que las unen. De esta manera son habituales las transmisiones de conferencias desde cualquier punto conectado al troncal , pudiéndose mantener sesiones interactivas entre varios participantes.
• Existen tres tipos de datagramas IP en función del tipo de dirección de destino, estos son:
• IP unicast: La dirección corresponde a un solo receptor y será este el único que procese los datagramas IP con ese destino.
• IP broadcast: La dirección corresponde a todos los equipos conectados en un mismo tramo de red local y es procesada por todos ellos.
• IP multicast: La dirección corresponde a un grupo de equipos, y sólo estos procesarán los datagramas IP con ese destino.
• Unicast1 a 1
Broadcast1a todos
Multicast» 1 a muchos
MBONE
VPNsEste tema sera presentado más
ampliamente el Lunes• VPN (Virtual Private Network) es una
extensión de una red local y privada que utiliza como medio de enlace una red publica como por ejemplo, Internet. También es posible utilizar otras infraestructuras WAN tales como Frame Relay, ATM, etc.
• Utilizan protocolos de autenticación y encriptamiento.
• Este método permite enlazar dos o mas redes simulando una única red privada permitiendo así la comunicación entre computadoras como si fuera punto a punto.
• También un usuario remoto se puede conectar individualmente a una LAN utilizando una conexión VPN, y de esta manera utilizar aplicaciones, enviar datos, etc. de manera segura
• Una de las principales ventajas de una VPN es la seguridad, los paquetes viajan a través de infraestructuras publicas(Internet) en forma encriptada y a través del túnel de manera que sea prácticamente ilegible para quien intercepte estos paquetes
• Ipsec tiene dos tipos de funcionamiento, uno es el modo transporte en el cual la encriptacion se produce de extremo a extremo, por lo que todas las maquinas de la red deben soportar Ipsec, y el otro es el modo túnel, en el cual la encriptacion se produce solo entre los routers de cada red.
• El modo tunel es la forma mas ordenada de organizar una red VPN basada en Ipsec
Conexiones de VPN’s
• DE CLIENTE A SERVIDOR(Client to Server):
• DE CLIENTE A RED INTERNA (Client to LAN):
• DE RED INTERNA A RED INTERNA (LAN to LAN):
IDSs• El objetivo principal es la investigación y
seguimiento de intrusos en el sistema.• Se diseñan para que todo el tráfico hacia ellos
sea sospechoso.• Riesgo de ser usado como plataforma de ataque.• Tipos:
– Monitores de puertos.– Simuladores simples de servers.– Simuladores multiprotocolo: DTK (Conjunto
de scripts perl), SPECTER (simula hasta 11 sistemas operativos y 13 servicios para engañar a los intrusos).
Control de Accesométodos de autenticación
• Password/PIN
• Token/Smartcard
• Biometría: Huellas digitales, reconocimiento de Retina, etc.
Password/PIN
Password = contraseña
Pin: No. de Identificación
Personal
Token/Smartcard
Drivers que permiten manejar método de
autenticacion utilizando
certificados de identificación al
estilo de las tarjetas de crédito
(smartcard)
• Las tarjetas inteligentes poseen un chip empotrado en la propia tarjeta que puede implementar un sistema de ficheros cifrado y funciones criptográficas, y además puede detectar activamente intentos no válidos de acceso a la información almacenada.
• Este chip inteligente es el que las diferencia de las simples tarjetas de crédito, que sólamente incorporan una banda magnética donde va almacenada cierta información del propietario de la tarjeta.
• En la estructura más general de una tarjeta inteligente se puede observar que el acceso a las áreas de memoria sólamente es posible a través de la unidad de entrada/salida y de una CPU. Existe un sistema operativo empotrado en la tarjeta - generalmente en ROM, aunque también se puede extender con funciones en la EEPROM - cuya función es realizar tareas criptográficas (algoritmos de cifrado como RSA o Triple DES,...); el criptoprocesador apoya estas tareas ofreciendo operaciones RSA con claves de 512 a 1024 bits
• Cuando el usuario de una smartcard desea autenticarse, necesita introducir la tarjeta en un hardware lector; los dos dispositivos se identifican entre sí con un protocolo a dos bandas en el que es necesario que ambos conozcan la misma clave (CK o CCK, Company Key o Chipcard Communication Key). Tras identificarse las dos partes, se lee la identificación personal (PID) de la tarjeta, y el usuario teclea su PIN; se inicia entonces un protocolo desafío-respuesta: se envía el PID a la máquina y ésta desafía a la tarjeta, que responde al desafío utilizando una clave personal del usuario (PK, Personal Key). Si la respuesta es correcta, el host ha identificado la tarjeta y el usuario obtiene acceso al recurso pretendido
Biometría
La Biometría es una tecnología de seguridad basada en una característica
física personal
para la identificación de usuarios
Huellas digitales, reconocimiento de Retina, etc.
La autentificación puede realizarse por voz, huellas
dactilares, escritura, patrones oculares, y la
verificación de la geometría de la mano.
Control de acceso
• Autenticación por Password
• Kerberos
Autenticación por Password
Kerberos
• El uso de Kerberos se produce principalmente en el login, en el acceso a otros servidores (por ejemplo, mediante rlogin) y en el acceso a sistemas de ficheros en red, donde el cliente está autenticado o bien se asume que todos sus mensajes son fiables, se puede elegir trabajar con mensajes seguros (autenticados) o (autenticados y cifrados).
• Un servidor Kerberos se denomina KDC (Kerberos Distribution Center), y provee de dos servicios fundamentales: el de autenticación (AS, Authentication Service) y el de tickets (TGS, Ticket Granting Service). El primero tiene como función autenticar inicialmente a los clientes y proporcionarles un ticket para comunicarse con el segundo, el servidor de tickets, que proporcionará a los clientes las credenciales necesarias para comunicarse con un servidor final que es quien realmente ofrece un servicio. Además, el servidor posee una base de datos de sus clientes (usuarios o programas) con sus respectivas claves privadas, conocidas únicamente por dicho servidor y por el cliente al que que pertenece.
• La arquitectura de Kerberos está basada en tres objetos de seguridad:
• La clave de sesión es una clave secreta generada por Kerberos y expedida a un cliente para uso con un servidor durante una sesión;
• Las claves de sesión se utilizan para minimizar el uso de las claves secretas de los diferentes agentes: éstas últimas son válidas durante mucho tiempo, por lo que es conveniente para minimizar ataques utilizarlas lo menos posible.
• El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de un servidor; garantiza que el cliente ha sido autenticado recientemente. Este ticket incluye el nombre del cliente, para evitar su posible uso por impostores, un periodo de validez y una clave de sesión asociada para uso de cliente y servidor. Kerberos siempre proporciona el ticket ya cifrado con la clave secreta del servidor al que se le entrega.
• El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la comunicación; sólo puede ser utilizado una vez. Este autenticador contiene, cifrado con la clave de la sesión, el nombre del cliente y un timestamp con el propósito de evitar reenvíos de viejos mensajes capturados en la red o la reutilización de viejos tickets obtenidos de zonas de memoria del usuario autorizado, y a la vez, poder revocar a los usuarios los derechos al cabo de un tiempo.
Desventajas de Kerberos
• Uno de los principales problemas de Kerberos es que cualquier programa que lo utilice ha de ser modificado para poder funcionar correctamente, siguiendo un proceso denominado `kerberización'. Esto implica obviamente que se ha de disponer del código fuente de cada aplicación que se desee kerberizar, y también supone una inversión de tiempo considerable para algunas aplicaciones más o menos complejas que no todas las organizaciones se pueden permitir.
Etapas
• Cliente que solicita un servicio• Servidor que ofrece dicho servicio• Servidor de autenticación• Servidor de tickets• Clave secreta del cliente• Clave secreta del servidor• Clave secreta del servidor de tickets• Clave de sesión entre el cliente y el servidor
de tickets• Clave de sesión entre cliente y servidor
Kerberos
Terminal
VAX 6000
VAX 6000
VAX 6000
Servidor
de
Tickets
Servidor
de
Autenticación
Servidor
de
Aplicación
Cliente
1 2 3
4
5
6
KDC
Políticas de Password
Los passwords de administración (roots, administradores de NT, administradores de aplicaciones,, etc.) deben ser cambiados al menos trimestralmente.
Los passwords a nivel usuario deben cambiarse al menos semestralmente. Siendo lo óptimo cada cuatro meses.
Los passwords no deben ser incluídos en emails u otra forma de comunicación electrónica.
Los passwords debieran contener 8 caracteres o mas.
No deben ser palabras de uso común: nombres de familia, mascotas, amigos, compañeros de trabajo, personajes famosos, términos de computación.
• No deben ser fechas de nacimiento, direcciones y números de teléfono.
• Intercalar signos de puntuación: !@#$%&*()+
No escribir los passwords ni almacenarlos on-line.
No compartir password con nadie. Considerar todas los passwords Información
Confidencial. No revelar el password por teléfono a nadie. No revelar el password al jefe ni a otros
compañeros de trabajo. No compartir el password con familiares. No utilizar las facilidades de recordatorio de
passwords de las aplicaciones, por ejemplo, Eudora, OutLook, Nescape, Explorador de Internet, etc.
Auditoría de Seguridad
Instalaciones por defecto de sistemas y aplicaciones
• Cuentas sin Passwords o Passwords débiles
• Backups incompletos o inexistentes
• Gran número de puertos abiertos
• Insuficiente filtrado de paquetes con direcciones de inicio/destino inadecuadas
• Registro de eventos (logging) incompleto o inexistente
• Programas CGI vulnerables
• Vulnerabilidades.
• Utilizar un sistema seguro para la revisión
• Variar los momentos de realización de las auditorías
• Permita que el intruso lo subestime
Consejos de Seguridad
• Revisar quien ha accedido al sistema:
• Que servicios están corriendo en la máquina: Puertos, drivers o tareas.
• Verificar los cambios a Usuarios y Grupos, especialmente los permisos.
• Cambios al Registro• Cambios inesperados en archivos
• Administrative Tools: Event Viewer– tres logs: System, Security y
Application
• IIS log: WINNT\system32\LogFiles• Proxy log: WINNT\system32\
msplogs• Habilitar el audit:User Manager,
Policies, Audit (NT), Domain Security Policy en
2000
En Event Viewer puede obtenerse información sobre acciones como:
Muestra logon, server al que conectó, sistema usado para logearse, fecha y hora. También para intentos de logon fallidos.
Tendencias de seguridad
Amenazas con múltiples facetas
Tecnologías para mitigar ataques
Reconocimiento de patrones
Análisis y validación de protocolos
Inspección de paquetes.
Inspección de aplicaciones
Verificar comportamiento
Conectividad segura.
Screened Host• En términos de seguridad de los cortafuegos es de
tomarse en cuenta a la arquitectura screened host o choke-gate, que combina un router con un host bastión, donde el principal nivel de seguridad proviene del filtrado de paquetes (es decir, el router es la primera y más importante línea de defensa). En la máquina bastión, único sistema accesible desde el exterior, se ejecutan los proxies de las aplicaciones, mientras que el choke se encarga de filtrar los paquetes que se puedan considerar peligrosos para la seguridad de la red interna, permitiendo únicamente la comunicación con un reducido número de servicios.
Host Bastion
• Se llama host bastión o gates, al sistema que actúa como intermediario y que es el punto de contacto de los usuarios de la red interna de una organización con otro tipo de redes. El host bastión filtra tráfico de entrada y salida, y también esconde la configuración de la red hacia fuera. Esta máquina debe estar especialmente asegurada, pero en principio es vulnerable a ataques por estar abierta a Internet.
• Se trata de un router que bloquea todo el tráfico hacia la red interna, excepto al bastión
• Soporta servicios mediante proxy (bastión)
• Soporta filtrado de paquetes (router)
• No es complicada de implementar
• Si el atacante entra en el bastión, no hay ninguna seguridad
¿Dónde situar el sistema bastión?
• Algunos especialistas recomiendan situar el router entre la red exterior y el host bastión, pero otros recomiendan situar el bastión en la red exterior asegurando que no provoca aparentemente una degradación de la seguridad, y ayuda al administrador a comprender la necesidad de un elevado nivel de fiabilidad en esta máquina, ya que está sujeta a ataques externos; de cualquier forma, la `no degradación' de la seguridad mediante esta aproximación es discutible, ya que habitualmente es más fácil de proteger un router que una máquina con un propósito general, como Unix, que además por definición ha de ofrecer ciertos servicios
Internet
Red interna
Router interior
Bastion host/ router exterior
Red perimetral
Cortafuego
Ejemplo de colocación del host bastión
Internet
Red interna
Router exterior
Bastion host/ router interior
Red perimetral
Cortafuego
Configuración no recomendada (un ataque al Bastion host comprometería la seguridad de la red interna)
Ejemplo de colocación del host bastión
• Cuando una máquina de la red interna desea comunicarse con el exterior existen dos posibilidades:
• El choke permite la salida de algunos servicios a todas o a parte de las máquinas internas a través de un simple filtrado de paquetes.
• El choke prohibe todo el tráfico entre máquinas de la red interna y el exterior, permitiendo sólo la salida de ciertos servicios que provienen de la máquina bastión y que han sido autorizados por la política de seguridad de la organización. Así, estamos obligando a los usuarios a que las conexiones con el exterior se realicen a través de los servidores proxy situados en el bastión
• La primera recomendación exige un mayor nivel de complejidad a la hora de configurar las listas de control de acceso del router, mientras que si se elege la segunda, la dificultad está en configurar los servidores proxy .
Screened Subnet o DMZ (red perimétrica o De-Militarized Zone)
• Es la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de cortafuegos, situando una subred (DMZ) entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al host bastión. En los modelos anteriores toda la seguridad se centraba en el bastión, de forma que si la seguridad del mismo se veía comprometida, la amenaza se extendía automáticamente al resto de la red.
• Como la máquina bastión es un objetivo interesante para muchos piratas, la arquitectura DMZ intenta aislarla en una red perimétrica de forma que un intruso que accede a esta máquina no consiga un acceso total a la subred protegida
• Screened subnet es la arquitectura más segura, pero también la más compleja; se utilizan dos routers, denominados exterior e interior, conectados ambos a la red perimétrica
Screened subnet
Bastión
RedExterna
RedInterna
Router
Router
DMZ
• El router exterior tiene como misión bloquear el tráfico no deseado en ambos sentidos (hacia la red perimétrica y hacia la red externa), mientras que el interior hace lo mismo pero con el tráfico entre la red interna y la perimétrica: así, un atacante tendría que romper la seguridad de ambos routers para acceder a la red protegida. Incluso, es posible implementar una zona desmilitarizada con un único router que posea tres o más interfaces de red, pero en este caso si se compromete este único elemento se rompe toda nuestra seguridad
Red interna
Router interior
Internet
Router exterior
Bastion host
Red perimetral
Web
DNS, Mail
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)
Ejemplo cortafuego con Zona Desmilitarizada