Seguridad Perimetral en Redes Informáticas

Seguridad Perimetral

Cometidos:
  • Rechazar el acceso a servicios comprometidos.
  • Permitir solo ciertos tipos de tráfico.
  • Proporcionar un único punto de interconexión con la red externa.
  • Redirigir el tráfico entrante a los sistemas adecuados.
  • Ocultar servicios o sistemas vulnerables.
  • Auditar el tráfico entre el exterior y el interior.
  • Ocultar información.

Zona Desmilitarizada (DMZ)

Zona segura que se ubica entre la red interna de una organización y una red externa, generalmente Internet. Su objetivo es que las conexiones desde la red interna y externa a la DMZ estén permitidas, pero desde la DMZ solo se permitan a la externa. Los servidores ubicados en la DMZ se llaman servidores bastión.

El firewall externo debe permitir solo acceso a los servicios que deseemos ofrecer del servidor bastión.

Firewall

Funciones:

  • Filtrado de paquetes
  • NAT (en caso necesario)
  • Proxy de aplicación
  • Monitorización y registro

Adicionalmente:

  • Caché de datos
  • Filtrado de contenido
  • Sistema de detección de intrusos
  • Equilibrado de carga

Ante un ataque: Informe de utilización, detección de intrusos, aprendizaje de técnicas de ataque, evidencia legal. Pueden aplicar un conjunto de reglas. Se responde: Dejando constancia en el log, informando del problema, modificando su configuración cambiando a un modo más estricto.

Lo que NO puede hacer un firewall:

  • Evitar ataques desde dentro
  • Bloquear acceso a Wi-Fi situado detrás del firewall
  • Controlar programas ejecutados en la intranet que abren brechas
  • Prevenir la ingeniería social
  • Detener programas malignos
  • Solucionar una administración de firewall mal configurada

Filtrado de paquetes

Las reglas permiten o bloquean en función de:

  • IP de origen o destino
  • ID de protocolo
  • Puerto TCP/UDP de destino
  • Tipo de mensaje
  • Otros campos de cabecera

Un firewall sin estado no tiene en cuenta si el paquete es parte de una secuencia existente de tráfico. Aplica reglas basándose en la información de cabecera del paquete. Los puertos reconocidos (0-1023) están asociados a servicios ordinarios. El protocolo TCP tiene sesiones, con un filtrado sin estado no se permite este tráfico. Para solucionar este problema aparecen los firewalls con estado que toman en cuenta el estado de los paquetes previos cuando se definen las reglas de filtrado.

Funcionamiento

Un firewall con estado intenta rastrear el estado de las conexiones mientras filtra paquetes.

  • Trabaja a nivel de capas de Red y Transporte (3 y 4).
  • Cuando se encuentra con un paquete relacionado con el establecimiento de una nueva conexión, añade una entrada a la tabla.
  • Desde ese momento acepta todos los paquetes relacionados con la conexión ya establecida.
  • Rechazará paquetes no asociados a ninguna conexión abierta.

Ventajas:

  • Permite proteger redes enteras
  • Son transparentes a todas las máquinas de la red
  • Disponible en multitud de configuraciones hardware y software

Desventajas:

  • Su configuración puede ser complicada
  • Algunos protocolos no se ajustan bien a su filosofía de funcionamiento
  • Algunos tipos de políticas no se pueden implementar

NAT

Si quisiéramos que una máquina interna pudiera recibir peticiones directamente de la red externa podríamos utilizar la técnica de NAT (Network Address Translation). Haríamos corresponder un puerto del firewall con uno de la máquina. Además de permitirnos ahorrar direcciones, la NAT “oculta” las direcciones reales de la máquina interna impidiendo ataques hacia ella.

Ventajas:

  • Oculta tanto las máquinas internas como la topología de la red
  • Impide el acceso desde máquinas externas a las internas
  • Aumenta el número de IP disponibles

Desventajas:

  • Algunos protocolos utilizan direcciones IP dentro de los datos de los paquetes (no solo en la cabecera). Para los protocolos más comunes los firewalls están preparados, pero puede haber otros que no.
  • Algunos protocolos firman paquetes para que no sean modificados por el camino, lo que da problemas.
  • Algunos protocolos multimedia también pueden presentar dificultades.

Proxys

Son versiones elaboradas de filtros de IP, pero en estas se inspecciona la parte de datos de un paquete IP en lugar de solo las cabeceras y regeneran el paquete en lugar de solo dejarlo pasar. Trabajan a nivel de aplicación (capa 7). Todas las conexiones que se traten pasan por el proxy; las demás se bloquean. Pueden incorporar caché al trabajar con datos.

Ventajas:

  • Se pueden establecer filtros a nivel de contenido, impidiendo determinados paquetes o ficheros en HTTP o FTP, incluso mensajes por SMTP.

Desventajas:

  • Debe de haber un proxy por cada protocolo.
  • Los clientes deben de configurarse para utilizarlo.
  • No se puede filtrar HTTPS o SSH.
  • Muchos servicios usan el puerto 80 en HTTP, por tanto es difícil saber qué puerto es legítimo y cuál no.
  • La utilización de tunneling niega el propósito del proxy.
  • Si el proxy no está operativo los clientes no pueden conectarse mediante ese protocolo.

Honeypot

Es una herramienta utilizada para atraer y analizar el comportamiento de los atacantes, cómo se realizan, descubrir nuestras vulnerabilidades, etc. Se clasifican en:

  • Puros:
    • Sistemas de producción reales
    • Las actividades del atacante son monitorizadas a través de la conexión de red del equipo.
  • Alta interacción:
    • Imitan las actividades de sistemas reales que tienen desplegada gran cantidad de servicios
    • Cualquier intento de acceso al mismo se debe considerar sospechoso
    • Actualmente se suelen usar como máquinas virtuales para restaurarlas rápidamente.
  • Baja interacción:
    • Simulan únicamente los servicios más atacados
  • Honeymonkey:
    • Funciona como un sistema automático de navegación que visita páginas web, sacando una instantánea de los valores actuales de memoria, registro, etc., y después de la visita comprueba si han cambiado.

Acceso Externo a la Intranet

VPN

Se crea una red privada virtual (VPN) que permite extender de forma segura una red local sobre una red no controlada como puede ser Internet. Permite que un equipo envíe y reciba datos a través de Internet con todos los servicios y seguridad. El protocolo más extendido es IPsec, pero hay más como PPTP, SSL/TLS, SSH, etc. La VPN se puede conseguir mediante:

  • Dispositivo hardware o aplicación software.

Tipos de VPN:

  • VPN de acceso remoto: Un usuario se conecta con la empresa desde un sitio remoto utilizando Internet para acceder. Es el tipo de VPN más usado.
  • VPN punto a punto: Se utiliza para conectar distintas sedes a la misma red, lo que permite eliminar los costosos vínculos físicos punto a punto. Mantiene un vínculo permanente entre las sedes. Se suele utilizar tunneling (encapsular un protocolo de red sobre otro).
  • VPN over LAN: Variante del acceso remoto, pero empleando la LAN para establecer la comunicación. Sirve para aislar las zonas o servicios de la intranet. No todos los departamentos dentro de la intranet pueden acceder a todo.

VCN

Virtual Network Computing (VCN) es un programa de software libre cliente/servidor, que permite tomar el control desde el servidor cliente. Se puede ver qué hace el cliente. Cliente y servidor pueden ser distintos sistemas operativos.

RDP

Remote Desktop Control (RDP) permite la ejecución de aplicaciones de un servidor en una terminal del cliente. Se envía la información de la pantalla, pero en el servidor no se observa lo que hace el cliente.

Para acceder a ellos es necesario que podamos llegar a él desde el exterior. Una opción es que el equipo esté accesible desde Internet, cosa poco segura, además de que es necesario gastar IP públicas o usar NAT/PAT.

Otra posibilidad es que el cliente establezca primero una conexión VPN para que, una vez dentro de la intranet, pueda acceder al servidor directamente. Esto es mucho más seguro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.