“INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION” Módulo II:
ELEMENTOS DE NETWORKING Y SEGURIDAD DE REDES GISI – IEEE – UTN (FRC) Facundo N. Oliva Cúneo
MODELO OSI Y PILA TCP/IP
Consideraciones de Seguridad Seguridad de Red Perimetral: Protección frente a ataques que proceden de fuera de la red. Contramedidas: Filtrado de Tráfico (Firewall, Antispam, AV Perimetral) Autenticación DMZ (Zona Desmilitarizada) Seguridad de Red Interna: Protección frente a ataques que proceden de dentro de la red. Contramedidas: Seguridad en la Intranet (Segmentación, Aislamiento de Redes y VLANs, IDS/IPS, Log’s) Seguridad Local (SO, Aplicaciones, AV, Master Hard y Soft)
Conmutación LAN La conmutación LAN está dada por dispositivos de capa 2 (BRIDGE o SWITCH). Los dispositivos de capas 2 , leen las tramas que son transmitidas en un segmento LAN, y las retransmiten a los demás segmentos sólo si esto es necesario. MECANISMO DE LA CONMUTACION LAN Se crean segmentos de red dedicados (conexiones punto a punto) y conecta esos segmentos en una red virtual dentro del switch. Este circuito de red virtual existe sólo cuando dos nodos necesitan comunicarse. Es por eso que se lo denomina circuito virtual – existe sólo cuando es necesario y se establece dentro del switch TABLA MAC Los dispositivos de capa 2 (BRIDGE o SWITCH) toman sus decisiones basadas en una tabla donde asocian cada dirección MAC de la red a una interfaz (donde se encuentra conectada). Luego, cuando reciben una trama, leen el encabezado para conocer la dirección MAC destino de la trama. De acuerdo a la dirección destino seleccionará el puerto por el que la reenviarán.
Ventaja de la Conmutación: Segmentación Evita congestión. Un switch LAN permite a muchos usuarios comunicarse en paralelo mediante el uso de circuitos virtuales y segmentos de red dedicados en un entorno libre de colisión. Esto maximiza el ancho de banda disponible para cada estación de un segmento.
Segmentación: Dominios de Colisión Los dominios de colisión involucran todas las estaciones, dispositivos y medios que forman un segmento donde pueden ocurrir colisiones.
Segmentación de Dominios de Colisión: SWITCH
Segmentación: Dominios de Broadcast . Un
dominio de broadcast estará definido por todos los medios, estaciones y dispositivos que compartirán broadcasts de capa 2 (uno de los nodos del dominio envía un mensaje y el resto de los nodos de ese dominio lo recibe).
Segmentación de Dominios de Broadcast: ROUTER
Segmentación: Repaso Dominios de colisión versus dominios de broadcast:
Segmentación: Repaso Dominios de colisión versus dominios de broadcast:
Segmentación: Repaso Dominios de colisión versus dominios de broadcast:
Segmentación: Repaso Dominios de colisión versus dominios de broadcast:
Equipos de Red: Resumen Hub
Capa del Modelo OSI en que trabaja
Divide o dedica el Ancho de Banda a c/ conexión Divide Dominios de Colisión (SI o NO) Divide Dominios de Broadcasts (SI o NO) Conecta distintas tecnologías de la Capa Inferior (SI o NO)
Switch
Puente
Router
Equipos de Red: Resumen Hub
Switch
Puente
Router
Capa del Modelo OSI en que trabaja
1 (Física)
2 (Enlace de Datos)
2 (Enlace de Datos)
3 (Red)
Divide o dedica el Ancho de Banda a c/ conexión
DIVIDE
DEDICA
DEDICA
DEDICA
Divide Dominios de Colisión
NO
SI
SI
SI
Divide Dominios de Broadcasts
NO
NO
NO
SI
Conecta distintas tecnologías de la Capa Inferior
NO
NO
SI
SI
.
VLAN’S Una LAN VIRTUAL (o VLAN por Virtual LAN) es una agrupación lógica de dispositivos o estaciones independiente de su ubicación física.
CADA VLAN ES UN DOMINIO DE BROADCAST DIFERENTE: Segmentan lógicamente la infraestructura física de la LAN en subredes diferentes (dominios de broadcast para Ethernet) de modo que los frames de broadcast sólo se conmutan entre puertos de la misma VLAN. No necesariamente, estos dispositivos o estaciones estarán conectados al mismo switch, ni todos los enlaces de un switch formarán parte de esta agrupación.
VLAN’S Diferencias entre VLANs y redes LAN conmutadas: • Las VLANs funcionan a nivel de Capa 2 y Capa 3 del modelo de referencia OSI, mientras que las LAN conmutadas sólo funcionan en la capa 2. • La comunicación entre las VLANs es implementada por el enrutamiento de Capa 3. • Las VLANs proporcionan un método para controlar los broadcasts de red, las LAN conmutadas no realizan ningún control de broadcast. • El administrador de la red asigna usuarios a una VLAN, en las LAN conmutadas todos los usuarios se encuentran en la misma red.
• Las VLANs pueden aumentar la seguridad de la red, definiendo cuáles son los nodos de red que se pueden comunicar entre sí.
VLAN’S EJEMPLO: Se tienen dos VLAN (1 y 2) definidas en un switch: 1- Si estación A en la VLAN1 envía un paquete broadcast... 2- El switch lo enviará solo a las estaciones de su propia VLAN (estaciones C,D,E y H). 3- Si estación F en la VLAN 2 envía un paquete a una estación de otra VLAN (estación A en la VLAN 1), y... 4- si el switch no conociera donde está dicha estación... 5- Hará broadcast pero solo a las estaciones B y G de la misma VLAN, y como la estación no está en la misma VLAN, el paquete no llegará a destino.
VLAN’S: Enlaces Trunking Las VLANs no necesariamente se encuentran en un solo switch, sino que se pueden crear VLANs distribuidas a lo largo de varios switches. Esto se logra interconectando los switches mediante enlaces VLAN Trunking. Estos enlaces transportan la información de todas las VLANs entre los switches.
En la figura, la VLAN de un switch se extiende, a través del enlace Trunk, al otro. Así, un broadcast enviado por una estación conectada al primer switch y perteneciente a dicha VLAN, llegará a las estaciones conectadas al segundo switch pertenecientes también a dicha VLAN.
VLAN’S: Router’s y VLAN’s Para interconectar las VLANs, es necesario utilizar dispositivos de capa 3 (routers) que realizará el enrutamiento de los paquetes entre una VLAN y otra. El router hará su actividad normal si tiene una interfaz física conectada a cada VLAN. En caso de utilizar trunk, en el router se crearán interfaces virtuales, una por cada VLAN. A cada interfaz virtual se le asignará una dirección IP. Además de realizar el enrutamiento, en estos dispositivos podremos aplicar las políticas de seguridad a cada grupo de usuarios (VLAN) que necesitemos.
IDS Los Detectores de Intrusos (o IDS) proporcionan seguridad a la red interna protegiéndola de ataques y amenazas tanto internas como externas. Realizan un análisis on-line del tráfico y pueden tomar medidas sobre los paquetes y flujos que violan las normas de seguridad configuradas o representan una actividad malintencionada contra la red: los IDS pueden responder en forma automática a las amenazas de hosts internos o externos.
IDS: Relación entre IDS y Firewall
IDS NIDS (Network Intrusion Detection System) Detecta los paquetes armados maliciosamente y diseñados para no ser detectados por los . cortafuegos. Consta de un sensor situado en un segmento de la red y una consola. Ventaja: No se requiere instalar software en ningún servidor. Inconveniente: Es local al segmento. No puede procesar información cifrada.
HIDS (Host Intrusion Detection System) Analiza el tráfico sobre un servidor. Ventajas: Registra comandos utilizados. Es más fiable, mayor probabilidad de acierto que NIDS.
Seguridad Perimetral Líneamiento actual de investigación en seguridad de redes: “Concentración de la seguridad en un punto, obligando a que todo el tráfico entrante y saliente pase por un mismo punto, que normalmente se conoce como cortafuegos o firewall, permitiendo concentrar todos los esfuerzos en el control de tráfico a su paso por dicho punto”
Filtrado de Tráfico Método basado en un conjunto de reglas que establecen qué tipo de tráfico se permite y cuál no, de forma tal de impedir el acceso no autorizado a una red, parte de una red o un host, permitiendo por otro lado el acceso autorizado.
Internet Internet
Router’s, Firewall’s y algunos SO proporcionan capacidades de filtrado.
Firewall Internal Internal Network Network
Para realizar el filtrado del tráfico, los dispositivos generalmente examinan la cabecera de los paquetes según van pasando, y decide la suerte del paquete completo según lo que establezcan las reglas de filtrado.
Filtrado de Tráfico Topología que muestra una red con dos dispositivos que filtran tráfico. Un paquete que quiera enviar la estación D a la estación A pasaría por: El router que interconecta las dos redes El puente que interconecta los dos segmentos de la red 11.0.0.0
Filtrado de Tráfico: Operación del Filtrado
Filtrado de Tráfico POLITICA RESTRICTIVA: Permitir solo el tráfico deseado y denegar todo el resto que no fue específicamente permitido.
POLITICA PERMISIVA: Negar solo el tráfico que específicamente se quiere prohibir y permitir todo el resto.
Filtrado de Tráfico: Tipos de Filtrado A nivel de red: Con direcciones IP y la interfaz por la que llega el paquete, (routers y firewalls). A nivel de transporte: Con los puertos y tipo de conexión, (routers y firewalls). A nivel de aplicación: Con los datos, a través de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicación (servidor proxy o pasarela multiaplicación)
Filtrado de Tráfico: Tipos de Filtrado FILTRADO POR INSPECCION DE ESTADOS: STATEFUL La inspección de estado se basa en la inspección de paquetes basado en contexto: tipo de protocolo y puertos asociados. Internamente se define una tabla de sesiones permitidas (tanto TCP como UDP), donde el paquete de conexión inicial (por ejemplo en TCP el primer segmento marcha con bit ACK=0 y SYN=1) se comprueba contra las reglas, y si está permitido se apunta en la tabla de sesiones y tras ello, los paquetes siguientes de la misma sesión se dejan pasar. Ejemplo: apertura de FTP en modo Activo Mode
Filtrado de Tráfico los FireWalls que tienen implementado este mecanismo de seguridad se caracterizan por mantener una tabla denominada "stateful inspection" con las sesiones TCP y las "pseudo" sesiones UDP activas. En cada entrada de esta tabla se va almacenando:
.
la dirección IP de origen y la dirección IP de destino, los puertos de origen y los puertos de destino, y finalmente, banderas y secuencia del paquete TCP
Filtrado de Tráfico: Ejemplos z
Ejemplo: La red 193.146.9.0 está conectada a Internet a través de un dispositivo que filtra (router o firewall). Este tiene esta lista de reglas:
z
Luego:
Firewall Dispositivo (Hardware o Software) que se sitúa entre dos redes de distinto nivel de seguridad, (normalmente, una red interna corporativa y una red externa, típicamente Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra (bloquea) los que no deben ser reenviados, de acuerdo con un criterio preestablecido (reglas).
Puertos UDP/TCP SMTP TCP 25 DNS UPD 53 HTTP TCP 80 External External Network Network
A IC L AP
HTTP
AS L G RE
Politicas de Acceso SMTP 5 HTTP 5 All Destinations5
SMTP 2 DNS Intrusion Firewall
Internal Internal Network Network
Firewall: Tipos de Firewalls Seguridad de Capa 3 Listas de acceso estáticas Seguridad de Capa 4: Listas de acceso extendidas Listas de acceso reflexivas Seguridad de Capa 7: Proxys o Gateways de aplicación Inspección de pleno estado
Filtrado en Linux: Firewall Iptables El filtrado de paquetes está programado en el núcleo (como módulo o como componente estático). Según la versión del núcleo se puede utilizar el comando “iptables” o “ipchains" para configurar las reglas de filtrado. Linux utiliza tres conjuntos de reglas llamadas cadenas para aplicar los filtros según corresponda: INPUT, OUTPUT y FORWARD. Cadena INPUT: Contiene la lista de reglas que se aplican a los paquetes que llegan al host donde esté configurado el filtro y el destino del paquete es el mismo host. Cadena OUTPUT: Contiene la lista de reglas que se aplican a los paquetes que salen del host donde esté configurado el filtro. Cadena FORWARD: Contiene la lista de reglas que se aplican a los paquetes que llegan al host donde esté configurado el filtro, pero el destino es algún otro host. Esta cadena se utiliza cuando el host que tiene las reglas de filtrado se comporta como un router. IPTABLES es una herramienta muy flexible que permite filtrar paquetes por su encabezado IP, encabezado TCP o UDP, mensaje ICMP, encabezado MAC y su contenido en la parte de datos.
Filtrado en Linux: Firewall Iptables Diagrama con los posibles caminos que pueda tomar la interpretación de un paquete que llega a un host Linux configurado para filtrar paquetes:
Ejemplo de la aplicación de una regla que deniegue todo tráfico ICMP que llegue al host:
Filtrado en Windows NT/2000 A través de la configuración avanzada de TCP/IP de Windows 2000 y Windows NT es posible establecer filtros básicos de paquetes. En la figura siguiente se puede ver cómo desde la ventana Filtrado de TCP/IP se pueden permitir o denegar el acceso a diferentes puertos TCP y UDP.
Filtrado en Cisco IOS El IOS de Cisco implementa el filtrado de paquetes a través de listas de control de acceso llamadas ACL. Estas listas contienen un conjunto de reglas que indican qué se debe hacer con cada paquete. Las ACL son aplicadas indicando la interfaz del dispositivo y el sentido del flujo de la información. Así, al momento de aplicar una lista de acceso se debe indicar en qué interfaz se posiciona el filtro y cuándo se va a tener en cuenta ese filtro: si para el tráfico que llegue a esa interfaz o el tráfico que salga de esa interfaz. Ejemplo de la implementación de una lista de control de acceso:
Seguridad Perimetral: Arquitecturas Gateway de doble conexión (Dual-Homed Gateway)
Seguridad Perimetral: Arquitecturas Host protegido (Bastion Host)
Seguridad Perimetral: Arquitecturas Subred protegida (Screened Subnet)
Seguridad Perimetral: DMZ . Topología DMZ de un Firewall DMZ en Firewall /3 Nic DMZ DMZ Internet Internet
Firewall
Internal Internal Network Network
Seguridad Perimetral: DMZ . Topología DMZ de dos Firewall
DMZ DMZ Internet Internet
External Firewall Internal Firewall
Topicos: Redes Trampa Jarrón de miel (HONEY POT) En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense. Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección.
Topicos: Redes Trampa Jarrón de miel (HONEY POT)