Seguridad de Redes 2015-2016 (Examen)

2015-2016 Bloque 4 - Tema 9 SEGURIDAD Y PROTECCIÓN EN REDES DE COMUNICACIONES. SEGURIDAD PERIMETRAL. ACCESO REMOTO SEGURO A REDES. REDES PRIVADAS VIRTUALES (VPN). SEGURIDAD EN EL PUESTO DEL USUARIO PREPARACIÓN OPOSICIONES TÉCNICOS AUXILIARES DE INFORMÁTICA B4T9 SEGURIDAD EN REDES TAI ÍNDICE ÍNDICE.............................................................................................................................................................. 2 1. SEGURIDAD Y PROTECCIÓN EN REDES DE COMUNICACIONES.................................................................. 3 2. SEGURIDAD PERIMETRAL.......................................................................................................................... 5 1. Cortafuegos.......................................................................................................................................... 6 2. Servidor Proxy.................................................................................................................................... 16 3. IDS e IPS.............................................................................................................................................. 22 4. Honeypot y honeynet......................................................................................................................... 28 5. Sondas CCN........................................................................................................................................ 30 3. ACCESO REMOTO SEGURO A REDES....................................................................................................... 31 4. REDES PRIVADAS VIRTUALES (VPN)........................................................................................................ 37 1. Escenarios de VPN.............................................................................................................................. 38 2. Tecnologías de VPN............................................................................................................................ 43 3. OpenVPN............................................................................................................................................ 56 4. Softether............................................................................................................................................ 56 5. SSTP.................................................................................................................................................... 57 5. SEGURIDAD EN EL PUESTO DEL USUARIO............................................................................................... 58 1. Medidas de carácter organizativo..................................................................................................... 59 2. Medidas de carácter técnico.............................................................................................................. 60 PABLO ARELLANO www.theglobeformacion.com Página 2 B4T9 SEGURIDAD EN REDES TAI 1. SEGURIDAD Y PROTECCIÓN EN REDES DE COMUNICACIONES La implantación de los sistemas informáticos y redes ha conllevado la necesidad de herramientas automatizadas para la protección de las redes privadas. Las medidas de seguridad en la red son el conjunto de medidas adoptadas para proteger los datos durante la transmisión a través de redes no seguras. Sin embargo, debido a que la práctica totalidad de organizaciones tienen interconectados sus sistemas informáticos con una colección de redes que a su vez están interconectadas entre sí, dando lugar a lo que conocemos como Internet, es más frecuente el uso del término seguridad en Internet. La seguridad en internet abarca la prevención, detección y corrección de violaciones de la seguridad que puedan afectar a la transmisión de información. UIT-T Recomendación X.800 (Security Architecture for OSI) describe los servicios de seguridad básicos que pueden ser aplicados cuando es necesario proteger la comunicación entre sistemas. Aunque se trata de un modelo genérico definido en los años 90, sus conceptos y definiciones aún siguen vigentes en el día a día de los administradores de la seguridad. La arquitectura de seguridad del modelo OSI es útil para los administradores, ya que establece un protocolo para organizar la tarea de proporcionar seguridad. Además, como esta arquitectura fue desarrollada como un estándar internacional, los fabricantes de computadoras y sistemas de comunicación han añadido características de seguridad a sus productos y servicios que se relacionan con esta definición estructurada de mecanismos y servicios. El modelo OSI de arquitectura de la seguridad se centra en los siguientes conceptos: - Mecanismos de seguridad: serán los procesos que permiten detectar, prevenir, o recuperarse frente a un ataque contra la seguridad. Estos se dividen en: o Mecanismos ESPECÍFICOS: se aplican a una capa de protocolo específico: autenticación, control de accesos, firma digital, cifrado, notarización (uso de terceras partes de confianza), integridad, tráfico de relleno (envío de datos reales + datos no reales) y control del enrutado (selección de rutas). o Mecanismos PERSISTENTES: no son específicos de una capa de protocolo o servicio de seguridad concreta: registro de auditoría de seguridad, etiquetas de seguridad (asociados a los datos), funcionalidad de confianza, detección de eventos y recuperación de la seguridad. - Servicios de seguridad: servicio de comunicación que incrementa la seguridad de los sistemas de información y las transferencias de datos realizadas por una organización. Los servicios intentan prevenir los ataques contra la seguridad haciendo uso de uno o varios mecanismos de seguridad. o Confidencialidad: información accesible solo por las entidades autorizadas. o Autenticación: identificación validada de la entidad. o Control de accesos: controlar y limitar el acceso a través de la red a los sistemas y las aplicaciones. PABLO ARELLANO www.theglobeformacion.com Página 3 B4T9 SEGURIDAD EN REDES TAI o Integridad: la información es recibida sin modificación. o No repudio: la entidad emisora o receptora no puede negar la autoría del envío de datos. o Disponibilidad: un sistema o recurso puede ser utilizado cuando sea necesario. - Ataques contra la seguridad: cualquier acción que atenta contra la seguridad de la información de la organización (ver B4T5). PABLO ARELLANO www.theglobeformacion.com Página 4 B4T9 SEGURIDAD EN REDES TAI 2. SEGURIDAD PERIMETRAL Asegurar el perímetro es una de las estrategias defensivas más eficaces comúnmente utilizadas desde antaño en el campo de la seguridad. Baste para ello recordar las fortificaciones medievales en las que existía tan sólo un número restringido de puntos de entrada en los que se aplicaba un fuerte control de acceso. Reducir la superficie de exposición, crear puntos controlados de acceso y centrar las defensas en esos puntos permite optimizar la capacidad defensiva. Para reforzar la eficacia de la fortificación existían asimismo, elementos añadidos de seguridad como guardias, fosos, barreras naturales, puertas falsas o perímetros internos a la propia fortificación. También han sido muchas las puertas traseras o poternas construidas por comodidad, y que cuando no fueron debidamente mantenidas en secreto supusieron la caída de fortalezas. Las TIC han adoptado estas ideas a lo largo de los últimos años, creando arquitecturas y dispositivos que permitieran realizar las mismas tareas con idéntica eficacia. El concepto de red perimetral hace referencia al conjunto de dispositivos y/o mecanismos técnicos que son utilizados para separar la red interna de una organización (conocida como intranet o red corporativa) del resto de redes externas (habitualmente Internet). A la hora de diseñar la solución de seguridad perimetral, han de tenerse en cuenta las distintas zonas de las que se compone la red, reflejando el nivel de seguridad de cada subred concreta. Las zonas más habituales son: - Intranets: redes internas a la Organización. - DMZ: las zonas desmilitarizadas (De-Militarized Zone) son redes con un nivel de protección intermedio entre las internas y las externas. Se pueden establecer diferentes DMZs si existe la necesidad de establecer distintas zonas de seguridad debido a distintos requisitos. - Extranets: redes privadas establecidas con otras Organizaciones con el fin de compartir algún tipo de recurso o servicio. PABLO ARELLANO www.theglobeformacion.com Página 5 B4T9 SEGURIDAD EN REDES TAI 1. Cortafuegos Un cortafuegos (firewall) es aquel sistema formado por aplicaciones, dispositivos o combinación de éstos encargado de hacer cumplir una política de control de acceso en las comunicaciones entre dispositivos de red según una política de seguridad existente. Se entiende por políticas de control de acceso las primitivas de "permitir" o "denegar" a determinados clientes el acceso a los recursos de red, expuestos como servicios, según unos privilegios de autorización. Estos privilegios a los recursos u objetos se definen habitualmente mediante listas con entradas secuenciales llamadas juegos de reglas Características de un cortafuegos Un servicio de cortafuegos presenta una serie de características entre las que se pueden destacar las siguientes: - Define un punto único de control, que permite alejar a los usuarios no autorizados de la red protegida, y proporciona protección contra ataques de spoofing y enrutado. Esto simplifica la gestión, porque las características de seguridad están centralizadas en un único sistema o conjunto de sistemas. - Proporciona una localización para monitorizar eventos relacionados con la seguridad. En un sistema cortafuegos se pueden implementar auditorías de seguridad y alarmas. - Proporciona una plataforma para otras funciones de Internet que no están relacionadas con la seguridad: traducción de direcciones, funciones de gestión para auditoría y registros de log para medir el uso de Internet. - Puede ser utilizado para implementar redes privadas virtuales (VPN). Modos de funcionamiento 1) Los firewalls disponen de una lista de patrones y acciones asociadas: o Los patrones pueden basarse en campos de cabeceras o protocolos de aplicación, entre otros. o Las acciones asociadas pueden ser, entre otros, DENY o ACCEPT. PABLO ARELLANO www.theglobeformacion.com Página 6 B4T9 SEGURIDAD EN REDES TAI o La lista se encuentra priorizada, existiendo una acción por defecto que se aplica en caso de que el tráfico analizado no cumpla ninguno de los patrones: DENY ALL o ACCEPT ALL. 2) El firewall captura todo el tráfico recibido en las interfaces de red, compara el tráfico con los patrones de la lista y aplica la acción asociada o la acción por defecto. Al configurar los firewalls se puede optar por dos tipos de políticas: - Política restrictiva: (más seguro) sólo se permite el tráfico explícitamente autorizado en un patrón de la lista, mientras que el resto se bloquea. La acción por defecto es DENY ALL. - Política permisiva: se permite todo el tráfico excepto el explícitamente bloqueado en alguno de los patrones. La acción por defecto es ACCEPT ALL. Funcionalidades de los cortafuegos - Control del tráfico de red: controla el flujo de tráfico entre dos entornos con niveles de seguridad distintos, ya sea internamente a la organización o entre la organización y el exterior mediante un conjunto de reglas. Este control puede ser algo bastante complejo. En un caso muy simple (filtro de paquetes), el FW analizará cada paquete que llega hasta él y verificará su cabecera analizando varios parámetros, típicamente los siguientes: dirección de origen, dirección de destino, protocolo, puerto de origen y puerto de destino. - Registro de eventos y alertas: generación de logs y alertas para ser posteriormente verificados y analizados. - Traducción de direcciones: o Modificación de la dirección de IP de origen o destino de los paquetes para generar una dirección privada o pública: ▪ NAT estático mediante el mapeado permanente entre 2 direcciones IP, una interna y una externa. ▪ NAT dinámico mediante la traducción de una dirección IP interna a una dirección IP pública seleccionada dinámicamente dentro de un grupo de direcciones disponibles. o NAT de ocultamiento: para ocultar el direccionamiento interno. Un grupo de direcciones IP privadas se mapean por una única dirección pública. o Redirección de puertos (port forwarding): versión estática del NAT de ocultamiento que permite dar visibilidad exterior a servicios concretos. Para ello se realiza el mapeo estático de un puerto de transporte TCP o UDP en el sistema hacia el mismo u otro puerto en la dirección IP pública utilizada para el NAT de ocultamiento. - Filtrado de contenidos: para evitar el contenido malicioso en colaboración con antivirus y antispam. PABLO ARELLANO www.theglobeformacion.com Página 7 B4T9 SEGURIDAD EN REDES TAI - Prevención de intrusiones: realiza filtrado de tráfico al igual que los IPS, aunque de un modo distinto. - Balanceo de carga: permite que determinados servicios puedan ser atendidos por distintos servidores, por ejemplo para repartir peticiones en una granja de servidores. Clases de cortafuegos Según el ámbito de aplicación encontramos dos tipos: - FW de red: su objetivo es el control del tráfico en tránsito de la red y por ello participa como dispositivo activo en ésta. Permite la gestión centralizada de la seguridad. - FW a nivel sistema: forma parte de una estación de la red, normalmente como aplicación local, e implementa el control del tráfico con origen o destino a dicha estación. Aunque su uso en aproximaciones de seguridad multicapa es una buena práctica de protección, no ha sido ampliamente utilizado. La tendencia está cambiando ya que en el escenario actual de las comunicaciones existe una mayor diversidad y movilidad en la conectividad haciendo la definición del perímetro cada vez más difusa. Es posible realizar una gestión centralizada con el despliegue y las herramientas necesarias. Según su nivel de participación dentro de la pila de protocolos OSI, se realiza una de las principales clasificaciones entre los cortafuegos existentes. Aunque encontramos inevitablemente soluciones híbridas, a grandes rasgos podemos diferenciar los tipos: - Nivel de enlace de datos (nivel 2): permite filtrar por direcciones MAC. Hasta hace poco era extraño encontrar filtros basados en este nivel, pero han ido ganando popularidad al mejorar las prestaciones de seguridad de los dispositivos de red basados en esa capa, como por ejemplo los switches Ethernet. - Nivel de red (nivel 3): permite filtrar por direcciones IP. - Nivel de transporte (nivel 4): permite filtrar por protocolo (TCP, UDP) y puertos. Estos cortafuegos también suelen permitir realizar NAT, lo que supone otra capa de defensa. - Nivel de aplicación (nivel 7): permite filtrar por características propias de un protocolo, bloqueando o cambiando el resultado, por ejemplo, determinadas peticiones DNS o URL en la navegación web. Pueden realizar tareas de Proxy. TIPOS de cortafuegos A continuación se describen las diferentes tecnologías de FW que se pueden encontrar disponibles en gran parte de los productos o soluciones existentes. - Filtrado básico de paquetes. - Filtrado de paquetes con estado. - Filtrado de paquetes con estado e inspección (DPI). - Cortafuegos a nivel de aplicación. - Cortafuegos transparente. PABLO ARELLANO www.theglobeformacion.com Página 8 B4T9 SEGURIDAD EN REDES TAI - Cortafuegos a nivel de sistema. - Cortafuegos virtuales. Filtrado básico de paquetes El filtrado básico de paquetes, también conocido como STATELESS PACKET FILTERING, se basa en una lista de control de acceso sobre la información de cabecera de las capas de red y transporte (direcciones IP origen/destino, protocolos IP, puertos TCP/UDP, banderas TCP, etc.) de manera individual e independiente para cada uno de los paquetes. Se trata de la forma más simple y ligera de filtrado. Sólo evalúa las cabeceras y no memoriza el estado de las conexiones a nivel de transporte permitidas con anterioridad. Es habitualmente utilizado como control básico de acceso en dispositivos de encaminamiento de perímetro, siendo la primera línea de filtrado en una aproximación multicapa para proporcionar filtrado de entrada/salida. Su configuración recomendada incluye: - Permitir el tráfico saliente sólo originado con direcciones propias. - Permite el tráfico entrante sólo destinado hacia direcciones propias. - Denegar el tráfico saliente a direcciones no asignadas o reservadas o de uso especial. - Limitación de exposición y acceso global: o Denegar los servicios no permitidos por política en ambos sentidos. o Denegar los puertos asociados a código malicioso (gusanos, troyanos, etc.). Ejemplo: regla que permitiera el tráfico de correo (TCP/25) al servidor de la Organización 1.2.3.4 Reglas para permitir el tráfico al servidor de correo 1.2.3.4, así como tráfico web HTTP (TCP/80) y HTTPS (TCP/443) al servidor web 1.2.3.5 y denegar el resto del tráfico. iptables es un programa de línea de comandos que forma parte del proyecto NetFilter y se utiliza para configurar el conjunto de reglas de filtrado de paquetes de Linux para un cortafuegos. Se encarga también de la traducción de direcciones de red. Está dirigido a administradores de sistemas. El paquete iptables también incluye ip6tables, que se utiliza para configurar el filtro de paquetes IPv6. PABLO ARELLANO www.theglobeformacion.com Página 9 B4T9 SEGURIDAD EN REDES TAI Filtrado de paquetes con estado El filtrado de paquetes con estado, también conocido como STATEFUL PACKET FILTERING, es un filtrado más completo que el filtrado de paquetes estándar ya que le añade la capacidad de mantener información de estado de las conexiones establecidas. Esto permite una mayor flexibilidad y seguridad porque se evalúa la situación en función de la información ya permitida y memorizada (puertos TCP/UDP, banderas TCP, números de secuencia TCP) con anterioridad al juego de reglas definido. Los paquetes no son tratados ya de manera individual sino como iniciadores de una nueva comunicación o participantes de una existente. A efectos prácticos, esta "memoria" del cortafuegos se traduce en una tabla de conexiones establecidas, mantenidas durante la comunicación y olvidadas al finalizar o tras un tiempo máximo de inactividad (timeout). No puede mantenerse información de estado para todos los protocolos de transporte sino sólo para algunos de ellos. Disponer de la información de sesión es la principal ventaja de este tipo de cortafuegos ya que su mayor granularidad los hace menos vulnerables a la falsificación de paquetes. Sin embargo, suelen ser más lentos al tener una carga de proceso más alta debido al mantenimiento de la tabla de estados y a la evaluación de los paquetes con las conexiones existentes. De la misma manera que el filtrado básico de paquetes, no inspecciona el contenido de los paquetes ni, por tanto, evita ataques de protocolo o de nivel de aplicación. Filtrado de paquetes con estado e inspección (DPI) El filtro de paquetes con estado e inspección, también conocido como STATEFUL INSPECTION PACKET FILTERING, es un filtrado todavía más completo que los dos anteriores. Añade la capacidad de inspeccionar el contenido de los paquetes, interpretando los protocolos o aplicaciones que viajan dentro de los datagramas de la capa de transporte. Así pues, proporciona inspección profunda de paquetes (DPI, Deep Packet Inspection). Posee un mayor grado de "inteligencia" y conocimiento de la pila del modelo OSI, de manera que puede interpretar el protocolo de alto nivel y adaptar las reglas para permitir los diferentes flujos generados. Esto es especialmente útil en protocolos con comportamientos dinámicos, donde se negocia a nivel de aplicación, durante la sesión, las características de la comunicación a nivel de transporte y posteriormente establecen varias comunicaciones en distintos puertos. Su ventaja reside en la capacidad de gestionar dinámicamente el filtrado gracias al conocimiento de los protocolos. Sin embargo, esto supone una alta carga de proceso al sistema al tener que inspeccionar el contenido de los paquetes decodificando los protocolos y memorizando consecuentemente la información. PABLO ARELLANO www.theglobeformacion.com Página 10 B4T9 SEGURIDAD EN REDES TAI Cortafuegos a nivel de aplicación Los cortafuegos a nivel de aplicación, también conocidos como proxies, no sólo se sitúan en un punto intermedio de la comunicación sino que actúan totalmente como intermediario en ésta: aceptan las peticiones de los clientes y actúan en su nombre ante los servidores. Actúan en la capa 7 del modelo OSI y por ello históricamente han sido considerados los FWs más seguros. Se puede decir que enmascaran totalmente la comunicación del usuario, suplantándola en su nombre. Gran parte de los FWs de aplicación, además de la posibilidad de validar las peticiones con listas de control de acceso, entienden el protocolo y por tanto tienen la capacidad de validar la información de la comunicación: formato y secuencia de los comandos, validación de contenido, etc. Los FWs a nivel de aplicación pueden ser desde una aplicación proxy que implementa la funcionalidad cliente/servidor de un protocolo o aplicación concreta, a un decodificador de múltiples protocolos que realiza la función de pasarela. Obviamente, para cada nuevo protocolo necesita un nuevo módulo capaz de interpretarlo. Las principales ventajas de este tipo de cortafuegos residen en su "inteligencia" respecto a los protocolos y se basan en que: - inspeccionan el contenido. - realizan control del estado de la comunicación (stateful inspection). - garantizan que se cumplen los RFC o estándares correspondientes. - aíslan totalmente la comunicación por su actuación en las 7 capas OSI. Estas ventajas implican habitualmente una mayor necesidad de recursos, capacidad de proceso y memoria, limitando el rendimiento: número máximo de conexiones y volumen de tráfico (throughput). Las desventajas derivadas de su situación en medio de la comunicación son: - Al tener una dirección IP visible para responder a las peticiones, son más vulnerables a ataques y corren el riesgo de ser comprometidos o sufrir denegación de servicio - La configuración de su uso en los clientes de la red supone una carga administrativa. Estos efectos se ven paliados con los "proxies transparentes". Estos dispositivos son enrutadores que interceptan todo el tráfico a nivel de red y lo redireccionan a una aplicación de proxy que se ejecuta en el mismo sistema o en otro (para evitar sobrecarga). Dicha aplicación realiza la petición correspondiente y recibe la respuesta, que es enviada a través del proxy transparente a nivel de red en la misma sesión que tenía establecida el cliente final. El cliente no percibe que su petición ha sido interceptada y no es necesario hacer ningún tipo de cambio de configuración. PABLO ARELLANO www.theglobeformacion.com Página 11 B4T9 SEGURIDAD EN REDES TAI Existe otra funcionalidad muy habitual llamada "proxy inverso", que atiende las peticiones de clientes externos para proteger el acceso a un servicio interno. Gran parte de las soluciones de cortafuegos incorporan funcionalidades a nivel de aplicación para los protocolos más habituales (SMTP, HTTP, FTP, LDAP, SQL, etc.). Los NGFW (Next Generation Firewalls) son FWs DPI que trabajan a nivel de aplicación que han evolucionado incorporando muchas otras funcionalidades de seguridad como antimalware, IPS y VPN. Al tener el servidor VPN integrado, el FW puede realizar un análisis exhaustivo del tráfico para detectar y minimizar riesgos, problemas de seguridad, actividades sospechosas o fugas de datos. Esto otorga a la organización la visibilidad completa del tráfico, las aplicaciones, los puertos y los protocolos de red, sin ángulos muertos en el tráfico de los trabajadores remotos. WAF (Web Application Firewall): se centran en analizar y filtrar el tráfico dirigido a aplicaciones web específicas (capa 7). Se instalan por delante de los servidores web, para proteger las aplicaciones web contra ataques internos y externos. Analizan el tráfico bidireccional HTTP/HTTPS para detectar y bloquear el tráfico dañino. Son capaces de detectar ataques como inyección SQL, XSS, ataques automatizados (bots), DoS a nivel de aplicación, etc. Los WAF emplean diferentes técnicas de protección: basadas en firmas (signature-based), modelos de seguridad positiva/negativa, detección de anomalías, etc. Despliegue en red Despliegue en endpoint (módulo software en servidor) UTM (Unified Threat Management, Gestión Unificada de Amenazas): dispositivo que combina múltiples funciones o servicios de seguridad (como firewall, antivirus, filtrado de contenido) en un solo dispositivo. Se utiliza para describir los cortafuegos de red que engloban múltiples funcionalidades en una misma máquina: UDP, VPN, antispam, antiphishing, antispyware, filtro de contenidos, antivirus, detección/prevención de intrusos. Cortafuegos transparente Se entiende por FW transparente aquel que es "invisible" a los clientes y servidores que intervienen en la comunicación. Esto se consigue gracias a que el dispositivo funciona en la capa 2 (enlace de datos) del modelo OSI, pero sin embargo es capaz de modificar los paquetes en tránsito. Su principal ventaja reside en que su introducción en una red no implica la reconfiguración (propiedades de enrutamiento) de los sistemas existentes como típicamente ocurre con los cortafuegos de nivel. Dadas sus características, los cortafuegos transparentes no requieren tener asignada una dirección IP para su operación nominal, aunque suele ser necesario fijarle una si se desea PABLO ARELLANO www.theglobeformacion.com Página 12 B4T9 SEGURIDAD EN REDES TAI poder gestionarlos remotamente. Se recomienda utilizar un interfaz de gestión dedicado únicamente a este propósito para realizar la gestión "fuera de banda". La transparencia no vuelve a un cortafuegos invulnerable, aunque complica los ataques contra él debido a la imposibilidad de utilizar una dirección IP para un ataque remoto. Pueden ser vulnerables a diversos tipos de ataques desde las redes a las que están directamente conectados o incluso remotamente si la implementación de las reglas del cortafuegos o de su pila de protocolos tuviera algún tipo de vulnerabilidad que pudiera ser explotada simplemente a través de los paquetes en tránsito. Cortafuegos a nivel de sistema Un cortafuegos de sistema es aquel que está instalado en el servidor o en el cliente en vez de tratarse de un elemento aparte de red. Los cortafuegos a nivel sistema realizan la misma tarea que un cortafuegos estándar de red. La única diferencia existente es que los juegos de reglas no son aplicados al tráfico que atraviesa el dispositivo sino al tráfico que tiene por destino el dispositivo en sí mismo. En sistemas Windows, se les denomina también como cortafuegos personales. Cortafuegos virtuales La implantación de las tecnologías VLAN en todo tipo de dispositivos de red y sistemas permite compartir el mismo medio físico al tráfico correspondiente a distintas redes virtuales. Esto resulta extremadamente útil para optimizar los cada vez más amplios anchos de banda con los que cuentan las infraestructuras de red modernas, especialmente las de grandes Organizaciones o proveedores de servicio. Los FWs se han adaptado a esta tecnología, permitiendo gestionar el flujo de tráfico entre distintas VLAN. Permiten definir cortafuegos virtuales sobre un sólo sistema físico, contando con la posibilidad de que cada cortafuegos atienda a una VLAN distinta y trabaje con un juego de reglas distinto, siendo posible delegar la gestión de cada uno de los FWs a un administrador potencialmente distinto. Ejemplo: se observa como 3 redes distintas (3 departamentos diferentes dentro de una organización que ofrezcan distintos tipos de servicios con distintos requisitos de seguridad) comparten el mismo FW físico para acceder a Internet, pero cuentan con distintos FWs virtuales. El tráfico de Internet llega a un sólo sistema físico que sustenta los 3 FWs virtuales distintos, y es encaminado al FW virtual que corresponda al destinatario en cuestión. A partir de ahí, dicho tráfico se filtra de acuerdo con la política de seguridad correspondiente al sitio final y sale del dispositivo utilizando una VLAN concreta dedicada a dicho sitio (en el caso del "sitio PABLO ARELLANO www.theglobeformacion.com Página 13 B4T9 SEGURIDAD EN REDES TAI 3" aparecen 2 VLAN dedicadas). Se percibe como el switch que se encuentra asociado a cada una de las redes es el que se encarga de desencapsular la información de VLAN y entregar el tráfico a los sistemas finales. La seguridad de todo el conjunto va a depender de que los switches sean capaces de asegurar la estanqueidad de las VLAN. La utilización de una VLAN no está exenta de posibles problemas de seguridad; en caso de optar por una solución de estas características, se recomienda que se compruebe previamente la seguridad de la infraestructura de red involucrada. Esta tecnología tiene una gran utilidad para algunos sectores como los proveedores de acceso, que pueden combinarla con redes privadas MPLS para proporcionar servicios de FW a distintas organizaciones finales. Es importante destacar que los cortafuegos virtuales disponen de las mismas características que los FWs tradicionales en términos de funcionalidad (NAT, VPN, etc.) según ya se ha descrito. Arquitecturas de firewall - Small Office - Home Office (SOHO). - DMZ. - Mutizona con varios cortafuegos. - Mulit-DMZ con un cortafuegos. - Mulit-DMZ por VLAN. Small Office - Home Office (SOHO) La arquitectura más simple a la hora de diseñar la solución de seguridad es aquella en la que la organización no ofrece ningún servicio en Internet. Esta arquitectura constituye un escenario típico para redes domésticas, pequeñas organizaciones o sucursales también conocidas como Small Office - Home Office o SOHO. En estos casos basta con un simple router que hace las funciones de FW. DMZ El segundo caso, más habitual en organizaciones de mayor tamaño, contempla el que se puedan ofrecer servicios al exterior. Los servicios ofrecidos están expuestos a un mayor riesgo que el resto de los sistemas de las redes internas y por tanto en un nivel de seguridad distinto. Con objeto de evitar que el compromiso de uno de los servidores acabe PABLO ARELLANO www.theglobeformacion.com Página 14 B4T9 SEGURIDAD EN REDES TAI comprometiendo a toda la infraestructura se separan los servicios públicos del resto de los sistemas internos con una DMZ. Multizona con varios cortafuegos Conviene recordar que los ataques pueden tener origen interno, ya sea porque de alguna forma se ha conseguido romper el perímetro (dispositivos inalámbricos, ruptura del perímetro desde dentro hacia fuera, etc.), por la infección de malware (virus, gusanos, etc.) o porque el ataque proviene de un usuario interno malicioso. En cualquier caso, se debe intentar que el atacante interno no pueda aprovechar esa situación de privilegio, creando una nueva jerarquía que proteja los recursos propios más críticos. Multi-DMZ con un cortafuegos Es habitual que los servidores de la DMZ externa (típicamente servidores de correo, web, etc.) tengan que comunicarse con servidores de las redes internas. Si un servidor de la DMZ es comprometido, cuenta con una posición ventajosa para atacar a los servidores de las redes internas con los que se comunica. Por eso es una buena idea separarlos de otros servidores críticos para la organización, configurando una red dedicada. Sin embargo, presenta el gran problema que solo existe un único punto de fallo de seguridad en el cortafuegos de entrada. Multi-DMZ con varios cortafuegos En el caso de una estructura con múltiples DMZ, igual que en las redes multizona, es aconsejable utilizar varios FWs. Una infraestructura multicapa con varios FWs tiene las siguientes ventajas: - Se introducen capas adicionales de seguridad gracias a la presencia de 2 nuevos FWs en la arquitectura. - Se puede llegar a gestionar redes más complejas cumpliendo todos los requisitos de seguridad de una organización. Además, a medida que el número de interfaces de red crece, la configuración se hace más compleja, dando pie a frecuentes errores. - Un sólo FW supone un punto de fallo único de seguridad en la red, aunque se encuentre en una configuración de alta disponibilidad (todos los dispositivos que forman parte de un grupo suelen tener las mismas características). Si el FW es comprometido toda la infraestructura queda automáticamente comprometida. PABLO ARELLANO www.theglobeformacion.com Página 15 B4T9 SEGURIDAD EN REDES TAI Se recomiendan las siguientes buenas prácticas al diseñar una infraestructura multicapa: - Los FWs elegidos deben ser de distintos fabricantes (biodiversidad) para garantizar un grado más de seguridad. - El router de perímetro no debe ejercer las funciones del 1º FW de la arquitectura. Esto puede ser una ventaja en términos de facilidad de mantenimiento y gestión pero redunda en una solución menos segura, dado que los cortafuegos suelen contar con medidas adicionales de seguridad (inspección de protocolos) no incluidas en los enrutadores. - Distintos FWs deben ser gestionados por distintos equipos de administradores. - Alcanzar un equilibrio entre el número de dispositivos y de redes por dispositivo que satisfaga los requisitos de separación en zonas de seguridad y prevenga daños críticos en caso de compromiso. Tan malo es un solo FW como un número excesivo con sólo dos interfaces por dispositivo, que aumenta la inversión necesaria y la complejidad de la gestión. Por último, se conoce como service leg, el diseño en el que el router de perímetro actúa como 1ª línea de defensa apoyando al 1º FW. Multi-DMZ por VLAN Utilizando VLAN, si el FW lo soporta, es posible aislar servidores dentro de un mismo nivel de seguridad. Se puede observar en la imagen como los servidores de correo, de nombres y web de la DMZ han sido aislados en sendas VLAN y conectadas a un FW que soporta este tipo de filtrado virtual. 2. Servidor Proxy Los servidores PROXY son dispositivos de protección de perímetro que hacen de intermediarios en distintos protocolos de aplicación. Permiten autenticar y autorizar comunicaciones, filtrar, gestionar tráfico cifrado, optimizar tráfico, gestionar logs y controlar campos de cabecera de los paquetes transmitidos. Su función es recibir todas las peticiones de los usuarios de una organización, a un determinado protocolo, y distribuir las entradas y salidas de información de acuerdo con unos filtros, es decir, ser un intermediario. PABLO ARELLANO www.theglobeformacion.com Página 16 B4T9 SEGURIDAD EN REDES TAI Este tipo de elementos suele implantarse bajo dos arquitecturas típicas diferentes: dual- homed, o bastion, si bien la primera arquitectura es la más habitual y recomendable. Los servidores Proxy son efectivos cuando se utilizan junto a otros métodos de restricción de tráfico IP, por lo cual suelen desplegarse junto con un sistema de cortafuegos para el control de acceso. Ventajas del uso de servidores proxy: o Permite a los usuarios acceder a los servicios de Internet ocultando totalmente el esquema de la red interna. o Permite un buen servicio de logs a nivel de aplicación. Debido a que todo el tráfico pasa a través del servidor Proxy se puede registrar gran cantidad de información con fines de auditoría y seguridad. o Ofrecen soporte para un conjunto grande de protocolos, y permiten la inspección en detalle de los protocolos y su carga (payload), incluso su modificación en tiempo real, si fuera necesario para mejorar la seguridad, por ejemplo, ocultando información de los usuarios de cara a aplicaciones externas (por ejemplo, la dirección IP interna). A esta última función se le suele denominar anonimizar, y los servidores Proxy que la realizan, servidores Proxy anonimizadores. Desventajas del uso de servidores proxy: - En ocasiones, se requiere la modificación del software cliente, o en mayor medida, de la reconfiguración de las aplicaciones cliente (por ejemplo, navegadores). - En el caso de servidores Proxy de aplicación se requiere un servidor para cada servicio, incrementando la complejidad y posible carga del sistema donde se implante. - Algunos servicios y protocolos no pueden ser usados con servidores Proxy, si bien hoy en día casi todos los principales protocolos son soportados. - Puede generar una mayor latencia en las peticiones y respuestas a aplicaciones. PABLO ARELLANO www.theglobeformacion.com Página 17 B4T9 SEGURIDAD EN REDES TAI Tipos de servidores Proxy - Servidor proxy de aplicación (proxy directo). - Servidor proxy de circuito. - Proxy NAT. - Proxy web cache. - Proxy transparente. - Proxy inverso. Servidor proxy de aplicación Un proxy de aplicación es un servicio que implementa funcionalidades de inspección, control y filtrado de protocolo en las capas más altas a nivel de aplicación. Funcionalmente, es un equipo que actúa como intermediario entre los equipos de una red de área local y una red pública (por ejemplo Internet). El servidor proxy más usado es el proxy para el protocolo HTTP, sin embargo, puede haber servidores Proxy para cada protocolo de aplicación en particular (FTP, DNS, LDAP, HTTP, HTTPS, etc.). Así, independientemente del puerto usado, sólo se podrán acceder a los servicios para los que se proporciona un proxy. Este tipo de dispositivos también reciben el nombre de servidor Proxy dedicado o forward proxy (en contraposición con el proxy inverso). Se trata de un servidor que actúa como filtro a nivel de aplicación. De esta manera, cuando un usuario se conecta a una red con una aplicación del cliente, configurada para utilizar un servidor proxy, la aplicación primero se conectará con el servidor Proxy y le concederá (o denegará) dicha solicitud. En caso de ser aprobada la petición, el servidor Proxy se conecta al servidor al que la aplicación del cliente desea conectarse y le envía la solicitud. Después, el servidor le envía la respuesta al proxy, el cual a su vez la envía a la aplicación del cliente. PABLO ARELLANO www.theglobeformacion.com Página 18 B4T9 SEGURIDAD EN REDES TAI Servidor proxy de circuito Un proxy a nivel de circuito (circuit-level proxy) también conocido como gateway a nivel de circuito, es un sistema capaz de redirigir conexiones una vez que se comprueba que la conexión ha sido establecida, pero que no puede procesar o filtrar paquetes en base al protocolo utilizado. El más conocido es el llamado proxy Socks, ampliamente soportado por los diferentes navegadores web de cliente. Es un dispositivo que opera en la capa de transporte en el modelo OSI. Monitoriza el origen y destino de los paquetes TCP y UDP, y no inspecciona tráfico procedente de la capa de aplicación. También puede proporcionar NAT, en la cual los hosts de la red modifican la cabecera de los paquetes antes de ser transmitidos. El servidor almacena una tabla con los circuitos virtuales, borrándose la entrada en el momento que ha sido procesada. La principal ventaja de este tipo de pasarelas es que proporciona servicios a un amplio rango de protocolos. En cambio, como inconveniente destaca que, generalmente, necesitan software especial que disponga de funciones de librería seguras en lugar de las llamadas al sistema clásicas. Proxy NAT (enmascaramiento IP) Aunque en ocasiones no es considerado un servidor Proxy como tal, otro mecanismo para hacer de intermediario en una red es NAT. Es un conjunto de procedimientos que permiten modificar las direcciones IP origen o destino de las cabeceras de los datagramas IP, comúnmente denominado enmascaramiento de direcciones IP. El enmascaramiento IP (IP Masquerading) permite utilizar un rango de direcciones privadas en la red local y que el enrutador se encargue de hacer la conversión de ciertas traducciones de direcciones IP y puertos. Cuando le llega un datagrama IP de alguna máquina de la red local, será el servidor Proxy el encargado de traducir las direcciones privadas a esa única dirección pública para realizar las peticiones, A continuación, transmite el datagrama donde aparece generado por la única dirección IP pública. Cuando la máquina destino recibe el datagrama cree que se ha originado en el servidor Proxy NAT, y responde a su dirección pública. Cuando el servidor Proxy NAT recibe un datagrama en su interfaz de red pública, busca en su tabla de conexiones enmascaradas en curso para ver si el datagrama pertenece a alguna máquina de la LAN y, si es así, deshace la traducción que hizo en el primer datagrama y reenvía este datagrama de respuesta a la máquina. Proxy web cache Este tipo de servidor almacena en una caché las páginas web visitadas por los usuarios con el objetivo de mejorar la navegación de los usuarios. De esta forma se optimiza el canal de acceso a Internet de las organizaciones. PABLO ARELLANO www.theglobeformacion.com Página 19 B4T9 SEGURIDAD EN REDES TAI Este tipo de proxy se suele usar en los siguientes entornos: - No se permite el libre acceso a Internet a los usuarios. Funciona como un filtro de la información solicitada por los usuarios, bloqueando contenido dañino para los ordenadores e impidiendo el acceso a páginas no deseadas. - Aceleración del acceso a páginas visitadas previamente y almacenadas en la caché. Cuando se visita una de estas páginas almacenadas, el proxy-caché la devolverá rápidamente al tener una copia en disco, sin necesidad de acceder al original presente en Internet. Proxy transparente Los servidores Proxy transparentes refuerzan las políticas de uso de la red proporcionando seguridad y servicios de caché. El uso de un proxy transparente combina un servidor proxy con NAT, de forma que todas las conexiones son encaminadas a través del proxy sin la intervención de la máquina cliente. Estos servidores Proxy pueden ser implantados sin necesitar ninguna configuración en los clientes, de ahí su denominación de proxy "transparente". Proxy inverso (reverse proxy) Es un servidor Proxy situado antes de uno o más servidores web, de forma que es el servidor Proxy quien recibe las peticiones y las reenvía a los servidores web. Por tanto, todo el tráfico entrante de Internet con destino a ciertos servidores pasa a través del servidor Proxy, actuando como intermediario. Generalmente estos sistemas también realizan funciones de balanceo de las peticiones que reciben, asignando a estas a los diferentes servidores en función de una política preestablecida (por ejemplo, reenviándole la petición al servidor disponible menos cargado) Herramientas Proxy - Squid: es un servidor Proxy Cache de software libre bajo licencia GPL, que puede funcionar como servidor Proxy y como caché de contenido de red. Ampliamente utilizado entre la mayoría de sistemas operativos, incluyendo Windows, GNU/Linux y derivados de Unix. PABLO ARELLANO www.theglobeformacion.com Página 20 B4T9 SEGURIDAD EN REDES TAI Squid puede funcionar para clientes web que soporten los protocolos HTTP, HTTPS, FTP, Gopher y WAIS y WWCP entre otros. Algunas de las características de Squid son: o Almacena en RAM los metadatos y los objetos más consultados. o Guarda en caché las consultas DNS. o Soporta consultas de DNS no bloqueantes. o Squid también es compatible con SSL, acelerando las transacciones cifradas. o Posibilidad de establecer reglas de control de acceso. Estas políticas se pueden implementar de forma centralizada, simplificando la administración. o Permite reescrituras de consultas. o Permite integración con dominios del Directorio Activo de Microsoft. o Squid permite activar el protocolo SNMP, proporcionando un método simple de administración de red. o Permite la incorporación de módulos o programas externos llamados plugins para ampliar sus funcionalidades, como, por ejemplo, antivirus de contenidos, controles parentales, etc. - Privoxy: es un programa de código abierto bajo licencia GPLv2 que funciona como proxy web, con capacidades avanzadas de filtrado para proteger la privacidad y seguridad, modificar el contenido de las páginas web y cabeceras HTTP, administrar cookies, control de accesos y eliminar anuncios, banners, pop-ups así como variedad de contenido no deseado de Internet. está publicado. Se ejecuta en Sistemas Operativos Windows, Mac OS X, GNU/Linux - Nginx: es un servidor web, un servidor proxy inverso ligero de alto rendimiento y un servidor proxy de correo.Es software libre y de código abierto, publico bajo la licencia BSD. - Tinyproxy: es un servidor proxy HTTP (web) ligero de código abierto bajo licencia GPLv2. Diseñado desde cero para ser rápido y pequeño, es una solución ideal para casos de uso como implementaciones integradas donde se requiere un proxy HTTP con todas las funciones, pero los recursos del sistema para un proxy más grande no están disponibles. - Apache Traffic Server: es un proyecto de código abierto de Apache Software Foundation, que implementa un servidor de caché de proxy HTTP rápido, escalable y rico en funciones. - HAProxy: servidor proxy HTTP y balanceador de carga de código abierto. PABLO ARELLANO www.theglobeformacion.com Página 21 B4T9 SEGURIDAD EN REDES TAI 3. IDS e IPS IDS Detección IDS (Intrusion Detection System) es un dispositivo, o un software, que monitoriza la red y los sistemas en busca de actividad maliciosa o violaciones de la política de seguridad. Cualquier detección sospechosa, normalmente se reporta a los administradores, o a un sistema centralizado de gestión de eventos (SIEM, Security Information and Event Management) para que se tomen las acciones pertinentes. Las características principales de los IDS son las siguientes: - Añade un alto nivel de integridad al resto de la red, ya que, en cierta forma, se sabe que el resto de sistemas están bien porque el IDS no avisa de lo contrario. - Puede monitorizar la actividad de un atacante. Dependiendo de la infraestructura de IDS, se podrá monitorizar esta actividad en un único segmento o en varios. - Alerta ante patrones de ataque comunes conocidos. - Automatiza la búsqueda de nuevos patrones de ataque, ya que proporcionan herramientas estadísticas de búsqueda y monitorización de tráfico anómalo. - Puede detectar ataques en tiempo real. - Puede detectar errores de configuración en los equipos. Los sistemas IDS constan de un equipo con una consola central de administración y una o varias "sondas" que se encargan de capturar el tráfico que se debe analizar. Dependiendo de la arquitectura de red de la organización se pueden seguir diversos criterios para ubicar las sondas: en la DMZ, detrás del firewall, en los accesos de usuario, entre la Extranet e Internet, etc. Los IDS utilizan tres tipos de información: un histórico de eventos, la configuración actual del sistema y, finalmente, procesos activos del sistema o reglas. Según INCIBE, se pueden clasificar los IDS atendiendo a varios criterios: PABLO ARELLANO www.theglobeformacion.com Página 22 B4T9 SEGURIDAD EN REDES TAI Tipos de IDS en función del ENFOQUE: - Detección de anomalías: es necesario definir cuál es el comportamiento normal de un sistema por medio de un aprendizaje de actividades, para clasificar los comportamientos que se desvíen de lo normal como sospechosos. Estos sistemas son propensos a falsos positivos. Las técnicas usadas para la detección de anomalías son: sistemas basados en conocimiento, sistemas basados en métodos estadísticos (basado en perfiles de actividad) y sistemas basados en aprendizaje automático. - Detección de usos incorrectos (detección por firma/regla): los sistemas de detección basados en uso indebido monitorizan las actividades que ocurren en un sistema y las compara con una base de datos de firmas de ataques (sistemas expertos, detección de firmas o análisis de transacción de estados). Cuando se encuentra una actividad que coincide con una de estas firmas, se genera una alarma. - Híbridos: los IDS basados en firmas resultan más fiables y proporcionan mejores rendimientos frente a ataques conocidos, pero presentan una deficiencia ante nuevos ataques. Los IDS basados en anomalías presentan la capacidad de detectar ataques desconocidos, pero su rendimiento es inferior. Los sistemas híbridos serán una mezcla de ambos, y por lo tanto, pueden ajustarse para operar como ambos tipos de detectores, mejorando la funcionalidad, la detección de ataques y la mejora de rendimiento. Tipos de IDS atendiendo las FUENTES DE INFORMACIÓN (origen de los datos) que utilizan: - NIDS (Network Intrusion Detection Systems) o sistemas de detección de intrusos a nivel de red: operan supervisando el tráfico de un segmento de red (análisis del tráfico) concreto en busca de anomalías en el mismo, ya sea en el contenido de los paquetes, en la desviación con respecto a las especificaciones de los protocolos involucrados o en la variación con respecto a los perfiles habituales. Son instalados en un dispositivo en modo promiscuo, realizan una escucha pasiva sobre la red de forma que no interfieren en su uso. Los componentes de un NIDS son: los sensores (encargados de capturar y/o supervisar el tráfico de la red buscando anomalías) y la consola de gestión. Ventajas de los NIDS: o Eficiencia: con un número reducido de sensores se puede cubrir toda la organización. Inconvenientes de los NIDS: o Falsos positivos: producidos por la falta de perspectiva acerca de la situación y características concretas del sistema destinatario del tráfico. o Imposibilidad de monitorizar tráfico cifrado. o Dificultad para operar en entornos con un alto volumen de tráfico. o Inadecuada implementación. PABLO ARELLANO www.theglobeformacion.com Página 23 B4T9 SEGURIDAD EN REDES TAI o Dificultad de operación: falta de conocimientos por parte de los analistas y operadores para configurar y realizar el mantenimiento y operación de forma adecuada. En definitiva, si se realiza una adecuada configuración y mantenimiento, estos dispositivos se convierten en un elemento fundamental de la seguridad perimetral que permite verificar el cumplimiento de la política de seguridad y ayudar a determinar cuándo se producen incidentes de seguridad. - HIDS (Host-based Intrusion Detection Systems) o sistemas de detección de intrusos a nivel host: operan supervisando el comportamiento de un sistema o dispositivo concreto (como ficheros de logs o la integridad de los archivos) en busca de anomalías en su funcionamiento. Solo procesan información de las actividades de los usuarios y servicios en una máquina determinada. Los componentes de un HIDS son: los sensores (residen en el propio sistema a supervisar) y la consola de gestión. Ventajas de los HIDS: o Facilidad de monitorización de los destinatarios finales, con sus propias características y estado concreto, frente a la del tráfico. o Determinan con una menor probabilidad de error si un ataque ha tenido éxito o no. Inconvenientes de los HIDS: o Escalabilidad complicada: han de ser instalados en todos los sistemas que se desea supervisar. o Dificultad de gestión: requieren de algún medio centralizado para realizar su mantenimiento, gestión de alertas, etc. o Elevado coste de las versiones comerciales de los mismos. o Su configuración, mantenimiento y gestión suelen ser más complejos y requerir mayor dedicación y conocimiento que otros dispositivos de seguridad perimetral. Debido a estas desventajas, en la mayor parte de los casos su implantación se ve reducida a sistemas críticos o muy expuestos. - IDS Híbridos: recogen lo mejor de ambos tipos HIDS y NIDS. Permiten una detección local de los sistemas y un sensor en cada segmento de red se encarga de la vigilancia. De esta forma se cubren las necesidades HIDS con las del NIDS, permitiendo el aprovechamiento de las ventajas de ambas arquitecturas. Tipos de IDS según la ESTRATEGIA DE CONTROL empleada: - DIDS (Sistema de Detección de Intrusión Distribuido): se basa en la instalación en un sistema distribuido, ubicando sensores repartidos por varios equipos de la red. Estos sensores se comunican con un nodo central donde se recibirá toda la información y PABLO ARELLANO www.theglobeformacion.com Página 24 B4T9 SEGURIDAD EN REDES TAI donde se cruzan los datos, lo que nos permitirá detectar los ataques con fiabilidad y obtener una visión global mejorando la detección de incidentes. - IDS Centralizado: emplea sensores que transmiten información a un sistema central que realiza el control, permitiendo ahorrar en equipamientos. Tipos de IDS según el COMPORTAMIENTO, es decir, si realizan la prevención escuchando el tráfico o si se elabora una respuesta defensiva cuando se detecta un ataque: - IDS Pasivo: sólo notifican al administrador de la red pero no actúan sobre el ataque. Únicamente procesan la información en busca de intrusiones, y una vez detectada se genera una alerta. - IDS Activo: es un tipo de IDS denominado Sistema de Prevención de Intrusión (IPS). A diferencia de los IDS, esta tecnología no se limita a escuchar el tráfico de la red y a mandar alertas, sino que permite establecer reglas, como se lo hace en los FW, para detener las intrusiones. Sistemas de detección de intrusos en redes 802.11 (WIDS) Por la naturaleza de las redes 802.11 y a sus particularidades, los NIDS no son los sistemas más indicados para detectar intrusiones a nivel 802.11. Este hecho hace necesario utilizar técnicas de detección de intrusos específicas para hacer frente a las nuevas amenazas que se añaden más allá de las inherentes de cualquier red. Los sistemas de detección de intrusiones Wi-Fi o WIDS, del inglés Wireless Intrusion Detection System, operan supervisando el tráfico de la red 802.11 en busca de patrones y anomalías para identificar actividades sospechosas del protocolo 802.11. Los NIDS que estén escuchando el medio 802.11 no se consideran como WIDS, ya que no detectan todos los ataques específicos contra este medio. Por tanto, para realizar una completa detección de intrusos en una red 802.11 sería recomendable implantar sistemas WIDS y sistemas NIDS escuchando en el medio 802.11. La monitorización puede ser de 2 tipos: - Periódica: se utilizan sensores basados en host. - Constante: se realiza una monitorización continua del tráfico utilizando elementos de la propia red. PABLO ARELLANO www.theglobeformacion.com Página 25 B4T9 SEGURIDAD EN REDES TAI IPS Prevención Los IPS (Intrusion Prevention System) se consideran una extensión de los IDS, ya que además de monitorizar y alertar de los intentos de intrusión, realizan acciones para intentar detenerlos. Estas acciones pueden ser, por ejemplo, descartar los paquetes detectados como maliciosos, resetear una conexión, bloquear tráfico de una IP sospechosa, etc. Al igual que sucede en el caso de los IDS, existen IPS a nivel de RED y a nivel de SISTEMA. En lo que respecta a los IPS a nivel de red, en cierto modo, se pueden considerar como cortafuegos que en lugar de juegos de reglas utilizan firmas y análisis de anomalías para denegar o permitir el tráfico. Los IPS de red no pueden permitirse falsos positivos o estarían rechazando tráfico válido. Para ello, se utilizan las estrategias más estables de las tecnologías de IDS, reglas mucho más exactas, análisis de anomalías y otros mecanismos que permiten minimizar esta probabilidad. La utilización de IPS es recomendable tanto a nivel sistema como a nivel red, aunque suele suponer una inversión considerable. Es adecuado seguir las mismas pautas definidas para los IDS en cuanto a priorizar sistemas expuestos o críticos. Las ventajas del uso de IPS se enumeran a continuación: - Protección preventiva. - Aumento de la eficiencia y la seguridad en la prevención de intrusiones o ataques a a la red. - Fácil instalación, configuración y administración. - Escalabilidad. - Defensa frente a multitud de ataques. Básicamente, los diferentes tipos de IPS se distinguen por su ubicación: - HIPS (IPS basados en host): esta aplicación de prevención de intrusiones reside en la dirección IP específica de un solo equipo, permite prevenir posibles ataques en los host. - NIPS (IPS basadas en red): monitorizan la red en busca de tráfico sospechoso. - WIPS (IPS basado en red Wireless): monitorizan redes inalámbricas, al igual que hacen los NIPS con redes LAN. - NBA (IPS basado en Análisis de Comportamiento de Red): examina el tráfico de red para identificar amenazas que generan tráfico inusual, como ataques de DoS o malware. Herramientas IDS/IPS - Snort: es un "sniffer" de software libre C bajo licencia GPLv2 desarrollado en C (la versión actual es la 3, implementada en C++) y construido sobre libpcap y tcpdump, que permite PABLO ARELLANO www.theglobeformacion.com Página 26 B4T9 SEGURIDAD EN REDES TAI capturar todo el tráfico que llega al equipo donde está instalado. Snort está diseñado para ser preciso en el registro de actividades en la red y está en continua búsqueda de posibles coincidencias entre el flujo de datos y los ataques que tiene registrados en base a diferentes reglas. Snort tiene una base de datos de ataques que se está actualizando constantemente, que, además, permite añadir o actualizar a través de Internet. Los usuarios pueden crear "firmas" basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort. Esta comunidad ha convertido a Snort en uno de los IDS/IPS más populares, actualizados y robustos. Otra de las características más importantes de Snort es que los principales fabricantes de IDS/IPS lo utilizan, pudiendo utilizarse sus firmas en casi cualquier dispositivo. - Suricata: es el nombre de un proyecto de software libre, desarrollado por la comunidad OISF (Open Information Security Foundation). Es un motor basado en un conjunto de reglas IDS/IPS para monitorizar el tráfico en la red y proporcionar alertas al administrador del sistema cuando ocurre un evento que considera sospechoso. Está diseñado para ser compatible con otros componentes de seguridad existentes y, además, acepta llamadas desde otras aplicaciones. - Bro: es otra herramienta que sirve de IDS/IPS, debido a sus características de análisis de red, al igual que Snort y Suricata. Se basa en un potente motor de análisis que permite un alto rendimiento en la monitorización de la red, analiza protocolos, y la información de la capa de aplicación en tiempo real. - OSSEC: es un HIDS. Realiza análisis de logs, comprobación de la integridad, la supervisión del registro de eventos de Windows, detección de rootkits, alerta basada en tiempo y respuesta activa. Proporciona detección de intrusiones para la mayoría de sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, OS X, Solaris y Windows. OSSEC tiene una arquitectura centralizada, multiplataforma que permite a varios sistemas ser controlados y manejados fácilmente. - Otros: Fail2ban (IPS). SIEM SIEM (Security Information and Event Management) o sistema de gestión de eventos e información de seguridad es una solución híbrida centralizada que engloba la gestión de información de seguridad (Security Information Management) y la gestión de eventos (Security Event Manager). La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por los distintos dispositivos hardware y software de la red. Recoge los registros de actividad (logs) de los distintos sistemas, los relaciona y detecta eventos de seguridad, es decir, actividades sospechosas o inesperadas que pueden suponer el inicio de un incidente, descartando los resultados anómalos, también conocidos como falsos positivos y generando respuestas acordes en base a los informes y evaluaciones PABLO ARELLANO www.theglobeformacion.com Página 27 B4T9 SEGURIDAD EN REDES TAI que registra, es decir, es una herramienta en la que se centraliza la información y se integra con otras herramientas de detección de amenazas. Herramientas SIEM Snorby es un interfaz para la monitorización de alertas basado en Ruby. La ventaja clave es la flexibilidad, es decir, se puede configurar la interfaz para que acepte eventos provenientes de diferentes aplicaciones, siendo solo necesario añadir determinados códigos. Snorby se utiliza para supervisar la seguridad de red gracias a la incorporación de eventos de IDS/IPS como Snort o Suricata. La herramienta Sguil está construida por y para los analistas de seguridad de red. El principal componente de Sguil es una interfaz gráfica de usuario que proporciona acceso a los eventos en tiempo real, datos de sesión, y capturas de paquetes. Sguil facilita el seguimiento y análisis de eventos en la red. El cliente Sguil se puede ejecutar en multitud de sistemas operativos, incluyendo Linux, BSD, Solaris, MacOS y Windows. 4. Honeypot y honeynet Los honeypots o señuelos se definen como aquel recurso cuyo valor reside en ser atacado o comprometido. Simulan una cierta funcionalidad (p.ej.: servicios web, bases de datos, servicios de red, etc.), preparados para registrar y alertar de la existencia de un ataque y, en ocasiones, para mantener algún tipo de interacción con el atacante que permita reunir mayor cantidad de información o ralentizar su avance logrando más tiempo de reacción. Cuando el producto desplegado consiste en un sistema que, física o virtualmente, integra una red de herramientas y computadoras dedicadas en exclusiva a esta tarea se le denomina honeynet. El motivo por el que los honeypots sean excelentes sistemas de detección de intrusos se encuentra en el hecho de que no son elementos de producción, son recursos que están en su lugar, esperando a que algún atacante acceda a ellos. Por esta razón, cualquier acceso que sea detectado a un honeypot será, salvo error, un acceso malicioso. PABLO ARELLANO www.theglobeformacion.com Página 28 B4T9 SEGURIDAD EN REDES TAI Las funciones básicas de seguridad que proporcionan son: - Investigación de nuevas vulnerabilidades. Los sistemas de protección se basan en medidas ya conocidas, pero resultan inútiles frente a las desconocidas. Gracias a los honeypots, es posible detectar nuevos vectores de ataque y vulnerabilidades y poder plantear medidas preventivas contra ellas (por ejemplo, detección de vulnerabilidades de tipo 0-days, nuevos malwares, etc.). - Detección de atacantes y patrones de ataque. Estos productos se exponen en un punto de la arquitectura de red de la organización para que puedan recibir ataques y así poder estudiar el comportamiento de los atacantes. El producto se puede asemejar a la configuración y/o topología de red de los servicios de la organización para permitir la monitorización y rastreo de los atacantes. Existen 2 tipos de honeypots: - De BAJA interacción: son aquellos que están destinados a detectar actividad maliciosa pero sin permitir en ningún momento que el atacante se haga con el control del sistema (en muchos casos ni tan siquiera existe un sistema como tal, es simplemente una emulación). El tipo más habitual de honeypot de baja interacción es algún tipo de software que emule una aplicación, un sistema o una red completa. El objetivo es hacer creer al atacante que se encuentra frente a un sistema real, cuando realmente sólo está interaccionando con un programa. El programa emulará las respuestas que el atacante espera: o Si el atacante envía tráfico al honeypot (por ejemplo, un escaneo de puertos), éste responderá con paquetes falsificados que tendrán las características típicas del sistema operativo y servicio que se desea emular. o Si el atacante intenta determinar el sistema operativo, el honeypot fabricará paquetes con las mismas características que los fabricados por aquél. o Si el atacante intenta acceder a un servicio, el honeypot emulará la respuesta dada por ese servicio. En todos estos casos, desde el primer paquete intercambiado con el honeypot será fácil determinar que se trata de un ataque. PABLO ARELLANO www.theglobeformacion.com Página 29 B4T9 SEGURIDAD EN REDES TAI Algunos honeypots son agresivos, como los conocidos como "tarpits", utilizados habitualmente con propósitos defensivos en caso de infección de gusanos en una red. Su táctica es consumir recursos de la máquina atacante de manera que no pueda atacar a objetivos reales. Otros honeypots son totalmente pasivos, como una tarjeta insertada en una base de datos. Si se detecta cualquier acceso a la misma, se habrá detectado un acceso indebido. Hay otros honeypots que se utilizan para distintas funciones, como luchar contra el spam, botnets, etc… Los honeypots de baja interacción son en general tecnologías seguras, tan seguras como el software que los emule, muy fáciles de usar, que requieren poco mantenimiento y que tienen un alto grado de eficacia, por lo que habitualmente su uso es muy recomendable. El uso de "honeynets", no obstante, suele implicar un elevado riesgo y no suele ser recomendable en entornos de producción clásicos. - De ALTA interacción: también conocidos como honeynets, tienen por el contrario justamente ese objetivo, que el atacante se haga con el control del mismo de manera que se pueda analizar su comportamiento, sus movimientos, sus herramientas y sus tácticas. 5. Sondas CCN El Sistema de Alerta Temprana (SAT) es un sistema desarrollado por el CCN-CERT desde el año 2008 que busca actuar antes de que se produzca un incidente o, por lo menos, detectarlo en un primer momento para reducir su impacto y alcance. Este SAT para la detección rápida de incidentes y anomalías dentro de la Administración y de las empresas de interés estratégico, se enmarca en las acciones preventivas, correctivas y de contención realizadas por el CERT. El SAT cuenta con dos vertientes con un denominador común: la detección temprana de intrusiones. En ambos casos existe un portal de informes al que los responsables de seguridad autorizados pueden acceder para la consulta en tiempo real de eventos de seguridad y para la generación de informes a medida. El SAT está formado por 3 servicios: - SAT ICS: servicio desarrollado e implantado por el CCN-CERT para la detección en tiempo real de las amenazas e incidentes existentes en el tráfico en las redes de control y supervisión industrial del Organismo adscrito. A él puede adherirse cualquier Organismo perteneciente al Sector Público o a empresas y organizaciones de interés estratégico para el país. - SAT INET 2.0. - SAT SARA. PABLO ARELLANO www.theglobeformacion.com Página 30 B4T9 SEGURIDAD EN REDES TAI 3. ACCESO REMOTO SEGURO A REDES Cada vez más empresas y organizaciones están apostando por implementar políticas de teletrabajo, lo que conlleva la necesidad de desplegar y configurar soluciones de acceso remoto. Dichos sistemas deben permitir a los empleados acceder de forma segura a los recursos empresariales que necesiten para desarrollar su trabajo, desde ubicaciones exteriores a las de la propia organización. Tradicionalmente, las redes de las organizaciones tenían un perímetro que se correspondía con la ubicación física de dicha organización. Hoy en día, este perímetro es mucho más difuso debido a la necesidad de proporcionar acceso remoto a los trabajadores y al aumento del uso de la nube o cloud. Permitir acceso remoto a los recursos empresariales conlleva riesgos de seguridad inherentes, que deben ser mitigados por las soluciones que se implementen. El objetivo del acceso seguro es proporcionar al usuario una buena experiencia y, a la vez, protección Zero Trust. Se trata de facilitar accesos simples y efectivos a la información, aplicaciones y servicios de la organización, sin compromiso de la seguridad. El modelo Zero Trust asume que nada fuera o dentro de la organización es confiable, y que se debe identificar y autenticar a cualquier persona o entidad que intente conectarse, antes de permitir su acceso. Una solución de acceso remoto seguro debe: - Facilitar la movilidad de forma integrada. La solución debe ser apta para cualquier tipo de dispositivo e independiente de la ubicación del usuario. - Proporcionar al usuario una experiencia satisfactoria: facilidad de uso y eficiencia. - Constituir un punto de acceso único. La solución debe constituir un único punto de acceso a todos los servicios, aplicaciones y recursos que el usuario pueda necesitar, independientemente de donde se encuentren. - Proporcionar seguridad tanto a la información intercambiada con el usuario, como a los recursos accedidos, sin poner en riesgo el resto de los recursos de la red interna. Debe permitir la aplicación de las políticas de seguridad de la organización. Enumeramos las arquitecturas de acceso remoto: - VPN: VPN de acceso remoto (VPN IPsec y VPN TLS/SSL) y VPNaaS. - Portal web. - Escritorio virtual: VDI, RDS y DaaS. - Escritorio remoto (control remoto). - Acceso directo a aplicaciones. - Espacio de trabajo digital. PABLO ARELLANO www.theglobeformacion.com Página 31 B4T9 SEGURIDAD EN REDES TAI Portal web Cuando las necesidades del usuario remoto no requieren el acceso a todos los recursos de la red interna de la organización, sino a un conjunto determinado de aplicaciones o servicios, se pueden usar los Portales Web. Estas soluciones ofrecen una interfaz web centralizada que proporciona acceso a un conjunto específico de servicios y contenidos como, por ejemplo, acceso al correo electrónico, noticias y comunicaciones internas, formación, información sobre los empleados, directorios, carpetas compartidas, etc. Para proporcionar acceso a estos recursos, el portal web ejecuta una serie de aplicaciones cliente que establecen las conexiones con los servidores, bases de datos y repositorios internos de la organización. De este modo, el portal hace la función de capa de presentación ante los usuarios. Las aplicaciones y servicios accesibles desde el portal deben estar basados en Web o poder ser accedidos mediante interfaz Web. Para aplicaciones no basadas en Web, será necesario que el servidor disponga de funciones de conversión de un protocolo a otro. Los componentes básicos de esta solución son: a) Servidor que implementa el portal. b) Aplicaciones cliente instaladas en este servidor, que acceden a los servicios y recursos de la red interna. c) No se requiere ningún software cliente para que el usuario acceda al portal. Normalmente se usa un navegador web. PABLO ARELLANO www.theglobeformacion.com Página 32 B4T9 SEGURIDAD EN REDES TAI El dispositivo que implementa el portal normalmente es un servidor Web HTTPS, aunque también puede ser implementado por un servidor VPN SSL. Este servidor VPN levanta un portal web al que el usuario accederá a través de un navegador. El servidor o dispositivo que implementa el portal web es el que proporciona los servicios de seguridad a este tipo de solución: - Realiza funciones de proxy inverso. Esto significa que no se establece conexión directa entre el cliente y los recursos internos. Es el proxy quien establece ambas conexiones, por un lado, con el dispositivo cliente (recibe sus peticiones de información) y, por otro lado, con las aplicaciones, solicitando la información y enviándosela posteriormente al cliente. - Proporciona protección a la comunicación con el dispositivo cliente, utilizando servicios de cifrado, integridad y autenticación, entre otros. Generalmente para ello, se utiliza el protocolo HTTPS/TLS. - Añade otras características de seguridad a la implementación, como el control de acceso y la autenticación, pudiendo usar certificados, contraseñas o a través de servidores de autenticación. En algunos casos, también pueden revisar la postura de seguridad de los dispositivos cliente utilizando plugin del navegador o a través del cliente VPN en el caso del Portal VPN SSL. - Impide el almacenamiento de información sensible en el dispositivo cliente ya que, aunque puede configurarse de otra forma, por defecto, el portal web está configurado para no permitir al usuario descargar información y almacenarla en su dispositivo. Los servidores del portal web pueden estar alojados en las instalaciones de la organización (onpremise) o en la nube. En el caso de alojar el servidor del portal onpremise, deberá ubicarse en una DMZ desde la que tendrá acceso a la red interna de la organización. De esta forma, podrá comunicarse con los recursos que sea necesario y ofrecer los diferentes servicios disponibles a través del portal web, a la vez que protege al resto de recursos de la red interna. En el caso de que el servidor del portal esté alojado en una infraestructura en la nube, para poder acceder a los diferentes recursos internos de la organización, se deberá establecer una conexión segura con la red interna de la organización, para lo que se utilizará un conector. PABLO ARELLANO www.theglobeformacion.com Página 33 B4T9 SEGURIDAD EN REDES TAI Escritorio virtual Los escritorios virtuales son una opción que permite a los usuarios el acceso remoto a un entorno de escritorio completo con las aplicaciones y recursos que necesitan. La tecnología de escritorio virtual se basa en que los recursos hardware y software que soportan y ejecutan los escritorios virtuales se encuentran en servidores en el centro de datos de la organización. El usuario accederá desde su dispositivo cliente a estos servidores, los cuales le asignan un recurso de escritorio, y le envían su información gráfica y multimedia. Escritorio remoto La tecnología de Escritorio Remoto (Remote Desktop) permite al usuario controlar de forma remota un equipo de la organización, normalmente el suyo. El usuario tiene el control del teclado y el ratón del ordenador remoto y ve su pantalla en el dispositivo cliente. El escritorio remoto permite al usuario acceder a todas las aplicaciones, datos y otros recursos que normalmente están disponibles desde su equipo en la oficina (ver tema B4T5). Acceso directo a aplicaciones Cuando el usuario solo necesita acceder a un conjunto muy reducido de aplicaciones, se puede implementar un acceso directo desde el exterior a la aplicación en concreto. Uno de los ejemplos más comunes de este tipo de implementación es el correo web. El usuario abre un navegador y se conecta a un servidor web que proporciona el acceso al correo electrónico. Este servidor web utiliza HTTPS, de forma que la comunicación con el dispositivo cliente está protegida con TLS. La aplicación de webmail en el servidor autentica al usuario antes de permitirle acceso a sus buzones de correo. En este caso, es la aplicación la que proporciona todas las medidas de seguridad necesarias, como la protección de las comunicaciones con el dispositivo cliente, la autenticación, el control de acceso, etc. Para el acceso, el dispositivo cliente puede necesitar un software cliente, aunque normalmente se usa el navegador ya que suelen ser aplicaciones basadas en web. Esta opción es recomendable solo si los servidores de la aplicación a la que se accede están localizados en el perímetro de red de la organización (DMZ), y no en la red interna. Estos servidores, directamente accesibles desde internet, deben ser bastionados adecuadamente para reducir la posibilidad de compromiso. En general, esta opción se utiliza para aplicaciones que son ampliamente usadas por los usuarios y concebidas para ser accesibles desde cualquier ubicación, como el correo electrónico. Otras aplicaciones más sensibles deben ser accedidas usando otros métodos más seguros como el túnel VPN o los portales web. PABLO ARELLANO www.theglobeformacion.com Página 34 B4T9 SEGURIDAD EN REDES TAI Espacio de trabajo digital (Digital Workspaces) Un espacio de trabajo digital (Digital Workspace) es un marco de trabajo o framework, que integra varias tecnologías para entregar a los usuarios aplicaciones, datos y escritorios virtuales de forma unificada en un único espacio de trabajo. Permite a los empleados acceder a sus aplicaciones y datos en cualquier dispositivo y desde cualquier lugar. Un espacio de trabajo digital combina varias tecnologías de las vistas hasta ahora (portal web, VDI, etc.), para proporcionar lo siguiente: - Punto único de acceso, ya que todo lo que los usuarios necesitan para su trabajo está contenido en un único interfaz, independientemente de si los recursos a los que se acceden están on-premise o en la nube. - Compartición de ficheros y contenidos de forma colaborativa entre los empleados. - Virtualización de escritorios y aplicaciones. - Autenticación y Single-Sign-On (SSO). Los usuarios solo se registran una vez y pueden acceder a todo lo que necesitan. El usuario obtiene una buena experiencia y el entorno permanece seguro. - Análisis de Seguridad. Además de usar mecanismos para proteger las comunicaciones con los usuarios y para autenticación robusta, el espacio de trabajo analiza el patrón de cómo el usuario habitualmente interactúa con los datos y aplicaciones. Esto ayuda a detectar amenazas internas o externas de forma preventiva, antes de que se produzca algún incidente de seguridad. - Gestión centralizada de los terminales de usuario. Los equipos TI tienen un control centralizado sobre cada dispositivo utilizado para acceder al espacio de trabajo, lo que permite a los usuarios trabajar de forma segura en los dispositivos de los que dispongan. Permite desplegar configuraciones automatizadas, y aplicar políticas, parches y actualizaciones sobre los dispositivos. - Inteligencia, al incorporar machine learning y microapps que permiten un aprendizaje automático sobre la actividad del usuario para crear flujos de trabajo guiados y automatizados. El espacio de trabajo digital se implementa a través de una plataforma de tecnologías combinadas que puede encontrarse on-premise o puede ser proporcionada por un proveedor en la nube. Al igual que las arquitecturas de escritorio virtual, constan de una capa de control que gestiona un número determinado de recursos. Estos recursos pueden estar compuestos por aplicaciones en la nube (SaaS) y también por aplicaciones, datos y servicios on-premise. Para que el proveedor del espacio de trabajo digital pueda conectarse a estos recursos internos, deberá emplear un conector instalado en la red interna, similar al indicado en otras solucione. PABLO ARELLANO www.theglobeformacion.com Página 35 B4T9 SEGURIDAD EN REDES TAI Resumen de arquitecturas de acceso remoto PABLO ARELLANO www.theglobeformacion.com Página 36 B4T9 SEGURIDAD EN REDES TAI 4. REDES PRIVADAS VIRTUALES (VPN) Una Red Privada Virtual o VPN (Virtual Private Network) es una tecnología que establece una conexión virtual segura, conocida como "túnel", construida sobre una red física insegura (internet). La VPN proporciona los mecanismos de seguridad para proteger la información transmitida, y para permitir el acceso seguro y controlado a los recursos que protege. Los mecanismos de seguridad están destinados a preservar la: - Confidencialidad: protege los datos de ser leídos por alguien no autorizado. Esto es posible gracias a mecanismos de cifrado de datos, que utilizan algoritmos criptográficos y claves secretas (valores conocidos solo por dos partes entre las que se establece la comunicación). Los datos solo pueden ser descifrados por alguien que conozca la clave secreta. Además se implementa Forward Secrecy1 (secreto hacia delante). - Integridad: protege los datos de ser modificados durante la comunicación, por alguien no autorizado. Esto es posible gracias a mecanismos que generan un valor de autenticación de mensaje (MAC, Message Authentication Code). Si los datos son alterados por alguien no autorizado, el nuevo MAC calculado sobre el mensaje será distinto. - Autenticación mutua: garantiza que la comunicación se desarrolla entre los auténticos participantes. Esto es posible porque cada extremo de la comunicación confirma la identidad del otro (por ejemplo, mediante el uso de certificados de clave pública X.509v3). - Protección frente a reenvíos: garantiza que los datos no serán entregados más de una vez. De esta forma, un atacante no podrá interceptar y retirar alguno de los paquetes que componen el mensaje, e insertar otros paquetes malintencionados en la comunicación. Esto es posible gracias a mecanismos de secuencias asociados a los paquetes. 1 Propiedad que asegura que, si la clave se descubre en un momento dado, no podrá ser usada para descifrar ninguno de los datos trasmitidos anteriormente. PABLO ARELLANO www.theglobeformacion.com Página 37 B4T9 SEGURIDAD EN REDES TAI - Protección frente al análisis de tráfico: garantiza que no se podrá extraer información valiosa a través del análisis del tráfico de la comunicación (como datos sobre emisor y receptor, frecuencia de la comunicación, cantidad de datos transmitidos, etc.). Esto es posible gracias a mecanismos de protección contra métodos de análisis de tráfico que pueda llevar a cabo un atacante. - Control de acceso: garantiza que sólo los usuarios autorizados podrán a acceder a determinados recursos de la organización. Esto es posible gracias a mecanismos de filtrado, que permiten habilitar o bloquear ciertos tipos de tráfico de red, por ejemplo, permitiendo los accesos web, pero no la compartición de ficheros. - Evaluación del estado de seguridad del dispositivo cliente (Host Check): chequeando las herramientas de protección de las que dispone, como un software antivirus actualizado, firewalls, y parches de seguridad. Según los resultados del chequeo, se puede permitir o denegar el acceso a la red interna, a cierta categoría de recursos o a recursos individuales. - Características de proxy: el servidor VPN hace de intermediario entre la red pública y los recursos de la red interna. - Integración con otros elementos de seguridad corporativos: el servidor VPN les puede enviar información sobre el tráfico, el usuario, el dispositivo y la actividad que se está realizando. Las VPN utilizan protocolos de seguridad criptográficos (tunneling protocols) que son los que protegen la información transmitida. Los más extendidos son: - TLS (Transport Layer Security Protocol). - IPsec (Internet Protocol Security). 1. Escenarios de VPN Existen 4 tipos de VPN: - VPN site-to-site. - VPN de acceso remoto. - VPNaaS. - VPN de equipo a equipo. VPN site-to-site Es la empleada para proteger las comunicaciones entre dos redes, a través de una red pública (como por ejemplo Internet), manteniendo la seguridad y enrutando las comunicaciones. Suele emplearse para conectar las redes de oficinas secundarias con una sede central. PABLO ARELLANO www.theglobeformacion.com Página 38 B4T9 SEGURIDAD EN REDES TAI Normalmente se implementa con un concentrador VPN2 en cada extremo de la comunicación, de forma que entre ambos concentradores se establece la conexión VPN. Cuando un equipo en la red A, necesite establecer comunicación segura con otro equipo en la red B, el tráfico será enrutado automáticamente a través de la conexión VPN establecida entre los 2 concentradores VPN. Este escenario se emplea normalmente cuando las dos redes a conectar son seguras, ya que no protege el tráfico entre los equipos de la red y el correspondiente concentrador VPN. Es un modelo más económico que utilizar redes de área extensas (WAN). El concentrador VPN puede ser un dispositivo físico dedicado o puede formar parte de otro dispositivo de red, como puede ser un router o un FW. En este modelo, los equipos cliente no tienen que tener instalado ningún software VPN, ni requieren ningún tipo de configuración especial para el uso de la VPN. VPN de acceso remoto VPN que se utiliza para conectar un dispositivo cliente remoto con la red de la organización. Es la empleada para permitir acceso seguro a los usuarios que trabajan de forma remota, a través de la infraestructura proporcionada por una red pública. Las VPN de acceso remoto pueden ser: VPN IPsec y las VPN SSL/TLS. Las VPN de acceso remoto establecen un túnel VPN que proporciona conectividad de capa 3 completa a la red interna. A este modo de despliegue se le llama VPN "Tunneling" y permite al usuario disponer del mismo nivel de acceso a la red corporativa, como si estuviese in situ en la oficina. 2 También denominado servidor, terminador o gateway VPN, es el elemento de red encargado de la creación o terminación de una (o varias) VPN. Se ubica por lo tanto en el extremo de la comunicación y es el encargado de realizar la encapsulación / des encapsulación y cifrado / descifrado del tráfico a través de la VPN y de darle validez en la red local. PABLO ARELLANO www.theglobeformacion.com Página 39 B4T9 SEGURIDAD EN REDES TAI En general se implementa con un concentrador VPN en el extremo de red interna de la organización, de forma que entre el equipo cliente y el concentrador se establece la conexión VPN. Cuando un usuario necesita hacer uso de un recurso interno de la organización a través de la VPN, su equipo, que habrá sido configurado adecuadamente con el cliente VPN3, solicitará conexión al concentrador VPN. Una vez se realice la autenticación, se establecerá la conexión segura a través de la VPN. Las VPN SSL tienen otro modo de despliegue llamado "VPN SSL Portal", que únicamente permite el acceso a aplicaciones y servicios determinados. Este modo levanta un Portal Web en el servidor VPN, que actuará como un proxy inverso al que el usuario se conecta y que le permite solo acceder al conjunto de aplicaciones y recursos para los que esté autorizado. En este caso, no es necesario un software cliente VPN ya que el usuario se conecta a través de un navegador o web browser. Normalmente permite acceder a aplicaciones basadas en web, servidores de ficheros u otras aplicaciones cliente/servidor como Microsoft Outlook, Lotus Notes, Citrix XenApp, etc. El software de cliente VPN permite varios modos de funcionamiento: - Túnel iniciado por el usuario: es el usuario quien inicia el túnel cada vez que necesite acceder a los recursos internos de la organización. - Túnel permanente: cuando el equipo arranca, automáticamente se establece la conexión VPN que el usuario no puede desactivar de forma manual. Todo el tráfico del dispositivo va a través del túnel VPN. - VPN con túnel dividido (split tunneling): permite que el tráfico dirigido al dominio corporativo pase por el túnel VPN, mientras que todo lo demás va por fuera del túnel y directamente a Internet. 3 Equipo terminal perteneciente a un "usuario remoto" desde el que se establece la VPN entre el mismo y un concentrador VPN PABLO ARELLANO www.theglobeformacion.com Página 40 B4T9 SEGURIDAD EN REDES TAI Las opciones de Túnel iniciado por el usuario y VPN con túnel dividido se desaconsejan para escenarios de teletrabajo en los que no sea posible realizar un control de bastionado del equipo o se conecte a Internet desde una infraestructura de terceros no controlada. El servidor VPN puede ser un equipo físico dedicado o appliance, o puede ser un servicio dentro de otros dispositivos existentes en la infraestructura de la organización. Cada tipo de implementación tiene sus ventajas e inconvenientes. A continuación, se muestra una tabla con los puntos fuertes de cada una. La VPN de acceso remoto es, por lo tanto, un método seguro, tradicional y, relativamente sencillo, de proporcionar al usuario remoto acceso a los datos, aplicaciones y servicios alojados en el centro de datos de la organización. VPNaaS (VPN as a Service) También denominada VPN Cloud o Hosted VPN se utiliza, no solo para proporcionar al usuario remoto una conexión segura VPN con los servicios en la nube o recursos en internet, sino también para establecer conexiones seguras VPN entre redes corporativas y proveedores de la nube, o conexiones cloud to cloud. En la actualidad, estas soluciones han evolucionado y también ofrecen conexión VPN a los recursos de la red interna corporativa. Al usar la arquitectura tradicional de VPN, el tráfico del usuario hacia un servicio que es accesible desde Internet sigue un recorrido muy ineficiente: (1) la petición va del usuario al Servidor VPN de la sede, (2) de ahí sale por el cortafuegos perimetral hacia internet y la aplicación en la nube, (3) la respuesta de la nube llega al cortafuegos que la redirige al servidor VPN, y (4) del servidor VPN al usuario. Esta ineficiencia habitualmente hace que el usuario, tras una experiencia poco satisfactoria, no utilice la conexión VPN más que cuando tenga que conectarse a la red interna, y deje de utilizarla cuando deba conectarse a recursos en internet. Cuando esto ocurre, la organización pierde visibilidad sobre el uso de aplicaciones y servicios por parte de los usuarios, además de no poder aplicar a este tráfico las políticas de seguridad corporativas. VPNaaS proporciona al usuario remoto, por tanto, un punto único de acceso seguro VPN ya sea al centro de datos, a Internet o a las aplicaciones alojadas en los entornos de nube pública, privada e híbrida. Además, da visibilidad de todo el tráfico a la organización, permitiendo inspeccionar de forma exhaustiva el tráfico registrado en todos los puertos y protocolos. PABLO ARELLANO www.theglobeformacion.com Página 41 B4T9 SEGURIDAD EN REDES TAI Este tipo de soluciones normalmente utiliza un software cliente en el endpoint del usuario que se conecta a la solución VPNaaS de forma automática en cuanto detecta que el endpoint tiene conexión a internet, sin intervención del usuario. Para la conexión con los servicios y recursos del centro de datos de la organización, puede requerir de algún tipo de conector, dependiendo de la solución. Aunque la solución basada en VPNaaS mejora las prestaciones del servicio, tiene la contrapartida de que todo el tráfico y la información de la organización es procesada por un sistema de información perteneciente al proveedor del servicio cloud, ajeno a la organización, por lo que deberá valorarse, caso por caso, la idoneidad del uso de dicha solución. VPN de equipo a equipo Es la empleada para establecer conexiones seguras entre 2 equipos, protegiendo el tráfico desde un extremo al otro. Normalmente se utilizan para realizar administración remota de servidores que usan protocolos inseguros, o que se encuentran en redes con riesgos de seguridad, como la DMZ. En este escenario, las conexiones VPN se establecen entre el equipo origen (cliente) y el equipo destino (servidor). El servidor tendrá el software VPN instalado y configurado para proporcionar los servicios VPN y aceptar conexiones de los equipos cliente, que tendrán instalado y configurado el software cliente VPN. Cuando el equipo cliente solicita la conexión al equipo servidor, se realizará el proceso de autenticación y si ésta es correcta, se establecerá la conexión VPN entre ambos equipos. En este caso se protege el tráfico en todo su recorrido, desde el equipo origen, al equipo destino. PABLO ARELLANO www.theglobeformacion.com Página 42 B4T9 SEGURIDAD EN REDES TAI En la actualidad, es habitual que el servidor VPN forme parte de las capacidades de los cortafuegos de nueva generación (NGFW, Next Generation Firewalls). 2. Tecnologías de VPN TCP/IP está diseñado en una estructura en capas o niveles, basado en el estándar OSI de ISO. Cada una de las capas es responsable de llevar a cabo una tarea específica de la comunicación. Concretamente, TCP/IP dispone de 4 capas: La seguridad de TCP

Seguridad de Redes 2015-2016 (Examen)

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue