Autor
Seguridad Informatica. Capitulo Trés: (Dispositivos de Seguridad)
|| Author: ÇonfusedMind. || Web: http://confused.vndv.com.
|| Contact: allmenage@gmail.com || Martes 28 de Abril de 2009.
#############################################################
[-] * Implementando seguridad mediante los distintos tipos de Firewalls.
[-] * Filtrado de Paquetes.
[-] * Firewall de Enlace de Aplicaccion o de Servidor Proxy.
[-] * Analisis de paquetes con estado SPI.
[-] * ¿Donde implementarlos dependiendo de las plataformas?.
[-] * (IDS) Sistema de Deteccion de Intrusos.
[-] * Diferentes tipos de IDS, el NIDS & HIDS.
[-] * (IPS) Sistema de Prevencion de Intrusos.
#############################################################
Buenas, nuevamente tipeando este tercer paper de Seguridad Informatica,
quiero agradecer por los buenos comentarios obtenidos.
Asique sin dar mas vueltas arranquemos con esta tercera edicion :].
Nuestro novato Administrador ha evolucionado mucho desde el primer y segundo paper,
aprendiendo conceptos, creando un diseño de red seguro, etc..
En este tercero trataremos de que aprenda lo necesario sobre como establecer "Filtros" no solo rigurosos sino tambien necesarios.
Ok, comencemos....
# Implementando seguridad mediante FILTRADOS.
Una vez que armamos nuestra red, diseñamos cada detalles, viene el toque final que es el mas importante de todo, y es el fin en si de nuestro trabajo, IMPLEMENTAR SEGURIDAD.
Como hacemos esto?, pues bien, tenemos varias formas independientes, que si las fusionamos se complementan formando la seguridad de la red total.
Cuando hablamos de implementar seguridad, no estamos diciendo que hay que poner un policia o un grupo swat enfrente de la pc las 24hs sino que se implementa de una forma mas sencilla, como el poder "FILTRAR" informacion que no nos sirve, o que no es util para nuestra red.
Por ejemplo si solo tenemos un servidor el cual unicamente es util y sirve para un determinado cliente, osea que servimos informacion para una determinada IP nada mas en todo el mundo, lo que deberiamos hacer es filtrar el resto de conexiones menos esa ip unica que pertenece a nuestro cliente.. en "pseudocodigo" seria algo asi:
"Aceptar unicamente conexion de ["IP-UNICA"] en determinado puerto y bloquear todo el resto de conexiones que no sean la de nuestro cliente"
Cuando hablamos del filtrado de informacion, deducimos "informacion" como "datos".
Algunos dispositivos de Seguridad que realizan estos filtros son:
- Los Firewalls principalmente (Tambien llamados Cortafuegos) y pueden ser implementados tanto via Hardware como Software.
* Los IDS (Sistemas de Deteccion de Intrusos).
* Los IPS ya sea mediante Hardware o Software (Sistema de Prevencion de Intrusos).
- Una cosa a aclarar es que muchas de las empresas y organizaciones importantes (y serias sobre todo) usan mas de una pc destinada a la seguridad de sus propias redes.
Eso es lo que se hacen con respecto a la Seguridad Informatica, todo esta empleado en capas.
# Filtrado de Paquetes
Es el filtrado mas basico, este firewall se basa en la lectura de las cabeceras de los paquetes y compara con las reglas establecidas previamente. (se acuerdan el primer ejemplo en pseudocodigo que di? bueno...esa era una regla, claro en pseudocodigo, pero es basicamente lo que hace este firewall).
El firewall se enlaza con la capa de RED (ICMP/IP) y con la de TRANSPORTE (TCP/UDP). (en caso de perderse, re-leer capas de MODELO OSI).
El firewall determina una regla de acceso mediante seis elementos o requisitos:
IP DE ORIGEN IP DESTINO PUERTO DE ORIGEN PUERTO DESTINO PROTOCOLO ACCION
Bien, veamos un ejemplo de como se ve una regla de acceso en un firewall. (Puede que varie en el de ustedes la sintaxis pero el fin es el mismo).
Esto seria basicamente una regla de un firewall. Asi de sencillo, con la practica se ira haciendo casi de forma automatica el tipeo.. no hay mejor forma de aprender que con la practica!.
Pasemos a explicar el recuadro:
1- En la primer linea vemos como en ip de origen figura ANY, esto quiere decir "cualquiera/alguno" Pero en este caso se usa como Cualquiera (reglas del querido inglés).
Entonces estamos diciendo que CUALQUIER IP, que se conecte a NUESTRA IP (IP DESTINO) desde CUALQUIER PUERTO (PUERTO DE ORIGEN, generalmente no es importante el p.origen) hacia un PUERTO QUE TENEMOS ABIERTO (PUERTO DESTINO) (que en este caso es un servicio de proxy ya que el protocolo y puerto nos manifiestan esto), entonces la ACEPTAMOS.
2- En la segunda linea vemos como bloqueamos una determinada IP en este caso 24.232.2.2 si intenta ingresar a nuestro servicio ftp que estamos corriendo. Automaticamente el firewall denegaria el acceso.
# Firewall de Enlace de Aplicacion o de Servidor Proxy
Veamos las caracteristicas de este siguiente firewall.. es logicamente algo mas complejo que la simple filtracion de paquetes.
Este firewall como indica el nombre se enlaza con las capas de arriba de todo, las de aplicacion que son las que los usuarios tenemos contactos constantemente.
Basicamente el cortafuegos de aplicacion lo que hace es dividir las dos redes...permitiendo que la LAN se comunique con la WAN, y viceversa.
Tiene puntos ventajosos y en contras como todo software, su seguridad es quizas simple pero es bastante confiable, su autenticacion es mediante IP.
Tiene ventajas como la de guardar informacion en cache, lo cual impica una menor carga, se puede restringir acceso a los usuarios o a determinado recursos que estos quieran acceder.
Un usuario puede autenticarse mediante Telnet, FTP, etc, y una vez que se autoriza se muestran todos las posibilidades de accesos a servicios, que realmente no se ven cuando se carece del usuario y contraseña.
DESVENTAJAS
* Si hablamos de Vulnerabilidades puede que cuente con algunos puntos en cuanto a este sistema, que esta basado en las capas superiores por lo tanto no puede interactuar de la misma forma que otros cortafuegos, osea que puede recibir ataques de inundacion de SYN, Spoofing, no advierte de programas que pueden instalarse y editar registros o incluso borrarlos, etc.
* El uso de hardware es importante, ya que emplea muchos recursos, por lo que es preferencial, solamente emplearlo en un pc dedicado a este proposito.
# Analisis de paquetes con estado SPI
Deje para el final esta explicacion porque es quien generalmente se gana la atencion.
Sin dudas es el tipo de firewall que se lleva todos los premios y confianza, su complejidad es muy robusta. Su trabajo es compatible en casi todas las capas del modelo TCP/IP, lo que lo hace ser muy inteligente comparandolo con otros patrones de filtracion.
Con SPI se compara una tabla que se crea con las conexiones ya establecidas, es muy importante esto ya que un spoofing algo basico no daria los mismos resultados.
(a diferencia de la "filtracion de paquetes" que se comparaba mediante el estado del bit SYN)
Segun sea el protocolo, el Firewall SPI tambien puede analizar por dentro del paquete recibido con el objetivo de intentar detectar acciones maliciosas.
El estado de las conexiones en la tabla, puede guardar para uso posterior multiples datos que son definidos a traves del firewall, como la ip origen, ip destino, puertos, tiempo de conexion, etc
# ¿Donde implementarlos, dependiendo de las plataformas?
Bueno una vez que nuestro administrador ya va aprendiendo mas cosas, y en este caso aprendio a reconocer tres tipos de firewalls que funcionan con patrones diferentes tiene que aprender y pensar en DONDE PODER IMPLEMENTAR ESTOS FIREWALLS dependiendo de las diferentes situaciones y plataformas que se le presente.
El primero que voy a arrancar nombrando es el firewall hogareño debido a que es el mas basico, y es el mas conocido por todos nosotros. (Quizas tambien lo reconozcan por el nombre "domestico" es exactamente lo mismo...)
# Firewall Hogareño o Domestico.
[Zone Alarm]
Es el software mas conocido por los usuarios finales, en la actualidad se escucha hablar mucho de estos firewalls, los cuales se implementan en una pc hogareña y para ese unico fin de proteger ese determinado host.
Los firewalls mas modernos, o en su defecto, en versiones FULL, o PRO, ademas del motor de cortafuegos, vienen con complementos adicionales como pueden ser un Antivirus, un Anti-Spam, Anti-Phishing, Anti-Spyware, etc etc..
Algunos ejemplos de estos son: Zone Alarm (en foto arriba), Comodo Firewall, BlackICE, etc.
Como ya aclare arriba, si vos te dedicas a sentarte, escuchar musica, navegar y navegar, este dispositivo es el indicado para tu plataforma. (siempre que hablemos de windows).
# Firewall de Servidores.
Esta es otro dispositivo bastante eficaz que se ve comunmente instalado
en medianas empresas. Se basa en instalar un software que ejecute funciones de un firewall dentro de un determinador servidor, mediante el cual asegura toda la red y el mismo equipo.
Una de las mas conocidas a momento de hablar del sistema "Windows" es el ISA (Internet Security and Acceleration Server) es un gateway integrado de seguridad perimetral. El cual permite proporcionar seguridad a los usuarios mediante un acceso remoto seguro a todas las aplicaciones de la empresa.
[Microsoft ISA 2006]
# Firewall en los Routers.
Seguimos nombrando dispositivos, y este es uno de los mas conocidos y baratos..
Cisco fue quien resalto en lo que respecta de routers, creo su sistema operativo PIX, agrego opciones a toda la gama de routers para que funcionen como firewalls, este se lalamo el Firewall Feature Set, esto se agrega al sistema operativo del router cirsco.
Si hablamos de que tan dinamico puede ser, es proporcional a la configuracion que nosotros los admins le demos, segun las caracteristicas del hardware que poseemos podemos decir que puede ser mas flexible o menos... Tiene varias funciones de seguridad como la de analisis de transacciones de protocolos, permite logearse como syslog, puede bloquear java, etc etc..
[Router con Firewall integrado]
# IDS (Sistema de Deteccion de Intrusos)
Luego de terminar con las explicaciones de algunas variantes a la hora de filtrar informacion, que incluso se pueden complementar una con otras.. en diferentes capas para hacer mas dificil el trabajo de un supuesto cyberdelincuente.. Ahora veremos algo mas complejo que son los IDS.
Una cosa a aclarar desde el vamos, es que un FIREWALL no es igual que un IDS. Generalmente la gente se equivoca y compara como si se tratase de lo mismo y en realidad son dos cosas diferentes, que se pueden comlementar, en cuanto el firewall nos protege y el ids nos vigila.
Estos dispositivos de Deteccion de Intrusos estan a cargo de alertar de posibles instrusiones al sistema de nuestro querido enemigo el cyberdelincuente.
Algunas caracteristicas que poseen los IDS, es el envio de alertas mediante correo electronico, mensajes de texto, mediante un programa, etc.
# Diferentes tipos de IDS, el NIDS & HIDS.
En este sector de Sistemas de Deteccion de Intrusos, podemos dividir la situacion en dos grandes caminos que ayudan a complementar conjuntamente la seguridad en nuestro servidor.
Por un lado tenemos el "NIDS", que es el Sistema de Deteccion de Intrusos en una Red
como el nombre lo indica es capas de analizar la red y comparar paquete por paquete en una base de datos de ataques o blacklist, y alerta en caso de que sea positivo.
Hay que aclarar que el funcionamiento es basicamente un "Sniffing" al momento de captar todos los paquetes de la red.
Es muy usado por empresas de mediano y alto nivel, de esta manera podemos no solo asegurar un equipo sino la red entera.
Por otro lado tenemos el HIDS, Sistema de Deteccion de Intrusos en un Host.
Este sistema de lo contrario al NIDS, solo analiza el trafico en un determinado host.
Simplemente se instalan en equipos puntuales independientes, puede analizar a usuarios y hacer un seguimiento ya sea el acceso a ficheros o carpetas no permitidas, borrado de archivos criticos que pongan en peligro el sistema.
[Bien para dar un repaso mas por arriba de esto, porque la idea no es en si explicar el TODO de todo los detalles... sino asimilar conocimientos, para que nuestro querido admin, eliga, sepa de que estamos hablando, y luego se enfoque su pensamiento en expandir el conocimiento para implementar un determinado sistema por cuenta suya]
Los IDS tienen dos formas de reconocer un ataque producido por nuestro enemigo el "cyberdelincuente".
El primero es mediante las tan conocidas FIRMAS que logicamente se trabaja mediante la "COMPARACION".
Una vez que el paquete pasa por el IDS, este lo compara con unas reglas predeterminadas que comentan supuestos ataques.
Un ejemplo de un IDS, es el SNORT (Para mas informacion ingresar a la web principal http://www.snort.org) este IDS implementa un lenguaje de creacion de reglas flexibles que lo hace bastante potente y sencillo.
El SNORT avisa cuando se produce un ataque, desde que ip se produce hacia que ip, puertos utilizados, es muy veloz y no necesita procesar informacion, pero como dije la idea no es adentrarnos en cada dispositivo y explicarlo detalladamente eso lo dejo a el que intente implementar algun dispositivo como estos..
El Segundo se llama Analisis de Protocolo, el cual se divide en dos mecanismos, el primero puede crear estadisticas mediante un determinado aprendizaje, en determinado cantidad de tiempo. Digo lo del tiempo porque el ids va a analizar el trafico "x" tiempo, la rutina de nuestro trafico de red, cuanto mayor tiempo tiene de aprendizaje, menos falsos positivos nos entregara.
El segundo mecanismo es de forma manual, simplemente nosotros debemos ingresar la informacion para que nuestro IDS quede configurado.
Esta bastante piola esto de los IDS, ya que podemos rebuscarnolas y buscar por internet ayuda, o consejos de como implementar reglas propias, incluso gente en el ambito profesional y tecnico sube su gran "base de datos" de reglas o tips para intentar permitir estar al dia en lo que respecta a seguridad y a las ultimas vulnerabilidades.
Algunas recomendaciones:
# Snort
# Manhunt
# NID
# IPS (Intrusion Prevention System)
Para ir cerrando este paper que bastante largo me salio... vamos a hablar de lo que para mi respecta y para la mayoria tambien je, la evolucion del IDS.
Este mecanismo es realmente complejo, o lo intenta ser. Su funcionamiento tiene como objetivo la Deteccion, el Analisis y el Bloqueo de ataques.
Este dispositivo puede inspeccionar los flujos de datos con el fin de detectar los ataques que pueden ser explotados mediante vulnerabilidades desde el nivel 2 (control de acceso) del modelo OSI hsata la capa 7 (la de aplicaccion).
Una caracteristica resaltadora es la de la inspeccion a fondo, en la cual los paquetes pueden ser clasificados y analizados en su totalidad mediante todos los filtros que posee.
Esa clasificacion de paquetes se basa en la conocida configuracion de cabecera de los paquetes, direcciones origen y destino, etc.
Si hablamos de los filtros que posee podemos decir que estan formados por un conjunto de reglas que definen determinadas condiciones que son necesarias cumplirse para informar si un paquete es o no es dañino.
Lo bueno de los IPS es que no solo detectan la vulnerabilidad sino que mediante el Analisis de Protocolo que comente mas arriba, lo transforma en algo asi como un sistema inteligente, el cual permite detectar y tomar acciones sobre una vulnerabilidad que todavia no ha sido anunciada.
Para resumir el funcionamiento de un IPS podemos señalarlo con 4 puntos fundamentales:
* El paquete que entra es clasificado por la cabecera y la info de flujo que se asocia.
* Segun la funcion de como se clasifique el paquete, se aplicaran determinados filtros.
* Los filtros relevantes se aplican en paralelo, y si hay un positivo, se etiqueta como sospechoso.
* Si es sospechoso, se desecha y se actualiza la base de estado sobre el flujo relacionado para descartar restos de dicho flujo entrante.
Algunas recomendaciones:
# RealSecure
# Netscreen
# Proventia G
# Defense Pro
################################################################
[ Bueno gente eso fue todo, gracias por la paciencia, la lectura, y los ]
[ comentarios positivos brindados... ]
[ http://confused.vndv.com ]
En línea
