Seguridad de Red: Conceptos Clave, Tipos de Firewalls y Estrategias de Protección

Biotecnología, , , ,

Conceptos Fundamentales de Seguridad de Red

Perímetro:
Frontera fortificada de la red.
Bastión:
Servidor expuesto que publica algún servicio a la red, lo que le cataloga como de alto riesgo.
Fortificación:
Conjunto ordenado y organizado de procedimientos por el que convertimos un servidor en un bastión suficientemente fortificado.
Router de Frontera:
Router más externo de la red que está en contacto con Internet.
Cortafuegos (Firewall):
Se configuran las reglas de filtrado que especifican qué tráfico se aceptará y cuál no.
IDS (Sistema de Detección de Intrusiones):
Despliega un conjunto de sensores estratégicamente situados en la red interna con objeto de detectar ataques.
DMZ (Zona Desmilitarizada):
Porción de la red que aloja servicios que se hacen accesibles al exterior. Se sitúan delante del cortafuegos corporativo.
Redes Controladas:
Redes que se sitúan detrás del cortafuegos corporativo. Los bastiones no están en contacto directo con la red interna y se protegen de la red externa mediante un firewall o router con capacidad de filtrado.

La característica principal de estos elementos es conectar dos o más redes. La selección de tráfico dependerá de las reglas establecidas por una persona para proteger la red interna.

Tipos de Filtrado en Cortafuegos

Filtrado Estático de Paquetes

Es el modo más básico en un cortafuegos. Consiste en aceptar o rechazar paquetes en función de algunos o varios de los campos del paquete IP.

Existen dos modos principales:

  • Lista Blanca: Deniega por defecto todo el tráfico, excepto lo que se acepta explícitamente.
  • Lista Negra: Acepta todo el tráfico, excepto lo que se deniegue explícitamente.

Problemas del Filtrado Estático:

  • Las direcciones IP son fáciles de enmascarar.
  • Los servicios y aplicaciones pueden usar puertos no estandarizados.
  • Dificultad para desfragmentar los paquetes IP.
  • Algunos servicios tienen comportamientos especiales.
  • No gestiona modos de identificación de usuarios robustos.

Filtrado Dinámico de Paquetes

Las reglas se crean y se destruyen dinámicamente, según aparezcan o desaparezcan las conexiones. Se almacenan en una lista reflexiva, así los paquetes de salida permitidos crean automáticamente reglas para aceptar la respuesta de la salida, lo que permite la entrada a los paquetes que tengan una respuesta de conexión previamente hecha desde la red interna.

Firewall de Inspección de Estado (Stateful Inspection Firewall)

Mantiene una tabla en la que registra el estado de las conexiones activas en cada momento. Las entradas en la tabla se borran cuando se acaba la conexión o se produce un timeout.

Firewalls Basados en Proxy (Pasarela a Nivel de Circuito)

Funcionan como intermediarios entre el cliente y el sistema remoto. El proceso es el siguiente:

  1. Los servicios se solicitan por un puerto del proxy.
  2. Se pide identificación al cliente.
  3. Se realiza la conexión entre el proxy y el sistema remoto.
  4. Una vez realizada la conexión, no se inspeccionan los paquetes individualmente.

Modelos de Seguridad de Red (DMZ)

Modelo de Seguridad Multihomed

El bastión dispone de varias interfaces de red, cada una conectada a una red física, lo que las separa en diferentes redes.

Screened Host

Todas las conexiones van a un bastión que se conecta a una red interna. El router de frontera deriva todas las conexiones al bastión, evitando una conexión directa entre el router de frontera y cualquier nodo de la red interna. La seguridad de este modelo reside en el router, que no debe permitir conexiones que tengan origen o destino en el bastión.

Screened Subnet

Similar al modelo Screened Host, pero añade un router entre el bastión y la red interna. En esta red se sitúan los servidores que publican servicios o actúan como módems. Desde esta red se prohíben los accesos tanto a la red interna como a Internet.

Sistemas de Detección de Intrusiones (IDS)

Los IDS examinan el tráfico de red para detectar ataques. El examen se concentra en el rastreo de la red, sondas y otros tipos de ataques. Las fases típicas son:

  • Identificación del ataque.
  • Registro de eventos.
  • Bloqueo del ataque (en IDS activos).
  • Reporte a los administradores.

La diferencia con los cortafuegos es que los IDS no interfieren en la red; son pasivos, solo escuchan la red mediante sniffers. Van recogiendo tráfico y comparando con unos patrones de ataques específicos. Si el tráfico coincide con los patrones, se generan alertas para ser detectadas por el administrador.

  • IDS Pasivos: Detectan los ataques y crean avisos.
  • IDS Activos: Atenúan o rechazan el ataque.

Honeypots

Un Honeypot es un sistema configurado con el fin de ser atacado por un agente externo y conseguir información acerca de cómo se realizó el ataque y las vulnerabilidades explotadas, con el fin de alertar al administrador.

Ventajas de los Honeypots:

  • Menos falsos positivos que los IDS.
  • Usan pocos recursos y capturan pocos datos, por lo que el análisis es rápido.
  • Sistemas simples de implementar.

Desventajas de los Honeypots:

  • Solo detectan los ataques que les llegan directamente.
  • Sensibles a ataques de fingerprinting (identificación del sistema).
  • Pueden ser utilizados como plataforma para un ataque mayor si son comprometidos.

Clasificación de Cortafuegos por Ámbito

Cortafuegos Personal

Es un componente de software que implementa la funcionalidad de firewall y que protege exclusivamente al sistema en el que se instala mediante técnicas de filtrado de las conexiones locales con el exterior. Gestiona reglas de tráfico de entrada y salida. Puede incluir otras funciones como antispam y antivirus, y es configurable por el administrador del sistema.

Cortafuegos Domésticos o SOHO (Small Office/Home Office)

Es un dispositivo de red que filtra las conexiones de una red doméstica con el exterior. Es un elemento común y externo que actúa como router de frontera de bajo rendimiento que separa Internet de la LAN. Suele venir integrado en los routers de borde de la red.

Cortafuegos Corporativos

Dispositivo o sistema integrado que protege, mediante diversas técnicas de filtrado, a toda una red o varios de sus segmentos (por hardware o por software). Garantiza el acceso utilizando técnicas de alta disponibilidad, para lo cual los cortafuegos tienen que comunicarse sus configuraciones entre sí, conformando un sistema integrado de protección.

Cortafuegos Corporativos de Hardware:

  • Ventajas:
    • Pueden proteger toda una red o un segmento de ella.
    • Disponen de su propia CPU y RAM, por lo que no consumen los recursos de estaciones o servidores.
    • El malware no los desconecta.
    • La protección perdura incluso sufriendo un system crash.
  • Inconvenientes:
    • Son caros y difíciles de configurar.
    • Requieren un espacio físico adicional para alojarlos, a donde tiene que llegar todo el cableado.
    • Un fallo de seguridad afectará a toda la red.

Cortafuegos Corporativos de Software:

  • Ventajas:
    • Sencillos de utilizar.
    • Baratos y fáciles de configurar.
    • El filtrado de aplicación que realizan los hace muy flexibles.
  • Inconvenientes:
    • Consumen más recursos del sistema host.
    • No suelen tener las mismas capacidades de configuración de filtrado de paquetes que los de hardware.

Web Application Firewall (WAF)

Dispositivo físico que investiga el tráfico web entre el servidor web interno (publicado al exterior) e Internet para analizar los datos recibidos en el servidor web procedentes de la actividad del usuario y proteger al servidor de diferentes ataques de software. Su objetivo es proteger de los ataques dirigidos al servidor web que los IDS o IPS no pueden defender, como un posible ataque de buffer overflow.

Un factor negativo es que si la aplicación protegida utiliza caracteres que el WAF tenga en su lista negra, denegará las peticiones de los usuarios.

Unified Threat Management (UTM)

Cada funcionalidad de una UTM se llama área de gestión. La mayor parte de estas áreas de gestión se implementan mediante pasarelas de aplicación, es decir, mediante servicios proxy de alto nivel, cada uno de los cuales proveerá un servicio de valor añadido.

En la configuración de una UTM, caben dos posibles modos de configuración para el consumo de sus servicios por parte de los clientes:

  • Modo Proxy: Hace uso de servidores proxy para cada servicio de acceso, capturando el tráfico que se redirige desde cada cliente y procesándolo.
  • Modo Transparente: Simplemente procesa los paquetes que le llegan sin necesidad de ninguna redirección del cliente para dirigir los paquetes allí. Sin embargo, necesita que el sistema operativo cliente haga pasar todo el tráfico por la UTM.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.