Seguridad : redes y seguridad

Proteccin de datos en una red

Introduccin
Qu Proteger?

De qu Proteger?

Hardware
Software
Datos

Personas
Amenazas Lgicas
Problemas Fsicos
Catstrofes

SEGURIDAD
Qu Conseguir?
Autenticacin
Autorizacin
Disponibilidad
Confidencialidad
Integridad
No repudio

Cmo Proteger?
Prevencin
Deteccin
Recuperacin
Auditora

De quin nos protegemos?

Internet

Ataque
Interno
Ataque
Acceso
Remoto

Soluciones
Firewalls (cortafuegos)
Proxies (o pasarelas)
Control de Acceso
Cifrado (protocolos
seguros)
Seguridad del edificio
Hosts, Servidores
Routers/Switches
Deteccin de Intrusiones

Intrusin
Externa

Intrusin
Interna

Diseo de un sistema de seguridad

El proceso de disear un sistema de seguridad podra decirse que es
el encaminado a cerrar las posibles vas de ataque, lo cual hace
imprescindible un profundo conocimiento acerca de las debilidades
que los atacantes aprovechan, y del modo en que lo hacen.
1 administrador frente a infinitos atacantes expertos con diferentes
tcnicas y herramientas
Adems, existe una gran variedad de ataques posibles a vulnerabilidades
pero en la practica se utiliza una combinacin de stas.
Los intrusos, antes de poder atacar una red, deben obtener la mayor informacin
posible acerca de esta; intentan obtener la topologa, el rango de IPs de la red, los
S.O, los usuarios, etc.

No obstante el administrador no est slo: existen organismos que

informan de forma actualizada, de las tcnicas de ataque utilizadas y
novedades. Ejemplos son:
CERT/CC (Computer Emergency Response Team Coordination
Center) http://www.cert.org.
Instituto nacional de Tecnologas de la Informacin (INTECO)

Ejemplos Centros de Emergencia de Intervencin

Temprana

Evolucin nmero de vulnerabilidades detectadas

Soluciones de seguridad
Conectividad

Perimetro

Cortafuegos
VPN

Deteccin de
intruso

Identidad

Administracin
de Seguridad

Autenficacin
Control de acceso

Poltica de
seguridad

PKI

Herramientas de seguridad:
protocolos seguros (IPsec, SSL, SSH)
almacenamiento de claves (tarjetas inteligentes)
certificados (X.509, PGP)
8

A qu nivel se gestiona la seguridad?

1. Sistema operativo y/o Firmware:
contraseas, permisos de archivos,
criptografa
2. Protocolos y aplicaciones de red: permisos
de acceso, filtrado de datos, criptografa
3. Identificacin de personal: dispositivos de
identificacin personal, criptografa

Ataques en redes - Sniffing

escuchar los datos que atraviesan la red, sin interferir
con la conexin a la que corresponden, principalmente
para obtener passwords, y/o informacin confidencial.

Proteccin: basta con emplear mecanismos de

autenticacin y encriptacin, red conmutada
10

Ataques en redes Barrido de puertos

Utilizado para la deteccin de servicios abiertos en
mquina tanto TCP como UDP (por ejemplo un telnet
que no est en el puerto 23, ..).

Proteccin: filtrado de puertos permitidos y gestin de

logs y alarmas.
11

Ataques en redes Bug de fragmentacin de paquetes

IP
Diferentes situaciones:
Con longitudes ilegales (ms pequeas o ms grandes)
de fragmentos.
con solape entre ellos o saturacin.
con multitud de fragmentos pequeos.
Ping de la muerte (de 64KB en vez de 64B).

Proteccin:
Limitar en los routers el trfico ICMP, incluso se analiza la
secuencia de fragmentacin.
Parchear el SSOO

12

Ataques en red Explotar bugs de software

Aprovechan errores del software (a la mayor parte del software se le
ha aadido la seguridad demasiado tarde, cuando ya no era posible
redisearlo todo) y con ello puede adquirir privilegios en la ejecucin.
por ejemplo:
Problema de buffers overflow (BOF o desbordamiento de pila[1]):
sobre la entrada de datos en un programa privilegiado que no verifica la
longitud de los argumentos a una funcin, y se sobreescribe la pila de
ejecucin modificando la direccin de retorno (para que salte donde nos
interese). P.e. las funciones de C strcpy, strcat, gets, son
potencialmente vulnerables.
Muchos programas corren con demasiados privilegios. La cadena o
secuencia de rdenes para explotar esta vulnerabilidad del software se
conoce como exploit
exploit.
Ataque
Ataque: los hackers se hacen con una copia del software a explotar y lo
someten a una batera de pruebas para detectar alguna debilidad que
puedan aprovechar.

Proteccin: correcta programacin o incluir parches actualizando los

servicios instalados.
13

Ataques en Red Caballo de Troya

un programa que se enmascara como algo que no es,
normalmente con el propsito de conseguir acceso a
una cuenta o ejecutar comandos con los privilegios
de otro usuario.
Ataque
Ataque: el atacante por ejemplo sabotea algn paquete
de instalacin o saboteando una mquina, modifica las
aplicaciones, p.ej ls, ps, ..
Proteccin: revisin peridica de paquetes, firma digital,
comprobacin del sistema de ficheros (ejemplo
aplicacin tripware), etc

14

Ataques en Red Ataque dirigido por datos

tienen lugar en modo diferido, sin la participacin
activa por parte del atacante en el momento en el que
se producen.
El atacante se limita a hacer llegar a la vctima una serie
de datos que al ser interpretados (en ocasiones sirve la
visualizacin previa tpica de MS. Windows) ejecutarn
el ataque propiamente dicho, como por ejemplo un
virus a travs del correo electrnico o cdigo
JavaScript maligno.
Proteccin:
firma digital e informacin al usuario.
lecturas off-line, o en otro servidor o instalar antivirus en el
servidor de correo

15

Ataques en red Denegacin de servicio

Estos ataques no buscan ninguna informacin sino impedir que
sus usuarios legtimos puedan usar los servicios que ofrece el
servidor atacado.
Ejemplos:
SYN Flooding:
realizando un nmero excesivo de conexiones a un puerto determinado, bloqueando
dicho puerto. Un caso particular de este mtodo es la generacin masiva de
conexiones a servidores http o ftp, a veces con direccin origen inexistente para que no
pueda realizar un RST.

Proteccin: en el servidor aumentar el lmite de conexiones simultneas, acelerar el

proceso de desconexin tras inicio de sesin medio-abierta, limitar desde un
cortafuegos el nmero de conexiones medio abiertas

16

Ataques en red Denegacin de servicio

Otros Ejemplos:
mail bombing:
envio masivo de correos para saturar al servidor SMTP y su
memoria.
Proteccin : similar a SYN Flooding
pings (o envo de paquetes UDP al puerto 7 de echo) a direcciones
broadcast con direccin origen la mquina atacada.
Estas tcnicas son conocidas como Smurf (si pings), Fraggle (si
UDP echo).
Proteccin : parchear el SO para que no realice pings broadcasts y
que limite el procesado de paquetes ICMP
en una red stub con conexin WAN al exterior lenta:
agotar el ancho de banda del enlace, haciendo generar trfico
innecesario.
Proteccin : fijar QoS en el enlace

17

Ataques en Red Intervencin humana

Ingeniera Social:
Ataques que aprovechan la buena voluntad de los usuarios de los sistemas
atacados.
Ejemplo: se enva un correo con el remite "root" a un usuario con el mensaje "por
favor, cambie su password a informatica". El atacante entonces entra con ese
password. A partir de ah puede emplear otras tcnicas de ataque. O incitando a
ver determinadas pginas web, descargar fotos.
Proteccin: educar a los usuarios acerca de qu tareas no deben realizar jams,
y qu informacin no deben suministrar a nadie, salvo al administrador en persona.

Acceso fsico:
a los recursos del sistema y pudiendo entrar en consola, adquirir informacin
escrita, etc
Proteccin: polticas de seguridad, dejar servidores bajo llave y guardia de
seguridad, tal como se vigila alguna cosa de valor.

Adivinacin de passwords:
la mala eleccin de passwords por parte de los usuarios permiten que sean fciles
de adivinar (o por fuerza bruta) o bien que el propio sistema operativo tenga
passwords por defecto.
Ejemplo
Ejemplo: muchos administradores utilizan de password administrador
Proteccin: polticas de seguridad
18

Ataques en Red Spoofing y ARP Spoofing

Intento de un atacante por ganar el acceso a un sistema
hacindose pasar por otro, ejecutado en varios niveles, tanto a
nivel MAC como a nivel IP:
ARP Spoofing (que una IP suplantada tenga asociada la MAC del
atacante).
Ataque
Ataque: el atacante falsifica paquetes ARP indicando gratuitamente su MAC
con la IP de la mquina suplantada. Los hosts y los switches que escuchan
estos mensajes cambiarn su tabla ARP apuntando al atacante.

Proteccin:
Introduccin de autenticacin y cifrado de las conexiones.
configurar que el host o switch aprenda MACs slo de paquetes ARP unicast.

19

Ataques en Red IP Spoofing

Suplanta la IP del atacante.
Ataque
Ataque: el atacante debe de estar en la misma LAN que el suplantado, y
modifica su IP en combinacin con ARP spoofing, o simplemente sniffea
todo el trfico en modo promiscuo.

Proteccin: introduccin de autenticacin y cifrado de las comunicaciones.

20

Ataques en Red DNS Spoofing

Esta ataque busca que el nombre del suplantado tenga la IP del
atacante (el intruso se hace pasar por un DNS).
Ataque: el atacante puede entregar o bien informacin modificada al host, o
bien engaar al DNS local para que registre informacin en su cache. P.ej,
puede hacer resolver www.banesto.com a una IP que ser la del atacante,
de forma que cuando un usuario de Banesto se conecta, lo har con el
atacante.

Proteccin: utilizar certificados para comprobar fidedignamente la identidad

del servidor.

21

Ataques en red Hijacking

Consiste en robar una conexin despus de que el
usuario (a suplantar) ha superado con xito el
proceso de identificacin ante el sistema remoto.
Para ello:
el intruso debe sniffear algn paquete de la conexin
y averiguar las direcciones IP, los ISN (nmeros de
secuencia) y los puertos utilizados.
El atacante deber utilizar la IP de la mquina
suplantada.

Ataque
Ataque:
En un momento determinado, el intruso se adelanta
una respuesta en la conexin TCP (con los ISN
correctos, lo cual lo obtiene por sniffing).
El que estaba conectado no cumple con los ISN
debido a que el intruso mand informacin vlida y
queda excluido de la conexin (su conexin TCP
aparente se ha colgado), tomando el control el
intruso.
Otra accin adicional, sera inutilizar al suplantado
con una ataque DoS.

Proteccin: uso de encriptacin o uso de una

red conmutada.
22

Ataques en Red Enrutamiento fuente

los paquetes IP admiten opcionalmente el
enrutamiento fuente, con el que la persona que inicia
la conexin TCP puede especificar una ruta explcita
hacia l.
La mquina destino debe usar la inversa de esa ruta
como ruta de retorno, tenga o no sentido.
Esto significa que un atacante puede hacerse pasar
(spoofing) por cualquier mquina en la que el
destino confe (obligando a que la ruta hacia la
mquina real pase por la del atacante).
Proteccin: dado que el enrutamiento fuente es
raramente usado, la forma ms fcil de defenderse
contra esto es deshabilitar dicha opcin en el router.

23

Ataques en Red ICMP Redirect

Con la opcin redirect, alguien puede alterar la ruta a un destino
para que las conexiones en las que est interesado pasen por el
atacante, de forma que pueda intervenirlas.

Proteccin:
Los mensajes redirect deben obedecerlos slo los hosts, no los
routers, y slo cuando estos provengan de un router de una red
directamente conectada.
Filtrado de paquetes.
24

Ataques en Red Modificacin de los protocolos de

encaminamiento
Modificacin de RIP, BGP, ... de forma que redirecciona
la informacin por otras rutas del atacante.
Esta tcnica es poco habitual y compleja.
Proteccin:
utilizar rutas estticas (no aceptable).
Protocolos de routing con autenticacin y/o encriptacin.

25

Protocolos TCP/IP seguros

Protocolos de Red
Aumentando el protocolo IP: IPSec, con tneles que
permiten Cifrado y autentificacin.
Libreras de programacin
Independientes del protocolo de aplicacin: SSL, TLS
(sobre los BSD Sockets), que permite Cifrado y
autenticacin.
Pasarelas de Aplicacin
Dependientes del protocolo y la aplicacin
SSH (inicialmente, sobre Telnet) que permite Cifrado y autentificacin.
SOCKS (sobre los BSD Sockets), que permite autentificacin y control de
acceso localizado en los cortafuegos

26

Tneles: qu es un tnel?
Permiten conectar un protocolo a travs de otro
Ejemplos:
Tnel SNA para enviar paquetes IP
MBone: tneles multicast sobre redes unicast
6Bone: tneles IPv6 sobre redes IPv4
Tneles IPv4 para hacer enrutamiento desde el
origen

Tambin permiten crear redes privadas virtuales

o VPNs (Virtual Private Networks)

27

Ejemplo de un tunel
Encapsulador

Encapsulador

Red TCP/IP

Red SNA

Red SNA
Paquete
IP

Paquete SNA

Tnel IP transportando datagramas SNA

Los datagramas SNA viajan encapsulados en paquetes IP
28

Redes privadas virtuales (VPN)

VPN (Virtual Private Network) es la interconexin de un conjunto de
ordenadores haciendo uso de una infraestructura pblica,
normalmente compartida, para simular una infraestructura dedicada
o privada. Las VPNs tienen la caracterstica de utilizar
direccionamiento no integrado en la red del ISP.
Utiliza encapsulado permitido en la red pblica, transportando
paquetes de la red privada. Para ello utilizan el encapsulamiento IPIP.
El direccionamiento es independiente del de la red pblica.
Solucin muy til actualmente para comunicar una empresa a
travs de Internet.
A menudo conllevan un requerimiento de seguridad (encriptacin
con IPSec).
Se basa en la creacin de tneles. Los tneles pueden conectar
usuarios u oficinas remotas.

29

Tecnologas VPN en capa 3

1.- Layer 2 Tunneling Protocol (L2TP, RFC 2661))
L2TP es combinacion de Cisco L2F y Microsoft PPTP.
L2TP no soporta cifrado
2.- Cisco Generic Routing Encapsulation (GRE, RFC
1701 and 2784)
Es multiprotocolo y al igual que L2TP no soporta cifrado.
Soporta trfico mulitcast.
3.- IP Security Protocol (IPSec, RFC 2401)
Es un estndar abierto que consta de varios protocolos,
que admite integridad y autenticacin (con protocolo
AH), cifrado (con protocolo ESP), pero slo para trfico
unicast. Veremos ms adelante con mayor detalle.

30

Tecnologas VPN
VPN en capa 7
(S/MIME), especfico de
la aplicacin y capa 4
(SSL/TSL), que no es
muy flexible

VPN en capa 3 con

L2TP, GRE e IPSec que
son independientes al
medio.

31

Funcionamiento de un tnel VPN para usuario remoto

Servidor con acceso
restringido a usuarios
de la red 199.1.1.0/24

199.1.1.69
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos

ISP 2
199.1.1.245

199.1.1.10
Servidor de Tneles
Rango 199.1.1.245-254

ISP 1
Origen: 200.1.1.20
Destino: 199.1.1.10

200.1.1.20

POP (Point of Presence)

Red 200.1.1.0/24

Origen: 199.1.1.245
Destino: 199.1.1.69
Datos

Red 199.1.1.0/24

Ping 199.1.1.69

Puede ir encriptado (si se usa IPSec ESP)

32

Tnel VPN para una oficina remota

Origen: 199.1.1.245
Destino: 199.1.1.69
Datos

Ping 199.1.1.69

199.1.1.69

200.1.1.20
199.1.1.245

Tnel VPN

Internet
199.1.1.193
199.1.1.246
Subred 199.1.1.192/26

Red oficina
remota

199.1.1.1
A 199.1.1.192/26 por 200.1.1.20

199.1.1.50

Subred 199.1.1.0/25
Origen: 200.1.1.20
Destino: 199.1.1.1
Origen: 199.1.1.245
Destino: 199.1.1.69
Datos

Red oficina
principal
Puede ir encriptado
(si se usa IPSec ESP)

33

Seguridad en Internet

RFC-1636 describe la seguridad en la

arquitectura de Internet, donde se informa sobre
los requisitos para hacer segura la
infraestructura de Internet, para evitar la
monitorizacin no autorizada.
Con ello, se ha desarrollado IPSEC ofreciendo:
Conectividad segura con redes privadas virtuales
(VPN), a travs de tneles, que permitan el
acceso remoto a travs de Internet o acceso
telefnico.
Asegura la autenticacin y autorizacin

34

IPSec Introduccin
Es una ampliacin de IP, diseada para funcionar de
modo transparente en redes existentes
Usa criptografa para ocultar datos
Independiente de los algoritmos de cifrado
Aplicable en IPv4 y obligatorio en IPv6
Est formado por:
Una Arquitectura (RFC 2401)
Un conjunto de protocolos
Una serie de mecanismos de autenticacin y encriptado (DES,
3DES y mejor por hardware)

Se especifica en los RFCs 1826, 1827, 2401, 2402,

2406 y 2408.

35

Principales funcionalidades de IPSec

AH (Autentication Header, RFC 2402): garantiza que el
datagrama fue enviado por el remitente y que no ha sido
alterado durante su viaje.
ESP (Encapsulating Security Payload, RFC 2406):
garantiza que el contenido no pueda ser examinado por
terceros (o que si lo es no pueda ser interpretado).
Opcionalmente puede incluir la funcin de AH de
autentificacin.
Ambos AH y ESP, definen una cabecera Ipsec incluida
en el paquete a enviar.
ISAKMP (Internet Security Association and Key Management
Protocol, RFC 2408): consiste en un mecanismo seguro (manual y
automtico) de intercambio de claves utilizadas en las tareas de
encriptado y autentificacin de AH y ESP. Incluye a IKE o Internet
Key Exchange. Utiliza Diffie-Hellman.
36

Modos de funcionamiento de IPSec

Modo transporte: comunicacin segura extremo

a extremo. Requiere implementacin de IPSec
en ambos hosts. No se cifra la cabecera IP.
Modo tnel: comunicacin segura entre routers
nicamente, que ejecutan pasarelas de
seguridad. Permite incorporar IPSec sin tener
que modificar los hosts. A los paquetes se
aade otra cabecera. Se integra cmodamente
con VPNs.

37

IPSec modo transporte

Host con IPSec

Host con IPSec

Internet

Router o cortafuego
con IPSec

IPSec modo tnel

Router o cortafuego
con IPSec

Internet
Tnel IPSec

38

Encapsulado de IPSec
Modo transporte

Cabecera IP

Cabecera IP

Datos

Cabecera
IPSec

Datos

Encriptado si se usa ESP

Modo tnel
Cabecera
IP Tnel

Cabecera
IPSec

Cabecera
IP

Datos

Cabecera
IP

Datos

Encriptado si se usa ESP

39

SSH Introduccin (1/2)

Secure Shell (SSH), por Tatu Ylonen (1.995) es

una lnea de comandos segura de la capa de
aplicacin.
Inicialmente pensado para evitar el paso de
passwords en las conexiones de telnet.
Adicionalmente se puede emplear en modo
tnel para cualquier protocolo TCP.
Especificado en drafts del IETF.
Sustituto de los protocolos r: rsh, rcp, rlogin, ...

40

SSH Introduccin (2/2)

Utiliza diferentes mtodos de autentificacin (RSA,
Kerberos, ...)
Utiliza el puerto 22, autentificando en el momento de la
conexin.
El cliente guarda las claves pblicas de los sistemas que
se conecta.
Cuando se conecta por 1 vez me pide si fiarse de
donde me conecto, para guardar su clave pblica,
cuando lo hace sin certificado.
Comprende los protocolos
Transport Layer Protocol (SSH-TRANS)
autentificacin del servidor y cliente, confidencialidad,
integridad, compresin

User Authentication Protocol (SSH-USERAUTH)

Connection Protocol (SSH-CONN)
41

Tendencias de seguridad

Todas las lneas actuales de investigacin en

seguridad de redes comparten una idea:
la concentracin de la seguridad en un punto,
obligando a todo el trfico entrante y saliente
pase por un mismo punto, que normalmente se
conoce como cortafuegos o firewall,
permitiendo concentrar todos los esfuerzos en el
control de trfico a su paso por dicho punto

42

Metodologa de seguridad Tareas a realizar

Redactar la poltica de seguridad.
Conocer la estructura (topologia, accesos) de la red.
Auditar la red para ver su estado en bsqueda de
deteccin de vulnerabilidades. Este proceso de
deteccin de vulnerabilidades consiste en:
Examen de hosts y elementos de la red, por vulnerabilidades
conocidas.
Puertos abiertos.
Chequeo de la estructura de ficheros e integridad del sistema en
el caso de servidores (por ejemplo con herramientas como
tripwire).

43

Cortafuegos
Consiste en un dispositivo formado por uno o varios equipos que
se sitan entre la red de la empresa y la red exterior
(normalmente la Internet), que analiza todos los paquetes que
transitan entre ambas redes y filtra los que no deben ser
reenviados, de acuerdo con un criterio establecido de
antemano, de forma simple.
Para que no se convierta en cuello de botella en la red, deben de
procesar los paquetes a una velocidad igual o superior al router.
Crea un permetro de seguridad y defensa de la organizacin
que protege.
Su diseo ha de ser acorde con los servicios que se necesitan
tanto privados como pblicos (WWW, FTP, Telnet,...) as como
conexiones por remotas.
Al definir un permetro, el cortafuegos opera tambin como NAT
(Network Address Traslation) y Proxy (servidor multipasarela).

44

Tipo de filtrado en los cortafuegos

A nivel de red, con direcciones IP y la interfaz por la que
llega el paquete, generalmente a travs de listas de
acceso (en los routers).
A nivel de transporte, con los puertos y tipo de
conexin, a travs de listas de acceso (en los routers).
A nivel de aplicacin, con los datos, a travs de
pasarelas para las aplicaciones permitidas analizando
el contenidos de los paquetes y los protocolos de
aplicacin (ejemplo servidor proxy o pasarela
multiaplicacin).

45

Listas de acceso
Son una tcnica de filtrado de paquetes, que consiste en una lista de
rdenes ejecutadas secuencialmente a la llegada/salida de cada
paquete en las interfaces del router, con las opciones de permit o deny
al cumplir la condicin especificada en la secuencia segn la informacin
de la cabecera del paquete IP y de transporte.
Al realizarse en el propio router, suelen ser rpidas frente a otra tcnica
de filtrado.
Ejemplo:
permit tcp 192.168.0.0 0.0.255.255 host 172.16.1.2 eq 443
deny any any

Incoveniente:
al procesarse los paquetes de forma independiente, no se guarda informacin de
contexto (no se almacenan histricos de cada paquete).
No se puede analizar a nivel de capa de aplicacin, dado que est implementado en
los routers.
Son difciles de monitorizar en ejecucin

Recomendaciones:
Situar los filtros lo ms cerca posible del elemento a proteger
No filtrar el mismo trfico ms de una vez
46

Cortafuegos de inspeccin de estados: stateful

Si un cliente inicia una sesin TCP a un servicio externo, escoger
un puerto no reservado (>1023), con lo cual cuando conteste el
servidor al cliente utilizando su puerto, el cortafuegos pueda impedir
(si slo permite la entrada a puertos conocidos) la entrada a dicho
puerto desconocido (el que escogi el cliente).
La inspeccin de estado se basa en la inspeccin de paquetes
basado en contexto: tipo de protocolo y puertos asociados.
Internamente se define una tabla de sesiones permitidas (tanto TCP
como UDP), donde el paquete de conexin inicial (por ejemplo en
TCP el primer segmento marcha con bit ACK=0 y SYN=1) se
comprueba contra las reglas, y si est permitido se apunta en la tabla
de sesiones y tras ello, los paquetes siguientes de la misma sesin
se dejan pasar.
Ejemplo: apertura de FTP en modo Activo Mode

47

Ejemplo: apertura de FTP en modo Passive Mode

Supongamos un escenario de un permetro que prohbe
el establecimiento de conexiones desde el exterior.
FTP opera en los puertos 21 de control y 20 para
transferencia de datos.
Cuando el cliente se conecta al puerto 21 y realiza la
conexin, el servidor a continuacin por el puerto 20
realiza la conexin con el cliente (Modo Activo).
Si estn prohibidas la apertura de conexiones desde el
exterior (cosa bastante habitual), el FTP nunca va a
funcionar a no ser que se configure el cliente en
modo Pasivo, es decir, de forma que el propio cliente
tambin realice la apertura del puerto de datos o bien
se haya configurado el permetro con inspeccin de
estados y habilite la sesin establecida.
48

Configuraciones de cortafuegos
1.- un router separando la red Intranet de Internet,
tambin conocido como Screened Host Firewall, que
puede enviar el trfico de entrada slo al host bastin
2.- un host bastin o pasarela para las aplicaciones
permitidas separando la red Intranet de Internet,
tambin conocido como Dual Homed Gateway. Permite
filtrado hasta la capa de aplicacin
3.- con dos routers separando la red Intranet e Internet
y con el host bastin dentro de la red formada por
ambos routers, tambin conocida como Screened
Subnet, esta red interna es conocida como zona neutra
de seguridad o zona desmilitarizada (DMZ Demilitarized
Zone)

49

Screened host
Se trata de un router que bloquea todo el trfico hacia la red interna,
excepto al bastin.
Soporta servicios mediante proxy (bastin).
Soporta filtrado de paquetes (router).
No es complicada de implementar.
Si el atacante entra en el bastin, no hay ninguna seguridad.

Bastin

Red
Externa

Router

Red
Interna

50

Ejemplo: red con servidor proxy/cache de uso obligatorio

147.156.1.18

Servidor
Proxy/cache

Servidor web

Filtro en el router
permit tcp host 147.156.1.18 any eq www
deny tcp 147.156.0.0 0.0.255.255 any eq www

Internet

Cliente web

Router

Servidor web

Red interna
147.156.0.0/16

Los usuarios han de configurar su cliente web con el

proxy 147.156.1.18 que slo l puede realizar conexiones
al exterior por el puerto 80. Esto no afecta a los accesos
a servidores web internos desde el exterior
51

Ejemplo de colocacin del host bastin (1/3)

Red
interna

Red
perimetral

Internet
Bastion host/
router exterior
Router
interior

Cortafuego
Mantener el bastion fuera del router, implica mayor seguridad para la red interna,
pero el bastin va a estar sometido a ms ataques que el router.
52

Ejemplo de colocacin del host bastin (2/3)

Red
interna

Cortafuego
Red
perimetral

Internet
Router
exterior
Bastion host/
router interior

Configuracin no recomendada (un ataque al Bastion host

comprometera la seguridad de la red interna)
53

Ejemplo de colocacin del host bastin (3/3)

Red
interna

Cortafuego
Red
perimetral

Routers
interiores

Bastion host

Internet
Router
exterior

Configuracin no recomendada (con routing dinmico el trfico de la

red interna podra usar la red perimetral como va de trnsito)
54

Dual-homed gateway
Se trata de un host (bastin) con dos tarjetas de red, conectadas a
redes diferentes.
En esta configuracin, el bastin puede filtrar hasta capa de
aplicacin.
Son sistemas muy baratos y fciles de implementar.
Slo soportan servicios mediante proxy externos.

Red
Externa

Red
Interna
Bastin

55

Screened subnet

Se sita una red DMZ (DeMilitarized Zone) entre

la interna y la externa, usando dos routers y que
contiene el bastin
Trfico sospechoso se enva hacia el bastin, si
no puede pasar directamente.
Soporta servicios mediante proxy (bastin)
Soporta filtrado de paquetes (routers)
Es complicada y cara de implementar
Si el atacante entra en el bastin, todava tiene
un router por delante (no puede hacer sniffing)

56

Screened subnet
Configuracin: consistente en implementar un permetro con 2
routers y un host bastin, es la arquitectura ms segura y tiene
las ventajas:
En ningn momento el exterior puede saturar la red interna, ya que
estn separadas
En ningn momento se puede monitorizar (sniffer) la red interna en el
caso de que el host bastin fuera saboteado
Bastin

Router
Red
Externa

Red
Interna

Router
DMZ

57

Ejemplo cortafuego con Zona Desmilitarizada

Red
interna

Red
perimetral

Internet

Router exterior
Router interior

Bastion host
DNS, Mail

Web
Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

58

Cortafuego con DMZ conmutada

Red
interna

Router exterior

Internet

Router interior

Red
perimetral

DNS, Mail

Web
Bastion host

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

59

Preparacin del router

Definir la access list para redirigir el trfico

externo al bastin.
Rechazar los mensajes externos con direccin
interna (anti-spoofing).
Deshabilitar la respuesta a los mensajes ICMP
redirect.
Quitar el soporte de acceso por telnet (al menos
externamente).
Separar trfico de gestin y de servicio,
mediante asignacin de diferentes direcciones,
o diferente localizacin.
60

NAT: Network Address Translation

Motivacin: la idea es usar slo una direccin IP para
ser vistos desde el mundo exterior:
No necesitamos asignacin de un rango del ISP: slo
una direccin (o un subconjunto pequeo es usada por
todos los dispositivos.
Podemos cambiar la direccin de dispositivos en red
local sin notificar al mundo exterior.
Podemos cambiar ISP sin cambiar direcciones de
dispositivos en red local.
Dispositivos dentro de la red no son explcitamente
direccionables o visibles desde afuera (una ventaja de
seguridad).

4-61

Implementacin del NAT

Datagramas salientes: remplazar (IP fuente, # puerto) de cada
datagrama saliente por (IP NAT, nuevo # puerto)
Clientes y servidores remotos respondern usando (IP NAT, nuevo # puerto)
como direccin destino.

recordar (en tabla de traduccin NAT) cada par de traduccin (IP

fuente, # puerto) a (IP NAT, nuevo # puerto)
Datagramas entrantes: remplazar (IP NAT, nuevo # puerto) en
campo destino de cada datagrama entrante por correspondiente (IP
fuente, # puerto) almacenado en tabla NAT

4-62

Otras consideraciones NAT

Campo de nmero de puerto es de 16 bits:
~60,000 conexiones simultneas con una nica
direccin dentro de la LAN!

Peculiaridades del NAT :

routers deberan procesar slo hasta capa 3
Viola argumento extremo-a-extremo
Los NAT deben ser tomados en cuenta por los diseadores
de aplicaciones: P2P, videoconferencia,

Respecto a la carencia de direcciones, en lugar de

usar NAT, se debera resolver con la implantacin de
IPv6
4-63