Administración de Sistemas Operativos
|
|
|
|
Administración de Sistemas Operativos
| ||
| Inicio ASO | Aula Virtual |
Con la interconexi贸n de equipos inform谩ticos en red, la especializaci贸n de algunos de ellos en determinados servicios y, la conexi贸n de 茅stos a Internet para ofrecerlos a cualquier usuario, ha avivado la necesidad de proteger las redes privadas ante posibles intentos de infiltraci贸n externos y, por extensi贸n tambi茅n los internos.
Una de las principales tareas, desde el punto de vista preventivo, que se va a encontrar un administrador es el dise帽o y configuraci贸n de la llamada seguridad perimetral, cuya definici贸n m谩s inmediata indica que no es m谩s que el establecimiento de un per铆metro de seguridad que proteja y a铆sle la red local interna y la red local de servicios de las entradas externas, definiendo, al estilo de las estrategias militares, un per铆metro de seguridad mediante el uso de equipamiento espec铆fico configurado para realizar determinados filtros a los paquetes de datos y, en definitiva, manejar y controlar el acceso a la red interna de la organizaci贸n.
Elementos de la seguridad perimetral
Para el dise帽o y, posterior implementaci贸n de una protecci贸n perimetral, se debe tener en cuenta las distintas posibilidades que se nos ofrece, dependiendo de los diferentes elementos que utilicemos para desarrollar los controles de acceso.
El primer control de acceso que se puede aplicar en una red es la segmentaci贸n de los dominios de colisi贸n y difusi贸n. Por tanto, los switchs y routers, encargados los primeros de la segmentaci贸n del dominio de colisi贸n y los segundos, adem谩s, de la segmentaci贸n del dominio permiten definir qu茅 equipos se ven sin necesidad de filtrar, simplemente segmentando y definiendo las tablas de rutas.
El filtrado de paquetes se puede realizar a distintos niveles de la pila TCP/IP, con elementos y caracter铆sticas diferentes por nivel. As铆, a nivel de red, se encuentran los llamados router de selecci贸n que son, b谩sicamente, equipos de red que tienen la capacidad de encaminar y filtrar paquetes. En un nivel m谩s elevado, se distinguen, como principales elementos, los proxys, socks y las envolventes.
Switch
Desde el punto de vista de la seguridad preventiva, el primer paso que se da impl铆citamente es en el dise帽o de la red local de una organizaci贸n con la segmentaci贸n de la red en diferentes subredes y la definici贸n de las tablas de rutas de los diferentes encaminadores. La posibilidad introducida por los switchs de aislar el tr谩fico en diferentes redes, incluso dentro de un mismo elemento de red con la tecnolog铆a de VLANS, introduce impl铆citamente caracter铆sticas de confidencialidad, como m铆nimo, al no poder, desde una subred dada, acceder al tr谩fico de otra.
Esta seguridad, adem谩s, es la m谩s eficiente ya que no introduce carga extra al sistema como el caso de la encriptaci贸n (procesos que consumen muchos ciclos de CPU) o el filtrado (aplicar regla a TODOS los paquetes que circulan por la red puede suponer, dependiendo del n煤mero de filtros y la cantidad de paquetes a procesar, un exceso de computaci贸n).
Por tanto, los switchs se pueden considerar como elementos de seguridad ya que permiten la segmentaci贸n del dominio de colisi贸n, e incluso, con las tecnolog铆as de VLANS, de difusi贸n, ayudando, por tanto a prevenir posibles amenazas contra la confidencialidad e integridad de los datos que circulan por la red.
Adem谩s, existen switchs de alto nivel que permiten, incluso, controlar a nivel de enlace a qu茅 equipos permitimos conectarse a la red. Las configuraciones, en cuanto a nivel de comprobaci贸n, pueden variar desde simplemente permitir determinadas MAC, hasta con el uso del protocolo 802.1X, que s贸lo equipos donde los usuarios que est谩n autenticados y autorizados puedan utilizar la red, introduciendo as铆, la caracter铆stica de autentificaci贸n.
Router de selecci贸n
Un router o encaminador es un dispositivo de red encargado redirigir paquetes desde una interfaz a otra utilizando para ellos las reglas de encaminamiento que se le indican por configuraci贸n (encaminamiento est谩tico), o por un proceso que aprende dichas reglas (encaminamiento din谩mico). En definitiva, segmentan el dominio de difusi贸n y, por extensi贸n, el de colisi贸n, permitiendo adem谩s que unas redes se comuniquen con otras mediante la caracter铆stica de encaminar paquetes.
Como se ha comentado anteriormente, en el dise帽o y con la decisi贸n de permitir que los routers dirijan paquetes o no de una red a otra, se est谩 introduciendo cierta seguridad preventiva. Con el encaminamiento cl谩sico en el que la redirecci贸n de paquetes se basa en reglas que s贸lo tienen en cuenta el destino se estaba m谩s limitado a la hora de gestionar seguridad a este nivel. Sin embargo, se han introducido dos caracter铆sticas adicionales que muchos routers presentan -sobre todo la primera, que pr谩cticamente todos disponen de ella-: filtrado de paquetes y encaminamiento regulado. Con el encaminamiento regulado, podemos introducir reglas de rutas basadas en m谩s par谩metros que la simple direcci贸n de destino, lo que introduce m谩s versatilidad y m谩s control de qu茅 paquetes se redirigen y, por tanto, de qu茅 redes se pueden interconectar.
Los routers con filtrado de paquetes reciben el nombre de routers de selecci贸n y suelen ser el elemento principal de casi todas las configuraciones de seguridad perimetral. Consiste en definir reglas de control de acceso para permitir o denegar, en su concepci贸n m谩s b谩sica, la redirecci贸n de paquetes, aunque las tablas de encaminemiento permitan mandarlos. Normalmente, dichas reglas se aplican en el orden en el que han sido guardadas y, en cuanto un paquete cumple las condiciones de una regla, se aplica 茅sta, interrumpi茅ndose el an谩lisis del resto y permitiendo o denegando el paquete, seg煤n lo que indique la regla. Si no se cumple ninguna, se suele disponer de una acci贸n por defecto que significa:
Desde el punto de vista de la seguridad, parece mejor opci贸n la primera, ya que se es m谩s restrictivo y, en el caso de que exista un error y algo que debiera estar permitido, no sea as铆, seguro que alg煤n usuario avisa al administrador. Por el contrario, con la segunda opci贸n, si se nos olvida alguna regla y dejamos abierto alg煤n servicio, es muy poco probable que un usuario avise del problema.
Las acciones que puede realizar un router de selecci贸n con filtrado de paquetes son:
Su principal ventaja es que, sobre todo cuando se habla de hardware dedicado, son m谩s r谩pidos y eficientes a la hora de manejar grandes vol煤menes de datos. Por el contrario, son menos vers谩tiles, no permitiendo, en la mayor铆a de los casos, comprobaciones a nivel de usuario y an谩lisis de contenido de los paquetes.
NAT
La modificaci贸n de los paquetes por parte de los routers de selecci贸n para cambiar las direcciones y/o puertos de origen o destino, recibe el nombre de Network Translation Address (NAT). Esta t茅cnica se puede utilizar, adem谩s de para la optimizaci贸n de las direcciones IP, para aislar el tr谩fico de entrada y/o salida ocultando la configuraci贸n interna de la red.
El cambio puede ser est谩tico, una IP se sustituye por otra fija, o din谩mico con la que la informaci贸n de estado no siempre est谩 disponible. Adem谩s, NAT puede interferir con algunos sistemas de encriptaci贸n y autentificaci贸n; tambi茅n con el sistema de registro de eventos ya que, por ejemplo, si se realiza NAT para la red Interna de una organizaci贸n, todos los ordenadores que se conecten a un servidor Web externo lo har谩n con la misma IP y, por tanto, podr铆a tomarse como el mismo equipo. Adem谩s, el NAT de puertos podr铆a interferir con el propio sistema de filtrado de paquetes, por lo que se debe ser muy cauteloso con su uso e integraci贸n con el resto de los mecanismos de prevenci贸n.
Proxy
Los proxys se ejecutan en el nivel de aplicaci贸n. Por tanto, son aplicaciones que, ante requerimientos de los usuarios de equipos internos de la red de una organizaci贸n para conectarse a servicios de Internet, act煤an de intermediario, de tal forma que las peticiones desde el cliente interno van al Proxy y 茅ste las redirige al servidor destino, siendo la direcci贸n de la interfaz externa del proxy la que ve el servidor final.
Este tipo de aplicaci贸n presenta la ventaja de que se dispone de mayor control que con NAT, permitiendo filtros m谩s inteligentes. Se pueden establecer reglas en funci贸n del usuario y contenido, por ejemplo, que actualmente muy pocos routers de selecci贸n con NAT disponen.
Adem谩s, tambi茅n puede proporcionar mecanismos de cach茅 que optimiza el uso de la red, aunque por el contrario, los router de selecci贸n son m谩s eficientes y permiten manejar mayor cantidad de paquetes -presentan mayor ancho de banda-.
Como principal inconveniente, adem谩s del menor ancho de banda con respecto al NAT, es que dependen del servicio. Por lo tanto, debe existir un Proxy por cada servicio al que queramos conectarnos.
Como soluci贸n a este problema se cre贸 socks. Socks es una aplicaci贸n independiente del servicio que realiza la misma funci贸n que los Proxy y cuyo principal inconveniente es que exige modificar las aplicaciones utilizando librer铆as espec铆ficas que conecten con el servidor de socks.
Cortafuegos
Se entiende por cortafuegos a una arquitectura de seguridad de red en la que se sit煤an diversos elementos para controlar el tr谩fico de entrada y salida a una organizaci贸n.
Antes de entrar en detalle con las arquitecturas existentes de cortafuegos, se va a describir tres de los elementos que intervienen en ellas, adem谩s de los routers de selecci贸n y los proxys:
Arquitectura de cortafuegos
Cuando una organizaci贸n conecta su red local a Internet, deja abierto el acceso a todos los equipos de su red desde el exterior. La posibilidad de proteger los equipos de forma individual causa pavor entre los administradores de sistemas por el excesivo trabajo que puede llevar, proporcional al n煤mero de equipos; la complejidad que supone el mantenimiento y la fiabilidad de los sistemas, por la posible heterogeneidad de los clientes, tanto en software como hardware que puede no soportar determinada aplicaci贸n de filtrado, el trato que los usuarios de los equipos puedan realizar, etc. En definitiva, para proteger a todos los equipos de una red, la soluci贸n debe ser global y enfocarse como un problema de red, aunque se pueda realizar filtros en los equipos finales.
Una arquitectura de cortafuegos deber铆a dise帽arse y planificarse, idealmente, cuando se dise帽a la estructura de la red. Un cortafuegos no deja de ser un dise帽o de red en el que se emplean determinados componentes, de los descritos en el apartado anterior, cuya finalidad es la de canalizar el tr谩fico por los elementos apropiados y permitir o denegar seg煤n las reglas introducidas.
Existen varias arquitecturas de cortafuegos desde la m谩s sencilla que utiliza simplemente un router de selecci贸n hasta otras m谩s complejas basadas en varios routers de selecci贸n, proxys y redes perimetrales. El tipo de arquitectura se debe elegir en funci贸n a las necesidades de seguridad y a la disponibilidad econ贸mica de la organizaci贸n.
Router de protecci贸n
Es la configuraci贸n m谩s simple consistente en el empleo de un router de selecci贸n para filtrar el tr谩fico de entrada y salida a la red local. En la figura 1, se puede ver que el encaminador se sit煤a en la conexi贸n con la red externa y se encarga de canalizar, adem谩s del filtrado, los paquetes entre la red interna y externa.
Es una arquitectura barata y simple que, como se observa en la figura, toda la seguridad de la red reside en un 煤nico punto: el router de selecci贸n. Adem谩s, no es un dise帽o flexible.
Host de base dual
Consiste en utilizar como mecanismo de conexi贸n entre la red interna y la externa, un host con dos interfaces de red, una conectada a la red local interna y otra a la red exterior. En dicho host debe estar deshabilitado la opci贸n de encaminamiento para que las peticiones externas dirigidas a la red interna o la peticiones originadas en la red local y destinadas al exterior pasen, obligatoriamente, por la aplicaci贸n proxy que se debe ejecutar en el host dual con el objetivo de filtrar el tr谩fico.
Tal y como se puede ver en la figura 2, el dise帽o es el mismo que en la arquitectura de router de selecci贸n pero se cambia el router por un host dual. La decisi贸n de uso de esta arquitectura compar谩ndola con la anterior, debe estar basada en las caracter铆sticas que ofrecen los proxys con respecto a los routers de selecci贸n -mayor flexibilidad en filtros-. Por el contrario, las ventajas de los router -m谩s eficiencia- nos puede decantar hacia la primera opci贸n.
El uso de esta arquitectura puede ser indicado para redes con las siguientes caracter铆sticas:
Host basti贸n seleccionado
En esta configuraci贸n intervienen dos componentes: router de selecci贸n y un host basti贸n con una aplicaci贸n Proxy (v茅ase la figura 3). El encaminador se sit煤a en la conexi贸n entre la red local y la red externa filtrando el tr谩fico de tal forma que s贸lo permite la entrada y salida de paquetes dirigidos al host basti贸n. En dicho host, se sit煤a una aplicaci贸n proxy que realiza filtros a nivel de aplicaci贸n, por lo tanto m谩s flexibles, vers谩tiles y complejos.
El host basti贸n y el router deben protegerse especialmente ya que son los dos elementos accesibles desde el exterior y, por tanto, est谩n m谩s expuestos a los ataques. Si se compromete su seguridad, est谩 comprometida la seguridad de la red local.
Esta configuraci贸n, con respecto a las anteriores, presenta las ventajas de la combinaci贸n de la arquitectura de host dual y de router seleccionado. Se pueden realizar los filtros complejos que permite una aplicaci贸n proxy y, como 茅sta s贸lo debe analizar los paquetes que le selecciona previamente el router, no afecta en exceso al rendimiento de la red. Proporciona, as铆, m谩s seguridad y usabilidad que las arquitecturas anteriores.
Tanto el router como el host basti贸n son punto 煤nicos de fallo que la convierte en una arquitectura inapropiada para servicios con alto riesgo. Por el contrario, es indicada para proteger redes con pocas conexiones desde Internet y para aquellas redes cuyos equipos internos sean relativamente seguros.
Zonas desmilitarizadas
Tal y como muestra la figura 4, esta arquitectura est谩 basada en dos componentes: router de selecci贸n y host basti贸n dual. Las caracter铆sticas que presenta, en el filtrado, son las mismas que la arquitectura anterior, pero sin embargo, es m谩s segura.
El incremento en la fiabilidad de esta arquitectura es debido a la disposici贸n de los elementos de seguridad que no permite, con la simple modificaci贸n de la tabla de rutas del encaminador, evitar los filtros de la aplicaci贸n proxy del host basti贸n dual.
Con esta arquitectura, adem谩s, se crea un per铆metro de seguridad (red perimetral), en la que podemos insertar los servidores de la organizaci贸n accesibles desde el exterior, protegiendo as铆, a la red local de recibir tr谩fico externo.
Las siguientes configuraciones son variantes de 茅sta.
Subredes seleccionadas
En la figura 5, puede ver que esta arquitectura se compone de tres elementos: dos routers de selecci贸n y un host basti贸n. La disposici贸n y uso de los routers permite la creaci贸n de un per铆metro de red de seguridad donde el compromiso de seguridad en el host basti贸n no supone la p茅rdida de seguridad en la red interna ya que existe un segundo router que la protege.
Los routers se sit煤an en el per铆metro de la red, uno cara a la externa y, el otro, cara a la red interna. Adem谩s, los servicios que el router interior permite entre el host basti贸n y la red interna pueden no ser los mismos que los que permite entre Internet y la red interna. Por otra parte, una configuraci贸n correcta de esta arquitectura debe limitar los servicios entre la red interna y el host basti贸n.
Con esta configuraci贸n, los encaminadores ya no son un punto 煤nico de fallo desde el punto de vista de la seguridad.
M煤ltiple subredes seleccionadas
Los componentes de seguridad de esta configuraci贸n son los mismos que los de la anterior, diferenci谩ndose en la disposici贸n de los elementos en la red (v茅ase la figura 6). Con esta arquitectura, el router interno est谩 tras el host basti贸n, que debe ser dual y estar conectado a las dos redes de defensa perimetral que se crean para introducir m谩s seguridad. Para que un atacante externo acceda a la red local, debe realizar un ataque en profundidad y saltarse tres niveles de protecci贸n.
Esta arquitectura es 煤til para redes con gran volumen de tr谩fico, en las que se usa protocolos inseguros como NetBEUI y, en definitiva, para todas aquellas que necesiten alta seguridad y, particularmente, para las que proporcionen servicios de Internet.
Ver ficha
Comprar