UNIVERSIDAD LATINA (UNILA)
III.- FIREWALLS Y PROXIES CON OPENBSD Y
LINUX
LE, EI, Profesor Ramón Castro Liceaga
¿Qué es un Firewall (cortafuegos)?
FIREWALL
=
“Cortafuegos”
Internet
Dispositivo que controla las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
¿Qué es un Firewall?
También es frecuente conectar al firewall
una
tercera
red,
llamada
zona
desmilitarizada o DMZ, en la que se
ubican los servidores de la organización
que deben permanecer accesibles desde
la red exterior.
Las 7 capas de una red
según el modelo OSI
Tipos de filtrado de Firewall
 filtro de paquetes
• Capa 3; A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP: dirección IP origen,
dirección IP destino.
•
Capa 4; filtro puerto origen y destino,
•
Capa 2; dirección MAC
 de aplicación
Capa 7; por ejemplo, si se trata de tráfico HTTP se pueden realizar
filtrados según la URL a la que se está intentando acceder.
En este caso es denominado Proxy.
 personal
Se instala en un computador personal, filtra las comunicaciones
entre la PC el y el resto de la red
Funcionamiento
REGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicación
Que es un Proxy ?
•
es un programa o dispositivo intermedio que realiza una
acción en representación de otro, esto es, si una
hipotética máquina A solicita un recurso a una C, lo hará
mediante una petición a B; C entonces no sabrá que la
petición procedió originalmente de A. Esta situación
estratégica de punto intermedio suele ser aprovechada
para
soportar
una
serie
de
funcionalidades:
proporcionar caché, control de acceso, registro del
tráfico, prohibir cierto tipo de tráfico, etc.
Función del Servidor Proxy ?
•
consiste en interceptar las conexiones de red que un
cliente hace a un servidor de destino, por varios motivos
posibles como seguridad, rendimiento, anonimato, etc.
Esta función de servidor proxy puede ser realizada por
un programa o dispositivo
Proxy
Internet
Los clientes se conectan hacia
un proxy
Proxy
Internet
El proxy solicita las páginas en
Internet
Proxy
Internet
El Proxy entrega lo solicitado,
desde su cache
Limitaciones de proxies/cortafuegos
• No protege de ataques fuera de su área
• No protege de espías o usuarios inconscientes
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,
cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
Que es OPENBSD ?
• Sistema operativo libre tipo Unix multiplataforma, basado en
4.4BSD (Derivado de UNIX Berkeley Software Distribution).
• Es un descendiente de NetBSD (Versión para red derivado de
UNIX), con aplicaciones para la seguridad en las redes y la
criptografía.
• Este sistema operativo se concentra en la portabilidad,
cumplimiento de normas y regulaciones, correcciones,
seguridad proactiva y criptografía integrada.
• Se distribuye bajo la licencia BSD (Software Libre), aprobada
por la OSI.
Seguridad en OPENBSD
•
OpenBSD se usa mucho en el sector de seguridad informática como sistema
operativo para cortafuegos y sistemas de detección de intrusos.
•
El filtro de paquetes de OpenBSD, pf es un potente cortafuegos y fue el primer
sistema operativo libre que se distribuyó con un sistema de filtrado de
paquetes incorporado.
•
OpenBSD usa un algoritmo de cifrado de contraseñas muy veloz.
•
Implementa un analizador estático de dimensiones añadido al compilador, que
detecta fallos comunes de programación en tiempo de compilación.
Contiene un escaneador de puertos y puede usar Systrace para proteger los
puertos del sistema.
OpenBSD también implementa el sistema W^X (pronunciado W XOR X), que es
un esquema de gestión de memoria de gran detalle, que asegura que la
memoria es editable o ejecutable, pero jamás las dos, proveyendo así de otra
capa de protección contra los desbordamientos de búfer.
Implementa la separación de privilegios, revocación de privilegios y carga de
librerías totalmente aleatoria que contribuyen a aumentar la seguridad del
sistema.
OpenBSD es considerado por los expertos en seguridad como un sistema muy
seguro y estable.
•
•
•
•
Que es LINUX?
• Es un sistema operativo, compatible Unix.
• Dos características muy peculiares lo diferencian del resto
de los sistemas que podemos encontrar en el mercado, la
primera, es que es libre, esto significa que no tenemos que
pagar ningún tipo de licencia a ninguna casa
desarrolladora de software por el uso del mismo, la
segunda, es que el sistema viene acompañado del código
fuente.
• El sistema lo forman el núcleo del sistema (kernel) mas un
gran numero de programas / librerías que hacen posible su
utilización.
• LINUX se distribuye bajo la GNU Public License: Ingles ,
por lo tanto, el código fuente tiene que estar siempre
accesible.
Seguridad en LINUX?
•
Control de los Recursos: son las partes del sistema utilizadas por los
procesos.
•
Control de los Dominios de protección: son el conjunto de recursos y
operaciones sobre estos recursos que podrán utilizar todos aquellos procesos
que se ejecuten sobre él.
•
Reducción del numero de operaciones posibles sobre un recurso (archivo):
podemos controlar 3 operaciones sobre los archivos, que son la lectura (r),
escritura (w) y la ejecución (x).
•
Reducción del número de dominios que aparecen en la lista. Esto se consigue
mediante el concepto de grupos de usuarios.
•
Control a nivel de Propietario: indica quién creó el archivo
•
Control a nivel de Grupo del propietario: reúne a todos los usuarios que
pertenecen al grupo del propietario.
•
Control del Resto de usuarios: los que no crearon el archivo y no pertenecen
al grupo del propietario
Seguridad en LINUX?
• Protección de archivos en el nivel de 16 bits
• Control de contraseñas de Linux que utilizan el algoritmo de cifrado de
IBM Data Encryption Standard (DES).
• Utiliza Encriptación PGP (Pretty Good Privacy). , la criptografía de
clave publica, como la utilizada por PGP, utiliza una clave para
encriptar y una clave para desencriptar. Funciona como la caja fuerte
de un banco, necesita dos llaves para abrirla: una pública y una
privada. La pública se publica, la privada no, y la combinación públicaprivada es única. Cada usuario, entonces, tiene dos claves. La clave
privada solo la conoce el dueño de la clave. La clave pública es
conocida por otros usuarios en otras máquinas. De estas dos claves,
la publica y la privada, solo viaja la publica y esta disponible para que
cualquiera haga la encriptación. La clave privada no viaja y es
mantenida por el usuario para desencriptar los mensajes encriptados
con la clave publica correcta. Por tanto l a clave pública cifra y la
privada descifra.
BIBLIOGRAFIA
• Fuster Sabater, Amparo. Criptografía, Protección
de datos y Aplicaciones. Mexico: Alfaomega. 364
pp ( QA76.9 A25 F87)
Descargar

Diapositiva 1 - Docencia FCA-UNAM