Arquitectura de Seguridad

1
Arquitectura de Seguridad

• Manuel Casal Peteiro

2
Indice

• Introducción
• Fundamentos de seguridad perimetral
• Fundamentos de diseño

3
Introducción

• El objetivo de este trabajo es el diseño,
  utilización y mantenimiento de una arquitectura
  de red confiable
• Proteger una red no es una tarea fácil esta
  requiere del conocimiento de distintas
  tecnologías y como se relacionan unas con otras.
  Es por ello que comenza-
• remos la exposición breve de los diferentes
  compo-nentes que configuran una arquitectura de
  red luego veremos como integrar estos
  dispositivos uno con otro para proporcionar un
  todo unificado.

4
Fundamentos Seguridad Perimetral

• El perimetro
• Es la frontera fortificada de nuestra red e
  incluye
• Routers
• Firewalls
• IDS
• VPN
• Arquitectura Software
• DMZ y screened subnets

5
Border router

• Los routers son los policías de tráfico. Ellos
  dirigen el trafico hacia dentro hacia fuera o en
  el interior de nuestras propias redes. El border
  router es el último router que tu controlas antes
  de internet. Debido a que todo el tráfico interno
  va a través de este router este funciona como
  el principio de una red y la ultima linea de
  defensa a través del filtro inicial y final.

6
Firewall

• Es un dispositivo que tiene un conjunto de
  reglas especificas que determina cual tráfico se
  permite y cual se deniega. Un firewall recoge
  todo lo que el border router abandona y hace una
  pasada mas minuciosa para filtrar el tráfico.
  Existen diferentes tipos de firewall tales como
  static packet filter, stateful firewalls y Proxy
  firewalls

7
IDS

• Un IDS es como un sistema de alarmas de ladrones
  para tu red que es usado para detectar una alerta
  sobre eventos maliciosos. El sistema puede estar
  compuesto de muchos y diferentes sensores
  posicionados en puntos estratégicos en tu red.
  Existen dos tipos de sensores basados en red
  (NIDS ) y basados en hosts (HIDS). Frecuentemente
  residen en subredes que esta conectadas
  directamente al firewall, así como en puntos
  críticos de la red interna.

8
VPN

• Una VPN ( Red Privada Virtual ) es una sesión de
  red protegida formada a través de canales no
  protegidos, tale como Internet. Frecuentemente
  nos referimos a un VPN en términos del
  dispositivo sobre el perímetro que permite la
  sesión encriptada. Una VPN permite a un usuario
  participar en la red interna como si estuviera
  conectado directamente a esta. Muchas
  organizaciones, tienen un falso sentido de la
  seguridad en cuanto a su acceso remoto debido a
  que ellos tiene una VPN. Si un agresor compromete
  la máquina de un usuario legitimo una VPN puede
  dar a este agresor un canal encriptado dentro de
  la red.

9
DMZ y Screened Subnets

• Nosotros usamos los términos DMZ y screened
  subnet en referencia a una red pequeña
  conteniendo servicios públicos que son conectados
  directamente a y desde la protección ofrecida por
  el firewall u otro dispositivo de filtrado. Una
  DMZ y una screened subnet son diferentes aunque
  mucha gente utiliza estos términos
  intercambiablemente

10
DMZ y Screened Subnets

• El término DMZ se origino en la guerra de corea
  cuando una franja de tierra en el paralelo 38
  esta fuera de los limites militarmente hablando.
  Una DMZ es un area insegura entre areas seguras.
  Justo como la DMZ en Corea estaba enfrente de
  cualesquiera defensas, la DMZ cuando es aplicada
  a redes esta fuera del firewall

11
DMZ y Screened Subnets

• Un firewall o un dispositivo comparable
  protegido del tráfico protege a una screened
  subnet que es conectada directamente a este.
  Recuerde Una DMZ esta enfrente de un firewall,
  mientras una screened subnet esta detrás de un
  firewall. Note la diferencia en la siguiente
  figura
• Una screened subnet es un red aislada que esta
  conectada a un interface dedicado de un firewall
  u otro dispositivo de filtrado. La screened
  subnet es frecuentemente usada para segregar
  servidores que necesitan ser accesibles desde
  internet de sistemas que son usados unícamente
  por usuarios de la organización.

12
DMZ y Screened subnets
13
DMZ y Screened Subnets

• En la Screened subnet tipícamente residen
  servicios públicos incluyendo DNS, mail y la web.
  A nosotros nos gustaría pensar estos servidores
  como bastion Hosts Una bastion es una posición
  bien fortificada.
• Cuando es aplicada a hosts dentro de la red,
  fortificación envuelve fortalecer el sistema
  operativo y las aplicaciones de acuerdo a buenas
  practicas.

14
Defensa en profundidad

• La seguridad de la red es como una cebolla.
  Cuando tu desconchas la capa superior algo
  permanece bajo esta. La defensa en profundidad
  ayuda a proteger recursos de la red aun si una de
  las capas esta protegida.
• Nosotros operamos en un mundo real de
  desconfiguraciones, software bugs, empleados
  disgustados y sobrecarga de administradores de
  sistemas. Además cualquier diseño de seguridad
  practico necesita acomodarse a las necesidades
  del negocio.

15
Defensa en profundidad

• Esto quizá requiera de nosotros abrir ciertos
  puertos firewall, dejar servicios adicionales
  ejecutandose en el servidor o prevenirnos de
  aplicar el último parche de seguridad
• Que exactamente una defensa en profundidad
  supone? La repuesta es
• El perimetro
• La red Interna
• El factor humano

16
Proxy firewall

• Un servidor proxy se ejecuta sobre un dual-homed
  bastion host y soporta uno a mas protocolos de
  internet ( ver figura en pagina siguiente ).
  Bastion hosts son sistemas fortalecidos que son
  configurados para funciones de accesabilidad en
  Internet. Una compuerta dual-homed consiste de un
  sistema de hosts con dos interfaces de red una
  para la red interna protegida y otra para la red
  externa.
• Estos hosts no permiten el tráfico directo entre
  redes y pueden ser usados para realizar logging y
  funciones de auditoría sobre el tráfico.

17
Proxy Firewall
18
Proxy Firewalls

• Este tipo de servicios/servidores proveen
  funcionalidad para usuarios internos y externos
  mientras están fuera del perímetro de la red
  Interna. La figura de la página siguiente provee
  una ilustración de servidores múltiples fuera de
  una red protegida.
• Idealmente un bastion host sería usado para
  direccionar un servicio proxy, el principio de
  separación de la seguridad. Ninguna cuenta de
  usuario compilador o programas deben estar en los
  bastion host. Ademas cualquier servicio no usado
  debe ser deshabilitado.

19
Proxy firewalls
20
Fundamentos de diseño

• El diseño consiste en a partir de una red desde
  cero valorando la resistencia de una
  infraestructura existente, determinando donde
  pones un dispositivo de seguridad o decidir si
  emplear uno despues de todo. Esta parte se
  concentra en los pros y contras del diseño del
  perimetro de seguridad.
• Para cumplir tal objetivo tu necesitas
  determinar
• Que recursos deben ser protegidos
• Contra quien tu te estas protegiendo
• Cuales son las necesidades de tu negocio
• Cuales son tus necesidades politicas

21
Fundamentos de diseño

• Decidirnos por una arquitectura de defensa en
  particular es una tarea complicada y gratificante
  que requiere tomar decisiones difíciles donde la
  funcionalidad y la seguridad tienden a estar
  reñidas una con la otra.
• Tomar decisiones de diseño de seguridad envuelve
  resolver conflictos que incorporan aspectos de la
  red y de la infraestructura de aplicaciones tales
  como utilidad, confiabilidad, manejabilidad y
  coste.

22
Firewall y Router

• El firewall y el router son dos de los
  componentes de seguridad perimetral mas comunes.
  A continuación nos concentraremos sobre la
  relación entre el router y el firewall y veremos
  varias configuraciones.
• En la página siguiente ilustra una de las formas
  mas comunes de emplear un router y un firewall
  juntos. La subnet corporativa hosts Sistemas
  Privados usados por los usuarios internos y la
  Screened Subnet Servidores publicos que
  necesitan ser accesibles desde internet

23
Firewall y router
24
Firewall y VPN

• Firewalls son generalmente responsables de
  controlar el acceso a los recursos y dispositivos
  VPN son responsables de asegurar enlaces de
  comunicación entre hosts o redes.
• Examinar como VPNs interactuan con firewall es
  importante por varias razones
• Traducción de direcciones de red NAT podría ser
  incompatible con algunas implementaciones VPN
  dependiendo de la arquitectura de red.

25
Firewall y VPN

• VPNs podrían crear tuneles a través de tu
  perimetro lo que haría dificil para el firewall
  asegurar restricciones de acceso sobre trafico
  encriptado
• Puntos finales VPN tienen acceso a datos con
  texto claro debido a que dispositivos VPN son los
  unicos que decriptan o autentican este
• VPNs protegiendo la confidencialidad de datos
  encriptados pueden ser usados para pasar por IDS
  sin ser detectados.

26
Firewalls Multiples

• Algunos diseños reclaman el uso de múltiples
  firewalls para proteger la red. Esto tiene
  sentido cuando tu quieres proveer diferentes
  niveles de protección para recursos con
  diferentes necesidades de seguridad. Tales
  escenarios podrían ser firewalls en línea, uno de
  tras de otro para segmentar recursos con
  diferentes requerimientos de seguridad o en
  paralelo una al lado del otro y equidistantes de
  Internet.
• Los costos de configurar y mantener la red
  aumentan dramáticamente cuando se añaden mas
  firewalls

27
Firewalls en linea

• Este tipo de arquitectura no es poco común en
  una configuración. Considere la arquitectura
  típica en la cual un simple firewall esta situado
  detrás del border router. Si tu utilizas la
  funcionalidad de las listas de acceso del router
  para controlar el acceso a los recursos en lugar
  del filtrado de paquetes básico, el router esta
  actuando de forma parecida a un firewall.
• Si la localización de un dispositivo parecido a
  un firewall parece un desperdicio. Otra
  configuración en línea presentada en la figura de
  la pagina siguiente tiene mas sentido.

28
Firewalls en linea
29
Firewalls en paralelo

• Muchas veces se podría estar obligado a
  configurar firewalls en paralelo uno con el otro.
  En esta configuración, los firewalls protegen
  recursos con diferentes necesidades de seguridad.
  Cuando los firewalls son configurados en linea
  los paquetes que son destinados a los hosts
  dentro de la organización podrían ser retrasados
  debido a que necesitan ir a través de varios
  dispositivos de control de acceso. Con firewalls
  paralelos, esto no es un asunto significante
  debido a que los firewalls estan equidistantes de
  Internet.

30
Firewalls en paralelo

• En una configuración paralela nosotros podemos
  emplear firewalls que son tuneados cada uno
  especifícamente para recursos que ellos estan
  protegiendo. Uno de tales escenarios se muestra
  en la página siguiente. Aquí mostramos una
  compuerta de aplicación y un stateful firewall
  cada uno protegiendo un conjunto diferente de
  sistemas.

31
Firewalls en paralelo
32
Firewalls en paralelo

• En este ejemplo nosotros asumimos que nuestro
  negocio requiere el uso de robustas capacidades a
  nivel proxy de una compuerta de aplicación para
  proteger sistemas accesibles a Internet tales
  como servidores web, SMTP y DNS. Al mismo tiempo
  nosotros necesitamos la flexibilidad de un
  stateful firewall para la red corporativa,
  constituida por estaciones de trabajo y
  servidores.