• No se han encontrado resultados

Solución basada en el cortafuegos juniper SSG 20 para garantizar la seguridad perimetral en la división territorial de ETECSA, Villa Clara

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "Solución basada en el cortafuegos juniper SSG 20 para garantizar la seguridad perimetral en la división territorial de ETECSA, Villa Clara"

Copied!
100
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 100 página )

Texto completo

(1)Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA “Solución basada en el cortafuegos Juniper SSG-20 para garantizar la seguridad perimetral en la División Territorial de ETECSA, Villa Clara” Autor: Dariel Cano González. Tutor: MSc. Yunier Valdés Pérez. Santa Clara 2016 "Año 58 de la Revolución".

(2) Universidad Central “Marta Abreu” de Las Villas Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA “Solución basada en el cortafuegos Juniper SSG-20 para garantizar la seguridad perimetral en la División Territorial de ETECSA, Villa Clara” Autor: Dariel Cano González [email protected]. Tutor: MSc. Yunier Valdés Pérez Administrador de la red de datos de la División Territorial de ETECSA en Villa Clara. [email protected]. Santa Clara 2016 "Año 58 de la Revolución".

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Autor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) i. PENSAMIENTO. Hay una fuerza motriz más poderosa que el vapor, la electricidad y la energía atómica: la voluntad. Albert Einstein.

(5) ii. DEDICATORIA. A mi familia, en especial a mi mamá, sin ella nada fuese posible..

(6) iii. AGRADECIMIENTOS. A mi mamá, por su apoyo durante toda mi carrera universitaria y toda la vida. A mis hermanos, que estuvieron presentes cuando los necesité. A mis amigos, a todos con los que pude contar para cualquier situación. A mi tutor, porque sin su ayuda incondicional no hubiera sido posible la realización de este trabajo. A mis profesores, por las enseñanzas. A todos gracias..

(7) iv. RESUMEN. Este trabajo presenta el cortafuegos Juniper SSG-20 como alternativa factible para el fortalecimiento de la seguridad de la red territorial de ETECSA, Villa Clara, a partir de la adquisición del dispositivo por parte de la empresa. El proyecto describe las principales características de los cortafuegos, partiendo de su definición, las tecnologías más utilizadas y las fases para su implementación. Desarrolla las funcionalidades del dispositivo Juniper SSG-20, definiendo las características de las interfaces, las configuraciones de zonas de seguridad, el enrutamiento, el establecimiento de mecanismos de protección ante ataques informáticos y definiciones de directivas de seguridad. Se describen las configuraciones realizadas para la puesta en funcionamiento y se presentan los resultados de las pruebas realizadas a la solución desplegada..

(8) v. TABLA DE CONTENIDOS. PENSAMIENTO .....................................................................................................................i DEDICATORIA .................................................................................................................... ii AGRADECIMIENTOS ........................................................................................................ iii RESUMEN ............................................................................................................................iv INTRODUCCIÓN .................................................................................................................. 1 CAPÍTULO 1. 1.1. Características generales de los cortafuegos ............................................. 5. Tecnologías de los cortafuegos. ............................................................................... 5. 1.1.1. Cortafuegos de filtrado de paquetes.................................................................. 6. 1.1.2. Cortafuegos de inspección completa de estado. ............................................... 8. 1.1.3. Cortafuegos de Aplicación................................................................................ 9. 1.1.4. Cortafuegos de Aplicación Proxy. .................................................................... 9. 1.2. Redes Privadas Virtuales VPN............................................................................... 10. 1.3. Cortafuegos Personales. ......................................................................................... 10. 1.4. Cortafuegos y Arquitecturas de Redes. .................................................................. 11. 1.4.1. Cortafuegos y NAT. .......................................................................................... 11. 1.4.2. Arquitectura con Múltiples Capas de Cortafuegos. .......................................... 12. 1.5. Reglas para el filtrado. ........................................................................................... 13. 1.5.1 Tráfico que debe ser denegado. .......................................................................... 13.

(9) vi 1.6 IPv6. ........................................................................................................................... 14 1.7 Uso de VPN. ............................................................................................................. 14 1.8. Fases para la implementación de Cortafuegos. ........................................................ 15. 1.9 Conclusiones del capítulo. ........................................................................................ 16 CAPÍTULO 2.. Funcionalidades del cortafuegos Juniper SSG-20 ................................... 17. 2.1 Introducción al cortafuegos Juniper SSG-20. ........................................................... 17 2.2 Interfaces. .................................................................................................................. 17 2.2.1 Interfaces de grupos en puente (Bgroups). ........................................................ 19 2.2.2 Subinterfaces. ..................................................................................................... 19 2.2.3 Interfaces agregadas. .......................................................................................... 19 2.2.4 Interfaces redundantes. ...................................................................................... 20 2.2.5 Interfaces de administración. ............................................................................. 20 2.2.6 Asociación de una interfaz a una zona de seguridad. ........................................ 20 2.2.7 Desasociación de una interfaz de una zona de seguridad. ................................. 21 2.2.8 Direccionamiento de una interfaz de la zona de seguridad L3. ......................... 21 2.2.9 Creación de una subinterfaz en el sistema raíz. ................................................. 21 2.2.10 Eliminación de una subinterfaz........................................................................ 21 2.2.11 Modos de las interfaces.................................................................................... 22 2.3 Zonas de seguridad. .................................................................................................. 24 2.3.1 Interfaces de zonas de seguridad. ...................................................................... 25 2.4 Directivas de seguridad. ............................................................................................ 26 2.4.1 Objetos de la directiva. ...................................................................................... 26 2.4.2 Elementos básicos. ............................................................................................. 29 2.4.3 Tipos de directiva............................................................................................... 29.

(10) vii 2.4.4 Listas de conjuntos de directivas. ...................................................................... 31 2.4.5 Directivas y reglas. ............................................................................................ 32 2.4.6 Registro. ............................................................................................................. 33 2.4.7 Recuento. ........................................................................................................... 33 2.4.8 Umbral de alarma de tráfico. ............................................................................. 33 2.4.9 Tareas programadas. .......................................................................................... 33 2.5 Asignación de Tráfico. .............................................................................................. 34 2.5.1 Administración del ancho de banda a nivel de directivas. ................................. 34 2.5.2 Establecimiento de las prioridades del servicio. ................................................ 35 2.5.3 Directivas de entrada. ........................................................................................ 36 2.5.4 Asignación de tráfico a nivel de interfaz. .......................................................... 37 2.5.5 Asignación de tráfico a nivel de directiva. ........................................................ 38 2.6 Detección de ataques. ............................................................................................... 39 2.6.1 Etapas de un ataque............................................................................................. 40 2.6.2 Bloqueo de reconocimiento. Barrido IP. ........................................................... 43 2.6.3 Bloqueo de reconocimiento. Barrido de puertos. .............................................. 43 2.6.4 Reconocimiento de red mediante opciones IP. .................................................. 44 2.6.5 Sondeos del sistema operativo. .......................................................................... 44 2.6.6 Análisis FIN. ...................................................................................................... 45 2.6.7 Indicadores no SYN. .......................................................................................... 46 2.6.8 Simulación de IP. ............................................................................................... 47 2.6.9 Opciones IP de ruta de origen. ........................................................................... 48 2.7 Autenticación de usuarios. ........................................................................................ 49 2.7.1 Usuarios con permisos de administrador. .......................................................... 49.

(11) viii 2.7.2 Autenticación local. ........................................................................................... 50 2.8 Conclusiones del capítulo. ........................................................................................ 50 CAPÍTULO 3.. Implementación del cortafuegos Juniper SSG-20 en la red corporativa de. ETECSA, Villa Clara ............................................................................................................ 51 3.1 Ubicación topológica del dispositivo de seguridad Juniper SSG-20. ....................... 51 3.2 Definición de Zonas de seguridad. ........................................................................... 53 3.3 Definición de Interfaces y Subinterfaces. ................................................................. 55 3.4 Enrutamiento. ............................................................................................................ 57 3.5 Directivas de Seguridad. ........................................................................................... 59 3.5.1 Directivas de Seguridad Iniciales. ..................................................................... 59 3.5.2 Definición de servicios y grupos de servicios. .................................................. 59 3.5.3 Configuración de directivas de seguridad. ......................................................... 63 3.6 Mecanismos de protección........................................................................................ 68 3.6.1 Bloqueo de reconocimiento. ............................................................................... 69 3.6.2 Reconocimiento de red mediante opciones IP. .................................................. 69 3.6.3 Sondeos de sistemas operativos. ........................................................................ 70 3.6.4 Simulación de IP (“IP Spoofing”). .................................................................... 70 3.6.5 Opciones IP de ruta de origen. ........................................................................... 71 3.7 Pruebas a la solución diseñada.................................................................................. 71 3.8 Configuraciones generales. ....................................................................................... 74 3.8.1 Configuración de la hora del sistema. ................................................................ 74 3.8.2 Configuración de SNMP. ................................................................................... 75 3.8.3 Configuración del DNS. .................................................................................... 75 3.8.4 Configuración del envío de “logs”. ................................................................... 76 3.9 Conclusiones del capítulo. ........................................................................................ 76.

(12) ix CONCLUSIONES Y RECOMENDACIONES ................................................................... 77 Conclusiones: .................................................................................................................... 77 Recomendaciones: ............................................................................................................ 77 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 78 ANEXOS .............................................................................................................................. 80 Anexo I. Imagen frontal (a) y trasera (b) del cortafuegos Juniper SSG-20. ..................... 80 Anexo II. Pasos para la transferencia de archivos mediante USB .................................... 80 Anexo III. Asociación de una interfaz a una zona de seguridad ....................................... 81 Anexo IV. Desasociación de una interfaz de una zona de seguridad ............................... 81 Anexo V. Creación de una subinterfaz en el sistema raíz ................................................ 81 Anexo VI. Eliminación de una subinterfaz ....................................................................... 82 Anexo VII. Configuración de Interfaces del sistema de respaldo .................................... 82 Anexo VIII. Ejemplo de directiva..................................................................................... 83 Anexo IX. Parámetros de control para la asignación de tráfico ....................................... 84 Anexo X. Ejemplos de asignación de tráfico .................................................................... 85 Anexo XI. Configuración del dispositivo para la supervisión de ataques. ....................... 85 Anexo XII. Tabla de reconocimiento de red mediante opciones IP. ................................ 86 Anexo XIII. Configuración del reconocimiento de red mediante opciones IP ................. 88.

(13) INTRODUCCIÓN. 1. INTRODUCCIÓN. El mundo actual está expuesto a constantes cambios en lo que respecta al desarrollo tecnológico; la sociedad va evolucionando de forma paralela a esto y, por tanto, exige un manejo de la información cada vez mayor dentro de las redes de computadoras. La presencia de intrusos informáticos nombrados hackers conlleva a un cuidado extremo de la seguridad al poder existir vulnerabilidad en el acceso a la información, por lo que se necesita la privacidad de la misma a fin de protegerla. Cuando la información es privada siempre existe la preocupación de que alguien pueda robársela, utilizándola con fines lucrativos para sí mismo o perjudicar a sus semejantes, es por eso que se debe buscar la seguridad en el traslado de la información. Esta seguridad no es más que tomar medidas preventivas, para evitar la intromisión de terceros no autorizados a los datos (Coello Galindo, 2013). Este trabajo se enfoca en la seguridad en redes de computadoras, específicamente mediante la utilización de un dispositivo de seguridad conocido como cortafuegos, diseñado para controlar el tráfico que atraviese una Red de Área Local (LAN, del inglés “Local Area Network”). La red corporativa de la Empresa de Telecomunicaciones de Cuba, ETECSA, cuenta con un elevado número de servidores. Elementos como controladores de dominio, que garantizan la autenticación de los usuarios, servidores dedicados a la supervisión del tráfico telefónico de la central digital, recursos compartidos para la transferencia de información de la factura telefónica, son de vital importancia para garantizar los servicios ofrecidos por dicha institución..

(14) INTRODUCCIÓN. 2. De ahí se desprende la necesidad de aplicar mecanismos de seguridad para proteger los elementos de la red ante actividades maliciosas, generadas tanto de fuentes externas como internas, que puedan afectar el funcionamiento de los servicios. En la Dirección Territorial de ETECSA en Villa Clara se cuenta actualmente con un sistema de seguridad basado en listas de control de acceso (ACL, del inglés “Access Control List”), configuradas en el router cabecera de la provincia, lo que permite aplicar ciertas políticas de seguridad. Se han realizado estudios sobre aplicaciones de software desplegadas en hardware de propósito general para hacer función de cortafuegos perimetral. En el diagrama topológico de la infraestructura mencionada, no está incluido actualmente, un cortafuegos profesional dedicado al análisis y filtrado de los paquetes en el perímetro de la red. Esto constituye un riesgo significativo que ha sido detectado por los especialistas que administran los sistemas. Como respuesta a demandas presentadas por los administradores de la red, la empresa adquirió el dispositivo Juniper SSG-20, y a partir de este punto, se necesita estudiar dicho cortafuegos para su adecuada implementación en el escenario de la red corporativa de ETECSA en Villa Clara. Tomando en consideración lo expuesto anteriormente, surge como problema científico: ¿Cómo contribuir a la seguridad de la red corporativa de ETECSA en Villa Clara mediante una solución basada en el cortafuegos Juniper SSG-20? El objetivo general propuesto es: Diseñar una solución basada en el cortafuegos Juniper SSG-20 para contribuir a la seguridad perimetral de la red corporativa de ETECSA, Villa Clara. A partir del objetivo general se plantean los siguientes objetivos específicos: •. Caracterizar los cortafuegos a partir de su definición, describiendo sus principales funciones dentro de una red.. •. Definir las principales funcionalidades del Juniper SSG-20 a partir de la documentación del fabricante.. •. Crear directivas de seguridad, mediante el Juniper SSG-20 para proteger la red corporativa de ETECSA, Villa Clara..

(15) INTRODUCCIÓN. •. 3. Comprobar el funcionamiento del cortafuegos Juniper SSG-20 en la red corporativa mediante la realización de ataques simulados.. Para lograr los objetivos propuestos se realizan las siguientes tareas de investigación: •. Revisión bibliográfica del tema.. •. Estudio de las características generales de los cortafuegos.. •. Estudio de las funcionalidades del cortafuegos Juniper SSG-20.. •. Análisis de la topología de la red corporativa de ETECSA.. •. Diseño de directivas de seguridad para la protección de la red.. •. Puesta en funcionamiento del cortafuegos Juniper SSG-20 en un entorno de pruebas.. •. Realización de ataques simulados a la red para comprobar la solución diseñada.. •. Puesta en funcionamiento del cortafuegos Juniper SSG-20 en la red corporativa de ETECSA, Villa Clara.. • Confección del informe. Durante el desarrollo de la investigación se dan respuesta a las siguientes interrogantes científicas: ¿Cuáles son las principales características de los cortafuegos? ¿Qué potencialidades tiene el cortafuegos Juniper SSG-20 que puedan ser aprovechadas para su puesta en funcionamiento en una red corporativa? ¿Cómo proteger la red corporativa de ETECSA en Villa Clara usando el cortafuegos Juniper SSG-20? Este informe queda estructurado en tres capítulos; en el primero se efectúa una descripción de las características relacionadas con los cortafuegos de manera general, clasificándolos según su ubicación topológica y las funciones que realizan. En el segundo capítulo se aborda sobre las principales funciones del Juniper SSG-20 a tener en cuenta para su puesta en funcionamiento en una red corporativa..

(16) INTRODUCCIÓN. 4. En el tercer capítulo se describen las configuraciones realizadas en el cortafuegos Juniper SSG-20 en la red corporativa de ETECSA, Villa Clara, y se muestran los resultados obtenidos en la puesta en funcionamiento de dicho dispositivo. De la investigación se arrojan como resultados principales, un material de consulta para el dispositivo Juniper SSG-20, una aplicación del cortafuegos mencionado que permite fortalecer la seguridad de la red corporativa de ETECSA, Villa Clara y garantizar el ancho de banda para los servicios más importantes de la empresa a través de directivas de asignación de tráfico..

(17) CAPÍTULO 1. Características generales de los cortafuegos. 5. CAPÍTULO 1. Características generales de los cortafuegos. Los cortafuegos son dispositivos o programas que controlan el flujo de tráfico entre las redes o computadoras (PC, del inglés “Personal Computer”) y emplean diferentes mecanismos de seguridad. El estudio de las capacidades, el diseño de políticas y la adquisición de las tecnologías adecuadas para que los distintos tipos de cortafuegos sean efectivos en la protección de una determinada organización es fundamental. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente Intranet. Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada desmilitarizada (DMZ, del inglés “Demilitarized Zone”) en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior (Lemus Zúñiga, 2013b). Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección. 1.1 Tecnologías de los cortafuegos. Las políticas de los cortafuegos rara vez se encargan de la capa de enlace de red, por lo general su acción está enfocada en el análisis de las capas superiores. La capa de transporte identifica aplicaciones de red, sesiones específicas y además puede incluir la noción de los puertos: un número de puerto destino y uno de puerto fuente. La combinación de las.

(18) CAPÍTULO 1. Características generales de los cortafuegos. 6. direcciones Protocolo de Internet (IP, del inglés “Internet Protocol”), fuente y destino, unido a los puertos respectivos, definen a una sesión. La capa de aplicación es inspeccionada por los cortafuegos y es la base para crear sus políticas (Lemus Zúñiga, 2013a). Existen cortafuegos básicos que analizan una o pocas capas del modelo Protocolo de Control de Transporte (TCP, del inglés “Transport Control Protocol”), a diferencia de los otros más avanzados, que son capaces de analizar mayor número de estas. Sin duda, estos soportan servicios orientados a usuarios, por ejemplo, refuerzan la autenticación y el registro de eventos para usuarios específicos. Cuando un cortafuegos es colocado en el perímetro de una red se dice que tiene una interfaz externa y otra interna; son conocidas también como interfaz no protegida y protegida respectivamente. No obstante, decir que hay una protegida y otra no, es inadecuado porque las políticas pueden funcionar en ambas direcciones; por ejemplo, puede haber una política que impida que códigos ejecutables sean enviados hacia redes en el exterior (Jiménez Ávila, 2015). 1.1.1 Cortafuegos de filtrado de paquetes. El cortafuegos más básico es el que realiza el filtrado de paquetes. Los dispositivos más antiguos que solo realizaban esta función, eran esencialmente routers que controlaban el acceso a direcciones de usuarios y a sesiones. Estos dispositivos también conocidos como “cortafuegos sin inspección de estado”, es decir, no hacen una salva del estado de cada flujo de tráfico que pasa a través del cortafuegos. El ejemplo más común de un dispositivo de filtrado de paquetes puro, es un router que emplea listas de control de acceso (Almheiri et al., 2013). En su forma más básica, los cortafuegos con filtrado de paquetes operan en la capa de red, permitiendo el control de acceso basado en la información contenida en el paquete: . Dirección IP fuente del paquete.. . Dirección IP destino del paquete.. . El protocolo de red o de transporte que está siendo usado para la comunicación entre los dos usuarios..

(19) CAPÍTULO 1. Características generales de los cortafuegos. . 7. Es posible encontrar algunas características de las sesiones de comunicación de la capa de transporte, tales como los puertos fuente y destino.. . La interface que emplea el paquete, y su dirección, tanto la interna como la externa (Wool, 2006).. Filtrar el tráfico que viene hacia el interior es conocido como filtrado de ingreso, “ingress filtering”, y el filtrado hacia el exterior se denomina filtrado de egreso, “egress filtering”. Las organizaciones pueden implementar restricciones en su tráfico interno y a la vez protegerlo, como por ejemplo bloquear el uso de servidores de Protocolo de Transferencia de Archivos (FTP, del inglés “File Transfer Protocol”) externos, o prevenir ataques de denegación de servicio (DoS, del inglés “Deny of Service”) que han sido lanzados desde entidades externas.. Solo se debe permitir el tráfico hacia el exterior a usuarios con. direcciones IP en uso por la organización, bloqueando el tráfico con direcciones IP falsas, o que no estén autorizadas, que pueden ser causadas por la ocurrencia de eventos no deseados como ataques a la red, o por pérdidas de la configuración de forma accidental (Baker, 2012). Los cortafuegos sin inspección de estado son vulnerables a ataques por problemas dentro del protocolo TCP/IP. Por ejemplo, no son capaces de detectar cuándo la información de direccionamiento de un paquete de la capa de red es falsa, ha sido alterada, o está usando opciones que están permitidas en los estándares pero que generalmente se emplean con propósitos dañinos para la red. Los ataques a la red con direcciones falsas en las cabeceras de los paquetes, tienen el objetivo de burlar los controles de seguridad implementados en la plataforma de los cortafuegos, sin embargo, los que operan en las capas altas del modelo TCP/IP pueden frustrar estos tipos de ataque, verificando que las sesiones han sido establecidas, o realizando la autenticación de usuarios antes de permitir el paso del tráfico. La fragmentación es permitida por las especificaciones TCP/IP y en ocasiones es muy necesaria, pero al mismo tiempo, ha sido empleada para lanzar ataques a la red difíciles de detectar, por esta razón es que algunos cortafuegos bloquean el paso a estos paquetes. Las tecnologías de las Redes Privadas Virtuales (VPN, del inglés “Virtual Private Network”), encapsulan paquetes unos dentro de otros, y si el encapsulado excede el tamaño máximo permitido en el medio, entonces es necesario fragmentarlo. Esta es una las causas más comunes de los problemas de interoperabilidad de las VPN (Holden, 2004)..

(20) CAPÍTULO 1. Características generales de los cortafuegos. 8. Existen cortafuegos capaces de reensamblar fragmentos antes de que pasen por el interior de la red requiriendo de un gasto adicional de memoria para implementar esta funcionalidad. 1.1.2 Cortafuegos de inspección completa de estado. En los cortafuegos de inspección completa de estado, se mejoran las funciones del filtrado de paquetes ya que guardan el estado anterior de las conexiones y bloquean los paquetes que se desvíen de los estados esperados. El procedimiento consiste en examinar los valores en las cabeceras TCP para monitorear cada estado de la conexión. Cada nuevo paquete es comparado con los valores registrados en la tabla de estado del cortafuegos para determinar si es el esperado. Por ejemplo, un atacante pudiera generar un paquete con una cabecera indicando que es parte de una conexión establecida, y vulnerar el filtrado de paquetes, pero si el cortafuegos emplea cortafuegos de inspección completa de estado, primero se verificará que el paquete es parte de una conexión establecida que aparece en la tabla de estado, y el ataque será frustrado. Es común que chequeen atributos como por ejemplo, los números de secuencia TCP y desechen los paquetes que están fuera de secuencia. En el caso del Protocolo de Datagrama de Usuario (UDP, del inglés “User Datagram Protocol”), que no es un protocolo de transporte orientado a conexión y que, por tanto, las sesiones no van a estar en los estados de Iniciar, Establecer y Terminar de las conexiones, los cortafuegos solo guardarán los valores de las direcciones IP y los puertos destino y fuente. Una respuesta de una fuente externa Sistema de Nombres de Dominio (DNS, del inglés “Domain Name System”), se le permitiría pasar, solo si el cortafuegos hubiese detectado una demanda DNS de una fuente interna (Jiménez Ávila, 2015). Debido a que el cortafuegos es incapaz de determinar cuándo una sesión ha terminado, la entrada es eliminada de la tabla de estado después que ha alcanzado el tiempo de espera establecido. Los cortafuegos de nivel de aplicación que son capaces de reconocer DNS sobre UDP, terminan una sesión después que es recibida la respuesta DNS esperada y puede actuar similarmente con el Protocolo de Tiempo de Red (NTP, del inglés “Network Time Protocol”) (Douglas Blansit, 2009)..

(21) CAPÍTULO 1. Características generales de los cortafuegos. 9. 1.1.3 Cortafuegos de Aplicación. Son una mejora de los cortafuegos de inspección completa de estado, ya que analizan el protocolo en la capa de aplicación y comparan los perfiles de protocolos que han sido desarrollados y resultan beneficiosos a la actividad en la red, con los eventos observados e identificados como dañinos. Esto le permite al cortafuegos bloquear o permitir acceso a la red basado en como la aplicación está siendo ejecutada. Los cortafuegos del nivel de aplicación permiten la identificación de secuencia de comandos no esperados, como por ejemplo, emitir el mismo comando repetidamente o emitir un comando que no estaba precedido por otro del cual era dependiente. Estos comandos sospechosos a menudo se originan de un ataque por desbordamiento de un buffer, por un DoS y por otras formas de ataque que se producen dentro de protocolos de aplicación como Protocolo de Transferencia de Hipertexto (HTTP, del inglés “Hypertext Transfer Protocol”). Otro rasgo característico es la validación de comandos individuales, tales como la longitud máxima y mínima de sus argumentos (Bolding, 1995). Por ejemplo, el argumento de un nombre de usuario con una longitud de mil caracteres es sospechosa, y lo es más si contiene datos en binario. 1.1.4 Cortafuegos de Aplicación Proxy. Una aplicación proxy es un tipo de cortafuegos que combina el control de acceso de las capas bajas del modelo de referencia TCP con la funcionalidad de las capas altas. El mismo actúa como intermediario entre dos usuarios que desean comunicarse y dicha conexión nunca va a ser directa, sino que se van a crear dos conexiones, una entre el cliente de la red en cuestión y el proxy, y la otra entre el proxy y el usuario destino. Debido a que los usuarios externos solo se comunican con el proxy, las direcciones IP internas no son visibles desde el exterior (Susskind, 2012). Además del conjunto de reglas definidas por el proxy, algunos tienen la opción de autenticar a los usuarios individuales en la red. Esta autenticación puede ser de varias formas, incluyendo la identificación del usuario y la contraseña, la identificación de hardware, de software y la dirección fuente. Como ocurre en los cortafuegos de aplicación, los proxy gateways operan en la capa de aplicación e inspeccionan el contenido real del tráfico..

(22) CAPÍTULO 1. Características generales de los cortafuegos. 10. Los cortafuegos proxy tienen varias desventajas si se comparan con el filtrado de paquete y con la inspección completa de estado. Primero, debido al conocimiento completo del paquete, el cortafuegos consume mucho más tiempo leyendo e interpretando cada paquete, por lo que no está debidamente preparado para aplicaciones de gran ancho de banda y en tiempo real. Con el objetivo de reducir la carga al cortafuegos son empleados los servidores proxy dedicados para asegurar los servicios más sensibles al tiempo. Otra desventaja es que los proxy son limitados en cuanto a soportar nuevas aplicaciones y protocolos, por lo que son necesarios proxy genéricos que mantengan protocolos y aplicaciones no definidas; estos son menos robustos ya que hacen túneles a través del cortafuegos, y permiten el paso del tráfico (Bertolín, 2008). 1.2. Redes Privadas Virtuales VPN.. Un requerimiento muy común para los cortafuegos que están en el borde de una red, es encriptar y desencriptar el flujo de tráfico dentro de la red y hacia redes externas, siendo muy necesario en VPN que usan protocolos adicionales para la encriptación, autenticación y chequeo de la integridad. Dos de los protocolos más usados son IPsec y Capa de Puertos Seguros (SSL, del inglés “Secure Socket Layer”) / Seguridad de la Capa de Transporte (TLS, del inglés “Transport Layer Security”). Las dos arquitecturas más conocidas de VPN son “Gateway to Gateway” y “host to Gateway”. En la arquitectura “host to Gateway”, se necesita de la autenticación de los usuarios, ya que se lleva a cabo acceso remoto por parte de usuarios y hay que decidir qué permisos van a tener en la conexión. Los protocolos más empleados son RADIUS, “Remote Authentication Dial In User Service” y el LDAP, “Lightweight Directory Access Protocol” (Stewart, 2013). 1.3. Cortafuegos Personales.. Un cortafuegos personal para servidores y computadoras personales provee una capa adicional de seguridad contra ataques en la red. Estos cortafuegos son software instalados en cada host y monitorean el tráfico de salida y de entrada, conociendo las necesidades específicas de los mismos. Este tipo de cortafuegos está disponible como parte de los sistemas operativos, tales como Linux, Windows, Solaris, BSD, y Mac OS X Server y su configuración, permite que solo el tráfico necesario vaya al servidor evitando ataques desde.

(23) CAPÍTULO 1. Características generales de los cortafuegos. 11. cualquier host, ya sean al servidor o a otros host de la misma o de otra subred que no esté separada por un cortafuegos (Zwicky et al., 2000). Algunos cortafuegos personales permiten la creación de diferentes perfiles basados en la localización, ya sea cuando están dentro de la organización o cuando están en una ubicación remota, siendo particularmente importante cuando la PC entra en una red externa no confiable, fortaleciendo la protección y restringiendo la actividad de red. 1.4. Cortafuegos y Arquitecturas de Redes.. La mayoría de las arquitecturas de redes son jerárquicas, esto significa que hay un único camino de entrada desde redes externas y el mismo se divide en múltiples caminos dentro de la red; generalmente se coloca un cortafuegos en el nodo donde se dividen los caminos, aunque es aconsejable colocar otros adicionales en el interior de la red para proteger unas computadoras de otras. Si la arquitectura de la red no fuese jerárquica, las mismas políticas serían utilizadas en todos los flujos de tráficos entrantes. En estas situaciones si no hay un cortafuegos debidamente configurado y ubicado en cada punto de entrada a una red, el tráfico dañino pudiera entrar de muchas maneras (Northcutt et al., 2002). 1.4.1. Cortafuegos y NAT.. Los cortafuegos pueden realizar la traducción de direcciones de red (NAT, del inglés “Network Address Translation”) pero esta posibilidad no es parte de su funcionamiento para proteger la seguridad en la red. Al emplearse un cortafuegos de inspección completa de estado, puede conseguirse fácilmente la misma funcionalidad en la red que si se emplease NAT, pero, al activarse el NAT de un cortafuegos es mucho más fácil configurar las políticas del mismo para lograr tener la misma protección en la red. NAT actúa como un router que tiene una red con direcciones privadas internas y una dirección pública exteriormente. La forma en que se realiza el mapeo involucra los siguientes aspectos: Los usuarios en el interior de la red que inician conexiones hacia el exterior hacen que el router mapee el puerto fuente de la conexión a un puerto fuente diferente que es controlado por NAT y que es empleado para establecer la conexiones desde el exterior hacia el interior..

(24) CAPÍTULO 1. Características generales de los cortafuegos. 12. Los usuarios en el exterior de la red no pueden iniciar una conexión con los del interior, aunque en algunos cortafuegos puede ser configurado el mapeo a un puerto destino en particular a un usuario fuente utilizando NAT. Por ejemplo, todas las encuestas HTTP que llegan al router NAT, pudieran ir dirigidas a un host único en la parte protegida del cortafuegos (Eisenberg et al., 2011). 1.4.2 Arquitectura con Múltiples Capas de Cortafuegos. El empleo de múltiples capas de cortafuegos es una técnica muy común, utilizada para tener una defensa más robusta de los recursos de la red. Una situación muy típica y que requiere de la existencia de múltiples capas de cortafuegos es la presencia de host internos con varios niveles de confianza (Valenzuela Gonzales, 2012).. Por ejemplo, una. organización desea proteger cierta base de datos, en un departamento específico, del personal ajeno a este. La solución podría ser colocar un cortafuegos en el borde de la red para evitar acceso desde el exterior y colocar otro en el borde de la red interna, donde está el límite de la red del departamento, bloqueando el acceso a la base de datos y permitiendo un acceso limitado a los recursos del departamento. Otro ejemplo muy común es cuando dentro de la red hay usuarios que tienen acceso a internet. Muchas organizaciones emplean puntos de accesos específicos en las redes inalámbricas para los usuarios que están de visita y de esta forma se impide que tengan los mismos privilegios que un empleado. La ubicación de un cortafuegos en el borde donde ya existe uno requiere buena planificación-coordinación de las políticas para evitar lapsos en la seguridad. Por ejemplo, cuando el administrador asume políticas que carecen de valor real debido a las debilidades del cortafuegos en el borde exterior de la red, el interior puede sufrir serios ataques. Se puede tomar como decisión, duplicar las políticas, en el cortafuegos exterior, incorporando las que son de interés para el interior (Roa and Julieth, 2013). Otra desventaja en el uso de múltiples capas de cortafuegos consiste en la identificación del que tiene problemas, ya que un administrador debe localizarlos a todos en una cadena, chequear sus identificadores y determinar dónde es que se originó (Valenzuela Gonzales, 2012)..

(25) CAPÍTULO 1. Características generales de los cortafuegos. 1.5. 13. Reglas para el filtrado.. Una política o regla de cortafuegos determina como deben manejar el tráfico de la red para las direcciones IP específicas y rangos de direcciones, protocolos, aplicaciones y tipos de contenido. Es necesario hacer un análisis para elaborar una lista de los tipos de tráfico que necesita la organización para prevenir que las políticas del cortafuegos bloqueen este tipo de conexiones. De igual manera debe hacerse un análisis de los principales riesgos y vulnerabilidades de los sistemas que pueden ser comprometidos y tenerlos en cuenta a la hora de aplicar las reglas (Smith and Sharpe, 2012). Por lo general los cortafuegos son configurados para denegar todo tipo de tráfico, tanto entrante como saliente que no haya sido identificado y expresamente permitido. Esta práctica es conocida como “Denegar por defecto”. 1.5.1 Tráfico que debe ser denegado. . El tráfico con direcciones de origen o destino no válidas, tales como 127.0.0.0.. . El tráfico con una dirección de origen no válida para el tráfico entrante o dirección. de destino inválida para el tráfico saliente, lo cual es frecuentemente causado por “malware”, suplantación de identidad “spoofing” o ataques de denegación de servicio. En IPv4 el tipo de direcciones externas no válidas más utilizado son los rangos de direcciones reservadas para las redes privadas (10.0.0.0/8; 172.16.0.0/12 y 192.168.0.0/16).. . El tráfico IP de origen que contiene información de encaminamiento. Esto podría permitir a un atacante construir un paquete que no pase por los controles de seguridad de red.. . El tráfico externo que contiene las direcciones de difusión que se dirige al interior de la red. Estos paquetes se pueden utilizar para crear enormes "Tormentas" de tráfico y lanzar ataques de denegación de servicio..

(26) CAPÍTULO 1. Características generales de los cortafuegos. 14. 1.6 IPv6. Protocolo de Internet versión 6 (IPv6, del inglés “Internet Protocol version 6”) está siendo cada vez más desplegado, y aunque el formato interno y la longitud de dirección difieren de IPv4, muchas otras características siguen siendo las mismas. Algunos cortafuegos no pueden manejar el tráfico IPv6 en absoluto, otros presentan capacidad limitada para el filtrado, y en menor medida algunos cortafuegos logran filtrar el tráfico IPv6 aproximadamente con la misma eficacia que el tráfico IPv4.. Para las organizaciones que usan IPv6, es recomendable tener un cortafuegos con las siguientes características: . La interfaz de administración debe permitir a los administradores clonar reglas IPv4 a direcciones IPv6.. . Debe ser capaz de filtrar el Protocolo de Mensaje de Control de Internet versión 6 (ICMPv6, de inglés “Internet Control Message Protocol versión 6”) tal como se específica en el RFC 4890, Recomendaciones para Filtrado de mensajes ICMPv6 en Cortafuegos.. . El servidor de seguridad debe ser capaz de bloquear tráfico IPv6 relacionados con protocolos tales como 6-a-4 y tunelización de 4-a-6, Teredo, (ISATAP). . Bloquear el tráfico IPv6 con origen o destino inválidos (WANG and Min, 2001).. Además de permitir y/o bloquear el tráfico UDP y TCP, muchos cortafuegos también son capaces de denunciar o bloquear el tráfico malformado que es frecuentemente usado en ciertos tipos de ataques. El servidor de seguridad puede ayudar a bloquear la actividad o por lo menos informar cuando dicha actividad esté sucediendo. 1.7 Uso de VPN. Debe tenerse en cuenta en las organizaciones que tienen usuarios que se conectan a la red desde el exterior usando VPN IPsec, que el servidor de Seguridad contenga las reglas adecuadas que garanticen la seguridad sin afectar el acceso de dichos usuarios. Para estos.

(27) CAPÍTULO 1. Características generales de los cortafuegos. 15. casos es recomendable el uso de cortafuegos que realicen Inspección de estado (Whitman et al., 2011). Una de las formas más comunes para garantizar la política de la identidad del usuario en un servidor de seguridad es mediante el uso de VPN. Los cortafuegos y proxies de aplicación puede permitir o denegar el acceso a los usuarios en función de la autenticación dentro de las propias aplicaciones (Stewart, 2013). 1.8 Fases para la implementación de Cortafuegos. 1-Planeamiento. La primera fase del proceso consiste en la identificación de todas las características y requisitos de la red que se va a proteger. Se debe hacer una evaluación de todos los riesgos y amenazas del sistema en general, así como del impacto o magnitud del daño ante una pérdida de confidencialidad, integridad o disponibilidad de la información. 2- Configuración. La segunda fase agrupa todos los aspectos de la configuración de la plataforma del servidor de seguridad. Esto incluye instalación de hardware y software, así como el establecimiento de normas para el sistema y la integración del cortafuegos en la arquitectura de la red. Una vez que el hardware y el software se han instalado y configurado, los administradores deben crear el conjunto de reglas que se aplicarán al tráfico entrante y saliente. Algunos fabricantes tienen restricciones o sugerencias sobre el orden de las reglas. En este paso se incluye la configuración de alertas y registros, lo cual es un elemento importante a la hora de enfrentar cualquier incidente. Siempre que sea posible, el servidor de seguridad debe configurarse tanto para almacenar los registros a nivel local como para enviarlos a un servidor centralizado de gestión de eventos (servidor syslog). 3-Pruebas. La siguiente fase consiste en la ejecución de un entorno de pruebas que permitan evaluar la solución diseñada y obtener detalles del rendimiento, funcionabilidad, escalabilidad y seguridad de la misma. 4-Implementación..

(28) CAPÍTULO 1. Características generales de los cortafuegos. 16. Una vez finalizadas las pruebas y todos los problemas detectados estén resueltos, la siguiente fase está enfocada en la implementación y despliegue del sistema, lo cual debe hacerse de acuerdo con las políticas de la organización. Antes de implementar el servidor de seguridad, los administradores deben informar a los usuarios o propietarios afectados y mantener una realimentación con los mismos para la detección de posibles problemas. 5-Administración y mantenimiento. Después de que el servidor de seguridad se ha implementado, debe incorporársele componentes de mantenimiento y soporte técnico para la solución de problemas operacionales. Esta fase es la de mayor duración, ya que la gestión del sistema incluye constante actualización debido a: . Cambios en la arquitectura de la red.. . Identificación de nuevas amenazas.. . Variaciones de las características de la red en sentido general (Duro, 2011).. 1.9 Conclusiones del capítulo. Los cortafuegos son dispositivos o programas que controlan el flujo de tráfico entre las redes o computadoras y emplean diferentes mecanismos de seguridad. Se utilizan con frecuencia para evitar que los usuarios de internet no autorizados tengan acceso a redes privadas. Los cortafuegos se clasifican según la función de inspección que realizan dentro del perímetro de la red. Los tipos más conocidos son: de filtrado de paquetes, de inspección completa de estado, de aplicación y de aplicación proxy. La topología de red jerárquica facilita la actuación del cortafuegos como un instrumento de seguridad por sus características de control de tráfico..

(29) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 17. CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 2.1 Introducción al cortafuegos Juniper SSG-20. El cortafuegos Juniper SSG-20 es configurable a partir de un sistema operativo denominado ScreenOS. El sistema ScreenOS ofrece todas las funciones necesarias para configurar y administrar cualquier dispositivo o sistema de seguridad. La arquitectura de ScreenOS ofrece flexibilidad en el diseño de la estructura de seguridad de la red. En los dispositivos de seguridad de Juniper Networks con más de dos interfaces, es posible crear numerosas zonas de seguridad y configurar directivas para regular el tráfico dentro de una misma zona y entre zonas distintas. ScreenOS permite crear el número de zonas que el entorno de su red necesita, asignar el número de interfaces que cada zona necesita y diseñar cada interfaz según sus necesidades específicas (Brunner, 2008). 2.2 Interfaces. Las interfaces y subinterfaces físicas permiten que entre y salga tráfico de una zona de seguridad. Para permitir que el tráfico de una red fluya dentro y fuera de una zona de seguridad, ésta debe tener asociada una interfaz, y si se trata de una zona de capa 3, debe asignársele una dirección IP. A continuación, se deben configurar directivas para permitir que el tráfico pase de interfaz en interfaz entre las diferentes zonas. Se pueden asignar varias interfaces a una zona, pero una misma interfaz no se puede asignar a varias zonas. El nombre de una interfaz física está compuesto del tipo de medio, número de ranuras y número de índice, por ejemplo, ethernet3/2, ethernet0/2, wireless2, wireless0/2, bgroup2, serial0/0, serial0/2, bri0/0, o adsl0/2. Puede asociarse una interfaz física a cualquier zona de.

(30) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 18. seguridad en la que actúe como entrada a través de la que el tráfico entre y salga de la zona. Sin una interfaz, no hay tráfico que pueda entrar ni salir de una zona. El dispositivo Juniper SSG-20 cuenta con cinco puertos Ethernet 10/100 ubicados en el panel frontal del mismo, los cuales proporcionan conexiones LAN. Uno de los puertos puede utilizarse o puede ser designado para tráfico administrativo. Los nombres de los puertos están etiquetados 0/0 a 0/4, y los nombres son ethernet 0/0 a ethernet 0/4. El dispositivo presenta además, en su panel frontal, un puerto serie RJ-45, cableado como equipo de terminación de circuitos de datos (DCE), que se utiliza para la administración local. Se proporciona también un adaptador RJ-45 a DB-9 para la conexión con la computadora del administrador. El puerto auxiliar, ubicado a la derecha del puerto anterior, es también un puerto serie RJ45, asignado típicamente como una interfaz serie de respaldo cableado como equipo de terminal de datos (DTE, del inglés “Data Terminal Equipment”), el mismo se puede conectar a un módem para permitir una administración remota. No se recomienda utilizar este puerto para una administración remota regular. La velocidad de transmisión es ajustable de 9600 bps a 115200 bps y requiere control de flujo de hardware. La parte superior del panel frontal cuenta con un espacio para módulos de mini Interfaz Física (PIM, del inglés “Physical Interface Module”). Se pueden instalar hasta dos mini PIM en un dispositivo. Los mini PIM disponibles para el dispositivo se mencionan a continuación:  ADSL2/2  ISDN BRI  T1  E1  V.92 El panel trasero del SSG-20 está equipado con un puerto Bus Universal en Serie (USB, del inglés “Universal Serial Bus”) que acepta un dispositivo de almacenamiento bus serie universal, el cual automáticamente actúa como un dispositivo de inicio secundario (requiere.

(31) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 19. configuración). Permite transferencia de archivos, tanto de configuraciones del dispositivo como certificaciones de usuario e imágenes de versión de actualización. Dicho puerto admite la especificación USB 1.1. El anexo II describe los pasos para la transferencia de archivos mediante un dispositivo USB. 2.2.1 Interfaces de grupos en puente (Bgroups). Los Bgroups le permiten agrupar varias Ethernet e interfaces inalámbricas. Cada bgroup constituye su propio dominio de difusión y proporciona una conmutación de Ethernet de alta velocidad entre las interfaces dentro del grupo. Se puede asignar una dirección IP individual a cada interfaz de bgroup. Una interfaz bgroup se puede asociar a cualquier zona. Puede asociarse una interfaz de grupo en puente a cualquier zona (Cameron et al., 2006). 2.2.2 Subinterfaces. Una subinterfaz, como una interfaz física, actúa como puerta por la que entra y sale el tráfico de una zona de seguridad. Una interfaz física se puede dividir lógicamente en varias subinterfaces virtuales. Cada subinterfaz virtual toma prestado el ancho de banda que necesita de la interfaz física de la que procede, por lo que su nombre es una extensión del nombre de la interfaz física, por ejemplo, ethernet3/2.1 o ethernet0/2.1. Una subinterfaz se puede asociar a cualquier zona de capa 3. Una subinterfaz se puede asociar a la misma zona que su interfaz física, o bien a otra zona (Cameron et al., 2006). 2.2.3 Interfaces agregadas. Una interfaz agregada es la acumulación de dos o más interfaces físicas, entre las que se reparten equitativamente la carga de tráfico dirigida a la dirección IP de la interfaz agregada. Utilizando interfaces agregadas se puede aumentar el ancho de banda disponible para una dirección IP determinada. Asimismo, si falla algún miembro de una interfaz agregada, los otros miembros pueden seguir procesando tráfico, aunque con menos ancho de banda que el disponible anteriormente (Cameron et al., 2006)..

(32) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 20. 2.2.4 Interfaces redundantes. Dos interfaces físicas se pueden asociar para crear una interfaz redundante, que entonces se puede asociar a una zona de seguridad. Una de las dos interfaces físicas actúa como interfaz principal y gestiona todo el tráfico dirigido a la interfaz redundante. La otra interfaz física actúa como interfaz secundaria y permanece en estado de espera por si la interfaz activa experimenta algún fallo. En ese caso, el tráfico dirigido a la interfaz redundante se desvía a la interfaz secundaria, que se convierte en la nueva interfaz principal. El uso de interfaces redundantes proporciona un primer frente de redundancia antes de que el fallo sea comunicado como error a nivel de dispositivo (Cameron et al., 2006). 2.2.5 Interfaces de administración. El dispositivo se puede administrar a través de una interfaz física separada (la interfaz de administración o MGT) sacando el tráfico administrativo fuera del tráfico de usuario de red habitual. Al separar el tráfico administrativo del tráfico de los usuarios de red se aumenta significativamente la seguridad y se garantiza un ancho de banda de administración constante. 2.2.6 Asociación de una interfaz a una zona de seguridad. Se pueden asociar algunas interfaces físicas a una zona de seguridad L2 o L3. Las interfaces WAN, excepto para ADSL, no se pueden asociar a las zonas de seguridad L2. Se puede asociar una subinterfaz sólo a una zona de seguridad L3, porque una subinterfaz requiere una dirección IP. Solamente puede asignarse una dirección IP a una interfaz después de haberla asociado a una zona de seguridad L3. Las interfaces inalámbricas no se pueden asociar a la zona de seguridad Untrust. Antes de agregar una interfaz a un grupo, la interfaz se debe establecer en la zona de seguridad Null. Después de que las interfaces se agreguen a un grupo, la interfaz de grupo se debe asignar a una zona de seguridad para que la conexión se establezca (Cameron, 2004). El anexo III ejemplifica lo antes expuesto..

(33) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 21. 2.2.7 Desasociación de una interfaz de una zona de seguridad. Si una interfaz no está numerada, se puede desasociar de una zona de seguridad y asociarla a otra. Si una interfaz está numerada, primero se debe establecer su dirección IP y máscara de red en 0.0.0.0. A continuación, se puede desasociar de una zona de seguridad y asociarla a otra, y opcionalmente reasignarle una dirección IP y máscara de red (Cameron, 2004). El anexo IV muestra un ejemplo de desasosiación de una interfaz a una zona de seguridad. 2.2.8 Direccionamiento de una interfaz de la zona de seguridad L3. Al definir una interfaz o subinterfaz de la zona de seguridad de capa 3 (L3), se debe asignarle una dirección IP y una máscara de red. Si se asocia la interfaz a una zona en trustvr, también se puede especificar el modo de la interfaz como NAT o de rutas (Cameron et al., 2006). (Si la zona a la que se asocia la interfaz se encuentra en untrust-vr, la interfaz siempre estará en el modo de rutas). 2.2.9 Creación de una subinterfaz en el sistema raíz. Se puede crear una subinterfaz en cualquier interfaz física del sistema raíz o sistema virtual. Una subinterfaz hace uso del etiquetado de Red de Área Local Virtual (VLAN, del inglés “Virtual Local Area Network”) para distinguir el tráfico asociado a ella del tráfico asociado a otras interfaces. Aunque una subinterfaz tiene su origen en una interfaz física, de la cual toma prestado el ancho de banda que necesita, una subinterfaz se puede asociar a cualquier zona, no necesariamente la misma a la que está asociada su interfaz “padre”. Además, la dirección IP de una subinterfaz debe encontrarse en una subred diferente que las direcciones IP de todas las demás interfaces y subinterfaces físicas. El anexo V muestra un ejemplo donde se crea una interfaz en el sistema raíz. 2.2.10 Eliminación de una subinterfaz. No se puede eliminar inmediatamente una subinterfaz que contenga direcciones IP asignadas (MIP), direcciones IP virtuales (VIP) o conjuntos de direcciones IP dinámicas (DIP). Antes de eliminar una subinterfaz que contenga cualquiera de estas características, primero se debe eliminar todas las directivas o puertas de enlace IKE que contengan.

(34) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 22. referencias a ellas. Seguidamente, deberá eliminarse las MIP, VIP y los conjuntos de DIP de la subinterfaz (Cameron, 2004). El anexo VI ejemplifica lo anteriormente descrito. 2.2.11 Modos de las interfaces.  Las interfaces pueden funcionar en tres modos diferentes:  Traducción de direcciones de red (NAT).  Modo de rutas (“Route”).  Modo transparente (“Transparent”). Si una interfaz asociada a una zona de capa 3 tiene una dirección IP, es posible definir el modo de funcionamiento para esa interfaz como NAT o como Ruta. Una interfaz asociada a una zona de capa 2 (como lo son las zonas predefinidas v1-trust, v1-untrust y v1-dmz, o una zona de capa 2 definida por el usuario) debe estar en modo transparente. El modo de funcionamiento se selecciona al configurar la interfaz (Cameron, 2004). 1. Modo transparente. Cuando una interfaz está en modo transparente, el dispositivo de seguridad filtra los paquetes que atraviesan el cortafuegos sin modificar ninguna información de origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se comportan como si fuesen parte de la misma red, con el dispositivo de seguridad actuando en gran medida como conmutador o puente de capa 2 (“Layer 2”). En el modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0, haciendo que el dispositivo de seguridad parezca “transparente” (o “invisible”) a los usuarios. El modo transparente es un medio muy práctico para proteger servidores web, o cualquier otra clase de servidor que reciba principalmente tráfico de fuentes no fiables. Utilizar el modo transparente tiene las siguientes ventajas: elimina la necesidad de reconfigurar los ajustes IP de los enrutadores y servidores protegidos; y elimina la necesidad de crear direcciones IP asignadas o virtuales para que el tráfico entrante llegue a los servidores protegidos..

(35) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 23. 2. Modo NAT. Cuando una interfaz de entrada está en el modo de traducción de direcciones de red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de capa 3, traduce dos componentes del encabezado de un paquete IP saliente destinado a la zona Untrust: su dirección IP de origen y el número del puerto de origen. El dispositivo de seguridad reemplaza la dirección IP de origen del host de origen con la dirección IP de la interfaz de la zona Untrust. También reemplaza el número del puerto de origen con otro número de puerto generado aleatoriamente por el dispositivo de seguridad. Cuando el paquete de respuesta llega al dispositivo de seguridad, éste traduce dos componentes en el encabezado IP del paquete entrante: la dirección y el número de puerto del destino, que se traducen inversamente para obtener los números originales. Entonces, el dispositivo de seguridad redirecciona el paquete a su destino. NAT agrega un nivel de seguridad no disponible con el modo transparente: las direcciones de los hosts que están enviando tráfico a través de una interfaz de entrada en modo NAT (como lo es una interfaz de la zona Trust) nunca quedan expuestas a hosts en la zona de salida (como lo es la zona Untrust), salvo que ambas zonas se encuentren en el mismo dominio de enrutamiento virtual y que el dispositivo de seguridad esté publicando rutas a interlocutores a través de un protocolo de enrutamiento dinámico (DRP). Incluso entonces, las direcciones de la zona Trust son solamente accesibles si alguna directiva les permite recibir tráfico entrante. Si el dispositivo de seguridad utiliza el enrutamiento estático y sólo un enrutador virtual, las direcciones internas siguen ocultas cuando el tráfico es saliente, debido a NAT basada en interfaces. Las directivas que se configuren controlan el tráfico entrante. Si solamente se utilizan direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP) como destinos en sus directivas de tráfico entrante, las direcciones internas permanecerán ocultas. 3. Modo de rutas. Cuando una interfaz está en modo de rutas, el dispositivo de seguridad enruta el tráfico entre diferentes zonas sin realizar la NAT de origen (NAT-src); es decir, la dirección de origen y el número de puerto en el encabezado del paquete IP permanecen sin cambios mientras atraviesan el dispositivo de seguridad. A diferencia de NAT-src, no es necesario.

(36) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 24. establecer direcciones IP asignadas (MIP) e IP virtuales (VIP) para permitir que el tráfico entrante llegue a los hosts cuando la interfaz de la zona de destino está en modo de rutas. A diferencia del modo transparente, las interfaces de cada zona se encuentran en subredes diferentes. No es necesario aplicar la traducción de direcciones de red de origen (“NAT-src”) en el nivel de la interfaz para que todas las direcciones de origen que inician tráfico saliente sean traducidas a la dirección IP de la interfaz de la zona de destino. En lugar de ello, puede aplicarse NAT-src selectivamente a nivel de directivas. Se puede determinar qué tráfico enrutar y a qué tráfico aplicar NAT-src creando las directivas que habilitan NAT-src para las direcciones de origen especificadas tanto en tráfico entrante como saliente. Para el tráfico de red, NAT puede utilizarse la dirección IP (o direcciones IP) de la interfaz de la zona de destino de un rango de IP dinámicas (DIP), que se encuentra en la misma subred que la interfaz de la zona de destino. Para el tráfico VPN, NAT se puede utilizar la dirección IP de una interfaz de túnel o una dirección de su conjunto de DIP asociado (Cameron et al., 2006). 2.3 Zonas de seguridad. Una zona puede ser un segmento del espacio de red al que se aplican medidas de seguridad (zona de seguridad), un segmento lógico que tiene asociada una interfaz de túnel VPN (zona de túnel) o una entidad física o lógica que realiza una función específica (zona de función). Una zona de seguridad es un conjunto de uno o varios segmentos de red que requieren que se controle el tráfico entrante y saliente por medio de directivas. Las zonas de seguridad son entidades lógicas que tienen asociadas una o varias interfaces (Soulari and García, 2003). Además de las zonas definidas por el usuario, también puede utilizar las zonas predefinidas: Trust, Untrust y DMZ (para el funcionamiento de la capa 3), o V1-Trust, V1Untrust y V1-DMZ (para el funcionamiento de la capa 2). Se pueden seguir utilizando sólo las zonas predefinidas. También pueden ignorarse las zonas predefinidas y utilizarse exclusivamente las zonas definidas por el usuario. También es posible utilizar los dos tipos de zonas (predefinidas y definidas por el usuario) simultáneamente (Cameron et al., 2006)..

(37) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 25. Esta flexibilidad en la configuración de las zonas permite diseñar la red que mejor responda a necesidades específicas. En un solo dispositivo de seguridad pueden configurarse varias zonas de seguridad dividiendo la red en segmentos a los que pueden aplicárseles diversas opciones de seguridad para satisfacer las necesidades de cada segmento. Deben definirse como mínimo dos zonas de seguridad, básicamente para proteger un área de la red de la otra. En algunas plataformas de seguridad puede definir muchas zonas de seguridad, lo que refina aún más la granularidad del diseño de seguridad de la red, y sin implementar múltiples dispositivos de seguridad para ello (Cameron et al., 2006). El dispositivo SSG-20 admite en su licencia actual hasta 8 zonas de seguridad. 2.3.1 Interfaces de zonas de seguridad. Cada interfaz de una zona de seguridad es como una puerta que el tráfico TCP/IP debe cruzar para pasar de una zona a otra. Mediante las directivas que se definan, se podrá permitir que el tráfico entre zonas fluya en un solo sentido o en ambos. Al definirse las rutas, se estarán especificando las interfaces que el tráfico tendrá que utilizar para pasar de una zona a otra. Como es posible asociar múltiples interfaces a una zona, las rutas diseñadas tienen una gran importancia a la hora de dirigir el tráfico a las interfaces deseadas. Para intercambiar tráfico entre dos interfaces asociadas a una misma zona no se requiere ninguna directiva, ya que ambas tendrán el mismo nivel de seguridad. ScreenOS necesita directivas para controlar el tráfico entre zonas, no dentro de ellas. Para permitir que el tráfico fluya de una zona a otra, debe enlazarse una interfaz a la zona, en el caso de una interfaz en modo de ruta o en modo NAT se asigna una dirección IP a la interfaz. Dos tipos de interfaz comúnmente utilizados son las interfaces físicas, y en dispositivos que admitan sistemas virtuales, las subinterfaces (es decir, la realización de una interfaz física en la capa 2) (Cameron et al., 2006). Opciones de ScreenOS.

(38) CAPÍTULO 2. Funcionalidades del cortafuegos Juniper SSG-20. 26. Un cortafuegos Juniper asegura una red inspeccionando, y luego permitiendo o denegando, todos los intentos de conexión que necesiten pasar de una zona de seguridad a otra. Por cada zona de seguridady la zona MGT, puede habilitarse un conjunto de opciones Screen predefinidas que detecten y bloqueen diversos tipos de tráfico que el dispositivo de seguridad identifica como potencialmente dañinos (Brunner, 2008). 2.4 Directivas de seguridad. El comportamiento predeterminado de un dispositivo de seguridad es rechazar todo el tráfico interzonal de seguridad (tráfico interzonal) y, a excepción del tráfico dentro de la zona Untrust, permitir todo el tráfico entre interfaces unidas a la misma zona (tráfico intrazonal). Para permitir que el tráfico interzonal seleccionado pase por un dispositivo de seguridad, deben crearse directivas interzonales que tengan preferencia sobre el comportamiento predeterminado. Del mismo modo, a fin de impedir que el tráfico seleccionado interzonal pueda pasar por un dispositivo de seguridad, deben crearse las directivas interzonales. Un cortafuegos representa el límite de una red con un solo punto de entrada y de salida. Como todo el tráfico debe pasar a través de este punto, puede supervisarse y dirigirse implementando listas de conjuntos de directivas (para directivas interzonales, directivas intrazonales y directivas globales). Las directivas permiten denegar, permitir, rechazar (denegar y enviar un mensaje de puerto inalcanzable TCP RST o ICMP al host de origen), encriptar y desencriptar, autenticar, priorizar, programar, filtrar y supervisar el tráfico que intente pasar de una zona de seguridad a otra (Cameron et al., 2006). El administrador decide qué usuarios y qué datos pueden entrar y salir, así como cuándo y a dónde pueden ir. 2.4.1 Objetos de la directiva. Los objetos empleados en una directiva son las direcciones, los servicios predefinidos, los servicios personalizados y los grupos de servicios. Las direcciones de los dispositivos se disponen según su ubicación y máscara de red. Cada zona posee su propia lista de direcciones y los hosts individuales tienen máscara de red.

Referencias

Descargar ahora ( PDF - 100 página - 1.99 MB )

Outline

Modos de las interfaces Objetos de la directiva Asignación de Tráfico Definición de servicios y grupos de servicios Configuración de directivas de seguridad

Documento similar

La Memoria de Actividades 2015 ya está disponible en la web del Ivie

(Banco de España) Mancebo, Pascual (U. de Alicante) Marco, Mariluz (U. de València) Marhuenda, Francisco (U. de Alicante) Marhuenda, Joaquín (U. de Alicante) Marquerie,

Formulario de datos básicos de la solicitud de autorización de investigaciones clínicas con productos sanitarios (Anexo C)

 Tejidos de origen humano o sus derivados que sean inviables o hayan sido transformados en inviables con una función accesoria..  Células de origen humano o sus derivados que

La iguaLdad en La apLicación de La Ley: anáLisis de aLgunas objeciones iusfiLosóficas*

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que

La comunicación como esencia en el arte de cuidar

información que el individuo puede procesar por su sistema nervioso, y los factores relacionados van a influir en las habilidades y destrezas sociales, que pondrá al uso al

LA ACTIVIDAD INFORMAL DE LA ADMINISTRACIÓN. PREMISAS PARA UNA TENTATIVA DE RECONSTRUCCIÓN DE UNA CATEOGRÍA (CASI) OLVIDADA*

En este sentido, puede defenderse que, si la Administración está habilitada normativamente para actuar en una determinada materia mediante actuaciones formales, ejerciendo

Evaluación del rendimiento de cortafuegos basados en software libre

(2018), se identificó que ClearOS constituye una solución integral para garantizar la seguridad de las redes de datos, además, este cortafuegos evidenció un rendimiento de

guía rápida

 Para recibir todos los números de referencia en un solo correo electrónico, es necesario que las solicitudes estén cumplimentadas y sean todos los datos válidos, incluido el

El cáncer de pulmón en España: ¿Una prioridad de salud pública? - SEOR

La determinación molecular es esencial para continuar optimizando el abordaje del cáncer de pulmón, por lo que es necesaria su inclusión en la cartera de servicios del Sistema