1 © 2009 Cisco Learning Institute. CCNA Security Implementando Firewall Technologies.

1© 2009 Cisco Learning Institute.

CCNA Security

Implementando Firewall Technologies


Firewalls

• Un firewall es un sistema que aplica una política de control de acceso dentro de la red

Propiedades comunes de un cortafuegos:- El servidor de seguridad es resistente a los ataques

- El firewall es el punto de tránsito sólo entre las redes

- El cortafuegos aplica la política de control de acceso


Beneficios de los Firewalls

• Evita la exposición de los hosts y aplicaciones a los usuarios no confiables

• Prevenir la explotación de los fallos del protocolo.

• Firewalls evitan que los datos maliciosos se envíen a los servidores y los clientes.

• Cortafuegos correctamente configurado subordina la ejecución de políticas de seguridad simple, escalable y robusta.

• Un servidor de seguridad reduce la complejidad de la gestión de la seguridad mediante la descarga de la mayor parte del control de acceso a la red en un par de puntos.


Tipos de filtrados en Firewalls

• Cortafuegos de filtrado de paquetes es típicamente un router que tiene la capacidad de filtrado en algunos de los contenidos de los paquetes (examina la capa 3 y a veces información de capa 4).

- A nivel de red, con direcciones IP y la interfaz por la que llega el paquete, generalmente a través de listas de acceso (en los routers).

- A nivel de transporte, con los puertos y tipo de conexión, a través de listas de acceso (en los routers)

• Cortafuegos de estados: Comprueba el estado de una conexión: si la conexión está en iniciación, transferencia de datos, o estado de terminación.


• Cortafuegos de Aplicación (firewall proxy) filtros de información en las capas 3, 4, 5, y 7. Control de Firewall y filtrado se hace por software.

- A nivel de aplicación, con los datos, a través de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicación (ejemplo servidor proxy o pasarela multiaplicación)

• Firewall NAT amplía el número de direcciones IP disponibles y el diseño esconde el direccionamiento de red.

• Firewall basado en host (servidor y personal), un servidor o PC con software de firewall que se ejecuta en el mismo.

• Firewall Transparente: Filtra de tráfico IP entre un par de interfaces que hacen de puente.

• Firewalls híbridos combinación de los servidores de seguridad anteriores. Por ejemplo, un cortafuegos de inspección de aplicación combina un cortafuegos de estado con un firewall de aplicación.

Tipos de Filtrado en Firewalls


Ventajas del filtrado de paquetes

• Se basan en el permiso o denegación de sencillo conjunto de reglas

• Tienen un bajo impacto en el rendimiento de la red. Son fáciles de implementar

• Son compatibles con la mayoría de los routers• Usualmente se aplica en dispositivos de capa de red e

implementa conjuntos de reglas estáticas que examinan los encabezados de cada paquete para permitir o denegar el tráfico, sin ninguna relación con los flujos de tráfico precedentes. Trabajan bien cuando el objetivo filtra aplicaciones basadas en TCP que no utilizan negociación dinámica de puertos.


Desventajas del Filtrado de Paquetes

• Filtrado de paquetes es susceptible a la falsificación de direcciones IP. Los hackers envían paquetes arbitrarios que se ajustan a criterios de la ACL y pasan a través del filtro.

• Al procesarse los paquetes de forma independiente, no se guarda información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers. Además, son difíciles de seguir en ejecución

• ACL complejas, son difíciles de implementar y mantener correctamente.


Firewall de estado (stateful)

• Es un método de filtrado de paquetes que trabaja a nivel de flujo o conexión, con ocasionales intervenciones a nivel de aplicación.

• Mantienen una tabla de estado que hace seguimiento de las sesiones que atraviesan el firewall y en función de ella hace inspección de cada paquete que atraviesa el dispositivo.

• El mecanismo asume que si se permite el inicio de la conexión, cualquier conexión adicional que requiera esa aplicación será permitida.Es un mecanismo confiable para filtrar tráfico de red entre dominios de seguridad.


Firewall de estado (stateful)

• Internamente se define una tabla de sesiones permitidas (tanto TCP como UDP), donde el paquete de conexión inicial (por ejemplo en TCP el primer segmento marcha con bit ACK=0 y SYN=1) se comprueba contra las reglas, y si está permitido se apunta en la tabla de sesiones y tras ello, los paquetes siguientes de la misma sesión se dejan pasar.

• Ejemplo: apertura de FTP en modo Activo


Stateful Firewall

10.1.1.1 200.3.3.3

Inside ACL(Outgoing Traffic)

Outside ACL (Incoming Traffic)

permit ip 10.0.0.0 0.0.0.255 any

Dynamic: permit tcp host 200.3.3.3 eq 80 host 10.1.1.1 eq 1500 permit tcp any host 10.1.1.2 eq 25permit udp any host 10.1.1.2 eq 53deny ip any any

source port 1500 destination port 80


Ventajas

• A menudo se utiliza como principal medio de defensa al filtrar el tráfico no deseado, innecesario o indeseable.

• Fortalece el filtrado de paquetes, proporcionando un control más estricto sobre la seguridad de filtrado de paquetes

• Mejora el rendimiento a través de filtros de paquetes o servidores proxy.

• Protege contra spoofing y ataques DoS• Permite mayor información de log que un firewall de filtrado de

paquetes

Desventajas

• No se pueden evitar los ataques de nivel de aplicación, ya que no examina el contenido real de la conexión HTTP

• No todos los protocolos son stateful, como UDP e ICMP• Algunas aplicaciones requieren múltiples conexiones abiertas y

toda una nueva gama de puertos abiertos para permitir una segunda conexión

• Firewalls no son compatibles con la autenticación de usuarios

Firewalls de estadoVentajas / Desventajas


Ejemplo: red con servidor proxy/cache de uso obligatorio

12

Internet

Los usuarios han de configurar su cliente web con el proxy 147.156.1.18 que sólo él puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior

Red interna

147.156.0.0/16

Servidor Proxy/cache

Router

147.156.1.18

permit tcp host 147.156.1.18 any eq www

deny tcp 147.156.0.0 0.0.255.255 any eq www

Filtro en el router

Cliente web

Servidor web

Servidor web


Dual-homed gateway (1)

• Se trata de un host (bastión) con dos tarjetas de red, conectadas a redes diferentes

- En esta configuración, el bastión puede filtrar hasta capa de aplicación.

• Son sistemas muy baratos y fáciles de implementar

• Sólo soportan servicios mediante proxy

• El filtrado de paquetes, puede realizarse en Linux a través de “iptables” (http://www.linux-firewall-tools.com) que son sentencias:

- accept|deny con declaración de puertos, direcciones IP, ...13


Dual-homed gateway (2)

14

Bastión

RedExterna

RedInterna


Screened host (1)

• Se trata de un router que bloquea todo el tráfico hacia la red interna, excepto al bastión

• Soporta servicios mediante proxy (bastión)

• Soporta filtrado de paquetes (router)

• No es complicada de implementar

• Si el atacante entra en el bastión, no hay ninguna seguridad

15


Screened host (2)

16

Bastión

RedExterna

RedInterna

Router

Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto


Preparación del bastión en UNIX

• Instalación segura del UNIX: Eliminar ejecutables con bit SUID y GUID y conexiones a través de SSH

• Deshabilitar los servicios no requeridos

oNFS, RPCs, ftpd, bootd, bootpd, rshd, rlogind, rexecd

• Instalar las pasarelas para los servicios requeridos (proxies)

• Quitar los ejecutables y librerías no esenciales

• Instalar un sistema de análisis de logs (swatch) en tiempo real

• Montar los file systems posibles de sólo lectura

• Instalar un chequeador de integridad (tripwire)

• Realizar un backup completo del sistema limpio17


Ejemplo de colocación del host bastión

18

Internet

Red interna

Router interior

Bastion host/ router exterior

Red perimetral

Cortafuegos

Mantener el bastion fuera del router, implica mayor seguridad para la red interna, pero el bastión va a estar sometido a más ataques que el router.


Diseño con DMZ

DMZ

UntrustedTrusted

Private-Public Policy

Public-DMZ Policy

DMZ-Private Policy

Private-DMZ Policy

Internet


20

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

Red interna

Router interior

Internet

Router exterior

Bastion host

Red perimetral

Web

DNS, Mail

Ejemplo cortafuego con Zona Desmilitarizada


21

Red interna

Router interior

Internet

Router exterior

Bastion host

Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

WebDNS, Mail

Cortafuego con DMZ conmutada

Red perimetral


Jarrón de miel (HONEY POT)

• En ocasiones es interesante aprender de los propios atacantes.

• Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores.

• Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense.

• Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección.

• Ejemplo: proyecto Hades en http://www.rediris.es22


Screened subnet (1)

• Se sitúa una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastión

• Tráfico sospechoso se envía hacia el bastión, si no puede pasar directamente.

• Soporta servicios mediante proxy (bastión)

• Soporta filtrado de paquetes (routers)

• Es complicada y cara de implementar

• Si el atacante entra en el bastión, todavía tiene un router por delante (no puede hacer sniffing)

23


Screened subnet (2)

• Configuración: consistente en implementar un perímetro con 2 routers y un host bastión, es la arquitectura más segura y tiene las ventajas:

• En ningún momento el exterior puede saturar la red interna, ya que están separadas

• En ningún momento se puede monitorizar (sniffer)la red interna en el caso de que el host bastión fuera saboteado

24


Screened subnet (3)

25

Bastión

RedExterna

RedInterna

Router

Router

DMZ


Cisco Systems Soluciones

• IOS Firewall–Políticas basadas en zonas con una intuitiva gestión

–Filtrado de aplicaciones Instant messenger y peer-to-peer

–Filtrado de protocolo VoIP

–Filtrado de routing Virtual y reencaminamiento (VRF)

–Integración Wireless

–Stateful failover

–Soporte de Listas blancas/negras URL

–Inspección de aplicaciones con tráfico web y e-mail

• PIX 500 Series• ASA 5500 Series


Productos Comerciales

• Comerciales- Firewall-1 (Check Point)

- IBM Firewall (International Bussines Machines)

- Gauntlet (Trusted Information Systems)

• Libre Distribución- FWTK (Trusted Information Systems) http://www.fwtk.org/main.html

27


Escenario de Defensa por Niveles

Seguridad de punto final: Provee identificación y políticas de seguridad

Seguridad del núcleo de la red: Protege contra software malicioso y las anomalías de tráfico, hace cumplir las políticas de red y asegura la supervivencia

Núcleo de red

Recuperación de desastre: Almacenamiento fuera del sitio y arquitectura redundante

Seguridad de las Comunicaciones: Proporciona seguridad de la información

Perimetro de Seguridad: Asegura los límites entre las zonas


Firewall: Buenas prácticas

• Firewalls posicionados en los límites de seguridad.

• Los cortafuegos son el dispositivo de seguridad principal. No es prudente confiar exclusivamente sólo en ellos.

• Denegar todo el tráfico por defecto. Permitir sólo los servicios que se necesitan.

• Asegúrese de que el acceso físico al firewall está controlado.

• Monitorear regularmente los registros del firewall.

• Recuerda que los firewalls protegen principalmente contra los ataques técnicos procedentes del exterior.


Ejemplo de Diseño

F0/1

F0/0

F0/0

F0/1

Serial 0/0/0

Serial0/0/1

R1

R3

R2

F0/5

S2

S3

F0/1

F0/1

F0/6

F0/18

F0/18

F0/5

S1

PC A(RADIUS/TACACS+)

PC C

Cisco Router with IOS Firewall

Cisco Router with IOS Firewall

Internet


Control Acceso Basado en Contexto


Funciones CBAC


Paso-a-Paso

Request Telnet 209.x.x.x

5. Una vez que se termina la sesión por el cliente, el router elimina la entrada de estado y la entrada de ACL dinámica

Fa0/0S0/0/0

1. Examina la ACL Fa0 / 0 entrante para determinar si a las solicitudes de telnet se les permite salir de la red.

2. IOS compara el tipo de paquete con las reglas de inspección para determinar si telnet debe ser monitorizado.

3. Agrega información al tipo de estado para realizar un seguimiento de la sesión de Telnet.

4. Añade una entrada dinámica a la ACL de entrada en S0/0/0 para permitir el paso de los paquetes de respuesta a la red interna.


CBAC TCP Handling


CBAC UDP Handling


Paso-a-Paso


Configuración de CBAC

Cuatro pasos para configurar CBAC

Paso 1: Escoja una interfaz

Paso 2: Configurar las ACL de IP en la interfaz

Paso 3: Definir reglas de inspección

Paso 4: Aplicar una regla de inspección a una interfaz


Paso 1: Escoger un interface

Two-Interface

Three-Interface


Paso 2: Configura IP ACLs en el interface


Paso 3: Define reglas de Inspección

ip inspect name inspection_name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]

Router(config)#


Paso 4: Aplica la regla de Inspecciónal interface


Verificación y Troubleshooting de CBAC

• Alertas y Auditorías

• show ip inspect Parameters

• debug ip inspect Parameters


Alertas y Auditarías

*Nota: Las alertas están activadas por defecto y automáticamente aparecerán en la línea de la consola del router. Si las alertas han sido desactivadas mediante el comando ip inspect alert-off, es necesario volver a activarlas con la negación de este comando.


show ip inspect Parameters


debug ip inspect Parameters


Ejemplo de topología

• Si una interfaz adicional se agrega a la zona privada, los hosts conectados a la nueva interfaz en la zona privada puede pasar el tráfico a todos los hosts de la interfaz existente en la misma zona.

• Además, los hosts conectados a la nueva interfaz en la zona privada deben cumplir con las políticas existentes en la zona "privada" cuando pasen tráfico a otras zonas.

Each zone holds only one interface.


Beneficios

• Firewalls basados en Zonas no depende de las ACL

• La regla de seguridad del router es ahora "bloquear a menos que explícitamente sea permitido"

• C3PL (Cisco Common Classification Policy Language) hace que las políticas sean de fácil lectura y solución de problemas

• Una política afecta a todo el tráfico dado, en lugar de necesitar múltiples ACLs y acciones de inspección.

Two Zones


El proceso del diseño

1. La Infraestructura de red en estudio se divide en zonas bien documentadas por separado con distintos niveles de seguridad

2. Para cada par de zonas de origen-destino, las sesiones que los clientes, en las zonas de origen pueden abrir contra los servidores en las zonas de destino, están definidas. Para el tráfico que no está basada en el concepto de sesiones (por ejemplo, IPsec Encapsulating Security Payload [ESP]), el administrador debe definir flujos unidireccionales de tráfico desde el origen al destino y viceversa.

3. El administrador debe diseñar la infraestructura física.

4. Para cada dispositivo firewall en el diseño,el administrador debe identificar subconjuntos de zonas conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas, resultando una política interzona específica del dispositivo.


Diseños más comunes

LAN-to-Internet Public Servers

Redundant Firewalls Complex Firewall


Firewall complejo simplificando zonas


Acciones

Inspect - Esta acción configura Cisco IOS inspección de estado de paquetes

Drop – Esta acción es análoga a negar en una ACL

Pass – Esta acción es análoga a permitir en una ACL


Source interface

member of zone?

Destination interface

member of zone?

Zone-pair exists?

Policy exists? RESULT

NO NO N/A N/ANo impact of zoning/policy

YES (zone 1) YES (zone 1) N/A* N/ANo policy

lookup (PASS)

YES NO N/A N/A DROP

NO YES N/A N/A DROP

YES (zone 1) YES (zone 2) NO N/A DROP

YES (zone 1) YES (zone 2) YES NO DROP

YES (zone 1) YES (zone 2) YES YES policy actions

*zone-pair must have different zone as source and destination

Reglas para aplicar al tráfico


Reglas para enrutar tráfico

Source interface

member of zone?

Destination interface

member of zone?

Zone-pair

exists?

Policy exists?

RESULT

ROUTER YES NO - PASS

ROUTER YES YES NO PASS

ROUTER YES YES YESpolicy

actions

YES ROUTER NO - PASS

YES ROUTER YES NO PASS

YES ROUTER YES YESpolicy

actions


Implementando Zone-based PolicyFirewall con CLI

1. Crea zonas para el firewall con el comando zone security.

3. Especifica políticas del firewall con el comando policy-map type inspect

2. Define las clases de tráfico con el comando class-map type inspect.

4. Aplica políticas al firewall, pares de zonas fuente-destino con el comando zone-pair security

5. Asigna los interfaces del router a zonas usando el interface de comando zone-member security


Paso 1: Crea las Zonas

FW(config)# zone security InsideFW(config-sec-zone)# description Inside networkFW(config)# zone security OutsideFW(config-sec-zone)# description Outside network


Paso 2: Define Clases de tráfico

FW(config)# class-map type inspect FOREXAMPLE FW(config-cmap)# match access-group 101FW(config-cmap)# match protocol tcpFW(config-cmap)# match protocol udpFW(config-cmap)# match protocol icmpFW(config-cmap)# exitFW(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 any


Step 3: Define Polícicas en el Firewall

FW(config)# policy-map type inspect InsideToOutside FW(config-pmap)# class type inspect FOREXAMPLEFW(config-pmap-c)# inspect


Paso 4: Asigna mapas de políticas a pares de zonas y asigna los interfaces del router a las zonas

FW(config)# zone-pair security InsideToOutside source Inside destination OutsideFW(config-sec-zone-pair)# description Internet AccessFW(config-sec-zone-pair)# service-policy type inspect InsideToOutside FW(config-sec-zone-pair)# interface F0/0FW(config-if)# zone-member security InsideFW(config-if)# interface S0/0/0.100 point-to-pointFW(config-if)# zone-member security Outside


Configuración Final ZPF

policy-map type inspect InsideToOutside class class-default inspect!zone security Inside description Inside networkzone security Outside description Outside networkzone-pair security InsideToOutside source Inside destination Outside service-policy type inspect InsideToOutside!interface FastEthernet0/0 zone-member security Inside!interface Serial0/0/0.100 point-to-point zone-member security Outside


Zone-basedPolicy Firewall con SDM

• Paso 1: Definir zonas

• Paso 2: Configurar mapas de clase para describir el tráfico entre zonas

• Paso 3: Crear mapas de políticas públicas para aplicar acciones para el tráfico de los mapas de clase

• Paso 4: Definir los pares de zona y asignar mapas de políticas públicas para los pares de zona


Define Zonas

1. Choose Configure > Additional Tasks > Zones

2. Click Add

3. Enter a zone name

4. Choose the interfaces for this zone

5. Click OK to create the zone and click OK atthe Commands Delivery Status window


Configura mapas de clases

1. Choose Configure > Additional Tasks > C3PL > Class Map > Inspections

2. Review, create, and edit class maps. To edit a classmap, choose the class map from the list and click Edit


Crea Mapas de políticas

1. Choose Configure > Additional Tasks > C3PL > Policy Map > Protocol Inspection

2. Click Add

3. Enter a policy name and description

4. Click Add to add a new class map

5. Enter the name of the class mapto apply. Click the down arrow for apop-up menu, if name unknown

6. Choose Pass, Drop, or Inspect

7. Click OK

8. To add another class map, click Add, to modify/delete the actionsof a class map, choose the class map and click Edit/Delete

9. Click OK. At the Command Delivery Status window, click OK


Define Pares de zonas

1. Choose Configure > Additional Tasks > Zone Pairs

2. Click Add

3. Enter a name for the zone pair. Choose a source zone, a destination zone and a policy

4. Click OK and click OK in the Command Delivery Status window


Configuración Basic Firewall

1. Choose Configuration > Firewall and ACL

2. Click the Basic Firewall option andclick Launch the Selected Task button

3. Click Next to begin configuration


Configurando el Firewall

1. Check the outside (untrusted) check box and the inside (trusted) check box to identify each interface

2. (Optional) Check box if the intent is to allow users outside of the firewall to be able to access the router using SDM. After clicking Next, a screen displays that allows the admin to specify a host IP address or network address

3. Click Next. If the Allow Secure SDM Access check box is checked, the Configuring Firewall for Remote Access window appears

4. From the Configuring Firewall choose Network address, Host Ip address or any from the Type drop-down list


Basic Firewall Security

1. Select the security level

2. Click the Preview CommandsButton to view the IOS commands


Firewall: Resumen de configuración

Click Finish


Revisando Politicas

1. Choose Configure > Firewall and ACL

2. Click Edit Firewall Policy tab


CLI :Salida generada

class-map type inspect match-any iinsprotocols match protocol http match protocol smtp match protocol ftp!policy-map type inspect iinspolicy class type inspect iinsprotocols inspect!zone security privatezone security internet!interface fastethernet 0/0 zone-member security private!interface serial 0/0/0 zone-member security internet!zone-pair security priv-to-internet source private destination internet service-policy type inspect iinspolicy!

List of services

defined in the firewall policy

Apply action (inspect = stateful inspection)

Zones created

Interfaces assigned to zones

Inspection applied from private to public zones


Firewall :Información de estado

1. Choose Monitor > Firewall Status

2. Choose one of the following options:• Real-time data every 10 sec• 60 minutes of data polled every 1 minute• 12 hours of data polled every 12 minutes


Muestra Conexión activa

Router# show policy-map type inspect zone-pair session

• Shows zone-based policy firewall session statistics

1 © 2009 Cisco Learning Institute. CCNA Security Implementando Firewall Technologies.

Documents

Transcript of 1 © 2009 Cisco Learning Institute. CCNA Security Implementando Firewall Technologies.