24 de noviembre de 2013

6.1. INSTALACIÓN. CONFIGURACIÓN E IMPLEMENTACIÓN DE ENDIAN FIREWALL

En este blog no nos vamos a dedicar a realizar una explicación detallada sobre la instalación y configuración de Endian Firewall pues en Internet y al ser un software basado en las políticas de Linux existe una gran cantidad de documentación, ayuda y soporte para Endia Firewall.

Lo que sí vamos a hacer en este Blog es recopilar esa información y guiar a las personas a obtener las herramientas necesarias para aplicar esta interesante y potente herramienta de seguridad de la información
6.1.1. Dónde conseguir Endian Firewall

Web principal: http://www.endian.com/es/#.UpImc8RyFDw
Descargar la versión comunitaria: http://www.endian.com/es/community/download/efw/


6.1.2. Curso de Instalación y Configuración

El siguiente curso de Endian Firewall es un completísimo curso en video que muestra el paso a paso y los componentes del sistema para ser configurados y estudiados... espero les guste:

Sacado de: http://blog.sugeek.co/2012/06/curso-endianutm.html#!

1) Instalación y Puesta en marcha

2) Información y opciones del Sistema



3) Estado de Sistema



4) Red y Servicios



5) Cortafuegos 



6) Proxy




7) Servicio VPN




8) Registros y Logs del Sistema



9) Consola SSH




Espero les haya gustado y sea de gran utilidad, Endian posee una completísima documentación en Internet referente a todos los temas habidos y por haber,


Publicado por en 1 comentario:

6. ENDIAN FIREWALL

Endian Firewall es una distribución GNU/Linux libre especializada en cortafuegos (Firewall), ruteo y gestión unificada de amenazas. Está siendo desarrollado por el italiano Srl Endian y la comunidad. Endian y está basado originalmente en IPCop, que además es un fork de SmoothWall. El Core del sistema está basado en la potente versión RedHat de Linux y actualmente se encuentra en la versión 2.5.2 y su beta en la versión 3.0 que incorpora una nueva característica como el proxy https difícil de encontrar e implementar en firewalls actuales.

 Las versiones más recientes contienen los siguientes módulos o componentes:

  • Firewall bidireccional
  • Puerta de enlace VPN con OpenVPN o IPsec
  • Antivirus Web
  • Antispam Web
  • Antivirus de correo
  • Antispam de coreo
  • Proxy HTTP, SMTP, FTP (Transparente y no transparente)
  • Filtrado de contenidos
  • Seguridad inalámbrica
  • Soporte para SIP VoIP
  • Soporte para NAT
  • Soporte para múltiples direcciones IP (alias)
  • Configuración a través de interfaz Web HTTPS
  • Estadísticas de conexión
  • Registros de tráfico de Red
  • Registros de reenvío de servidores externos
  • Servidor DHCP
  • Servidor NTP
  • Sistema de detección y reporte de intrusiones
  • Soporte para ADSL-Módem
  • Políticas de QoS (Quality of Service o Calidad de Servicio)
  • Entre otras...

Cabe resaltar que Endian Firewall es una potente herramienta de seguridad informática que permite usar tanto Hardware dedicado como Hardware personalizado. Es decir, usted puede adquirir un equipo dedicado estilo CISCO o Juniper pero con Endian como soporte; o convertir cualquier equipo PC de gama media o alta en un potente equipo de seguridad informática.

Endian Firewall posee dos versiones robustas y completas:
  • La versión comercial: Con una amplia gama de productos de hardware especializado y de soporte además de un completo cubrimiento en dispositivos de varios tipos.
  • La versión comunitaria: Igual que la versión comercial, pero sin hardware especializado y el soporte solo se presta vía comunidad de Endian en foros. 
El esquema de Endian es el siguiente:





Publicado por en 1 comentario:

5. COMPONENTES DE UN FIREWALL (Parte 2)

5.2 EL PROXY DE APLICACIÓN

 Un Proxy de Aplicación es una aplicación software capaz de filtrar las conexiones a servicios, es decir, capaz de reenviar o bloquear conexiones a servicios.

Los proxies cogen las peticiones de los usuarios sobre servicios de Internet, como FTP y Telnet, y responden a dichas peticiones según la política de seguridad. Los proxies proporcionan conexiones y actúan de pasarela entre la propia máquina o la red interna y la red externa. Por este motivo, también se denominan pasarelas de nivel de aplicación.

 La actuación de un proxy entre un usuario de la red interna y un servicio de la red externa es más o menos transparente. 

 Como se puede observar en la figura, un proxy requiere dos componentes: un servidor proxy  y un proxy cliente. El servidor proxy se ejecuta en un host situado entre la red interna y la externa, mientras que el proxy cliente es una versión especial de un programa cliente normal como Telnet o FTP cliente, que se comunica con el servidor proxy como si fuera el servidor "real" de la red externa. El servidor proxy evalua las peticiones del proxy cliente y decide si aprobar o denegar la petición.Si la petición se aprueba deacuerdo a la política de seguridad, el servidor proxy contacta con el servidor "real" y mandará las respuestas del servidor "real" al proxy cliente.

Con los proxies de aplicación se cuenta con una serie de ventajas sobre seguridad como por ejemplo las siguientes:

  • Sólo permiten la utilización de servicios para los que existe un proxy, por lo que el administrador de red tiene un control absoluto sobre los servicios soportados por el proxy.
  • En comparación con el filtrado de paquetes, en la pasarela es posible filtrar protocolos basándose en algo más que en la cabecera de las tramas. De este modo, resulta posible tener habilitado un servicio con sólo una serie de comandos permitidos.
  • La pasarela de aplicación permite un grado de ocultación de la estructura del perímetro de seguridad, ya que se pueden enmascarar la dirección de las máquinas de la red interna. Es decir, actúan como traductores de direcciones de red (NAT).
  • Debido al hecho de que las aplicaciones proxy son componentes software ejecutándose en la máquina bastión, se facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el host destino.
  • Se simplifican las reglas de filtrado implementadas en el router, ya que únicamente se permite el tráfico hacia la pasarela, bloqueando el resto. Además, la definición de las reglas de filtrado a nivel de aplicación es mucho más sencilla que a nivel de paquete, pudiendo implementar reglas más conservadoras con mayor flexibilidad.

Por otra parte, a la hora de instalar una pasarela de aplicación nos encontramos con los siguientes inconvenientes:

  • Los cortafuegos más antiguos requerían que el usuario de la red interna instalara software especial de cliente para cada uno de los servicios habilitados. Otros requerían que, empleando el software de cliente habitual, se siguieran ciertas indicaciones de uso. De este modo, nuevas aplicaciones de Internet exigían escribir e instalar nuevos servicios proxy en el firewall y nuevos clientes proxy en los ordenadores de los usuarios. Hoy en día, los cortafuegos de aplicación son completamente transparentes para los usuarios finales.
  • Es un elemento usualmente más caro y de rendimiento menor que un filtro de paquetes.
  • En el caso de protocolos cliente-servidor, se requieren dos pasos para conectar hacia la zona segura o hacia el resto de la red.
  • Algunas implementaciones necesitan clientes modificados para funcionar correctamente.
  • Se puede producir una degradación en el rendimiento, en el caso de que sean muchos los servicios proxy en la misma máquina y las reglas de filtrado sean complejas.
  • Para una total seguridad, se requiere un mecanismo adicional que restrinja las comunicaciones directas entre las máquinas de la red interna y las del exterior, como es el filtrado de paquetes.

Una variante de las pasarelas de aplicación la constituyen las pasarelas de nivel de circuito (Circuit-level Gateways), que son sistemas capaces de redirigir conexiones (reenviando tramas). Estos sistemas no pueden procesar o filtrar paquetes en base al protocolo utilizado, sino que se limitan únicamente a autenticar al usuario (a su conexión) antes de establecer el circuito virtual entre sistemas. Además resultan ventajosos en cuanto a que proveen de servicios a un amplio rango de protocolos. Sin embargo, necesitan software especial que tenga las llamadas al sistema clásicas sustituidas por funciones de librería seguras, como SOCKS.
5.3. MONITORIZACIÓN Y DETECCIÓN DE ACTIVIDAD SOSPECHOSA

 Un firewall, como cualquier sistema de seguridad bueno, ha de permitir el seguimiento de los registros anómalos y permitidos realizados hacia y desde el sistema. Por lo tanto , resulta imprescindible monitorizar la actividad del firewall para la seguridad del perímetro protegido. La monitorización facilita información sobre:

  • Intentos de ataque: origen, franjas horarias, tipos de acceso.
  • Existencia de tramas sospechosas.

La información que se debe registrar es la siguiente:

  • Tipos de paquetes recibidos, frecuencias, direcciones fuente y destino, 
  • Información de la conexión: origen y destino, nombre de usuario, hora y duración, 
  • Intentos de uso de protocolos denegados, 
  • Intentos de falsificación de dirección por parte de máquinas internas al perímetro de seguridad (paquetes que llegan desde la red externa con la dirección de un equipo interno) 
  • Tramas recibidas desde routers desconocidos.

Para registrar esta información es necesario indicar las siguientes características:

  • Información de servicio: fecha y hora. 
  • Información remota: la/s dirección/es IP del presunto atacante, así como su puerto y el protocolo de comunicación utilizado. 
  • Información Local: dirección IP de destino y su puerto de acceso. 
  • Filtrado de Información: forma en que ha actuado el filtro que empleamos y qué adaptador de red lo hizo. 
  • Paquetes de información: primeras líneas (de identificación) de cada uno de los paquetes (generalmente, en formato hexadecimal).

Todos estos registros quedan almacenados en archivos de registro (log), que han de ser leídos con frecuencia y el administrador de la red ha de tomar medidas si se detectan actividades sospechosas.

 Cabe mencionar la tecnología Stateful Multi-Layer Inspection (SMLI) que constituye una extensión del filtrado de paquetes, ya que no se limita a examinar los paquetes a nivel de red, sino que los analiza a todos los niveles de la pila de protocolos, al tiempo que extrae información relevante sobre el estado de la comunicación y de la aplicación. Para cada conexión TCP o UDP, el cortafuegos crea una tabla con las direcciones IP de origen y destino, números de puertos origen y destino, números de secuencia de los paquetes, entre otros datos adicionales asociados a la conexión en particular.

 De este modo, gracias a su motor de isnpección y la información de estado de la conexión almacenada en las tablas, el firewall puede implantar la política de seguridad de la organización.

 Este motor de inspección cuenta con una serie de ventajas como las que se describen a continuación:

  • El rendimiento no se ve afectado notablemente, ya que son más rápidos al operar principalmente a los niveles bajos de la pila de protocolos. De este modo, no afecta el número de usuarios conectados a través del cortafuegos.
  • Se puede adaptar a protocolos y aplicaciones nuevamente definidos, facilitando así la escalabilidad. Es decir, el cortafuegos es transparente para las aplicaciones y los usuarios, ya que no necesitan modifiacr o instalar software adicional.

Como contrapunto, la tecnología SMLI no es capaz de evitar los ataques más sofisticados enmascarados a nivel de aplicación, como desboradamientos de buffer o comandos de aplicación ilegales o inseguros.
Publicado por en No hay comentarios:

5. COMPONENTES DE UN FIREWALL (Parte 1)

En todo cortafuegos existen tres componentes básicos para los cuales se ha de implementar los mecanismos necesarios para hacer cumplir la política de seguridad:

  • El filtrado de paquetes. 
  • El proxy de aplicación. 
  • La monitorización y detección de actividad sospechosa.

5.1. FILTRADO DE PAQUETES


El filtrado de paquetes, además de utilizarse para reducir la carga de red, también se emplea para implementar distintas políticas de seguridad en una red. Respecto al objetivo principal de dichas políticas de seguridad, es habitual el hecho de evitar el acceso no autorizado entre dos redes, manteniendo los accesos autorizados.

Los sistemas de filtrado de paquetes encaminan los paquetes entre los hosts de una red interna y los hosts de una red externa. De modo selectivo,  permiten o bloquean ciertos tipos de paquetes de acuerdo a una política de seguridad, como se puede ver en la figura. El tipo de router que se usa en el filtrado de paquetes se conoce con el nombre de screening router. 


El funcionamiento es el siguiente:

    1. Se analiza la cabecera de cada trama, 
    2. Se comprueban reglas establecidas de antemano que contemplan: 
                - Información de la cabecera de la trama: 
                           - el protocolo utilizado (TCP, UDP, ICMP), 
                            - las direcciones fuente y destino, 
                            - los puertos fuente y destino, 
                - Información que conoce el router acerca del paquete: 
                            - la interfaz del router por donde se ha de reenviar el paquete, 
                            - la interfaz por donde ha llegado el paquete, 
    3. En función de dichas reglas, la trama es bloqueada o se le permite seguir su camino.

Un ejemplo sobre cómo se debería programar un firewall para seleccionar los paquetes que van desde y hacia nuestro sistema, sería el siguiente:
  • Bloquear todas las posibles conexiones desde sistemas de fuera de la red interna, excepto de las conexiones SMTP (para poder recibir correo).
  • Bloquear todas las conexiones hacia y desde ciertos sistemas que no nos den confianza.
  • Permitir los servicios de email y FTP, pero bloquear los servicios peligrosos como TFTP, el sistema X Window, RPC y los servicios "r" (rlogin, rsh, rcp, ...).


5.1.1 Especificación de las reglas (ACL)

Habitualmente, las reglas se expresan como una simple tabla de condiciones y acciones que se consulta en orden hasta encontrar una regla que permita tomar una decisión sobre el bloqueo o el reenvío de la trama. 
 

Por ejemplo, supongamos que se tienen las reglas de filtrado de la tabla, con lo que se pueden dar los siguientes casos: 
  • Llega un paquete procedente de una máquina de la red 158.42.0.0: se bloquea su paso, sin importar el destino de la trama.
  • Tráfico hacia la red 195.53.22.0: se bloquea.
  • Llega un paquete de un sistema de la red 150.128.40.0 hacia 193.22.34.0: una de las reglas indica que se le permita el paso, pero la siguiente regla indica que se bloquee sin importar el origen:
  • Si las reglas se comprueban desde el principio, el paquete atravesaría el cortafuegos, ya que al analizar las tercera entrada de la fila se finalizarían las comprobaciones. 
  • Si las reglas se comprueban desde el final, el paquete se bloquearía inmediatamente.
  • Como se puede ver, el orden de las entradas en la tabla es determinante para lo que pueda suceder.
Llega un paquete que no cumple ninguna de las reglas: la acción depende de la implementación:
  • Se deniega el paso por defecto (lo más recomendado) 
  • Se aplica el contrario de la última regla especificada
  • Se permite el paso por defecto.
Para evitar el dilema, lo mejor es insertar al final de la tabla una regla con la acción por defecto del tipo, como se puede observar en al tabla 3.1.2, donde acción tomará el valor drop o accept, según los paquetes que no cumplan ninguna de las reglas se deseen bloquear o pemitir el paso respectivamente.

Ciertas implementaciones permiten indicar si el bloqueo de un paquete se notificará a la máquina origen mediante un mensaje ICMP. 
 

Podríamos definir una regla que no dejara pasar ningún paquete proveniente de Internet, cuyo destino fuese nuestro ordenador y, más concretamente, el puerto 80 (HTTP) de nuestro ordenador. En la tabla se muestran algunos de los servicios junto con los puertos correspondientes, que pueden interesar vigilar.

Dejo un listado de puertos para que los puedas consultar:
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/ch-ports.html


5.1.2. Características

El filtrado de paquetes cuenta con una serie de puntos fuertes que se indican a continuación:
  • Resulta muy rápido y económico instalar un control basado en el filtrado de paquetes.
  • Resulta totalmente transparente.
  • Si el número de reglas creadas no es muy elevado, no llega a imponer una sobrecarga importante de procesamiento en el firewall, por lo que el rendimiento de la red no se verá afectado.
Por el contrario, también cabe indicar una serie de debilidades del filtrado de paquetes:
  • Definir las reglas de filtrado puede convertirse en una tarea muy complicada, ya que existen muchos aspectos en la especificación de los servicios de Internet y de los protocolos que, si no se conocen a fondo para su correcta configuración, pueden dejar abierta la puerta a ataques variados (ataques de falsificación de dirección IP origen, ataques de enrutamiento de origen, ataques de fragmentación, etc.).
  • Cuanto mayor sea el número de reglas, menor será el rendimiento del firewall, que en principio está diseñado únicamente para enrutar paquetes, no para tomar decisiones acerca de si debería o no debería hacerlo.
  • Si el cortafuegos acepta un servicio no es capaz de bloquear selectivamente ciertos comandos del servicio o rechazar ciertos contenidos, por lo que son susceptibles a ataques basados en datos.
Publicado por en 1 comentario:

4. MARCO TEÓRICO

Vamos a centrar este Blog en un componente de Seguridad de la Información que es importante en nuestro objetivo de proteger la información que como ya mencionamos es un activo de alta importancia para las empresas en los tiempos actuales.

 En este marco teórico queremos delimitar nuestro problema al componente Firewall debido a que el mundo de la Seguridad de la información es bastante complejo y completo; para esto daremos algunos conceptos básicos que nos ayudarán durante el resto de temas que trataremos en este espacio.


4.1. CONCEPTO

Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

 Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

 Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente Intranets. Todos los mensajes que entren o salgan de la
Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.

 Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente. La seguridad informática abarca más ámbitos y más niveles de trabajo y protección.



4.2. HISTORIA

La palabra 'Cortafuegos' existe desde muchísimo antes de que existiesen las redes de ordenadores. Es bastante clara en su definición y su uso era para describir una barrera de defensa, la cual prevenía el paso del fuego de una a otra zona. Para los que nos dedicamos a las redes de ordenadores un cortafuegos es una aplicación (que puede estar instalado en un equipo normal o en un dispositivo hardware preparado) que está capacitado para bloquear los paquetes de red no deseados. Los servicios del cortafuegos, como una barrera, previenen la circulación de esos paquetes desde Internet u otra red hacia una red local. En el caso de los denominados cortafuegos personales la protección se proporciona hacia el equipo local, especialmente cuando está conectado directamente a Internet.

 Al principio las redes eran sistemas cerrados donde sólo los equipos de un edificio o área geográfica pequeña estaban interconectados. Sin embargo pronto cambió la situación y las redes se hicieron mayores y más complejas, con equipos en zonas distantes. El primer intento de una red extensa fue por parte de ARPANET, una pequeña comunidad de élite compuesta por ordenadores entre gobierno y universidades. Esto se expandió y hoy lo conocemos como Internet.

 Uno de los primeros virus en Internet, el gusano Morris, golpeó a un número elevado de instituciones educativas en 1988. Esto hace a las empresas y usuarios individuales más conscientes de los peligros de la información que entra en la red desde el exterior. La necesidad dio pronto a luz la invención del cortafuegos.

 Los primeros cortafuegos eran enrutadores. Un enrutador conecta dos redes, y es la ubicación lógica para establecer un control de paso donde la información puede ser comprobada y bloqueada o permitida, en su caso. Fueron diseñados más para el propósito de vigilar la entrada que la salida. Los enrutadores dividen las redes en segmentos denominados subredes. Hay muchas ventajas en hacerlo así, una de ellas es que si un problema afecta a un segmento no tiene porque afectar al resto. Los enrutadores IP con capacidades de filtrado diseñados para mantener intrusos o usuarios no autorizados fuera, fueron los siguientes. Muy rudimentarios según los estándares actuales. Sólo podían bloquear o permitir paquetes según la dirección IP o puertos TCP/UDP, no tenían forma de comprobar el contenido de los datos porque trabajaban en la capa de red del modelo OSI.

 Un host bastión es una puerta o entrada diseñada específicamente para el propósito de defensa de la red interna de los ataques externos. Uno de los primeros cortafuegos comerciales de éste tipo, que usaba filtros y proxys, fue hecho por DEC en los 90. Ya en 1993 aparece Firewall Toolkit de TIS, que luego comercializó, basado en el mismo código, Gauntlet.

 Con el paso de los años los atacantes son más sofisticados y los protocolos de red más numerosos y complejos. Esto ha hecho que los cortafuegos evolucionen de un simple filtrado de paquetes a dispositivos dedicados de seguridad multinivel.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)