CHAPTER 2. SHAPE FEATURE EXTRACTION TECHNIQUES
2.3 Graph-based approach
La Red de Datos cuenta en este momento con dos sistemas de Firewall, cada uno protege un enlace de conexión a Internet. El primer Firewall es un sistema Cisco PIX de la serie 515E el cual es un Firewall hardware destinado a la protección de equipos con direcciones públicas que pertenezcan a la red del proveedor del enlace de Orbitel. El segundo es un sistema basado en el modulo IPtables del sistema operativo Linux el cual es un Firewall software que brinda protección a los equipos pertenecientes a la red del proveedor Telecom. Se estudiará las ventajas y cualidades de cada uno para saber en que estado se encuentra la seguridad perimetral de la red universitaria dada por estos dos sistemas para tener en cuenta los aspectos en que se podría mejorar.
4.1.8.1 Sistema de Firewall Cisco PIX 515E
Actualmente la Universidad del Cauca cuenta con un Firewall Cisco PIX 515E para la protección del tráfico del enlace de Orbitel.
Los Firewall PIX de Cisco son los más populares en el mundo, la referencia 515E es apropiada para redes empresariales de pequeña y mediana escala. Soporta hasta seis interfaces Fast Ethernet 10/100. Es un Firewall de inspección de estado al cual se le han agregado funcionalidades adicionales para hacerlo más robusto, entre las que se encuentran: análisis de algunos protocolos y aplicaciones de altos niveles, servicios de VPN, prevención de intrusiones en línea. Los Firewalls PIX utilizan un algoritmo de
seguridad adaptativo creado por Cisco que provee inspección de estado gracias al seguimiento de las comunicaciones autorizadas de red y a la prevención de accesos no autorizados. Integra más de 24 motores de inspección que realizan el análisis entre los niveles cuatro al siete en el tráfico de red para muchas de las aplicaciones y protocolos más populares hoy en día. Cada una de las características del Firewall PIX se describe en la tabla 4.6.
La topología de conexión del Firewall Cisco PIX en la red se muestra en la figura 4.2. En ella se muestra el enlace hacia Internet que llega por un par de fibra óptica que transporta ATM hacia el enrutador el cual se conecta al Firewall y este al switch de núcleo para dar conectividad a la red LAN de la Universidad.
Figura 4.2 Topología de conexión del Firewall Cisco PIX 515E
Tabla 4.6 Características del Firewall PIX de CISCO
Característica Descripción
Inspección de estado
ü Provee seguridad perimetral para accesos no autorizado usando un algoritmo adaptativo.
ü
Brinda control de acceso para más de 100 aplicaciones, servicios y protocolos predefinidos con la habilidad para crear aplicaciones y servicios personalizados.ü Se pueden crear grupos de objetos reusables lo cuales puede ser referenciados por las políticas de seguridad.
Inspección de protocolos y aplicaciones avanzadas
Integra mas de 24 motores de inspección para protocolos de alto nivel como: HTTP, FTP, SMTP, DNS, SMB, NFS, H.323 versiones 1-4, SIP, SCCP, RTSP y muchos mas.
Servidor VPN
ü Provee servicios de concentrador VPN para más de 2000 clientes remotos basados en software o hardware.
ü Extiende el alcance de las VPN’s hacia entornos que usan NAT o PAT basado en el estándar de la IETF para NAT transversal.
Cliente VPN
ü Incluye licencia ilimitada para el Cisco VPN Client.
ü Tiene novedosas características incluyendo políticas de seguridad dinámicas
VPN sitio – sitio
ü Soporta los estándares de VPN de IPSec junto con el protocolo IKE. ü Aumenta el intercambio de información sobre Internet gracias al
aseguramiento de la privacidad, integridad y autenticación con usuarios y redes remotas.
ü Soporta algoritmos de cifrado como: DES de 56bits, 3DES de 168 bits, AES de 256 bits.
Prevención de Intrusos
ü Brinda protección contra mas de 55 tipos de ataque populares que van desde paquetes mal formados hasta ataques de denegación de servicio.
ü Se integra con Cisco Network Intrusion Detection System para identificar y bloquear dinámicamente nodos de red maliciosos.
Soporte AAA ü Se integra con métodos populares de autenticación, autorización y manejo de cuenta vía TACAS+ y RADIUS.
Certificados X.509 y soporte CRL ü Soporta SCEP con la soluciones del estándar X.509 de Baltimore, Entrust, Microsoft y Verisign.
Soporte para NAT y PAT
ü
Provee servicios de Traducción de Direcciones de Direcciones de Red así como Traducción de Direcciones por Puerto basados en políticas de manera estática y dinámica.El Firewall esta configurado para realizar NAT a las direcciones que necesitan ser vistas como públicas del enlace de Orbitel las cuales pertenecen al rango 10.200.1.0/24 y 10.200.2.0/24 traduciéndolas en el rango 208.195.214.0/24. Actualmente no existe ninguna clase de filtro para ninguna dirección: se permite el paso del protocolo IP y de cualquiera de los protocolos que este puede transportar para las direcciones asignadas. Una solución optima sería utilizar PAT para dar acceso a los rango de direcciones mencionado, establecer grupos de políticas de seguridad para asignárselos a cada dirección dependiendo de sus necesidades, identificar e implementar protección sobre los servicios de alto nivel más vulnerables, y crear VPNs para conectar las sedes remotas de la Universidad que se acceden por medio del enlace que protege el Firewall.
4.1.8.2 Sistema de Firewall IPTABLES
IPtables es un sistema de Firewall vinculado al kernel de Linux que se ha extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual que el anterior sistema IPchains, el Firewall de IPtables no es un servicio que se inicia o detiene o que se pueda caer por un error de programación (ha tenido alguna vulnerabilidad que permite DoS, pero nunca tendrá tanto peligro como las aplicaciones que escuchan en determinado puerto TCP): IPtables esta integrado con el kernel, es parte del sistema operativo; lo que se hace es aplicar reglas. Para ellos se ejecuta el comando IPtables, con el que se añade, se eliminan, o se crean reglas. Por ello un Firewall de IPtables no es sino un simple script para un interprete de comandos en el que se van ejecutando las reglas de Firewall.
Cuando un paquete llega al kernel de un equipo que soporta IPtables el kernel tiene que decidir que hacer con el dependiendo si el paquete el para el equipo o se dirige hacia otro. La figura 4.3 ilustra el camino que seguirá un paquete durante su paso por el kernel.
Figura 4.3 Camino de un paquete durante su paso por el kernel de Linux
Como se observa en el gráfico, básicamente se mira si el paquete esta destinado a la propia máquina o si va a otra. Para los paquetes (o datagramas, según el protocolo) que van a la propia máquina se aplican las reglas INPUT y OUTPUT, y para filtrar paquetes que van a otras redes o máquinas se aplican simplemente reglas FORWARD. INPUT, OUTPUT y FORWARD son los tres tipos de reglas de filtrado. Antes de aplicar esas reglas es posible aplicar reglas de NAT: estas se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino. E incluso antes de las reglas de NAT se pueden introducir reglas de tipo MANGLE, destinadas a modificar los paquetes; son reglas poco conocidas y es probable que no las usen. Por lo tanto se tienen tres conjuntos de reglas en IPTables:
• MANGLE
• NAT: reglas PREROUTING, POSTROUTING
• FILTER: reglas INPUT, OUTPUT, FORWARD.
El Firewall IPtables que opera en la Intranet de la Universidad del Cauca se encuentra corriendo sobre el equipo arges el cual se soporta sobra la distribución Linux Debian 3.1. A su vez sirve como puerta de enlace para todas las direcciones del la redes de Telecom. 200.21.83.64/26 y 200.21.83.192/26 protegiendo el enlace suministrado por el mismo proveedor.
Arges se encuentra conectado hacia la red de área local por medio de un switch secundario y hacia el enrutador que da acceso a Internet con el operador Telecom. por medio del switch de núcleo entre el router y Arges hay creada una red punto a punto para que ningún equipo pueda utilizar directamente el router para salir a Internet sino que se hace necesario pasar por el Firewall para así poder hacer un chequeo de los paquetes que entran y salen de la red por el enlace de Telecom. La descripción anterior se observa en la figura 4.4.
Figura 4.4 Topología de conexión de Arges (Firewall IPtables)
Aunque la configuración de un Firewall con IPtables se realiza con comandos, lo más aconsejable es realizar un script, ya que ello permite: ejecutar todas las reglas de forma continua, evita tener que escribir las reglas cada vez que se reinicie el Firewall, realizar cambios de forma más intuitiva, e incluir otras facilidades y funcionalidades para hacer más practico iniciar y detener el Firewall.
El script elaborado en la red de datos está dividido según las funciones que ofrece: start, stop, restart, test y panic. Lo más importante del script esta contenido en la función start, ya que es la que define las reglas del Firewall. Dicho script es largo y un poco complejo. La función start del script esta dividida en secciones, cada una con un propósito particular, se describirá cada una y se dará un ejemplo para un mejor entendimiento. Estas secciones son:
• Establecimiento de parámetros en el kernel. En esta sección se ubican los comandos para habilitar o deshabilitar opciones en el kernel que aumentan las medidas de seguridad del sistema operativo. Por ejemplo:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
Con lo cual se habilita la protección echo broadcast para evitar ataques smurfing.
• Configuración inicial de IPtables. Esta sección contiene los comandos necesarios para inicializar los parámetros de las tablas y las cadenas, y el establecimiento de las políticas por defecto para las cadenas de la tabla filter. Por ejemplo:
$IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP
Estableciendo las políticas por defecto para las cadenas de la tabla filter, como se observa todas las cadenas tienen como política por defecto: denegar. Esto significa que si ningún paquete cumple las condiciones dadas por el administrador, el paquete será denegado sin enviar información de ello a la fuente
• Definición de Redes, Servicios y Condiciones que se deben Bloquear. En esta sección se especifican las reglas para denegar el acceso de paquetes mal formados, direcciones IP inválidas, y puertos de troyanos. Como por ejemplo:
$IPTABLES -A bad_tcp -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT
Con el anterior comando se rechazan paquetes TCP mal formados que se utilizan para ataques o para análisis de sistemas operativos.
Para bloquear puertos por los que se propaga el celebre gusano Blaster que ataca sistemas Microsoft Windows. $IPTABLES -A deny_port -p TCP -m multiport --dport 135,4444 -j DROP
• Definición de los Estados de Conexión. Desde una perspectiva restrictiva, las condiciones de evaluación de las reglas pueden descomponerse en tres partes: el estado de la conexión; los protocolos y puertos de origen y destino; y las interfaces y direcciones de origen y destino. En esta sección se especifican las reglas con los estados de conexión validos para los paquetes con destino a un servidor y para los paquetes con destino a un cliente.
$IPTABLES -A allowed_new -m state --state NEW,ESTABLISHED -j ACCEPT $IPTABLES -A allowed_new -j DROP
Reglas para aceptar paquetes TCP bien formados en el lado del servidor según el estado de la conexión
• Definición de Servicios Básicos. Esta sección contiene las reglas para definir las condiciones relacionadas con los servicios o puertos a los que se puede acceder. Por ejemplo:
$IPTABLES -A http_in -p TCP --dport 80 --sport $NOPRIV_PORTS -j allowed_new $IPTABLES -A http_out -p TCP --sport 80 --dport $NOPRIV_PORTS -j ACCEPT
Se caracteriza el servicio Web HTPP dejando pasar paquetes que se dirijan desde servidores hacia clientes del servicio, la variable $NOPRIV_PORTS hace referencia a los puertos TCP no privilegiados.
• Reglas para los Paquetes que entran y salen del Firewall. Sección en la que se definen las condiciones relacionadas con las interfaces y las IP de las reglas para permitir la entrada o salida de paquetes al equipo.
$IPTABLES -A INPUT -i $SRT2_IFACE -d $SRT2_IP -s 200.21.83.134 -j ssh_in $IPTABLES -A OUTPUT -o $SRT2_IFACE -s $SRT2_IP -d 200.21.83.134 -j ssh_out
Para permitir el acceso por ssh desde una de las estaciones de trabajo de la red de datos (200.21.83.134) hacia la interfaz referenciada por la variable $SRT2_IFACE con dirección IP dad por la variable $SRT2_IP