SSR 7 - Control de Acceso PDF

Preview

Summary

Apuntes tema 7...

Description

Servicios y Seguridad en Red 7 – Control de acceso

Adán Alonso EII ULPGC - Curso 2014/2015

SSR 7 – Control de acceso

Índice de contenido 1: Control de acceso de usuarios .................................................................................................. 2 2: Control de acceso de máquinas ................................................................................................ 3 3: Sistemas de cortafuegos ........................................................................................................... 4 3.1: Screening router................................................................................................................. 4 3.2: Proxy................................................................................................................................... 5 3.3: Network Address Translation (NAT)................................................................................... 6 3.4: Sistemas bastión ................................................................................................................ 7 3.5: Red perimetral ................................................................................................................... 7 3.5.1: Red perimetral dividida ............................................................................................... 8 3.5.2: Múltiples redes perimetrales ...................................................................................... 8 3.5.3: Múltiples bastiones ..................................................................................................... 9 3.5.4: Otras variaciones....................................................................................................... 10 4: Características de los sistemas bastión ................................................................................... 12 5: Sistemas de detección de intrusos .......................................................................................... 15 5.1: Clasificación según método de detección ........................................................................ 15 5.2: Clasificación según tipo de monitorización...................................................................... 16 5.3: Metodología para la detección de intrusos ..................................................................... 16 Referencias .................................................................................................................................. 17

ADÁN ALONSO

1

SSR 7 – Control de acceso

1: Control de acceso de usuarios En el control de acceso de usuarios se habla de tres grandes categorías: 

Por características físicas: Controles biométricos. Reconocimiento de calor, huella digital, manos, caras, iris, retina, voz… Son intransferibles, maximizan seguridad y minimizan la gestión, pero requieren electrónica adicional y pueden ocasionar rechazo por parte de los usuarios. Pueden resultar inexactos.



Por secreto compartido: Uso de contraseñas. Se deberán almacenar cifradas (o hasheadas) en ficheros con acceso restringido. Se puede plantear un sistema de contraseñas de un solo uso, o la separación de la información personal del usuario de la propia contraseña (shadow password). Los ataques contra contraseñas son muy diversos: o Fuerza bruta: Prueba sistemática de todas las contraseñas posibles en un sistema. La resistencia contra este ataque pasa por la capacidad de cómputo del atacante al tratarse de un problema de explosión combinatoria. o Diccionario: Similar al ataque de fuerza bruta, pero utilizando un conjunto de palabras conocidas o contraseñas típicas. Suelen incluir sustituciones numéricas comunes (la o por un 0, la e por un 3…). o Caballo de Troya: Robo de contraseñas por medio de malware. o Sniffing: Robo de contraseñas por espionaje en red. o Ingeniería social: Robo de contraseñas mediante la picaresca o la manipulación de usuarios reales del sistema. Se trata del ataque con mayor frecuencia de éxito con diferencia. Por ello, la mejor defensa pasa por la formación y concienciación del personal respecto al uso de contraseñas.



Por posesión de objetos: Uso de tarjetas magnéticas, NFC o certificados digitales. Un certificado digital es un documento que contiene información de un usuario (datos personales), su clave pública y una firma digital de una tercera entidad (autoridad de certificación) que asegura la validez del certificado (es decir, la clave pública pertenece al usuario descrito en el certificado).

Existen diversas maneras de organizar el control de acceso de usuarios, posiblemente combinables y no excluyentes entre sí: 

Discretionary Access Control (DAC): Control de acceso basado en permisos. Un usuario puede acceder a un recurso según su identidad o los grupos a los que pertenezca. Esta implementación es la más habitual, y es la empleada en los sistemas de ficheros de Unix (lectura, escritura y/o ejecución para propietario, grupo o todos).

ADÁN ALONSO

2

SSR 7 – Control de acceso 

Mandatory Access Control (MAC): Control de acceso basado en etiquetas. Estas etiquetas se asocian a usuarios y a recursos, de forma que un usuario sólo puede acceder a los recursos que compartan sus etiquetas. Un ejemplo de este control de acceso es SELinux.



Role-Based Access Control (RBAC): Control de acceso basado en roles. Un rol permite al usuario realizar una tarea específica. Un usuario puede poseer varios roles de forma simultánea, y varios usuarios pueden poseer el mismo rol. Este sistema permite granularizar los permisos omnipotentes del usuario administrador en diferentes roles. Un ejemplo habitual son los sistemas de usuarios en portales web.

2: Control de acceso de máquinas El control de acceso de máquinas se basa en elementos diversos de identificación:  



Número de serie del procesador. Dirección MAC: Permite hacer un filtrado muy rápido y es difícil de atacar, a menos que la MAC se copie de la ROM de la tarjeta de red para acceder desde esta copia. Bloquea el acceso de forma bidireccional, y no es capaz de distinguir entre servicios. Sólo es planteable en entornos de red local. Dirección IP + Puerto: Bloqueo unidireccional que además permite filtrar por servicios.

Las herramientas de filtrado de máquinas se dividen fundamentalmente según su localización:  

En el servidor: TCPWrappers (hosts.allow, hosts.deny), IPTables... En red: Cortafuegos (hardware específico).

Existen diferentes ataques contra una máquina, entre ellos:     

Spoofing: Suplantación de identidad. Hijacking: Toma de control mediante malware. Denegación de servicio: Saturación del servidor a base de peticiones. Ver también ataques distribuidos de denegación de servicio (DDoS). Tunneling: Acceder al servidor por medio de un canal pensado para otro propósito. Ataque al DNS: Es posible envenenar la cache de un DNS de forma que las peticiones sean resueltas directamente en vez de ser consultadas a una autoridad. También podemos contestar a una búsqueda antes de que ésta sea completada, haciendo que la respuesta real resulte descartada por la máquina que hizo la query.

ADÁN ALONSO

3

SSR 7 – Control de acceso

3: Sistemas de cortafuegos Un cortafuegos es un componente o conjunto de componentes que restringen el acceso entre una red protegida y el exterior. De esta forma, se definen inicialmente dos secciones en la organización: Una red interna, a ser protegida, y una red externa, considerada dañina. Ya que no es viable cortar todas las comunicaciones (queremos dar servicios al exterior), debemos plantear mecanismos de defensa que permitan exclusivamente cierto tipo de tráfico entre ciertas máquinas. A continuación se presentan diferentes aproximaciones al respecto.

3.1: Screening router

Esta primera aproximación se basa en establecer un router entre la red interna e internet, de forma que este router filtre el contenido que fluye a través de él. Este filtrado se basará en la información accesible desde las cabeceras de los paquetes, y no su contenido. Esta información es:        

Dirección IP fuente Dirección IP destino Tipo de protocolo Puerto TCP/UDP fuente Puerto TCP/UDP destino Tipo de mensaje ICMP Interfaz de entrada Interfaz de salida

Aunque un screening router resulta bastante completo, eficiente y fácilmente implementable gracias a su amplia disponibilidad, se ve ciertamente limitado, y reduce la eficiencia del router. Tampoco es capaz de discernir usuarios y aplicaciones.

ADÁN ALONSO

4

SSR 7 – Control de acceso

3.2: Proxy

Servidores multi-homed (que pertenecen a más de una red, pero que no encaminan paquetes a través de ellos) cuya función es recoger las solicitudes de los usuarios, y efectuarlas en el destino en su nombre. Permite monitorizar la red fácilmente, agregar funciones de cache y controlar los servicios a los que se accede, pero agrega un importante retardo en las comunicaciones y los servidores proxy deben ser configurados específicamente para ello. Habitualmente, el uso de un proxy además implica modificar la configuración en el cliente. Es posible plantear un sistema de autenticación de usuarios en el proxy, pero no se recomienda al dificultar la administración del mismo si existe un gran número de usuarios, atentando con la seguridad de la red completa.

ADÁN ALONSO

5

SSR 7 – Control de acceso

3.3: Network Address Translation (NAT)

Un sistema de traducción de direcciones, aunque no se ideó con ese objetivo, también ofrece seguridad a nivel de acceso. Los sistemas NAT surgieron como medida contra el agotamiento de direcciones IPv4, dando lugar al concepto de direcciones públicas y direcciones privadas. Una red local poseerá direcciones privadas en su interior, y a la hora de comunicarse con el exterior, una pasarela realizará una traducción de esta dirección privada a una dirección pública que será única para la red. El servidor externo contestará a la pasarela, y ésta deshará la traducción correspondiente para comunicar la respuesta al cliente pertinente. El funcionamiento del NAT ofrece de forma inherente una ocultación total de la configuración de la red interna de la organización, y proporciona una vía sencilla para controlar el tráfico saliente. También impide, excepto configuración explícita, el tráfico entrante a un equipo concreto de la red interna. No obstante, para que un sistema NAT funcione, requiere información del estado de las conexiones. Puede a su vez interferir en mecanismos de cifrado, autentificación, filtrado de paquetes y registro de eventos.

ADÁN ALONSO

6

SSR 7 – Control de acceso

3.4: Sistemas bastión

Una modificación posible de la configuración de screening router agrega el concepto de host bastión. Un host bastión se trata de un sistema que sirve de punto de contacto entre la red interna y el exterior. De esta forma, sólo se permiten las comunicaciones entre el router y el bastión, y el bastión y el resto de la red interna. Esto hace que el bastión sea considerado un servidor que probablemente quede comprometido, por lo que debe ser tratado con cuidado. Más adelante se describen con mayor detalle las implicaciones asociadas a un host bastión.

3.5: Red perimetral

Con los hosts bastión surge la configuración de una red perimetral o demilitarized zone (DMZ, zona desmilitarizada). Esta configuración agrega una nueva capa entre el interior e internet, en la que se sitúa el host bastión. Existe un router exterior, que sólo permite la comunicación entre internet y el bastión, y un router interior, que sólo permite la comunicación con el bastión y la red interior. Es habitual que el router exterior no sea controlado por la organización como tal. ADÁN ALONSO

7

SSR 7 – Control de acceso

3.5.1: Red perimetral dividida

Podemos utilizar un host multi-homed como bastión, de forma que la red perimetral quede dividida en dos zonas. De esta forma, se garantiza que el tráfico entre internet y la red interna deba pasar por el bastión.

3.5.2: Múltiples redes perimetrales

Esta variación permite dividir el tráfico en dos frentes, ofreciendo posibilidades como dedicar una red perimetral para entrada y otra para salida, o dedicar una de ellas para las comunicaciones con otra parte de la empresa y la otra para internet.

ADÁN ALONSO

8

SSR 7 – Control de acceso

3.5.3: Múltiples bastiones

Podemos montar varios servidores bastión y ubicar los servicios en diferentes servidores según sus características. Por ejemplo, se puede plantear que los servicios al exterior se desplieguen en un servidor, y los servicios al interior en otro servidor. Esto permite balancear la carga, y liberar recursos de seguridad que no fueran necesarios para alguno de los servicios.

ADÁN ALONSO

9

SSR 7 – Control de acceso

3.5.4: Otras variaciones Existen diferentes posibilidades a la hora de combinar routers y bastiones en una red perimetral, así como otras modificaciones que pueden ser consideradas: 

Router exterior + Router interior



Router exterior + Host bastión



Múltiples routers al exterior

ADÁN ALONSO

10

SSR 7 – Control de acceso 

Router interior + Host bastión: Configuración desaconsejada. El bastión se considera susceptible de caer fácilmente. Al combinarlo con el router interior, ponemos en serio compromiso la seguridad de la red interna.



Múltiples routers al interior: Configuración desaconsejada. Puede ayudar a bascular el tráfico o sectorizar secciones de la organización, pero el encaminamiento dinámico puede hacer que tráfico de la red interna circule por la zona perimetral. En su lugar, se recomienda hacer la sectorización a niveles más internos de la red.

ADÁN ALONSO

11

SSR 7 – Control de acceso

4: Características de los sistemas bastión Un host bastión es un sistema informático específicamente configurado para resistir ataques contra una red. Como se adelantó en secciones anteriores, es habitual establecer el o los hosts bastión en lo que se conoce como zona perimetral de la red, de forma que sea el único punto común entre la red interna y el exterior. De esta forma, todas las comunicaciones, protegidas por cortafuegos, se harán a través de este host bastión.

Existen clases especiales de bastiones como vimos en las configuraciones de red de la sección anterior:  



Multi-homed: Dividen la zona perimetral en dos subzonas. No enrutan, por lo que deberán actuar de proxy. Víctimas: Máquinas configuradas como cebo, que permiten analizar el comportamiento del atacante de una forma discreta. Es importante evitar que el atacante se dé cuenta de que su objetivo es un cebo. Bastión interno: Podemos colocar el bastión en la red interna, como vimos en las primeras configuraciones.

Debemos partir de la base de que el servidor bastión quedará comprometido tarde o temprano, y mantener su configuración lo más simple y limpia posible (desinstalar todo aquello que no sea estrictamente necesario). Esto significa evitar prestar servicios que no vayan a ser utilizados a internet, o incluso programas que no se relacionen directamente con servicios en red (compiladores, drivers de hardware no instalado…). Así, surgen 4 categorías básicas de servicios, según su seguridad:   



Servicios seguros: Servicios expresamente diseñados con la seguridad en mente. Es el caso de las versiones “S” de los protocolos más comunes: HTTPS, SMTPS, SFTP… Servicios inseguros: Servicios que desde el punto de vista de su diseño presentan grandes agujeros de seguridad. El ejemplo más evidente resulta el caso de Telnet. Servicios inseguros, pero asegurables: Servicios que originalmente resultan inseguros, pero pueden ser configurados de forma más segura. Son las contrapartes inseguras a los protocolos seguros mencionados anteriormente: HTTP, SMTP, FTP… Servicios no utilizados: Todo servicio que no se emplee debe ser desactivado y desinstalado, incluso si no implica comunicaciones de red de forma directa.

ADÁN ALONSO

12

SSR 7 – Control de acceso Los servicios más frecuentes que se configuran en un bastión pasan por:  





Proxy: Quizás el más básico, para permitir comunicaciones entre el interior y el exterior. DNS secundario: Es habitual configurar el servidor DNS primario en el interior de la red, y colocar el servidor secundario en la red perimetral, ya que este servicio será accedido desde el exterior. Configuraremos los servidores para que el secundario realice las transferencias de zona desde el servidor situado en el interior. SMTP de relay: Si nuestra organización posee un servidor de correo, es aconsejable mantener los buzones en la red interna. Para permitir comunicación con el exterior, situaremos un servidor de correo en la red perimetral con la única función de reenviar el correo al servidor primario. HTTP/FTP público: La naturaleza de estos servicios hace que sea necesario comunicarlos con el exterior. Los situaremos en la zona perimetral, y los configuraremos desde la red interna.

Podemos agrupar diferentes servicios en un mismo servidor bastión, según diferentes criterios:  







Un servicio en cada máquina: Configuración ideal, pero puede resultar costosa económicamente. Agrupación por importancia: Si poseemos diferentes servicios de importancia similar, podemos agrupar los de menor importancia en un servidor y dedicar los demás servidores para los servicios más críticos. Agrupación por audiencia: Podemos agrupar los servicios según quién los va a utilizar. Esto permite configurar fácilmente un bastión si sólo va a ser utilizado por el exterior y no por el interior. Agrupación por seguridad: Podemos agrupar los servicios más seguros en un mismo servidor, y dedicar más recursos a proteger aquellos servicios que puedan ser más inseguros. Agrupación por nivel de acceso: Podemos agrupar los servicios según los privilegios de los usuarios que los vayan a utilizar.

ADÁN ALONSO

13

SSR 7 – Control de acceso Algunas de las mejores prácticas de configuración de un bastión son las siguientes: 

      

  

Eliminar servicios no utilizados, especialmente relacionados con NFS o protocolos en desuso. Debemos conocer todos los servicios que se ejecuten en la máquina. Evitar también servicios de arranque, routing o que proporcionen información del sistema como fingerd. Mantener cerrados todos los puertos posibles. Eliminar cuentas de usuarios no utilizados. Minimizar privilegios de las cuentas de usuarios existentes. Utilizar encriptado en el inicio de sesión. Eliminar drivers de hardware no utilizado. Reconstruir el núcleo del sistema operativo. Montar todos los sistemas de ficheros posibles en modo de sólo lectura. Establecer un sistema de logs centralizado, de forma externa al bastión. Importante la sincronización de la hora del sistema, y el nivel de detalle de los logs que se almacenarán (mucho detalle agrega ruido, muy poco puede omitir atacantes). Mantener el sistema y los servicios actualizados, partiendo de una instalación mínima. Configurar la máquina por completo y realizar una auditoría de seguridad antes de conectarla a internet por primera vez. Configurar un sistema de detección de intrusos.

ADÁN ALONSO

14

SSR 7 – Control de acceso

5: Sistemas de detección de intrusos Un sistema d...