Seguridade Perimetral: Diferenzas entre revisións
Liña 46: | Liña 46: | ||
O método máis tradicional de conseguir esto é mediante '''telnet''', que permite acceder a un terminal remoto.Hoxe en día non se aconsella o uso de ''telnet'' por ser altamente inseguro (información sen cifrar) e por existir alternativas coa mesma e máis funcionalidade e moita máis seguridade, como ''SSH''. |
O método máis tradicional de conseguir esto é mediante '''telnet''', que permite acceder a un terminal remoto.Hoxe en día non se aconsella o uso de ''telnet'' por ser altamente inseguro (información sen cifrar) e por existir alternativas coa mesma e máis funcionalidade e moita máis seguridade, como ''SSH''. |
||
===Escritorio Remoto=== |
===Escritorio Remoto=== |
||
Hoxe en día, un acceso de terminal non é suficiente para a maior parte dos traballos, polo que se fai necesario un servizo de acceso remoto ao entorno gráfico. Nos sistemas UNIX/Linux, o acceso remoto ao sistema gráfico é inherente ao seu propio funcionamento, xa que o entorno é cliente/servidor e as aplicacións se atopan separadas do servidor gráfico. A pesar de eso, para o acceso dende redes remotas é necesario o uso de protocolos que empreguen un menor ancho de banda que o protocolo XDCMP propio dos servidores X. |
|||
No caso dos sistemas Windows, Microsoft dispón dun protocolo de acceso remoto altamente eficiente basado en tecnoloxía de Citrix (''Citrix Multiwin'') chamado '''RDP'''. |
|||
====VNC==== |
====VNC==== |
||
====RDP==== |
====RDP==== |
||
====NX/X2GO==== |
====NX/X2GO==== |
||
===SSH e Túneis SSH=== |
===SSH e Túneis SSH=== |
||
Revisión como estaba o 28 de febreiro de 2014 ás 22:27
Introducción
A seguridade perimetral precisa da configuración de distintos elementos, sendo os máis importantes os tornalumes (devasas), proxys e as ferramentas de acceso remoto seguro, como o SSH ou as VPN.
Tornalumes ou Devasas (Firewall)
Hoxe en día é común a conexión das redes locais de ordenadores a Internet. Nunha rede local moitas veces se ofrecen servicios como a transferencia de ficheiros (ftp), o servicio Web (http), servicios de acceso remoto (RDP, SSH, telnet...) ou compartición de arquivos (NFS, CIFS ... etc) que si non temos especial coidado poden quedar expostas ao acceso dende redes externas (Internet) de xeito que potencialmente poden facilitar o acceso a información restrinxida ou confidencial. Para evitar esto, a primeira medida a tomar é pechar completamente o acceso dende o exterior á rede interna da empresa, agrupando nunha zona accesible dende o exterior e aillados da rede interna os servizos que se desexen ofrecer ao exterior (DMZ, ou zona desmilitarizada).
Para a implantación de DMZ, normalmente se recurre a máquinas especialmente configuradas para filtrar o tráfico de rede, de xeito que se poda establecer qué comunicacións están permitidas e cales non. Estes dispositivos reciben o nome de firewall.
Os tornalumes poden funcionar con dúas políticas: ACEPTAR, ou DENEGAR. Nas políticas de ACEPTAR, todo o tráfico que non é prohibido explícitamente está permitido, e coas políticas de DENEGAR todo o tráfico está prohibido, excepto o permitido explícitamente.
Podemos distinguir catro tipos de firewall:
- firewalls de pasarela
- Funcionan para aplicacións específicas, como telnet, http ou ftp.
- firewalls de capa de rede
- Permiten o filtrado en base as direccións IP e portos involucrados na comunicación
- firewalls de aplicación
- Están deseñados para protocolos concretos, como o HTTP, permitindo filtrar peticións específicas do protocolo empregando normalmente patróns.
- firewalls de escritorio
- Están pensados para filtrar tráfico para un equipo de escritorio, en lugar de protexer unha rede local.
Os firewalls máis utilizados para a protección de redes son os de capa de rede, xa que teñen unha gran flexibilidade, destacando o sistema netfilter de Linux, que permite a filtraxe do tráfico da rede en base a multitude de criterios.
Sistemas de Detección de Intrusos (IDS)
Ademáis da protección do acceso aos sistemas da rede mediante un firewall, é convinte configurar sistemas de xeito que se poidan detectar posibles intentos de acceso ilexítimo a tempo para tomar medidas. Estos sistemas reciben o nome de IDS (Intrusion Detection Systems) ou sistemas de detección de intrusos. A súa misión e detectar posibles intentos de ruptura da seguridade da rede e informar aos administradores, almacenado rexistros con toda a información relacionada.
Os sistemas de detección de intrusos vixilarán o tráfico da rede (NIDS Network Intrusion Detection System) entre os distintos sistemas en busca de anomalías, dispoñendo ademáis de patróns de diversos ataques típicos na súa base de datos, que permiten a identificación concreta da ameaza en un gran número de casos. Os sistemas NID permiten a creación de regras de alerta, que se dispararán no caso de que exista algún tipo de comunicación que se axuste ao patrón. Existen empresas especializadas na creación de este tipo de reglas que normalmente pretenden detectar o ataque a vulnerabilidades coñecidas, de xeito que os IDS as poden actualizar continuamente e de xeito automático.
Ademáis, os IDS poden crear un rexistro que permite a detección de cambios significativos na configuración ou nos arquivos críticos dos sistemas (HIDS Host-based Intrusion Detection System) o que permite alertar de posibles intrusións ou instalacións de distinto malware.
IDS coñecidos e moi utilizados son Snort, Prelude ou Tripwire.
Honeypots
Un honeypot é un sistema especialmente "mal" configurados de forma que reciban os intentos de intrusión dos atacantes, de modo que se poda examinar como se realizan estos ataques e tomar medidas para impedilos ou mitigalos nos sistemas de traballo real.
Antivirus e Antispan
Co xeito de evitar as infeccións dos equipos da rede e a recepción de correos non desexados é común a instalación de sistemas de filtraxe de virus e de spam a nivel de rede, ademáis da instalación dos antivirus persoais en cada un dos equipos.
Un método típico é a instalación dun filtro de correo que se encargue de analizar o correo recibido previamente ao seu envío aos clientes. Estos filtros fan uso tanto do análise do contido dos correos (mediante patróns e antivirus) como de listas negras e listas brancas.
Outro sistema de limitar o alcance do malware e o uso dun proxy donde se analiza o contido descargado antes do seu envío aos clientes da rede.
É habitual o uso de sistemas Linux para establecer filtrados de correo ou do tráfico web mediante o uso de servidores de correo como exim, postfix, sendmail combinados con filtros como spamassassin e servidores proxy combinados con filtros como squidguard, todos eles filtrados por antivirus como clamAV.
Acceso Remoto
Cada vez é máis habitual o acceso remoto ao equipamento das organización co obxecto de traballar dende localizacións distintas á rede local da empresa. Habitualmente este acceso se realiza mediante un software que permite o acceso a un terminal ou escritorio que se está executando nun equipo da rede remota.
O método máis tradicional de conseguir esto é mediante telnet, que permite acceder a un terminal remoto.Hoxe en día non se aconsella o uso de telnet por ser altamente inseguro (información sen cifrar) e por existir alternativas coa mesma e máis funcionalidade e moita máis seguridade, como SSH.
Escritorio Remoto
Hoxe en día, un acceso de terminal non é suficiente para a maior parte dos traballos, polo que se fai necesario un servizo de acceso remoto ao entorno gráfico. Nos sistemas UNIX/Linux, o acceso remoto ao sistema gráfico é inherente ao seu propio funcionamento, xa que o entorno é cliente/servidor e as aplicacións se atopan separadas do servidor gráfico. A pesar de eso, para o acceso dende redes remotas é necesario o uso de protocolos que empreguen un menor ancho de banda que o protocolo XDCMP propio dos servidores X. No caso dos sistemas Windows, Microsoft dispón dun protocolo de acceso remoto altamente eficiente basado en tecnoloxía de Citrix (Citrix Multiwin) chamado RDP.