1. Sistema Integral de Seguridad
y Acceso a la Red para un
departamento de la UPC
Albert Marques
etsetb - 2008
• Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
2
2. Departamento de Ingeniería del Terreno,
Cartográfica y Geofísica (ETCG). UPC
• Campus Nord, edificio D2.
• Asociado a la Escuela de Caminos (ETSECCPB)
• Departamento mediano (~150 personas)
3
Departamento de Ingeniería del Terreno,
Cartográfica y Geofísica (ETCG). UPC
Servicios Informáticos ETCG (SIETCG)
• 1 responsable de sistemas, 1 becario
• Servicio ficheros, impresión, calculo científico, intranets, wifi.
• >20 Servidores, >150 estaciones de trabajo, >80 portátiles.
• Conexión a troncal gigabit UPC (<2004, conexión directa)
4
3. • Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
5
Problemática. Punto de partida
Hasta 2004, la seguridad se gestionaba a nivel de máquina:
• Antivirus con gestión centralizada
• Herramientas anti ‘spyware’ y troyanos
• Directivas de Windows (Directorio Activo)
2004 ! Ataques a vulnerabilidades Windows ! problemas graves
La dirección del departamento impone restricciones:
• Impacto mínimo sobre el rendimiento de la red
• El sistema se debe poder recuperar por personal “no técnico”
6
4. Problemática. Diseño LAN ETCG 2004
Firewall en modo bridge:
• Se mantiene topología de red
• Permite ‘bypass’ pasivo
• Permite nuevas funcionalidades (WLAN)
7
Problemática. Diseño LAN ETCG 2004
La infraestructura implementada en 2004 solucionó el problema, pero
poco a poco, ha quedado obsoleta, debida a las siguientes limitaciones:
• LAN ETCG permite sólo 254 direcciones de red válidas
• desbordado en 2007 ! soluciones alternativas (DHCP altern).
• Servidores, impresoras y estaciones en mismo segmento de red ! no
existe control de acceso
• WLAN sin autenticación, control de acceso mediante clave compartida
(PSK).
• El software utilizado en el firewall no permite IDS de red activo, ni
reglas de acceso de salida, ni VPN.
8
5. Objetivos Funcionales
La dirección de ETCG y SIETCG establecieron los objetivos funcionales
del proyecto.
• Solución escalable a largo plazo, no debe haber limitación de
direcciones para instalar los equipos que sean necesarios.
• Robustez y recuperación sencilla (objetivos 2004)
• Compatibilidad hacia atrás
• Identificación comunicaciones (posiblemente obligatorio en un futuro).
• Control de acceso a servidores y servicios públicos (impresoras).
• Autenticación WLAN (no PSK, user/pass).
• Deseables nuevas funcionalidades (o posibilidad): IDS activo, VPN,
redundancia en acceso a troncal, etc.
9
Objetivos no Funcionales
Los objetivos no funcionales vinieron dados por la política de UPC y de
SIETCG.
• Hardware “estándard”, mínimo 3 años de garantía. Distribuidores
habituales. Equipo similar a los ya existentes.
• En la medida de lo posible, software libre. Si no es posible, software de
licencia UPC ! Coste de licencias cero.
• Mínimo impacto en la implantación para las tareas del departamento
(horarios de baja intensidad de trabajo)
10
6. • Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
11
Análisis
Del análisis de los objetivos se extraen las líneas a seguir por el diseño
de la infraestructura. Definen la topología a implementar, y las
características del software a utilizar
• Ampliación del número de direcciones ! direccionamiento privado.
• Identificación y control de acceso ! división en subredes (WAN,
LAN, WLAN y DMZ).
• Autenticación de WLAN ! tecnologías de portal cautivo.
• Robustez y tolerancia a errores ! redundancia.
12
7. Topología diseñada
quot; BENEFICIOS
Escalable:
• ~65000 máquinas en LAN
• ~65000 máquinas en DMZ
• ~250 máquinas en WLAN
Identificación y control de
acceso:
• Firewall controla acceso a
y desde DMZ
• Firewall con portal cautivo
para WLAN
# INCONVENIENTES
• No hay posibilidad de
‘bypass’.
• Firewall es el punto crítico
13
El firewall. Software
• El firewall es el punto crítico de la topología diseñada.
• Se escoge un firewall software, ya que es más económico y flexible
• Se puede implementar en una máquina estandard con software libre.
Se evalúan diversas alternativas, en entorno de test:
• IPCop (!conocido; $ poco flexible, pocas funcionalidades)
• m0n0wall (!documentación, estabilidad; $ embedded)
• pfSense (!todas las funciones, redund.; $ muy poca documentación)
• Smoothwall (!sencillo, soporte; $ free? poco corporativo)
• Microsoft ISA Server (!capa aplicación, VPN; $ Ms, requisitos)
• Ubuntu Linux con iptables (!todas las funciones; $ complejo)
14
8. El firewall. Software
Finalmente, se decide implementar con pFsense. La decisión no es
firme, ya que se debe validar el rendimiento en entorno real.
Implementación con las mismas funcionalidades del firewall de 2004
en un entorno de test (compatibilidad).
Firewall en explotación durante un fin de semana (funcionalidades).
Firewall en explotación con carga habitual (rendimiento).
Nuevas funcionalidades: implementación final.
15
El firewall. Hardware
Se compra un equipo muy potente, con la subvención de UPC para el
2007, moderadamente sobredimensionado y con 4 años de garantía:
Dell PowerEdge 1950
Procesador Intel Quad-Core Xeon
•
2 Gbytes de memoria RAM
•
250 Gbytes de disco duro
•
Tarjeta de red integrada Broadcom Gigabit Dual
•
Dos tarjetas de red Intel Pro1000PT Dual port Server Adapter
•
Conectores de VGA y USB (teclado y Mouse) frontales.
•
Lector de DVD
•
4 años de garantía, “Next Business Day”
•
16
9. • Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
17
Implementación
• Implementación de topología con VLAN.
• Asignación de direcciones con DHCP y reservas.
• NAT, PAT y Acceso externo mediante IPs virtuales.
• Politica de reglas lista blanca y administración basada en grupos.
• Portal Cautivo para WLAN, conexión con Directorio Activo.
• OpenVPN para roadwarrior (limitado).
• SNORT: IDS activo (IPS).
• Monitorización de sistema: integración con Nagios y desde pFSense.
• Monitorización e identificación de conexiones: ntop (servidor auxiliar).
• Alta disponibilidad, planes de contingencia
18
10. Puesta en explotación real. Incidencias
Único problema con acceso al ERP desde Administración (VPN).
Se pacta una solución con admins de ERP: se debe crear una nueva red,
con direccionamiento real de UPC para administración.
Para la nueva red, el router será el firewall:
• Nueva VLAN para Administración ! modificación topología.
• Reglas en routers UPC.
19
Puesta en explotación real. Incidencias
Solución plenamente funcional con todos los servicios
20
11. Puesta en explotación real. Validación
Con la solución plenamente funcional, se realizan pruebas de
rendimiento.
Las pruebas validan la infraestructura (rendimiento superior a top. 2004)
Evaluación de los objetivos:
Funcionalidad !
Escalabilidad !
Compatibilidad con servicios previos !
Identificación y monitorización !
Robustez y recuperación sencilla $
21
Alta disponibilidad
pFSense dispone de un sistema de redundancia activa: CARP (“IPs
virtuales compartidas”).
Mediante CARP los nodos secundarios no son activos ! se usará el
antiguo hardware de firewall como nodo secundario
Diferentes plantas, y diferentes líneas eléctricas para los nodos, aseguran
robustez frente a caídas de los sistemas, y a incidencias “físicas”.
Se garantiza la no necesidad de plan de recuperación de la máquina, ni
de sistemas de “bypass” alternativos.
Funcionalidad !
Escalabilidad !
Compatibilidad con servicios previos !
Identificación y monitorización !
Robustez y recuperación sencilla !
22
12. Alta disponibilidad. Topología
23
• Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
24
13. Planificación temporal
Planificación inicial seguida estrictamente y revisada según evolución.
2 hitos: Implementación en entorno real (durante Semana Santa de
2008) y puesta en explotación (dos semanas después).
Dedicación aproximada de 450 horas de Ingeniero.
Planificación de tareas gestionada a través de un diagrama de Gantt, con
Microsoft Project.
25
• Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
26
14. Resultado final
!
Objetivos Cumplidos
27
Beneficios
• Usuarios: garantía de una red segura, con una alta
disponibilidad de servicio, y nuevas funcionalidades.
• Departamento: posibilidad de crecimiento. Incremento de
productividad (minimizando problemas de seguridad).
Infraestructura de bajo coste.
• SIETCG: Herramientas de seguridad preventiva. “Felicidad”
de los sistemas, al estar en un entorno limpio. Nuevas
funcionalidades.
• Universidad: difusión y consultoría para unidades interesadas
en un sistema análogo.
28
15. Beneficios como estudiante
• Trabajo en un entorno real, con necesidades reales, sin
posibilidad de dar pasos en falso.
• Contacto con todos los estratos del departamento:
dirección, administración, servicios técnicos y usuarios.
• Planificación temporal con hitos estrictos y recursos
económicos limitados.
• Orientación a resultados.
• Implementación de un sistema poco documentado, de
características muy avanzadas.
• Trabajo con herramientas de software libre.
29
• Marco del Proyecto
• Problemática, Objetivos
• Análisis y diseño
• Implementación e Implantación
• Planificación
• Conclusiones
• Futuro
30
16. Futuro
• Implementación de nuevas funcionalidades que pfSense
permite (dual wan, proxy cache, traffic shaping).
• Colaboración en el desarrollo de nuevos paquetes para
pfSense (nagios?).
• EDUROAM + XSF ETCG en todo el edificio
31
Difusión
• Documentación disponible en ‘Espai TIC de la UPC’ para
todo el personal TIC.
• Seminario técnico sobre el proyecto realizado en la “Segona
Trobada dels Serveis Informàtics de la UPC”
• UPC Commons.
• Publicación de los documentos y colaboración en los foros
de pfSense y m0n0wall.
32
18. Sistema Integral de Seguridad
y Acceso a la Red para un
departamento de la UPC
Anexo Técnico
Albert Marques
etsetb - 2008
• Detalle de Topologías
• Consideraciones Técnicas
2
22. Topología de red e instalación firewall
Se divide la red en VLAN, una por cada subred, y se asignan los puertos
según los equipos. Se usa Cisco Network Assistant (gráfico y sencillo).
pFsense permite conectar a un puerto de múltiples VLAN (trunk), y
conectarse a ellas a través de una sola interfaz de red, pero de momento
no se usará (maximizar rendimiento).
Se instala pfSense en la máquina, con conectividad directa a los equipos
de red (cada subred, una interfaz a gigabit). Se realiza instalación en el
disco duro del servidor.
Subred VLAN id Dirección red Interfaz fw IP Firewall
WAN 51 147.83.51.0/24 em0 147.83.51.2
LAN 1 172.16.0.0/16 em1 182.16.1.1
DMZ 50 172.18.0.0/16 em2 172.18.0.1
WLAN 4 192.168.101.0/24 bce0 192.168.101.1
9
Direccionamiento (dhcp, dns)
Aprovechando el cambio de topología, se usará DHCP con reservas
para todos los equipos, lo que mejora el control sobre las estaciones de
trabajo y permite los cambios de una manera rápida.
En cuánto a DNS, las estaciones de trabajo requieren un DNS en
servidor Windows. Se utiliza la tecnología “DNS forwarder” de pfSense,
de manera que las consultas al DNS siguen el siguiente esquema:
DNS DNS DNS estación
UPC fwetcg w2k3 trabajo
BBDD BBDD
10
23. Servicios visibles desde el exterior: NAT
Se utiliza proxy ARP: el firewall captura todas las peticiones de las
direcciones publicas y responde a ellas con el tráfico que recibe de los
equipos de direccionamiento privado.
NAT: Network Address Translation: tecnología que utiliza el firewall para
pasar peticiones externas (ip pública) a máquinas internas (ip privada).
Dos opciones:
• NAT 1:1 (todas las peticiones a A se redireccionan a B).
• PAT (todas las peticiones al puerto P1 de A se redireccionan al puerto
P2 de B).
La primera es para publicar una máquina completa, la segunda para
publicar servicios (más segura).
Outgoing NAT: se pueden definir las direcciones con las que una
máquina interna (IP privada) se ve desde el exterior.
11
Reglas de filtrado
Las reglas de filtrado definen el comportamiento de los firewalls. Se
aplican sobre el tráfico que llega a una interfaz del firewall. Si el tráfico
cumple con las condiciones de una regla, se le aplica la acción asociada a
esa regla, sino, se sigue con la siguiente.
2 políticas: denegar por defecto (ultima regla deshecha el tráfico) o
aceptar por defecto. Se usará denegar por defecto (casi se evita el P2P).
Acciones asociadas a una regla: aceptar, bloquear o rechazar. Además
permiten registrar un evento.
El orden de las reglas es muy importante, ya que definen el
comportamiento y el rendimiento de la infraestructura.
El uso de alias o grupos simplifican mucho la administración (como en
toda la administración de sistemas). Se usarán grupos para definir
servicios (Voip, Web, ficheros, etc) y grupos de direcciones (servidores
web, servidores de calculo, etc)
12
24. Reglas de filtrado
13
Portal Cautivo
Tecnología de validación para la WLAN. La red pasa a ser abierta, y en el
momento en el que el usuario se conecta y abre cualquier página web,
aparece una ventana solicitando las credenciales. Si se validan, se redirige
a la web solicitada.
Configurado mediante RADIUS para validar contra el Directorio Activo
de Windows: 1 cuenta para todos los servicios de SIETCG
14
25. Acceso remoto mediante VPN
La implementación de OpenVPN en pfSense 1.2 (ultima estable) no es
completa, ya que no asigna una interfaz a las conexiones provenientes de
túneles VPN ! No se pueden controlar los accesos a las diferentes
redes.
Sólo se habilitará VPN para el personal de SIETCG, con fines de
administración remota. Es plenamente funcional.
Una de las líneas de trabajo para pfSense 1.3 (prevista para otoño de
2008) es la implementación completa de OpenVPN ! Se implementará
como método de acceso remoto para los usuarios.
15
Sistema de Detección de Intrusos
SNORT: The facto standard for intrusion detection/prevention
Sistema de detección de intrusos de red. Comprueba el tráfico con unos
patrones descargados del servidor de Snort, para identificar tráfico
sospechoso, y genera alertas.
Permite bloquear las direcciones que generan una alerta durante un
período de tiempo: IDS Activo.
Genera muchos falsos positivos (ej: publicidad en una web detectada
como cross-site scripting), requiere de un proceso de configuración muy
detallado.
16
26. Monitorización del Sistema
Integrado con NAGIOS, el monitor del sistema del departamento,
aunque de manera limitada (no hay cliente de Nagios para pFSense)
Sistema de alarmas (mail, sms), que avisa cuando hay incidencias. Permite
monitorizar incluso parámetros físicos.
17
Monitorización del Sistema
Desde la propia consola de pfSense se pueden monitorizar parámetros
relativos al hardware de la máquina, o al tráfico de red.
18
27. Monitorización de la red
NTOP: Software que monitoriza y genera estadísticas del tráfico de red
Se puede implementar en el mismo firewall (es un paquete instalable),
pero consume muchos recursos, con lo que no es recomendable. Se ha
implementado con el servidor de soporte (nagios). Para ello, se ha
configurado un puerto en el switch, mediante SPAN, que recibe todo el
tráfico de todas las VLAN.
Base de Datos: permite obtener estadísticas de tráfico históricas, así
como consultas complejas sobre una máquina o un grupo.
Flexible, y con una interfaz de administración y gestión sencilla y por
web.
19
Monitorización de la red
20
28. Coste económico
Coste Coste Coste Coste mant y
= + +
total equipo implement. explotac
Coste total aproximado de 33800 !, durante los 5 años de vida
previstos
Coste relativo aproximado de <3 ! por persona y mes para todo el
departamento
INFRAESTRUCTURA DE BAJO COSTE
21