rrteret

Page 1

Firewall Redes de Computadoras 2 Sesi贸n 12

Ing. Miguel Angel Cancinos mcancinos.ing.usac@gmail.com

Firewall • Parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. • Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

Aspectos en los que trabaja • Comunes con el usuario: usurpación de la identidad e integridad de la información. • Accesos autorizados: permitir el acceso a las direcciones de origen validadas y autorizadas. • Aplicaciones autorizadas: permitir el acceso a las aplicaciones en función de la identidad validada. • Filtrado de solicitudes de conexión desde nuestra red a Internet. • Protección de los datos de identidad de nuestros usuarios en los accesos autorizados a Internet. • Protección ante “caballos de troya”, en forma de archivos Java, PostScript, etc. • Realizar todas las funciones anteriores sin afectar a las prestaciones y funcionalidades de Internet que los usuarios internos demandan.

Generaciones • Primera generación – cortafuegos de red: filtrado de paquetes • El filtrado de paquetes actúa mediante la inspección de los paquetes (que representan la unidad básica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá (descarte silencioso) o será rechazado (desprendiéndose de él y enviando una respuesta de error al emisor). • Se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí (por lo general utiliza una combinación del emisor del paquete y la dirección de destino, su protocolo, y, en el tráfico TCP y UDP, el número de puerto).

Generaciones • Segunda generación – cortafuegos de estado • Mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. • Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.

Generaciones • Tercera generación - cortafuegos de aplicación • Actúan sobre la capa de aplicación del modelo OSI.

• Puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegación web), y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. • Es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que también podemos filtrar el contenido del paquete.

Tipos de Firewall • Nivel de aplicación de pasarela • Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

• Circuito a nivel de pasarela • Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control.

Tipos de Firewall • Cortafuegos de capa de red o de filtrado de paquetes • Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino, etc. • A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte, como el puerto origen y destino, o a nivel de enlace de datos como la dirección MAC.

• Cortafuegos de capa de aplicación • Trabaja en el nivel de aplicación, de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. • Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy.

Tipos de Firewall • Cortafuegos personal • Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

Limitaciones • Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. Entre ellos: • No puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • No puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. • No puede proteger contra los ataques de ingeniería social. • No puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. • No protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido.

Políticas • Política restrictiva • Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales.

• Política permisiva • Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet.

Ejemplo de reglas de Firewall

Regla

Acci贸n

IP fuente

IP destino

Protocolo

Puerto fuente

Puerto destino

1

Aceptar

192.168.10.20

194.154.192. 3

tcp

cualquiera

25

2

Aceptar

cualquiera

192.168.10.3

tcp

cualquiera

80

3

Aceptar

192.168.10.0/24

cualquiera

tcp

cualquiera

80

4

Negar

cualquiera

cualquiera

cualquiera

cualquiera

cualquiera

Ubicaciรณn del Firewall โ ข Saber dรณnde implementar un firewall de Internet es tan importante como saber cรณmo configurar las reglas de filtrado de paquetes.

DMZ (DeMilitarized Zone) • Red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. • El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa.

• Los equipos (hosts) en la DMZ no pueden conectar con la red interna. • Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).

DMZ (DeMilitarized Zone) • Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde cada red se conecta a un puerto distinto de éste. • Esta configuración se llama cortafuegos en trípode (threelegged firewall).

DMZ (DeMilitarized Zone) • Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. • Este tipo de configuración también es llamado cortafuegos de subred monitoreada (screened-subnet firewall).

Servidor Proxy • Consiste en interceptar las conexiones de red que un cliente hace a un servidor de destino, por varios motivos posibles como seguridad, rendimiento, anonimato, etc. • Puede ser realizada por un programa o dispositivo.

Ventajas del Servidor Proxy • Control: sólo el intermediario hace el trabajo real, por tanto se pueden limitar y restringir los derechos de los usuarios, y dar permisos sólo al proxy. • Ahorro: solo el dispositivo proxy necesita los recursos necesarios para hacer esa funcionalidad. • Velocidad: si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché. • Filtrado: el proxy puede negarse a responder algunas peticiones si detecta que están prohibidas. • Modificación: un proxy puede falsificar información, o modificarla siguiendo un algoritmo. • Anonimato: Si todos los usuarios se identifican como uno sólo, es difícil que el recurso accedido pueda diferenciarlos.

Desventajas del Servidor Proxy • Intromisión: Es un paso más entre origen y destino, y algunos usuarios pueden no querer pasar por el proxy. Y menos si hace de caché y guarda copias de los datos. • Incoherencia: Si hace de caché, es posible que se equivoque y dé una respuesta antigua cuando hay una más reciente en el recurso de destino. En realidad este problema no existe con los servidores proxy actuales. • Irregularidad: El hecho de que el proxy represente a más de un usuario da problemas en muchos escenarios, en concreto los que presuponen una comunicación directa entre 1 emisor y 1 receptor (como TCP/IP).

Tipos de Proxy • Proxy WEB • Proxy para una aplicación específica el acceso a la web (principalmente los protocolos HTTP y HTTPS).

• Proxy SOCKS • Lo que hace el protocolo SOCKS, es casi equivalente a establecer un túnel IP con un cortafuegos y a partir de ahí las peticiones del protocolo son entonces realizadas desde el cortafuegos. • SOCKS es un protocolo de Internet que permite a las aplicaciones Cliente-servidor usar de manera transparente los servicios de un firewall de red. • Los clientes que hay detrás de un firewall, los cuales necesitan acceder a los servidores del exterior, pueden conectarse en su lugar a un servidor proxy SOCKS.

Tipos de Proxy • Proxies transparentes • Combina un servidor proxy con NAT (Network Address Translation) de manera que las conexiones son enrutadas dentro del proxy sin configuración por parte del cliente, y habitualmente sin que el propio cliente conozca de su existencia. Este es el tipo de proxy que utilizan los proveedores de servicios de internet (ISP).

• Reverse Proxy / Proxy inverso • Todo el tráfico entrante de Internet y con el destino de uno de esos servidores web pasa a través del servidor proxy.

Tipos de Proxy • Proxy abierto • Acepta peticiones desde cualquier ordenador, esté o no conectado a su red. • El proxy ejecutará cualquier petición de cualquier ordenador que pueda conectarse a él, realizándola como si fuera una petición del proxy. Por lo que permite que este tipo de proxy se use como pasarela para el envío masivo de correos de spam. • Debido a lo anterior, muchos servidores, como los de IRC, o correo electrónicos, deniegan el acceso a estos proxys a sus servicios, usando normalmente listas negras ("BlackList").

Tipos de Proxy • Cross-Domain Proxy • Típicamente usado por Tecnologías web asíncronas (flash, ajax, comet, etc) que tienen restricciones para establecer una comunicación entre elementos localizados en distintos dominios.

Referencias • http://es.wikipedia.org • http://www.ramonmillan.com/tutoriales/firewalls.php

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.