Upload
miguel-g-guaman-bravo
View
214
Download
0
Tags:
Embed Size (px)
DESCRIPTION
documento general
Citation preview
FIREWALL
FIREWALL
¿Qué es un Firewall?
FIREWALL “Cortafuegos”=
FIREWALL
¿Qué es un Firewall?
FIREWALL “Cortafuegos”=
FIREWALL
¿Qué es un Firewall?
Elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
FIREWALL
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
FIREWALL
Tipos de Firewall
De filtrado de paquetes
De capa de aplicación
FISICA
ENLACE
RED
TRANSPORTE
SESIÓN
PRESENTACIÓN
APLICACIÓN
OSI
MAC
IP
protocolo + puerto
URL de HTTP
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
FIREWALL
Funciones posibles del Firewall (III)
• QOS
La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall limita la salida para que por ejemplo los usuarios puedan recibir sin problemas su correo
HTTPHTTP
FIREWALL
Funciones posibles del Firewall (IV)
• Balanceo de Carga
La LAN tiene dos vinculos con internet y el firewall distribuye la carga entre las dos conexiones.
HTTPHTTP
FIREWALL
Limitaciones del Firewall
• No protege de ataques fuera de su área
• No protege de espías o usuarios inconscientes
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
REGLASREGLAS 1) ACEPTARACEPTAR
2) DENEGAR DENEGAR
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
IPTABLES (LINUX)
FIREWALL
IPtables
IPTables
Kernel
LINUX
= NETFILTER
• Filtrado de paquetes• “Connection tracking”• NAT
FIREWALL
Funcionamiento de IPtables
INPUTINPUT
... el usuario puede crear tantas como desee.
OUTPUTOUTPUTFORWARDFORWARD
regla1 regla2 regla3 ...
cadena 1
paquete IP
cadenas básicas
FIREWALL
Funcionamiento de IPtables
... enlace a otra cadena
regla1 regla2 regla3 ...
cadena 1
paquete IP
regla1 regla2 regla3 ...
cadena 2
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINO
• ACCEPT• DROP• QUEUE• RETURN• ...
• cadena definida por usuario
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINO
• ACCEPT• DROP• QUEUE• RETURN• ...
• cadena definida por usuario
• protocolo• IP origen • IP destino• puerto destino• puerto origen• flags TCP• ...
FIREWALL
Funcionamiento de IPtables
TABLA
... cadena 1
paquete IP
... cadena 2
.
.
.
... cadena N
FIREWALL
Funcionamiento de IPtables
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas cadenas predefinidas :
• FILTER TABLE
• NAT TABLE
• MANGLE TABLE
• responsable del filtrado
• cadenas predefinidas
• INPUT• OUTPUT• FORWARD
• responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes
• PREROUTING (DNAT)• POSTROUTING (SNAT)• OUTPUT (DNAT local)
responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio; contiene todas las cadenas predefinidas posibles.
FIREWALL
Funcionamiento de IPtables
FIREWALL
Ejemplo de IPtables (I)
Queremos bloquear todos aquellos paquetes entrantes provenientes de la dirección IP 200.200.200.1.
iptables -s 200.200.200.1
No estamos especificando qué hacer con los paquetes. Para esto, se usa el parámetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP.
iptables -s 200.200.200.1 -j DROP
Necesitamos también especificar a qué chain o cadena vamos a aplicar esta regla. Para eso está el parámetro -A.
iptables -A INPUT -s 200.200.200.1 -j DROP
FIREWALL
Ejemplo de IPtables (II)
Si lo que buscamos es que a nuestra computadora le sea imposible comunicarse con la anterior, simplemente cambiaremos el INPUT por el OUTPUT, y el parámetro -s por el -d.
iptables -A OUTPUT -d 200.200.200.1 -j DROP
Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa misma IP
iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP
Si vamos a usar la computadora como router, deberemos setear la cadena de FORWARD para que también quede en ACCEPT.
iptables -P FORWARD ACCEPT
FIREWALL
Implementación (escenario 1)
REGLASREGLAS
Todo lo que venga de la red local al Firewall : ACEPTARTodo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTARTodo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTARTodo lo que venga de la red local al exterior = ENMASCARARTodo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGARTodo lo que venga del exterior al puerto TCP 3389 = DENEGARTodo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicación
FIREWALL
Implementación (escenario 2)
• VPN con túnel IPSEC.• Punto a Punto seguro, o política de seguridad anti-intrusos o sniffing (ENCRIPT.)
L1
L2L3
VPN
PaP