Filtrado de Paquetes

Introducción Paquetes: bloques discretos de datos, unidad básica de la datos que se maneja en una red.

Filtro de paquetes: hardware o software diseñado para bloquear o permitir la transmisión de paquetes basado en criterios como el puerto, la dirección IP, el protocolo.

Para controlar el movimiento del tráfico a través de la perímetro de la red, es necesario saber cómo los paquetes son estructurados y lo que sucede en las cabeceras de paquetes

Entender Paquetes y paquetes filtración• El filtrado de paquetes inspecciona cabeceras de los paquetes antes de los paquetes sean enviados a ubicaciones específicas dentro de la red

• Una variedad de dispositivos de hardware y software realizan el filtrado de paquetes: - Routers: usan filtros de paquetes probablemente más comunes - Sistemas operativos: algunos se han incorporado a los servicios públicos paquetes de filtro en TCP / IP del servidor o software - Los cortafuegos de software: la mayoría de los programas a nivel empresarial usan filtrado de paquetes

Anatomía de un Paquete Header - Contiene las direcciones de origen y destino IP

- No es visible a los usuarios finales

Datos - Contiene la información que se tiene la intención de enviar (por ejemplo, el cuerpo de un mensaje de e-mail)

- Visible al destinatario

Anatomía de un paquete (continuación)

Anatomía de un paquete (continuación)

Reglas de filtrado de paquetes• El filtrado de paquetes: procedimiento por el cual el paquete de cabeceras es inspeccionado por un router o firewall para tomar una decisión sobre si se debe dejar pasar el paquete

•Información – una vez el encabezado se evaluó y comparó las reglas que se han establecido ejecutan una acción sobre el (Permitir o Denegar)

• Los filtros de paquetes examinan sólo el encabezado de paquetes (aplicaciones examinan los datos en el paquete)

Reglas de filtrado de paquetes (continuación)

Recomendaciones

• Descarte todas las conexiones entrantes, permita sólo conexiones de salida en los puertos 80 (HTTP), 25 (SMTP), y 21 (FTP)

•Elimine los paquetes con destino a los puertos que no deben estar disponible a Internet (por ejemplo, NetBIOS)

•Filtre la redirección ICMP o echo (ping) (puede indicar que los hackers están intentando localizar puertos abiertos o direcciones IP de host)

Reglas de filtrado de paquetes (continuación)• Configurar una lista de acceso que incluye todos los equipos en la red local por el nombre o dirección IP para comunicaciones que pueden fluir entre ellos

- Permitir todo el tráfico entre hosts "de confianza"

- Establecer normas de ti mismo

Reglas de filtrado de paquetes (continuación)

Reglas de filtrado de paquetes (continuación)

Métodos de filtrado de paquetes Filtrado de paquetes sin estado

Filtrado de paquetes stateful

Filtrado de paquetes sin estado• Determina si se debe bloquear o permitir paquetes-basado en varios criterios-sin tener en cuenta si una conexión se ha establecido

• También llamado filtrado de paquetes estático

• Útil para bloquear por completo el tráfico de un subred o de otra red

Filtrado sobre Criterios de cabecera IP

Dirección IP de origen del paquete

Destino o dirección IP de destino

Especifique un protocolo para los anfitriones a los que desee conceder acceso

Banderas TCP en un encabezado de los paquetes

Filtrado por TCP o UDP por número de puerto• Amplia variedad de filtro de la información

-SMTP y POP mensajes de correo electrónico

- Sesiones NetBIOS

- Las solicitudes de DNS

- Network News Transfer Protocol (NNTP)

Filtrado por tipo de mensaje ICMP• ICMP ayuda a hacer frente a las redes de comunicación con problemas

• No tiene método de autenticación, puede ser utilizado por hackers para estrellar equipos de la red

• El firewall debe ser capaz de determinar, en función de su tipo de mensaje, si es uno ICMP y si se le permite pasar

Tipos ICMP mensaje común

Filtrado por Banderas de fragmentación

Consideraciones de seguridad

- TCP o UDP proporciona sólo a partir de un paquete; sólo aparece en fragmentos del número 0

- Se pasan fragmentos numerados 1 o superior a través del filtro

- Si un hacker modifica un encabezado IP para empezar un número de fragmentos de un paquete de 1 o superior, todos fragmentos pasarán por el filtro

Filtrado por Banderas de fragmentación (continuación)

Consideraciones sobre configuración

- Configurar firewall / filtro de paquetes para dejar todos los paquetes fragmentados

- Hacer firewall reensamblar paquetes fragmentados y permitir que sólo los paquetes completos puedan pasar a través de la red

Filtrado por Flag ACK Banderas ACK

- Indica si un paquete está solicitando un conexión o si la conexión ya ha sido establecido

- Un hacker puede insertar un bit ACK falsa de 1 en un paquete

La configuración de servidor de seguridad para permitir que los paquetes con el ACK bit en 1 puedan acceder sólo a los puertos que especifique y sólo en la dirección que se desee

Filtrado Suspicious de paquetes entrantes

El firewall envía mensajes de alerta si un paquete llega desde la red externa, pero contiene una IP abordar desde el interior de la red

La mayoría de los servidores de seguridad permiten a los usuarios decidir si se permite o deniega el paquete - Varia de caso por caso - Se hace de forma automática, mediante el establecimiento de normas

Filtrado Suspicious paquetes entrantes (continuación)

Filtrado Suspicious paquetes entrantes (continuación

Stateful Packet Filtering• Realiza el filtrado de paquetes basado en el contenido de la parte de datos de un paquete y la cabecera

• Filtro - mantiene un registro del estado de una conexión; permite solamente los paquetes que resultan de conexiones que ya se han establecido

• Más sofisticado y seguro

• Tiene una base de reglas y una tabla de estado

Stateful Packet Filtrado (continuación)

Filtrado basado en Contenido del paquete

Inspección stateful

Proxy de pasarela

Firewall con especialidad

Establecer normas específicas de packet-filter• Reglas para filtrar los paquetes potencialmente peligrosos

• Reglas para pasar paquetes que desea ser pasado a través

Mejores prácticas para reglas de firewall• Todo el tráfico de red de confianza se le permite salir

•El dispositivo del firewall no se debe acceder directamente desde la red pública

•Los datos SMTP permiten pasar datos a través del firewall, pero todo se encamina a la puerta de enlace SMTP bien configurada

• Todos los datos ICMP deben estar bloqueados

• El acceso Telnet a todos los servidores internos de la pública redes se bloquea

• Cuando se ofrecen servicios Web fuera del firewall, se debe implementar el acceso proxy o arquitectura DMZ

Reglas que cubren múltiples variaciones

Se deben dar cuenta de todos los puertos posibles que un tipo de comunicación podría utilizar o para todas las variaciones dentro de un protocolo

Red de ejemplo para estar protegidos por un Firewall

Reglas para paquetes ICMP• El ICMP que permite la conectividad de red de prueba y te hace consciente de sus problemas de comunicación.

• La reglas son especialmente importantes porque con el ICMP los paquetes pueden ser falsificados fácilmente y utilizarse para redirigir otras comunicaciones

ICMP Packet-Filter Rules

Reglas que permiten el acceso Web

Se necesita para cubrir tanto el tráfico HTTP estándar en el puerto TCP 80, así como HTTP seguro

Tráfico (HTTPS) en el puerto TCP 443

Reglas que permiten a DNS Se debe establecer normas que permiten a los clientes externos a computadoras de acceso en la red utilizando el misma puertos TCP y UDP

Reglas que permiten el FTP Necesidad de apoyar a dos conexiones independientes

- TCP puerto 21 (puerto de control FTP)

- TCP 20 (puerto FTP de datos)

Reglas que permiten a E-Mail -Complicada; una variedad de protocolos podría ser usado - Para el transporte de correo entrante • Versión de Post Office Protocol 3 (POP3) • Correo electrónico de Internet versión Access Protocol 4 (IMAP4) - Para el transporte de correo saliente • Simple Mail Transfer Protocol (SMTP) - Para buscar direcciones de correo electrónico • Protocolo ligero de acceso a directorios (LDAP) - Para el servicio de correo electrónico basado en la Web • Protocolo de transferencia de hipertexto (HTTP)

Resumen• Criterios de cabecera del paquete que se pueden utilizar para filtrar tráfico - Enfoques para el filtrado de paquetes

- Reglas específicas de filtro de paquetes