Publicado el 17 de Noviembre del 2018
842 visualizaciones desde el 17 de Noviembre del 2018
1,2 MB
63 paginas
Creado hace 13a (13/07/2010)
12º Unidad Didáctica
FIREWALLS
Eduard Lara
1
ÍNDICE
Firewall.
Características.
Concepto de DMZ
Clasificación
NAT
Cisco
Linux
ACL
Cisco
Linux
Proxy
2
FIREWALL O CORTAFUEGOS
Un firewall o cortafuegos es un dispositivo
que separa una red que se desea proteger, de
otra de donde pueden venir ataques de
seguridad (Internet), y usa una política activa
de seguridad.
Está situado entre dos redes por donde todo
el tráfico debe pasar (checkpoint).
Zona de riesgo de una red privada no protegida
Zona de riesgo de una red privada protegida
3
FIREWALL O CORTAFUEGOS
Un firewall debe permitir que:
Cada host en una red privada puede acceder
a cualquier recurso de Internet
Evitar que un host de Internet puede atacar
a cualquier host de la red privada.
4
ZONA DMZ
(DE-MILITARIZED ZONE)
DMZ es un término militar que se utiliza para
identificar una zona neutral entre dos bandos en
conflicto.
En la zona DMZ están los servidores que se
desean que sean accesibles desde el exterior.
Generalmente el firewallrestringe el acceso
desde el exterior a la DMZ, y sólo permite a
algunos puertos de los servidores.
5
ZONA DMZ
(DE-MILITARIZED ZONE)
DMZ: De-Militarized Zone
Red interna con servidores
públicos
MZ: Militarized Zone
Red Interna
6
ZONA DMZ
(DE-MILITARIZED ZONE)
7
ZONA DMZ
(DE-MILITARIZED ZONE)
8
ZONA DMZ
(DE-MILITARIZED ZONE)
9
ZONA DMZ
(DE-MILITARIZED ZONE)
10
CATEGORIAS DE FIREWALLS
Hay diferentes tipos de firewalls, desde los más
sencillos que simplemente filtran según las @ IP o
puertos, hasta otros que son capaces de seguir y
filtrar según el estado de las conexiones y el tipo
de mensajes del nivel de aplicación.
1) Packet filtering
2) Circuit gateways
3) Application gateways or proxy servers
4) Hybrid firewalls: Combinación de las tres
categorías anteriores
11
PACKET FILTERING
El firewall observa y filtra los paquetes que no
cumplen ciertas condiciones.
Trabajan a nivel IP/TCP y toman decisiones
basándose en las cabeceras de los paquetes
(direcciones IP, nº de puertos, otras opciones
de los paquetes)
El filtrado se hace con listas de control de
acceso (Access Control List, ACL).
12
CIRCUIT GATEWAYS
En las redes internas que utilizan direcciones
privadas, el firewall utiliza NAT para que los
hosts de la red interior puedan acceder al
exterior.
Operan ocultando direcciones de la red (por
ejemplo NAT)
Previenen conexiones directas entre redes.
13
PROXY SERVERS
Operan a nivel de aplicación y pueden examinar
el contenido de la aplicación
El proxy server actúa como un intermediario
para el cliente
14
FUNCIONALIDADES ADICIONALES
EN LOS FIREWALLS
Autentificación de usuarios ( certificados)
Encriptación Firewall-a-firewall (en VPNs
donde el firewall actúa como un punto final VPN)
Detección Content screen devices (virus
scanning, URL screening)
Control de flujo a
entregar QoS (limita la
cantidad de ancho de
banda por conexión).
15
INTRODUCCIÓN NAT
NAT es una de las soluciones que ha evitado el
colapso del direccionamiento IPv4 de Internet.
Otras soluciones que han evitado la escasez de
direcciones IPv4:
- Introducción de la máscara en las tablas routing
- La división en subredes (1985-Subnetting)
- La división en subredes de longitud variable (1987-
VLSM)
- El enrutamiento interdominio sin clase (1993-CIDR)
- Las direcciones IP privadas
- La traducción de direcciones de red (NAT)
16
DIRECCIONES IP PRIVADAS
Son direcciones útiles para terminales o hosts
de la parte interna de la red, que no tienen
direcciones públicas.
Son direcciones reservadas para que cualquiera
las utilice de forma interna.
Los paquetes que contienen a estas direcciones
no son enrutables a través de Internet.
Clase
A
B
C
Prefijo CIDR
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16 192.168.0.0 – 192.168.255.255 256 direcciones clase C
Rango
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
1 dirección clase A
16 direcciones clase B
17
INTRODUCCIÓN NAT
NAT es un software especializado que se
ejecuta en un firewall o router fronterizo, el
cual permite la conservación de direcciones IP
públicas asignadas a grandes redes, permitiendo
la utilización de direcciones IP privadas en sus
redes internas.
NAT realiza la traducción de direcciones
privadas internas a direcciones IP públicas
enrutables.
18
INTRODUCCIÓN NAT
19
INTRODUCCIÓN NAT
Redes internas con
direccionamiento IP privado
NAT configurado en los routers
fronterizos, traduce las
direcciones privadas del tráfico
interno enviado al exterior.
NAT permite que las empresas
puedan direccionar sus hosts con
direcciones privadas y tener
acceso a Internet (redes públicas)
Sin NAT los hosts privados no
podrían acceder a Internet, puesto
que los routers fronterizos de los
ISP lo impedirían
20
PROCESO NAT
NAT se compone de dos procesos:
Un paquete se enruta hacia fuera
de su red privada. Se traduce su
dirección IP fuente privada por una
dirección IP pública enrutable,
contratada con el ISP.
Un paquete entra en la red
privada en respuesta a datagramas
anteriores. Se traduce su dirección
IP destino pública a una dirección
interna privada para su entrega
dentro de la red.
21
PROCESO NAT
Red privada interna = 10.0.0.0
Las estaciones no pueden acceder a Internet con
estas direcciones, puesto que los routers fronterizos
impiden que el tráfico privado se envíe al exterior.
IP router proporcionada ISP = 83.45.66.3
1) Dentro → Internet (Traducción en la fuente)
Dentro → RTA
RTA → Internet
10.0.0.2
128.23.2.2
83.45.66.3
128.23.2.2
2) Internet → Dentro (Traducción en el destino)
Internet → RTA
RTA → Dentro
128.23.2.2
83.45.66.3
128.23.2.2
10.0.0.2
Payload
Payload
Payload
Payload
22
TABLA NAT
El router mantiene una Taula NAT con las
direcciones privadas y sus correspondientes
direcciones públicas asignadas
Una entrada en la tabla NAT está activa
mientras la conexión está activa.
23
TIPOS TRADUCCIONES NAT
CISCO
NAT estático
NAT Dinámico
NAT por puertos (PAT)
Para servidores
Para hosts
Para hosts
LINUX
DNAT
SNAT (PAT)
Para servidores
Para hosts o terminales
24
NAT ESTÁTICO
Permite una asociación fija y única entre una @ privada
interna y una @ pública global en el router.
Permite publicar la @ privada interna de un servidor en
el router para que pueda ser accedido desde el exterior.
@ Local origen
@ Pública origen
- Es útil para servidores de empresas o dispositivos
de networking que deban tener una dirección fija que
sea accesible desde Internet.
- Se necesitan tantas @ públicas como servidores
queremos que puedan ser accedidos desde Internet.
25
NAT ESTÁTICO EN CISCO
R# configure terminal
R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit
R(config)# exit
26
NAT DINÁMICO
Permite asignar a cada @ privada interna, una
dirección de entre un conjunto (pool) de direcciones
IP públicas, que no esté en uso (asignación dinámica).
Cuando un host deja de acceder a Internet, otro
puede reutilizar la misma @ pública.
La asignación de una IPnat depende de las @
disponibles dentro del pool. Será totalmente
diferente en cada conexión individual.
Es normal utilizar un pool con menos direcciones
que el número de máquinas a conectar. Cuando se
utilizan todas las IPnat, la siguiente petición es
rechazada por parte del router NAT.
27
NAT DINÁMICO
R# configure terminal
R(config)# ip nat pool xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0
R(config)# access-list 2 permit 10.1.1.0 0.0.0.255
R(config)# ip nat inside source list 2 pool xc
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit
28
NAT POR PUERTOS (PAT)
Permite la traducción simultánea de varias
direcciones IP privadas internas con una sola
dirección IP pública.
Para ello utiliza los números únicos de puerto
TCP/UDP para distinguir entre las traducciones.
En la tabla NAT se encuentra la correspondencia
entre la tupla (@ privada, puerto local) y la tupla (@
pública, puerto externo).
TABLA NAT
@ Local origen Puerto Local
origen
@ Pública
origen
Puerto
externo origen
29
NAT POR PUERTOS (PAT)
Número total de puertos = 216 = 65.536
Nº máximo de puertos internos que se pueden
traducir a una misma dirección externa = 4000.
No se usan los puertos de 0-1024. Se utilizan los
puertos de rango superior (puertos efímeros).
PAT comienza asignando desde el 1º puerto
disponible. Cuando no hay más puertos (4000), PAT
utiliza la próxima dirección IP, empezando
nuevamente por el primer puerto disponible.
Este proceso continúa hasta que no haya puertos ni
direcciones IP externas disponibles.
30
NAT POR PUERTOS EN CISCO
R# configure terminal
R(config)# ip nat pool xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0
R(config)# access-list 2 permit 10.1.1.0 0.0.0.255
R(config)# ip nat inside source list 2 pool xc overload
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit
31
NAT POR PUERTOS (PAT)
1 2 3 4
sequence number
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
+-+-+-+-+
Comentarios de: UD12 - Firewalls (0)
No hay comentarios