PDF de programación - UD12 - Firewalls

12º Unidad Didáctica

FIREWALLS

Eduard Lara

1

ÍNDICE

Firewall.

Características.
Concepto de DMZ
Clasificación

NAT

Cisco
Linux

ACL

Cisco
Linux

Proxy

2

FIREWALL O CORTAFUEGOS

Un firewall o cortafuegos es un dispositivo

que separa una red que se desea proteger, de
otra de donde pueden venir ataques de
seguridad (Internet), y usa una política activa
de seguridad.

Está situado entre dos redes por donde todo

el tráfico debe pasar (checkpoint).

Zona de riesgo de una red privada no protegida

Zona de riesgo de una red privada protegida

3

FIREWALL O CORTAFUEGOS

Un firewall debe permitir que:
Cada host en una red privada puede acceder

a cualquier recurso de Internet

Evitar que un host de Internet puede atacar

a cualquier host de la red privada.

4

ZONA DMZ

(DE-MILITARIZED ZONE)

DMZ es un término militar que se utiliza para
identificar una zona neutral entre dos bandos en
conflicto.
En la zona DMZ están los servidores que se
desean que sean accesibles desde el exterior.
Generalmente el firewallrestringe el acceso
desde el exterior a la DMZ, y sólo permite a
algunos puertos de los servidores.

5

ZONA DMZ

(DE-MILITARIZED ZONE)

DMZ: De-Militarized Zone
Red interna con servidores

públicos

MZ: Militarized Zone

Red Interna

6

ZONA DMZ

(DE-MILITARIZED ZONE)

7

ZONA DMZ

(DE-MILITARIZED ZONE)

8

ZONA DMZ

(DE-MILITARIZED ZONE)

9

ZONA DMZ

(DE-MILITARIZED ZONE)

10

CATEGORIAS DE FIREWALLS

Hay diferentes tipos de firewalls, desde los más
sencillos que simplemente filtran según las @ IP o
puertos, hasta otros que son capaces de seguir y
filtrar según el estado de las conexiones y el tipo
de mensajes del nivel de aplicación.
1) Packet filtering
2) Circuit gateways
3) Application gateways or proxy servers
4) Hybrid firewalls: Combinación de las tres
categorías anteriores

11

PACKET FILTERING

El firewall observa y filtra los paquetes que no

cumplen ciertas condiciones.

Trabajan a nivel IP/TCP y toman decisiones
basándose en las cabeceras de los paquetes
(direcciones IP, nº de puertos, otras opciones
de los paquetes)

El filtrado se hace con listas de control de

acceso (Access Control List, ACL).

12

CIRCUIT GATEWAYS

En las redes internas que utilizan direcciones
privadas, el firewall utiliza NAT para que los
hosts de la red interior puedan acceder al
exterior.

Operan ocultando direcciones de la red (por

ejemplo NAT)

Previenen conexiones directas entre redes.

13

PROXY SERVERS

Operan a nivel de aplicación y pueden examinar

el contenido de la aplicación

El proxy server actúa como un intermediario

para el cliente

14

FUNCIONALIDADES ADICIONALES

EN LOS FIREWALLS

Autentificación de usuarios ( certificados)
Encriptación Firewall-a-firewall (en VPNs
donde el firewall actúa como un punto final VPN)
Detección Content screen devices (virus
scanning, URL screening)
Control de flujo a
entregar QoS (limita la
cantidad de ancho de
banda por conexión).

15

INTRODUCCIÓN NAT

NAT es una de las soluciones que ha evitado el
colapso del direccionamiento IPv4 de Internet.
Otras soluciones que han evitado la escasez de

direcciones IPv4:

- Introducción de la máscara en las tablas routing
- La división en subredes (1985-Subnetting)
- La división en subredes de longitud variable (1987-
VLSM)
- El enrutamiento interdominio sin clase (1993-CIDR)
- Las direcciones IP privadas
- La traducción de direcciones de red (NAT)

16

DIRECCIONES IP PRIVADAS

Son direcciones útiles para terminales o hosts
de la parte interna de la red, que no tienen
direcciones públicas.
Son direcciones reservadas para que cualquiera
las utilice de forma interna.
Los paquetes que contienen a estas direcciones
no son enrutables a través de Internet.
Clase
A
B
C

Prefijo CIDR
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16 192.168.0.0 – 192.168.255.255 256 direcciones clase C

Rango
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255

1 dirección clase A
16 direcciones clase B

17

INTRODUCCIÓN NAT

NAT es un software especializado que se

ejecuta en un firewall o router fronterizo, el
cual permite la conservación de direcciones IP
públicas asignadas a grandes redes, permitiendo
la utilización de direcciones IP privadas en sus
redes internas.

NAT realiza la traducción de direcciones

privadas internas a direcciones IP públicas
enrutables.

18

INTRODUCCIÓN NAT

19

INTRODUCCIÓN NAT

Redes internas con
direccionamiento IP privado
NAT configurado en los routers
fronterizos, traduce las
direcciones privadas del tráfico
interno enviado al exterior.
NAT permite que las empresas
puedan direccionar sus hosts con
direcciones privadas y tener
acceso a Internet (redes públicas)
Sin NAT los hosts privados no
podrían acceder a Internet, puesto
que los routers fronterizos de los
ISP lo impedirían

20

PROCESO NAT

NAT se compone de dos procesos:

Un paquete se enruta hacia fuera
de su red privada. Se traduce su
dirección IP fuente privada por una
dirección IP pública enrutable,
contratada con el ISP.

Un paquete entra en la red
privada en respuesta a datagramas
anteriores. Se traduce su dirección
IP destino pública a una dirección
interna privada para su entrega
dentro de la red.

21

PROCESO NAT

Red privada interna = 10.0.0.0
Las estaciones no pueden acceder a Internet con
estas direcciones, puesto que los routers fronterizos
impiden que el tráfico privado se envíe al exterior.
IP router proporcionada ISP = 83.45.66.3

1) Dentro → Internet (Traducción en la fuente)

Dentro → RTA

RTA → Internet

10.0.0.2

128.23.2.2

83.45.66.3

128.23.2.2

2) Internet → Dentro (Traducción en el destino)

Internet → RTA

RTA → Dentro

128.23.2.2

83.45.66.3

128.23.2.2

10.0.0.2

Payload

Payload

Payload

Payload

22

TABLA NAT

El router mantiene una Taula NAT con las
direcciones privadas y sus correspondientes
direcciones públicas asignadas
Una entrada en la tabla NAT está activa
mientras la conexión está activa.

23

TIPOS TRADUCCIONES NAT

CISCO

NAT estático

NAT Dinámico

NAT por puertos (PAT)

Para servidores

Para hosts

Para hosts

LINUX

DNAT

SNAT (PAT)

Para servidores

Para hosts o terminales

24

NAT ESTÁTICO

Permite una asociación fija y única entre una @ privada
interna y una @ pública global en el router.
Permite publicar la @ privada interna de un servidor en
el router para que pueda ser accedido desde el exterior.

@ Local origen

@ Pública origen

- Es útil para servidores de empresas o dispositivos
de networking que deban tener una dirección fija que
sea accesible desde Internet.
- Se necesitan tantas @ públicas como servidores
queremos que puedan ser accedidos desde Internet.

25

NAT ESTÁTICO EN CISCO

R# configure terminal
R(config)# ip nat inside souce static 10.1.1.1 198.3.4.1
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit
R(config)# exit

26

NAT DINÁMICO

Permite asignar a cada @ privada interna, una
dirección de entre un conjunto (pool) de direcciones
IP públicas, que no esté en uso (asignación dinámica).
Cuando un host deja de acceder a Internet, otro
puede reutilizar la misma @ pública.
La asignación de una IPnat depende de las @
disponibles dentro del pool. Será totalmente
diferente en cada conexión individual.
Es normal utilizar un pool con menos direcciones
que el número de máquinas a conectar. Cuando se
utilizan todas las IPnat, la siguiente petición es
rechazada por parte del router NAT.

27

NAT DINÁMICO

R# configure terminal
R(config)# ip nat pool xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0
R(config)# access-list 2 permit 10.1.1.0 0.0.0.255
R(config)# ip nat inside source list 2 pool xc
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit

28

NAT POR PUERTOS (PAT)

Permite la traducción simultánea de varias
direcciones IP privadas internas con una sola
dirección IP pública.
Para ello utiliza los números únicos de puerto
TCP/UDP para distinguir entre las traducciones.
En la tabla NAT se encuentra la correspondencia
entre la tupla (@ privada, puerto local) y la tupla (@
pública, puerto externo).

TABLA NAT

@ Local origen Puerto Local

origen

@ Pública
origen

Puerto
externo origen

29

NAT POR PUERTOS (PAT)

Número total de puertos = 216 = 65.536
Nº máximo de puertos internos que se pueden
traducir a una misma dirección externa = 4000.
No se usan los puertos de 0-1024. Se utilizan los
puertos de rango superior (puertos efímeros).
PAT comienza asignando desde el 1º puerto
disponible. Cuando no hay más puertos (4000), PAT
utiliza la próxima dirección IP, empezando
nuevamente por el primer puerto disponible.
Este proceso continúa hasta que no haya puertos ni
direcciones IP externas disponibles.

30

NAT POR PUERTOS EN CISCO

R# configure terminal
R(config)# ip nat pool xc 198.3.4.1 198.3.4.254 netmask 255.255.255.0
R(config)# access-list 2 permit 10.1.1.0 0.0.0.255
R(config)# ip nat inside source list 2 pool xc overload
R(config)# interface e0
R(config-if)# ip nat inside
R(config-if)# exit
R(config)# interface s0
R(config-if)# ip nat outside
R(config-if)# exit

31

NAT POR PUERTOS (PAT)

1 2 3 4

sequence number

0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
+-+-+-+-+