PDF de programación - Firewall - Seguridad Informática

Firewalls

Agenda

• Conceptos Generales
• Operación básica
• ¿En que capa trabaja el Firewall?
• Tipos de Firewalls
• Filtro de Paquetes
• Criterios de Filtrado
• Ventajas del Filtrado de Paquetes
• Desventajas de los filtros de paquetes

05/10/06

 

2

Agenda, continuación

• Firewall a Nivel de Aplicación
• Stateful Inspection Firewall
• Tipos de Firewall según su Implementación
• Hardware Firewall
• Software Firewall
• Como Implementar un Firewall
• Firewall y Políticas de Seguridad
• Hasta donde podemos llegar según el tipo de 

filtrado

05/10/06

 

3

Conceptos Generales

• Un firewall es un sistema que impone una Política de 
Seguridad entre la organización de red privada (red 
segura) y el Internet (red insegura).

• Determina cual de los servicios de red pueden ser 
accedidos desde y hacia el exterior de la red privada

• No puede ofrecer protección alguna una vez que el 
agresor lo traspasa.

05/10/06

 

4

Operación básica

05/10/06

 

5

¿En que capa trabaja el 
Firewall?

05/10/06

 

6

Tipos de Firewalls según tipo de 
Filtrado

 Fitrado de Paquetes

 Firewall a nivel de Aplicación

 Stateful Inspection Firewall

05/10/06

 

7

Filtro de Paquetes

05/10/06

 

8

Criterios de Filtrado

 Por dirección de origen
 Por dirección de destino
 Por puerto de origen
 Por puerto de destino
 Por tipo de paquetes
 Por interfaces de entrada
 Por interfaces de salida

05/10/06

 

9

Ventajas del Filtrado de
Paquetes

 Permite controlar desde un solo

punto todo el acceso

 No necesita cooperación del usuario

05/10/06

 

10

Desventajas de los
filtros de paquetes

● Solo se manipulan acciones de

permitir o rechazar.

● Si un filtro de paquetes falla deja

la “puerta abierta”

05/10/06

 

11

Firewall a Nivel de Aplicación

05/10/06

 

12

Stateful Inspection Firewall

05/10/06

 

13

Tipos de Firewall según su 
Implementación

Según su implementación los firewall tambien se 

pueden clasificar en:

Firewalls basados en Hardware

Pix Firewall
CheckPoint 

Firewalls basados en Software 

Zone Alarm
 WinXP firewall

05/10/06

 

14

Hardware Firewall

05/10/06

 

15

Software Firewall

05/10/06

 

16

Como Implementar un Firewall

 Determinar el nivel de Seguridad requerido en base 

a las Políticas de Seguridad de la Organización.

 Determinar el tráfico que va a entrar a la red.

 Determinar el trafico que va a salir de la red.

 Determinar el nivel de filtraje mínimo necesario

05/10/06

 

17

Firewall y Políticas de 
Seguridad

Políticas por Omisión

 Lo que no está explícitamente permitido está 

prohibido

 Lo que no está explícitamente prohibido está 

permitido

05/10/06

 

18

Hasta donde podemos llegar
según el tipo de filtrado:

Suponga que implementa un firewall de

filtrado de paquetes:

 Le permitirá establecer reglas como:

 Permita que desde cualquier red se

haga telnet (puerto 23) a mi red

 Pero no podrá establecer una regla como:
 No permita que el usuario Pedro haga
telnet a mi red

05/10/06

 

19

Hasta donde podemos llegar
según el tipo de filtrado
(continuación)

Suponga que implementa un firewall de

filtrado de Contenido:

 Con este tipo de firewall si podrá

establecer reglas como:

 No permita que el usuario Pedro haga

 Descarte todo el contenido Active-X en

telnet a mi red

navegación Web.

05/10/06

 

20

Filtrado de 
Fragmentos

• El problema se debe a que solo el primer
  fragmento contiene la información TCP
  necesaria.
• El enfoque común es permitir el paso de
  todos los fragmentos que no sean iniciales y
  filtrar solo estos últimos
• El peligro es que los fragmentos no iniciales
  pueden contener información útil para un
  atacante.
• Puede ser utilizado para un ataque de DoS

05/10/06

 

21

Filtrado TCP

• En la cabecera del paquete TCP
  tenemos:
   – Puertos de origen y destino
   – Banderas TCP (ACK)
• Para filtar una conexión TCP solo basta
  con “parar” el primer paquete.
• El chequeo del bit de ACK nos permite
  filtrar conexiones en un sentido pero no
  en el otro.

05/10/06

 

22

Filtrado UDP

• Los paquetes UDP no necesitan
  reconocimento por lo que parece
  imposible filtrar unidireccionalmente.
• Solución: filtrado Dinámico
• Filtrado Dinámico: Algunos FP
  “recuerdan” los últimos paquetes que
  salieron por un enlace, por lo que
  pueden filtrar aquellos que lleguen
  como respuestas.

05/10/06

 

23

Pregunta?

● Por qué existen TCP y UDP?
● Debe entrar UDP a mi red desde el 

exterior?

05/10/06

 

24

RPC

• RPC no utiliza los puertos TCP ó UDP sino un
  número de servicio de 4 bytes
• RPC está sobre TCP y UDP por lo que debe
  haber un mecanismo de mapear los números
  de servicio con los puertos TCP ó UDP:
  Portmapper

• El problema es que nunca sabemos cual es
  exactamente el puerto a bloquear
• Podemos bloquear el puerto del portmapper
  (111) pero un atacante podría buscar los
  puertos reales de las aplicaciones (son solo
  65535!!!)
25

 

05/10/06

FTP

05/10/06

 

26

Servidores Bastión

05/10/06

 

27

DNS

05/10/06

 

28

mas de DNS

• No permita que sea el servidor interno
  quien realice las búsquedas en Internet
• Debe ser el servidor bastión quien
  realice las búsquedas
• Declare a su servidor bastión forwarder
  en la configuración de su servidor
  interno
• Esto le permitirá cerrar todo UDP sin
  problemas

05/10/06

 

29

Syslog

• No permita que sea el servidor interno
  quien realice las búsquedas en Internet
• Debe ser el servidor bastión quien
  realice las búsquedas
• Declare a su servidor bastión forwarder
  en la configuración de su servidor
  interno
• Esto le permitirá cerrar todo UDP sin
  problemas

05/10/06

 

30

SNMP

• Los servidores SNMP escuchan 161
  TCP y UDP
• Los servidores trap SNMP escuchan por
  el puerto 162 TCP y UDP
• No permita tráfico de entrada a los
  puertos 161 TCP y UDP: sus equipos no
  podrán ser descubiertos (por esta vía)

05/10/06

 

31

Tuneles icmp

• Es la capacidad de envolver los datos 
reales en un cabecera ICMP.
• Muchos routes permiten pasar tráfico 
ICMP ECHO ; ICMP ECHO REPLY y UDP 
por lo que son vulnerables a este ataque.
• Solución:La forma de prevenirlo es
  desactivar todo tráfico ICMP a través de 
su enrutador.

05/10/06

 

32

Hagamos un 

ejemplo

05/10/06

 

33

y...

● En que puerta (s)  

ponemos esas 
reglas?

05/10/06

 

34

Los firewall no lo son todo

 Los firewalls son sin duda un valuarte importante en las 

estrategias de seguridad de una organización, sin embargo, no 
lo son todo. 

 Un firewall puede fallar y si Ud. lo ha confiado todo a él, se 

encontrará en una situación realmente peligrosa.

 Un firewall no le protegerá de ataques internos. 

 Un Firewall debe verse como un elemento más en la estrategia 
de defensa, pero nunca como sustituto del resto de las medidas 
de seguridad que hemos discutido.

05/10/06

 

35