Publicado el 17 de Septiembre del 2017
1.081 visualizaciones desde el 17 de Septiembre del 2017
1,8 MB
78 paginas
Creado hace 21a (13/11/2003)
Firewalls de Internet
Ricardo D. Pantazis
�Introducción
Firewall: sistema que restringe el acceso
entre una red protegida e Internet.
Nociones de seguridad.
Conceptos para construcción de firewalls.
13-nov-03
UCEMA
2
�Agenda
Nociones de seguridad en redes
Tecnologías de Firewall
Arquitecturas de Firewall
Filtrado de paquetes en LINUX
Herramientas
Referencias
13-nov-03
UCEMA
3
�Concepto
Los firewalls son parte de una estrategia
efectiva para resolver el problema de la
seguridad en Internet.
La mejor solución es a menudo una
combinación de tecnologías y depende
mucho de las políticas y de los servicios que
deben implementarse.
13-nov-03
UCEMA
4
�Motivación
Tratamos de proteger
Datos.
Recursos.
Reputación.
Contra ataques de
Intrusión.
Negación de servicio.
Robo de información.
13-nov-03
UCEMA
5
�Modelos de Seguridad
Seguridad por Secreto (oscuridad)
Seguridad de Máquinas
Seguridad de Redes
Por lo general es necesaria una combinación
de estos modelos.
13-nov-03
UCEMA
6
�Etimología
En construcción, la palabra “firewall” denota una
pared que evita que el fuego (los peligros de
Internet) se propague dentro del edificio (nuestra
red interna).
En la práctica un firewall es más similar al foso
que rodeaba a los castillos medievales:
Restringe entradas y salidas a un punto bien controlado.
Evita que los atacantes se acerquen a otras defensas.
13-nov-03
UCEMA
7
�Que puede hacer un Firewall?
Foco para decisiones de seguridad.
Imponer una política de seguridad.
Registrar eficientemente la actividad de
Internet.
Limitar la exposición ante ataques.
13-nov-03
UCEMA
8
�Que no puede hacer un Firewall?
Proteger contra usuarios maliciosos.
Proteger contra conexiones que no pasan
por el firewall.
Proteger contra nuevas amenazas.
Proteger completamente contra virus.
Autoconfigurarse correctamente.
13-nov-03
UCEMA
9
�Desventajas de los Firewalls
Interfieren con el uso de Internet.
Los problemas que los firewalls no pueden
resolver (amenazas internas y conexiones
externas que no pasan por el firewall) son
más importantes que los problemas que los
firewalls pueden resolver.
13-nov-03
UCEMA
10
�Servicios de Internet
World Wide Web (HTTP).
Correo Electrónico (SMTP).
Transferencia de Archivos (FTP).
Acceso remoto (Telnet, SSH).
Búsqueda de nombres y direcciones (DNS).
Los servicios tienen distintos niveles de
seguridad. Pero se pueden usar servicios
seguros de manera insegura y viceversa.
13-nov-03
UCEMA
11
�Estrategias de Seguridad
Mínimo privilegio.
Defensa en profundidad.
Cuello de botella.
Eslabón más débil.
Política para el caso de fallas.
Participación universal.
Diversidad de defensas.
Simplicidad.
13-nov-03
UCEMA
12
�Paquetes y Protocolos
Para transferir eficientemente la
información, la misma debe dividirse en
pequeños trozos llamados paquetes.
Cada paquete consta de:
encabezado
cuerpo
La comunicación se establece mediante
protocolos que se agrupan en capas.
13-nov-03
UCEMA
13
�Paquetes y Protocolos
Las capas de TCP/IP sobre las que se basa
Internet son:
Capa de Aplicaciones (HTTP, SMTP, FTP)
Capa de Transporte (TCP, UDP)
Capa de Internet (IP)
Capa de Acceso a la Red (Ethernet, ATM)
Las capas inferiores encapsulan los
paquetes de las capas superiores.
13-nov-03
UCEMA
14
�Paquetes y Protocolos
Encapsulado
13-nov-03
UCEMA
15
�Paquetes y Protocolos
Anatomía de un paquete IP v4
13-nov-03
UCEMA
16
�Paquetes y Protocolos
Fragmentación
13-nov-03
UCEMA
17
�Paquetes y Protocolos
Fragmentación
13-nov-03
UCEMA
18
�Paquetes y Protocolos
TCP
TCP es el protocolo más utilizado para
brindar servicios de Internet.
Provee conexión confiable y bidireccional.
Confiable, significa que el destino recibe la
información enviada:
Completamente.
Sin duplicaciones.
En el mismo orden en que fue enviada.
13-nov-03
UCEMA
19
�Paquetes y Protocolos
TCP
Bidireccional: la misma conexión se usa para
pedidos al servidor y para respuestas a los clientes.
TCP implica costos de establecimiento y de
operación de la conexión.
TCP usa números secuenciales para garantizar que
los paquetes lleguen en el orden correcto.
Opciones TCP (flags)
ACK (reconocimiento)
SYN (sincronización)
URG (urgente)
PSH (empujar)
RST (restablecer)
FIN (terminar)
13-nov-03
UCEMA
20
�Paquetes y Protocolos
TCP - Conexión
13-nov-03
UCEMA
21
�Paquetes y Protocolos
TCP
De interés para un firewall son las opciones:
ACK: porque permite determinar el inicio de
una conexión.
RST porque permite interrumpir una conexión
sin devolver un mensaje útil al agente externo.
13-nov-03
UCEMA
22
�Paquetes y Protocolos
UDP
Mayor eficiencia que TCP porque no
garantiza orden de los paquetes.
Puede haber paquetes duplicados.
La aplicación es responsable de
implementar las garantías que UDP no
ofrece.
13-nov-03
UCEMA
23
�Paquetes y Protocolos
ICMP
Protocolo utilizado para estado de IP y para
enviar mensajes de control.
Mensajes típicos:
Pedido de eco (echo request)
Respuesta a eco (echo response)
Tiempo excedido
Destino no alcanzable.
Redirección
13-nov-03
UCEMA
24
�Ataques basados en detalles de
bajo nivel de los protocolos
Análisis de puertos (port scanning).
Debilidades de la implementación.
Intercepción de paquetes.
13-nov-03
UCEMA
25
�Vocabulario
Enrutador (router): dispositivo que permite
interconectar distintas redes IP.
Máquina (host): computadora conectada a una red.
Máquina bastión: computadora altamente segura.
PROXY: programa intermediario que comunica a
clientes internos con servidores externos.
13-nov-03
UCEMA
26
�Tecnologías de Firewall
13-nov-03
UCEMA
27
�Tecnologías de Firewall
Filtrado de paquetes.
Servicios proxy.
Traducción de direcciones (NAT).
Redes privadas virtuales (VPN).
13-nov-03
UCEMA
28
�Tecnologías de Firewall
Filtrado de Paquetes
Operan en capa IP o de acceso a la red.
Por lo general, el enrutador debe decidir en
base a la dirección IP de destino.
Tablas de ruteo, fijas o protocolo de ruteo.
Enrutador: cómo enviar el paquete?
Filtro de paquetes: debo enviar el paquete?
13-nov-03
UCEMA
29
�Tecnologías de Firewall
Filtrado de Paquetes
Ventajas:
Un solo enrutador con filtrado puede proteger
toda una red completa.
El filtrado simple es muy eficiente.
Desventajas:
El filtrado reduce la performance del enrutador.
Algunas políticas no son fáciles de implementar
por enrutadores comunes.
13-nov-03
UCEMA
30
�Tecnologías de Firewall
Sistemas PROXY
Idea: proveer acceso a Internet a un gran
número de máquinas, a través de pocas
máquinas conectadas a Internet.
Las máquinas conectadas a Internet actúan
como intermediarias (PROXY) para las que
no tienen conexión.
Operan en la capa de aplicaciones.
13-nov-03
UCEMA
31
�Tecnologías de Firewall
Sistemas PROXY
13-nov-03
UCEMA
32
�Tecnologías de Firewall
Sistemas PROXY
Ventajas:
Registro eficiente de conexiones
Capacidad de filtrado inteligente/caching.
Autenticación de usuarios.
Protección automática para debilidades en la
implementación
Desventajas:
Demora en disponer del proxy para nuevas
aplicaciones.
A menudo implican modificaciones a los clientes y las
aplicaciones.
13-nov-03
UCEMA
33
�Tecnologías de Firewall
Traducción de direcciones (NAT)
13-nov-03
UCEMA
34
�Tecnologías de Firewall
Traducción de puertos (PAT)
13-nov-03
UCEMA
35
�Tecnologías de Firewall
Traducción de direcciones
Ventajas:
Impone control sobre conexiones salientes.
Oculta la configuración de la red interna.
Desventajas:
Problemas con direcciones IP embebidas.
Interferencia con registro, filtrado de paquetes,
sistemas de encriptación y autenticación.
13-nov-03
UCEMA
36
�Redes Privadas Virtuales
VPN
Idea: uso de encriptación y control de
integridad para poder usar una red pública
(Internet) como si fuera privada.
Combinar el bajo costo de las redes públicas
con la seguridad de las redes privadas.
13-nov-03
UCEMA
37
�Redes Privadas Virtuales
VPN
Ventajas:
Proveen encriptación global.
Permiten utilizar protocolos difíciles de
segurizar.
Costo
Desventajas:
Implican conexiones riesgosas a red pública.
Extienden la red que debemos proteger.
13-nov-03
UCEMA
38
�Arquitecturas de Firewall
13-nov-03
UCEMA
39
�Arquitecturas de Firewall
Enrutador con filtrado
13-nov-03
UCEMA
40
�Arquitecturas de Firewall
Máquina con dos interfases
13-nov-03
UCEMA
41
�Arquitecturas de Firewall
Máquina Filtrada
13-nov-03
UCEMA
42
�Arquitecturas de Firewall
Red Filtrada
13-nov-03
UCEMA
43
�Arquitecturas de Firewall
Red Filtrada Separada
13-nov-03
UCEMA
44
�Diseño de Firewall
13-nov-03
UCEMA
45
�Diseño de Firewalls
Proceso
Definir requerimientos.
Evaluar productos disponibles
Integrar productos seleccionados
Requerimientos
Servicios que deben ofrecerse.
Nivel relativo de seguridad.
Nivel de utilización.
Confiabilidad
13-nov-03
UCEMA
46
�Diseño de Firewalls
Evaluación de productos disponibles
Escalabilidad.
Confiabilidad y redundancia.
Auditabilidad.
Herramientas de manejo y configuración.
Flexibilidad.
13-nov-03
UCEMA
47
�Diseño de Firewalls
Integración de productos seleccionados.
Implementación de registros (log).
Copias de respaldo.
Servicios de soporte requeridos (DNS, NTP).
Manejo de alarmas.
Informes de rutina.
13-nov-03
UCEMA
48
�Tecnologías de Firewall
13-nov-03
UCEMA
49
�Filtrado de Paquetes
Enrutadores deciden como transmitir los
paquetes basados en la dirección de destino
y tablas de ruteo.
Enrutadores son un cuello de botella.
Proteger toda una red desde un único punto.
13-nov-03
UCEMA
50
�Filtrado de Paquetes
Dinámico o con estado
13-nov-03
UCEMA
51
�Filtrado de Paquetes
Configuración
Protocolos usualmente bidireccionales.
Distinguir “entrante” y “saliente” para
paquetes y para servicios.
Definir postura por omisión (default).
Filtrado por interfase.
13-nov-03
UCEMA
52
�Tecnologías de Firewall
Filtrado de Paquetes
Características de un filtro de paquetes
Crear cuenta
Comentarios de: Firewalls de Internet (0)
No hay comentarios