Uniminuto Firewall

Seguridad en RedesIng. Msc. Jaider Ospina NavasTcnicas Seguridad de la InformacinUNIMINUTO 2015

firewall


DEFINICIN DE FIREWALL

Un firewall o cortafuegos, es una parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios


Modelos de SeguridadSeguridad por Secreto (oscuridad)Seguridad de MquinasSeguridad de RedesIntegracin de ellos


Etimologala palabra firewall denota una pared que evita que el fuego (los peligros de Internet) se propague dentro del edificio (nuestrared interna).


Que puede hacer un Firewall?Foco para decisiones de seguridad.

Imponer polticas de seguridad.

Registrar eficientemente la actividad deInternet.

Limitar la exposicin ante ataques.


Que no puede hacer un Firewall?Proteger contra usuarios maliciosos.

Proteger lo que no pasa por el.

Proteger contra nuevas amenazas.

Proteger completamente contra virus.

Autoconfigurarse correctamente.


Desventajas de los FirewallsInterfieren con el uso de Internet.

Los problemas que los firewalls no puedenresolver (amenazas internas y conexionesexternas que no pasan por el firewall) sonms importantes que los problemas que losfirewalls pueden resolver.


Estrategias de SeguridadMnimo privilegio.Defensa en profundidad.Cuello de botella.Eslabn ms dbil.Poltica para el caso de fallas.Participacin universal.Diversidad de defensas.Simplicidad.


Paquetes y Protocolos TCPTCP es el protocolo ms utilizado parabrindar servicios de Internet.Provee conexin confiable y bidireccional.Confiable, significa que el destino recibe lainformacin enviada: *Completamente. *Sin duplicaciones.En el mismo orden en que fue enviada.


Paquetes y Protocolos TCPBidireccional.TCP usa nmeros secuenciales para garantizar que los paquetes lleguen en el orden correcto.Opciones TCP (flags)ACK (reconocimiento) PSH (empujar)

SYN (sincronizacin) RST (restablecer)

URG (urgente) FIN (terminar)


Paquetes y Protocolos TCPDe inters para un firewall son las opciones:

ACK: porque permite determinar el inicio deuna conexin.

RST porque permite interrumpir una conexinsin devolver un mensaje til al agente externo.


Paquetes y Protocolos TCPProtocolo utilizado para estado de IP y paraenviar mensajes de control.Mensajes tpicos:

Pedido de eco (echo request)Respuesta a eco (echo response)Tiempo excedidoDestino no alcanzable.Redireccin


Tecnologas de FirewallFiltrado de paquetes.

Servicios proxy.

Traduccin de direcciones (NAT).

Redes privadas virtuales (VPN).


Filtrado de PaquetesOperan en capa IP o de acceso a la red.

Por lo general, el enrutador debe decidir enbase a la direccin IP de destino.

Tablas de ruteo, fijas o protocolo de ruteo.

Enrutador: cmo enviar el paquete?

Filtro de paquetes: debo enviar el paquete?


Filtrado de PaquetesVentajas:Un solo enrutador con filtrado puede protegertoda una red completa.El filtrado simple es muy eficiente.

Desventajas:

El filtrado reduce la performance del enrutador.Algunas polticas no son fciles de implementarpor enrutadores comunes.


Sistemas Proxy


Sistemas ProxyVentajas:Registro eficiente de conexionesCapacidad de filtrado inteligente/caching.Autenticacin de usuarios.

Desventajas:Demora en disponer del proxy para nuevasaplicaciones.A menudo implican modificaciones a los clientes y las aplicaciones.


Traduccin de direcciones (NAT


Traduccin de direcciones (NAT)Ventajas:Impone control sobre conexiones salientes.Oculta la configuracin de la red interna.

Desventajas:Problemas con direcciones IP embebidas.Interferencia con registro, filtrado de paquetes,sistemas de encriptacin y autenticacin.


Traduccin de puertos (PAT)


Redes Privadas Virtuales VPNIdea: Uso de encriptacin y control de integridad para poder usar una red pblica (Internet) como si fuera privada.

Combinar el bajo costo de las redes pblicascon la seguridad de las redes privadas.


Redes Privadas Virtuales VPNVentajas:Proveen encriptacin global.Permiten utilizar protocolos difciles de segurizar.Costo

Desventajas:Implican conexiones riesgosas a red pblica.Extienden la red que debemos proteger.


Arquitecturas de FirewallEnrutador con filtrado


Arquitecturas de FirewallMquina con dos interfaces


Arquitecturas de FirewallMquina Filtrada


Arquitecturas de FirewallRed Filtrada


Arquitecturas de FirewallRed Filtrada Separada


Diseo de Firewall


Diseo de FirewallProcesoDefinir requerimientos.Evaluar productos disponiblesIntegrar productos seleccionadosRequerimientosServicios que deben ofrecerse.Nivel relativo de seguridad.Nivel de utilizacin.Confiabilidad


Diseo de FirewallEvaluacin de productos disponiblesEscalabilidad.Confiabilidad y redundancia.Auditabilidad.Herramientas de manejo y configuracin.Flexibilidad.


Diseo de FirewallIntegracin de productos seleccionados.Implementacin de registros (log).

Copias de respaldo.

Servicios de soporte requeridos (DNS, NTP).

Manejo de alarmas.Informes de rutina.


LABORATORIO:

Consultar parctica en el aula virtual.

Gracias!!!


Fuentes: http://es.ccm.net/contents/590-firewall http://www.ucema.edu.ar/conferencias/download/Firewalls_de_Internet.pdf http://www.segu-info.com.ar/firewall/firewall.htm

http://informatica.uv.es/it3guia/ARS/

******************************************************************************************************

Documents

Uniminuto Firewall