Agenda, continuación

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Agenda, continuación"

Asunción Pérez Río
hace 8 años
Vistas:

1 Firewalls

2 Agenda Conceptos Generales Operación básica En que capa trabaja el Firewall? Tipos de Firewalls Filtro de Paquetes Criterios de Filtrado Ventajas del Filtrado de Paquetes Desventajas de los filtros de paquetes 05/10/06 2

3 Agenda, continuación Firewall a Nivel de Aplicación Stateful Inspection Firewall Tipos de Firewall según su Implementación Hardware Firewall Software Firewall Como Implementar un Firewall Firewall y Políticas de Seguridad Hasta donde podemos llegar según el tipo de filtrado 05/10/06 3

Software Firewall Como Implementar un Firewall Firewall y Políticas de

4 Conceptos Generales Un firewall es un sistema que impone una Política de Seguridad entre la organización de red privada (red segura) y el Internet (red insegura). Determina cual de los servicios de red pueden ser accedidos desde y hacia el exterior de la red privada No puede ofrecer protección alguna una vez que el agresor lo traspasa. 05/10/06 4

Determina cual de los servicios de red pueden ser accedidos desde y hacia el exterior

5 Operación básica 05/10/06 5

6 En que capa trabaja el Firewall? 05/10/06 6

7 Tipos de Firewalls según tipo de Filtrado Fitrado de Paquetes Firewall a nivel de Aplicación Stateful Inspection Firewall 05/10/06 7

8 Filtro de Paquetes 05/10/06 8

9 Criterios de Filtrado Por dirección de origen Por dirección de destino Por puerto de origen Por puerto de destino Por tipo de paquetes Por interfaces de entrada Por interfaces de salida 05/10/06 9

10 Ventajas del Filtrado de Paquetes Permite controlar desde un solo punto todo el acceso No necesita cooperación del usuario 05/10/06 10

11 Desventajas de los filtros de paquetes Solo se manipulan acciones de permitir o rechazar. Si un filtro de paquetes falla deja la puerta abierta 05/10/06 11

12 Firewall a Nivel de Aplicación 05/10/06 12

13 Stateful Inspection Firewall 05/10/06 13

14 Tipos de Firewall según su Implementación Según su implementación los firewall tambien se pueden clasificar en: Firewalls basados en Hardware Pix Firewall CheckPoint Firewalls basados en Software Zone Alarm WinXP firewall 05/10/06 14

en: Firewalls basados en Hardware Pix Firewall CheckPoint

15 Hardware Firewall 05/10/06 15

16 Software Firewall 05/10/06 16

17 Como Implementar un Firewall Determinar el nivel de Seguridad requerido en base a las Políticas de Seguridad de la Organización. Determinar el tráfico que va a entrar a la red. Determinar el trafico que va a salir de la red. Determinar el nivel de filtraje mínimo necesario 05/10/06 17

Determinar el tráfico que va a entrar a la red.

18 Firewall y Políticas de Seguridad Políticas por Omisión Lo que no está explícitamente permitido está prohibido Lo que no está explícitamente prohibido está permitido 05/10/06 18

19 Hasta donde podemos llegar según el tipo de filtrado: Suponga que implementa un firewall de filtrado de paquetes: Le permitirá establecer reglas como: Permita que desde cualquier red se haga telnet (puerto 23) a mi red Pero no podrá establecer una regla como: No permita que el usuario Pedro haga telnet a mi red 05/10/06 19

que desde cualquier red se haga telnet (puerto 23) a mi red Pero no podrá

20 Hasta donde podemos llegar según el tipo de filtrado (continuación) Suponga que implementa un firewall de filtrado de Contenido: Con este tipo de firewall si podrá establecer reglas como: No permita que el usuario Pedro haga telnet a mi red Descarte todo el contenido Active-X en navegación Web. 05/10/06 20

firewall si podrá establecer reglas como: No permita que el usuario Pedro

21 Filtrado de Fragmentos El problema se debe a que solo el primer fragmento contiene la información TCP necesaria. El enfoque común es permitir el paso de todos los fragmentos que no sean iniciales y filtrar solo estos últimos El peligro es que los fragmentos no iniciales pueden contener información útil para un atacante. Puede ser utilizado para un ataque de DoS 05/10/06 21

22 Filtrado TCP En la cabecera del paquete TCP tenemos: Puertos de origen y destino Banderas TCP (ACK) Para filtar una conexión TCP solo basta con parar el primer paquete. El chequeo del bit de ACK nos permite filtrar conexiones en un sentido pero no en el otro. 05/10/06 22

23 Filtrado UDP Los paquetes UDP no necesitan reconocimento por lo que parece imposible filtrar unidireccionalmente. Solución: filtrado Dinámico Filtrado Dinámico: Algunos FP recuerdan los últimos paquetes que salieron por un enlace, por lo que pueden filtrar aquellos que lleguen como respuestas. 05/10/06 23

24 Pregunta? Por qué existen TCP y UDP? Debe entrar UDP a mi red desde el exterior? 05/10/06 24

25 RPC RPC no utiliza los puertos TCP ó UDP sino un número de servicio de 4 bytes RPC está sobre TCP y UDP por lo que debe haber un mecanismo de mapear los números de servicio con los puertos TCP ó UDP: Portmapper El problema es que nunca sabemos cual es exactamente el puerto a bloquear Podemos bloquear el puerto del portmapper (111) pero un atacante podría buscar los puertos reales de las aplicaciones (son solo 65535!!!) 05/10/06 25

26 FTP 05/10/06 26

27 Servidores Bastión 05/10/06 27

28 DNS 05/10/06 28

29 mas de DNS No permita que sea el servidor interno quien realice las búsquedas en Internet Debe ser el servidor bastión quien realice las búsquedas Declare a su servidor bastión forwarder en la configuración de su servidor interno Esto le permitirá cerrar todo UDP sin problemas 05/10/06 29

30 Syslog No permita que sea el servidor interno quien realice las búsquedas en Internet Debe ser el servidor bastión quien realice las búsquedas Declare a su servidor bastión forwarder en la configuración de su servidor interno Esto le permitirá cerrar todo UDP sin problemas 05/10/06 30

31 SNMP Los servidores SNMP escuchan 161 TCP y UDP Los servidores trap SNMP escuchan por el puerto 162 TCP y UDP No permita tráfico de entrada a los puertos 161 TCP y UDP: sus equipos no podrán ser descubiertos (por esta vía) 05/10/06 31

32 Tuneles icmp Es la capacidad de envolver los datos reales en un cabecera ICMP. Muchos routes permiten pasar tráfico ICMP ECHO ; ICMP ECHO REPLY y UDP por lo que son vulnerables a este ataque. Solución:La forma de prevenirlo es desactivar todo tráfico ICMP a través de su enrutador. 05/10/06 32

33 Hagamos un ejemplo 05/10/06 33

34 y... En que puerta (s) ponemos esas reglas? 05/10/06 34

35 Los firewall no lo son todo Los firewalls son sin duda un valuarte importante en las estrategias de seguridad de una organización, sin embargo, no lo son todo. Un firewall puede fallar y si Ud. lo ha confiado todo a él, se encontrará en una situación realmente peligrosa. Un firewall no le protegerá de ataques internos. Un Firewall debe verse como un elemento más en la estrategia de defensa, pero nunca como sustituto del resto de las medidas de seguridad que hemos discutido. 05/10/06 35

Documentos relacionados

Firewalls, IPtables y Netfilter

Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro Temario Políticas de diseño de un Firewall Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes.