Firewalls, IPtables y Netfilter Dastugue, Juan Cristobal, Leandro
Temario Políticas de diseño de un Firewall
Definición Qué es un Firewall? Es un sistema o conjunto de sistemas, ubicado entre dos redes. Tiene como finalidad principal ejercer una política de seguridad, proveyendo un control del flujo de la información en ambos sentidos de la comunicación, separando la intranet (red privada), de la Internet (red pública). Un firewall trabaja a nivel de red del modelo OSI (capa 3)
Funciones Funciones de un Firewall Permitir, limitar, cifrar, descifrar y llevar un registro del tráfico entre diferentes redes. En otras palabras, determina cuales de los servicios de red pueden ser accedidos por los que están afuera, por lo tanto, quien puede utilizar los recursos pertenecientes a la organización. Para que un firewall sea efectivo y que los datos sean inspeccionados en su totalidad, todo trafico deberá pasar a través suyo.
Principio de funcionamiento Cómo funciona un Firewall? Los firewalls filtran paquetes de datos basándose en: Direcciones IP Puertos Parámetros del header como: Timestamp. Tipo de servicio, etc.
Principio de funcionamiento Estático Dinámico Tipos de Filtrado
Vulnerabilidades comunes Vulnerabilidades Los vulnerabilidades principales de los firewalls son: Man in the Middle IP Spoofing Bugs de software
Tipos de firewall Firewall stateless (sin estado) Forma más básica de filtrado de tráfico (Capa de Red). Reglas estáticas. Examinan los encabezados de cada paquete. No posee relación con el tráfico precedente. Firewall statefull (con estado) Reglas dinámicas. Almacena en tablas dinámicas parámetros de la conexión. IP s, puertos y Nº de secuencias Tiene en cuenta el tráfico precedente. Efectivo contra Man in the Middle & IP Spoofing
Tipos de firewall Firewall de aplicación (Proxy) Funciona sobre varias capas del modelo OSI. Soporta los protocolos FTP, TELNET, DNS, DHCP, HTTP, TCP y UDP Inspecciona tanto el header como el contenido del paquete. Por ejemplo, filtrado de URL s, palabras clave, imágenes, etc.
Tipos de firewall OSFirewall Monitorean y bloquea comportamientos sospechosos. Protege un host y no una red. Alertan sobre: Cambios en la instalación de programas. Registro de sistema. Archivos del SO. Pueden incluso monitorear el teclado y el ratón (keylogger).
Políticas de diseño de un firewall Políticas Política restrictiva: Se deniega todo el tráfico excepto el que esta explícitamente permitido. Política permisiva: Se permite todo el tráfico excepto el que este explícitamente denegado.
Ventajas de un Firewall Pueden bloquear fácilmente los ataques de reconocimiento, tales como los barridos de puertos o el escaneo IP, si se los programa para tal propósito. Tienen la ventaja de ser económicos, tener un alto nivel de desempeño y ser transparentes para los usuarios conectados a la red. Algunos firewalls pueden proveer servicios de seguridad adicionales como: la encriptación del tráfico de la red. Pueden ofrecer servicio de NAT. Generar estadísticas del ancho de banda utilizado y que procesos han influido mas en ese tráfico. El administrador de la red puede restringir el uso de estos procesos y reduciendo el uso y economizando el ancho de banda disponible de la conexión.
Desventajas de un Firewall Generalmente no protege las capas superiores del modelo OSI. Al actuar de defensa perimetral, no defiende a hosts de ataques o errores provenientes de la intranet. Tampoco ofrece protección una vez que el intruso lo traspasa. Sus capacidades de auditoria son limitadas. Su capacidad de registro de actividades es limitada. No soportan políticas de seguridad complejas tales como: Autenticación de usuarios. Control de accesos con horarios prefijados. El firewall no puede proteger contra los ataques de ingeniería social (ataques organizados a nivel global). El firewall no puede proteger contra los ataques de virus informáticos o software malicioso. Los firewalls no son sistemas inteligentes, ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente lo deja pasar.
Netfilter/IPtables Qué es Netfilter/IPtables? Netfilter es un módulo disponible en el núcleo Linux que permite interceptar y manipular paquetes de red. Iptables: Es el programa en el cual se implementan las reglas con las cuales se comparan los paquetes y se decide que hacer con ellos. Netfilter es el firewall de los sistemas operativos basados en UNIX.
Netfilter/IPtables Qué es una regla? Es una condición de control impuesta por un administrador, con la cual se compara el paquete. Qué es una cadena? Es un conjunto de reglas en una misma línea de ejecución. Qué es una IPtable? Es un archivo compuesto por las cadenas, con las cuales quiero filtrar el tráfico de red. Qué es el Netfilter? Es el framework (programa raíz), en el cuál corren las aplicaciones que implementan las Iptables.
DMZ (Zona desmilitarizada) Políticas de seguridad de una DMZ El tráfico de la red externa a la DMZ está autorizado El tráfico de la red externa a la red interna está prohibido El tráfico de la red interna a la DMZ está autorizado. El tráfico de la red interna a la red externa está autorizado. El tráfico de la DMZ a la red interna está prohibido. El tráfico de la DMZ a la red externa está prohibido.
Arquitecturas de una DMZ DMZ con firewall simple DMZ con firewall simple Todo el tráfico debe pasar por él. Es la única interfaz entre las 3 redes. Si colapsa, se pierde conexión entre las redes. DMZ con firewall doble DMZ con firewall doble Más seguro que el caso anterior Si falla uno de ellos, la pérdida de conexión será parcial Es conveniente que sean de distintos fabricantes (bugs de software)
Preguntas Cuál es el alcance de la protección de una Firewall? Cuales sus las vulnerabilidades más comunes? Reglas, cadenas e Iptables Qué son y como se implementan? Qué arquitectura es mas conveniente en una DMZ? Por qué?justifique. Cátedra: Redes de Datos - Firewalls, IPtables y Netfilter Junio de 2014