Que pretende controlar el FW

Documentos relacionados
Iptables: un cortafuegos TCP/IP

Gestión de Recursos y Seguridad en Redes Seguridad en la red con Open Source. Derman Zepeda Vega. dzepeda@unan.edu.ni

Tema: Firewall basado en IPTABLES.

INGENIERÍA EN SISTEMAS Y TELECOMUNICACIONES ÉNFASIS EN ADMINISTRACIÓN DE REDES

Cortafuegos (Firewalls) en Linux con iptables

Seguridad en Sistemas Informáticos Seguridad perimetral. Área de Ingeniería Telemática Dpto. Automática y Computación

Cortafuegos y Linux. Iptables

Cortafuegos (Firewalls) en Linux con iptables

Seguridad Informática

UNIDAD DIDACTICA 12 CONFIGURACIÓN DE IPTABLES EN GNU/LINUX

Punto 1 Cortafuegos. Juan Luis Cano

Cortafuegos ( Firewall ) Arquitecturas de cortafuegos Juan Nieto González IES A Carballeira -

Concepto de Seguridad de Alto Nivel: A lo largo del curso hemos establecido protecciones en los equipos y en la información que almacenan e

SEGURIDAD EN SISTEMAS INFORMÁTICOS

Seguridad y Alta Disponibilidad

Contenidos. Introducción. Seguridad y Alta Disponibilidad Instalación y configuración de cortafuegos. Introducción Tipos de cortafuegos.

Ejemplos iptables. Planificación y gestión de redes de ordenadores. Departamento de Sistemas Telemáticos y Computación (GSyC) Noviembre de 2012

Filtrado de paquetes y NAT

Seguridad y Alta Disponibilidad

How to 16 Firewall. Jesús Betances Página 1

66.69 Criptografía y Seguridad Informática FIREWALL

John R. Correa Administrador de Seguridad de la Información.

Firewalls, IPtables y Netfilter

Introducción al concepto y puesta en marcha de una pared de fuego utilizando IPTables

Firewalls: iptables. Pablo Suau Pérez (aka Siew) Marzo 2002

LISTAS DE CONTROL DE ACCESO ACL

Seguridad Informática: Mecanismos de defensa

IPTABLES. Esta es una herramienta que permite configurar las reglas del sistema de filtrado de paquetes del kernel de Linux, desde su versión 2.4.

EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

Configuración del firewall en Linux con IPtables

Julio Gómez López Universidad de Almería

IPTABLES. FW's de hosts (a veces asociados a Fws personales y/o a servidores). Por Fws de red..

miércoles 7 de septiembre de 2011 Protección perimetral

IPTables. Roberto Gómez Cárdenas Netfilter/IPTables

Prácticas de laboratorio de Telemática II

Tema 6. Funciones y protocolos del nivel de red. Ejercicios propuestos (II).

8. Cortafuegos (Firewall).

Unidad 5. Firewalls S E G U R I D A D D E L A I N F O R M A C I O N

Firewalls de Internet. Ricardo D. Pantazis

Firewall en GNU/Linux netfilter/iptables

IPTABLES. Gonzalo Alvarez Flores

En el anterior post había explicado que es necesario en un firewall primero denegar todo tráfico entrante, para ello:

Firewall con IPTABLES

Capítulo 8 Seguridad en Redes WEP, FW, IDS. Basado en: Computer Networking: A Top Down Approach, Jim Kurose, Keith Ross.

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Tema 3. Firewalls y Proxies con OpenBSD Y GNU/Linux

Firewall Firestarter. Establece perímetros confiables.

Prevención Dinámica de Ataques con IPTables.

Conozca sobre el funcionamiento de las IPTables Forward. Aprenda como administrar de mejor forma las IPTables en SO GNU/Linux.

Seguridad en las Redes

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Apartado: BrutaliXL Versión: 3 Título: Cortafuegos - Iptables Fecha:

Cortafuegos en Linux con iptables

PRÁCTICA 5: USO DE CORTAFUEGOS

Firewalls, IPtables y Netfilter. Redes de Datos

Servidor Firewall. Patrick Hernández Cuamatzi. Maestría en Ingeniería de Software Redes Avanzadas

Iptables, herramienta para controlar el tráfico de un servidor

Práctica 5: Listas de acceso estándar y extendidas

Este firewall trabaja en las cuatro primeras capa del modelo OSI. Los principales comandos de IPtables son los siguientes (argumentos de una orden):

CAPITULO 14 SEGURIDAD EN LA RED

IP de uso general ACL de la configuración

XARXES 2. Seguretat de Xarxa. Módul 2: Carles Mateu Departament d'informàtica i Enginyeria Industrial Universitat de Lleida

Agenda, continuación

Firewall en Linux. Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux

Tema 6. Seguridad Perimetral Parte 1. Cortafuegos

Configuración de ACL IP utilizadas frecuentemente

MODULO IV Control de Acceso y Cortafuegos. Diplomado en Seguridad Informática Cortafuegos 2003 SekureIT, S.A. de C.V. 10.

Lista de Control de Acceso (ACL) LOGO

SEGURIDAD EN REDES FIREWALLS. Ing. José I. Gallardo Univ.Nac.Patagonia "S.J.Bosco" 1 SEGURIDAD- FIREWALLS

Seguridad en redes: TCP/IP, filtrado de tráfico y firewalls. Alberto Castro Rojas

Guía de Configuración de Firewalls con Scientific Linux 5.0

Tema 6. Firewalls. SEGURIDAD EN SISTEMAS DE INFORMACIÓN Libre Elección de abril de 2009

Práctica de laboratorio Configuración de políticas de acceso y de valores de DMZ

IPTables: Filtrado de paquetes en Linux

P r á c t i c a 1 5. C o n f i g u r a c i ó n d e f i r e w a l l m e d i a n t e i p t a b l e s

Alta Disponibilidad de Cortafuegos en Linux. Pablo Neira Ayuso Proyecto Netfilter Universidad de Sevilla

Sesión 1 Unidad 5 Desarrollo de Software Libre I. IPTABLES (Firewall)

2. Diferencias respecto a IPCHAINS

Ing. Ma. Eugenia Macías Ríos. Administración de Redes

Introducción Ambiente del firewall Tipos de firewall Futuro de los Firewalls Conclusion

Tecnologías De La Información Y Comunicación I. Firewall Y Proxy. Integrantes: Héctor Duran. Katherine Zumelzu

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas

- Tipos de cortafuegos.

ÍNDICE SEGURIDAD EN NFS SEGURIDAD EN SAMBA. Ficheros /etc/hosts.deny y /etc/hosts.allow Introducción a iptables Seguridad con iptables

12º Unidad Didáctica FIREWALLS. Eduard Lara

REDES DE COMPUTADORES REDES Y SISTEMAS DISTRIBUIDOS

Aprendiendo a usar IPTABLES desde cero.

Laboratorio de Redes de Computadores

GUÍA DE ESTUDIO TEMA 2. MODELO OSI. ESTÁNDARES Y PROTOCOLOS. MODELO TCP/IP.

La herramienta nmap. Nmap. Roberto Gómez Cárdenas La herramienta nmap. Dr.

Transcripción:

FireWall

Que pretende controlar el FW

Qué significa firewall? La traducción más acertada de este término inglés al idioma español es la palabra cortafuegos. <<Cortafuego o cortafuegos. (De cortar y fuego). m. Agr. Vereda ancha que se deja en los sembrados y montes para que no se propaguen los incendios. 2. Arq. Pared toda de fábrica, sin madera alguna, y de un grueso competente, que se eleva desde la parte inferior del edificio hasta más arriba del caballete, con el fin de que, si hay fuego en un lado, no se pueda este comunicar al otro.>>

Qué es un firewall? Un FireWall, es un sistema informático, simple o compuesto que actúa como punto de conexión segura entre otros dos o más sistemas informáticos. Es la primera línea de defensa sobre ataques externos; también puede ser usado para prevenir ataques internos.

Qué es un firewall?

Que es un Firewall? Existen 2 Tipos básicos de Firewall Hardware Firewall: Normalmente es un ruteador, tiene ciertas reglas para dejar o no dejar pasar los paquetes. Software Firewall: Es un programa que esta corriendo preferentemente en un bastioned host, que verifica los paquetes con diferentes criterios para dejarlos pasar o descartarlos.

Tipos básicos de Firewall Hardware Firewall Software Firewall

Funcionamiento Basico Examina el trafico en la red, tanto entrante como saliente. Aplica ciertos criterios definidos por el administrador para determinar si lo deja pasar o lo descarta.

En que capa trabaja el Firewall?

Tipos de Firewalls Packet filters Circuit Level Gateways Aplication Level Gateways Stateful Inspection Firewall

Paquet Filters

Packet filters Trabaja a nivel de Red. Compara con un conjunto de criterios antes de renviar el trafico Ventaja: Bajo costo e impacto en la performance de la red. Desventaja: No soporta rejas sofisticadas. Cada paquete puede ser analizado en función de: @IP origen / destino Puerto origen / destino Protocolo usado: TCP / UDP / ICMP

Packet Filtering Routers Renvia o descarta paquetes IP de acuerdo a un conjunto de reglas Las reglas de filtrado estan basadas en campos de las cabeceras IP o Transporte

Que informacion se utiliza en una decicion de filtrado? Direccion IP Origen (Cabecera IP) Direccion IP Destino (Cabecera IP) Tipo de Protocolo Puerto de Origen (Cabecera TCP o UDP) Puerto de Destino (Cabecera TCP o UDP) Bit ACK.

Circuit Level Gateways

Circuit level gateways Trabaja en la capa de Sesion Monitorea el handshaking TCP entre paquetes para determinar cuando una sesion es legitima Informacion es enviada al equipo remoto a travez Gateway de circuito como si fuese originado por el gateway. Ventaja: Relativamente economico, oculta la informacion sobre la red privada. Desventaja: No puede filtrar paquetes individuales.

Aplication Level Gateways

Aplication Level Gateways Actúa dentro de los niveles de transporte y aplicación (circuit level gateway y application gateway respectivamente) según el modelo TCP/IP. Procesa, valida y regenera cada paquete recibido; impidiendo la conexión directa entre 2 redes diferentes. Para cada servicio (telnet, ftp, http...) se utiliza un proxy específico, pudiendo así prohibir el uso de determinadas órdenes de un servicio.

Gateways Capa de Applicacion (Proxy Server)

Proxy Telnet

Stateful Inspection Firewall

Stateful Inspection Firewall Actúa dentro de los niveles de IP, transporte y aplicación según el modelo TCP/IP Comprueba (y no procesa, como en un Proxy server) los paquetes a distintos niveles verificando la validez de estos, basándose en un seguimiento del estado de la conexión en cada momento. Permite conexiones directas entre distintas redes, dando un servicio transparente a ambos lados.

La Red Dividida en Zonas Zona Publica, esta se encuentra directamente conectada a Internet (zona no segura, normalmente llamada RED) Zona Privada, esta es nuestra Lan Interna (Zona segura, normalmente llamada Green) Zona Desmiritalizada DMZ es donde se encuentran nuestros servicios de red que son accedidos tanto de la red publica como la privada.(zona semi-segura tambien llamada red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet, normalmente llamada Orange)

Esquema de implementación de Firewall Esta implementacion es basada en 2 firewall y se ve claramente las 3 Zonas

Esquema de implementación de Firewall Un solo FireWall conectando las 3 Zonas

Stateful Inspection Firewalls Estado de Conexion: Abierta o Cerrada Estado: El Orden de los paquetes dentro del Dialogo Controlar simplemente si es una conexion abierta

Negociación n de Conexión n en TCP/IP Ejemplo SYN (A, SN A ) Máquina A SYN (A, SN A ) SYN (B, SN B ) Máquina B ACK (B, SN B ) Connection

Como Opera Stateful Inspection Firewalls Para TCP, controla el la tabla de estados que las dos dirreciones IP y los numeros de puerto esten OK (Con conexion Abierta) Por defecto, permite las conexiones desde los clientes internos (en la red confiable) hacia servers externos (en la red no confiable) Este comportamiento predeterminado se puede cambiar en una ACL (Lista de Acceso) Aceptar paquetes en el futuro entre estos hosts y puertos con la inspección minima o nula

Stateful Inspection Firewall Operation I 1. Segmento TCP SYN De: 60.55.33.12:62600 A: 123.80.5.34:80 2. Establecimineto de la Coneccion 3. Segmento TCP SYN De: 60.55.33.12:62600 A: 123.80.5.34:80 PC Interna Cliente 60.55.33.12 Nota: Conecciones Salientes Permitidas Por Defecto Stateful Firewall Tabla de Coneccion Tipo IP Interno Puerto Interno IP Externo Puerto Externo Estado TCP 60.55.33.12 62600 123.80.5.34 80 OK Webserver Externo 123.80.5.34

Stateful Inspection Firewall Operation I Stateful Firewall PC Interna Cliente 60.55.33.12 6. Segmento TCP SYN/ACK De: 123.80.5.34:80 A: 60.55.33.12:62600 5. Check Connection OK 4. Segmento TCP SYN/ACK De: 123.80.5.34:80 A: 60.55.33.12:62600 Webserver Externo 123.80.5.34 Tabla de Coneccion Tipo IP Interno Puerto Interno IP Externo Puerto Externo Estado TCP 60.55.33.12 62600 123.80.5.34 80 OK

Como Opera Stateful Inspection Firewalls Para UDP, tambien registra las dos direcciones IP y sus respectivos puertos en la tabla de estados. Tabla de Coneccion Tipo IP Interno Puerto Interno IP Externo Puerto Externo Estado TCP 60.55.33.12 62600 123.80.5.34 80 OK UDP 60.55.33.12 63206 1.8.33.4 69 OK

Stateful Inspection Firewalls Los Firewalls con filtrado estatico de Paquetes Stateless (Sin Manejo de Estado) Filtran de un paquete a la vez, de forma aislada. Filter one packet at a time, in isolation Si es enviado un segmento TCP SYN / ACK, no se puede saber si había un SYN anterior el cual abre conexión If a TCP SYN/ACK segment is sent, cannot tell if there was a previous SYN to open a connection No pueden manejar la comutacion de puertos segun la aplicacion

Stateful Firewall Operation II Stateful Firewall PC Interna Cliente 60.55.33.12 2. Controla en la Tabla de Conexiones: No Hay Coneccion Accion: Drop (descartar) 1. Spoofed Segmento TCP SYN/ACK De: 10.5.3.4.:80 A: 60.55.33.12:64640 Tabla de Coneccion Tipo IP Interno Puerto Interno IP Externo Puerto Externo Estado TCP 60.55.33.12 62600 123.80.5.34 80 OK UDP 60.55.33.12 63206 222.8.33.4 69 OK Webserver Externo Ataque Spoofing 10.5.3.4

Port-Switching Applications with Stateful Firewalls 1. Segmento TCP SYN De: 60.55.33.12:62600 A: 123.80.5.34:21 2. Para Establecer la Coneccion 3. Segmento TCP SYN De: 60.55.33.12:62600 A: 123.80.5.34:21 PC Interna Cliente 60.55.33.12 Tabla de Coneccion Stateful Firewall FTP Server Externo 123.80.5.34 Tipo IP Interno Puerto Interno IP Externo Puerto Externo Estado Paso 2 TCP 60.55.33.12 62600 123.80.5.34 21 OK

Port-Switching Applications with Stateful Firewalls Stateful Firewall PC Interna Cliente 60.55.33.12 Tabla de Coneccion 6. Segmento TCP SYN/ACK De: 123.80.5.34:21 A: 60.55.33.12:62600 Usa los Puertos 20 y 55336 para Transferencia de Datos 5. Permite el Establecer La Segunda Coneccion 4. Segmento TCP SYN/ACK De: 123.80.5.34:21 A: 60.55.33.12:62600 Usa los Puertos 20 y 55336 para Transferencia de Datos FTP Server Externo 123.80.5.34 Tipo IP Interno Puerto Interno IP Externo Puerto Externo Estado Paso 2 TCP 60.55.33.12 62600 123.80.5.34 21 OK Paso 5 TCP 60.55.33.12 55336 123.80.5.34 20 OK

Stateful Inspection Access Control Lists (Lista de Control de Acceso o ACLs) Inicialmente Permite o Deniega aplicaciones Simple, porque buscando ataques que no son parte de las conversaciones no necesitan normas específicas, ya que se eliminan de forma automática En Firewalls integrados, las reglas ACL puede especificar que los mensajes de un protocolo de aplicación en particular o un servidor sea validada o pase a un firewall de aplicación (Proxy) para la inspección

Funciones del Firewall Filtrado, Inspección, Detección, Logging, Alertar Denegar todo lo que no este explícitamente permitido o Permitir todo lo que no este explícitamente denegado.

Linux Netfilter

Reglas de Filtrado Default Policy Permitir todo lo que no este explicitamente denegado. iptables P INPUT ACCEPT iptables P FORWARD ACCEPT iptables P OUTPUT ACCEPT Denegar todo lo que no este explícitamente permitido. iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT DROP

Inspección Profunda de Paquetes

Politica por Defecto: Denegar todo lo que no este explícitamente permitido. iptables P INPUT DROP iptables P FORWARD DROP iptables P OUTPUT DROP Permitir acceso al ssh del firewall desde un equipo externo iptables A INPUT i eth0 p tcp - dport ssh j ACCEPT iptables A OUTPUT o eth0 p tcp - sport ssh j ACCEPT Permitir pings desde todas las interfaces iptables A INPUT p icmp -icmp-type echo-request j ACCEPT iptables A OUTPUT p icmp -icmp-type echo-reply j ACCEPT Descartar todo el trafico procedente del equipo 80.63.5.7 iptables I INPUT 1 i eth0 s 80.63.5.7 j DROP

Stateful Inspection con Linux Netfilter Permitir respuestas en lo paquetes TCP iptables -A OUTPUT o eth0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT Permitir respuestas en lo paquetes UDP iptables -A OUTPUT o eth0 -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT Permitir respuestas en lo paquetes ICMP iptables -A OUTPUT o eth0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Cadenas de IPTables Completa

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback