66.69 Criptografía y Seguridad Informática FIREWALL.
-
Upload
antonello-manzanares -
Category
Documents
-
view
237 -
download
0
Transcript of 66.69 Criptografía y Seguridad Informática FIREWALL.
66.69 Criptografía y Seguridad Informática
FIREWALL
FIREWALL
¿Qué es un Firewall?
FIREWALL “Cortafuegos”=
FIREWALL
¿Qué es un Firewall?
FIREWALL “Cortafuegos”=
FIREWALL
¿Qué es un Firewall?
Elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
FIREWALL
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
FIREWALL
Tipos de Firewall
De filtrado de paquetes
De capa de aplicación
FISICAFISICA
ENLACEENLACE
REDRED
TRANSPORTETRANSPORTE
SESIÓNSESIÓN
PRESENTACIÓNPRESENTACIÓN
APLICACIÓNAPLICACIÓN
OSI
MAC
IP
protocolo + puerto
URL de HTTP
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
FIREWALL
Funciones posibles del Firewall (III)
• QOS
La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall limita la salida para que por ejemplo los usuarios puedan recibir sin problemas su correo
HTTPHTTP
FIREWALL
Funciones posibles del Firewall (IV)
• Balanceo de Carga
La LAN tiene dos vinculos con internet y el firewall distribuye la carga entre las dos conexiones.
HTTPHTTP
FIREWALL
Limitaciones del Firewall
• No protege de ataques fuera de su área
• No protege de espías o usuarios inconscientes
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
REGLASREGLAS
1) ACEPTARACEPTAR
2) DENEGAR DENEGAR
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
IPTABLES (LINUX)
FIREWALL
IPtables
IPTables
Kernel
LINUX
= NETFILTER
• Filtrado de paquetes• “Connection tracking”• NAT
FIREWALL
Funcionamiento de IPtables
INPUTINPUT
... el usuario puede crear tantas como desee.
OUTPUTOUTPUT
FORWARDFORWARD
regla1regla1 regla2regla2 regla3regla3 ...
cadena 1
paquete IPpaquete IP
cadenas básicas
FIREWALL
Funcionamiento de IPtables
... enlace a otra cadena
regla1regla1 regla2regla2 regla3regla3 ...
cadena 1
paquete IPpaquete IP
regla1regla1 regla2regla2 regla3regla3 ...
cadena 2
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINOcondiciones a matchear DESTINO
• ACCEPT• DROP• QUEUE• RETURN• ...
• cadena definida por usuario
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINOcondiciones a matchear DESTINO
• ACCEPT• DROP• QUEUE• RETURN• ...
• cadena definida por usuario
• protocolo• IP origen • IP destino• puerto destino• puerto origen• flags TCP• ...
FIREWALL
Funcionamiento de IPtables
TABLA
... cadena 1
paquete IPpaquete IP
... cadena 2
.
.
.
... cadena N
FIREWALL
Funcionamiento de IPtables
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas cadenas predefinidas :
• FILTER TABLE
• NAT TABLE
• MANGLE TABLE
• responsable del filtrado
• cadenas predefinidas
• INPUT
• OUTPUT
• FORWARD
• responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes
• PREROUTING (DNAT)
• POSTROUTING (SNAT)
• OUTPUT (DNAT local)
responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio; contiene todas las cadenas predefinidas posibles.
FIREWALL
Funcionamiento de IPtables
FIREWALL
Ejemplo de IPtables (I)
Queremos bloquear todos aquellos paquetes entrantes provenientes de la dirección IP 200.200.200.1.
iptables -s 200.200.200.1
No estamos especificando qué hacer con los paquetes. Para esto, se usa el parámetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP.
iptables -s 200.200.200.1 -j DROP
Necesitamos también especificar a qué chain o cadena vamos a aplicar esta regla. Para eso está el parámetro -A.
iptables -A INPUT -s 200.200.200.1 -j DROP
FIREWALL
Ejemplo de IPtables (II)
Si lo que buscamos es que a nuestra computadora le sea imposible comunicarse con la anterior, simplemente cambiaremos el INPUT por el OUTPUT, y el parámetro -s por el -d.
iptables -A OUTPUT -d 200.200.200.1 -j DROP
Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa misma IP
iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP
Si vamos a usar la computadora como router, deberemos setear la cadena de FORWARD para que también quede en ACCEPT.
iptables -P FORWARD ACCEPT
FIREWALL
Implementación (escenario 1)
REGLASREGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicación
FIREWALL
Implementación (escenario 2)
• VPN con túnel IPSEC.• Punto a Punto seguro, o política de seguridad anti-intrusos o sniffing (ENCRIPT.)
L1
L2
L3
VPN
PaP