Beruflich Dokumente
Kultur Dokumente
Introduccin........................................................................................................ 2
Definiciones preliminares:................................................................................... 3
Objetivos de diseo de un cortafuegos...............................................................3
Problemas bsicos de seguridad.........................................................................3
Decisiones bsicas.............................................................................................. 4
Componentes de un cortafuegos........................................................................4
Filtrado de paquetes........................................................................................ 4
Ventajas........................................................................................................... 5
Inconvenientes................................................................................................. 5
Proxy de aplicacin............................................................................................. 5
Ventajas........................................................................................................... 6
Inconvenientes................................................................................................. 6
Arquitecturas de cortafuegos.............................................................................. 6
Screening Router o de Filtrado de paquetes....................................................6
Dual-Homed Host............................................................................................. 6
Screened Host.................................................................................................. 7
Screened Subnet o DMZ.................................................................................. 7
Conclusin.......................................................................................................... 8
Introduccin
Ejemplo de un Cortafuegos
Definiciones preliminares:
El espacio protegido se denomina permetro de seguridad.
Este permetro de seguridad se protege de una red externa
denominada zona de riesgo.
Mquina o host bastin (gates): Sistema especialmente asegurado,
pero vulnerable a ataques al estar abierto a Internet. Filtra el
trfico de entrada y salida, y esconde la configuracin de la red
hacia afuera.
Filtrado de paquetes (screening): Accin de denegar o permitir el
flujo de tramas entre dos redes de acuerdo a unas normas
predefinidas. A los dispositivos que llevan a cabo la funcin de
filtrado se les denomina chokes (router).
Proxy: Programa que permite o niega el acceso a una aplicacin
determinada entre dos redes. Los clientes proxy slo se comunican
Arquitectura de Cortafuegos
Pgina 2
Objetivos de diseo de un
cortafuegos
+ Todo el trfico de dentro a fuera de la organizacin, y viceversa, ha
de pasar a travs del cortafuego.
+ Slo se permitir el paso al trfico autorizado por la poltica de
seguridad establecida
+ El cortafuegos ha de ser inmune a los ataques (utilizar un sistema
fiable)
Decisiones bsicas
1) Poltica de seguridad de la organizacin propietaria del cortafuegos
Arquitectura de Cortafuegos
Pgina 3
Componentes de un cortafuegos
Filtrado de paquetes
Router IP utiliza reglas de filtrado para reducir la carga (descartar
paquetes cuyo TTL ha llegado a cero, paquetes con un control de errores
errneos, o simplemente tramas de broadcast) analizando las cabeceras
conforme a diferentes criterios
El objetivo principal de todas las polticas de seguridad implementadas
mediante filtrado suele ser evitar el acceso no autorizado entre dos
redes, pero manteniendo intactos los accesos autorizados
Ventajas
Simplicidad
Transparente al usuario
Rapidez
Arquitectura de Cortafuegos
Pgina 4
Inconvenientes
El filtrado de paquetes no examina datos de capa superiores, y por
tanto no puede prevenir ataques que emplea vulnerabilidades o
funciones de la capa de aplicacin. Ataques por capas superiores
de TCP/IP.
Funcionalidad de histrico (generar ficheros log) es muy limitada
por lo limitado de la informacin: direcciones fuente y destino, tipo
de trfico
Complejidad en el establecimiento de reglas
Proxy de aplicacin
Proxy de Aplicacin: Software capaz de filtrar (enviar o bloquear) las
conexiones a servicios (finger, telnet, etc.)
Los proxies de aplicacin se ejecutan en una mquina denominada
pasarela de la aplicacin, gateways o servidor de proxies
Ventajas
Arquitectura de Cortafuegos
Pgina 5
Arquitecturas de cortafuegos
Screening Router o de Filtrado de paquetes
Es la manera ms sencilla de implementar un cortafuegos. Se basa en
aprovechar la capacidad de algunos routers para bloquear o filtrar
paquetes en funcin de su protocolo, su servicio o la direccin IP, de
manera que el router acta como pasarela de la subred Se aplica en
entornos cuyos requerimientos de seguridad no sean muy exigentes
(carece de mecanismos de monitorizacin y las reglas de acceso pueden
ser difciles de establecer)
Dual-Homed Host
Consiste en un host con dos tarjetas de red. El host no realiza tareas de
encaminamiento aislando la red interna de la externa. Los servicios se
proporcionan mediante las mismas cuentas de los usuarios en el host.
Arquitectura de Cortafuegos
Pgina 6
Screened Host
Consta de un router para el filtrado de paquetes y de host para filtrado
en otras capas ISO/OSI. Se prestan servicios proxy en el host bastin o
bien el router puede enviar a host internos
Arquitectura de Cortafuegos
Pgina 7
Conclusin
Un cortafuegos es cualquier sistema utilizado para separar una mquina
o una subred del resto de la red para protegerla de intrusiones externas
que puedan suponer una amenaza a la seguridad. La zona protegida se
llama "permetro de seguridad" y la proteccin se realiza separndola de
una zona externa, no protegida, llamada zona de riesgo.
Los cortafuegos son cada vez ms necesarios en nuestras redes, pero
todos los expertos recomiendan que la seguridad no se limite a su uso.
Deben por tanto ser considerados un "complemento" importante, una
pieza necesaria, pero no suficiente, de los sistemas de seguridad.
Cualquier cortafuegos, desde el ms simple al ms avanzado, presenta
dos gravsimos problemas de seguridad:
Arquitectura de Cortafuegos
Pgina 8