Beruflich Dokumente
Kultur Dokumente
Introduccin
Tipos de Firewall
Tipos de Filtrado
Configuraciones de Firewall
Objetivos:
Establecer un enlace controlado
Proteger la red de ataques desde el Internet
Proveer un nico punto de control
1. Control de Servicios
2. Control de Direccin
3. Control de Usuarios
4. Control de Comportamiento
1. Control de Servicios
Determina el tipo de servicio permitido (entrante o
saliente)
2. Control de Direccin
Determina la direccin en la que las solicitudes de
un servicio en particular pueden fluir a travs del
Firewall
3. Control de Usuario
4. Control de Comportamiento
Controla cmo se utilizan los distintos servicios
Modelo de Arquitectura
Caractersticas de filtrado
Firewall de Red
2. Servidor Proxy
Filtrado a nivel de aplicacin
Filtrado a nivel de circuito
Cabecera IP
Descartar implcitamente
Todo el trfico es descartado implcitamente salvo
que sea permitido explcitamente
Reenviar implcitamente
Todo el trfico es reenviado implcitamente salvo
que sea bloqueado explcitamente
Implcita
El firewall tiene esta regla por default
Explcita
Esta regla debe ser creada
Spoofing de direcciones IP
Defensa: Descartar todos los paquetes que
lleguen con direcciones ip de origen internas
desde la interfaz externa.
Ataque de enrutamiento de origen (source
routing)
Defensa: Descartar todos los paquetes que
utilicen esta opcin.
Ataque de fragmentacin IP
Defensa: Establecer una regla que contenga un
tamao mnimo de la cabecera de transporte
Diseo e implementacin de Seguridades
Universidad de Guayaquil 44
2016
Ataques contra el filtrado sin estado
Estado TCP:
Protocolo de estado
Estado TCP:
CLOSED Existe antes de que se establezca la conexin
ESTADO ICMP
Ventajas
Simplicidad
Transparente a los usuarios
Rpidos
Desventajas
No pueden prevenir ataques que empleen
vulnerabilidades de aplicaciones especficas
Logs limitados
Vulnerable a ataques y explotaciones que tomen
ventaja de problemas de la pila TCP/IP. Ej: IP spoofing
Suceptible a brechas de seguridad debido a mala
configuracin
Funcionamiento
Usuario realiza peticin de un servicio de Internet, como HTTP,
Telnet, FTP, etc
El software del cliente lanza la peticin
El proxy pregunta por la informacin de autenticacin necesaria
Proxy provee conexin actuando como gateway del servicio
remoto
Proxy realiza las comunicaciones necesarias para establecer la
conexin con los sistemas externos
Todo el trfico lo enruta entre el usuario interno y el sistema
externo a travs del proxy
Funciones
Revisar la carga (payloads) de los paquetes
Entender el contenido de la carga (payloads) en
trminos de las aplicaciones previstas
Diseo e implementacin de Seguridades
Universidad de Guayaquil 60
2016
Conexiones TCP sin proxy
Mltiples proxies
Un problema para organizaciones que manejan
diferente tipo de aplicaciones
Conexiones cliente/servidor
Filtrado a nivel de paquetes permite conexiones
directas
Servidores Proxy previenen conexiones directas
TCP: El servidor proxy crea dos conexiones TCP
juntas
UDP: Investiga la carga (payload)
Aplicacin
Filtrado a nivel de paquete no entiende la
aplicacin o servicio
Servidor proxy entiende la aplicacin o servicio
Ms seguro
Examina la informacin TCP para verificar que la solicitud de sesin sea legtima
Establecidas las conexiones TCP o UDP reenva segmentos de una conexin a otra sin
examinar su contenido
Baja sobrecarga
Configuraciones comunes
Sistema de filtrado con un firewall
Sistema de filtrado con firewall, DMZ, y red
interna
Sistema de filtrado de contencin bastion
host
El bastion protege a la
DMZ del trfico interno
Diseo e implementacin de Seguridades
Universidad de Guayaquil 82
2016
Configuraciones de Firewall
Configuraciones ms complejas:
Bastion host
Sistema identificado por el administrador del
firewall como un punto crtico en la seguridad
de la red