Cortafuegos Firewall

Seguridad de la Informacin

1. Juan Carlos Oropeza Garcia 2. Wilson Fernando Snchez 3. Alexander Rodrguez

FIREWALL

Definicin de cortafuegos

Un firewall o cortafuegos es un dispositivo de hardware o un software que nos permite gestionar y filtrar la totalidad de trafico entrante y saliente que hay entre 2 redes u ordenadores de una misma red. Si el trfico entrante o saliente cumple con una serie de Reglas que nosotros podemos especificar, entonces el trfico podr acceder o salir de nuestra red u ordenador sin restriccin alguna.

El espacio protegido

permetro de seguridad

Red externa no confiable

zona de riesgo

Seguridad de la Informacin

Esquema de un firewall

Seguridad de la Informacin

Objetivos

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

Todo el trfico desde dentro hacia fuera y viceversa, debe

pasar a travs de l.

Slo el trfico autorizado, definido por la poltica local de

seguridad, es permitido.

Seguridad de la Informacin

PARA QUE SIRVE UN FIREWALL

Preservar nuestra seguridad y privacidad. Para proteger nuestra red domstica o empresarial. Para tener a salvo la informacin almacenada en nuestra red, servidores u ordenadores. Para evitar intrusiones de usuarios no deseados en nuestra red y ordenador. Para evitar posibles ataques de denegacin de servicio. As por lo tanto un firewall debidamente configurado nos podr proteger por ejemplo contra ataques IP address spoofing (suplantacin de identidad), Ataques source Routing, etc.

Seguridad de la Informacin

RIESGOS QUE PUEDEN CONTROLAR LOS FIREWALLS

Uso oculto de los servicios de WWW y FTP desde dentro de la computadora. O riesgos externos desde la WWW. Aplicaciones ActiveX o JavaScript instaladas clandestinamente, que son capaces de transferir datos personales del usuario a otros. Elementos de seguimiento como las cookies. Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas por terceros, en forma remota, para extraer datos personales. Reduccin del ancho de banda disponible por el trfico de banners, pop up, sitios no solicitados, y otro tipo de datos innecesarios que ralentizan la conexin. Spyware: pequeos programas que se instalan con el fin de robar nuestros datos y espiar nuestros movimientos en la red. Dialers: programas que cortan la actual conexin y utilizan la lnea para llamadas de larga distancia utilizadas por terceros
Seguridad de la Informacin

 POR QU UTILIZAR UN FIREWALL?

Riesgo de confidencialidad

Riesgo de integridad de datos

Riesgo de disponibilidad

Seguridad de la Informacin

Tipo de filtrado en los Firewall

A nivel de red, con direcciones IP y la interfaz por
la que llega el paquete, generalmente a travs de listas de acceso (en los routers) A nivel de transporte, con los puertos y tipo de conexin, a travs de listas de acceso (en los routers) A nivel de aplicacin, con los datos, a travs de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicacin (ejemplo servidor proxy o pasarela multiaplicacin)

Seguridad de la Informacin

Como Funciona un Firewall

la totalidad de informacin y trfico que pasa por nuestro router y que se transmite entre redes es analizado por cada uno de los firewall presentes en nuestra red.

Seguridad de la Informacin

Si el trfico cumple con

las reglas que se han configurado en los firewall el trafico podr entrar o salir de nuestra red.

Si el trfico no cumple con

las reglas que se han configurado en los firewall entonces el trfico se bloquear no pudiendo llegar a su destino.

Seguridad de la Informacin

TIPOS DE REGLAS QUE SE PUEDEN IMPLEMENTAR EN UN FIREWALL

Seguridad de la Informacin

REGLAS
Administrar los accesos de los usuarios a los servicios Registrar todos los intentos de entrada y salida de una
red.

Filtrar paquetes en funcin de su origen, destino, y

nmero de puerto.

Controlar el numero de conexiones que se estn

produciendo desde un mismo punto y bloquearlas en el caso que superen un determinado lmite.

Seguridad de la Informacin

Polticas de los cortafuegos

Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Esta aproximacin es la que suelen utilizar la empresas y organismos gubernamentales. Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. Esta aproximacin la suelen utilizar universidades, centros de investigacin y servicios pblicos de acceso a Internet.

Seguridad de la Informacin

Tipos habituales de ataque

Ingeniera social
Un atacante engaa al administrador o a otro usuario autorizado de un sistema para que comparta sus credenciales de conexiones o detalles de la operacin del sistema.

Errores de software
Un atacante explota un defecto de programacin y obliga a una aplicacin o servicio a ejecutar comandos no autorizados o no esperados, peligrosos especialmente cuando el programa se ejecuta con privilegios adicionales o administrativos

Seguridad de la Informacin

Tipos habituales de ataque

Virus y cdigo troyano
Un atacante engaa a un usuario legtimo al ejecutar un programa, siendo la forma ms comn de ataque el disfrazar el programa con el aspecto de un inocente correo electrnico o dentro de un virus.

Configuracin pobre del sistema

Un atacante es capaz de explotar los errores de configuracin de un sistema en los servicios y cuentas que estn disponibles

No cambiar contraseas No restringir accesos a

aplicaciones No deshabilitar servicios innecesarios que no se utilizan

los programas de administracin de

Seguridad de la Informacin

TIPOS DE FIREWALL

Firewalls de software: Tienen un costo pequeo y son una buena eleccin cuando slo se utiliza una PC. Su instalacin y actualizacin es sencilla, pues se trata de una aplicacin de seguridad, como lo sera un antivirus; de hecho, muchos antivirus e incluso el propio Windows poseen firewalls para utilizar. Enrutadores de hardware: Su principal funcin es la de disfrazar la direccin y puertos de la PC a los intrusos. Suelen tener cuatro puertos de red para conexin mediante cableado. Firewalls de hardware: Son ms caros y complejos de manejar en el mantenimiento y actualizacin. Los firewalls de hardware son ms indicados en empresas y grandes corporaciones que tienen mltiples computadoras conectadas. Tambin suelen utilizarse en aquellas empresas que prestan servicios de hosting y necesitan seguridad en los servidores.
Seguridad de la Informacin

Diferencias
FIREWALL DE HARDWARE: El hardware se usa para una red grande, como ser LAN, WAN, MAN El hardware no puede ser desactivado por un virus o programa nocivo. El hardware suele ser ms potente y con ms recursos. El hardware no consume recursos del sistema (CPU y memoria) y no es dependiente del S.O.

FIREWALL DESOFTWARE: Y un firewall de software se usa para una computadora personal. La integridad del software puede ser comprometida.

Seguridad de la Informacin

ELEMENTOS DE FIREWALL

1.Nivel de aplicacin de pasarela

Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento.

2.Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Seguridad de la Informacin

3.Filtrado de paquetes Stateless

Un sistema de firewall opera segn el principio del filtrado simple de paquetes, o filtrado de paquetes stateless. Analiza el encabezado de cada paquete de datos(datagrama) que se ha intercambiado entre un ordenador de red interna y un ordenador externo.

4.Filtrado Dinmico

el sistema de filtrado dinmico de paquetes se basa en la inspeccin de las capas 3 y 4 del modelo OSI, lo que permite controlar la totalidad de las transacciones entre el cliente y el servidor. El trmino que se usa para denominar este proceso es "inspeccin stateful" o "filtrado de paquetes stateful".

Seguridad de la Informacin

5.Filtrado de aplicaciones
Trabaja en el nivel de aplicacin (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est intentando acceder, e incluso puede aplicar reglas en funcin de los propios valores de los parmetros que aparezcan en un formulario web.

6.Firewall personal

Los firewalls personales permiten subsanar y prevenir intrusiones de aplicaciones no autorizadas a conectarse a su ordenador.

Seguridad de la Informacin

Otras definiciones

IP Forwarding:

se encarga de la retransmisin de los paquetes que se reciben por una interfaz fsica y de retransmitirlos por otra interfaz hacia otro nodo

Host Bastin:

Sistema especialmente asegurado que acta como puerta de unin entre el mundo hostil (Internet) y la confiable red interna.

Seguridad de la Informacin

Arquitecturas de firewall
Cortafuegos de filtrado de paquetes

Dual-Homed Host

Screened Host

Screened Subnet (DMZ)

Seguridad de la Informacin

Cortafuegos de filtrado de paquetes

Arquitectura sencilla Consta de un

enrutador (screening routers) Contacto directo con las mquinas externas (No existen proxies)
Para organizaciones que no precisan de grandes medidas de seguridad

Seguridad de la Informacin

Dual-Homed Host
Mquina Unix
equipadas con dos o ms tarjetas de red:

Una tarjeta se conecta a la

red interna para protegerla. Otra tarjeta a la red externa de la organizacin.

Un servidor proxy para cada uno de los servicios.

Deshabilitado el IP
Fordwarding

Seguridad de la Informacin

Screened Host

Combina un router con un host bastin

Router: lnea de defensa ms Host bastin: nico sistema

importante gracias al filtrado de paquetes.

accesible desde el exterior, donde se ejecutan los proxies de las aplicaciones

Seguridad de la Informacin

Screened Subnet (DMZ)

Subred
externa. entre la red interna y la

Aislamiento del Host bastin

en la subred.

Asla otros servidores

potencialmente peligrosos (servidores Web, correo, etc.)

Seguridad de la Informacin

TIPOS DE FIREWALL (linux)

GNU/Linux ClearOs Endian Firewall Floppyfw Openwrt

Seguridad de la Informacin

Tabla de caractersticas de los diferentes cortafuegos

Permite reglas de filtrado por: Fabricante Producto Tamao Descarga protocolo y puerto aplicacin sitios de confianza IP

Agnitum

Outpost Firewall 1.0 PortBlocker 1.02 MailControl 1.0 Personal Firewall 4 Personal Firewall 5.5 Firewall 5.2 ZoneAlarm 4.5

2.71 MB

Si

Si

No

Si

AnalogX Internals

229kB

Si
No Si Si Si No

No
Si (Solo Correo)

No
No Si Si No Si

No
No Si Si No No

678kB

Kerio

5.2 MB

Si Si No Si

Sygate

5.03 MB

Wyvernworks Zone LABS

2.70 MB

5.7 MB

Seguridad de la Informacin

VENTAJAS, DESVENTAJAS Y LIMITACIONES?

Ventajas

Administran los accesos provenientes de la red privada hacia el Internet . El firewall crea una bitcora en donde se registra el trfico mas significativo que pasa a travs de el.

Desventajas

Un firewall no puede protegerse contra aquellos ataques que se efecten fuera de su punto de operacin. Por ejemplo, si existe una conexin PPP ( POINT-TO-POINT ) al Internet. El firewall se convierte en un cuello de botella de toda la estructura.
Seguridad de la Informacin

 Limitaciones

Un cortafuegos no puede proteger contra aquellos ataques cuyo trfico no pase a travs de l El cortafuegos no puede proteger de las amenazas a las que est sometido por ataques internos o usuarios negligentes. El firewall no puede prohibir que se copien datos corporativos en disquetes o memorias porttiles y que estas se substraigan del edificio.

Seguridad de la Informacin