66.69 criptografía y seguridad informática firewall

66.69 Criptografía y Seguridad Informática

FIREWALL

FIREWALL

¿Qué es un Firewall?

FIREWALL “Cortafuegos”=

FIREWALL

¿Qué es un Firewall?

Elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de seguridad.

FIREWALL “Cortafuegos”=

FIREWALL

¿Dónde opera un Firewall?

Punto de conexión de la red interna con la red exterior

Zona Desmilitarizada (DMZ)

FIREWALL

Tipos de Firewall

De filtrado de paquetes

De capa de aplicación

FISICAFISICA

ENLACEENLACE

REDRED

TRANSPORTETRANSPORTE

SESIÓNSESIÓN

PRESENTACIÓNPRESENTACIÓN

APLICACIÓNAPLICACIÓN

OSI

MAC

IP

protocolo + puerto

URL de HTTP

FIREWALL

Funciones posibles del Firewall (I)

• NAT (Network Address Translation)

10.0.0.1

10.0.0.2

FIREWALL

Funciones posibles del Firewall (II)

• PROXY

La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.

FIREWALL

Funciones posibles del Firewall (III)

• QOS

La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall limita la salida para que por ejemplo los usuarios puedan recibir sin problemas su correo

HTTPHTTP

FIREWALL

Funciones posibles del Firewall (IV)

• Balanceo de Carga

La LAN tiene dos vinculos con internet y el firewall distribuye la carga entre las dos conexiones.

HTTPHTTP

FIREWALL

Limitaciones del Firewall

• No protege de ataques fuera de su área

• No protege de espías o usuarios inconscientes

• No protege de ataques de “ingeniería social”

• No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.

FIREWALL

Implementación

Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)

FIREWALL

Implementación


REGLASREGLAS

1) ACEPTARACEPTAR

2) DENEGAR DENEGAR

FIREWALL

Implementación


IPTABLES (LINUX)

FIREWALL

IPtables

IPTables

Kernel

LINUX

= NETFILTER

• Filtrado de paquetes• “Connection tracking”• NAT

FIREWALL

Funcionamiento de IPtables

INPUTINPUT

... el usuario puede crear tantas como desee.

OUTPUTOUTPUT

FORWARDFORWARD

regla1regla1 regla2regla2 regla3regla3 ...

cadena 1

paquete IPpaquete IP

cadenas básicas

FIREWALL


... enlace a otra cadena


cadena 1



cadena 2

FIREWALL


REGLAS

condiciones a matchear DESTINOcondiciones a matchear DESTINO

• ACCEPT• DROP• QUEUE• RETURN• ...

• cadena definida por usuario

FIREWALL


REGLAS

condiciones a matchear DESTINOcondiciones a matchear DESTINO

• ACCEPT• DROP• QUEUE• RETURN• ...

• cadena definida por usuario

• protocolo• IP origen • IP destino• puerto destino• puerto origen• flags TCP• ...

FIREWALL


TABLA

... cadena 1


... cadena 2

.

.

.

... cadena N

FIREWALL


Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas cadenas predefinidas :

• FILTER TABLE

• NAT TABLE

• MANGLE TABLE

• responsable del filtrado

• cadenas predefinidas

• INPUT

• OUTPUT

• FORWARD

• responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes

• PREROUTING (DNAT)

• POSTROUTING (SNAT)

• OUTPUT (DNAT local)

responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio; contiene todas las cadenas predefinidas posibles.

FIREWALL


FIREWALL

Ejemplo de IPtables (I)

Queremos bloquear todos aquellos paquetes entrantes provenientes de la dirección IP 200.200.200.1.

iptables -s 200.200.200.1

No estamos especificando qué hacer con los paquetes. Para esto, se usa el parámetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP.

iptables -s 200.200.200.1 -j DROP

Necesitamos también especificar a qué chain o cadena vamos a aplicar esta regla. Para eso está el parámetro -A.

iptables -A INPUT -s 200.200.200.1 -j DROP

FIREWALL

Ejemplo de IPtables (II)

Si lo que buscamos es que a nuestra computadora le sea imposible comunicarse con la anterior, simplemente cambiaremos el INPUT por el OUTPUT, y el parámetro -s por el -d.

iptables -A OUTPUT -d 200.200.200.1 -j DROP

Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa misma IP

iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP

Si vamos a usar la computadora como router, deberemos setear la cadena de FORWARD para que también quede en ACCEPT.

iptables -P FORWARD ACCEPT

FIREWALL

Implementación (escenario 1)

REGLASREGLAS

Todo lo que venga de la red local al Firewall : ACEPTAR

Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR

Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR

Todo lo que venga de la red local al exterior = ENMASCARAR

Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR

Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR

Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR

ALTERNATIVA: implementar reglas por PROXY a nivel aplicación

FIREWALL

Implementación (escenario 2)

• VPN con túnel IPSEC.• Punto a Punto seguro, o política de seguridad anti-intrusos o sniffing (ENCRIPT.)

L1

L2

L3

VPN

PaP

66.69 criptografía y seguridad informática firewall

Documents