CORTAFUEGOS

MONOGRFICO DE SEGURIDAD

12/12/2012

Francisco Nadador Snchez-Seco

Introduccin
Uno de los componentes ms importantes que nos encontramos en
la seguridad son los sistemas cortafuegos.
Cheswick, Bellovin y Rubn, en su influyente libro Firewalls and
Internet Security. Repelling the Wily Hacker, listan una serie de
mximas sobre la seguridad informtica que reproducimos a
continuacin:
No existe la seguridad absoluta.
La seguridad es siempre una cuestin econmica.
Un atacante no atraviesa la seguridad, la rodea.
Pon tus defensas en capas.
No des a una persona o programa ms privilegios que aquellos
estrictamente necesarios.
Si no ejecutas un programa, no importa si tiene fallos de
seguridad.
Una cadena es tan fuerte como su enlace ms dbil.

Qu proteger?

De qu proteger?

Hardware

Personas

Software

Amenazas Lgicas

Datos

Problemas fsicos

Seguridad

Catstrofes

Qu conseguir?
Autenticacin

Cmo proteger?

Autorizacin

Prevencin

Disponibilidad

Deteccin

Confidencialidad

Recuperacin

Integridad

Auditora

No repudio

Qu es un Firewall?
Internet

Un cortafuegos es un sistema de
red encargado de separar redes
informticas,
efectuando
un
control del trfico que transcurre
entre ellas.
Este control consiste, en ltima
instancia, en permitir o denegar el
paso de la comunicacin de una
red a otra mediante el control de
los protocolos
de red.

Corporate Network
Gateway

Corporate
Site

Qu es una Poltica de Seguridad?

Una poltica de seguridad es
el conjunto de reglas y
prcticas
que
definen
y
regulan los servicios de
seguridad
de
una
organizacin o sistema con el
propsito de proteger sus
recursos crticos y sensibles.
En otras palabras, es la
declaracin de lo que est
permitido y lo que no est
permitido hacer.

REGLAS PARA INSTALAR UN CORTAFUEGOS

REGLAS

1) Todo el trfico que sale o entra a el sistema ha de pasar por el cortafuegos.

Esto se puede conseguir bloqueando fsicamente todo el acceso al interior de la
red a travs del sistema.
2) Solo el trfico autorizado, definido en las polticas de seguridad locales del
sistema, podr traspasar el bloqueo.
3) El propio cortafuegos debe estar protegido contra posibles ataques o
intrusiones.

EQUIPO BASTION

Un equipo bastin es un sistema informtico que ha sido fuertemente

protegido para soportar ataques desde un lugar hostil (en este caso,
Internet) y que suele actuar como punto de contacto entre el interior y el
exterior de una red.

TIPOS DE CORTAFUEGOS
1. Encaminadores con filtrado de paquetes: Las reglas se encargan de
determinar si un paquete le est permitido pasar de la parte externa a
la interna y viceversa.
2. Pasarelas a nivel de circuitos:Se trata de un dispositivo que hace de
pasarela a nivel de capa de transporte entre dos extremos. Establece
una conexin a cada lado retransmitiendo los datos entre las dos
conexiones.
3. Pasarelas a nivel de aplicacin: Se encarga de realizar las conexiones
solicitadas con el servidor y cuando reciba una respuesta se
encargar de retransmitirla al equipo que haba iniciado la conexin.

Packet
Filter

Stateful
Inspection

Application
Proxy

ARQUITECTURAS DE CORTAFUEGOS
Un solo Punto

Redes Perimetrales DMZ

REGLAS DE FILTRADO

Capa 3; A este nivel se pueden realizar filtros segn los distintos campos
de los paquetes IP: direccin IP origen, direccin IP destino.

Capa 4; filtro puerto origen y destino,

Capa 2; direccin MAC

Ejemplo 1: Cortafuegos de un solo Punto

1) Se permite que los usuarios de la red interna puedan acceder a
cualquier servicio TCP de Internet.
2) Se permite a los usuarios de la red conexiones UDP al exterior
pero solo para realizar peticiones DNS.
3) Se permite trfico ICMP de salida (originado en la red interna).
4) Desde el exterior solo se puede acceder al servidor web, no al
resto de los equipos.
5) El resto de trfico por defecto no se permite.

Ejemplo 2: Red Perimetral

Web. El equipo bastin 198.51.100.3 hace de pasarela de aplicacinn de los protocolos HTTP
y HTTPS para los equipos de la red interna.
Servidor web. El equipo bastin 198.51.100.2 alberga el servidor web de la organizacin,
que ofrece exclusivamente servicios por HTTP (puerto 80 de TCP) al exterior.
SSH. Se permite acceso por SSH a cualquier equipo de la red interna desde Internet o la red
perimetral, as como acceso desde la red interna a cualquier equipo de Internet o red
perimetral. En relaci on con la red perimetral, se permite el acceso desde Internet a dicha red
para la administracin remota de los equipos bastin.
SMTP. Tenemos un servidor SMTP en el equipo bastin 198.51.100.4 de la red perimetral,
que puede recibir trfico SMTP de entrada y salida desde y hacia Internet. As mismo, este
servidor SMTP har lo propio hacia un servidor SMTP de la red interna, el 192.0.2.4.
DNS. Hay un servidor interno de DNS (192.0.2.5) que utilizan los equipos de la red interna.
Este servidor a su vez realiza las peticiones y recibe respuestas de un servidor DNS situado en
un equipo basti on de la red perimetral (198.51.100.5), que a su vez utilizar servidores
externos de Internet. Cualquier peticin de DNS externa ser recibida por el servidor en el
equipo bastin y no podr acceder directamente a la red interna. Asimismo, se permitirn las
transferencias de zona (mecanismo para la replicacin de bases de datos DNS) entre estos dos
servidores.

Ejemplo 2: Red Perimetral

Ejemplo 2: Reglas del Encaminador Interno

Ejemplo 2: Reglas del Encaminador Externo

FIN

Gracias por su atencin