Sunteți pe pagina 1din 96

Firewalls

Diseo e implementacin de Seguridades


705
Ing. Ivette Carrera M

Diseo e implementacin de Seguridades


Universidad de Guayaquil Sesin 1
2016
Unidad 1

Introduccin

Tipos de Firewall

Tipos de Filtrado

Configuraciones de Firewall

Diseo e implementacin de Seguridades


Universidad de Guayaquil 2
2016
Objetivos

Explicar el rol de un Firewall como parte de una


estrategia de seguridad

Listar las caractersticas de los firewalls

Discutir las diferentes opciones de firewalls

Entender las ventajas de las distintas


arquitecturas de firewalls

Diseo e implementacin de Seguridades


Universidad de Guayaquil 3
2016
INTRODUCCIN

Diseo e implementacin de Seguridades


Universidad de Guayaquil 4
2016
Introduccin

La conectividad a internet es una herramienta


indispensable de trabajo

El internet provee beneficios a las


organizaciones y es quien habilita la
interaccin entre el mundo exterior y los
dispositivos locales.

Diseo e implementacin de Seguridades


Universidad de Guayaquil 5
2016
Introduccin

Imagine que existe una red con miles de


dispositivos corriendo distintos sistemas
operativos: linux, windows, etc.

Qu pasara si se detecta una falla en uno de


los sistemas operativos?

Diseo e implementacin de Seguridades


Universidad de Guayaquil 6
2016
Y por qu un Firewall?

Diseo e implementacin de Seguridades


Universidad de Guayaquil 7
2016
Qu es un Firewall?
Tradicionalmente, es una pared que separa partes
de un edificio de un incendio

Diseo e implementacin de Seguridades


Universidad de Guayaquil 8
2016
Qu es un Firewall?

Tambin, es el metal que separa a un pasajero de un


automvil del motor

Diseo e implementacin de Seguridades


Universidad de Guayaquil 9
2016
Cul es el propsito de estos dos Firewalls?

Proteger a un lugar de un evento que ocurre en otro


lugar

Una habitacin de una casa est protegida del


fuego que ocurre en otra habitacin

El pasajero est protegido del fuego que ocurre


en el motor de un automvil

Diseo e implementacin de Seguridades


Universidad de Guayaquil 10
2016
Firewall (en nuestro caso)

Sistemas de defensas contra ataques a los servidores y redes


que protegen

Diseo e implementacin de Seguridades


Universidad de Guayaquil 11
2016
Firewall (en nuestro caso)

Medio eficaz de proteccin de un host o un segmento


de red con mltiples hosts de intrusiones o amenazas
de seguridad

Puede bloquear amenazas internas o externas

Permite el acceso de los hosts al mundo exterior a


travs de Internet

Diseo e implementacin de Seguridades


Universidad de Guayaquil 12
2016
Principios de Diseo de Firewalls

Los sistemas de informacin evolucionan


constantemente
Caractersticas de Seguridad robusta para todas las
estaciones de trabajo y servidores
El firewall es implementado entre la red y el Internet

Objetivos:
Establecer un enlace controlado
Proteger la red de ataques desde el Internet
Proveer un nico punto de control

Diseo e implementacin de Seguridades


Universidad de Guayaquil 13
2016
Caractersticas de los Firewalls

Todo trfico entrante o saliente debe pasar a travs del


Firewall (bloqueando fsicamente todo acceso a la red local
excepto por el firewall)

Slo se permitir el paso de trfico autorizado (definido por


las polticas de seguridad)

Por s mismo, debe ser inmune a penetracin

Usar sistemas confiables con sistemas operativos seguros


(hardening)
Utilizar HTTPS para las pginas de configuracin
Contraseas Robustas (cambiar contraseas por default)
SSH (no telnet)
Diseo e implementacin de Seguridades
Universidad de Guayaquil 14
2016
Capacidades de un Firewall

Bloqueo de paquetes que se originan en un


determinado rango de IP, puertos, dominios,
direcciones de correo, etc

Bloqueo de paquetes formados por determinados


protocolos o aplicaciones

Bloqueo de paquetes que sean reconocidos como


firmas de ataques a sistemas o redes

Crea logs para monitorear eventos de seguridad

Diseo e implementacin de Seguridades


Universidad de Guayaquil 15
2016
Capacidades de un Firewall
Herramienta de anlisis del comportamiento de
sistemas y de red

Herramienta de anlisis forense

Sistema de defensa contra virus, gusanos y spam

Puede ser usado para implementar VPN

Por lo general, aloja otros servicios:


NAT
IPS/IDS

Diseo e implementacin de Seguridades


Universidad de Guayaquil 16
2016
Tcnicas de Control

1. Control de Servicios

2. Control de Direccin

3. Control de Usuarios

4. Control de Comportamiento

Diseo e implementacin de Seguridades


Universidad de Guayaquil 17
2016
Tcnicas de Control

1. Control de Servicios
Determina el tipo de servicio permitido (entrante o
saliente)

Filtrado basado en:


Direccin IP
Nmero de Puerto
Protocolo
Contenido (Proxy)

Diseo e implementacin de Seguridades


Universidad de Guayaquil 18
2016
Tcnicas de Control

2. Control de Direccin
Determina la direccin en la que las solicitudes de
un servicio en particular pueden fluir a travs del
Firewall

3. Control de Usuario

Controla el acceso a los distintos servicios


dependiendo del usuario que intente acceder
Aplicado tpicamente a los usuarios internos

Diseo e implementacin de Seguridades


Universidad de Guayaquil 19
2016
Tcnicas de Control

4. Control de Comportamiento
Controla cmo se utilizan los distintos servicios

Ej: Filtrar e-mail para eliminar spam

Diseo e implementacin de Seguridades


Universidad de Guayaquil 20
2016
Pregunta

Cmo podemos derrotar a un Firewall?

Diseo e implementacin de Seguridades


Universidad de Guayaquil 21
2016
Limitaciones

No hay proteccin contra ataques que no fluyan a


travs del firewall
Ej: Dial up modem, hot spot mvil, etc

No hay proteccin total contra amenazas internas


Ej: Empleados descontentos

USB infectados, porttil personal o dispositivos mviles


pueden ser trados y conectados a la red

No se puede proteger contra puntos de acceso


inalmbricos no autorizados
Diseo e implementacin de Seguridades
Universidad de Guayaquil 22
2016
CLASIFICACIN

Diseo e implementacin de Seguridades


Universidad de Guayaquil 23
2016
Clasificacin

Se pueden clasificar en virtud de diferentes


caractersticas:

Modelo de Arquitectura

Firewalls de Software vs Hardware

Firewalls de Host vs Firewalls de Red

Caractersticas de filtrado

Diseo e implementacin de Seguridades


Universidad de Guayaquil 24
2016
Clasificacin
Modelo de Arquitectura: Pueden tener diferentes
funciones, dependiendo del lugar donde se encuentren en
la red.

Diseo e implementacin de Seguridades


Universidad de Guayaquil 25
2016
Clasificacin

Firewall de software vs hardware


SW
Soportados por varios SO
Soportados en varias plataformas
Productos mixtos
Ej: Checkpoint FW1, IPFilter, ISA Server
HW
Hardware Appliance + Software preinstalado
Sistemas operativos propietarios
Alto Rendimiento
Hardening de Fbrica
Funcionalidades aadidas como VPN, cach,
etc
Ej: Sonicwall, CISCO ASA, PIX CISCO, Netscreen

Diseo e implementacin de Seguridades


Universidad de Guayaquil 26
2016
Clasificacin
Firewall de host vs firewall de red
Host
Software que permite o bloquea transmisiones entrantes o salientes
en un host
Firewalls personales
Embebidos en SO
Baratos
Ej: Linux: Iptables Windows: Firewall de Windows con seguridad
avanzada
Red
Firewall en hardware
Protege redes enteras
Sistema dedicado a la funcin de Firewall
Mdulos adicionales como caching, IDS/IPS,
antivirus
Mdulos on-box o off-box
Ms caros
Ej: CISCO, JUNIPER, Barracuda
Diseo e implementacin de Seguridades
Universidad de Guayaquil 27
2016
Clasificacin
Firewall basado en Host: Firewall de Windows

Diseo e implementacin de Seguridades


Universidad de Guayaquil 28
2016
Clasificacin

Firewall de Red

Diseo e implementacin de Seguridades


Universidad de Guayaquil 29
2016
TIPOS DE FILTRADO

Diseo e implementacin de Seguridades


Universidad de Guayaquil 30
2016
Tipos de Filtrado

1. Filtrado a nivel de Paquete


Filtrado de paquete sin estado
Filtrado de paquetes con estado

2. Servidor Proxy
Filtrado a nivel de aplicacin
Filtrado a nivel de circuito

Diseo e implementacin de Seguridades


Universidad de Guayaquil 31
2016
Filtrado a nivel de Paquete

Diseo e implementacin de Seguridades


Universidad de Guayaquil 32
2016
Filtrado a nivel de Paquete
Puede:
Permitir paquetes que cumplan con los criterios
definidos para pasar por el firewall
Denegar paquetes que cumplan con los criterios
definidos para bloquear el paso por el firewall

Puede examinar los siguientes atributos:


Cabecera del paquete
Protocolos utilizados

No presta atencin a patrones generados por una


secuencia de paquetes

Diseo e implementacin de Seguridades


Universidad de Guayaquil 33
2016
Filtrado a nivel de Paquete

Filtrado de paquete sin estado

Aplica reglas a los paquetes entrantes y salientes


basadas en :

Cabecera IP

Cabecera TCP UDP

Interfaz del Firewall

Diseo e implementacin de Seguridades


Universidad de Guayaquil 34
2016
Filtrado a nivel de Paquete

Campos considerados de la cabecera IP

Diseo e implementacin de Seguridades


Universidad de Guayaquil 35
2016
Filtrado a nivel de Paquete

Campos considerados de la cabecera UDP

Diseo e implementacin de Seguridades


Universidad de Guayaquil 36
2016
Filtrado a nivel de Paquete

Campos considerados de la cabecera TCP

Diseo e implementacin de Seguridades


Universidad de Guayaquil 37
2016
Filtrado a nivel de Paquete
Campos de la cabecera TCP considerados por
filtradores de paquetes ms sofisticados

Diseo e implementacin de Seguridades


Universidad de Guayaquil 38
2016
Filtrado a nivel de Paquete

Polticas por default

Descartar implcitamente
Todo el trfico es descartado implcitamente salvo
que sea permitido explcitamente

Reenviar implcitamente
Todo el trfico es reenviado implcitamente salvo
que sea bloqueado explcitamente

Diseo e implementacin de Seguridades


Universidad de Guayaquil 39
2016
Filtrado a nivel de Paquete

Las reglas pueden ser implcitas o explcitas.

Implcita
El firewall tiene esta regla por default

Explcita
Esta regla debe ser creada

Diseo e implementacin de Seguridades


Universidad de Guayaquil 40
2016
Filtrado a nivel de Paquete

Ejemplo 1: Reenvo implcito

Diseo e implementacin de Seguridades


Universidad de Guayaquil 41
2016
Filtrado a nivel de Paquete
Ejemplo 2: Reenvo implcito

Diseo e implementacin de Seguridades


Universidad de Guayaquil 42
2016
Pregunta

Las reglas anteriores son seguras?

Diseo e implementacin de Seguridades


Universidad de Guayaquil 43
2016
Ataques contra el filtrado sin estado

Spoofing de direcciones IP
Defensa: Descartar todos los paquetes que
lleguen con direcciones ip de origen internas
desde la interfaz externa.
Ataque de enrutamiento de origen (source
routing)
Defensa: Descartar todos los paquetes que
utilicen esta opcin.
Ataque de fragmentacin IP
Defensa: Establecer una regla que contenga un
tamao mnimo de la cabecera de transporte
Diseo e implementacin de Seguridades
Universidad de Guayaquil 44
2016
Ataques contra el filtrado sin estado

La mayora no utiliza los campos


TCP flags: SYN, ACK, FIN, RST bits
IP flags: M bit

Algunos ms sofisticados lo hacen,


pero ciertos ataques an pueden pasar

Firewall con filtrado sin estado tienen


problemas previniendo escaneo de red
Diseo e implementacin de Seguridades
Universidad de Guayaquil 45
2016
Filtrado a nivel de Paquete

Filtrado de paquetes con estado


Aplica reglas a los paquetes entrantes y salientes
basadas en :
Cabecera IP
Cabecera TCP UDP
Evalua secuencias y ACKs
Recuerda el estado de la conexin (TCP
Comunicacin de 3 vas)
Interfaz del Firewall

Diseo e implementacin de Seguridades


Universidad de Guayaquil 46
2016
Filtrado a nivel de Paquete
Campos de la cabecera TCP considerados por
filtradores de paquetes con estado

Diseo e implementacin de Seguridades


Universidad de Guayaquil 47
2016
Filtrado a nivel de Paquete

Tabla de estado de las conexiones

Diseo e implementacin de Seguridades


Universidad de Guayaquil 48
2016
Filtrado a nivel de Paquete
Filtrado de paquetes con estado

Estado TCP:

Protocolo orientado a la conexin

Maneja banderas que indican en que estado se


encuentra la conexin

Protocolo de estado

Diseo e implementacin de Seguridades


Universidad de Guayaquil 49
2016
Filtrado a nivel de Paquete
Filtrado de paquetes con estado

Estado TCP:
CLOSED Existe antes de que se establezca la conexin

LISTEN Sistema esperando por una peticin para iniciar una


conexin. Estado de inicio de las conexiones TCP

SYN-SENT Tiempo dspues de que un sistema ha enviado el


paquete SYN y est esperando el SYN-ACK

ESTABLISHED Estado de una conexin dspues que ha recibido un


ACK

Diseo e implementacin de Seguridades


Universidad de Guayaquil 50
2016
Filtrado a nivel de Paquete
Filtrado de paquetes con estado Ejemplo TCP

Diseo e implementacin de Seguridades


Universidad de Guayaquil 51
2016
Filtrado a nivel de Paquete

Filtrado de paquetes con estado


Estado UDP
Normalmente no se utiliza con el protocolo UDP
Por qu? Protocolo no orientado a la conexin
No posee nmero de secuencias o banderas
Para tracear una conexin utiliza pseudo-estados
Se puede basar el estado de la conexin por IP y puerto
de origen y destino

Diseo e implementacin de Seguridades


Universidad de Guayaquil 52
2016
Filtrado a nivel de Paquete

Filtrado de paquetes con estado

ESTADO ICMP

Protocolo no orientado a la conexin

No posee nmero de secuencias o banderas

Para tracear una conexin utiliza pseudo-estados

Se puede basar en el tipo de peticin y el tipo de


mensaje respuesta
Diseo e implementacin de Seguridades
Universidad de Guayaquil 53
2016
Filtrado a nivel de Paquete

Filtrado con estado vs filtrado sin estado


SIN ESTADO (esttico)
Evalua el contenido de cada paquete pero no mantiene un
registro del estado de las conexiones
Similar a las ACL
Baja sobrecarga
Alto Rendimiento
Bajo Costo

CON ESTADO (dinmico )


Lleva un registro del estado de las conexiones para la toma
de decisiones
Alta sobrecarga
Bajo Rendimiento
Ms costosos

Diseo e implementacin de Seguridades


Universidad de Guayaquil 54
2016
Filtrado a nivel de Paquete

Ventajas
Simplicidad
Transparente a los usuarios
Rpidos
Desventajas
No pueden prevenir ataques que empleen
vulnerabilidades de aplicaciones especficas
Logs limitados
Vulnerable a ataques y explotaciones que tomen
ventaja de problemas de la pila TCP/IP. Ej: IP spoofing
Suceptible a brechas de seguridad debido a mala
configuracin

Diseo e implementacin de Seguridades


Universidad de Guayaquil 55
2016
Filtrado a nivel de Paquete

Diseo e implementacin de Seguridades


Universidad de Guayaquil 56
2016
Filtrado a nivel de aplicacin

Diseo e implementacin de Seguridades


Universidad de Guayaquil 57
2016
Servidor Proxy - Filtrado a nivel de aplicacin
Gateway de aplicacin

Acta como sustituto de los servidores reales en un


sitio de la red

Opera en la capa de aplicacin

No existe conexin directa entre el cliente y el


servidor

Cambia direcciones IP, puertos, etc

Finaliza conexiones TCP, tanto desde hosts internos


como externos, ya sean clientes o servidores

Diseo e implementacin de Seguridades


Universidad de Guayaquil 58
2016
Servidor Proxy - Filtrado a nivel de aplicacin

Funcionamiento
Usuario realiza peticin de un servicio de Internet, como HTTP,
Telnet, FTP, etc
El software del cliente lanza la peticin
El proxy pregunta por la informacin de autenticacin necesaria
Proxy provee conexin actuando como gateway del servicio
remoto
Proxy realiza las comunicaciones necesarias para establecer la
conexin con los sistemas externos
Todo el trfico lo enruta entre el usuario interno y el sistema
externo a travs del proxy

Diseo e implementacin de Seguridades


Universidad de Guayaquil 59
2016
Servidor Proxy - Filtrado a nivel de aplicacin
Propsitos

Aislar el cliente y el servidor entre s


Reduce la posibilidad de hackear el cliente o el
servidor, ya que slo interactan a travs del
proxy

Permitir o denegar conexiones basado en qu es lo


que el cliente est intentando hacer

Funciones
Revisar la carga (payloads) de los paquetes
Entender el contenido de la carga (payloads) en
trminos de las aplicaciones previstas
Diseo e implementacin de Seguridades
Universidad de Guayaquil 60
2016
Conexiones TCP sin proxy

Diseo e implementacin de Seguridades


Universidad de Guayaquil 61
2016
Conexiones TCP con proxy

Diseo e implementacin de Seguridades


Universidad de Guayaquil 62
2016
Ejemplo de Servidor Proxy

Diseo e implementacin de Seguridades


Universidad de Guayaquil 63
2016
Servidor Proxy - Filtrado a nivel de aplicacin

Incrementa substancialmente la seguridad

Servidor Proxy debe manejar ambas direcciones


para clientes y servidores

Es configurado para soportar caractersticas


especficas, que el administrador considere
necesarias de una aplicacin

Diseo e implementacin de Seguridades


Universidad de Guayaquil 64
2016
Servidor Proxy - Filtrado a nivel de aplicacin

En el ejemplo se muestra proteccin tanto para el


cliente como para el servidor

Servidor protegido contra hackers que se hacen


pasar por clientes

Previene el uso de comandos como HTTP POST


PUT para infectar el servidor

Cliente es protegido contra pginas web


infectadas
Diseo e implementacin de Seguridades
Universidad de Guayaquil 65
2016
Servidor Proxy - Filtrado a nivel de aplicacin
PROS

Cliente y Servidor invisibles entre s


No conocen las direcciones IP entre ellos
No conocen las redes internas a las que pertenecen
o la estructura de los archivos del host

Servidor Proxy puede ser usado para llevar un


registro de las aplicaciones y los posibles intentos
Lleva log de las ocurrencias de aplicaciones con
cdigos maliciosos

Diseo e implementacin de Seguridades


Universidad de Guayaquil 66
2016
Servidor Proxy - Filtrado a nivel de aplicacin
PROS

Servidor Proxy puede realizar filtrado de contenido


Detecta ocurrencias de aplicaciones con cdigo
malicioso
Busca por palabras claves y frases (Ej.:
obscenidades)
Filtra applets de java y controles Active-X

Servidores reales no necesitan ser configurados tan


seguros
Sin embargo es una buena idea

Diseo e implementacin de Seguridades


Universidad de Guayaquil 67
2016
Servidor Proxy - Filtrado a nivel de aplicacin
CONS

Costo: Inicial y de mantenimiento

Mltiples proxies
Un problema para organizaciones que manejan
diferente tipo de aplicaciones

Procesamiento adicional en cada conexin

nico punto de fallo


El servidor proxy se convierte en un recurso crtico

Diseo e implementacin de Seguridades


Universidad de Guayaquil 68
2016
Servidor Proxy - Filtrado a nivel de aplicacin
CONS

nico punto para ataques


Si el proxy es comprometido, se convierte en
un gateway para el intruso
Tiene que ser configurado de forma segura

En el pasado, los proxies disponibles no eran muy


seguros

Diseo e implementacin de Seguridades


Universidad de Guayaquil 69
2016
Filtrado a nivel de aplicacin vs filtrado a nivel de
paquetes

Conexiones cliente/servidor
Filtrado a nivel de paquetes permite conexiones
directas
Servidores Proxy previenen conexiones directas
TCP: El servidor proxy crea dos conexiones TCP
juntas
UDP: Investiga la carga (payload)

Aplicacin
Filtrado a nivel de paquete no entiende la
aplicacin o servicio
Servidor proxy entiende la aplicacin o servicio
Ms seguro

Diseo e implementacin de Seguridades


Universidad de Guayaquil 70
2016
Filtrado a nivel de Aplicacin

Diseo e implementacin de Seguridades


Universidad de Guayaquil 71
2016
Filtrado a nivel de Circuito

Diseo e implementacin de Seguridades


Universidad de Guayaquil 72
2016
Filtrado a nivel de Circuito

Trabaja en las capas de transporte y sesin

Examina la informacin TCP para verificar que la solicitud de sesin sea legtima

Similar al firewall de aplicacin

No permite comunicacin directa entre la red interna y la externa


2 conexiones son creadas: Entre host interno y firewall - Entre firewall y el host
externo

Establecidas las conexiones TCP o UDP reenva segmentos de una conexin a otra sin
examinar su contenido

Su funcin de seguridad radica en determinar que conexiones sern permitidas

Diseo e implementacin de Seguridades


Universidad de Guayaquil 73
2016
Filtrado a nivel de Circuito
Este filtrado permite a los administradores
inspeccionar las sesiones, ms que a los paquetes.

Usado generalmente cuando los usuarios internos


son confiables

Baja sobrecarga

Se puede usar filtrado a nivel de aplicacin para


trfico entrante y filtrado a nivel de circuito para
trfico saliente
Diseo e implementacin de Seguridades
Universidad de Guayaquil 74
2016
Filtrado a nivel de Circuito

Diseo e implementacin de Seguridades


Universidad de Guayaquil 75
2016
CONFIGURACIONES DE FIREWALL

Diseo e implementacin de Seguridades


Universidad de Guayaquil 76
2016
Configuraciones de Firewall

Un firewall es ubicado como una barrera


protectora entre el trfico externo y la red
interna

El administrador de seguridad deber decidir el


nmero de firewalls requeridos y sus
ubicaciones
Dependiendo del tipo de servicio y seguridad
que necesite para la red

Diseo e implementacin de Seguridades


Universidad de Guayaquil 77
2016
Configuraciones de Firewall

Configuraciones comunes
Sistema de filtrado con un firewall
Sistema de filtrado con firewall, DMZ, y red
interna
Sistema de filtrado de contencin bastion
host

Diseo e implementacin de Seguridades


Universidad de Guayaquil 78
2016
Configuraciones de Firewall
Sistemas de filtrado con un firewall (Bastion
nico)
Reglas lo ms robustas posibles
Dificultad en el diseo de polticas de seguridad

Diseo e implementacin de Seguridades


Universidad de Guayaquil 79
2016
Configuraciones de Firewall
Sistemas de filtrado con un firewall, DMZ y red
interna (Bastion T)

Polticas menos Polticas


restrictivas para restrictivas para
la DMZ los accesos a la
red interna

Diseo e implementacin de Seguridades


Universidad de Guayaquil 80
2016
Configuraciones de Firewall
Redes DMZ (Zona desmilitarizada)

Servicios que son accesibles desde el exterior


pero necesitan cierta proteccin
Ej.: Servidor web, correo electrnico, DNS, etc.

Debido a la particularidad de que son servicios


accesibles, su proteccin es ms compleja

Diseo e implementacin de Seguridades


Universidad de Guayaquil 81
2016
Configuraciones de Firewall
Sistemas de firewall de contencin bastion
El firewall externo
protege la DMZ de la red
externa

El bastion protege la red


interna del trfico que
proviene de la DMZ y de
la red externa.

El bastion protege a la
DMZ del trfico interno
Diseo e implementacin de Seguridades
Universidad de Guayaquil 82
2016
Configuraciones de Firewall

Configuraciones ms complejas:

Screened host firewall system (con bastion


host)
Screened host firewall system (dual- home
bastion host)
Screened subnet firewall system

Diseo e implementacin de Seguridades


Universidad de Guayaquil 83
2016
Configuraciones de Firewall

Bastion host
Sistema identificado por el administrador del
firewall como un punto crtico en la seguridad
de la red

Sirve como plataforma para filtrado a nivel de


aplicacin o de circuito

Diseo e implementacin de Seguridades


Universidad de Guayaquil 84
2016
Configuraciones de Firewall
Caractersticas de Bastion host

Ejecuta un SO seguro (hardening system)


Se instalan solo servicios esenciales. Puede
incluir aplicaciones como DNS, FTP, HTTP, y
SMTP.
Puede requerir autenticacin adicional antes de
que los usuarios accedan a los servicios proxy.

Diseo e implementacin de Seguridades


Universidad de Guayaquil 85
2016
Configuraciones de Firewall
Screened host firewall system (con bastion de
interfaz nica)

Diseo e implementacin de Seguridades


Universidad de Guayaquil 86
2016
Configuraciones de Firewall
Screened host firewall (con bastion de interfaz nica)

Router filtrador de paquetes


Bastion Host

Caractersticas del Bastion host


Computadora con altas configuraciones de seguridad

Trfico desde el internet solo puede alcanzar el bastion host; no


puede alcanzar la red interna

Slo el trfico con la direccin IP del bastion host puede alcanzar el


Internet.

Ningn trfico de la red interna puede alcanzar el Internet

Diseo e implementacin de Seguridades


Universidad de Guayaquil 87
2016
Configuraciones de Firewall
Screened host firewall (con bastion de interfaz
nica)

Permite el acceso a servidores pblicos desde el


Internet
Colocando el servidor web entre el router y el
bastion host
Problema: Si el router filtrador de paquetes es
comprometido, la red entera est expuesta.

Diseo e implementacin de Seguridades


Universidad de Guayaquil 88
2016
Configuraciones de Firewall
Screened host firewall system (bastion de
interfaz dual)

Diseo e implementacin de Seguridades


Universidad de Guayaquil 89
2016
Configuraciones de Firewall
Screened host firewall system (dual home
bastion host)

Bastion host con dos interfaces de red


Una para la red interna
Otra para la conexin con el router

Si el router es comprometido, la red interna no


es afectada
La red interna est en una red separada
Diseo e implementacin de Seguridades
Universidad de Guayaquil 90
2016
Configuraciones de Firewall
Screened subnet firewall system (Subred
protegida)

Diseo e implementacin de Seguridades


Universidad de Guayaquil 91
2016
Configuraciones de Firewall
Screened subnet firewall system

Una de las configuraciones ms seguras

Se usan dos routers filtradores de paquetes


El bastion host es ubicado entre los dos routers
Tanto el trfico desde internet como la red interna
tienen acceso a la subred protegida

El trfico que fluye entre las dos subredes es bloqueado


Desde el bastion host a la red interna y la subred
entre los dos routers

Diseo e implementacin de Seguridades


Universidad de Guayaquil 92
2016
Firewalls Distribuidos

Diseo e implementacin de Seguridades


Universidad de Guayaquil
2016
Diseo e implementacin de Seguridades
Universidad de Guayaquil Sesin 1
2016
Deber
Firewall de Nueva Generacin
Qu son?
Caractersticas - Funcionalidades
Al menos dos ejemplos de firewalls de nueva
generacin (caractersticas principales de las
mismas)
Cuadrante de Gartner
Imagen
Segn Gartner cules son las mejores marcas de
firewalls y por qu?

Incluir Bibliografa segn Normas APA


Diseo e implementacin de Seguridades
Universidad de Guayaquil
2016
Referencias

Hacking y Seguridad en Internet, Fernando Picouto Ramos, Alfaomega


Ra-ma, 1era edicin, 2007

Network Security Essentials, William Stallings, 4th-edition,2011

Seguridad en Firewalls, Maestra de Seguridad Informtica Aplicada,


ESPOL

Cyber Technologies Course, Master of Cyber Forensics and Security,


IIT

Diseo e implementacin de Seguridades


Universidad de Guayaquil 96
2016