Sunteți pe pagina 1din 30

UNIVERSIDAD INTERAMERICANA DE PANAM

POSTGRADO EN GERENCIA DE SISTEMAS

TELEMTICA

PROYECTO FINAL: FIREWALLS

PROFESOR: RAL ALEXIS LEZCANO

INTEGRANTES: EDILBERTO TAPIERO 8-743-642 SANTIAGO BOSQUEZ 8-753-1250 IAN PREZ PE-7-928

MAESTRA EN GERENCIA DE SISTEMAS CON ESPECIALIZACIN EN SEGURIDAD INFORMTICA 2011

NDICE
INTRODUCCIN...................................................................................................3 FUNCIONALIDAD DE UN FIREWALL......................................................................4 Polticas del Firewall:...........................................................................................6 IMPLEMENTACIONES COMUNES..........................................................................8 UTM (Unified Threat Management o Gestin Unificada de Amenazas):..............8 ARQUITECTURAS DE FIREWALL.........................................................................11 Dual-homed Host Architecture:.........................................................................11 Screen Host Architecture:.................................................................................12 Screened Subnet Architecture:.........................................................................14 TIPOS DE FIREWALL..........................................................................................17 Firewall de red: filtrado de paquetes.................................................................17 Firewall de aplicacin........................................................................................19 Firewall de estado.............................................................................................21 Acontecimientos posteriores.............................................................................22 Firewall Personal...............................................................................................22 FIREWALL FSICO Y DE SOFTWARE....................................................................24 Firewall de Hardware o Fsico:...........................................................................25 .......................................................................................................................... 25 Firewall de Software:.........................................................................................27 CONCLUSIONES.................................................................................................29 BIBLIOGRAFA....................................................................................................30

INTRODUCCIN
Muchas de las amenazas a la perdida de informacin, como virus, gusanos y ataques combinados explotan vulnerabilidades residentes en puertos abiertos para ganar acceso a las redes. Un puerto abierto es como un tubo por el cual un programa puede recibir o transmitir informacin. Por lo tanto uno solo debera tener abiertos los tubos que necesita. La carencia de un firewall provocara que la red sea expuesta a cualquier tipo de ataque. En este trabajo haremos un anlisis de los diferentes conceptos y destacaremos cun importante es el rol que desempea dicho componente, enfatizado hacia las exigencias de seguridad que confrontan las empresas actuales.

FUNCIONALIDAD DE UN FIREWALL

Un Firewall es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los mismos pueden ser implementados en hardware o software, o una combinacin de ambos.

Los Firewall se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs del Firewall, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.

Tambin es frecuente conectar al Firewall a una tercera red, llamada Zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. Un Firewall correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad informtica abarca ms mbitos y ms niveles de trabajo y proteccin.

Polticas del Firewall:


Hay dos polticas bsicas en la configuracin de un Firewall que cambian radicalmente la filosofa fundamental de la seguridad en la organizacin:

Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente permitido. El Firewall obstruye todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten. Esta aproximacin es la que suelen utilizar las empresas y organismos gubernamentales.

Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del trfico no ser filtrado. Esta aproximacin la suelen utilizar universidades, centros de investigacin y servicios pblicos de acceso a internet. La poltica restrictiva es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso, mientras que en la poltica permisiva es posible que no se haya contemplado algn caso de trfico peligroso y sea permitido por omisin.

IMPLEMENTACIONES COMUNES

UTM (Unified Threat Management o Gestin Unificada de Amenazas):


Se utiliza para describir los Firewall de red que engloban mltiples funcionalidades en una misma mquina, trabajando a nivel de aplicacin. Algunas de las funcionalidades que puede incluir son las siguientes: UDP VPN Antispam Antiphishing
8

Antispyware Filtro de contenidos Antivirus


Deteccin/Prevencin de Intrusos (IDS/IPS)

El mismo puede trabajar de dos maneras: Modo proxy: hacen uso de proxies para procesar y redirigir todo el trfico interno. Modo Transparente: no redirigen ningn paquete que pase por la lnea, simplemente lo procesan y son capaces de analizar en tiempo real los paquetes. Este modo requiere de unas altas prestaciones hardware. Desventajas: Se crea un punto nico de fallo y un cuello de botella, es decir si falla este sistema la organizacin queda desprotegida totalmente. Tiene un coste fijo peridico.
9

Ventajas: Se pueden sustituir varios sistemas independientes por uno solo facilitando su gestin.

10

ARQUITECTURAS DE FIREWALL Dual-homed Host Architecture:

Una dual-homed host architecture esta construida como un host dualhomed, una computadora con dos interfaces de red. Tal host acta como router entre las dos redes que l conoce, es capaz de rutear paquetes IP desde una red a otra. Pero los paquetes IP de una red a la otra no son ruteados directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall tambin pueden comunicarse con l, pero los sistemas no pueden comunicarse directamente entre ellos.
El dual-homed host puede proveer varios niveles altos de control.

11

Screen Host Architecture:

Esta arquitectura provee servicios desde un host que est en la red interna, usando un router separado. La principal seguridad est dada por el filtrado de paquetes. Un host Bastin est situado en la red interna. Los paquetes filtrados por el "screening router" son configurados de tal manera que el host bastin es la nica mquina de la red interna a la que los host de Internet pueden abrir conexiones (por ejemplo un deliver incoming email). Solo cierto tipo de conexiones son permitidas. Cualquier sistema externo que intente acceder al sistema interno deber conectarse con este host. El host Bastin necesita entonces tener un alto nivel de seguridad. El filtrado de paquetes tambin debe permitir al host Bastin abrir conexiones al mundo exterior. La configuracin del filtrado de paquetes en un "screening router" debe hacerse como sigue:
12

Permitir a otros host internos conexiones con otros hosts de Internet para ciertos servicios (permitiendo esos servicios con paquetes filtrados) No permitir todas las conexiones desde hosts internos (forzar a esos hosts a usar el servicio de proxy va el host bastin) Se puede mezclar y machear estas aproximaciones para diferentes servicios: algunos pueden ser permitidos directamente filtrando paquetes, mientras que otros directamente va proxy. Existen algunas desventajas; la principal es que si un ataque rompe el host bastin, esto no es notado por la red interna. El router tambin presenta un punto de falla. Si el router est comprometido, la red entera est disponible para ser atacada.

13

Screened Subnet Architecture:

Es la arquitectura ms popular. Agrega un nivel extra de seguridad que la arquitectura "screened host", agregando un permetro a la red, que asla fuertemente la red interna de Internet. Los hosts bastiones son las mquinas ms vulnerables en la red. Aunque se esfuerce en protegerse, estas son las mquinas que pueden ser atacadas, porque ellas son las mquinas que son vistas por la red externa. Si su red interna es muy abierta, es un objetivo tentador. No hay otra defensa entre esta mquina y las mquinas internas. Al aislar el host bastin en un permetro, se puede reducir el impacto de atacar al host bastin. Esta arquitectura tiene dos "screening router", cada uno conectado al permetro. Uno est situado entre el permetro y la red interna y otro entre el permetro y la red externa. Para destruir la red interna con este tipo de arquitectura, el atacante debe pasar por ambos routers.
14

Si un atacante logra destruir al host bastin, deber lograr pasar por el router interno. Algunos sitios crearon una serie de permetros entre el mundo externo y la red. Los servicios ms peligrosos son pasados de los permetros ms externos a los ms internos. La idea es que un ataque a una mquina en el permetro ms externo tendr una tarea ardua para atacar a las mquinas internas porque deber atacar todos los niveles de seguridad de todos los dems permetros. Permetro: Es un nivel de seguridad, una red adicional entre la red externa y la interna. Si un ataque logra romper el firewall ms externo, el permetro ofrecer un nivel adicional de proteccin entre la red interna y el atacante. Host bastin: Situado en permetro, este host es el punto de contacto para establecer comunicacin desde el mundo exterior.
o Router exterior: Situado entre el mundo externo y el permetro.

Realiza un filtrado de paquetes. La regla de filtrado de paquetes debe ser esencialmente la misma en ambos routers. Las reglas de filtrado de paquetes son las que protegen las mquinas del permetro (el host bastin y el router interno); por lo tanto no es necesario una proteccin muy fuerte, porque los hosts del permetro son hosts de seguridad
o Router Interior: Ubicado entre la red interna y el permetro. Este

router no realiza el principal filtrado de paquetes. El permite seleccionar servicios de la red interna. Los servicios que este router permite entre el host bastin y la red interna no necesariamente son los mismos que permite el router externo. La razn para limitar los servicios entre el host bastin y la red

15

interna es que reduce el nmero de mquinas que pueden ser atacadas desde el host bastin.

16

TIPOS DE FIREWALL Firewall de red: filtrado de paquetes


El primer documento publicado para la tecnologa firewall data de 1988, cuando el equipo de ingenieros Digital Equipment Corporation (DEC) desarroll los sistemas de filtro conocidos como Firewall de filtrado de paquetes. Este sistema, bastante bsico, fue la primera generacin de lo que se convertira en una caracterstica ms tcnica y evolucionada de la seguridad de Internet. En AT & T Bell, Bill Cheswick y Steve Bellovin, continuaban sus investigaciones en el filtrado de paquetes y desarrollaron un modelo de trabajo para su propia empresa, con base en su arquitectura original de la primera generacin. El filtrado de paquetes acta mediante la inspeccin de los paquetes (que representan la unidad bsica de transferencia de datos entre ordenadores en Internet). Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducir (descarte silencioso) o ser rechazado (desprendindose de l y enviando una respuesta de error al emisor). Este tipo de filtrado de paquetes no presta atencin a si el paquete es parte de una secuencia existente de trfico. En su lugar, se filtra cada paquete basndose nicamente en la informacin contenida en el paquete en s (por lo general utiliza una combinacin del emisor del paquete y la direccin de destino, su protocolo, y, en el trfico TCP y UDP, el nmero de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicacin a travs de Internet, utilizando por convencin puertos bien conocidos para determinados tipos de trfico, por lo que un filtro de paquetes
17

puede distinguir entre ambos tipos de trfico (ya sean navegacin web, impresin remota, envo y recepcin de correo electrnico, transferencia de archivos); a menos que las mquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estndar. El filtrado de paquetes llevado a cabo por firewall acta en las tres primeras capas del modelo de referencia OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas fsicas. Cuando el emisor origina un paquete y es filtrado por el Firewall, ste ltimo comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete en consecuencia. Cuando el paquete pasa a travs de cortafuegos, ste filtra el paquete mediante un protocolo y un nmero de puerto base (GSS). Por ejemplo, si existe una norma en el firewall para bloquear el acceso telnet, bloquear el protocolo IP para el nmero de puerto 23. Ventajas: Rpido, como requisitos de CPU y memoria. Flexibles y muchos extensibles mediante mdulos

Desventajas: No ofrece autenticacin Vulnerable a ataques como Spoofing (cambio de direccin del remitente) Difcil de administrar en ambientes complejos.

18

Firewall de aplicacin
Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un Firewall de aplicacin es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegacin web), y permite detectar si un protocolo no deseado se col a travs de un puerto no estndar o si se est abusando de un protocolo de forma perjudicial. Un Firewall de aplicacin es mucho ms seguro y fiable cuando se compara con un Firewall de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que tambin podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet Security and Acceleration). Un Firewall de aplicacin puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizacin quiere bloquear toda la informacin relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms lentos que los de estado. Ventajas: No permite conexiones directas (es decir mantiene en secreto la identidad de los interlocutores) Soporta autenticacin a nivel de usuario.

19

Analiza los comandos de la aplicacin dentro de la carga del paquete (payload)

Mantiene bitcoras extensas de trfico y actividad especfica.

Desventajas:

Son ms lentos (tienen que analizar todo) por lo tanto se requiere ms cantidad de Hardware para analizar el trfico del canal.

Pueden no soportar ciertos tipos de conexin.

20

Firewall de estado
Durante 1989 y 1990, tres colegas de los laboratorios AT & T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generacin de servidores de seguridad. Esta tercera generacin Firewall tiene en cuenta adems la colocacin de cada paquete individual dentro de una serie de paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el Firewall, siendo capaz de determinar si un paquete indica el inicio de una nueva conexin, es parte de una conexin existente, o es un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegacin de servicio. Ventajas: Conocen el estado de las conexiones. Pueden detectar y prevenir ataques DoS.

Desventajas: Pueden ser difciles de configurar. No pueden manejar informacin de aplicacin. No proporcionan soporte para autenticacin. Existen protocolos sin estado: UDP, ICMP, etc. Aplicaciones con conexiones adicionales: FTP. La tabla de estado puede suponer un problema.
21

Acontecimientos posteriores
En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de Firewall. Su producto, conocido como "Visas", fue el primer sistema con una interfaz grfica con colores e iconos, fcilmente implementable y compatible con sistemas operativos como Windows de Microsoft MacOS de Apple. En 1994, una compaa israel llamada Check Point Software Technologies lo patent como software denominndolo FireWall-1. La funcionalidad existente de inspeccin profunda de paquetes en los actuales Firewalls puede ser compartida por los sistemas de prevencin de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet Engineering Task Force (IETF) est trabajando en la estandarizacin de protocolos para la gestin de Firewalls. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del Firewall. Algunos Firewalls proporcionan caractersticas tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el Firewall NuFW, proporcionan caractersticas de identificacin real solicitando la firma del usuario para cada conexin.

Firewall Personal

22

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal. Normalmente son cortafuegos de filtrado de paquetes.

Ventajas: Sencillo y barato Seguridad y autenticacin adicional. Inconvenientes: Poca escalabilidad Basados en software Pocas opciones de filtrado

23

FIREWALL FSICO Y DE SOFTWARE


Conectar un sistema a la red sin firewall se asemeja al simple hecho de dejar la puerta de nuestra oficina sin cerrojo, cuando nos vamos de vacaciones. Las probabilidad de que eventualmente aparezca un desconocido y tome posesin de nuestros invaluables recursos, es bastante alta. La gran mayora de equipos y programas vienen equipados con un aplicativo firewall, pero cuando se trata de proteger informacin sensitiva es mejor saber cules son nuestras limitantes. Desde el punto de vista terico un firewall se encarga de resguardar nuestros recursos de actos mal intencionado. La implementacin de los mismos se ha incrementado en un 44% tanto en las pequeas como las medianas empresas. En la actualidad existen dos clases de firewall:

24

Firewall de Hardware o Fsico:

25

Los firewalls de hardware estn integrados en el router que se encuentra entre una computadora y un mdem de Internet. Se suelen utilizar el filtrado de paquetes, lo que significa que se escanean, cabeceras de los paquetes para determinar su fuente, origen, las direcciones de destino, y si el trfico entrante se relaciona con una conexin de salida, como una solicitud de un sitio web. Esta informacin se compara con un conjunto de normas creadas por el usuario que determinan si el paquete debe ser enviado o se bloquean. Las ventajas de un firewall de hardware son los siguientes: Un solo firewall de hardware puede proteger toda su red, lo cual ahorra costos en empresas con varios ordenadores. Debido a que no se ejecutan en sus equipos, que no afectan el rendimiento del sistema o la velocidad. Los firewalls de hardware son ms eficiente para las empresas que utilizan una conexin a Internet de banda ancha, como DSL o cable mdem. Un firewall de hardware no es fcil de ser desactivado por software malicioso, como ocurre con un software de firewall. El costo de un firewall de hardware para proteger varios equipos en ltima instancia, puede ser ms baja que la instalacin de firewalls de software con licencia en cada PC en la oficina. Las desventajas de un firewall de hardware son los siguientes: Los firewall de hardware pueden ser costosos. A nivel operativo pueden ser ms difciles de configurar.

26

Firewall de Software:

Firewalls de software son programas instalados en equipos individuales que interceptan cada solicitud por la red para conectarse a la computadora y luego determinar si la solicitud es vlida. Las ventajas de un firewall de software son los siguientes: Los mejores firewalls de software son de menor costo, por lo que son una opcin ms accesible para pequeas empresas. Son ms fciles de configurar que los routers de hardware. Un firewall protege el equipo es instalado en no importa dnde se conecta ese equipo. Esta es una caracterstica importante para los usuarios mviles.

27

Las desventajas de un firewall de software son los siguientes: Firewalls de software utilizan ms recursos del sistema, tales como la memoria y espacio en disco, que los firewalls de hardware. Debe adquirir una copia separada para cada equipo conectado a la red. Firewalls de software no se puede configurar para ocultar su direccin IP.

28

CONCLUSIONES
La poltica restrictiva en los firewalls es la ms segura, ya que es ms difcil permitir por error trfico potencialmente peligroso. El firewall ya no es suficiente, la estrategia de seguridad de las corporaciones deben basarse en el concepto de seguridad perimetral que implante barreras para diversos tipos de amenazas.

29

BIBLIOGRAFA
Tactical Peremitral Defense Manual http://es.wikipedia.org/wiki/Cortafuegos_(informtica) http://technology.inc.com/2006/11/01/choosing-a-firewallhardware-v-software/ Es.wikipedia.org www.segu-info.com.ar www.howstuffworks.com www.itsecurity.com/firewalls/

30

S-ar putea să vă placă și