Seguridad en el permetro interno y

externo de la red

Clase 8
Seguridad de la Informacin

Introduccin y Tipos de
Firewalls

Clase 8
Seguridad de la Informacin

Contenido
Polticas de configuracin
Permetro Interno y Externo
Que no protege un firewall?
NAT
PAT
Tipos de Firewalls
ACL
Inspeccin de pleno estado
Proxies

Introduccin

Firewalls
Dispositivo cuyo objetivo es mantener las reas peligrosas
fuera del alcance de las reas seguras.
Permite implementar una poltica de control de acceso entre
dos o ms redes, implementada a travs de reglas
Evala cada paquete que ingresa o sale de la empresa y lo
compara con las polticas de seguridad de la red
Implementaciones:
Funcionalidad adicional en los propios routers
IOS Firewall de Cisco Systems

Aplicacin de software ejecutndose en una PC

iptables en LINUX

Dispositivos independientes y dedicados

PIX de Cisco Systems

Polticas de configuracin

Las dos polticas principales de configuracin para un

firewall son:
permitir todo lo que no est especficamente prohibido
prohibir todo lo que no est explcitamente permitido (es la
recomendable)

Permetro interno y externo

Qu no protege un firewall?
Trfico que no lo atraviese
Ejemplo: conexiones WI-FI

Mal uso de servicios autorizados

Acceso a las pginas no permitidas, uso del correo para fines
personales

Robo de informacin
empleados que extraen informacin y la retiran en Pendrive, CD, DVD.

Recordar: la tecnologa por s sola no soluciona los problemas de

seguridad, sino que debemos apoyarla con polticas y procedimientos
correctos que sean conocidos y reforzados por toda la organizacin.

Network Address Translation

Permite acceso a Internet desde una red privada
con un esquema de direccionamiento privado.
Reduccin de direcciones pblicas
Oculta el esquema de direccionamiento IP de la
red interna
Control del trfico entrante y saliente (Tabla NAT)
Tipos de NAT
Esttico
Dinmico
Overlapping o PAT

NAT
NAT es el proceso de alterar un encabezado IP de un
paquete de modo tal que la direccin de destino, la direccin
de origen o ambas direcciones sean reemplazadas en el
encabezado por direcciones diferentes .
Este proceso de intercambio es llevado a cabo por un
dispositivo que ejecuta software o hardware NAT
especializado (router, firewall, w2k, Linux, UNIX, etc).
Un dispositivo NAT tpicamente opera en la frontera de un
dominio interno. Cuando un host dentro del dominio interno,
tal como 10.1.1.6, desea transmitir a un host del exterior,
enva el paquete a su gateway por defecto, el cual
reemplazar la direccin de origen por la de su interfaz
pblica o bien por la de un pool asignado y registrar la
misma en una tabla para realizar el proceso inverso con las
respuestas.

NAT

Network Address Translation

NAT

www.cisco.com
198.133.219.25

10.1.1.5

10.1.1.6

Campo de encabezado IP
Dir. Origen 10.1.1.5 Dir. Dest. 198.133.219.25

E0 10.1.1.5

S0 170.70.1.1
NAT

10.1.1.7

Proceso NAT
Campo de encabezado IP

Dir. Origen

10.1.1.5
170.70.1.1

Tabla NAT
10.1.1.5
170.70.1.1

Dir. Dest. 198.133.219.25

NAT

www.cisco.com
198.133.219.25

10.1.1.5

Campo de encabezado IP
Dir. Origen 198.133.219.25 Dir. Dest. 10.1.1.5

10.1.1.6
E0 10.1.1.5

10.1.1.7

Proceso NAT
Campo de encabezado IP

S0 170.70.1.1
Tabla NAT
10.1.1.5
170.70.1.1

Dir. Origen 198.133.219.25 Dir. Dest. 170.70.1.1

10.1.1.5

Port Address Translation

Es una tcnica de traslacin de direcciones que permite
conectar mltiples estaciones de trabajo a Internet con una
sola direccin IP ruteable, tambin se conoce con el nombre de
masquerading o PAT.
Con esta tcnica, el dispositivo que realiza el PAT, inscribe en
su tabla de traslaciones por cada conexin una entrada que
indica:
El nmero IP de origen desde el cual se inici la conexin (nmero IP no
ruteable)
El nmero de puerto TCP/IP desde el cual se origin la conexin.
El nmero de puerto TCP/IP con el cual se reemplazo el nmero de
puerto de origen.

Algunas aplicaciones no soportan PAT (Netshow, Multicast,

BootP)

PAT

Port Address Translation

Tipos de Firewalls

Tipos de Firewalls
Niveles de filtrado

Filtros estticos de paquetes

Listas de acceso comunes (ACL estandar - IOS)

Filtros dinmicos
Listas de acceso asociadas a fecha y hora (ACL dinmicas
IOS)

Proxies o gateways de aplicacin

Proxy de acceso a internet (squid - Linux)

Inspeccin de pleno estado

Firewalls dedicados (PIX Cisco Systems)

Actividad de Laboratorio
Laboratorio: 6.3.3
Tema: Proxies de aplicacin
Duracin estimada: 40 min
Recursos por grupo:
Instaladores de SQUID
2 PC Windows

Tipos de Firewalls

Seguridad de Capa 3
Listas de acceso estticas
Seguridad de Capa 4:
Listas de acceso extendidas
Listas de acceso reflexivas
Seguridad de Capa 7:
Proxys o Gateways de aplicacin
Inspeccin de pleno estado

Tipos de Firewalls

Inspeccin de pleno estado

Tipos de Firewalls

Inspeccin de pleno estado

Filtros estticos de paquetes

Proxies o Gateways

Stateful

Inspeccin de pleno estado

Trabaja en la ltimas tres capas del modelo TCP/IP
Capa de Red
Capa de Transporte
Capa de Aplicacin

Se mantiene una tabla (xlate) con las sesiones TCP y con

pseudo sesiones UDP activas basadas en timers con:
Direcciones IP y puertos origen y destino
Banderas, N de secuencia

En general maneja Fixups para protocolos de aplicacin

ms complejos
Autenticacin de trfico y filtrado de contenidos por aplicacin
Alto consumo de recursos de procesamiento

Stateful