Sunteți pe pagina 1din 30

66.

69 Criptografa y Seguridad Informtica

FIREWALL
Qu es un Firewall?

FIREWALL = Cortafuegos

FIREWALL
Qu es un Firewall?

FIREWALL = Cortafuegos

FIREWALL
Qu es un Firewall?

FIREWALL = Cortafuegos

Elemento de hardware o software utilizado en una red de


computadoras para controlar las comunicaciones, permitindolas o
prohibindolas segn las polticas de seguridad.

FIREWALL
Dnde opera un Firewall?

Punto de conexin de la red interna con la red exterior

Zona Desmilitarizada (DMZ)

FIREWALL
Tipos de Firewall

APLICACIN URL de HTTP De capa de


APLICACIN
aplicacin
PRESENTACIN
PRESENTACIN

SESIN
SESIN

TRANSPORTE
TRANSPORTE protocolo + puerto

RED
RED IP De filtrado de
paquetes
ENLACE
ENLACE MAC

FISICA
FISICA

OSI
FIREWALL
Funciones posibles del Firewall (I)
NAT (Network Address Translation)

10.0.0.1

10.0.0.2

FIREWALL
Funciones posibles del Firewall (I)
NAT (Network Address Translation)

10.0.0.1

10.0.0.2

FIREWALL
Funciones posibles del Firewall (I)
NAT (Network Address Translation)

10.0.0.1

10.0.0.2

FIREWALL
Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall y


despus enviada al host que la requiri originalmente.

FIREWALL
Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall y


despus enviada al host que la requiri originalmente.

FIREWALL
Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall y


despus enviada al host que la requiri originalmente.

FIREWALL
Funciones posibles del Firewall (III)

QOS

HTTP HTTP

La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall


limita la salida para que por ejemplo los usuarios puedan recibir sin
problemas su correo

FIREWALL
Funciones posibles del Firewall (IV)

Balanceo de Carga

HTTP HTTP

La LAN tiene dos vinculos con internet y el firewall distribuye la


carga entre las dos conexiones.

FIREWALL
Limitaciones del Firewall

No protege de ataques fuera de su rea

No protege de espas o usuarios inconscientes

No protege de ataques de ingeniera social

No protege contra ataques posibles en la transferencia de datos,


cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.

FIREWALL
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)

FIREWALL
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)

1) ACEPTAR

REGLAS
2) DENEGAR

FIREWALL
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)

IPTABLES
(LINUX)

FIREWALL
IPtables

= NETFILTER

LINUX

Kernel

IPTables

Filtrado de paquetes
Connection tracking
NAT

FIREWALL
Funcionamiento de IPtables

paquete
paqueteIP
IP

regla1
regla1 regla2
regla2 regla3
regla3 ...

cadena 1

INPUT
cadenas bsicas OUTPUT
FORWARD

... el usuario puede crear tantas como desee.

FIREWALL
Funcionamiento de IPtables

paquete
paqueteIP
IP

regla1
regla1 regla2
regla2 regla3
regla3 ...

cadena 1

regla1
regla1 regla2
regla2 regla3
regla3 ...

cadena 2

... enlace a otra cadena

FIREWALL
Funcionamiento de IPtables

REGLAS

condiciones
condicionesaamatchear
matchear DESTINO
DESTINO

ACCEPT
DROP
QUEUE
RETURN
...

cadena definida
por usuario

FIREWALL
Funcionamiento de IPtables

REGLAS

condiciones
condicionesaamatchear
matchear DESTINO
DESTINO

protocolo ACCEPT
IP origen DROP
IP destino QUEUE
puerto destino RETURN
puerto origen ...
flags TCP
...
cadena definida
por usuario

FIREWALL
Funcionamiento de IPtables

paquete
paqueteIP
IP

... cadena 1

... cadena 2

.
.
.

... cadena N

TABLA

FIREWALL
Funcionamiento de IPtables

Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas
cadenas predefinidas :
responsable del filtrado INPUT
FILTER TABLE
cadenas predefinidas OUTPUT
FORWARD

NAT TABLE responsable de configurar las reglas de


reescritura de direcciones o de puertos de los
paquetes
PREROUTING (DNAT)
POSTROUTING (SNAT)
OUTPUT (DNAT local)

MANGLE TABLE responsable de ajustar las opciones de los


paquetes, como por ejemplo la calidad de servicio;
contiene todas las cadenas predefinidas posibles.

FIREWALL
Funcionamiento de IPtables

FIREWALL
Ejemplo de IPtables (I)
Queremos bloquear todos aquellos paquetes entrantes provenientes
de la direccin IP 200.200.200.1.
iptables -s 200.200.200.1

No estamos especificando qu hacer con los paquetes. Para esto, se


usa el parmetro -j seguido por alguna de estas tres opciones:
ACCEPT, DENY o DROP.

iptables -s 200.200.200.1 -j DROP

Necesitamos tambin especificar a qu chain o cadena vamos a


aplicar esta regla. Para eso est el parmetro -A.

iptables -A INPUT -s 200.200.200.1 -j DROP

FIREWALL
Ejemplo de IPtables (II)
Si lo que buscamos es que a nuestra computadora le sea imposible
comunicarse con la anterior, simplemente cambiaremos el INPUT por
el OUTPUT, y el parmetro -s por el -d.

iptables -A OUTPUT -d 200.200.200.1 -j DROP

Si quisiramos ignorar slo las peticiones Telnet provenientes de esa


misma IP

iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP

Si vamos a usar la computadora como router, deberemos setear la


cadena de FORWARD para que tambin quede en ACCEPT.

iptables -P FORWARD ACCEPT

FIREWALL
Implementacin (escenario 1)

REGLAS

Todo lo que venga de la red local al Firewall : ACEPTAR


Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR

ALTERNATIVA: implementar reglas por PROXY a nivel aplicacin

FIREWALL
Implementacin (escenario 2)

VPN L1

L2
PaP L3

VPN con tnel IPSEC.


Punto a Punto seguro, o poltica de seguridad anti-intrusos o sniffing (ENCRIPT.)

FIREWALL

S-ar putea să vă placă și