1 / 24

Tema 4 – Cortafuegos

Tema 4 – Cortafuegos. Punto 1 – Cortafuegos. Juan Luis Cano . Cortafuegos. Un cortafuegos  (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas . Empleo de Cortafuegos.

lynna
Download Presentation

Tema 4 – Cortafuegos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Tema 4 – Cortafuegos Punto 1 – Cortafuegos Juan Luis Cano

  2. Cortafuegos Uncortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

  3. Empleo de Cortafuegos Un buen Firewall para Internet puede ayudarle a impedir que extraños accedan a su PC desde Internet. Los Firewalls pueden ser de dos tipos, de software o de hardware, y proporcionan una frontera de protección que ayuda a mantener fuera a los invasores no deseados de Internet. Si el Firewall "observa" alguna actividad sospechosa: que alguien de fuera esté intentando acceder a nuestro Pc o que algún programa espía trate de enviar información sin consentimiento, el Firewall nos advertirá con una alarma en el sistema.

  4. Historia del cortafuegos La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80.

  5. 1ª Generación – Filtrado de paquetes El filtrado de paquetes actúa mediante la inspección de los paquetes. Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducirá o será rechazado. Este tipo de filtrado de paquetes no presta atención a si el paquete es parte de una secuencia existente de tráfico. En su lugar, se filtra cada paquete basándose únicamente en la información contenida en el paquete en sí. Los protocolos TCP y UDP comprenden la mayor parte de comunicación a través de Internet, utilizando por convención puertos bien conocidos para determinados tipos de tráfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de tráfico. El filtrado de paquetes llevado a cabo por un cortafuegos actúa en las tres primeras capas del modelo de referencia OSI, por lo que todo el trabajo lo realiza entre la red y las capas físicas.

  6. 2ª Generación – Cortafuegos de Estado Esta tecnología se conoce generalmente como la inspección de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexión, es parte de una conexión existente, o es un paquete erróneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.

  7. 3ª Generación – Cortafuegos de Aplicación Son aquellos que actúan sobre la capa de aplicación del modelo OSI. La clave de un cortafuegos de aplicación es que puede entender ciertas aplicaciones y protocolos, y permite detectar si un protocolo no deseado se coló a través de un puerto no estándar o si se está abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicación es mucho más seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI.

  8. Funciones Principales La primera función de un cortafuegos es simple: proteger la red. Los cortafuegos más modernos utilizan múltiples métodos sofisticados para cumplir esta misión. • Defensa frente a ataques a la red. Como añadido al bloqueo de paquetes originados desde direcciones IPentre otros, un cortafuegos efectivo puede reconocer las características específicas de los que constan paquetes de tipos de ataques de red comunes, como ataques DOS • Defensa frente a virus y spam. Un cortafuegos debe ser capaz de reconocer virus, gusanos, caballos de Troya y otros códigos maliciosos. • Herramienta forense.Los cortafuegos modernos graban sucesos en registros que se pueden usar para generar informes utilizados como respuesta a incidentes y como evidencias en los casos de procesamiento de agujeros de seguridad. Un buen sistema de informes es esencial para proporcionar un rastro utilizable de auditoría y encontrar cualquier agujero de seguridad existente.

  9. Reglas de Filtrado El cortafuegos necesita de reglas para filtrar los paquetes entrantes y salientes a través de la red, ya sea hasta la capa 3 (filtrado de paquetes) o sobre todas las capas del modelo OSI (cortafuegos de aplicación). Para ello se basan de algunas herramientas como pueden ser:

  10. Visor de sucesos y Monitorización En todo momento el administrador o administradores de red tienen que saber cómo y cuándo se asalta la seguridad de la misma, y eso se consigue realizando una monitorización y control en el cortafuegos. Por ello es necesario que se registre todo acto ocurrido en el mismo.

  11. Listas de Control de Acceso Una lista de control de acceso o ACLes una forma de determinar los permisos de acceso apropiados a un determinado objeto, dependiendo de ciertos aspectos del proceso que hace el pedido. Su principal objetivo es filtrar tráfico, permitiendo o denegando el tráfico de red de acuerdo a alguna condición.

  12. Ventajas y Limitaciones Las principalesventajasde utilizar los cortafuegos son: • Puede bloquear y controlar el tráfico de la red. • Puede bloquearlo a distintos niveles del modelo OSI • Proporciona control sobre las peticiones externas a la empresa. Las limitaciones se desprenden de la misma definición del cortafuegos: filtro de tráfico. La siguiente lista muestra algunos de riesgos: • Un cortafuegos no puede proteger contra aquellos ataques cuyo tráfico no pase a través de él. • El cortafuegos no puede proteger de las amenazas a las que está sometido por ataques internos o usuarios negligentes. • El cortafuegos no puede proteger contra los ataques posibles a la red interna por virus informáticos a través de archivos y software. • El cortafuegos no protege de los fallos de seguridad de los servicios y protocolos cuyo tráfico esté permitido.

  13. Políticas de Cortafuegos Hay dos políticas básicas en la configuración de un cortafuegos que cambian radicalmente la filosofía fundamental de la seguridad en la organización: • Política restrictiva: Se deniega todo el tráfico excepto el que está explícitamente permitido. El cortafuegos obstruye todo el tráfico y hay que habilitar expresamente el tráfico de los servicios que se necesiten. Esta aproximación es la que suelen utilizar la empresas y organismos gubernamentales. • Política permisiva: Se permite todo el tráfico excepto el que esté explícitamente denegado. Cada servicio potencialmente peligroso necesitará ser aislado básicamente caso por caso, mientras que el resto del tráfico no será filtrado. Esta aproximación la suelen utilizar universidades, centros de investigación y servicios públicos de acceso a internet.

  14. Tipos de Cortafuegos Hay varios tipos de cortafuegos atendiendo a la necesidad de filtrado de tráfico, se pueden clasificar según su instalación (hardware o software), dependiendo de su ubicación en la red (en un router, en un ordenador personal,…) y dependiendo del factor de su tecnología (nivel de filtrado de paquetes o nivel de servicios).

  15. Cortafuegos de Filtrado de Paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP. En este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

  16. Según su ubicación • Cortafuegos de red Protegen redes. Se instalan sobre sistemas operativos como Linux, Windows... Modifican los archivos de inicio, entradas al registro y añaden nuevos procesos al sistema. • Cortafuegos de host  Protege a una sola máquina. Útil si la red consta de pocas máquinas. En redes grandes su administración global es un serio problema (si se configura para proteger una sola máquina).

  17. Según su tecnología • Cortafuegos a nivel de red : Esta tecnología inspecciona únicamente las cabeceras de los protocolos de red y transporte (IP, TCP, UDP...) y no de sus contenidos. Los paquetes son aceptados, rechazados o descartados en función de esas cabeceras. • Las principales deficiencias de esta tecnología son su incapacidad para filtrar según el contenido de los paquetes, usuarios o grupos. • Proxies a nivel de aplicación : Si bien no existe consenso en considerar a los proxies a nivel de aplicación como cortafuegos, su aparición raes tan frecuente que conviene cuando menos mencionarlos en este contexto. Estos proxies monitorizan las comunicaciones traduciendo las direcciones IP del tráfico saliente (públicas o privadas) en una única dirección pública. El proxy es quién realiza la conexión ocultando al exterior la identidad de la máquina interna. Esta tecnología permite filtrar la conexión según, máquina, red, usuario, grupo y contenido.

  18. Arquitecturas de Cortafuegos Las tecnologías de filtrado de paquetes que se emplean en los firewalls constituyen una manera eficaz y general para controlar el tráfico en la red. Tales tecnologías tienen la ventaja de no realizar ningún cambio en las aplicaciones del cliente y el servidor, pues operan en las capas IP y TCP, las cuales son independientes de los niveles de aplicación según se establece en el modelo OSI. Existen varios métodos para construir una barrera de protección. Las organizaciones con talento en la programación y recursos financieros suficientes, en general prefieren usar un método personalizado de barreras de protección para proteger la red de la organización.

  19. Cortafuegos Dual-Homed Host Básicamente es un servidor con dos tarjetas de red, una dirigida a Internet y otra dirigida a la red interna, que actúa como Host Bastion permitiendo o denegando todos los paquetes que entren y salgan de la red. También puede utilizarse entre redes internas.

  20. Cortafuegos Screened-Host En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.

  21. Cortafuegos Screened-Subnet (DMZ) Una zona desmilitarizada (DMZ, demilitarizedzone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet.

  22. ThreeLegged Firewall La comúnmente llamada DMZ de tres patas, es una DMZ que no es tan segura como la ScreenedSubnet descrita anteriormente. En vez de dos routers que aseguren la zona, se utilizará solo uno de los dichos para ese propósito.

  23. Pruebas de funcionamiento Para comprobar su uso, se pueden realizar diversas pruebas para comprobar el estado del cortafuegos realizando conexiones bloqueadas, intentos de penetración, etc.

  24. Punto 2 – Cortafuegos Software y Hardware

More Related