• Home

  • Documents

  • Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega...
20
Cortafuegos Enrique Arias Introducci´ on Componentes de un cortafuegos Arquitecturas de cortafuegos Bibliograf´ ıa Cortafuegos Enrique Arias Departamento de Sistemas Inform´ aticos Escuela Superior de Ingenier´ ıa Inform´ atica Universidad de Castilla-La Mancha Auditor´ ıa y Seguridad Inform´ atica, 2009-10 1 / 21

Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

  • Upload
    others

  • View
    5

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Cortafuegos

Enrique Arias

Departamento de Sistemas InformaticosEscuela Superior de Ingenierıa Informatica

Universidad de Castilla-La Mancha

Auditorıa y Seguridad Informatica, 2009-10

1 / 21

Page 2: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Indice

1 Introduccion

2 Componentes de un cortafuegos

3 Arquitecturas de cortafuegos

4 Bibliografıa

3 / 21

Page 3: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Introduccion

¿Que es un cortafuegos?

4 / 21

Page 4: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Introduccion

¿Que es un cortafuegos?

Un firewall o cortafuegos ≡Fosa de un castillo medieval

5 / 21

Page 5: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Introduccion

¿Que es un cortafuegos?

Sistema o grupo de sistemas que hace cumplir una polıtica de controlde acceso entre dos redes

Cualquier sistema (desde un router hasta varias redes) utilizado paraseparar, en cuanto a seguridad se refiere, una maquina o subred delresto, protegiendola ası de servicios y protocolos que desde el exteriorpuedan suponer una amenaza a la seguridad.

6 / 21

Page 6: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Introduccion

Definiciones preliminares

El espacio protegido se denomina perımetro de seguridad.

Este perımetro de seguridad se protege de una red externa denominadazona de riesgo.

Maquina o host bastion (gates): Sistema especialmente asegurado, perovulnerable a ataques al estar abierto a Internet. Filtra el trafico deentrada y salida, y esconde la configuracion de la red hacia afuera.

Filtrado de paquetes (screening): Accion de denegar o permitir el flujode tramas entre dos redes de acuerdo a unas normas predefinidas. A losdispositivos que llevan a cabo la funcion de filtrado se les denominachokes (router).

Proxy: Programa que permite o niega el acceso a una aplicaciondeterminada entre dos redes. Los clientes proxy solo se comunican conlos servidores proxy. Estos autorizan las peticiones redireccionandolas alos servidores reales, o las deniegan devolviendo mensaje de error.

7 / 21

Page 7: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Introduccion

Objetivos de diseno de un cortafuegos

1 Todo el trafico de dentro a fuera de la organizacion, y viceversa, ha depasar a traves del cortafuegos.

2 Solo se permitira el paso al trafico autorizado por la polıtica deseguridad establecida

3 El cortafuegos ha de ser inmune a los ataques (utilizar un sistemafiable)

Problemas basicos de seguridad

1 Centralizacion de todas las medidas de seguridad en una maquina. Si unatacante logra vulnerar dicha maquina, tendra acceso a toda la subred

2 Sensacion falsa de seguridad. Al instalar un cortafuegos nos creemosseguros y se descuida la seguridad del resto de maquinas

3 No puede prevenir de ataques internos

4 No puede prevenir de transferencias de programas o ficheros infectadosde virus

8 / 21

Page 8: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Introduccion

Decisiones basicas

1 Polıtica de seguridad de la organizacion propietaria del cortafuegos2 Nivel de monitorizacion, redundancia y control deseado en la

organizacion. Es decir, hay que definir como implementar en elcortafuegos, lo que se permite y lo que se deniega

1 La mas restrictiva2 La mas permisiva

3 Economica. Cuanto se va a invertir en la instalacion, puesta a punto ymantenimiento de un cortafuegos para proteger lo que se quiereproteger

4 Donde se va a instalar el cortafuegosSi se aprovecha un elemento de la red (router) no hay mas remedio quedejarlo donde estaUna maquina UNIX con un cortafuegos brinda mas posibilidades

5 Que maquina actuara como maquina Bastion basandonos en losprincipios de mınima complejidad y maxima seguridad (servidor conUNIX).

6 Elegir la maquina que actuara como choke (router con capacidad defiltrado de paquetes)

9 / 21

Page 9: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Indice

1 Introduccion

2 Componentes de un cortafuegos

3 Arquitecturas de cortafuegos

4 Bibliografıa

10 / 21

Page 10: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Componentes de un cortafuegos

Filtrado de paquetes

Router IP utiliza reglas de filtrado para reducir la carga (descartarpaquetes cuyo TTL ha llegado a cero, paquetes con un control deerrores erroneos, o simplemente tramas de broadcast) analizando lascabeceras conforme a diferentes criterios

Origen Destino Tipo Puerto Accion

158.43.0.0 * * * Deny* 195.53.22.0 * * Deny

158.42.0.0 * * * Allow* 193.22.34.0 * * Deny* * * * Deny

El objetivo principal de todas las polıticas de seguridad implementadasmediante filtrado suele ser evitar el acceso no autorizado entre dosredes, pero manteniendo intactos los accesos autorizados

11 / 21

Page 11: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Componentes de un cortafuegos

Filtrado de paquetes

Ventajas

Simplicidad

Transparente al usuario

Rapidez

Inconvenientes

El filtrado de paquetes no examina datos de capa superiores, y por tantono puede prevenir ataques que emplea vulnerabilidades o funciones dela capa de aplicacion. Ataques por capas superiores de TCP/IP.

Funcionalidad de historico (generar ficheros log) es muy limitada por lolimitado de la informacion: direcciones fuente y destino, tipo de trafico

Complejidad en el establecimiento de reglas

12 / 21

Page 12: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Componentes de un cortafuegos

Proxy de aplicacion

Proxy de Aplicacion: Software capaz de filtrar (enviar o bloquear) lasconexiones a servicios (finger, telnet, etc.)

Los proxies de aplicacion se ejecutan en una maquina denominadapasarela de la aplicacion, gateways o servidor de proxies

13 / 21

Page 13: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Componentes de un cortafuegos

Proxy de aplicacion

Ventajas

Solo se permite la utilizacion de servicios para los que existe un proxy

Se pueden implementar mecanismos de filtrado mas potentes,simplificando las reglas de filtrado implementadas en el router

Inconvenientes

Se necesita un proxy por aplicacion

Es mas costoso que un simple filtro de paquetes

Rendimiento mucho menor limitando el ancho de banda efectivo de lared si resulta ser costoso el analisis de una trama

14 / 21

Page 14: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Indice

1 Introduccion

2 Componentes de un cortafuegos

3 Arquitecturas de cortafuegos

4 Bibliografıa

15 / 21

Page 15: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Arquitecturas de cortafuegos

Screening Router o de Filtrado de paquetes

Es la manera mas sencilla de implementar un cortafuegos

Se basa en aprovechar la capacidad de algunos routers para bloquear ofiltrar paquetes en funcion de su protocolo, su servicio o la direccion IP,de manera que el router actua como pasarela de la subred

Se aplica en entornos cuyos requerimientos de seguridad no sean muyexigentes (carece de mecanismos de monitorizacion y las reglas deacceso pueden ser difıciles de establecer)

¿Que problema general de seguridad puede presentar esta arquitectura?16 / 21

Page 16: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Arquitecturas de cortafuegos

Dual-Homed Host

Consiste en un host con dos tarjetas de red

El host no realiza tareas de encaminamiento aislando la red interna dela externa

Como se proporcionan serviciosMediante las mismas cuentas de los usuarios en el host. Presenta ungran problema de seguridad, ¿Por que?.Mediante servicios proxy

¿Que problema general de seguridad puede presentar esta arquitectura?17 / 21

Page 17: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Arquitecturas de cortafuegos

Screened Host

Consta de un router para el filtrado de paquetes y de host para filtradoen otras capas ISO/OSI

Se prestan servicios proxy en el host bastion o bien el router puedeenviar a host internos

¿Que problema general de seguridad puede presentar esta arquitectura?

18 / 21

Page 18: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Arquitecturas de cortafuegos

Screened Subnet o DMZ

Consta de dos routers y un host, delimitando red externa, redperimetral y red interna.

¿Que problema general de seguridad puede presentar esta arquitectura?

19 / 21

Page 19: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Indice

1 Introduccion

2 Componentes de un cortafuegos

3 Arquitecturas de cortafuegos

4 Bibliografıa

20 / 21

Page 20: Cortafuegos - segurtasuna.files.wordpress.com · cortafuegos, lo que se permite y lo que se deniega 1 La m´as restrictiva 2 La m´as permisiva 3 Econ´omica. Cu´anto se va a invertir

Cortafuegos

Enrique Arias

Introduccion

Componentesde uncortafuegos

Arquitecturasde cortafuegos

Bibliografıa

Bibliografıa

Antonio Villalon Huerta. ”Seguridad en UNIX y Redes”. Version 2.1,Julio-2002.

Brent Chapman and Elizabeth D. Zwicky. ”Construya Firewalls para

Internet”. O’Reilly and Associates, Inc, 1997.

William Stallings. ”Network Security Essentials”. Ed. Prentice-Hall,2003.

21 / 21


Puertas Cortafuegos … · 2016-03-17 · Title: Microsoft Word - LEGISLACIÓN PUERTAS CORTAFUEGOS EUROPEA VS LEGISLACIÓN PUERTAS CORTAFUEGOS AMERICANA.docx Created Date: 9/9/2015

Puertas Cortafuegos … · 2016-03-17 · Title: Microsoft Word - LEGISLACIÓN PUERTAS CORTAFUEGOS EUROPEA VS LEGISLACIÓN PUERTAS CORTAFUEGOS AMERICANA.docx Created Date: 9/9/2015

Documents
¿Es permisiva la legislación sobre violencia social en Costa Rica?

¿Es permisiva la legislación sobre violencia social en Costa Rica?

Documents
Fajas Cortafuegos

Fajas Cortafuegos

Documents
Tema5: Cortafuegos

Tema5: Cortafuegos

Documents
Cortafuegos Endian

Cortafuegos Endian

Documents
Cortafuegos y Servidor Proxy

Cortafuegos y Servidor Proxy

Documents
CORTAFUEGOS SOFTWARE Y HARDWARE:

CORTAFUEGOS SOFTWARE Y HARDWARE:

Documents
Hipoxemia permisiva: previniendo ROP y otras · PDF fileHipoxemia permisiva: previniendo ROP y otras morbilidades en el prematuro extremo Wally Carlo, ... Pneumonia/BPD exacerbations

Hipoxemia permisiva: previniendo ROP y otras · PDF fileHipoxemia permisiva: previniendo ROP y otras morbilidades en el prematuro extremo Wally Carlo, ... Pneumonia/BPD exacerbations

Documents
Tema 4 – Cortafuegos

Tema 4 – Cortafuegos

Documents
Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Tema 4 Cortafuegos - juanlusad2.files.wordpress.com · Se van a configurar infomres sobre cortafuegos hardware y se configurará el cortafuegos ASA ... el firewall le aplica ... a

Documents
PUERTAS CORTAFUEGOS

PUERTAS CORTAFUEGOS

Documents
04-2 Manual Muros Cortafuegos

04-2 Manual Muros Cortafuegos

Documents
PUERTA FRIGORÍFICA CORTAFUEGOS

PUERTA FRIGORÍFICA CORTAFUEGOS

Documents
Cortafuegos Tecnica

Cortafuegos Tecnica

Documents
Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 1 Cortafuegos con pfSense Dada la siguiente estructura de red:

Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 1 Cortafuegos con pfSense Dada la siguiente estructura de red:

Documents
Cinco Cortafuegos o Firewall.pdf

Cinco Cortafuegos o Firewall.pdf

Documents
Antivirus y cortafuegos

Antivirus y cortafuegos

Education
Compuertas cortafuegos - Dismelec SpA · 2017. 11. 22. · Compuertas cortafuegos circulares Descripción Las compuertas cortafuegos circulares KOOLAIR, SCFC-PD, SCFC-GD, SFC2K y

Compuertas cortafuegos - Dismelec SpA · 2017. 11. 22. · Compuertas cortafuegos circulares Descripción Las compuertas cortafuegos circulares KOOLAIR, SCFC-PD, SCFC-GD, SFC2K y

Documents
Cortafuegos es

Cortafuegos es

Design
Cortafuegos software y hardware

Cortafuegos software y hardware

Documents
PUERTAS CORTAFUEGOS HOMOLOGADAS

PUERTAS CORTAFUEGOS HOMOLOGADAS

Documents
Compuertas cortafuegos

Compuertas cortafuegos

Documents
muros cortafuegos

muros cortafuegos

Documents
Cortafuegos Patinillos RF 2007

Cortafuegos Patinillos RF 2007

Documents
133267818 Manual Muros Cortafuegos

133267818 Manual Muros Cortafuegos

Documents
Las áreas pasto-cortafuegos

Las áreas pasto-cortafuegos

Documents
Puertas cortafuegos modelos (1)

Puertas cortafuegos modelos (1)

Engineering
PUERTAS CORTAFUEGOS - MODELOS

PUERTAS CORTAFUEGOS - MODELOS

Engineering
- Concepto. Utilización de cortafuegos. - Historia de los cortafuegos. - Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado

- Concepto. Utilización de cortafuegos. - Historia de los cortafuegos. - Funciones principales de un cortafuegos: Filtrado de paquetes de datos, filtrado

Documents
Cortafuegos - INEMAinema.cl/.../2016/02/Puertas-Cortafuego.compressed.pdf · Cortafuegos Enrollable Modelo EI-ROLL 30’ - 60’ Cor Mod 8 Las puertas cortafuegos EI-ROLL de Angel

Cortafuegos - INEMAinema.cl/.../2016/02/Puertas-Cortafuego.compressed.pdf · Cortafuegos Enrollable Modelo EI-ROLL 30’ - 60’ Cor Mod 8 Las puertas cortafuegos EI-ROLL de Angel

Documents