Embed Size (px)
Citation preview
Diseño y planeación de un Firewall
Introducción• Las redes que se conectan a Internet para comunicaciones o para uso del comercio se perciben como particularmente vulnerables
• Los cortafuegos y sus controles técnicos asociados tienen se han convertido en herramientas fundamentales de seguridad en las corporaciones
•Ningún sistema de seguridad puede garantizar una absoluta protección y seguridad en la totalidad de su organización de
•Sin embargo, los cortafuegos son una de los más eficaces herramientas de seguridad que el administrador de la red tiene o debe tener
Las ideas falsas sobre Firewalls Concepto erróneo - Diseñado para evitar todos los hackers, virus, y que los posibles intrusos entren
-Realidad -Activa el tráfico autorizado para pasar a través - Bloquear el tráfico no autorizado
-Concepto erróneo - Una vez desplegado, los firewalls operan por su cuenta
- Realidad - Trabajan mejor cuando es una parte de la defensa en profundidad - Necesitan de un mantenimiento constante
Firewalls Explicados Firewall es todo hardware o software que monitorea la transmisión de paquetes de la tecnología digital que tratan de pasar el perímetro de una red
Los cortafuegos realizan dos funciones básicas de seguridad: - El filtrado de paquetes - Proxy de una aplicación
Firewall en el perímetro
Funciones de seguridad del Firewall
Algunos fabricantes de cortafuegos añaden características como:
•Accesos
•Proporcionar enlace VPN a otra red.
•Autenticación
•Filtrado de contenido
Firewall Perimetral en la Seguridad de la red El perímetro es un límite entre dos zonas de confianza, común para instalar cortafuegos en la frontera e inspeccionar y controlar el tráfico que fluye a través de ella.
El extranet puede extender la red a terceros, como socio de negocios, y si el extranet opera a través de VPN.
VPN debe tener su propio servidor de seguridad perimetral
Para ser realmente seguro, un servidor de seguridad debe ser instalado en host VPN del socio
Perímetro de VPN
Componentes del Firewall•Filtro de paquetes
•Servidor Proxy
•Sistema de autenticación
•Software que realiza las traducciones de direcciones de red (NAT)
• Algunos servidores de seguridad: - Se puede cifrar el tráfico - Ayudar a establecer VPNs - Empaquetado en un dispositivo de hardware que también funciona como un router - Hacer uso de un host
Redes DMZ
Tareas de seguridad en el Firewall
-Restringir el acceso desde redes externas utilizando filtrado de paquetes - Filtrado de paquetes que protege las redes de los ataques de escaneo de puertos - Los números de puerto son de dos tipos: bien conocidoss (1023 y siguientes) definen para más común y servicios y puertos efímeros (1024 a través de 65535) - Los servicios de red expuestos son una de los mayores vulnerabilidades que los cortafuegos pueden proteger.
Tareas de seguridad Firewall (continuación)•Restringir el acceso no autorizado desde el interior de la red (por ejemplo, la ingeniería social)
• Los cortafuegos pueden ayudar a prevenir algunas, pero no todas las amenazas internas
•Los firewall pueden estar configurados para reconocer paquetes o impedir el acceso a los archivos protegidos de hosts internos y externos
Tareas de seguridad Firewall (continuación) Limitar el acceso a los servidores externos por que actúa como un servidor proxy
Los cortafuegos pueden permitir selectivamente el tráfico para ir de dentro de la red a Internet o de otro redes para proporcionar un control más preciso de cómo los empleados dentro de la red utilizan externa recursos
Los proxies de aplicaciones pueden restringir a los usuarios internos que quieren tener acceso sin restricciones a la Internet
Tareas de seguridad Firewall (continuación)•La protección de los recursos críticos (por ejemplo, gusanos, virus, caballos de Troya y ataques DDoS)
• Un gusano puede replicarse a sí mismo, mientras que un virus requiere de un entorno de software con el fin de ejecutarse en un ordenador, infectarlo, y extenderse
•Los caballos de Troya contienen código malicioso que es escondido dentro de los programas supuestamente inofensivos
• (DDoS) distribuidos de denegación de servicio inundan un servidor con peticiones procedentes de muchas diferentes fuentes controladas por un atacante
Tareas de seguridad Firewall (continuación)
- Proteger contra la piratería informática, que puede afectar:
- La pérdida de datos
- Pérdida de tiempo
- Los recursos de personal
- Confidencialidad
Tareas de seguridad Firewall (continuación)
- Proporcionar centralización Activar documentación a:
Identificar los puntos débiles en el sistema de seguridad por lo que puede fortalecerse.
Identificar a los intrusos para que puedan ser aprehendidos
Proveer para la autenticación
Contribuir a una VPN
Tipos de protección del cortafuegos
El filtrado de paquetes - El cortafuegos de filtrado de paquetes escanea los paquetes de datos de red buscando el cumplimiento o la violación de las reglas de base de datos de servidor de seguridad - Restricciones más comúnmente implementadas en paquetes de firewalls de filtrado se basan en: • IP de origen y de destino • Dirección (entrante o saliente) • TCP o UDP de origen y puerto de destino
Filtrado de paquetes del router
Filtrado de paquetes sin estadoEl firewall inspecciona las cabeceras de paquetes sin prestar atención al estado de la conexión entre el servidor y el ordenador cliente
Bloquea sobre la base de la información en el encabezamiento
También se llama la inspección de paquetes sin estado
Stateful Packet Filtering• Examina contenidos en paquetes; superior a inspección sin estado
• Mantiene la memoria del estado de la conexión entre el cliente y el servidor en el caché de disco
•Detecta y elimina paquetes que sobrecargan el servidor
•También llama la inspección de estado
Reglas de filtrado de paquetes Normas comunes incluyen:
Cualquier paquete de salida: - Debe tener la dirección de origen en la red interna - No debe tener la dirección de destino en el interior de la red Cualquier paquete de entrada: - No debe tener la dirección de origen en la red interna - Debe tener la dirección de destino en el interior de la red
Reglas de filtrado de paquetes (continuación)•¨Cualquier paquete que entra y sale de una red debe tener fuente de la dirección / destino que cae dentro del rango de direcciones en la red Incluyen el uso de: - Protocolo de mensajes de control de Internet (ICMP) - Programa de datagramas de usuario (UDP) - Filtrado TCP - Filtrado de IP
Uso de varios filtros de paquetes en una DMZ
PAT y NAT Funcionan como proxy a nivel de red; convierten las direcciones IP direcciones de los hosts internos a la dirección IP asignado por el firewall
- PAT utiliza una dirección externa para todos los internos sistemas, asignando un puerto aleatorio y de orden superior números a cada equipo interno
- NAT utiliza es cuando se usa un conjunto de direcciones IP externas válidas, se le asigna una de estas direcciones reales para cada maquina informática interna solicitando una conexión hacia afuera
PAT y NAT (continuación)
Gateways de capa de aplicación• Se puede controlar cómo las aplicaciones dentro de la red tener acceso al mundo exterior mediante la creación de proxy
•Como sustituto para el cliente; un individuo o maquina funciona como escudo para los usuarios se conecten directamente con el Internet
Proporcionar un beneficio importante de seguridad: - Comprender el contenido de los datos solicitados - Se puede configurar para permitir o denegar un contenido en específico
• También llamado un servidor proxy
Métodos de categorización Los cortafuegos se pueden clasificar por: - Modo de Tratamiento
- Tiempos de Desarrollo
- Estructura previsto
Categorías de firewall: modo de procesamiento
Los modos de procesamiento son: - El filtrado de paquetes
- Las aplicaciones de pasarela
- Pasarelas de Circuito
- Firewalls de capa MAC
- Híbridos
Filtrado de paquetes•Como se describió anteriormente, los cortafuegos de filtrado de paquetes examinan la información de cabecera de paquetes de datos
Tres subconjuntos de los cortafuegos de filtrado de paquetes: - Filtrado Estático: requiere que las reglas de filtrado rijan cómo se decide qué paquetes del firewall están permitidos y que se les niega
- Filtrado dinámico: permite que el firewall pueda reaccionar ante un evento emergente y pueda actualizarse o crear reglas para hacer frente a eventos
- La inspección de estado: realiza un seguimiento de cada red de conexión entre interna y externa
Las aplicaciones de pasarela
• Instalado frecuentes en un equipo dedicado
• También conocido como firewall de nivel de aplicación, el proxy servidor o firewall de aplicaciones
Circuito de Gateways•Operan en la capa de transporte
• Las conexiones autorizadas sobre la base de direcciones , por lo general no se ven en los datos el tráfico que fluye entre una red y otra para evitar conexiones directas entre una red y otra
• Logra esto mediante la creación de túneles que conectan procesos o sistemas en cada lado específico del servidor de seguridad y luego permitiendo sólo tráfico autorizado, tal como un tipo específico de conexión TCP para sólo los usuarios autorizados en estos túneles
Los firewalls de capa MAC• Diseñado para operar en el acceso a los medios en la capa de control del modelo de red OSI
• Esto le da a estos servidores de seguridad con capacidad de considerar la identidad del ordenador host específico en sus filtrado
• Con este enfoque, las direcciones MAC de los equipos específicos host están vinculadas a las entradas de ACL que identifican tipos específicos de paquetes que pueden ser enviados a cada huésped, y el resto del tráfico está bloqueado
Firewalls en el modelo OSI
Firewalls híbridos• Combinan elementos de otros tipos de servidores de seguridad, es decir, los elementos de filtrado de paquetes y el proxy de servicios o de filtrado de paquetes y circuitos gateways
• Como alternativa, el sistema de firewall híbrida podrá en realidad tener dos dispositivos de firewall separadas, cada una separada por un sistema de cortafuegos pero conectado por lo que trabajar en tándem
Categorías de Firewall : Desarrollo degeneración• Primera generación: estática de filtrado de paquetes
• Segunda generación: cortafuegos a nivel de aplicación o servidores proxy
• Tercera generación: los cortafuegos de inspección de estado
•Cuarta generación: filtrado de paquetes dinámico
• Quinta generación: proxies del kernel
SOHO dispositivos Firewall
Software vs Hardware: El debate del firewall SOHO• ¿Qué tipo de firewall debe un usuario residencial implementar?
•¿Dónde se preferiría defender contra un hacker?
• Con la opción de software, pirata está adentro de su ordenador
• Con dispositivo de hardware, incluso si los hackers gestionan bloquear el sistema del firewall, el equipo y información todavía están a salvo
Arquitecturas de Firewall• Cada uno de los dispositivos de firewall señaló que anteriormente pudo ser configurado en un número de arquitecturas
• La arquitectura que funciona mejor para una organización particular, depende de: - Objetivos de la red - La capacidad de la organización para desarrollar e implementar las arquitecturas - Presupuesto disponible para la función
Arquitecturas de Firewall (continuación)• Existen cientos de variaciones, pero cuatro son común de la arquitectura de los servidores de seguridad
- Routers de filtrado de paquetes
- Firewalls de host apantallados
- Cortafuegos de base dual
- Cortafuegos subred filtrada
Routers de filtrado de paquetes• La mayoría de las organizaciones con una conexión a Internet tienden a disponer de un router como interface para la dirección de Internet del perímetro
• Muchos de estos routers se pueden configurar para rechazar los paquetes que la organización no permite a la red
• Los inconvenientes de este tipo de sistema son la falta de auditoría y autenticación fuerte y el hecho de que la complejidad de las listas de control de acceso utilizado para filtrar los paquetes puede crecer y degradar rendimiento de la red
Los firewalls de host apantallados• Combina un enrutador de filtrado de paquetes con un firewall dedicado, como servidor proxy de aplicación
• Un proxy de aplicación examina la capa de aplicación de servicios de protocolo y realiza el proxy
• Este host independiente se refiere a menudo como un host de baluarte o host de sacrificio, sino que puede ser un rico objetivo para los ataques externos y debe ser muy bien asegurado
Proyectado Arquitectura Host
Los firewalls de host-de origen dual• Los bastion host contiene dos NIC: una conectada a la red externa y una conectada a red interna
• La implementación de esta arquitectura a menudo hace uso de NAT mediante la asignación de direcciones IP asignadas a rangos especiales no enrutables por direcciones de IP interna , creando una barrera más a intrusión de atacantes externos
Arquitectura con base dual Host
Subred de Firewalls selectivo (con DMZ)• Es la arquitectura dominante utilizada hoy en día
• Su disposición común consiste en dos o más hosts de baluarte internas detrás de un router de filtrado de paquetes con cada host protección de confianza en la red: - Las conexiones de red fuera o no de confianza se enrutan a través de un enrutador de filtrado externo - Las conexiones de red fuera o no de confianza se encaminan hacia-y luego fuera de una ruta firewall para el segmento de red independiente conocido como la DMZ - Conexiones en la red interna de confianza son permitido sólo de los servidores host DMZ bastión
Selectivo de subred Firewalls (con DMZ) (continuación)• La subred filtrada es un segmento de red completa que realiza dos funciones: - Protege los sistemas DMZ y la información de amenazas externas, proporcionando una red de seguridad intermedia - Protege las redes internas al limitar la conexiones externas pueden acceder a interno sistemas
•El DMZ también puede crear extranets en segmentos de la zona de distensión donde autenticación adicional y controles de autorización se ponen en marcha para proporcionar servicios que no están disponibles al público general
Subred filtrada (con DMZ)
Limitaciones de los Firewalls• En caso de formar parte de un plan general de seguridad, no es la única forma de protección para una red
• Se debe utilizar en combinación con otras formas de protección (por ejemplo, tarjetas de ID, contraseñas, normas de conducta de los empleados)
Resumen• La seguridad de la red es un proceso que impone controles sobre los recursos de la red para equilibrar los riesgos y recompensas de uso de la red
• Firewall: cualquier cosa que filtra paquete de datos de transmisión, ya que cruza las fronteras de la red
• Llevar a cabo dos funciones de seguridad básicas:filtrado y / o aplicación proxy
• Puede contener muchos componentes, incluidos los filtro de paquetes, servidor proxy, el sistema de autenticación y software
• Algunos pueden cifrar el tráfico, ayudar a establecer VPNs
Resumen• Los cortafuegos pueden ser categorizados por:
- Modo de ejecución: el filtrado de paquetes, la aplicación, puerto de entrada, puerta de entrada del circuito, la capa MAC, híbrido
- Generación: nivel tecnológico, siendo las posteriores más complejo y más recientemente desarrollado - Estructura: grado comercial-residencial, hardware, basada en dispositivos de software
• Cuatro implementaciones arquitectónicos comunes de firewalls: routers de filtrado de paquetes, firewalls, servidores de seguridad con base dual, subred filtrada con cortafuegos
