Professional Documents
Culture Documents
Aplicaciones Telemticas
Curso 2010/11
UAH
Contenidos
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Introduccin
Cortafuegos/Firewalls. Mecanismos de control de acceso a la red y los recursos informticos de una organizacin.
Componentes hardware y/o software. Separan la red interna (equipos de conanza) de los equipos externos (potencialmente hostiles) mediante un adecuado control de trco. Deniegan intentos de conexin no autorizados (en ambos sentidos).
Finalidad. Prevencin frente a ataques perpetrados desde la red externa hacia la red interna.
Opcionalmente: control del uso de la red por parte de los equipos internos. Proteccin de los propios equipos: rewalls personales.
UAH
Introduccin
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Objetivos de diseo
Todo el trco interno hacia el exterior debe pasar por el rewall. nicamente el trco autorizado (poltica de seguridad local) tendr acceso ltros y gateways. El rewall, por s solo, ha de ser inmune a penetraciones (sistema conable con sistema operativo seguro). Importante Punto nico de resistencia. Emplazamiento en el que efectuar supervisin de eventos de seguridad.
Registro de accesos, intentos de intrusin, gestin de alarmas de seguridad, auditoras, etc.
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Conforme a las estrategias de seguridad polticas proactivas (minimizar vulnerabilidades). No protegen frente a ataques que no atraviesen los rewalls. No protegen contra amenazas internas. Pueden despertar una sensacin de falsa seguridad.
Si el rewall falla, deja la puerta abierta. Los rewalls comportan un elemento ms de seguridad.
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Control de usuarios. Control de acceso a servicios, de acuerdo a los permisos de usuarios. Control de comportamiento. Cmo usar servicios particulares (p. ej., ltrado de correo electrnico).
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Clasicacin
Por su implementacin.
Firewalls hardware. Firewalls software.
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Firewalls hardware
UAH
Firewalls software
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Niveles de red y transporte (protocolos IP, TCP, UDP, ICMP). Filtrado basado en la informacin contenida en cada paquete recibido o enviado. Inspeccionar los paquetes y comprobar si se cumplen las reglas (criterios de ltrado) listas de control de acceso (ACL).
Direcciones origen y/o destino, puertos origen y/o destino, tipo de paquete, interfaces de entrada y/o salida.
UAH
Cada paquete se inspecciona de forma aislada. Filtrado sin estado. No se considera si el paquete forma parte de una conexin. Polticas por defecto: discard/deny y forward/allow.
Recomendacin. Poltica restrictiva por defecto: discard/deny.
Puertos estndar para bloquear servicios concretos. Integrados en routers o equipos dedicados. Notacin especca segn el fabricante.
UAH
Ventajas Simplicidad. Control centralizado del acceso. Transparencia. No se requiere la cooperacin del usuario. Altas velocidades. Desventajas Ausencia de exibilidad. nicamente permitir o rechazar. Falta de autenticacin. Dicultad en la especicacin de las reglas de ltrado. Si un ltro falla, la red queda desprotegida.
UAH
UAH
Conocidos como Servidores Proxy. Nivel de aplicacin (conmutador de trco a nivel de aplicacin). Evitar trco directo entre redes. Control de contenidos (incluso Antivirus).
UAH
UAH
UAH
Sistema dedicado o funcin especca desempeada por un gateway a nivel de aplicacin. Se establecen dos conexiones TCP.
Tpicamente se conmutan segmentos TCP entre conexiones, sin examinar su contenido.
UAH
Registro de las conexiones que atraviesan el gateway. Poltica de seguridad. Determinar qu conexiones son permitidas.
Paquetes que inician o nalizan una conexin. Paquetes que forman parte de conexiones establecidas. Paquetes relacionados con conexiones previas.
UAH
Situaciones en las que el administrador confa en los usuarios internos. P. ej., GNU/Linux: NETFILTER/iptables con mdulos de seguimiento de conexiones (connection tracking).
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
UAH
Mejor seguridad. Un intruso debe atravesar ambas barreras (sistemas separados). Flexibilidad. Proveer acceso directo a Internet, con servidores de informacin pblica, como servidores web.
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Sistema rewall con host apantallado y conectado con dos interfaces de red.
UAH
Dos niveles de defensa: router y host bastin. Proteccin de los equipos internos, si se compromete la seguridad del router con ltrado de paquetes. Caractersticas similares a la conguracin previa.
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Screened-Subnet Firewall
UAH
Screened-Subnet Firewall
Creacin de una subred aislada (DMZ, con NAT), que puede consistir de un simple host bastin o de ms servidores pblicos.
UAH
Esbozo
1
Principios de diseo de Firewalls Introduccin Objetivos de diseo Limitaciones de los rewalls Tcnicas de control de acceso Tipos de rewalls Clasicacin Tipos segn la implementacin Tipos segn la capa en la que operan Conguraciones de Firewalls Host bastin o zona desmilitarizada (DMZ) Screened host rewall, single-homed bastion Screened Host Firewall, Dual-Homed Bastion Host Screened-Subnet Firewall Gestin unicada de las amenazas (UTM)
UAH
Realidad de la seguridad. Solucin para cada problema. Demasiado hardware (appliances). Ventajas Administracin claramente identicada. Puesta en marcha ms rpida. Desventajas Integracin limitada o nula. Gestin dispersa.
UAH
UAH
UAH
UAH
Fabricantes
UAH
Lecturas recomendadas
William R. Cheswick, Steven M. Bellovin, Aviel D. Rubin. Firewalls and Internet security: repelling the wily hacker. Second edition, Addison-Wesley, 2003. Marcus Gonalves. Firewalls: a complete guide. Second edition, McGraw-Hill, 2000. John R. Vacca, Scott Ellis, Scott Raymond Ellis. Firewalls: jumpstart for network and systems administrators. Elsevier, 2005.
UAH