Firewall

Direccin nacional eLearning

Qu es un firewall?

Qu es un firewall?

Qu es un firewall?

Elemento de hardware o software utilizado en una red de computadoras para

controlar las comunicaciones, permitindolas o prohibindolas segn las
polticas de seguridad.

Dnde opera un firewall?

Punto de conexin de la red interna con la red exterior

Zona Desmilitarizada (DMZ)

Dnde opera un firewall?

Tambin es frecuente conectar al firewall una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que
deben permanecer accesibles desde la red exterior.

Tipos de firewall
De capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de
los paquetes IP: direccin IP origen, direccin IP destino. A menudo se permiten
filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y
destino, o a nivel de enlace de datos (nivel 2) como la direccin MAC
De capa de aplicacin
Trabaja en el nivel de aplicacin (nivel 7), por ejemplo, si se trata de trfico
HTTP se pueden realizar filtrados segn la URL a la que se est intentando
acceder. En este caso es denominado Proxy.
Personal
Se instala como software en un computador, filtrando las comunicaciones entre
dicho computador y el resto de la red y viceversa.

Tipos de firewall

APLICACIN
APLICACIN

URL de HTTP

De capa de aplicacin.

PRESENTACIN
PRESENTACIN
SESIN
SESIN
TRANSPORTE
TRANSPORTE
RED
RED
ENLACE
ENLACE
FISICA
FISICA

O
SI

Protocolo + puerto
IP
MAC

De filtro de paquete.

Funciones posibles del Firewall (I)

NAT (Network Address Translation)

Funciones posibles del Firewall (I)

NAT (Network Address Translation)

Funciones posibles del Firewall (I)

NAT (Network Address Translation)

Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall

despus enviada al host que la requiri originalmente.

Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall

despus enviada al host que la requiri originalmente.

Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall

despus enviada al host que la requiri originalmente.

Funciones posibles del Firewall (III)

QOS

La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall

limita la salida para que por ejemplo los usuarios puedan recibir sin
problemas su correo

Funciones posibles del Firewall (IV)

Balanceo de Carga

La LAN tiene dos vinculos con internet y el firewall distribuye la carga

entre las dos conexiones.

Limitaciones del Firewall

No protege de ataques fuera de su rea

No protege de espas o usuarios inconscientes

No protege de ataques de ingeniera social

No protege contra ataques posibles en la transferencia de

datos, cuando datos son enviados o copiados a un servidor
interno y son ejecutados despachando un ataque.

Implementacin

Hardware especfico configurable o bien una aplicacin de software

corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)

Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una
computadora, pero en ambos casos deben existir al menos dos interfaces de
comunicaciones (ej: placas de red)

1) Aceptar

Reglas
2) Denegar

Implementacin
Hardware especfico configurable o bien una aplicacin de
software corriendo en una computadora, pero en ambos casos
deben existir al menos dos interfaces de comunicaciones (ej:
placas de red)

IPTABLES
(LINUX)

IPtables
= Netfiler
LINUX

Kernel
IP
TABLES

Filtrado de Paquetes
Connection tracking
NAT

Funcionamiento del IPtables

Paquete
PaqueteIPIP
regla1
regla1

regla2
regla2

regla3
regla3

Cadena

Cadenas bsicas

INPUT
OUTPUT
FORWARD

..... el usuarios puede crear tantas como desee.

Funcionamiento del IPtables

Paquete
PaqueteIPIP
regla1
regla1

regla1
regla1

regla2
regla2

regla3
regla3

Cadena
1
regla2
regla2

regla3
regla3

Cadena
2
enlace a otra cadena

Funcionamiento del IPtables

Reglas
Condiciones
Condicionesaamatchear
matchear

DESTINO
DESTINO

ACCEPT
DROP
QUEUE
RETURN
...
cadena definida
por usuario

Funcionamiento del IPtables

Reglas
Condiciones
Condicionesaamatchear
matchear

protocolo
IP origen
IP destino
puerto destino
puerto origen
flags TCP
...

DESTINO
DESTINO

ACCEPT
DROP
QUEUE
RETURN
...
cadena definida
por usuario

Funcionamiento del IPtables

Paquete
PaqueteIPIP

cadena
1
cadena

.
.
.

2
cadena
N

Tabla

Funcionamiento del IPtables

Hay tres tablas ya incorporadas, cada una de las cuales contiene
ciertas cadenas predefinidas :

responsable del filtrado

FILTER TABLE

cadenas predefinidas

NAT TABLE

MANGLE TABLE

responsable de
configurar las
reglas de
reescritura de
direcciones o de
puertos de los
paquetes

INPUT
OUTPUT
FORWARD

PREROUTING
(DNAT)

POSTROUTING
(SNAT)

OUTPUT
(DNAT
responsable de ajustarlocal)
las opciones de los
paquetes, como por ejemplo la calidad de servicio;
contiene todas las cadenas predefinidas posibles.

Funcionamiento de IPtables

Network
PREROUTI
NG
Mangle
Nat

PROTROST
ING
Mangle
Nat

Rouse
determined
Including
output
Interface, if
any

FORWAR
D
Mangle
Filter

Packet Destination is not

the Firewall System

Rouse
determined
Including
output
interface

OUTPUT
Mangle
Nat
Filter

Reroute if
Packet
Changed in
OUTPUT chains

Routing
Decision
INPUT
(Mangle
)
Filter

Packet Destination is
the Firewall itself

Local
Process

Ejemplo de IPtables (I)

Queremos bloquear todos aquellos paquetes entrantes provenientes de la direccin IP

200.200.200.1.
iptables -s 200.200.200.1

No estamos especificando qu hacer con los paquetes. Para esto, se usa el

parmetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP.
iptables -s 200.200.200.1 -j DROP

Necesitamos tambin especificar a qu chain o cadena vamos a aplicar esta

regla. Para eso est el parmetro -A.
iptables -A INPUT -s 200.200.200.1 -j DROP

Ejemplo de IPtables (II)

Si lo que buscamos es que a nuestra computadora le sea imposible

comunicarse con la anterior, simplemente cambiaremos el INPUT por el
OUTPUT, y el parmetro -s por el -d.
iptables -A OUTPUT -d 200.200.200.1 -j DROP

Si quisiramos ignorar slo las peticiones Telnet provenientes de esa

misma IP
iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP

Si vamos a usar la computadora como router, deberemos setear la cadena de

FORWARD para que tambin quede en ACCEPT.
iptables -P FORWARD ACCEPT

Implementacin (escenario 1)

REGL
AS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723
= ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicacin

Implementacin (escenario 2)

VPN

L1

L2
PaP

L3

VPN con tnel IPSEC.

Punto a Punto seguro, o poltica de seguridad anti-intrusos o sniffing
(ENCRIPT.)