Professional Documents
Culture Documents
Qu es un firewall?
Qu es un firewall?
Qu es un firewall?
Tipos de firewall
De capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de
los paquetes IP: direccin IP origen, direccin IP destino. A menudo se permiten
filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y
destino, o a nivel de enlace de datos (nivel 2) como la direccin MAC
De capa de aplicacin
Trabaja en el nivel de aplicacin (nivel 7), por ejemplo, si se trata de trfico
HTTP se pueden realizar filtrados segn la URL a la que se est intentando
acceder. En este caso es denominado Proxy.
Personal
Se instala como software en un computador, filtrando las comunicaciones entre
dicho computador y el resto de la red y viceversa.
Tipos de firewall
APLICACIN
APLICACIN
URL de HTTP
De capa de aplicacin.
PRESENTACIN
PRESENTACIN
SESIN
SESIN
TRANSPORTE
TRANSPORTE
RED
RED
ENLACE
ENLACE
FISICA
FISICA
O
SI
Protocolo + puerto
IP
MAC
De filtro de paquete.
PROXY
PROXY
QOS
Balanceo de Carga
Implementacin
Implementacin
Hardware especfico configurable o bien una aplicacin de software
corriendo en una
computadora, pero en ambos casos deben existir al menos dos interfaces de
comunicaciones (ej: placas de red)
1) Aceptar
Reglas
2) Denegar
Implementacin
Hardware especfico configurable o bien una aplicacin de
software corriendo en una computadora, pero en ambos casos
deben existir al menos dos interfaces de comunicaciones (ej:
placas de red)
IPTABLES
(LINUX)
IPtables
= Netfiler
LINUX
Kernel
IP
TABLES
Filtrado de Paquetes
Connection tracking
NAT
Paquete
PaqueteIPIP
regla1
regla1
regla2
regla2
regla3
regla3
Cadena
Cadenas bsicas
INPUT
OUTPUT
FORWARD
Paquete
PaqueteIPIP
regla1
regla1
regla1
regla1
regla2
regla2
regla3
regla3
Cadena
1
regla2
regla2
regla3
regla3
Cadena
2
enlace a otra cadena
DESTINO
DESTINO
ACCEPT
DROP
QUEUE
RETURN
...
cadena definida
por usuario
protocolo
IP origen
IP destino
puerto destino
puerto origen
flags TCP
...
DESTINO
DESTINO
ACCEPT
DROP
QUEUE
RETURN
...
cadena definida
por usuario
Paquete
PaqueteIPIP
cadena
1
cadena
.
.
.
2
cadena
N
Tabla
FILTER TABLE
cadenas predefinidas
NAT TABLE
MANGLE TABLE
responsable de
configurar las
reglas de
reescritura de
direcciones o de
puertos de los
paquetes
INPUT
OUTPUT
FORWARD
PREROUTING
(DNAT)
POSTROUTING
(SNAT)
OUTPUT
(DNAT
responsable de ajustarlocal)
las opciones de los
paquetes, como por ejemplo la calidad de servicio;
contiene todas las cadenas predefinidas posibles.
Funcionamiento de IPtables
Network
PREROUTI
NG
Mangle
Nat
PROTROST
ING
Mangle
Nat
Rouse
determined
Including
output
Interface, if
any
FORWAR
D
Mangle
Filter
Rouse
determined
Including
output
interface
OUTPUT
Mangle
Nat
Filter
Reroute if
Packet
Changed in
OUTPUT chains
Routing
Decision
INPUT
(Mangle
)
Filter
Packet Destination is
the Firewall itself
Local
Process
Implementacin (escenario 1)
REGL
AS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723
= ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicacin
Implementacin (escenario 2)
VPN
L1
L2
PaP
L3