Seguridad en Cisco

FIREWALLS
rofesor: Waldir Cruz Ramos
rso: Redes y Comunicaciones

1 Roberto Flores Ayqu

El trmino firewall se refera originalmente a una
pared a prueba de fuego (generalmente hecha de
piedra o metal), que evitaba que las llamas se
extendieran entre las estructuras que conectaba.
Luego, el trmino fue aplicado a la plancha de metal
que separaba el compartimento del motor de un
vehculo o aeronave del compartimento del pasajero.

Eventualmente, el trmino se adapt para su uso en

las redes de computadoras:
el firewall evita que trfico indeseable
ingrese a reas restringidas de la red.

2
 Beneficios del uso de un firewall en
una red
Puede prevenir la exposicin de hosts y
aplicaciones sensibles a usuarios no
confiables.
Puede sanitizar el flujo de protocolos,
previniendo la explotacin de fallas en los
protocolos.
Puede bloquearse el acceso de datos
maliciosos a servidores y clientes.
Puede hacer que la aplicacin de la
poltica de seguridad se torne simple,
escalable y robusta.
Puede reducir la complejidad de la
administracin de la seguridad de la red al
reducir la mayora del control de acceso a

3
la red a algunos puntos.
 Limitaciones de los Firewalls

Si est mal configurado, el firewall puede tener

consecuencias serias (nico punto de falla).
Muchas aplicaciones no pueden pasar a travs
del firewall en forma segura.
El rendimiento de la red puede disminuir.
4
 Los usuarios pueden
intentar buscar
maneras de sortear
el firewall para
recibir material
bloqueado,
exponiendo la red a
potenciales ataques.

Puede hacerse
tunneling de trfico
5 no autorizado o
puede disfrazrselo
 Tecnologasde
Tecnologas deFirewalling
Firewalling
En las redes corporativas es
frecuente aplicar una lgica
de segmentacin o
separacin de diferentes
sectores de la red,
minimizando la interaccin
entre los diferentes
segmentos.

El firewall es el dispositivo
que controla las
interacciones que puedan
tener lugar entre los
segmentos o dominios

6
adyacentes.
 La separacin entre dominios puede ser:

Separacin Fsica: Se trata de

redes fsicamente diferentes que
por lo tanto se conectan al
firewall a travs de diferentes
interfaces fsicas. Desde la
perspectiva de seguridad es el
mejor mtodo de separacin de
dominios, aunque el mas costoso.
Separacin Lgica: Separa
diferentes grupos de usuarios
sobre la misma infraestructura
fsica. Entre las
implementaciones que permiten
este tipo de separacin se
cuentan las VLANs, VSANs, VPN-
7 MPLS, etc.
 Tipos de firewall

Hay varios tipos de firewalls de

filtrado, incluyendo los
siguientes:
8
 Firewall de filtrado de paquetes
(Packet - filtering firewall)
Tpicamente consiste en un router con la
capacidad de filtrar paquetes con algn
tipo de contenido, como informacin de
capa 3 y, en ocasiones, de capa 4.

9
 Firewall con estados
(Stateful firewall)
Monitorea el estado de las conexiones, si
estn en estado de iniciacin, transferencia
de datos o terminacin.

10
 Firewall gateway de aplicacin (proxy)
(Application gateway firewall)
Filtra segn informacin de las capas 3, 4,
5 y 7 del modelo de referencia OSI. La
mayora del control y filtrado del firewall se
hace por software.

11
 Firewall de traduccin de direcciones
(Address translation firewall)
Expande el nmero de direcciones IP
disponibles y esconde el diseo del
direccionamiento de la red.

12
Firewall basado en hosts (servidor y
personal) (Host-based firewall)
Una PC o servidor que ejecuta software
de firewall.

Firewall transparente (Transparent

firewall)
Filtra trfico IP entre un par de interfaces
conmutadas.

Firewall hbrido (Hybrid firewall)

Es una combinacin de varios tipos de
firewalls

13 diferentes.
Por ejemplo, un firewall de inspeccin
 Los firewalls de filtrado de paquetes
revisan una tabla simple para permitir o
denegar el trfico basndose en criterios
especficos:

La direccinIPde origen
La direccinIPde destino
El protocolo de red que se
est utilizando
(TCP,UDPoICMP)
El puerto de
origenTCPoUDP
El puerto de
destinoTCPoUDP
Si el protocolo esICMP, el
14 tipo de mensajeICMP
 La red del ejemplo tendr un servidor Web (IP:
83.32.211.169) y un servidor de correo (IP:
83.32.211.170), a los que se podr tener acceso desde
Internet.

15
 Los firewalls con estados son la
tecnologa de firewall ms verstil y
comn en uso actualmente.
Proporcionan filtrado de paquetes
con estados utilizando la
informacin de conexiones
mantenida en una tabla de estados.
El filtrado con estados es una
arquitectura de firewall que se
clasifica como de capa de Red,
aunque, para algunas aplicaciones,
tambin puede analizar trfico de
capas 4 y 5.
A diferencia del filtrado de paquetes
esttico, que examina paquetes en
base a la informacin del
encabezado del paquete, el filtrado
con estados monitorea cada
conexin que pasa por las interfaces
del firewall y confirma su validez.

16
 Cisco Systems proporciona varias
opciones para que los profesionales
de la seguridad en redes implementen
soluciones de firewall. Estas incluyen
el firewall IOS de Cisco, el PIX Security
Appliances (este producto ya no est
en circulacin), y el Adaptive Security
Appliances.
 El firewall IOS
de Cisco es una funcin especializada del IOS de Cisco
que se ejecuta en los routers Cisco. Es un firewall de
calidad profesional que soporta pequeas y medianas
empresas (PyMEs) y oficinas sucursales.

1
18
 Un router de Cisco que ejecuta el firewall IOS de Cisco es
tanto un router como un firewall. Si hay dos firewalls,
una opcin de diseo viable es unirlos con una LAN que
funcione como DMZ. Esta opcin proporciona a los hosts
en la red pblica no confiable acceso redundante a los
recursos de la DMZ.

19
 Control de acceso basado en el contexto

El control de acceso basado en el contexto (Context-Based

Access Control - CBAC) es una solucin disponible dentro
del firewall IOS de Cisco. CBAC filtra inteligentemente los
paquetes TCP y UDP en base a informacin de sesin de
protocolo de capa de aplicacin. Proporciona filtrado de
capa de aplicacin con estados, incluyendo protocolos que
son especficos de aplicaciones nicas, as como
protocolos y aplicaciones multimedia que requieren
mltiples canales para la comunicacin, como FTP y
H.323.

CBAC proporciona cuatro funciones principales: filtrado

de trfico, inspeccin de trfico, deteccin de
20 intrusos y generacin de auditoras y alertas.
 OPERACIN
21OPERACINDE
DECBAC
CBAC
El Cisco PIX Security Appliance
Es un dispositivo autnomo que asegura una robusta
ejecucin de las polticas de usuario y aplicacin, una
proteccin multivector contra ataques y servicios de
conectividad segura. El Cisco PIX Security Appliances
puede acomodarse a una gama de requerimientos y
tamaos de redes.

2
22
El Cisco ASA Adaptive Security
Appliances
Es una solucin de fcil despliegue
que integra capacidades de
software, seguridad en
comunicaciones unificadas Cisco
(voz y video), capa de sockets
seguros (SSL) y VPNs IPsec, IPS y
servicios de seguridad de
contenidos. Diseado como un
componente clave de las redes
autodefensivas de Cisco, Cisco ASA
proporciona servicios inteligentes de
defensa de amenazas y
comunicaciones seguras que
detienen los ataques antes de que
afecten la continuidad de los
negocios. Los ASA fueron diseados

3
para proteger las redes de todos los
tamaos y bajar los costos generales

23
de despliegue y operacin para la
empresa al proporcionar una
seguridad global multicapa.
 Idea de una configuracin
bsica

24
 Idea de una configuracin
bsica

25
Idea de una configuracin
bsica
Idea de una configuracin
bsica
GRACIAS!!!