2. ndice
- Por qu utilizar un firewall?
- Tipos habituales de ataque
- Puntos fuertes y dbiles de un firewall
- Elementos de un cortafuegos
- Arquitecturas de cortafuegos
3. Definicin de cortafuegos
- Unfirewallo cortafuegos es un sistema o grupo de sistemas que
hace cumplir una poltica de control de acceso entre dos redes, es
decir,cualquier sistema utilizado para separar, en cuanto a
seguridad se refiere, una mquina o subred del resto, protegindolos
de servicios y protocolos que desde el exterior pueden suponer una
amenaza de seguridad.
-
- El espacio protegidopermetro de seguridad
-
- Red externa no confiablezona de riesgo
4. Esquema bsico Permetro de seguridad Zona de riesgo 5. Esquema
bsico Zona de riesgo Permetro de seguridad 6. Por qu utilizar un
firewall?
- Riesgo de confidencialidad
- Riesgo de integridad de datos
7. Riesgo de confidencialidad
- Unapersonanoautorizada tenga accesoa datos importantes o que se
revelen de forma prematura. Una empresa puede perder fcilmente
millones si el plan de su negocio, los secretos comerciales de la
empresa o la informacin financiera se viera expuesta.
8. Riesgo de la integridad de datos
- Modificacin no autorizada de los datos . Las empresas crecen y
prosperan segn la exactitud de la informacin que generan sus
sistemas. Cmo se pueden tomar mejores decisiones si la informacin
del sistema no es de confianza?
9. Riesgo en la disponibilidad
- Ladisponibilidad de los sistemas asegura que stos sean lo
suficientemente fuertes y que estn disponibles para los usuarios en
el momento oportuno
10. Tipos habituales de ataque
-
-
- Un atacanteengaa al administradoro a otro usuario autorizado de
un sistema para que comparta sus credenciales de conexiones o
detalles de la operacin del sistema.
-
-
- Un atacante explota undefecto de programaciny obliga a una
aplicacin o servicio a ejecutar comandos no autorizados o no
esperados, peligrosos especialmentecuando el programa se ejecuta
con privilegios adicionales o administrativos
11. Tipos habituales de ataque
-
-
- Un atacante engaa a un usuario legtimo al ejecutar un programa,
siendo la forma ms comn de ataque eldisfrazar el programacon el
aspecto de un inocente correo electrnico o dentro de un virus.
-
- Configuracin pobre del sistema
-
-
- Un atacante es capaz de explotar los errores de configuracin de
un sistema en los servicios y cuentas que estn disponibles
-
-
-
- No restringir accesos a los programas de administracin de
aplicaciones
-
-
-
- No deshabilitar servicios innecesarios que no se utilizan
12. Puntos fuertes
- Los firewallssonexcelentes para reforzar la poltica de una
empresa.
- Los firewalls se utilizan para restringir el acceso a servicios
especficos
- Los firewalls solo tienen un propsito
- Los firewallssonexcelentes auditores
- Los firewallssonexcelentes para alertar a las personas
apropiadas acerca de los sucesos que se producen
13. Puntos dbiles
- Los firewallsnoofrecen proteccin ante lo que est
autorizado.
- Los firewalls son tan eficaces como las reglas que tienen que
aplicar de acuerdo con su configuracin.
- El firewallnopuede detener la ingeniera social o a un usuario
autorizado que utilice su acceso con propsitos maliciosos.
- Los firewallsnopueden solucionar las prcticas administrativas
dbiles o un diseo inadecuado de una directiva de seguridad.
- Los firewallsnopueden detener ataques si el trfico no pasa a
travs de ellos.
14. Caractersticas de diseo
- Existen tresdecisiones bsicasen el diseo o la configuracin de
un firewall:
-
- Primera :la poltica de seguridad de la organizacin
-
- Segunda: decisin de diseo es el nivel de monitorizacin,
redundancia y control deseado en la organizacin
15. Primera
- Dos ejemplos de posturastomadas:
-
- Firewallparabloquear trfico externohacia su dominio (excepto,
por ejemplo, las consultas a su pgina web)
-
- Firewallparaevitar que los usuarios pierdan el tiempoen la red
(bloquear, por ejemplo, todos los servicios al exterior salvo el
correo elctrnico)
16. Segunda
- Se refiere bsicamente a que se va a permitir y que se va a
denegar
-
- Postura restrictivaDeneguemos todo lo que explcitamente no se
permita
-
- Postura permisivaPermitamos todo excepto lo
explcitamentedenegado
17. Tercero
- En funcin delvalorestimado de lo que deseemosproteger , debemos
gastar ms o menos dinero, o no gastar nada.
18.
- Las decisiones anteriores aunque concernientes al diseo, eran
bsicamente polticas; la primeradecisin elementala la que nos vamos
a enfrentar a la que nos vamos a enfrentar a la hora de instalar un
cortafuegos es:
- DNDELO COLOCAMOS PARA QUE CUMPLA EFICIENTEMENTE SU
19. Elementos de un cortafuegos
- Filtrado de paquetes :accin de denegar o permitir el flujo de
paquetes entre dos redes de acuerdo con unas normas predefinidas. *
puerta de enlace
- Proxy de aplicacin: programa que realiza una accin en
representacin de otro.
- Monitorizacin: nos facilitar informacin sobre los intentos de
ataque
20. Filtrado de paquetes
21. Filtrado de paquetes
- Correspondencia entreOSIyTCP/IP
22. Filtrado de paquetes
- Se analiza la cabecera de cada paquete
23. Filtrado de paquetes
- En funcin de una serie dereglaspreestablecidas la trama es
bloqueada o se le permite seguir su camino. Las reglas normalmente
se expresan con una simple tabla de condiciones:
Aceptar 80 TCP 195.5.5.1Aceptar * * * 124.12.12.0/24Denegar * *
* 165.56.0.0/16Accin Puerto Tipo Destino Origen 24. Filtrado de
paquetes
- Si llegara un paquete queno encajara dentro de ninguna de las
reglaslo mejor que podemos hacer es aadir siempre al final de la
tabla una ltima regla donde se exprese la accin que deseamos
realizar por defecto.
Denegar * * * * Accin Puerto Tipo Destino Origen 25. Proxy de
aplicacin
- Servidor Proxy:aplicacin software para reenviar o bloquear
conexiones o servicios.
- Pasarela de aplicacin:mquina donde se ejecutan
-
- Pasarelas a nivel circuito:son capaces de redirigir conexiones,
pero se limitan simplemente a autenticar al usuario antes de
establecer el circuito virtual entre sistemas .
26. Proxy de aplicacin
- Ejemplo:Proxy cache de HTTP
27. Monitorizacin
- Monitorizar:nos facilitar informacin sobre los intentos de
ataque que estemos sufriendo (origen, franjas horarias, etc.) as
como la existencia de tramas sospechosas
28. Otras definiciones
- IP Forwarding:se encarga de la retransmisin de los paquetes que
se reciben por una interfaz fsica y de retransmitirlos por otra
interfaz hacia otro nodo
- Host Bastin :Sistema especialmente asegurado que acta como
puerta de unin entre el mundo hostil (Internet) y la confiable red
interna.
29. IP Forwarding
- IP Forwarding:mecanismo encargado de la retransmisin de los
paquetes que se reciben por una interfaz fsica y de retransmitirlos
por otra interfaz hacia otro lado.
-
- Si la direccin IP destino del paquetecorrespondecon la del
dispositivo se procesa el paquete y se pasa al mdulo TCP input
-
- Si la direccin IP destinono se correspondecon la del
dispositivo y el mdulo IP forwarding estdesactivado , el paquete se
descarta.
-
- Si la direccin IP destinono correspondecon la del dispositivo y
el mdulo IP forwarding estactivado , se pasa el paquete al mdulo IP
de salida, se consulta la tabla de encaminamiento y el paquete se
retransmite por la interfaz correspondiente .
30. Host bastin
- Sistema especialmente asegurado que acta comopuerta de
uninentre el mundo hostil (Internet) y la confiable red
interna.
-
- Es en el host bastin donde se sueleinstalar el firewallque
permitir controlarlas comunicaciones, es decir, va a estar expuesto
a cualquier tipo de ataque.
-
-
- Instalar un sistema bastante probado, con las necesidades que
EXCLUSIVAMENTE necesitemos.
-
-
- Parchear todas nuestras aplicaciones vulnerables
-
-
- Hacer una lista de comprobaciones:
-
-
- http :// www.auscert.org.au / render.html?cid =1937
31. Arquitecturas de cortafuegos
- Cortafuegos de filtrado de paquetes
32. Cortafuegos de filtrado de paquetes
- Consta deun enrutador(screening routers)
- Contacto directo con las mquinas externas ( No existen proxies
)
- Para organizaciones que no precisan de grandes medidas de
seguridad
33. Dual-Homed Host
- Mquina Unixequipadas con dos o ms tarjetas de red:
-
- Una tarjeta se conecta a lared internapara protegerla.
-
- Otra tarjeta a lared externade la organizacin.
- Unservidor proxypara cada uno de los servicios.
- Deshabilitado el IP Fordwarding
34. Screened Host
- Combina un router con un host bastin
-
- Router:lnea de defensa ms importante gracias al filtrado de
paquetes.
-
- Host bastin:nico sistema accesible desde el exterior, donde se
ejecutan los proxies de las aplicaciones
35. Screened Subnet (DMZ)
- Subredentre la red interna y la externa.
- Aislamiento del Host bastinen la subred.
- Asla otros servidorespotencialmente peligrosos (servidores Web,
correo, etc.)
36. Zone Alarm
- ZoneAlarm es una utilidadgratuita .
- ZoneAlarmcontrola los datosque fluyen de nuestro PC hacia la
red y permite a los usuarios decidir qu aplicaciones pueden acceder
el Internet.
- ZA nosavisaque aplicacin intenta conectarse a Internet, y pone
en nuestras manos el permitrselo o no
- Esfcilde usar, y no necesita conocimientos tcnicos
- ZoneAlarm tal vez no sea la panacea para quienes sientan temor
del ataque de un cracker, pero har ms segura su conexin. Y sin
dudas, es una herramienta imprescindible, junto a un buen
antivirus.
37. Zone Alarm
- Importante:una vez descargado el programa ( www.zonealarm.com
), a la hora de instalarlo, debemos marcar la opcin SelectZoneAlarm
porque la versinPROno es gratuita.
38. Zone Alarm:configuracin bsica
39. Zone Alarm:configuracin bsica
40. Zone Alarm:configuracin bsica
-
- Status:es tan solo una pantalla informativa
-
- Product info :solo nos muestra informacin de la versin del
producto y otros datos relacionados.
-
- Preferences:informacin bsica durante la instalacin no es
necesario cambiarla
41. 42. Zone Alarm: configuracin
43. Zone Alarm: configuracin
44. Zone Alarm: configuracin
45. Zone Alarm: configuracin
46. Puntos fuertes y dbilesde un fire wall
- Un firewallslo es una partede una arquitectura de seguridad
general. Sin embargo, como pieza individual de la arquitectura, est
diseado para cumplir un requisito muy importante dentro del diseo
general.