Criterio45cortafuegos
13
CONSEJO SUPERIOR DE INFORMÁTICA SECRETARÍA DE ESTADO PARA LA ADMINISTRACIÓN PÚBLICA
-
Upload
raquel-carretero -
Category
Technology
-
view
354 -
download
0
Transcript of Criterio45cortafuegos
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Filtros de paquetes (I)Filtros de paquetes (I)
•Punto de defensa y de acceso controlado desde dentro y fuera de red privada.•Permite o deniega el flujo de paquetes a su través,•Proporciona el control de acceso a dicha red.
•Puede ser un router o un ordenador con dos trajetas de red, una conectada a la red interna y otra a la red externa.
•Filtran paquetes TCP/IP y discriminan tráfico en base a reglas definidas.•La reglas de decisión se establecen en función de:
- Dirección origen- Puerto origen- Dirección destino- Puerto destino- Banderas TCP, opciones IP
y determinan la acción: - aceptar o bloquear la transmisión o recepción del paquete.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Filtros de paquetes (II)Filtros de paquetes (II)
Filosofía recomendable:Filosofía recomendable: Aquello que no esté expresamente permitido se prohíbe
Alternativa: Alternativa: Aquello que no esté expresamente prohibido se permite.
•Soportan conjuntos de reglas almacenadas en un orden específico de aplicación.•Soportan de cientos a miles de reglas.
•Cada regla supone la realización de comparaciones. •El aumento de reglas disminuye el rendimiento.
•Hay herramientas para crear y mantener las reglas.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Filtros de paquetes (III)
•Operan a niveles de red y transporte del modelo OSI.•Solución sencilla en relación a coste y tecnología. •Se combinan con otros sistemas.•Pueden prestar servicios de cifrado entre enlaces y funciones NAT.
Limitaciones:Limitaciones:- Un atacante tiene acceso a cualquier equipo de la red interna una vez obtenido el acceso.- En el registro de eventos (trazabilidad) y reporting. Proporcionan poca o nula información de logging.- Tratan cada paquete como unidad independiente y no como parte de un servicio.- No protegen contra el spoofing, engaño de direcciones DNS o IP.- En la existencia de alarmas ante ataques.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
CortafuegosCortafuegos
Definición: Sistema compuesto de elementos físicos y lógicos para controlar y limitar el flujo de información y de servicios de aplicación entre dos o más redes.
Función principal: protección de redes internas corporativas frente a intrusos procedentes de redes externas, como puede ser el caso de Internet.
Presta servicios de:- Control de acceso. Bloquea tráfico no deseado.
Dirige tráfico a sistemas internos específicos. - Trazabilidad del flujo de comunicaciones. Registra el tráfico de E/S.- Confidencialidad en enlaces entre cortafuegos predeterminados.- Autenticación. De diversos tipos.- Integridad de la información de configuración del cortafuegos.- Ocultación. Oculta topología, sistemas y dispositivos de red.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. A nivel de aplicación (I)Cortafuegos. A nivel de aplicación (I)
Qué hacen - Qué no hacenQué hacen - Qué no hacenNo permiten el paso de paquetes TCP/IP a su través. No permiten el acceso directo a los servicios de la red interna.
•Permiten el tratamiento de los servicios por separado. •Centralizan en su solo punto la gestión de los servicios.- Corren los proxies que tratan con los servidores externos -de Internet- en nombre de clientes internos -que solicitan los servicios. Impiden el acceso directo de la red interna a servicios externos.- Examinan las peticiones externas y reenvían las legítimas al servidor interno que proporciona el servicio. Todas las peticiones entrantes a los diferentes servicios deben ir a través del proxy apropiado (uno por servicio).
Los proxies son específicos de cada aplicación.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. A nivel de aplicación (II)Cortafuegos. A nivel de aplicación (II)
Qué hacen - Qué no hacenQué hacen - Qué no hacen
•Evitan la visibilidad directa entre entornos fiables y no fiables.
•Deben configurarse como la única dirección visible para la red externa, haciendo que todas las conexiones hacia/desde la red interna se realicen a su través.
•Una vez superada la barrera el servicio puede ser prestado por la pasarela o bien por otro equipo ubicado en la red interna que solo admita conexiones desde el cortafuegos.
•Cada aplicación incorporada puede requerir la adaptación del cortafuegos.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. Cortafuegos. Ejemplos prácticos (I)Ejemplos prácticos (I)
Network
EXTRANET
INTRANET A
INTRANET B INTRANET C
INTRANET DTOE A
TOE BTOE C
TOE D
Internet
Service Provider
Private Partner Domain PPD
Trusted Partner Domain TPD
Boundary
Protection BP
Crypto
Device CD
EXTRANET
Servers EXS
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. Ejemplos prácticos (II)Cortafuegos. Ejemplos prácticos (II)
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. Conclusiones (I)Cortafuegos. Conclusiones (I)
No son un sustituto de la seguridad interna de la red y se debe tener en cuenta que en muchas ocasiones los problemas de seguridad son provocados desde las redes y usuarios corporativos.
Sólo buenos complementos a la seguridad ya implantada en red de la organización.
Presentan, en general, funcionalidades y características tales como las siguientes:- Una interfaz segura entre redes locales o entre red privada interna y redes externas.- Permiten prevenir el intercambio de información de forma indiscriminada entre los usuarios internos y el exterior.- Protegen la red de ataques del exterior.- Permiten definir quién tiene acceso a la red interna y quién desde dentro tiene acceso a la red externa. - También permiten controlar qué aplicaciones se pueden utilizar cuando se accede de una red a otra. - Los filtros habitualmente son transparentes a los usuarios y permiten denegar el acceso a puntos específicos de la red interna.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. Conclusiones (II)Cortafuegos. Conclusiones (II)
- Pueden prestar servicios de confidencialidad de la información en su paso a través de redes públicas. La confidencialidad se asegura en el flujo de información a través de redes públicas entre dos cortafuegos, mediante el cifrado de la información que permite crear lo que se conoce como un túnel privado.
- Permiten controlar el tráfico según las direcciones, los usuarios o los servicios de aplicación dependiendo de cómo se haya diseñado la política de seguridad.
- Permiten la activación de eventos y la generación de notificaciones en tiempo real, alarmas, al administrador de la red.
- Presentan la red corporativa al mundo Internet como un dominio, de tal forma que el mundo exterior no puede ver la estructura de la red ni conocer los nombres ni direcciones de los servidores internos.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
Cortafuegos. Conclusiones (III)Cortafuegos. Conclusiones (III)
Son ciegos:
- a la identidad de los usuarios- a la afiliación de los usuarios- a las políticas de la organización
Presentan dificultades de escalabilidad.
CONSEJOSUPERIOR DEINFORMÁTICA
SECRETARÍA DE ESTADOPARA LA ADMINISTRACIÓNPÚBLICA
CortafuegosCortafuegos
Existen productoscortafuegosevaluados ycertificados.
