4. FIREWALL
¿Qué es un Firewall?
Elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”
=
5. FIREWALL
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
10. FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y
después enviada al host que la requirió originalmente.
11. FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y
después enviada al host que la requirió originalmente.
12. FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y
después enviada al host que la requirió originalmente.
13. FIREWALL
Funciones posibles del Firewall (III)
• QOS
La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall
limita la salida para que por ejemplo los usuarios puedan recibir sin
problemas su correo
HTTP
HTTP
14. FIREWALL
Funciones posibles del Firewall (IV)
• Balanceo de Carga
La LAN tiene dos vinculos con internet y el firewall distribuye la
carga entre las dos conexiones.
HTTP
HTTP
15. FIREWALL
Limitaciones del Firewall
• No protege de ataques fuera de su área
• No protege de espías o usuarios inconscientes
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,
cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
17. FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)
REGLAS
1) ACEPTAR
2) DENEGAR
18. FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)
IPTABLES
(LINUX)
23. FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINO
• ACCEPT
• DROP
• QUEUE
• RETURN
• ...
• cadena definida
por usuario
• protocolo
• IP origen
• IP destino
• puerto destino
• puerto origen
• flags TCP
• ...
25. FIREWALL
Funcionamiento de IPtables
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas
cadenas predefinidas :
• FILTER TABLE
• NAT TABLE
• MANGLE TABLE
• responsable del filtrado
• cadenas predefinidas
• INPUT
• OUTPUT
• FORWARD
• responsable de configurar las reglas de
reescritura de direcciones o de puertos de los
paquetes
• PREROUTING (DNAT)
• POSTROUTING (SNAT)
• OUTPUT (DNAT local)
responsable de ajustar las opciones de los
paquetes, como por ejemplo la calidad de servicio;
contiene todas las cadenas predefinidas posibles.
27. FIREWALL
Ejemplo de IPtables (I)
Queremos bloquear todos aquellos paquetes entrantes provenientes de
la dirección IP 200.200.200.1.
iptables -s 200.200.200.1
No estamos especificando qué hacer con los paquetes. Para esto, se
usa el parámetro -j seguido por alguna de estas tres opciones:
ACCEPT, DENY o DROP.
iptables -s 200.200.200.1 -j DROP
Necesitamos también especificar a qué chain o cadena vamos a aplicar
esta regla. Para eso está el parámetro -A.
iptables -A INPUT -s 200.200.200.1 -j DROP
28. FIREWALL
Ejemplo de IPtables (II)
Si lo que buscamos es que a nuestra computadora le sea imposible
comunicarse con la anterior, simplemente cambiaremos el INPUT por el
OUTPUT, y el parámetro -s por el -d.
iptables -A OUTPUT -d 200.200.200.1 -j DROP
Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa
misma IP
iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP
Si vamos a usar la computadora como router, deberemos setear la
cadena de FORWARD para que también quede en ACCEPT.
iptables -P FORWARD ACCEPT
29. FIREWALL
Implementación (escenario 1)
REGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicación
30. FIREWALL
Implementación (escenario 2)
• VPN con túnel IPSEC.
• Punto a Punto seguro, o política de seguridad anti-intrusos o sniffing (ENCRIPT.)
L1
L2
L3
VPN
PaP