Firewalls Parte 1

Firewalls
Diseo e implementacin de Seguridades

705
Ing. Ivette Carrera M

Universidad de Guayaquil Sesin 1
2016
Unidad 1
Introduccin
Tipos de Firewall
Tipos de Filtrado
Configuraciones de Firewall

Universidad de Guayaquil 2
2016
Objetivos
Explicar el rol de un Firewall como parte de una

estrategia de seguridad
Listar las caractersticas de los firewalls
Discutir las diferentes opciones de firewalls
Entender las ventajas de las distintas

arquitecturas de firewalls

2016
INTRODUCCIN

2016
Introduccin
La conectividad a internet es una herramienta

indispensable de trabajo
El internet provee beneficios a las

organizaciones y es quien habilita la
interaccin entre el mundo exterior y los
dispositivos locales.

2016
Introduccin
Imagine que existe una red con miles de

dispositivos corriendo distintos sistemas
operativos: linux, windows, etc.
Qu pasara si se detecta una falla en uno de

los sistemas operativos?

2016
Y por qu un Firewall?

2016
Qu es un Firewall?
Tradicionalmente, es una pared que separa partes
de un edificio de un incendio

2016
Qu es un Firewall?
Tambin, es el metal que separa a un pasajero de un

automvil del motor

2016
Cul es el propsito de estos dos Firewalls?
Proteger a un lugar de un evento que ocurre en otro

lugar
Una habitacin de una casa est protegida del

fuego que ocurre en otra habitacin
El pasajero est protegido del fuego que ocurre

en el motor de un automvil

2016
Firewall (en nuestro caso)
Sistemas de defensas contra ataques a los servidores y redes

que protegen

2016
Firewall (en nuestro caso)
Medio eficaz de proteccin de un host o un segmento

de red con mltiples hosts de intrusiones o amenazas
de seguridad
Puede bloquear amenazas internas o externas
Permite el acceso de los hosts al mundo exterior a

travs de Internet

2016
Principios de Diseo de Firewalls
Los sistemas de informacin evolucionan

constantemente
Caractersticas de Seguridad robusta para todas las
estaciones de trabajo y servidores
El firewall es implementado entre la red y el Internet
Objetivos:
Establecer un enlace controlado
Proteger la red de ataques desde el Internet
Proveer un nico punto de control

2016
Caractersticas de los Firewalls
Todo trfico entrante o saliente debe pasar a travs del

Firewall (bloqueando fsicamente todo acceso a la red local
excepto por el firewall)
Slo se permitir el paso de trfico autorizado (definido por

las polticas de seguridad)
Por s mismo, debe ser inmune a penetracin
Usar sistemas confiables con sistemas operativos seguros

(hardening)
Utilizar HTTPS para las pginas de configuracin
Contraseas Robustas (cambiar contraseas por default)
SSH (no telnet)
2016
Capacidades de un Firewall
Bloqueo de paquetes que se originan en un

determinado rango de IP, puertos, dominios,
direcciones de correo, etc
Bloqueo de paquetes formados por determinados

protocolos o aplicaciones
Bloqueo de paquetes que sean reconocidos como

firmas de ataques a sistemas o redes
Crea logs para monitorear eventos de seguridad

2016
Capacidades de un Firewall
Herramienta de anlisis del comportamiento de
sistemas y de red
Herramienta de anlisis forense
Sistema de defensa contra virus, gusanos y spam
Puede ser usado para implementar VPN
Por lo general, aloja otros servicios:

NAT
IPS/IDS

2016
Tcnicas de Control
1. Control de Servicios
2. Control de Direccin
3. Control de Usuarios
4. Control de Comportamiento

2016
Tcnicas de Control
1. Control de Servicios
Determina el tipo de servicio permitido (entrante o
saliente)
Filtrado basado en:

Direccin IP
Nmero de Puerto
Protocolo
Contenido (Proxy)

2016
Tcnicas de Control
2. Control de Direccin
Determina la direccin en la que las solicitudes de
un servicio en particular pueden fluir a travs del
Firewall
3. Control de Usuario
Controla el acceso a los distintos servicios

dependiendo del usuario que intente acceder
Aplicado tpicamente a los usuarios internos

2016
Tcnicas de Control
4. Control de Comportamiento
Controla cmo se utilizan los distintos servicios
Ej: Filtrar e-mail para eliminar spam

2016
Pregunta
Cmo podemos derrotar a un Firewall?

2016
Limitaciones
No hay proteccin contra ataques que no fluyan a

travs del firewall
Ej: Dial up modem, hot spot mvil, etc
No hay proteccin total contra amenazas internas

Ej: Empleados descontentos
USB infectados, porttil personal o dispositivos mviles

pueden ser trados y conectados a la red
No se puede proteger contra puntos de acceso

inalmbricos no autorizados
2016
CLASIFICACIN

2016
Clasificacin
Se pueden clasificar en virtud de diferentes

caractersticas:
Modelo de Arquitectura
Firewalls de Software vs Hardware
Firewalls de Host vs Firewalls de Red
Caractersticas de filtrado

2016
Clasificacin
Modelo de Arquitectura: Pueden tener diferentes
funciones, dependiendo del lugar donde se encuentren en
la red.

2016
Clasificacin
Firewall de software vs hardware

SW
Soportados por varios SO
Soportados en varias plataformas
Productos mixtos
Ej: Checkpoint FW1, IPFilter, ISA Server
HW
Hardware Appliance + Software preinstalado
Sistemas operativos propietarios
Alto Rendimiento
Hardening de Fbrica
Funcionalidades aadidas como VPN, cach,
etc
Ej: Sonicwall, CISCO ASA, PIX CISCO, Netscreen

2016
Clasificacin
Firewall de host vs firewall de red
Host
Software que permite o bloquea transmisiones entrantes o salientes
en un host
Firewalls personales
Embebidos en SO
Baratos
Ej: Linux: Iptables Windows: Firewall de Windows con seguridad
avanzada
Red
Firewall en hardware
Protege redes enteras
Sistema dedicado a la funcin de Firewall
Mdulos adicionales como caching, IDS/IPS,
antivirus
Mdulos on-box o off-box
Ms caros
Ej: CISCO, JUNIPER, Barracuda
2016
Clasificacin
Firewall basado en Host: Firewall de Windows

2016
Clasificacin
Firewall de Red

2016
TIPOS DE FILTRADO

2016
Tipos de Filtrado
1. Filtrado a nivel de Paquete

Filtrado de paquete sin estado
Filtrado de paquetes con estado
2. Servidor Proxy
Filtrado a nivel de aplicacin
Filtrado a nivel de circuito

2016
Filtrado a nivel de Paquete

2016
Puede:
Permitir paquetes que cumplan con los criterios
definidos para pasar por el firewall
Denegar paquetes que cumplan con los criterios
definidos para bloquear el paso por el firewall
Puede examinar los siguientes atributos:

Cabecera del paquete
Protocolos utilizados
No presta atencin a patrones generados por una

secuencia de paquetes

2016
Filtrado de paquete sin estado
Aplica reglas a los paquetes entrantes y salientes

basadas en :
Cabecera IP
Cabecera TCP UDP
Interfaz del Firewall

2016
Campos considerados de la cabecera IP

2016
Campos considerados de la cabecera UDP

2016
Campos considerados de la cabecera TCP

2016
Campos de la cabecera TCP considerados por
filtradores de paquetes ms sofisticados

2016
Polticas por default
Descartar implcitamente
Todo el trfico es descartado implcitamente salvo
que sea permitido explcitamente
Reenviar implcitamente
Todo el trfico es reenviado implcitamente salvo
que sea bloqueado explcitamente

2016
Las reglas pueden ser implcitas o explcitas.
Implcita
El firewall tiene esta regla por default
Explcita
Esta regla debe ser creada

2016
Ejemplo 1: Reenvo implcito

2016
Ejemplo 2: Reenvo implcito

2016
Pregunta
Las reglas anteriores son seguras?

2016
Ataques contra el filtrado sin estado
Spoofing de direcciones IP
Defensa: Descartar todos los paquetes que
lleguen con direcciones ip de origen internas
desde la interfaz externa.
Ataque de enrutamiento de origen (source
routing)
Defensa: Descartar todos los paquetes que
utilicen esta opcin.
Ataque de fragmentacin IP
Defensa: Establecer una regla que contenga un
tamao mnimo de la cabecera de transporte
2016
Ataques contra el filtrado sin estado
La mayora no utiliza los campos

TCP flags: SYN, ACK, FIN, RST bits
IP flags: M bit
Algunos ms sofisticados lo hacen,

pero ciertos ataques an pueden pasar
Firewall con filtrado sin estado tienen

problemas previniendo escaneo de red
2016

Aplica reglas a los paquetes entrantes y salientes
basadas en :
Cabecera IP
Cabecera TCP UDP
Evalua secuencias y ACKs
Recuerda el estado de la conexin (TCP
Comunicacin de 3 vas)
Interfaz del Firewall

2016
Campos de la cabecera TCP considerados por
filtradores de paquetes con estado

2016
Tabla de estado de las conexiones

2016
Estado TCP:
Protocolo orientado a la conexin
Maneja banderas que indican en que estado se

encuentra la conexin
Protocolo de estado

2016
Estado TCP:
CLOSED Existe antes de que se establezca la conexin
LISTEN Sistema esperando por una peticin para iniciar una

conexin. Estado de inicio de las conexiones TCP
SYN-SENT Tiempo dspues de que un sistema ha enviado el

paquete SYN y est esperando el SYN-ACK
ESTABLISHED Estado de una conexin dspues que ha recibido un

ACK

2016
Filtrado de paquetes con estado Ejemplo TCP

2016

Estado UDP
Normalmente no se utiliza con el protocolo UDP
Por qu? Protocolo no orientado a la conexin
No posee nmero de secuencias o banderas
Para tracear una conexin utiliza pseudo-estados
Se puede basar el estado de la conexin por IP y puerto
de origen y destino

2016
ESTADO ICMP
Protocolo no orientado a la conexin
No posee nmero de secuencias o banderas
Para tracear una conexin utiliza pseudo-estados
Se puede basar en el tipo de peticin y el tipo de

mensaje respuesta
2016
Filtrado con estado vs filtrado sin estado

SIN ESTADO (esttico)
Evalua el contenido de cada paquete pero no mantiene un
registro del estado de las conexiones
Similar a las ACL
Baja sobrecarga
Alto Rendimiento
Bajo Costo
CON ESTADO (dinmico )

Lleva un registro del estado de las conexiones para la toma
de decisiones
Alta sobrecarga
Bajo Rendimiento
Ms costosos

2016
Ventajas
Simplicidad
Transparente a los usuarios
Rpidos
Desventajas
No pueden prevenir ataques que empleen
vulnerabilidades de aplicaciones especficas
Logs limitados
Vulnerable a ataques y explotaciones que tomen
ventaja de problemas de la pila TCP/IP. Ej: IP spoofing
Suceptible a brechas de seguridad debido a mala
configuracin

2016

2016
Filtrado a nivel de aplicacin

2016
Servidor Proxy - Filtrado a nivel de aplicacin
Gateway de aplicacin
Acta como sustituto de los servidores reales en un

sitio de la red
Opera en la capa de aplicacin
No existe conexin directa entre el cliente y el

servidor
Cambia direcciones IP, puertos, etc
Finaliza conexiones TCP, tanto desde hosts internos

como externos, ya sean clientes o servidores

2016
Funcionamiento
Usuario realiza peticin de un servicio de Internet, como HTTP,
Telnet, FTP, etc
El software del cliente lanza la peticin
El proxy pregunta por la informacin de autenticacin necesaria
Proxy provee conexin actuando como gateway del servicio
remoto
Proxy realiza las comunicaciones necesarias para establecer la
conexin con los sistemas externos
Todo el trfico lo enruta entre el usuario interno y el sistema
externo a travs del proxy

2016
Propsitos
Aislar el cliente y el servidor entre s

Reduce la posibilidad de hackear el cliente o el
servidor, ya que slo interactan a travs del
proxy
Permitir o denegar conexiones basado en qu es lo

que el cliente est intentando hacer
Funciones
Revisar la carga (payloads) de los paquetes
Entender el contenido de la carga (payloads) en
trminos de las aplicaciones previstas
2016
Conexiones TCP sin proxy

2016
Conexiones TCP con proxy

2016
Ejemplo de Servidor Proxy

2016
Incrementa substancialmente la seguridad
Servidor Proxy debe manejar ambas direcciones

para clientes y servidores
Es configurado para soportar caractersticas

especficas, que el administrador considere
necesarias de una aplicacin

2016
En el ejemplo se muestra proteccin tanto para el

cliente como para el servidor
Servidor protegido contra hackers que se hacen

pasar por clientes
Previene el uso de comandos como HTTP POST

PUT para infectar el servidor
Cliente es protegido contra pginas web

infectadas
2016
PROS
Cliente y Servidor invisibles entre s

No conocen las direcciones IP entre ellos
No conocen las redes internas a las que pertenecen
o la estructura de los archivos del host
Servidor Proxy puede ser usado para llevar un

registro de las aplicaciones y los posibles intentos
Lleva log de las ocurrencias de aplicaciones con
cdigos maliciosos

2016
PROS
Servidor Proxy puede realizar filtrado de contenido

Detecta ocurrencias de aplicaciones con cdigo
malicioso
Busca por palabras claves y frases (Ej.:
obscenidades)
Filtra applets de java y controles Active-X
Servidores reales no necesitan ser configurados tan

seguros
Sin embargo es una buena idea

2016
CONS
Costo: Inicial y de mantenimiento
Mltiples proxies
Un problema para organizaciones que manejan
diferente tipo de aplicaciones
Procesamiento adicional en cada conexin
nico punto de fallo

El servidor proxy se convierte en un recurso crtico

2016
CONS
nico punto para ataques

Si el proxy es comprometido, se convierte en
un gateway para el intruso
Tiene que ser configurado de forma segura
En el pasado, los proxies disponibles no eran muy

seguros

2016
Filtrado a nivel de aplicacin vs filtrado a nivel de
paquetes
Conexiones cliente/servidor
Filtrado a nivel de paquetes permite conexiones
directas
Servidores Proxy previenen conexiones directas
TCP: El servidor proxy crea dos conexiones TCP
juntas
UDP: Investiga la carga (payload)
Aplicacin
Filtrado a nivel de paquete no entiende la
aplicacin o servicio
Servidor proxy entiende la aplicacin o servicio
Ms seguro

2016
Filtrado a nivel de Aplicacin

2016
Filtrado a nivel de Circuito

2016
Trabaja en las capas de transporte y sesin
Examina la informacin TCP para verificar que la solicitud de sesin sea legtima
Similar al firewall de aplicacin
No permite comunicacin directa entre la red interna y la externa

2 conexiones son creadas: Entre host interno y firewall - Entre firewall y el host
externo
Establecidas las conexiones TCP o UDP reenva segmentos de una conexin a otra sin
examinar su contenido
Su funcin de seguridad radica en determinar que conexiones sern permitidas

2016
Este filtrado permite a los administradores
inspeccionar las sesiones, ms que a los paquetes.
Usado generalmente cuando los usuarios internos

son confiables
Baja sobrecarga
Se puede usar filtrado a nivel de aplicacin para

trfico entrante y filtrado a nivel de circuito para
trfico saliente
2016

2016
CONFIGURACIONES DE FIREWALL

2016
Un firewall es ubicado como una barrera

protectora entre el trfico externo y la red
interna
El administrador de seguridad deber decidir el

nmero de firewalls requeridos y sus
ubicaciones
Dependiendo del tipo de servicio y seguridad
que necesite para la red

2016
Configuraciones comunes
Sistema de filtrado con un firewall
Sistema de filtrado con firewall, DMZ, y red
interna
Sistema de filtrado de contencin bastion
host

2016
Sistemas de filtrado con un firewall (Bastion
nico)
Reglas lo ms robustas posibles
Dificultad en el diseo de polticas de seguridad

2016
Sistemas de filtrado con un firewall, DMZ y red
interna (Bastion T)
Polticas menos Polticas

restrictivas para restrictivas para
la DMZ los accesos a la
red interna

2016
Redes DMZ (Zona desmilitarizada)
Servicios que son accesibles desde el exterior

pero necesitan cierta proteccin
Ej.: Servidor web, correo electrnico, DNS, etc.
Debido a la particularidad de que son servicios

accesibles, su proteccin es ms compleja

2016
Sistemas de firewall de contencin bastion
El firewall externo
protege la DMZ de la red
externa
El bastion protege la red

interna del trfico que
proviene de la DMZ y de
la red externa.
El bastion protege a la
DMZ del trfico interno
2016
Configuraciones ms complejas:
Screened host firewall system (con bastion

host)
Screened host firewall system (dual- home
bastion host)
Screened subnet firewall system

2016
Bastion host
Sistema identificado por el administrador del
firewall como un punto crtico en la seguridad
de la red
Sirve como plataforma para filtrado a nivel de

aplicacin o de circuito

2016
Caractersticas de Bastion host
Ejecuta un SO seguro (hardening system)

Se instalan solo servicios esenciales. Puede
incluir aplicaciones como DNS, FTP, HTTP, y
SMTP.
Puede requerir autenticacin adicional antes de
que los usuarios accedan a los servicios proxy.

2016
Screened host firewall system (con bastion de
interfaz nica)

2016
Screened host firewall (con bastion de interfaz nica)
Router filtrador de paquetes

Bastion Host
Caractersticas del Bastion host

Computadora con altas configuraciones de seguridad
Trfico desde el internet solo puede alcanzar el bastion host; no

puede alcanzar la red interna
Slo el trfico con la direccin IP del bastion host puede alcanzar el

Internet.
Ningn trfico de la red interna puede alcanzar el Internet

2016
Screened host firewall (con bastion de interfaz
nica)
Permite el acceso a servidores pblicos desde el

Internet
Colocando el servidor web entre el router y el
bastion host
Problema: Si el router filtrador de paquetes es
comprometido, la red entera est expuesta.

2016
Screened host firewall system (bastion de
interfaz dual)

2016
Screened host firewall system (dual home
bastion host)
Bastion host con dos interfaces de red

Una para la red interna
Otra para la conexin con el router
Si el router es comprometido, la red interna no

es afectada
La red interna est en una red separada
2016
Screened subnet firewall system (Subred
protegida)

2016
Screened subnet firewall system
Una de las configuraciones ms seguras
Se usan dos routers filtradores de paquetes

El bastion host es ubicado entre los dos routers
Tanto el trfico desde internet como la red interna
tienen acceso a la subred protegida
El trfico que fluye entre las dos subredes es bloqueado

Desde el bastion host a la red interna y la subred
entre los dos routers

2016
Firewalls Distribuidos

Universidad de Guayaquil
2016
Universidad de Guayaquil Sesin 1
2016
Deber
Firewall de Nueva Generacin
Qu son?
Caractersticas - Funcionalidades
Al menos dos ejemplos de firewalls de nueva
generacin (caractersticas principales de las
mismas)
Cuadrante de Gartner
Imagen
Segn Gartner cules son las mejores marcas de
firewalls y por qu?
Incluir Bibliografa segn Normas APA

Universidad de Guayaquil
2016
Referencias
Hacking y Seguridad en Internet, Fernando Picouto Ramos, Alfaomega

Ra-ma, 1era edicin, 2007
Network Security Essentials, William Stallings, 4th-edition,2011
Seguridad en Firewalls, Maestra de Seguridad Informtica Aplicada,

ESPOL
Cyber Technologies Course, Master of Cyber Forensics and Security,

IIT

2016

Firewalls Parte 1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Firewalls Parte 1

Uploaded by

Copyright:

Available Formats

Firewalls

Diseo e implementacin de Seguridades

Diseo e implementacin de Seguridades

Diseo e implementacin de Seguridades

Explicar el rol de un Firewall como parte de una

Listar las caractersticas de los firewalls

Discutir las diferentes opciones de firewalls

Entender las ventajas de las distintas

Diseo e implementacin de Seguridades

Diseo e implementacin de Seguridades

La conectividad a internet es una herramienta

El internet provee beneficios a las

Diseo e implementacin de Seguridades

Imagine que existe una red con miles de

Qu pasara si se detecta una falla en uno de

Diseo e implementacin de Seguridades

Diseo e implementacin de Seguridades

Diseo e implementacin de Seguridades

Tambin, es el metal que separa a un pasajero de un

Diseo e implementacin de Seguridades

Proteger a un lugar de un evento que ocurre en otro

Una habitacin de una casa est protegida del

El pasajero est protegido del fuego que ocurre

Diseo e implementacin de Seguridades

Sistemas de defensas contra ataques a los servidores y redes

Diseo e implementacin de Seguridades

Medio eficaz de proteccin de un host o un segmento

Puede bloquear amenazas internas o externas

Permite el acceso de los hosts al mundo exterior a

Diseo e implementacin de Seguridades

Los sistemas de informacin evolucionan

Diseo e implementacin de Seguridades

Todo trfico entrante o saliente debe pasar a travs del

Slo se permitir el paso de trfico autorizado (definido por

Por s mismo, debe ser inmune a penetracin

Usar sistemas confiables con sistemas operativos seguros

Bloqueo de paquetes que se originan en un

Bloqueo de paquetes formados por determinados

Bloqueo de paquetes que sean reconocidos como

Crea logs para monitorear eventos de seguridad

Diseo e implementacin de Seguridades

Herramienta de anlisis forense

Sistema de defensa contra virus, gusanos y spam

Puede ser usado para implementar VPN

Por lo general, aloja otros servicios:

Diseo e implementacin de Seguridades

Diseo e implementacin de Seguridades

Filtrado basado en:

Diseo e implementacin de Seguridades

Controla el acceso a los distintos servicios

Diseo e implementacin de Seguridades

Ej: Filtrar e-mail para eliminar spam

Diseo e implementacin de Seguridades

Cmo podemos derrotar a un Firewall?

Diseo e implementacin de Seguridades

No hay proteccin contra ataques que no fluyan a

No hay proteccin total contra amenazas internas

USB infectados, porttil personal o dispositivos mviles

No se puede proteger contra puntos de acceso

Diseo e implementacin de Seguridades

Se pueden clasificar en virtud de diferentes

Firewalls de Software vs Hardware

Firewalls de Host vs Firewalls de Red

Diseo e implementacin de Seguridades