Cortafuegos

Cortafuegos Firewall
Seguridad de la Informacin
ndice
1.
Definicin
2.
Por qu utilizar un firewall?
3.
Tipos habituales de ataque
4.
Puntos fuertes y dbiles de un firewall
5.
Caractersticas de diseo
6.
Elementos de un cortafuegos
7.
Arquitecturas de cortafuegos
8.
Software cortafuegos
9.
Conclusin
Seguridad de la Informaci
Definicin de cortafuegos
Un
firewall o cortafuegos es un sistema o grupo de sistemas que
hace cumplir una poltica de control de acceso entre dos redes, es

decir,
cualquier sistema utilizado para separar, en cuanto a
seguridad
se
refiere,
una
mquina
subred
del
resto,
protegindolos de servicios y protocolos que desde el exterior

pueden suponer una amenaza de seguridad.
El espacio protegido
Red externa no confiable
permetro de seguridad
zona de riesgo
Por qu utilizar un firewall?
Riesgo de confidencialidad
Riesgo de integridad de datos
Riesgo de disponibilidad
Lista abreviada:
Ingeniera social
Un atacante engaa al administrador o a otro usuario

autorizado de un sistema para que comparta sus credenciales
de conexiones o detalles de la operacin del sistema.
Errores de software
Un atacante explota un defecto de programacin y obliga a

una aplicacin o servicio a ejecutar comandos no autorizados
o no esperados, peligrosos especialmente
cuando el
programa se ejecuta con privilegios adicionales o
administrativos

Virus y cdigo troyano
Un atacante engaa a un usuario legtimo al ejecutar un

programa, siendo la forma ms comn de ataque el disfrazar
el programa con el aspecto de un inocente correo electrnico
o dentro de un virus.
Configuracin pobre del sistema
Un atacante es capaz de explotar los errores de configuracin

de un sistema en los servicios y cuentas que estn disponibles
No cambiar contraseas
No restringir accesos a los programas de administracin de
aplicaciones
No deshabilitar servicios innecesarios que no se utilizan
Puntos fuertes
Los firewalls son excelentes para reforzar la poltica de una empresa.
Los firewalls se utilizan para restringir el acceso a servicios especficos
Los firewalls solo tienen un propsito
Los firewalls son excelentes auditores
Los firewalls son excelentes para alertar a las personas apropiadas

acerca de los sucesos que se producen
Puntos dbiles
Los firewalls
no ofrecen proteccin ante lo que est autorizado.
Los firewalls son tan eficaces como las reglas que tienen que
aplicar de acuerdo con su configuracin.
El firewall no puede detener la ingeniera social o a un usuario

autorizado que utilice su acceso con propsitos maliciosos.
Los firewalls no pueden solucionar las prcticas administrativas

dbiles o un diseo inadecuado de una directiva de seguridad.
Los firewalls no pueden detener ataques si el trfico no pasa a

travs de ellos.
Caractersticas de diseo
Existen tres decisiones bsicas en el diseo o la configuracin

de un firewall:
Primera: la poltica de seguridad de la organizacin

Segunda: decisin de diseo es el nivel de monitorizacin,
redundancia y control deseado en la organizacin
Tercera: econmica
Las decisiones anteriores aunque concernientes al diseo, eran

bsicamente polticas; la primera decisin elemental a la que
nos vamos a enfrentar a la que nos vamos a enfrentar a la hora
de instalar un cortafuegos es:
DNDE LO COLOCAMOS PARA QUE

CUMPLA EFICIENTEMENTE SU
CONTENIDO?
Elementos de un cortafuegos
Filtrado de paquetes: accin de denegar o permitir el flujo de

paquetes entre dos redes de
predefinidas. * puerta de enlace
Proxy
de aplicacin:
acuerdo
con
unas
normas
programa que realiza una accin en
representacin de otro.
Monitorizacin: nos facilitar informacin sobre los intentos de

ataque
Filtrado de paquetes
Modelo OSI
Correspondencia entre OSI y TCP/IP
Se analiza la cabecera de cada paquete
En funcin de una serie de reglas preestablecidas la trama es bloqueada

o se le permite seguir su camino. Las reglas normalmente se expresan con
una simple tabla de condiciones:
Origen
Destino
Tipo
Puerto
Accin
165.56.0.0/
16
Denegar
124.12.12.0
/24
Aceptar
195.5.5.1
TCP
80
Aceptar
Si llegara un paquete que no encajara dentro de ninguna de

las reglas lo mejor que podemos hacer es aadir siempre al final
de la tabla una ltima regla donde se exprese la accin que
deseamos realizar por defecto.
Origen
Destino
Tipo
Puerto
Accin
Denegar
Proxy de aplicacin
Servidor Proxy: aplicacin software para reenviar o bloquear conexiones o servicios.
Pasarela de aplicacin: mquina donde se ejecutan
Pasarelas a nivel circuito: son capaces de redirigir conexiones, pero se limitan

simplemente a autenticar al usuario antes de establecer el circuito virtual entre
sistemas.
Proxy de aplicacin
Ejemplo: Proxy cache de HTTP
Monitorizacin
Monitorizar:
nos facilitar informacin sobre los

intentos de ataque que estemos sufriendo (origen,
franjas horarias, etc.) as como la existencia de
tramas sospechosas
Otras definiciones
IP Forwarding: se encarga de la retransmisin de los paquetes

que se reciben por una interfaz fsica y de retransmitirlos por otra
interfaz hacia otro nodo
Host
Bastin:
Sistema especialmente asegurado que acta

como puerta de unin entre el mundo hostil (Internet) y la
confiable red interna.
IP Forwarding
IP
Forwarding: mecanismo encargado de la retransmisin de los
Si la direccin IP destino del paquete corresponde con la del

dispositivo se procesa el paquete y se pasa al mdulo TCP input
Si la direccin IP destino no se corresponde con la del dispositivo y

el mdulo IP forwarding est desactivado, el paquete se descarta.
Si la direccin IP destino no corresponde con la del dispositivo y el

mdulo IP forwarding est activado, se pasa el paquete al mdulo
IP de salida, se consulta la tabla de encaminamiento y el paquete se
retransmite por la interfaz correspondiente .
paquetes que se reciben por una interfaz fsica y de retransmitirlos por

otra interfaz hacia otro lado.
Host bastin
Sistema especialmente asegurado que acta como puerta de unin

entre el mundo hostil (Internet) y la confiable red interna.
Es en el host bastin donde se suele instalar el firewall que

permitir controlar las comunicaciones, es decir, va a estar expuesto
a cualquier tipo de ataque.
Instalar un sistema bastante probado, con las necesidades que

EXCLUSIVAMENTE necesitemos.
Parchear todas nuestras aplicaciones vulnerables
Hacer una lista de comprobaciones:

http://www.auscert.org.au/render.html?cid=1937
Arquitecturas de cortafuegos
Cortafuegos de filtrado
de paquetes
Dual-Homed Host
Screened Host
Screened Subnet (DMZ)
Cortafuegos de filtrado de paquetes
sencilla
Consta de un enrutador (screening routers)
Contacto directo con las mquinas externas (No existen
proxies)
Arquitectura
Para organizaciones que no precisan de grandes medidas de

seguridad
Dual-Homed Host
Mquina Unix
equipadas con
dos o ms tarjetas de red:
Una tarjeta se conecta a la
red
interna
para
protegerla.
Otra
tarjeta
a
la
red
externa de la organizacin.
Un servidor proxy para cada

uno de los servicios.
Deshabilitado el IP
Fordwarding
Screened Host
Combina un router con un

host bastin
Router: lnea de defensa
ms importante gracias al
filtrado de paquetes.
Host
bastin:
nico
sistema accesible desde
el exterior, donde se
ejecutan los proxies de
las aplicaciones
Screened Subnet (DMZ)

Subred entre la red interna
y la externa.
Aislamiento
del
Host
bastin en la subred.
Asla otros servidores
potencialmente peligrosos
(servidores Web, correo, etc.)
Zone Alarm
Caractersticas bsicas:
ZoneAlarm es una utilidad
gratuita.
ZoneAlarm controla los datos que fluyen de nuestro PC hacia la red y permite a
los usuarios decidir qu aplicaciones pueden acceder el Internet.
ZA nos avisa que aplicacin intenta conectarse a Internet, y pone en nuestras manos
el permitrselo o no
Es
ZoneAlarm tal vez no sea la panacea para quienes sientan temor del ataque de un
cracker, pero har ms segura su conexin. Y sin dudas, es una herramienta
imprescindible, junto a un buen antivirus.
fcil de usar, y no necesita conocimientos tcnicos
Zone Alarm
Importante: una vez descargado el programa (www.zonealarm.com
), a la hora de instalarlo, debemos marcar la opcin
SelectZoneAlarm porque la versin PRO no es gratuita.
Zone Alarm: configuracin bsica
Botn rojo STOP
Candado

Overview
Firewall
Program Control
Alerts and Logs
E-mail protection
Overview
Status: es tan solo una pantalla informativa
Product
info: solo nos muestra informacin de la
versin del producto y otros datos relacionados.
Preferences: informacin bsica durante la instalacin

no es necesario cambiarla
Zone Alarm: configuracin

Firewall
Main
Zones

Program Control
Main
Programs

Alerts and logs
Main
Long Viewer

E-mail protection
Puntos fuertes y dbiles

de un firewall
Un firewall slo es una parte de una arquitectura de

seguridad general. Sin embargo, como pieza individual de
la arquitectura, est diseado para cumplir un requisito
muy importante dentro del diseo general.

Cortafuegos

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Cortafuegos

Diunggah oleh

Hak Cipta:

Format Tersedia

Cortafuegos Firewall

Por qu utilizar un firewall?

Tipos habituales de ataque

Puntos fuertes y dbiles de un firewall

firewall o cortafuegos es un sistema o grupo de sistemas que

hace cumplir una poltica de control de acceso entre dos redes, es

cualquier sistema utilizado para separar, en cuanto a

protegindolos de servicios y protocolos que desde el exterior

Por qu utilizar un firewall?

Tipos habituales de ataque

Un atacante engaa al administrador o a otro usuario

Un atacante explota un defecto de programacin y obliga a

Tipos habituales de ataque

Un atacante engaa a un usuario legtimo al ejecutar un

Configuracin pobre del sistema

Un atacante es capaz de explotar los errores de configuracin

Los firewalls son excelentes para reforzar la poltica de una empresa.

Los firewalls se utilizan para restringir el acceso a servicios especficos

Los firewalls solo tienen un propsito

Los firewalls son excelentes auditores

Los firewalls son excelentes para alertar a las personas apropiadas

no ofrecen proteccin ante lo que est autorizado.

El firewall no puede detener la ingeniera social o a un usuario

Los firewalls no pueden solucionar las prcticas administrativas

Los firewalls no pueden detener ataques si el trfico no pasa a

Existen tres decisiones bsicas en el diseo o la configuracin

Primera: la poltica de seguridad de la organizacin

Las decisiones anteriores aunque concernientes al diseo, eran

DNDE LO COLOCAMOS PARA QUE

Filtrado de paquetes: accin de denegar o permitir el flujo de

programa que realiza una accin en

Monitorizacin: nos facilitar informacin sobre los intentos de

Correspondencia entre OSI y TCP/IP

Se analiza la cabecera de cada paquete

En funcin de una serie de reglas preestablecidas la trama es bloqueada

Si llegara un paquete que no encajara dentro de ninguna de

Servidor Proxy: aplicacin software para reenviar o bloquear conexiones o servicios.

Pasarela de aplicacin: mquina donde se ejecutan

Pasarelas a nivel circuito: son capaces de redirigir conexiones, pero se limitan

Ejemplo: Proxy cache de HTTP

nos facilitar informacin sobre los

IP Forwarding: se encarga de la retransmisin de los paquetes

Sistema especialmente asegurado que acta

Forwarding: mecanismo encargado de la retransmisin de los

Si la direccin IP destino del paquete corresponde con la del

Si la direccin IP destino no se corresponde con la del dispositivo y

Si la direccin IP destino no corresponde con la del dispositivo y el

paquetes que se reciben por una interfaz fsica y de retransmitirlos por

Sistema especialmente asegurado que acta como puerta de unin

Es en el host bastin donde se suele instalar el firewall que

Instalar un sistema bastante probado, con las necesidades que

Parchear todas nuestras aplicaciones vulnerables

Hacer una lista de comprobaciones:

Screened Subnet (DMZ)

Cortafuegos de filtrado de paquetes

Para organizaciones que no precisan de grandes medidas de

Una tarjeta se conecta a la

Un servidor proxy para cada

Combina un router con un

Router: lnea de defensa

Screened Subnet (DMZ)

Asla otros servidores

ZoneAlarm es una utilidad