SEGURIDAD PERIMETRAL

FIREWALL
Lina Mckoll Hernndez Gestin de redes de datos

Seguridad Perimetral

La seguridad perimetral es uno de los mtodos para defender una red, se basa en la utilizacin de recursos para asegurar el permetro externo de la red a diferentes niveles. Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a ciertos servicios, o denegar algn tipo de acceso a otros.

Seguridad Perimetral

Qu permite proteger la seguridad perimetral: Todos los elementos de la red interna, incluyendo hardware, software e informacin. Se deben proteger estos elementos no solo de cualquier intento de acceso no autorizado desde el exterior sino tambin de ciertos ataques desde el interior que puedan preverse y prevenirse.

Seguridad Perimetral

Mtodos de defensa: En profundidad Perimetral

Lo que no se prohibe expresamente est permitido. Lo que no se permite expresamente est prohibido.

Qu es un Firewall?
FIREWALL

Cortafuegos

privately administered

Internet

Elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la misma.
FIREWALL

El firewall determina cules de los servicios de red pueden ser accesados dentro de sta por los que estn fuera, es decir, quin puede entrar a utilizar los recursos de red pertenecientes a la organizacin.

En general debemos verlo como una caja con dos o mas interfaces de red en la que se establecen una reglas de filtrado para permitir o no una conexin.

A nivel empresarial un firewall es generalmente un hardware especifico con un sistema operativo o una IOS que filtra el trfico TCP/UDP/ICMP/../IP y decide si un paquete pasa, se modifica, se convierte o se descarta.

RFC 2979 : define las caractersticas de comportamiento y requerimientos de interoperabilidad .

Cisco ASA 5500 Adaptive Security Appliances

Dnde opera un Firewall?

Punto de conexin de la red interna con la red exterior

La ubicacin habitual de un firewall es el punto de conexin de la red interna de la organizacin con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.
FIREWALL

Dnde opera un Firewall?

Punto de conexin de la red interna con la red exterior

Zona Desmilitarizada (DMZ)

Tambin es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior.
FIREWALL

Esquemas usados para los firewall

Tipos de Firewall
APLICACIN PRESENTACIN SESIN TRANSPORTE RED ENLACE FISICA protocolo + puerto IP MAC De filtrado de paquetes

URL de HTTP

De capa de aplicacin

OSI
FIREWALL

Traditional packet filters Analyzes each datagram going through it; makes drop decision based on:
r source IP address r destination IP address r source port r destination port r TCP flag bits m SYN bit set: datagram for connection initiation m ACK bit set: part of established connection r TCP or UDP or ICMP m Firewalls often configured to block all UDP r direction m Is the datagram leaving or entering the internal network? r router interface m decisions can be different for different interfaces

Recordando conexin TCP a 3 vas para un modelo cliente servidor

El cliente realiza una conexin enviando un paquete SYN al servidor, en el servidor se comprueba si el puerto est abierto (si existe un proceso escuchando por ese puerto), si el puerto no esta abierto se le enva al cliente un paquete de respuesta RCT, esto significa un rechazo de intento de conexin. Si el puerto esta abierto, el servidor responde con un paquete SYN/ACK. Finalmente el cliente respondera al servidor con un ACK, completando as la conexin.

Funciones posibles del Firewall (I)

NAT (Network Address Translation)

Enmascaramiento de las IPs de las mquinas locales de laredparaquesalganalexteriormedianteIPspblicas.

10.0.0.1

10.0.0.2

FIREWALL

Funciones posibles del Firewall (I)

NAT (Network Address Translation) 10.0.0.1

10.0.0.2

FIREWALL

Funciones posibles del Firewall (II)

PROXY

El cliente, en vez de solicitar el documento al servidor lo solicita al Proxy y luego el Proxy lo solicita al servidor. Tpico en el caso de servicio Web.
El proxy puede guardar en cache los documentos que ha obtenido por solicitudes anteriores.

Funciones posibles del Firewall (II)

PROXY

La informacin solicitada al exterior es recuperada por el firewall y despus enviada al host que la requiri originalmente.

FIREWALL

Funciones posibles del Firewall (III)

QOS

HTTP

HTTP

La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall limita la salida para que ciertos usuarios puedan por ejemplo recibir sin problemas su correo electrnico.

FIREWALL

Funciones posibles del Firewall (IV)

Balanceo de Carga

HTTP

HTTP

La LAN tiene dos vinculos con internet y el firewall distribuye la carga entre las dos conexiones.

FIREWALL

Limitaciones del Firewall

Un firewall correctamente configurado aade proteccin a una instalacin informtica, pero en ningn caso debe considerarse como suficiente. No protege de ataques fuera de su rea No protege de espas No proteje de/a usuarios inconscientes No protege de ataques deingeniera social No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados como un ataque.
FIREWALL

Maneras de Implementacin Poltica por defecto: Aceptar o Denegar

1) ACEPTAR. Todo lo que entra y sale por el firewall se acepta y slo se denegar lo que se le pida explcitamente.

2) DENEGAR. Todo est denegado, y REGLAS slo se permitir pasar por el firewall aquello que se le pida explcitamente

1) ACEPTAR

2) DENEGAR

FIREWALL

Paso inicial para la implementacin

REGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR Todo lo que venga de la red local al exterior = ENMASCARAR Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR

Hacer una abstraccin de las reglas requeridas.

FIREWALL

Posible forma de implementacin

Hardware especfico configurable o bien una aplicacin de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)

ForeFront Windows Windows Server

FIREWALL

Posible forma de implementacin

Hardware especfico configurable o bien una aplicacin de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)

IPTABLES (LINUX)

IPtables es un sistema de firewall integrado al kernel de los sistemas operativos basados en Unix.
FIREWALL

Funcionamiento de Iptables - Definiciones Hay tres tipos de reglas bsicas de filtrado : INPUT, OUTPUT, FORWARD Las reglas se agrupan en cadenas. Una cadena es un conjunto de reglas para paquetes IP, que determinan lo que se debe hacer con ellos. Una cadena puede contener un enlace a otra cadena. Cada regla puede desechar el paquete de la cadena, con lo cual otras cadenas no sern consideradas. No hay un limite respecto de cun anidadas pueden estar las cadenas.

Funcionamiento de IPtables
paquete IP regla1
... el usuario puede crear tantas como desee.

regla2

regla3

...

cadena 1
INPUT
OUTPUT FORWARD reglas bsicas

Una cadena es un conjunto de reglas para paquetes IP, que determinan lo que se debe hacer con ellos.

FIREWALL

Funcionamiento de IPtables
paquete IP regla1 regla2 regla3 ...

cadena 1 regla1 regla2 regla3 ...

cadena 2

Una cadena puede contener un enlace a otra cadena, formando finalmente una tabla.
FIREWALL

Funcionamiento de IPtables
Reglas generales para los distintos tipos de paquetes

Paquetes con origen remoto y destino remoto: Son los paquetes, que actuando como gateway, nuestra mquina tiene que reenviar. Estos paquetes se analizan mediante la regla de reenvo, llamado FORWARD. Paquetes con origen remoto y destino local: Son los paquetes que las mquinas de cualquier red envan a la mquina local. Estos paquetes se analizan mediante el filtro de entrada, llamado INPUT.

Paquetes con origen local y destino remoto: Son los paquetes de la mquina local que se enva a otras redes. Estos paquetes se analizan mediante el filtro de salida, llamado OUTPUT.
FIREWALL

Funcionamiento de IPtables
Tablas

Existen tres tipos de tablas de reglas predefinidas en Iptables: - MANGLE: Destinadas a modificar ciertos tipos de paquetes; poco conocida y usada. - NAT: Se usan para hacer redirecciones de puertos o cambios en las IPs de origen y destino (NAT) - FILTER: Tabla por defecto para la manipulacin de paquetes

FIREWALL

Funcionamiento de IPtables
Cadenas bsicas incorporadas en las tablas: Filter

INPUT Aplica a los paquetes de red que estn dirigidos al host OUTPUT Se aplica a los paquetes de red generados localmente. FORWARD Aplica a los paquetes de red que son enrutados por el host.

FIREWALL

Funcionamiento de IPtables
Cadenas incorporadas en las tablas: NAT

PREROUTING Altera los paquetes de red cuando llegan. Esto lo vamos a llamar DNAT (destination NAT). OUTPUT Altera los paquetes de red generados localmente antes de ser enviados. POSTROUTING Altera los paquetes de red antes de que se enven. Esto lo vamos a llamar SNAT (source NAT)..

FIREWALL

Funcionamiento de IPtables

Funcionamiento de IPtables
ACCIONES DE LAS REGLAS SOBRE UN PAQUETE

Dejar pasar el paquete (ACCEPT), Responderle al emisor educadamente que el paquete no puede pasar (REJECT) (Ejemplo: puerto de destino inalcanzable) Descartarlo como si no hubiera llegado (DROP o DENY).

FIREWALL

Funcionamiento de IPtables
REGLAS

condiciones a buscar protocolo IP origen IP destino puerto destino puerto origen flags TCP ...

DESTINO ACCEPT DROP REJECT

cadena definida por usuario

FIREWALL

Existen tres tipos de tablas incorporadas en Iptables: - MANGLE - NAT: reglas PREROUTING, POSTROUTING - FILTER: reglas INPUT, OUTPUT, FORWARD.

Funcionamiento de Iptables Resumen

Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas cadenas predefinidas : FILTER TABLE responsable del filtrado cadenas predefinidas INPUT OUTPUT FORWARD

NAT TABLE

responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes PREROUTING (DNAT) POSTROUTING (SNAT) OUTPUT (DNAT local) responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio; contiene todas las cadenas predefinidas posibles.

MANGLE TABLE

FIREWALL

Ejemplo de IPtables (I)

Queremos bloquear todos aquellos paquetes entrantes provenientes de la direccin IP 200.200.200.1. iptables -s 200.200.200.1 No estamos especificando qu hacer con los paquetes. Para esto, se usa el parmetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP. iptables -s 200.200.200.1 -j DROP Necesitamos tambin especificar a qu cadena vamos a aplicar esta regla. Para eso est el parmetro -A. iptables -A INPUT -s 200.200.200.1 -j DROP

FIREWALL

IMPORTANTE

El orden en el que se ponen las reglas de firewall es determinante: Para decidir que se hace con un paquete se va comparando con cada regla del firewall hasta que se encuentra una que le afecta, y se hace lo que dicte esta regla (aceptar o denegar); despus de eso NO SE MIRARN MS REGLAS para ese paquete.

Enlaces de inters disponibles en Mayo de 2012 http://www.pello.info/filez/firewall/iptables.html http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/chiptables.html http://juancarlosmolinos.wordpress.com/2012/03/08/con figuracion-firewall-iptables-red-hatcentos-6-desde-lineade-comandos/ http://www.fwbuilder.org/, http://iscs.sourceforge.net/ http://wiki.centos.org/HowTos/Network/IPTables http://technet.microsoft.com/enus/library/gg412468.aspx

Fuentes y enlaces http://www.pello.info/filez/firewall/iptables.html http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/chiptables.html http://juancarlosmolinos.wordpress.com/2012/03/08/con figuracion-firewall-iptables-red-hatcentos-6-desde-lineade-comandos/ http://www.fwbuilder.org/, http://iscs.sourceforge.net/ http://wiki.centos.org/HowTos/Network/IPTables http://technet.microsoft.com/enus/library/gg412468.aspx