FIREWALL

FIREWALL Un Firewall realiza una segmentacin de la red Dichos segmentacin se basa en redes Trusted ! Untrusted "ermite o deniega tr#$icos de acuerdo a %ol&ticas de seguridad' A di$erencia de un router( )iene con todos los %uertos cerrados( ! es ca%az de im%lementar auto%roteccin' Ti%os de Firewall* Static Packet Filtering ( primer tipo de firewall ) Circuit Level Firewall Pro ! Server Application Server "!namic Packet Firewall

FIREWALL S#A#IC PAC$E#%FIL#ERI&' FIREWALL +a%a , "a.uetes son e/aminados con reglas basadas en* 0eader +a%a de red 0eader +a%a de Trans%orte Direccin del Flu1o Es escalable e inde%endiente de la a%licacin Alto "er$ormance 2olucin b#sica de %roteccin E1em%lo de esto son las A+L3s

FIREWALL CIRC(I#%LE)EL FIREWALL 4eri$ica .ue los datos .ue est#n $lu!endo entre dos host3s( %ertenezcan a la sesin !a iniciada' Ar.uitectura obsoleta'

FIREWALL APPLICA#I*& LA+ER FIREWALL Antes de %ermitir una cone/in ( la ar.uitectura )eri$ica .ue %ertenezca a la a%licacin' 4eri$ica com%ortamientos de las cone/iones( su%era la ca%a 5' Esta ar.uitectura mantiene una tabla de cone/iones com%lete state ( con in$ormacin de secuencia 6 %a.uetes tc% 7 "uede )alidar datos .ue solo e/isten en la ca%a de a%licacin' 2e conocen como "ro/! Firewall o A%%%lication 8atewa!3s Filtra en ca%a -(5(9 ! :' Ventajas: 8enera autenti$icacin %or usuario ! no %or e.ui%o' Di$iculta el 2%oo$ing "roteccin Do2 ;onitorea ! Filtra Datos %or A%licacin "ro)ee un detalado L<88I=8'

FIREWALL APPLICA#I*& LA+ER FIREWALL

SESSI*&

SESSI*&

FIREWALL APPLICA#I*& LA+ER FIREWALL Desventajas : Alto consumo de +"U' Alto es%acio en memoria >a1o through%ut con altos consumos de +"U 2e re.uiere mucho es%acio en disco %ara almacenar sus log3s 2o%orta a%licaciones es%eci$icas' Algunos de estos Firewall necesitan un agente instalado en los usuarios'

FIREWALL "+&A,IC PAC$E# - FIL#ERI&' FIREWALL El m#s utilizado en la actualidad' Tambi?n se denominan 2TATEFUL FIREWALL +onstru!e tabla de estados >asado en in$ormacin de ca%a -(5 ! 9 "recursor $ue +hec@"oint

FIREWALL "+&A,IC PAC$E# - FIL#ERI&' FIREWALL Funcionamiento Tabla de Estados 6 2TATEFUL7 ;antiene tabla con in$ormacin de host a host I% origen destino =Amero de %uertos 2ecuencia T+" T+" ! UD" $lags' 4eri$ica 0eader de los %a.uetes %ara )eri$icar si corres%onden a* 2B= , R2T , A+C , FI= +ada sesin se almacena en la tabla de estados'

FIREWALL "+&A,IC PAC$E# - FIL#ERI&' FIREWALL #A.LA "E ES#A"*S ( S#A#EF(L )

*$ /

FIREWALL "+&A,IC PAC$E# - FIL#ERI&' FIREWALL #A.LA "E ES#A"*S ( S#A#EF(L )

FAIL /

FIREWALL

"+&A,IC PAC$E# - FIL#ERI&' FIREWALL Desventajas: Las direcciones internas %ueden .uedar e/%uestas( se debe com%lementar con * =AT "R<DB 2ER4ER =o traba1a en ca%a : Alguna a%licaciones no se corres%onden a 2TATEFUL ( abren otros %uertos' =o %osee autenti$icacin %or usuario'

FIREWALL

"+&A,IC PAC$E# - FIL#ERI&' FIREWALL ESCENARIOS: "rimera l&nea de de$ensa ;?todo robusto de $iltrado de %a.uetes >lo.uea ata.ues de 2%oo$ing >lo.uea ata.ues de Do2'

FIREWALL

APPLICA#I*& I&SPEC#I*& FIREWALL Tambi?n conocido como Dee% Ins%ection Firewall +uenta con tabla 2TATEFUL e incor%ora Intrusion Detection 4eri$ica ca%a 5' 4eri$ica ca%a 9( sesiones 4alidas "uede )eri$icar a%licaciones de ca%aE: "re)iene m#s ata.ues .ue un D!namic Firewalls "uede )eri$icar las cone/iones nue)as )#lidas

FIREWALL

APPLICA#I*& I&SPEC#I*& FIREWALL Desventajas: =o est#n todas las a%licaciones so%ortadas =o %osee autenti$icacin de usuario Re.uiere mucha +"U al analizar la ca%a :

FIREWALL

APPLICA#I*& I&SPEC#I*& FIREWALL Escenarios: 2istema de de$ensa secundario' "osee ma!or control sobre la seguridad al )eri$icar ca%a :

FIREWALL

#RA&SPARE&# FIREWALL +on$igurando un dis%ositi)o en ca%a F Ba no cuenta con direcciones de I" %ara el tr#$ico( solo %ara administracin "osee solo dos inter$aces asociadas a distintas 4LA=3s 2e %uede o%erar en di$erentes conte/tos( generando )arios $irewall )irtuales =o re.uiere modi$icar el direccionamiento e/istente %ara instalarlo

FIREWALL

0(E &* 1ACE (& FIREWALL =o "rotege los host3s .ue se comunican dentro de la red Trusted =o %rotege en contra de )irus' E/isten ;dulos adicionales =o %rotege contra modems o accessE%oint %iratas dentro de la red Trusted '

FIREWALL P*LI#ICAS "E I,PLE,E&#ACI2& "E FIREWALL +onocer lo .ue el negocio re.uiere %ara con$igurar correctamente un Firewall' Denegar todo tr#$ico .ue no sea Atil' 6"uertos ! %rotocolos7' "roteger el acceso $&sico al e.ui%o' Log3s ! Alertas 2egmentar de acuerdo a Gonas con distinto =i)el de 2eguridad El Firewall no es un "ro/!( no debe o%erar como tal' El $irewall no es una estacin de traba1o %ara algAn usuario' 0acer un 2et del limite de sesiones %or usuario' 6 2u%rime Worms ! ata.ues automatizados7' +ontrol de acceso a los Firewall3s' Debe tener un tratamiento distinto con res%ecto a los dem#s e.ui%os de la red' Firewall es solo %arte de la solucin de seguridad' ;antener la Instalacin 6 %arches recientes( I<2 actualizadas 7'

FIREWALL CISC* I*S 3*&E .ASE" FIREWALL Utiliza 2tate$ul %ac@et ins%ection Ins%eccin de A%licacin Identi$ica 4"= , 4RF Filtrado de URL ;itiga ata.ues de Do2 "ol&ticas son a%licadas entre zonas 6inside( outside( dmz( dmzHI7 Den!Eall %or de$ecto 8enerar %ol&ticas %or 2ubredes o 0ost3s "ol&ticas son unidireccionales entre Gonas'

FIREWALL CISC* I*S 3*&E .ASE" FIREWALL P*LIC+ A+L 3s utilizando I" de host3s o 2ubredes "rotocolos 6 htt%s( telnet (I'7 "ol&ticas de ser)icio de a%licacin( %ol&ticas es%eci$icas a una a%licacin'

FIREWALL 3*&E ,E,.ERS1IP Las inter$aces son asignadas a las zonas' Una )ez .ue se asigna una inter$az a una zona esta .ueda im%l&citamente blo.ueada 2e e/ce%tAa el tr#$ico entre inter$aces %ertenecientes a una misma zona 2e debe generar %ol&ticas .ue %ermitan .ue el tra$ico %ase o sea ins%eccionado' Acciones a tomar %ara las "ol&ticas * "A22 ( I=2"E+TI<=( DR<"' "ara crear las %ol&ticas de seguridad de zona se deben tener en cuenta* +LA22 ;A"

"<LI+B ;A"

"ARA;ETER ;A"

LA.*RA#*RI* "E SI,(LACI2& 3%.%P

"4,434 I&#ER&E#

I&SI"E

&A# ! PA#

interface Fa5tEt6ernet987 ip addre55 97474749=4 ip nat in5ide

interface Fa5tEt6ernet787 ip addre55 9>:49?@4749 =447 ip nat in5ide

interface Fa5tEt6ernet789 ip addre55 :774;<474: == ip nat out5ide

ip nat pool wA :774;<474: :774;<474: netma5k :;;4:;;4:;;47 ip nat in5ide 5ource li5t 9 pool wA overload ip nat in5ide 5ource 5tatic 9747474: :774;<474A acce55%li5t 9 permit 9>:49?@4747 747474:;;

3*&E % .ASE" P*LIC+

Bone 5ecurit! in5ide Bone 5ecurit! out5ide Bone 5ecurit! dmB

interface Fa5tEt6ernet987 ip addre55 97474749 =4 Bone%memCer 5ecurit! dmB

interface Fa5tEt6ernet787 ip addre55 9>:49?@4749=44 Bone%memCer 5ecurit! in5ide

interface Fa5tEt6ernet789 ip addre55 :774;<474: =44 Bone%memCer 5ecurit! out5ide

3*&E % .ASE" P*LIC+

cla55%map t!pe in5pect matc6%an! internet%traffic%cla55 matc6 protocol 6ttp matc6 protocol dn5 matc6 protocol icmp / polic!%map t!pe in5pect private%internet%polic! cla55 t!pe in5pect internet%traffic%cla55 in5pect / Bone%pair 5ecurit! private%internet 5ource in5ide de5tination out5ide 5ervice%polic! t!pe in5pect private%internet%polic!

acce55%li5t 97: permit ip 6o5t :774;<474: 9>:49?@4747 747474:;; / cla55%map t!pe in5pect matc6%an! Re5pD&A# matc6 acce55%group 97: / polic!%map t!pe in5pect Re5pD&A# cla55 t!pe in5pect Re5pD&A# pa55 / Bone%pair 5ecurit! Re5pD&A# 5ource out5ide de5tination in5ide 5ervice%polic! t!pe in5pect Re5pD&A#