Documentos de Académico
Documentos de Profesional
Documentos de Cultura
flujo de datos existente. Cada paquete es filtrado basndose exclusivamente en los valores de ciertos parmetros del encabezado del paquete, de manera similar al filtrado efectuado por las ACLs.
Firewalls
Los firewalls tambin tienen limitaciones: Si est mal configurado, el firewall puede tener consecuencias serias (nico punto de falla). Muchas aplicaciones no pueden pasar a travs del firewall en forma segura. Los usuarios pueden intentar buscar maneras de sortear el firewall para recibir material bloqueado, exponiendo la red a potenciales ataques. El rendimiento de la red puede disminuir. Puede hacerse tunneling de trfico no autorizado o puede disfrazrselo como trfico legtimo.
Tipos de firewall
Hay varios tipos de firewalls de filtrado, incluyendo los siguientes: Firewall de filtrado de paquetes (Packet-filtering firewall) Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, como informacin de capa 3 y, en
ocasiones, de capa 4. Firewall con estados - (Stateful firewall) Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin. Firewall gateway de aplicacin (proxy) (Application gateway firewall) Filtra segn informacin de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayora del control y filtrado del firewall se hace por software. Firewall de traduccin de direcciones (Address translation firewall) Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red. Firewall basado en hosts (servidor y personal) - (Host-based firewall) Una PC o servidor que ejecuta software de firewall. Firewall transparente - (Transparent firewall) Filtra trfico IP entre un par de interfaces conmutadas. Firewall hbrido - (Hybrid firewall) Es una combinacin de varios tipos de firewalls
diferentes. Por ejemplo, un firewall de inspeccin de aplicaciones combina un firewall con estados con un firewall de gateway de aplicacin.
Tipos de firewall Tipos de firewall Tipos de firewall Tipos de firewall Tipos de firewall
Los firewalls de filtrado de paquetes revisan una tabla simple para permitir o denegar el trfico basndose en criterios especficos: Direccin IP de origen Direccin IP de destino Protocolo Nmero de puerto de origen Nmero de puerto de destino Recepcin del paquete de sincronizacin e inicio de conexin (SYN)
Tipos de firewall
Los firewalls con estados son la tecnologa
de firewall ms verstil y comn en uso actualmente. Proporcionan filtrado de paquetes con estados utilizando la informacin de conexiones mantenida en una tabla de estados. El filtrado con estados es una arquitectura de firewall que se clasifica como de capa de Red, aunque, para algunas aplicaciones, tambin puede analizar trfico de capas 4 y 5. A diferencia del filtrado de paquetes esttico, que examina paquetes en base a la informacin del encabezado del paquete, el filtrado con estados monitorea cada conexin que pasa por las interfaces del firewall y confirma su validez. Los firewalls con estados usan una tabla de estados para monitorear el proceso de la comunicacin. El firewall examina la informacin en los encabezados de paquetes de capa 3 y segmentos de capa 4. Por ejemplo, el firewall busca en los encabezados TCP los bits de control synchronize (SYN), reset (RST), acknowledgment (ACK), finish (FIN) y otros
Tipos de firewall
Sin embargo, hay una desventaja potencial en el uso de filtrado con estados. Aunque la inspeccin con estados proporciona velocidad y transparencia, los paquetes dentro de la red deben poder salir de la red. Esto puede exponer las direcciones IP internas a potenciales atacantes. La mayora de los firewalls tiene incorporados inspeccin por estados, traduccin de direcciones de red (network address translation - NAT) y servidores proxy para mayor seguridad.
El firewall IOS de Cisco es una funcin especializada del IOS de Cisco que se ejecuta en los routers Cisco. Es un firewall de calidad profesional que soporta pequeas y medianas empresas (PyMEs) y oficinas sucursales. El Cisco PIX Security Appliance es un dispositivo autnomo que asegura una robusta ejecucin de las polticas de usuario y aplicacin, una proteccin multivector contra ataques y servicios de conectividad segura. El Cisco PIX Security Appliances puede acomodarse a una gama de requerimientos y tamaos de redes. El Cisco ASA Adaptive Security Appliances es una solucin de fcil despliegue que integra capacidades de software, seguridad en comunicaciones unificadas Cisco (voz y video), capa de sockets seguros (SSL) y VPNs IPsec, IPS y servicios de seguridad de contenidos. Diseado como un componente clave de las redes autodefensivas de Cisco, Cisco ASA proporciona servicios inteligentes de
defensa de amenazas y comunicaciones seguras que detienen los ataques antes de que afecten la continuidad de los negocios. Los ASA fueron diseados para proteger las redes de todos los tamaos y bajar los costos generales de despliegue y operacin para la empresa al proporcionar una seguridad global multicapa.
los paquetes TCP y UDP en base a informacin de sesin de protocolo de capa de aplicacin. Proporciona filtrado de capa de aplicacin con estados, incluyendo protocolos que son especficos de aplicaciones nicas, as como protocolos y aplicaciones multimedia que requieren mltiples canales para la comunicacin, como FTP y H.323.
contra ataques de DoS de otras maneras: inspecciona los nmeros de secuencia de los paquetes de las conexiones TCP para ver si estn dentro de los rangos experados y los descarta si le resultan sospechosos.
destino, puertos utilizados y el nmero total de bytes transmitidos en reportes avanzados basados en sesin.
Operacin de CBAC
Sin CBAC, el filtrado de trfico se limita a implementaciones ACL que examinan paquetes en la capa de red o, a lo sumo, la capa de transporte. CBAC usa un filtro de paquetes con estados que es sensible a las aplicaciones. Esto significa que el filtro es capaz de reconocer todas las sesiones de una aplicacin dinmica. CBAC examina no slo la informacin de capas de red y de transporte, sino tambin la informacin de protocolo de capa de aplicacin (como informacin de conexiones FTP) para conocer el estado de la sesin. La tabla de estados monitorea las sesiones e inspecciona todos los paquetes que pasan a travs del firewall de filtrado de paquetes con estados. CBAC luego usa la tabla de estados para configurar entradas de ACL dinmica que permitan el paso del trfico de retorno a travs del firewall o router de permetro.
Operacin de CBAC
CBAC crea entradas en las ACLs de las interfaces del firewall agregando una entrada ACL temporal para una sesin especfica. Estas entradas son creadas cuando trfico especfico sale de la red interna protegida a travs del firewall. Las entradas temporales permiten el ingreso del trfico de retorno que normalmente sera bloqueado y canales de datos adicionales a la red interna a travs del firewall slo si son parte de la misma sesin y tienen las mismas propiedades esperadas que el trfico original que dispar al CBAC cuando sali por el firewall. Sin esta entrada temporal de ACL, este trfico sera denegado por la ACL preexistente. La tabla de estados cambia dinmicamente y se adapta con el flujo de trfico.
inspeccionados se especifican en una regla de inspeccin. La regla de inspeccin se aplica a una interfaz en una direccin (de entrada o de salida) cuando se aplica la inspeccin. El motor del firewall inspecciona slo los paquetes de los protocolos especificados si ya han pasado por la ACL de entrada que se aplica a la interfaz interna. Si la ACL deniega un paquete, el paquete se descarta y no es inspeccionado por el firewall. Los paquetes que coinciden con la regla de inspeccin generan una entrada de ACL dinmica que permite el acceso del trfico de retorno al firewall. El firewall crea y elimina ACLs a medida que las aplicaciones lo requieran. Cuando una aplicacin se cierra, CBAC elimina todas las ACLs dinmicas de esa sesin.
Paso 1. Elegir una interfaz - interna o externa. Paso 2. Configurar ACLs IP en la interfaz. Paso 3. Definir reglas de inspeccin. Paso 4. Aplicar una regla de inspeccin a una interfaz.
Configuracin de CBAC
Eleccin de una interfaz Primero determine las interfaces internas y externas para aplicar la inspeccin. Con CBAC, interno y externo se refiere a la direccin de la conversacin. La interfaz en la que las sesiones pueden ser iniciadas debe seleccionarse como la interfaz interna. Las sesiones que tengan origen en la interfaz externa sern bloqueadas. CBAC tambin puede ser configurado en dos direcciones en una o ms interfaces. Configure el firewall en dos direcciones cuando las redes de ambos lados del firewall requieran proteccin, como en configuraciones extranet e intranet, y para la proteccin contra ataques de DoS. Si
configura CBAC en dos direcciones, configure una direccin primero usando las designaciones de interfaz interna o externa. Cuando configure CBAC en la otra direccin, las designaciones de interfaz deben invertirse.
Configuracin de CBAC
Definicin de reglas de inspeccin El administrador debe definir reglas de inspeccin para especificar qu protocolos de capa de aplicacin inspeccionar en una interfaz. Normalmente, slo es necesario definir una regla de inspeccin. La nica excepcin ocurre si es necesario habilitar el motor del firewall en dos direcciones en una sola interfaz del firewall. En este caso, el administrador puede configurar dos reglas, una por cada direccin.
Configuracin de CBAC
La regla de inspeccin debe especificar cada protocolo que se desea inspeccionar, as como UDP, ICMP o TCP genrico, si se desea. La inspeccin de TCP genrico y UDP permite dinmicamente el trfico de retorno de las sesiones activas. La inspeccin de ICMP permite los paquetes de respuesta de eco se reenven como una respuesta a mensajes eco ICMP previamente enviados.
La regla de inspeccin consiste en una serie de sentencias, cada una especificando el protocolo y el mismo nombre de regla de inspeccin. Las reglas de inspeccin incluyen opciones para el control de mensajes de alerta y registro de auditora.
Configuracin de CBAC
Las reglas de inspeccin se configuran en el modo de configuracin global. Router(config)# ip inspect name nombre_inspeccin protocolo [alert {on | off}] [audittrail {on | off}] [timeout segundos] Ejemplo 1 En este ejemplo, la regla de inspeccin se llamar FWRULE. FWRULE inspecciona SMTP y FTP con alertas y registros de auditora habilitados. FWRULE tiene un tiempo de vencimiento por inactividad de 300 segundos. ip inspect name FWRULE smtp alert on audit-trail on timeout 300 ip inspect name FWRULE ftp alert on audit-
aplique la regla en la direccin de entrada para inspeccionar el trfico solicitado. En las otras interfaces, aplique una ACL en la direccin de entrada para denegar todo el trfico, excepto el trfico que no ha sido inspeccionado por el firewall, como GRE o ICMP que no est relacionado con mensajes de solicitud de eco y su respuesta.
Configuracin de CBAC
Por ejemplo, un administrador necesita permitir a los usuarios internos iniciar trfico TCP, UDP e ICMP con todas las fuentes externas. Se permite a los clientes externos comunicarse con el servidor SMTP server (209.165.201.1) y el servidor HTTP (209.165.201.2) que estn localizados en la DMZ de la empresa. Tambin es necesario permitir ciertos mensajes ICMP en todas las interfaces. Todo el resto del trfico de la red externa es denegado. Para este ejemplo, primero cree una ACL que permita las sesiones TCP, UDP e ICMP y deniegue todo el resto del trfico.
R1(config)# access-list 101 permit tcp 10.10.10.0 0.0.0.255 any R1(config)# access-list 101 permit udp 10.10.10.0 0.0.0.255 any R1(config)# access-list 101 permit icmp 10.10.10.0 0.0.0.255 any R1(config)# access-list 101 deny ip any any Esta ACL ser aplicada a la interfaz interna en direccin de entrada. La ACL procesa trfico que se inicia en la red interna antes de dejar la red. R1(config)# interface Fa0/0 R1(config-if)# ip access-group 101 in
Configuracin de CBAC
Si la configuracin se detuviera all, todo el trfico de retorno, a excepcin de los mensajes ICMP, sera denegado por causa de la ACL externa. A continuacin, cree reglas de inspeccin para TCP y UDP. R1(config)# ip inspect name MYSITE tcp R1(config)# ip inspect name MYSITE udp Estas reglas de inspeccin debern aplicarse en la interfaz interna en direccin
de entrada. R1(config)# interface Fa0/0 R1(config-if)# ip inspect MYSITE in La lista de inspeccin crea automticamente sentencias de ACL temporal en la ACL de entrada que se aplican a la interfaz externa para conexiones TCP y UDP. Esto permite el trfico TCP y UDP que responde a solicitudes generadas en la red interna. Para deshabilitar CBAC en el router, use el comando global no ip inspect. Router(config)# no ip inspect FALTA IPS. CONTINUARA.