Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• Screening Router
• Dual-Homed Gateway Firewall (Bastión)
• Screend Host Firewall (Bastión + router)
• Screened Subnet Firewall (DMZ)
Screening router
4
Dual-Homed Gateway Firewall
5
Screened Host Firewall
6
Screened Subnet Firewall
7
Sistemas de Filtrado (Firewalls)
Clasificación según la Tecnología/ modo de Inspección:
Internet
Stateless Packet Filtering
Ventajas:
• Económicos
• Examina Headers L3 y L4
• Reglas de Filtrado, ACLs manuales
• Pueden Implementarse en Routers.
Limitaciones
• Ignora paquetes anteriores y futuros
• No negocia con puertos dinámicos
• La efectividad de las reglas depende de la habilidad del experto
en firewalls.
Statefull Packet Filtering
Ventajas:
• Examina Headers L3 y L4
• Basados en Zonas
• Tabla de estado de conexiones
• Trabajan sobre el flujo de las conexiones
• Considera los paquetes anteriores y anticipa la llegada de
nuevos
• Soporta puertos dinámicos
• Fácilmente configurables.
• Incluyen Gestión de Colas y politicas
Limitaciones
• Filtro limitado en capa de aplicación
• Falla con trafico encriptado SSL, DES, etc.
Statefull Packet Filtering
Statefull Packet Filtering
Statefull Packet Filtering + AIC
Ventajas:
• Examina Headers L3 y L5 + Application Inspection and Control
• Adicionalmente a las características anteriores:
• Reensamble de sesiones por secuencia de flujo
• Decodificacion de L5, filtrando dentro del protocolo y su Header.
Limitaciones
• Filtro limitado a los headers de L3 a L7
• Por limitaciones de Hardware: Poca RAM y sin HDD/SSD por esto no puede hacer el
buffering requerido para hacer DPI en el contenido de los Paquetes
Statefull Packet Filtering + IAC
Network IPS
Ventajas:
• Examina Headers L3 y L5
• Reensambla sesiones de L4 y analiza su contenido
• Analiza paquetes individuales y grupos de paquetes en el trafico
• Pueden Inspeccionar el contenido de los paquetes y estructuras de todas las capas.
• Monitorea los paquetes y las sesiones para detectar y prevenir desviaciones del perfil
normal de la red.
• Hace uso de una Base de datos de firmas de ataques conocidos:
• Ataques de reconocimiento
• Deteccion de Spyware
• Trojans
• Botnets
• Antivirus ligero
• Bloquean trafico malicioso conocido
Limitaciones
• No pueden detectar nuevos ataques que no estén en su BD de Firmas.
• Requiere ser configurado y afinado por un experto para optimizar su efectividad y
evitar falsos positivos.
Network IPS
Network Behavior Analisis
IDS/IPS basados en anomalías
Ventajas:
• Examina Headers L3 y L5
• Observan el trafico todo el tiempo
• Construyen un perfil estadístico del trafico normal de la red, basado en:
• Rata de bits
• Mezcla de protocolos y aplicaciones
• Volumen de trafico
• Detectan y/o previenen actividades / trafico que viola el perfil normal de la red
• Pueden inspeccionar: inline, in tap y offline
Limitaciones
• Pueden generar Falsos positivos.
• Requieren un periodo de tunning.
• Requiere ser configurado y afinado por un experto para optimizar su efectividad
Network Behavior Analisis
Application Layer Gateways (Proxies)
Intermediarios/relay entre clientes y servidores
Ventajas:
• Examina Headers y contenido de L5
• Anonimiza el direccionamiento LAN
• Anonimiza los componentes de software del cliente
• Optimiza el consumo de recursos de red.
• Puede filtrar por contenido:
• URLs
• Tipos de archivo
• Filtros por extensión
Limitaciones
• Son construidos para protocolos específicos
• Puede generar cuellos de botella
• Tienen problemas con algunas aplicaciones de tiempo real
¿Preguntas?