Tecnologías de Firewall

Ing. Enrique Javier Santiago Chinchilla, PhD

Director de I+D Network Security Team
Especialista en Redes de Computadoras
Especialista en Sistemas de Telecomunicaciones
Máster en Ingeniería Telemática
Máster en Seguridad Informática
Certified Java Programmer
Certified Ethical Hacker – Ec Council
Certified Hacker Forensics Investigator – Ec Council
Eccouncil Certified Security Analyst
CCNA Cisco Instructor
 Agenda
• Generalidades
• Firewalls
• Clasificación de los firewalls
• Servidores Proxy
 Sistemas de Filtrado (Firewalls)
Clasificación según la arquitectura:

• Screening Router
• Dual-Homed Gateway Firewall (Bastión)
• Screend Host Firewall (Bastión + router)
• Screened Subnet Firewall (DMZ)
Screening router

4
Dual-Homed Gateway Firewall

5
Screened Host Firewall

6
Screened Subnet Firewall

7
 Sistemas de Filtrado (Firewalls)
Clasificación según la Tecnología/ modo de Inspección:

• Packet Filtering Firewall (L3,L4)

• Application Level gateway (L5)
• Statefull Inspection Firewall (L3,L4,L5)
• Deep Packet Inspection (DPI)
Packet Filtering Firewalls

Actúa dentro del nivel IP según el

modelo TCP/IP

Suele ser implementado utilizando

routers

Cada paquete puede ser analizado en

función de:

@IP origen / destino

Puerto origen / destino
Protocolo usado: TCP / UDP / ICMP
Application Level gateway
Actúa dentro de los niveles de transporte
y aplicación según el modelo TCP/IP.

Procesa, valida y regenera cada paquete

recibido; impidiendo la conexión directa
entre 2 redes diferentes.

Para cada servicio (telnet, ftp, http...) se

utiliza un proxy específico, pudiendo así
prohibir el uso de determinadas órdenes
de un servicio.
Statefull Inspection Firewall
Actúa dentro de los niveles de IP, transporte y
aplicación según el modelo TCP/IP

Inspecciona Headers y flags.

Comprueba (y no procesa, como en un Proxy

server) los paquetes a distintos niveles
verificando la validez de estos, basándose en
un seguimiento del estado de la conexión en
cada momento.

Permite conexiones directas entre distintas

redes, dando un servicio transparente a ambos
lados.
 Tecnologías de Firewall - NG
Principales tecnologías de filtrado de trafico:

• Stateless Packet Filtering

• Statefull Packet Filtering
• Statefull Packet Filtering con AIC
• Network IPS
• Network Behavior análisis
• Application Layer Gateways (proxies)

Internet
 Stateless Packet Filtering

Ventajas:
• Económicos
• Examina Headers L3 y L4
• Reglas de Filtrado, ACLs manuales
• Pueden Implementarse en Routers.

Limitaciones
• Ignora paquetes anteriores y futuros
• No negocia con puertos dinámicos
• La efectividad de las reglas depende de la habilidad del experto
en firewalls.
 Statefull Packet Filtering
Ventajas:
• Examina Headers L3 y L4
• Basados en Zonas
• Tabla de estado de conexiones
• Trabajan sobre el flujo de las conexiones
• Considera los paquetes anteriores y anticipa la llegada de
nuevos
• Soporta puertos dinámicos
• Fácilmente configurables.
• Incluyen Gestión de Colas y politicas

Limitaciones
• Filtro limitado en capa de aplicación
• Falla con trafico encriptado SSL, DES, etc.
Statefull Packet Filtering
Statefull Packet Filtering
 Statefull Packet Filtering + AIC
Ventajas:
• Examina Headers L3 y L5 + Application Inspection and Control
• Adicionalmente a las características anteriores:
• Reensamble de sesiones por secuencia de flujo
• Decodificacion de L5, filtrando dentro del protocolo y su Header.
Limitaciones
• Filtro limitado a los headers de L3 a L7
• Por limitaciones de Hardware: Poca RAM y sin HDD/SSD por esto no puede hacer el
buffering requerido para hacer DPI en el contenido de los Paquetes
Statefull Packet Filtering + IAC
 Network IPS
Ventajas:
• Examina Headers L3 y L5
• Reensambla sesiones de L4 y analiza su contenido
• Analiza paquetes individuales y grupos de paquetes en el trafico
• Pueden Inspeccionar el contenido de los paquetes y estructuras de todas las capas.
• Monitorea los paquetes y las sesiones para detectar y prevenir desviaciones del perfil
normal de la red.
• Hace uso de una Base de datos de firmas de ataques conocidos:
• Ataques de reconocimiento
• Deteccion de Spyware
• Trojans
• Botnets
• Antivirus ligero
• Bloquean trafico malicioso conocido

Limitaciones
• No pueden detectar nuevos ataques que no estén en su BD de Firmas.
• Requiere ser configurado y afinado por un experto para optimizar su efectividad y
evitar falsos positivos.
Network IPS
 Network Behavior Analisis
IDS/IPS basados en anomalías
Ventajas:
• Examina Headers L3 y L5
• Observan el trafico todo el tiempo
• Construyen un perfil estadístico del trafico normal de la red, basado en:
• Rata de bits
• Mezcla de protocolos y aplicaciones
• Volumen de trafico
• Detectan y/o previenen actividades / trafico que viola el perfil normal de la red
• Pueden inspeccionar: inline, in tap y offline

Limitaciones
• Pueden generar Falsos positivos.
• Requieren un periodo de tunning.
• Requiere ser configurado y afinado por un experto para optimizar su efectividad
Network Behavior Analisis
 Application Layer Gateways (Proxies)
Intermediarios/relay entre clientes y servidores
Ventajas:
• Examina Headers y contenido de L5
• Anonimiza el direccionamiento LAN
• Anonimiza los componentes de software del cliente
• Optimiza el consumo de recursos de red.
• Puede filtrar por contenido:
• URLs
• Tipos de archivo
• Filtros por extensión

Limitaciones
• Son construidos para protocolos específicos
• Puede generar cuellos de botella
• Tienen problemas con algunas aplicaciones de tiempo real
¿Preguntas?