Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FIREWALL
Profesor(a): Integrantes:
Ing. Ewlin Chirinos
Introducción ......................................................................................................................... 1
Firewall (Cortafuegos) ......................................................................................................... 2
Principios ......................................................................................................................... 2
Características ................................................................................................................ 3
Ventajas .......................................................................................................................... 4
Políticas del Cortafuegos .................................................................................................... 5
Política restrictiva: ................................................................................................... 5
Política permisiva: ................................................................................................... 5
Clasificación y tipos de Cortafuegos ................................................................................... 5
Filtrado de paquetes en el nivel de red (nivel 3): ............................................................ 6
Sistema intermediario (pasarelas o gateways) en el nivel de aplicación (nivel 7): ......... 8
Gateways o Pasarelas a nivel de circuitería: .................................................................. 9
Otros casos: .................................................................................................................. 10
Configuraciones de Firewalls ............................................................................................ 11
Firewall con un Bastion Host (single-homed bastion host): .................................. 11
Firewall con screened host (dual-homed bastion host): ....................................... 12
Firewall con screened-subnet (DMZ o zona desmilitarizada): .............................. 12
Sistemas Confiables ......................................................................................................... 13
Control de Acceso a Datos ........................................................................................... 13
Modelos Generales de Control de Acceso ....................................................................... 14
Matriz de Accesos ......................................................................................................... 14
Lista de Control de Acceso ........................................................................................... 15
Lista de Capacidades .................................................................................................... 15
Sistemas Confiables (Trusted) .......................................................................................... 16
Seguridad contra Troyanos ............................................................................................... 18
Seguridad de Información ................................................................................................. 19
Aspectos Principales: .................................................................................................... 19
Tipos de Contramedidas ............................................................................................... 20
Mecanismos de Seguridad................................................................................................ 21
Mecanismos Preventivos: ..................................................................................... 21
Mecanismos Detectores: ....................................................................................... 21
Mecanismos Correctivos: ...................................................................................... 21
Mecanismos Disuasivos: ....................................................................................... 22
Simulación: Escenario Firewall de Filtrado de Paquetes Capa (3)................................... 22
Conclusión......................................................................................................................... 32
Referencias ....................................................................................................................... 33
Introducción
1
Firewall (Cortafuegos)
Principios
Un Firewall es ubicado entre una red local o privada y una red
pública como el Internet.
Establece un control de tráfico entre el punto interior y el punto
exterior.
Proteger las redes privadas de ataques provenientes del Internet.
2
Características
Los cortafuegos también suelen ser utilizados para evitar que
usuarios de redes públicas no autorizados puedan tener acceso a redes
privadas, o bien, intranets.
3
Control de Comportamiento: controlando como son utilizados cada
uno de los servicios particularmente (como servicios web, filtrado
de correo electrónico, entre otros).
Ventajas
Los cortafuegos proveen de un solo punto de protección frente
ataques a la red y tiene muchas ventajas que permiten asegurar la
integridad y la seguridad en las organizaciones:
4
Políticas del Cortafuegos
Existen dos políticas básicas en la configuración de un cortafuego.
El objetivo es mejorar radicalmente la filosofía fundamental de la
seguridad en las organizaciones.
5
Filtros “con estado” o utilizando pasarelas o gateways o a nivel de
circuitería: llevando un registro de las conexiones que pasan a
través del cortafuego.
6
El filtrado de paquetes se configura como una lista de reglas
estáticas cuyas acciones se basan en: descartar, rechazar, retransmitir…
Reglas que deben ser comprobadas secuencialmente una a una.
Ventajas:
Desventajas:
7
Sistema intermediario (pasarelas o gateways) en el nivel de
aplicación (nivel 7):
Esta modalidad de cortafuegos también conocidos como servidores
Proxy actúa en el nivel de aplicación, generalmente intermediando la
comunicación entre un proceso cliente y un proceso servidor, uno de los
cuales pertenece a la red que se desea proteger y el otro a una red
externa.
8
Un cortafuegos a nivel de aplicación de trafico HTTP suele
denominarse proxy y permite que los ordenadores de una organización
entren a Internet o redes públicas de una forma controlada. Un proxy
puede ocultar las verdaderas direcciones de red eficazmente.
Limitaciones:
9
Se trata de un mecanismo de seguridad hibrido entre filtros de
paquetes y proxies de aplicación. Este cortafuegos puede tratarse de un
sistema autónomo o bien una función complementaria realizada por un
proxy para ciertas aplicaciones.
Otros casos:
Existen otro tipo de cortafuegos como el Firewall Personal que se
instala como software en computadores personales filtrando las
comunicaciones entre dichos computadores y otras redes, especialmente
Internet.
10
Configuraciones de Firewalls
Existen varias configuraciones o bien, topologías más complejas de
cortafuegos además de una configuración simple utilizando un solo
sistema (un solo filtrador de paquetes o un solo Gateway):
11
Firewall con screened host (dual-homed bastion host):
12
hacia la red interna la existencia de la subred protegida, por lo que
la misma no puede construir rutas directas hacia Internet.
Sistemas Confiables
13
- Lista de Capacidades.
Matriz de Accesos
El otro eje (X) lista los objetos que pueden ser accedidos.
14
Lista de Control de Acceso
Descomposición de la matriz por columnas. Lista los sujetos
(usuarios) y sus derechos (permisos) de accesos permitidos. La lista
puede contener una entrada pública o por default.
Lista de Capacidades
Descomposición de la matriz por filas (ticket de capacidad). Los
tickets de capacidad especifican objetos autorizados y las operaciones
para cada sujeto (usuario). Cada sujeto tiene un número de ticket.
15
Sistemas Confiables (Trusted)
16
Concepto de Monitor de Referencia: aproximación de seguridad
multinivel para un sistema de procesamiento de datos.
17
Aislación: el monitor de referencia y la DB están protegidos de
medicaciones no autorizadas.
18
software anti-troyano, una manera de detectarlos es inspeccionando
frecuentemente la lista de procesos activos en memoria en busca de
elementos extraños, vigilar accesos a discos innecesarios, etc.
Seguridad de Información
Aspectos Principales:
Confidencialidad
Autenticidad
Integridad
Disponibilidad
19
La política de seguridad es un documento donde se analizan las
debilidades del sistema informático, así como los mecanismos que se van
a seguir para conseguir un máximo alcance de cada uno de los aspectos
anteriores. No siempre es posible llegar a alcanzar un alto grado de
consecución en todos los aspectos puesto que algunos son excluyentes
entre sí (por ejemplo: Disponibilidad – Autenticidad), por lo que hay que
conseguir un equilibrio ideal.
Tipos de Contramedidas
20
Mecanismos de Seguridad
Mecanismos Preventivos:
Son aquellos cuya finalidad consiste en prevenir la ocurrencia de
un ataque informático. Básicamente se concentran en el monitoreo
de la información y de los bienes, registro de las actividades que se
realizan en la organización y control de todos los activos y de
quienes acceden a ellos.
Mecanismos Detectores:
Son aquellos que tienen como objetivo detectar todo aquello que
pueda ser una amenaza para los bienes. Ejemplos de estos son las
personas y equipos de monitoreo, quienes pueden detectar
cualquier intruso o anomalía en la organización.
Mecanismos Correctivos:
Se encargan de reparar los errores cometidos o daños causados
una vez que se ha cometido un ataque, o en otras palabras,
modifican el estado del sistema de modo que vuelva a su estado
original y adecuado.
21
Mecanismos Disuasivos:
Se encargan de desalentar a los perpetradores de que cometan su
ataque para minimizar los daños que puedan tener los bienes.
22
Router>en
Router#conf t
23
Su ip debe ser la siguiente dirección dentro de la red 10.10.10.0 /30
es decir la 10.10.10.2 ya que la .1 la ocupamos para asignársela al puerto
del router que está conectado al servidor, su default gateway será la ip de
la interfaz del router y el DNS es el servidor mismo. Ahora procedemos a
configurar el servidor DNS ingresando en la pestaña de servicios y luego
DNS, dentro del servidor como se muestra a continuación:
24
Acá eliminamos todos los archivos que se encuentran marcados y
nos quedamos solo con el index.html, luego lo que se hizo es buscar en
google una imagen de firewall la que escogimos para esta simulación es
la siguiente:
25
Aquí deberá modificarse la página como se muestra en la imagen
anterior y luego debemos salvar de esta manera ya tendríamos listo el
DNS y la Pagina Web. Ahora pasaremos a configurar el Servicio DHCP en
el router retomando la linea de configuración en la que nos quedamos
anteriormente en el router.
26
En este punto nos queda configurar el switch (S0), los hosts y el
servicio de Firewall en el router (R0). Configuraremos ahora seguridad de
puertos en el switch (S0), para ello tendremos en cuenta que los puertos
fastethernet del switch que están conectados a los hosts son los
mostrados en la siguiente imagen:
27
host legitimo al puerto, sin embargo esta configuración provoca que cada
que se active la violación abra que entrar en la interfaz y hacer un
apagado y encendido nuevamente del puerto después de conectar
nuevamente el usuario legítimo.
28
De este modo impedimos que se pueda conectar cualquier intruso
al switch de manera no autorizada.
Ahora procedemos a configurar las ACL’s (Listas de Control de
Acceso), las listas de control de acceso permiten convertir nuestro router
(R0) en un Firewall, en este caso uno de filtrado de paquetes en capa 3,
para ello tendremos que tener muy en cuenta todos los protocolos que
están en este momento operando en la red, repasémosla los protocolos
hasta ahora involucrados en el tráfico de la red y que se tiene la intención
de mantener operativos son:
DNS TELNET
HTTP SSH
DHCP ICMP
Para PC-ADMIN
Para PC-USUARIO
No puede hacer ping al servidor.
No puede acceder a la pág. Web. www.firewall.com
No puede acceder a líneas vty ni por telnet, ni por ssh
Para PC-CEO
No puede hacer ping al servidor.
29
Puede acceder a la pág. Web. www.firewall.com
No puede acceder a líneas vty ni por telnet, ni por ssh
Ya explicado esto ahora procedemos a ir a (R0) y hacer lo siguiente:
FIREWALL>en
FIREWALL#conf t
FIREWALL(config)#access-list 101 deny icmp any host 10.10.10.2
//la sentencia anterior permite denegar cualquier ping producido por cualquier hosts, con destino a
la ip del servidor
//la primera de tres permite cualquier trafico ip producido por cualquier origen a cualquier destino
//la segunda permite solicitudes de cualquier origen a cualquier servidor en este caso haciendo
alusión al servidor dhcp en el router y al servidor dns que monta http-dns server
//la tercera permite responder a cualquier solicitud hecha por clientes a cualquier servidor en este
caso haciendo alusión a los 3 hosts
FIREWALL(config)#int fa0/0
FIREWALL(config-if)#ip access-group 101 in
//permite que la lista de control 101 se aplique a la int fa0/0, es decir las reglas en la lista 101 se
aplicaran para el tráfico entrante por dicho puerto
FIREWALL(config-if)#exit
FIREWALL(config)#access-list 1 permit host 192.168.1.2
//permite conexiones provenientes de la ip de pc-admin
FIREWALL(config)#line vty 0 4
FIREWALL(config-if)#access-class 1 in
//permite que la lista de control 1 se aplique a las líneas virtuales de la 0-4, es decir las reglas en la
lista 1 se aplicaran para el tráfico entrante por estas líneas virtuales
FIREWALL(config-if)#exit
FIREWALL(config)#line vty 5
FIREWALL(config-if)#access-class 2 in
//permite que la lista de control 2 se aplique a la línea virtual 5, es decir las reglas en la lista 2 se
aplicaran para el tráfico entrante por estas líneas virtuales
Se debe tener en cuenta 2 cosas, primero que por defecto hay una
denegación implícita en las listas de control de acceso, es decir que
después de leer todas las reglas el Firewall denegara el resto de aquello
que no fue permitido. Segundo que como existe un denegación implícita
30
no se puede crear una lista de control de acceso que contenga solo una
denegación de algún protocolo o trafico especifico ya que si solo se tiene
denegaciones al final la denegación explicita terminara por negar todo, es
por ello que se acostumbra siempre si se requiere negar algo colocarlo al
principio de la lista y luego se permita al menos alguna cosa.
31
Conclusión
32
Referencias
Referencias electrónicas
- Seguridad contra Troyanos:
http://www.segu-info.com.ar/malware/troyano.htm
- Seguridad Informática:
https://danielpecos.com/documents/seguridad-informatica/
- Mecanismos de Seguridad:
http://redyseguridad.fi-
p.unam.mx/proyectos/buenaspracticas/mecanismos%20de%20seg
uridad.html
33