Seguridad Informática

Presentación del Curso

Doc. Fidel Garcia
Seguridad en las redes con
Firewalls
Semana 12 – Sesión 2
Logro de la Sesión:

Al culminar la sesión el alumno identifica la

seguridad en la redes mediante el entendimiento de
los firewalls

Datos/Observaciones
Agenda de Sesión 2:

• Mecanismos de seguridad
• Concepto de Firewall
• Arquitectura de Firewall
• Filtrado de Paquetes
• Proxy de aplicación
• Monitorización

Datos/Observaciones
Visión Global de la Seguridad
Informática

Datos/Observaciones
 Mecanismos de Seguridad

•Mecanismos de Prevención: Aumentan la seguridad de un sistema durante su

funcionamiento normal, previniendo la ocurrencia de violaciones a la seguridad.(Ej:
Firewall)
•Mecanismos de Detección: Se utilizan para detectar violaciones a la seguridad o
intentos. (Detección de intrusos)
•Mecanismos de Recuperación: Se aplican cuando una violación del sistema se
ha detectado, para retornar a éste a su funcionamiento correcto. (Ej: Copias de
seguridad)

Datos/Observaciones
 Mecanismos de Seguridad
•La forma de aislamiento más efectiva para
cualquier política de seguridad consiste en el
aislamiento físico, es decir, no tener conectada la
máquina o la subred a otros equipos o a Internet.
Sin embargo, en la mayoría de los casos no es
posible un aislamiento total. (Figura A)
•El punto opuesto consistiría en una conectividad
completa con la red, lo que desde el punto de vista
de la seguridad es muy problemático, ya que
cualquiera, desde cualquier parte del mundo,
puede potencialmente tener acceso a nuestros
recursos. (Figura B)
•Un término medio entre ambas aproximaciones
consiste en implementar cierta separación lógica
mediante un Firewall. (Figura C)
Datos/Observaciones
FIREWALL
•Un firewall es un sistema o grupo de sistemas que hace cumplir una política de control de acceso
entre dos redes.
•Se lo puede definir como cualquier sistema (desde un simple routerhasta varias redes en serie)
utilizado para separar -en cuanto a seguridad se refiere-una máquina o subred del resto,
protegiéndola así de servicios y protocolos que desde el exterior puedan suponer una amenaza a la
seguridad.
•El espacio protegido se denomina perímetro de seguridad.
•La protección se realiza contra una red externa, no confiable, llamada zona de riesgo.

Datos/Observaciones
¿Por qué utilizar un Firewall?

•Confidencialidad de datos:
–El sistema sólo debe ser accedido por elementos autorizados.
–Los elementos autorizados no deben revelar información a otras entidades.
•Integridad de datos:
–Los objetos sólo deben ser modificados (escribir, borrar, crear, etc.) por elementos
autorizados, y de una manera controlada.
•Disponibilidad de datos:
–Los objetos del sistema deben permanecer accesibles para los elementos
autorizados (es el caso contrario a la negación del servicio).

Datos/Observaciones
FIREWALL
•Decisiones Políticas
Características de Diseño
•Política de Seguridad
–Firewall para bloquear todo el tráfico externo hacia el dominio de su propiedad (excepto, quizás, las consultas a
su página web).
–Firewall para evitar que los usuarios pierdan su tiempo en la red (bloqueando, por ejemplo, todos los servicios
de salida al exterior, excepto el correo electrónico).

•Nivel de monitorización, redundancia y control deseado

–Postura restrictiva:
•Se deniega todo, excepto lo que explícitamente se permita.
–Postura Permisiva:
•Se permite todo, excepto lo que explícitamente se deniegue.

•Decisión económica
–En función del valor estimado de lo que se desee proteger, se puede gastar más o menos dinero, o no gastar
nada.
–Se puede utilizar un Pc con Linux a modo de Firewall sin gastarse dinero, se pueden utilizar sistemas
propietarios que suelen ser caros, o aprovechar los routersde salida de la red que son más baratos pero
requieren más tiempo de configuración.
Datos/Observaciones
FIREWALL Características de Diseño

•Decisiones Tácticas

•¿Dónde situar el Firewall?

–Se puede utilizar como Firewall un router.
–Se puede utilizar una máquina con un Firewall implementado en ella.
Los equipos que queden fueran del perímetro de seguridad serán igual de vulnerables que antes de instalar el
Firewall. Por lo cual, si se instala el Firewall en un punto que no protege completamente nuestra red, se deberá
pensar en añadir Firewalls internos dentro de la misma, aumentado de esta forma la seguridad de las partes más
importantes

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes

•Se permite o deniega el flujo de tramas entre dos redes (la interna, protegida por el
Firewall, y la externa) de acuerdo a normas preestablecidas.
•El filtro más elemental puede ser un simple router, trabajando en el nivel de red del
modelo OSI. También puede implementarse en un puente, o en una máquina
individual.
•El filtrado se conoce como screening.

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes
–El Firewall de filtrado de paquetes es capaz de trabajar tanto a nivel de red (para discriminar en
función de las direcciones origen y destino) como de transporte (para discriminar en función de
los puertos usados).

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes
•Reglas de filtrado:
–Se expresan como una simple tabla de condiciones y acciones que se consulta en
orden hasta encontrar una regla que permita tomar una decisión sobre el bloqueo o
reenvío de la trama.
–Se debe tener presente el orden de análisis de las tablas para poder implementar la
política de seguridad de una forma correcta.

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes

•Reglas de filtrado:
–Como se puede observar de la tabla anterior, las cosas no son muy obvias ni siquiera
en ese simple ejemplo, por lo que si se extiende la tabla a un Firewall real nos podemos
hacer una idea de hasta qué punto se debe ser cuidadoso con el orden de las entradas a
la tabla.

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes

Problemas:
La especificación incorrecta de las reglas de filtrado.
Es incapaz de analizar (y por tanto de verificar) datos situados por encima del nivel de
transporte.
En el caso de utilizar un simple routercomo filtro, las capacidades de registro de la
información del mismo suelen ser bastante limitadas, por lo que en ocasiones es difícil la
detección de un ataque.
Para intentar solucionar estas (y otras) vulnerabilidades es recomendable utilizar
aplicaciones software capaces de filtrar las conexiones a servicios. A dichas aplicaciones
se les denomina proxiesde aplicación.

Datos/Observaciones
Componentes de un Firewall
Filtrado de paquetes
•Además del filtrado de paquetes, es habitual que
los Firewall utilicen aplicaciones software para
reenviar o bloquear conexiones a servicios (Ej:
telnet, FTP). A tales aplicaciones se les denomina
servicios proxy.
Proxy:
–Es un programa (trabajando en el nivel de
aplicación del modelo OSI) que permite o niega el
acceso a una aplicación determinada entre dos
redes.
–Los clientes proxy se comunican sólo con los
servidores proxy, que autorizan las peticiones y las
envían a los servidores reales, o las deniegan y las
devuelven a quién las solicitó.
Datos/Observaciones
Componentes de un Firewall
Proxy de aplicación
•Ventajas:
–Permiten únicamente la utilización de servicios para los que existe un proxy, por lo que si la
pasarela de aplicación (máquina donde se ejecutan los servicios proxy) contiene únicamente
proxiespara telnet, HTTP y FTP, el resto de los servicios no estarán disponibles.
–Es posible filtrar tramas basándose en algo más que la cabecera, lo que hace posible por ejemplo
tener habilitado un servicio como FTP pero con órdenes restringidas (se podrían bloquear todos los
comandos putpara que nadie pueda subir ficheros a un servidor).
–La pasarela de aplicación permite un alto grado de ocultamiento de la estructura de la red protegida
(la pasarela es el único sistema que está disponible hacia el exterior).
–La pasarela facilita la autenticación y la auditoría del tráfico sospechoso antes de que alcance el
host destino.
–La pasarela simplifica enormemente las reglas de filtrado implementadas en el router, sólo se debe
permitir el tráfico hacia la pasarela, bloqueando el resto.

Datos/Observaciones
Componentes de un Firewall
Proxy de aplicación

•Desventajas:
–Cada servicio que se desee ofrecer necesita tener su propio proxy.
–Generalmente es más caro que un simple filtro de paquetes y su rendimiento es menor (por
ejemplo, puede llegar a limitar el ancho de banda efectivo de la red, si el análisis de cada trama es
costoso).

Datos/Observaciones
Componentes de un Firewall
Monitorización

•Monitorizar la actividad del Firewall es indispensable para la seguridad del perímetro protegido.
•Facilita información sobre los intentos de ataque que se estén sufriendo (origen, franjas horarias,
tipos de acceso, etc).
•Permite detectar la existencia de tramas que aunque no supongan un ataque a priori, son al menos
sospechosas.

Datos/Observaciones
Componentes de un Firewall
Monitorización

•Información que se debe registrar:

–Tipos de paquetes recibidos
–Frecuencias
–Direcciones fuente y destino
–Nombre de usuario
–Hora
–Duración
–Intento de uso de protocolos denegados
–Paquetes que lleguen desde la red externa con la dirección de un equipo interno
–Tramas recibidas desde routersdesconocidos.
Estos registros deben ser leídos con frecuencia, y el administrador de la red debe tomar las medidas
necesarias si se detectan actividades sospechosas.

Datos/Observaciones
Arquitecturas de FirewallsFiltrado de
paquetes
•Es el más sencillo. Arquitectura más antigua.
•Consiste en un dispositivo capaz de filtrar paquetes utilizando las capacidades de algunos
routers(screeningrouters) para hacer un enrutamiento selectivo.
•Los accesos desde la red interna hacia el exterior son directos (no existen proxies).
•Arquitectura más utilizada en organizaciones que no precisan grandes niveles de seguridad.

Datos/Observaciones
Arquitecturas de
FirewallsSreenedSubnet(DMZ)
•Se utilizan dos routers, denominados exterior e interior, conectados a la red perimétrica.
•La red perimétrica constituye el Firewall.
•También se podrían incluir el la DMZ sistemas que requieran un acceso controlado, como servidores
Web, correo, etc.

Datos/Observaciones
Arquitecturas de FirewallsFiltrado de
paquetes
•Desventajas:
–No disponen de un sistema de monitorización sofisticado (muchas veces el administrador no puede
determinar si el routerestá siendo atacado o si su seguridad ha sido comprometida).
–Las reglas de filtrado pueden llegar a ser complejas de establecer, y por lo tanto difíciles de corregir.

Datos/Observaciones
Arquitecturas de FirewallsFiltrado de
paquetes

•Routerexterior: bloquea el tráfico no deseado en ambos sentidos entre la red perimétrica y la red
externa.
•Routerinterior: bloque el tráfico no deseado en ambos sentidos entre la red interna y la perimétrica.
•De esta forma, un atacante debe romper la seguridad de ambos routerspara acceder a la red
protegida.
•Si se desearan mayores niveles de seguridad, se pueden definir varias redes perimétricas en serie,
de forma que un atacante debe saltar por todas y cada una de ellas para acceder a la red protegida.

Datos/Observaciones
FIREWALL Puntos Fuertes

•Son excelentes para reforzar la seguridad de un sistema.

•Pueden controlar el tráfico según el tipo de protocolo, direcciones origen y/o destino, tipo de
servicio, usuario, aplicación, etc.
•Son buenos auditores del sistema.

Datos/Observaciones
FIREWALL Puntos Débiles

•No ofrece protección ante lo que está autorizado.

•No puede bloquear virus o códigos malisiososque pasen por canales autorizados.
•Es tan eficaz como las reglas que tiene que aplicar de acuerdo a su configuración.
•No puede proteger la red de un usuario autorizado que utilice su acceso con propósitos malisiosos.
•No puede prevenir ataques de usuarios que se encuentren dentro del perímetro de seguridad.
•No puede detener ataques si el tráfico no pasa a través de él.

Datos/Observaciones
Preguntas

•¿Qué es un Firewall?
•¿En qué se basa la arquitectura de Firewall ScreenedSubnet(DMZ)?
•¿Cuáles son los puntos débiles de un Firewall?

Datos/Observaciones
Datos/Observaciones
¿Qué aprendimos?

1. Lista de Control de accesos

2. Implementación de Firewall

Datos/Observaciones
Preguntas o Consultas??