Firewall

Prof. Sang Guun Yoo, Ph.D.

 Firewall
• Internet es un recurso esencial en las
organizaciones, pero trae muchas amenazas
• Firewall es una protección fundamental
– Ofrece una defensa perimetral
• Políticas de Acceso del Firewall
– Tipos de tráfico
• Rango de direcciones, protocolos, aplicaciones y tipo
de contenidos
– Las políticas deben estar de acuerdo con los
planes de seguridad de la empresa
– Basado en especificaciones concretas

2
 Firewall
• Beneficios del Firewall
– Punto singular de control
– Provee monitoreo de eventos de seguridad
centralizada
– Conveniente para combinar con funciones como
NAT y VPN
• Limitaciones
– No puede ver ataques que traspasan al
cortafuego
– No ofrece protección contra los ataques internos
– No es adecuado para proteger WLAN

3
 Firewall
• ¿Qué detecta un Firewall?

4
 Tipos de Firewall
• Packet filtering
(filtrado de
paquetes)
• Stateful
Inspección
(inspección de
estado)
• Aplicación
• Nivel de circuito

5
 Packet Filtering Firewall
• Forma más simple
• Utiliza información de la capa de transporte
– Dirección IP (fuente y destino)
– Cabecera de protocolo (TCP, UDP, ICMP, etc.)
– Puertos fuente y destino de TCP o UDP
– TCP Flags (SYN, ACK, FIN, RST, etc.)
• Típicamente se filtra en base a una lista de reglas
– Ejemplo: si la regla correcta, hacer forward/discard
• Dos políticas por defecto
– Discard (Descartar): prohibir
– Forward (Reenviar): permitir acceso

6
 Packet Filtering Firewall
• Debilidades
– No puede prevenir ataques de bugs de
aplicaciones
– Funcionalidad limitada de logging
– No permite autenticación avanzada de usuarios
– Vulnerable a ataques basado en bugs del TCP/IP
(p.ej.: spoofing de direcciones IP)
– Mala configuración puede causar problemas
graves
– Requiere conocimientos de que puertos TCP/UDP
están siendo utilizados en los sistemas

7
 Packet Filtering Firewall
• Cómo configurar un Packet Filtering
Firewall
– Comience con una política de seguridad
– Especifique los paquetes permitidos en
términos de expresiones lógicas basado en los
campos de los paquetes
– Reescriba las expresiones en sintaxis de los
dispositivos
– Regla general: least privilege
• Todo lo que no está permitido explícitamente está
prohibido
• Si no necesita, elimínalo

8
 Stateful Inspection Firewall
• Revisa las cabeceras de los paquetes, pero también
mantiene información de las conexiones TCP
– Típicamente se tiene puertos “conocidos” de números bajos en
servidores y puertos “efímeros” de números altos en clientes
– Se guardan info de los estados de las conexiones TCP en DB
– Solo permite tráfico a puertos altos que tengan un estado
relacionado en DB
– También sigue el estado de los números de secuencia de TCP

9
Stateful Inspection Firewall

10
Application-Level (Proxy) Gateway
• Punto control de tráfico de nivel de aplicación
– Usuarios contacta al Gateway con el nombre del
host remoto
– Realiza autenticación
– El Gateway realiza el contacto y re-direcciona los
segmentos TCP entre el servidor y usuario
• Se debe tener el código proxy para cada
aplicación (p.ej.: SMTP, DNS, HTTP)
– Algunos servicios puede que no esté disponible
• Más seguro que los packet filters
• Pero tiene más overhead (sobrecarga)

11
Application-Level (Proxy) Gateway

12
 Circuit-Level Gateway
• Crea dos conexiones TCP, uno para el usuario interno y
otro para el host externo
• Una vez establecida la conexión, reenvía los segmentos
TCP de una conexión a la otra sin revisar el contenido
• Usados típicamente cuando se confía de los usuarios
internos

13
 Ubicación de los Firewalls
Esto puede ser
un solo firewall en
forma de T con 3
interfaces

14