Cortafuegos Firewall

Seguridad de la Informacin

ndice
1. 2. 3. 4. 5. 6. 7. 8.
Definicin Por qu utilizar un firewall? Tipos habituales de ataque Puntos fuertes y dbiles de un firewall Caractersticas de diseo Elementos de un cortafuegos Arquitecturas de cortafuegos Software cortafuegos

9.

Conclusin
Seguridad de la Informacin

Definicin de cortafuegos

Un

firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir

una poltica de control de acceso entre dos redes, es decir, cualquier sistema
utilizado para separar, en cuanto a seguridad se refiere, una mquina o subred del resto, protegindolos de servicios y protocolos que desde el exterior pueden suponer una amenaza de seguridad.

El espacio protegido

permetro de seguridad

Red externa no confiable

zona de riesgo

Seguridad de la Informacin

 Por qu utilizar un firewall?

Riesgo de confidencialidad

Riesgo de integridad de datos

Riesgo de disponibilidad

Seguridad de la Informacin

Tipos habituales de ataque

Lista abreviada:

Ingeniera social
Un atacante engaa al administrador o a otro usuario autorizado de un sistema para que comparta sus credenciales de conexiones o detalles de la operacin del sistema.

Errores de software
Un atacante explota un defecto de programacin y obliga a una aplicacin o servicio a ejecutar comandos no autorizados o no esperados, peligrosos especialmente cuando el programa se ejecuta con privilegios adicionales o administrativos

Seguridad de la Informacin

Tipos habituales de ataque

Virus y cdigo troyano
Un atacante engaa a un usuario legtimo al ejecutar un programa, siendo la forma ms comn de ataque el disfrazar el programa con el aspecto de un inocente correo electrnico o dentro de un virus.

Configuracin pobre del sistema

Un atacante es capaz de explotar los errores de configuracin de un sistema en los servicios y cuentas que estn disponibles

No cambiar contraseas No restringir accesos a

aplicaciones No deshabilitar servicios innecesarios que no se utilizan

los programas de administracin de

Seguridad de la Informacin

Puntos fuertes

Los firewalls son excelentes para reforzar la poltica de una empresa.

Los firewalls se utilizan para restringir el acceso a servicios especficos Los firewalls solo tienen un propsito Los firewalls son excelentes auditores Los firewalls son excelentes para alertar a las personas apropiadas acerca de los sucesos que se producen

Seguridad de la Informacin

Puntos dbiles

Los firewalls no ofrecen proteccin ante lo que est autorizado. Los firewalls son tan eficaces como las reglas que tienen que aplicar de acuerdo con su configuracin. El firewall no puede detener la ingeniera social o a un usuario autorizado que utilice su acceso con propsitos maliciosos. Los firewalls no pueden solucionar las prcticas administrativas dbiles o un diseo inadecuado de una directiva de seguridad. Los firewalls de ellos.

no pueden detener ataques si el trfico no pasa a travs

Seguridad de la Informacin

Caractersticas de diseo

Existen tres decisiones bsicas en el diseo o la configuracin de un firewall:

Primera: la poltica de seguridad de la organizacin Segunda: decisin de diseo es el nivel de monitorizacin, redundancia y
control deseado en la organizacin

Tercera: econmica

Seguridad de la Informacin

Las decisiones anteriores aunque concernientes al diseo, eran bsicamente polticas; la primera decisin elemental a la que nos vamos a enfrentar a la que nos vamos a enfrentar a la hora de instalar un cortafuegos es:

DNDE LO COLOCAMOS PARA QUE CUMPLA EFICIENTEMENTE SU CONTENIDO?

Seguridad de la Informacin

Elementos de un cortafuegos

Filtrado de paquetes:

accin de denegar o permitir el flujo de paquetes entre dos redes de acuerdo con unas normas predefinidas. * puerta de enlace

Proxy de aplicacin: programa que realiza una accin en representacin de

otro.

Monitorizacin: nos facilitar informacin sobre los intentos de ataque

Seguridad de la Informacin

Filtrado de paquetes

Modelo OSI

Seguridad de la Informacin

Filtrado de paquetes

Correspondencia entre OSI y TCP/IP

Seguridad de la Informacin

Filtrado de paquetes

Se analiza la cabecera de cada paquete

Seguridad de la Informacin

Filtrado de paquetes

En funcin de una serie de reglas preestablecidas la trama es bloqueada o se le permite seguir su camino. Las reglas normalmente se expresan con una simple tabla de condiciones:

Origen
165.56.0.0/16 124.12.12.0/24

Destino
* * 195.5.5.1

Tipo
* * TCP

Puerto
* * 80

Accin
Denegar Aceptar Aceptar

Seguridad de la Informacin

Filtrado de paquetes

Si llegara un paquete que no encajara dentro de ninguna de las reglas lo mejor que podemos hacer es aadir siempre al final de la tabla una ltima regla donde se exprese la accin que deseamos realizar por defecto.

Origen
*

Destino
*

Tipo
*

Puerto
*

Accin
Denegar

Seguridad de la Informacin

Proxy de aplicacin

Servidor Proxy: aplicacin software para reenviar o bloquear conexiones o servicios.

Pasarela de aplicacin: mquina donde se ejecutan

Pasarelas a nivel circuito: son capaces de redirigir conexiones, pero se limitan

simplemente a autenticar al usuario antes de establecer el circuito virtual entre sistemas.

Seguridad de la Informacin

Proxy de aplicacin

Ejemplo: Proxy cache de HTTP

Seguridad de la Informacin

Monitorizacin

Monitorizar: nos facilitar informacin sobre los intentos de ataque que estemos sufriendo (origen, franjas horarias, etc.) as como la existencia de tramas sospechosas

Seguridad de la Informacin

Otras definiciones

IP Forwarding:

se encarga de la retransmisin de los paquetes que se reciben por una interfaz fsica y de retransmitirlos por otra interfaz hacia otro nodo

Host Bastin:

Sistema especialmente asegurado que acta como puerta de unin entre el mundo hostil (Internet) y la confiable red interna.

Seguridad de la Informacin

IP Forwarding

IP Forwarding:
mecanismo encargado de la retransmisin de los paquetes que se reciben por una interfaz fsica y de retransmitirlos por otra interfaz hacia otro lado.

Si la direccin IP destino del paquete corresponde con la del dispositivo se procesa el paquete y se pasa al mdulo TCP input

Si la direccin IP destino no se corresponde con la del dispositivo y el mdulo IP forwarding est desactivado, el paquete se descarta.
Si la direccin IP destino no corresponde con la del dispositivo y el mdulo IP forwarding est activado, se pasa el paquete al mdulo IP de salida, se consulta la tabla de encaminamiento y el paquete se retransmite por la interfaz correspondiente.

Seguridad de la Informacin

Host bastin

Sistema especialmente asegurado que acta como puerta de unin entre el mundo hostil (Internet) y la confiable red interna.

Es en el host bastin donde se suele instalar el firewall que permitir controlar las comunicaciones, es decir, va a estar expuesto a cualquier tipo de ataque.

Instalar

un sistema bastante probado, con las necesidades que EXCLUSIVAMENTE necesitemos.

Parchear todas nuestras aplicaciones vulnerables

Hacer una lista de comprobaciones:

http://www.auscert.org.au/render.html?cid=1937

Seguridad de la Informacin

Arquitecturas de cortafuegos
Cortafuegos de filtrado de paquetes

Dual-Homed Host

Screened Host

Screened Subnet (DMZ)

Seguridad de la Informacin

Cortafuegos de filtrado de paquetes

Arquitectura sencilla Consta de un

enrutador (screening routers) Contacto directo con las mquinas externas (No existen proxies)
Para organizaciones que no precisan de grandes medidas de seguridad

Seguridad de la Informacin

Dual-Homed Host
Mquina Unix
equipadas con dos o ms tarjetas de red:

Una tarjeta se conecta a la

red interna para protegerla. Otra tarjeta a la red externa de la organizacin.

Un servidor proxy para cada uno de los servicios.

Deshabilitado el IP
Fordwarding

Seguridad de la Informacin

Screened Host

Combina un router con un host bastin

Router: lnea de defensa ms Host bastin: nico sistema

importante gracias al filtrado de paquetes.

accesible desde el exterior, donde se ejecutan los proxies de las aplicaciones

Seguridad de la Informacin

Screened Subnet (DMZ)

Subred
externa. entre la red interna y la

Aislamiento del Host bastin

en la subred.

Asla otros servidores

potencialmente peligrosos (servidores Web, correo, etc.)

Seguridad de la Informacin

Zone Alarm
Caractersticas bsicas:

ZoneAlarm es una utilidad gratuita. ZoneAlarm controla los datos que fluyen de nuestro PC hacia la red y permite a los usuarios decidir qu aplicaciones pueden acceder el Internet. ZA nos avisa que aplicacin intenta conectarse a Internet, y pone en nuestras manos el permitrselo o no Es fcil de usar, y no necesita conocimientos tcnicos

ZoneAlarm tal vez no sea la panacea para quienes sientan temor del ataque de un cracker, pero har ms segura su conexin. Y sin dudas, es una herramienta imprescindible, junto a un buen antivirus.

Seguridad de la Informacin

Zone Alarm
Importante: una vez descargado el programa (www.zonealarm.com), a la hora de instalarlo, debemos marcar la opcin SelectZoneAlarm porque la versin PRO no es gratuita.

Seguridad de la Informacin

Zone Alarm: configuracin bsica

Botn rojo STOP

Candado

Seguridad de la Informacin

Zone Alarm: configuracin bsica

Overview Firewall Program Control Alerts and Logs E-mail protection

Seguridad de la Informacin

Zone Alarm: configuracin bsica

Overview
Status: es tan solo una pantalla informativa Product
info: solo nos muestra informacin de la versin del
producto y otros datos relacionados. informacin bsica durante la instalacin no es necesario cambiarla

Preferences:

Seguridad de la Informacin

Seguridad de la Informacin

Zone Alarm: configuracin

Firewall

Main Zones

Seguridad de la Informacin

Zone Alarm: configuracin

Program Control

Main Programs

Seguridad de la Informacin

Zone Alarm: configuracin

Alerts and logs

Main Long Viewer

Seguridad de la Informacin

Zone Alarm: configuracin

E-mail protection

Seguridad de la Informacin

Puntos fuertes y dbiles de un firewall

Un firewall slo es una parte de una arquitectura de seguridad general. Sin embargo, como pieza individual de la arquitectura, est diseado para cumplir un requisito muy importante dentro del diseo general.

Seguridad de la Informacin