FIREWAL

LS
EXPOSITORES :

Fernando A. Checa
Menacho

Alcides Vargas Sota

Carlos Apasa Quispe

FIREWALLS
Es un sistema o grupo de sistemas que refuerza la poltica de control de acceso entre dos
redes.
En principio provee dos servicios bsicos:
Bloquea trfico indeseado
Permite trfico deseable
Los Sistemas de Informacin tuvieron una sostenida evolucin de pequeas LANs a la
conectividad de Internet, pero no se establecieron medidas acordes de seguridad para
todas la WS y servidores. Presiones operativas:1Conectividad y 2 Seguridad.
Dentro de las Estrategias de Seguridad de una organizacin, un Firewall pertenece al
grupo de Proactivas, para minimizar vulnerabilidades

DISEO DE FIREWALLS
Los Firewalls estn insertados entre la red local y la Internet (red no confiable) Objetivos:
Establecer un enlace controlado
Proteger la red local de ataques basados en la Internet
Proveer un nico punto de choque.

DNDE OPERA UN FIREWALL?

Punto de conexin de la red interna con la red exterior

Zona Desmilitarizada (DMZ)

QU PUEDE HACER UN FIREWALLS

Los Firewalls pueden hacer mucho para tu seguridad.
Estas son algunas de las ventajas:

LOCALIZAR LAS DECISIONES

Todo el trfico de entrada y salida tiene q pasar a travs de
este sitio. Un firewall concentra las medidas de seguridad en
este lugar de chequeo: all donde tu red se conecta a
Internet.

REFUERZA POLTICAS
Muchos de los servicios que la gente quiere de Internet son inherentemente
inseguros. Un firewall es el polica del trfico para estos servicios. Permite solo
servicios aprobados para pasar a travs de l y solo aquellos que se hayan
configurado.
Un firewall puede reforzar las polticas de seguridad aadiendo polticas ms
complejas. Por ejemplo bloqueando una transferencia de ficheros desde una
parte de nuestra red; controlando qu usuarios tienen acceso a que sistemas. Y
dependiendo de la tecnologa del firewall, este puede ser mas o menos complejo
para aadir estas polticas.

REGISTRAR LA ACTIVIDAD
Como todo el trfico pasa a travs del firewall, el firewall provee un buen lugar para
recoger una coleccin de informacin sobre los usos de los sistemas y redes.
Puede recopilar qu ocurre entre la zona protegida y la red externa.

LIMITA LA EXPOSICIN
Este es uno de los usos ms relevantes de los firewalls. A veces un firewall se
usa para mantener una seccin de tu red separada de otra seccin. Haciendo
esto, se mantienen los problemas que puedan impactar en una seccin
separada del resto.
En estos casos, una parte de la red puede ser ms segura que otra, en otros
casos una seccin puede ser ms sensible que otra. Cualquiera que sea la
razn de la existencia de un firewall este limita el dao que puede hacer una
red a otra.

QU NO PUEDE HACER UN FIREWALLS

Los
firewalls
ofrecen
una
excelente
proteccin,
pero
no son la solucin
nica y completa
para
nuestra
seguridad.

DENTRO DE LA RED
Un firewall puede prohibir a un
usuario
de
enviar
informacin
confidencial fuera de la red a travs
de la conexin a Internet. Pero el
mismo usuario puede copiar los datos
en un disco, imprimirlos y llevrselos
fuera del edificio en un maletn.
Si el atacante esta dentro de la red el
firewall no puede hacer nada por ti.
Dentro los usuarios pueden robar
datos, daar hardware y software,
modificar programas sin siquiera
pasar a travs del firewall. Es
necesario protegerse con medidas
internas de seguridad.

CONEXIONES QUE NO VAN A TRAVS DE L

Un firewall puede controlar el trfico
que pasa a travs de l pero no puede
hacer nada con el trfico que no pasa
a travs de l. Por ejemplo, si hay otra
conexin dial-in para conectarse a los
sistemas detrs del firewall, este no
tiene ninguna forma de proteger a los
intrusos que usen ese modem.

VIRUS
Los firewalls no pueden mantener a los virus alejados de la red
interna. Muchos firewalls escanean todo el trfico entrante para
determinar si este esta permitido, pero el escaneo de los datos
son la mayora de veces de solo las direcciones y puertos origen y
destino, no para los detalles de los datos.

CARACTERSTICAS DE FIREWALLS
Objetivos de Diseo:
Todo el trfico interno hacia el exterior debe pasar a travs del FW.
Slo el trfico autorizado (definido por poltica de seguridad local) ser permitido pasar, a travs
de filtros y Gateways.
El FW en s mismo es inmune a penetraciones (usando sistema confiable con sistema operativo
seguro).

4 Tcnicas generales para Control Accesos:

a)
b)
c)
d)

Control de Servicios: determina tipo servicios de Internet que pueden ser accedidos.
Control de Direccin: determina la direccin en que se permiten fluir requerimientos de
servicios particulares.
Control de Usuarios: controla acceso a servicio acorde a permisos de usuarios
Control de Comportamiento: controla cmo se usan servicios particulares (Ejemplo: filtros de
e-mail).

HARDWARE
Este tipo de sistema es colocado sobre los dispositivos
usados para ingresar a Internet, los llamados
routers. Frecuentemente la instalacin ya se
encuentra realizada cuando compramos el router.

SOFTWARE

Pueden ser distinguidos dos tipos de estos firewalls:

El primero es elgratuito:tambin conocido bajo el
nombre de software firewall, que puede ser usado
con total libertad y de manera totalmente
gratuita.
Por otro lado se encuentran loscomerciales.Estos
sistemas de software poseen el mismo
funcionamiento que el anterior. Adems se les
suma mayores niveles de control y proteccin.
Muchas veces son vendidos con otros sistemas de
seguridad como antivirus.

ARQUITECTURAS FIREWALL
Esta seccin describe una variedad de maneras de las que
podemos disponerlos firewalls, las redes de ordenadores o
servidores y los routers.

DUAL-HOMED HOST
La arquitectura para un firewall Dual-Homed Host es muy simple: el ordenador
Dual -Homed Host se sita antes de la red a proteger, conectado directamente,
entre la red interna e Internet.
Esta arquitectura se construye alrededor del ordenador dual-homed host, es un
ordenador que tiene al menos dos interfaces de red.

SCREENED HOST
En esta arquitectura se usa un router para conectar las redes internas y
externas (Internet), pero se configura el router con filtrado de paquetes para
que no se puedan conectar directamente las redes internas y externas.

SCREENED SUBNET
La arquitectura Screened Subnet aade una capa de seguridad extra a la
anterior arquitectura, aadiendo una red de permetro o tambin perimeter
network en ingls, que aisla la red interna de Internet. La topologia es situar un
router conectado a Internet, tras el router una red con un host bastion
haciendo las funciones proxy y conectado a la perimeter network, y en esa
misma red se conecta otro router que da acceso a la red interna.

VENTAJAS
PROTEGER TODA LA RED
Como he comentado una de las claves dentro de las ventajas de un router con
filtrado de paquetes es que un router nico y estratgicamente situado puede
ayudar a proteger toda un red. Si slo hay un router que conecta tu red con
Internet.

VENTAJAS
Transparencia
Como diferencia al proxy, los sistemas con filtrado de paquetes no requieren ningn
tipo de software ni configuracin en las mquinas de los clientes, no requiere
ningn tipo de enseanza ni explicacin a los usuarios.

VENTAJAS
Disponibilidad
El filtrado de paquetes est disponible en la mayora de hardware y software
de los productos que hacen routing, ambos tanto comerciales como los
distribuidos gratuitamente.

DESVENTAJAS
Protocolos difciles
Aunque la implementacin de las polticas de seguridad sean perfectas,
encontramos que hay ciertos protocolos que simplemente no se pueden tratar
fcilmente usando este tipo de sistemas, las razones pueden ser varias, como
por ejemplo la forma de establecer las sesiones FTP .

DESVENTAJAS
Polticas que no pueden aplicarse
La informacin que un paquete da al router que filtra los paquetes no es
suficiente para segn que poltica de seguridad. Por ejemplo, los paquetes
indican de que ordenador provienen pero no de que usuario.

DESVENTAJAS
Configuracin
Para configurar un router con filtrado de paquetes, lo primero es decidir qu
servicios se va a permitir y qu servicios se van a prohibir, entonces se traduce
las decisiones en reglas para los paquetes.

LIMITACIONES DE UN FIREWALL
Los Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos
por su diseador, por ende si un paquete de informacin no se encuentra dentro de estos
parmetros como una amenaza de peligro simplemente lo deja pasar.
Ms peligroso an es que ese intruso deje Back Doors, abriendo un hueco diferente y borre
las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un intruso logra
entrar a la organizacin y descubrir passwords o los huecos del Firewall y difunde esta
informacin, el Firewall no se dar cuenta.
El Firewall tampoco provee de herramientas contra la filtracin de software o archivos
infectados con virus, aunque es posible dotar a la mquina, donde se aloja el Firewall, de
antivirus apropiados.
Finalmente, un Firewall es vulnerable, NO protege de la gente que est dentro de la red
interna. El Firewall trabaja mejor si se complementa con una defensa interna.

GRACIAS