Preparado por: Fernando Vsquez I.

MBA - MSc
 Contenido del Curso
Captulo 1.- Fundamentos Bsicos

Captulo 2.- Funciones del Firewall. El control del acceso

Captulo 3.- Funciones del Firewall.Traslacin de direcciones (NATs)

Captulo 4.- Funciones del Firewall. Autenticacin y Balanceo de carga

Captulo 5.- Funciones del Firewall. Seguridad de Contenido

Captulo 6.- Encriptacin y VPNs

 Arquitectura TCP-IP
OSI TCP/IP

Aplicacin Aplicacin HTTP Telnet FTP SMTP DNS SNMP

Presentacin

Sesin Transporte
Transmisin User Datagram
Transporte Control Protocol Protocol

ICMP
Red Internet
ARP Internet Protocol

Enlace Interface
Fsica Ethernet Token Ring FDDI WANs
 Protocolos TCP- IP
A continuacin se define brevemente algunos trminos relacionados a la Arquitectura TCP-
IP.

ARP Adresses Resolution Protocol. Este protocolo parte de conocer la direccin de red
IP y averigua la direccin MAC. Es importante para el ensamblado de los
paquetes en el router.

IP Internet Protocol. Es el protocolo responsable de transmisin de los datos en el

nivel de red. Es en este nivel que se enrutan los paquetes en funcin de las
direcciones.

ICMP Internet Control Message Protocol. La funcin bsica de este protocolo es proveer
un mecanismo a un router o host destino reportar un error en un paquete. El
objetivo es un monitoreo del IP. Ping es un ejemplo de ICMP.

UDP User Datagram Protocol. Es uno de los dos protocolos de transporte ms utilizado
sobre IP. No ejecuta control de flujo ni ACKs ni ordena paquetes. Sobre este
corre SNMP, DNS, NFS.

TCP Transmission Control Protocol. TCP es usada en aplicaciones de red que

requieren entrega de paquetes garantizadas. Corren sobre TCP los siguientes
protocolos FTP, Telnet, SMTP.
 Aplicaciones sobre TCP- IP
A continuacin se define brevemente algunas de las aplicaciones de la Arquitectura TCP-IP.

Telnet Telnet es un protocolo de acceso de terminal remoto. Que corre sobre TCP
Permite a un terminal atacharse a un servidor de terminales .

FTP File Transfer Protocol provee la habilidad de enviar archivos de un host a otro,
corre sobre TCP.

SMTP Simple Mail Transfer Protocol. contiene los mecanismos para el intercambio de
correo electrnico entre mquinas, corre sobre TCP.

DNS Domain Name System es un protocolo que provee un nombre a una direccin IP.
Corre sobre UDP.

SNMP Simple Network Managment Protocol. Una centralizada estacin de administracin

utiliza SNMP para obtener informacin de otros hosts y routers TCP/IP. SNMP
define el formato para la data de administracin y el tipo de intercambios que
puede tomar lugar entre la estacin de administracin y otros dispositivos de la
red.

HTTP Hiper Text Tranfer Protocol.-La famosa navegacin en hojas WEB utiliza este
protocolo, el cual permite hacer accesos dinmicos en la red, corre sobre TCP.
 TCP

El protocolo TCP es un protocolo orientado a conexin que

cumple las siguientes funciones:

Transferencia numerada de paquetes

Control de flujo de la informacin
Confiabilidad
Operacin Fullduplex
Multiplexacin de aplicaciones
Formato del Paquete TCP
 Proceso establecimiento
conexin TCP

Para dar un servicio confiable el TCP necesariamente deber

establecer un proceso de conexin de llamada, a este proceso
se le conoce como el proceso de los tres pasos:

1.- El Host Origen enva un paquete SYN con nmero de

secuencia x, solicitando conexin al Host Destino.
2.- El Host Destino le responde con un paquete SYN con
nmero de confirmacin x+1 y con un nmero de secuencia y.
3.- El Host Origen establece la conexin envandole un
paquete con nmero de secuencia x+1, ack y+1 y se procede
a la transferencia de datos
 Ventana

En el proceso de transferencia de informacin, se define un

concepto importante: la ventana de comunicacin.

Si se define por ejemplo una ventana de 5, significa, que cada

5 paquetes enviados por el transmisor, el receptor enviar un
paquete de confirmacin con secuencia 6.

Mientras menor es la ventana mayor la seguridad menor la

eficiencia, y viceversa
 UDP

UDP es un protocolo de transporte no orientado a conexin y por ende

no establece control de secuencia, control de flujo ni control de errores
solo realiza multiplexacin de aplicaciones.

Su formato es muy simple y se presenta a continuacin

 Puerto

As como la capa 2 en LAN se caracteriza por la MAC, la capa 3

por la direccin IP, la capa 4 asocia el concepto de puerto,
El puerto sirve para pasar informacin a las capas superiores, es a
travs de este elemento, que la capa TCP y UDP pueden hacer
multiplexacin de aplicaciones.
Los puertos estn definidos en el RFC 1700 y se dividen en tres
grupos.
Menor a 256 para aplicaciones pblicas.
Entre 256 y 1023 para companas desarolladoras de aplicaciones
comerciales.
Mayor 1023 dinmicamente asignadas por las aplicaciones de
host
 Nmero de Puertos

T
E S T S
F L M D F N
T N T N T M
P E P S P P
T

21 23 25 53 69 161

TCP UDP
Puerto Origen y Puerto Destino

Cliente Servidor

SP DP
1028 23
23

Define el tipo de servicio

que el cliente requiere
Hace la funcin del del servidor
identificador de la
conexin
 Paquetes y el Sistema OSI

Aplicacin

Presentacin

Sesin

Transporte

Red

Enlace

Fsica

Source Destination Source Destination Source Port Dest. Port Data CSUM CSUM CSUM
MAC Add. MAC Add. IP Add. IP Add. Number Number
 El Internet

El Internet es la red pblica de datos ms extendida del mundo,

basada sobre TCP-IP y que se ha difundido tanto en el mundo,
por lo que ha tomado tanto auge, que no existe sitio en el mundo
que no exista el Internet.
Desde el punto de vista de la comparticin de la informacin
existen tres conceptos importantes:
Intranet, la red corporativa de una organizacin que se halla tras
una cortina de proteccin, un firewall o un proxy.
Internet, la red pblica por excelencia.
Extranet, una red corporativa de una organizacin vista desde
otra red corporativa y que tiene algunos privilegios para acceder
a su intranet a travs del internet.
 El ISP

El proveedor de servicios de Internet y que forma parte de esta

red y permite tanto a clientes individuales como a clientes
corporativos acceder al Internet.
Un ISP, se constituye de tres elementos importantes:

1.- Su red, como una parte del internet

2.- Su conexin principal al resto del internet

3.- Su mecanismos de acceso a sus clientes.

 Algunos servicios de un ISP

Entre algunos servicios que ofrece un ISP estn:

Accesos Dedicados
Accesos ATM y Frame Relay
Accesos Dial Up
Accesos va DSL
Accesos con cable modems
Servicios de Hosting
 Conexiones de clientes

Enlace dedicado.- Canal TDM, que enlaza punto a punto va

canal de 64 kbps hasta 2.048 Mbps.

Enlace Frame Relay o ATM. Es un enlace entre un cliente y el

ISP, utilizando un PVC Frame Relay o ATM a trav{es de un
segundo carrier.

Enlace Dial-Up. El cliente corporativo o domiciliario utiliza un

canal telefnico para conectarse a Internet
 Conexiones de clientes (2)

DSL.- Provee servicios de alta velocidad y bajo costo. Para

referirse a estos servicios se utiliza xDSL

Tecnologa DSL Velocidad de bajada Velocidad de subida Simetra/Asimetra

ADSL 16 kbps a 640 kbps 1.5 a 8 Mbps Asim.
HDSL Fijo 1544 kbps a 2048 kbps Fijo 1544 a 048 kbps Sim
SDSL 1.5 a 2.048 Mbps 1.5 a 2048 Mbps Sim
VDSL 1.6 a 19. Mbps 12.96 Mbps Asim.
55.2 Mbps
 Diseo de un ISP

Como ejercicio y para utilizar los conceptos

dados se procede en este punto realizar el
diseo de un ISP:

Para el efecto considerese los tres elementos

importantes de un ISP y los servicios que presta
 Porqu se necesita seguridad en
Internet?

Debido a su naturaleza, el Internet al ser una red pblica y de

libre acceso, ha desarrollado colateralmente una industria de
robo de informacin o de dao a los servidores pblicos, lo
que ha obligado a las diferentes empresas que forman parte
de la red de redes ha proteger su informacin y comenzar a
controlar los accesos a la misma, encriptar su informacin y
solicitar autenticacin de los usuarios externos de su
informacin.
Y se han desarrollado varias tcnicas llegandose al mximo
de seguridad con el Firewall.
A continuacin se describen los mtodos de seguridad en
redes.
 Mtodos de Seguridad en redes
Mtodos de Seguridad en redes

Antes de la tecnologa Firewall, los administradores usaban los siguientes diseos

tradicionales para proteger redes internas de trabajo.

Filtrado de paquetes
Aplicacin de capas de entrada (proxys)

Estos mtodos no son tan confiables como el firewall.

Filtrado de paquetes

El filtrado de paquetes solamente examina hasta la capa de red. El filtrado de paquetes

mira cada paquete que entra o sale de la red y acepta o lo rechaza basado por el
reglamento definido por el usuario. El filtrado de paquetes es justamente efectivo y
transparente para los usuarios, pero es difcil de configurar. La limitacin de este tipo de
filtrado est en su limitada capacidad de proveer seguridad para los diferentes niveles de
protocolos.
 Filtrado de Paquetes
Aplicacin Aplicacin

Presentacin Presentacin

Sesin Sesin

Transporte Transporte

Red Red Red

Enlace Enlace Enlace

Fsica Fsica Fsica

Router

Los pros del filtrado de paquetes

Los pros del filtrado de paquetes incluyen los siguientes:

No es caro
Transparencia en la Aplicacin
Ms rpido que los Proxys
 Filtrado de Paquetes (2)
Los contras del filtrado de paquetes

Los contras del filtrado de paquetes incluyen los siguientes:

Baja seguridad
Acceso solamente a una limitada parte la cabecera del
paquete.
No protege las capas de red (significa que los paquetes
filtrados son incapaces de proveer comunicacin derivada o
aplicacin derivada del estado de la informacin).
Muy limitada habilidad para manipular informacin
Dificultad para configurar, monitorear y manejar.
Provee inadecuados registros y mecanismos de alerta.
 Aplicacin de la capa de entrada (proxy) (1)
Aplicacin de la capa de entrada (proxy)

Aplicacin de la capa de entrada, o proxys, implementan firewall en el

nivel de la aplicacin.
Telnet FTP HTTP

Aplicacin Aplicacin Aplicacin

Presentacin Presentacin Presentacin

Sesin Sesin Sesin

Transporte Transporte Transporte

Red Red Red

Enlace Enlace Enlace

Fsica Fsica Fsica

Proxy
 Aplicacin de la capa de entrada (proxy) (2)
Los Pros de la Aplicacin de la capa de entrada (proxy)
Los pros de la Aplicacin de la capa de entrada (proxy) incluyen las siguientes:

Buena seguridad
Completo conocimiento de las capas de aplicacin

Los contras de la Aplicacin de la capa de entrada (proxy)

Los contras de la Aplicacin de la capa de entrada (proxy) incluyen las siguientes:

Cada servicio requiere su propia aplicacin de capas de entrada, as que el

nmero de servicios disponibles y su desempeo es pobre.
La implementacin en el nivel de aplicacin es perjudicial para el desempeo.
Los proxys no pueden proveer seguridad para UDP, RPC y otros servicios de
familias de protocolos comunes.
La mayora de proxys no son transparentes
Vulnerable al sistema de operacin y nivel de aplicacin defectuoso
Poca seguridad de la informacin contenida en capas inferiores
La Inspeccin de estado(Status Inspection) (1)

Los Pros del Status Inspection

Los pros de la inspeccin de estado incluyen las siguientes:

Buena seguridad
Completo conocimiento de aplicacin - capas (layer)
Desempeo alto
Flexibilidad
Extensible
Transparente
La Inspeccin de estado(Status Inspection) (2)

Aplicacin IP TCP Session Aplication

Presentacin

Sesin

Transporte
Si Paquete
Red Log/Alert concuerda con
alguna poltica?

No

Siguiente regla

Enlace Si

Fsica No
Pasa el
Enviar NACK
paquete?

No
Drop el paquete
 Funciones del firewall

El firewall conceptualmente es el equipo que ofrece las

mayores seguridades en internet, y un firewall que se precie
de ser robusto en su seguridad debe incluir en su ncleo el
status inspection.
Las funciones principales de un firewall son:
1.- Control de acceso
2.- Traslacin de direcciones
3.- Autenticacin
4.- Balanceo de carga
5.- Seguridad de Contenido
6.- Encriptacin(para permitir establecer VPNs en el Internet)