Publicado el 20 de Marzo del 2021
474 visualizaciones desde el 20 de Marzo del 2021
505,6 KB
20 paginas
Creado hace 15a (29/09/2009)
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
1 / 21
Cortafuegos
Enrique Arias
Departamento de Sistemas Informáticos
Escuela Superior de Ingeniería Informática
Universidad de Castilla-La Mancha
Auditoría y Seguridad Informática, 2009-10
�Índice
1
Introducción
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografía
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
3 / 21
�Introducción
¿Qué es un cortafuegos?
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
4 / 21
�Introducción
¿Qué es un cortafuegos?
Un firewall o cortafuegos ≡Fosa de un castillo medieval
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
5 / 21
�Introducción
¿Qué es un cortafuegos?
Sistema o grupo de sistemas que hace cumplir una política de control
de acceso entre dos redes
Cualquier sistema (desde un router hasta varias redes) utilizado para
separar, en cuanto a seguridad se refiere, una máquina o subred del
resto, protegiéndola así de servicios y protocolos que desde el exterior
puedan suponer una amenaza a la seguridad.
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
6 / 21
�Introducción
Definiciones preliminares
El espacio protegido se denomina perímetro de seguridad.
Este perímetro de seguridad se protege de una red externa denominada
zona de riesgo.
Máquina o host bastión (gates): Sistema especialmente asegurado, pero
vulnerable a ataques al estar abierto a Internet. Filtra el tráfico de
entrada y salida, y esconde la configuración de la red hacia afuera.
Filtrado de paquetes (screening): Acción de denegar o permitir el flujo
de tramas entre dos redes de acuerdo a unas normas predefinidas. A los
dispositivos que llevan a cabo la función de filtrado se les denomina
chokes (router).
Proxy: Programa que permite o niega el acceso a una aplicación
determinada entre dos redes. Los clientes proxy sólo se comunican con
los servidores proxy. Éstos autorizan las peticiones redireccionándolas a
los servidores reales, o las deniegan devolviendo mensaje de error.
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
7 / 21
�Introducción
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
Objetivos de diseño de un cortafuegos
1 Todo el tráfico de dentro a fuera de la organización, y viceversa, ha de
pasar a través del cortafuegos.
2 Sólo se permitirá el paso al tráfico autorizado por la política de
seguridad establecida
3 El cortafuegos ha de ser inmune a los ataques (utilizar un sistema
fiable)
Problemas básicos de seguridad
1 Centralización de todas las medidas de seguridad en una máquina. Si un
atacante logra vulnerar dicha máquina, tendrá acceso a toda la subred
2 Sensación falsa de seguridad. Al instalar un cortafuegos nos creemos
seguros y se descuida la seguridad del resto de máquinas
3 No puede prevenir de ataques internos
4 No puede prevenir de transferencias de programas o ficheros infectados
de virus
8 / 21
�Introducción
Decisiones básicas
1 Política de seguridad de la organización propietaria del cortafuegos
2 Nivel de monitorización, redundancia y control deseado en la
organización. Es decir, hay que definir cómo implementar en el
cortafuegos, lo que se permite y lo que se deniega
1 La más restrictiva
2 La más permisiva
3 Económica. Cuánto se va a invertir en la instalación, puesta a punto y
mantenimiento de un cortafuegos para proteger lo que se quiere
proteger
4 Dónde se va a instalar el cortafuegos
Si se aprovecha un elemento de la red (router) no hay más remedio que
dejarlo donde está
Una máquina UNIX con un cortafuegos brinda más posibilidades
5 Qué máquina actuará como máquina Bastión basándonos en los
principios de mínima complejidad y máxima seguridad (servidor con
UNIX).
6 Elegir la máquina que actuará como choke (router con capacidad de
filtrado de paquetes)
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
9 / 21
�Índice
1
Introducción
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografía
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
10 / 21
�Componentes de un cortafuegos
Filtrado de paquetes
Router IP utiliza reglas de filtrado para reducir la carga (descartar
paquetes cuyo TTL ha llegado a cero, paquetes con un control de
errores erróneos, o simplemente tramas de broadcast) analizando las
cabeceras conforme a diferentes criterios
Origen
Destino
Tipo
158.43.0.0
*
*
195.53.22.0
158.42.0.0
*
*
*
193.22.34.0
*
*
*
*
*
*
Puerto Accion
Deny
Deny
Allow
Deny
Deny
*
*
*
*
*
El objetivo principal de todas las políticas de seguridad implementadas
mediante filtrado suele ser evitar el acceso no autorizado entre dos
redes, pero manteniendo intactos los accesos autorizados
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
11 / 21
�Componentes de un cortafuegos
Filtrado de paquetes
Ventajas
Simplicidad
Transparente al usuario
Rapidez
Inconvenientes
El filtrado de paquetes no examina datos de capa superiores, y por tanto
no puede prevenir ataques que emplea vulnerabilidades o funciones de
la capa de aplicación. Ataques por capas superiores de TCP/IP.
Funcionalidad de histórico (generar ficheros log) es muy limitada por lo
limitado de la información: direcciones fuente y destino, tipo de tráfico
Complejidad en el establecimiento de reglas
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
12 / 21
�Componentes de un cortafuegos
Proxy de aplicación
Proxy de Aplicación: Software capaz de filtrar (enviar o bloquear) las
conexiones a servicios (finger, telnet, etc.)
Los proxies de aplicación se ejecutan en una máquina denominada
pasarela de la aplicación, gateways o servidor de proxies
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
13 / 21
�Componentes de un cortafuegos
Proxy de aplicación
Ventajas
Sólo se permite la utilización de servicios para los que existe un proxy
Se pueden implementar mecanismos de filtrado más potentes,
simplificando las reglas de filtrado implementadas en el router
Inconvenientes
Se necesita un proxy por aplicación
Es más costoso que un simple filtro de paquetes
Rendimiento mucho menor limitando el ancho de banda efectivo de la
red si resulta ser costoso el análisis de una trama
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
14 / 21
�Índice
1
Introducción
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografía
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
15 / 21
�Arquitecturas de cortafuegos
Screening Router o de Filtrado de paquetes
Es la manera más sencilla de implementar un cortafuegos
Se basa en aprovechar la capacidad de algunos routers para bloquear o
filtrar paquetes en función de su protocolo, su servicio o la dirección IP,
de manera que el router actúa como pasarela de la subred
Se aplica en entornos cuyos requerimientos de seguridad no sean muy
exigentes (carece de mecanismos de monitorización y las reglas de
acceso pueden ser difíciles de establecer)
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
¿Qué problema general de seguridad puede presentar esta arquitectura?
16 / 21
�Arquitecturas de cortafuegos
Dual-Homed Host
Consiste en un host con dos tarjetas de red
El host no realiza tareas de encaminamiento aislando la red interna de
la externa
Cómo se proporcionan servicios
Mediante las mismas cuentas de los usuarios en el host. Presenta un
gran problema de seguridad, ¿Por qué?.
Mediante servicios proxy
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
17 / 21
¿Qué problema general de seguridad puede presentar esta arquitectura?
�Arquitecturas de cortafuegos
Screened Host
Consta de un router para el filtrado de paquetes y de host para filtrado
en otras capas ISO/OSI
Se prestan servicios proxy en el host bastión o bien el router puede
enviar a host internos
¿Qué problema general de seguridad puede presentar esta arquitectura?
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
18 / 21
�Arquitecturas de cortafuegos
Screened Subnet o DMZ
Consta de dos routers y un host, delimitando red externa, red
perimetral y red interna.
¿Qué problema general de seguridad puede presentar esta arquitectura?
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
19 / 21
�Índice
1
Introducción
2 Componentes de un cortafuegos
3 Arquitecturas de cortafuegos
4 Bibliografía
Cortafuegos
Enrique Arias
Introducción
Componentes
de un
cortafuegos
Arquitecturas
de cortafuegos
Bibliografía
20 / 21
�Bibliografía
Antonio Villalón Huerta. ”Seguridad en UNIX y Redes”. Versión 2.1,
Julio-2002.
Brent Chapman and Elizabeth D. Zwicky. ”Construya Firewalls para
Internet”. O’Reilly and Associates, Inc, 1997.
William Stallings. ”Network Security Essentials”. Ed. Prentice-Hall,
2003.
Cortafuegos
Enrique Ar
Crear cuenta
Comentarios de: Cortafuegos (0)
No hay comentarios