Firewall - PPT - Modo de Compatibilidad - Reparado

66.
69 Criptografía y Seguridad Informática
FIREWALL
¿Qué es un Firewall?
FIREWALL = “Cortafuegos”
FIREWALL
FIREWALL
Elemento de hardware o software utilizado en una red de

computadoras para controlar las comunicaciones, permitiéndolas o
prohibiéndolas según las políticas de seguridad.
FIREWALL
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
FIREWALL
10.0.0.1
10.0.0.2
FIREWALL
10.0.0.1
10.0.0.2
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y

después enviada al host que la requirió originalmente.
FIREWALL
• PROXY

FIREWALL
• PROXY

FIREWALL
Funciones posibles del Firewall (III)
• QOS
HTTP HTTP
La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall

limita la salida para que por ejemplo los usuarios puedan recibir sin
problemas su correo
FIREWALL
Funciones posibles del Firewall (IV)
• Balanceo de Carga
HTTP HTTP
La LAN tiene dos vinculos con internet y el firewall distribuye la

carga entre las dos conexiones.
FIREWALL
Limitaciones del Firewall
• No protege de ataques fuera de su área
• No protege de espías o usuarios inconscientes
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos,

cuando datos son enviados o copiados a un servidor interno y son
ejecutados despachando un ataque.
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software
corriendo en una computadora, pero en ambos casos deben existir al
menos dos interfaces de comunicaciones (ej: placas de red)
FIREWALL
Implementación
1) ACEPTAR
REGLAS
2) DENEGAR
FIREWALL
Implementación
IPTABLES
(LINUX)
FIREWALL
IPtables
= NETFILTER
LINUX
Kernel
IPTables
• Filtrado de paquetes
• “Connection tracking”
• NAT
FIREWALL
Funcionamiento de IPtables
paquete
paqueteIP
IP
regla1
regla1 regla2
regla2 regla3
regla3 ...
cadena 1
INPUT
cadenas básicas OUTPUT
FORWARD
... el usuario puede crear tantas como desee.
FIREWALL
paquete
paqueteIP
IP
regla1
regla1 regla2
regla2 regla3
regla3 ...
cadena 1
regla1
regla1 regla2
regla2 regla3
regla3 ...
cadena 2
... enlace a otra cadena
FIREWALL
REGLAS
condiciones
condicionesaamatchear
matchear DESTINO
DESTINO
• ACCEPT
• DROP
• QUEUE
• RETURN
• ...
• cadena definida
por usuario
FIREWALL
REGLAS
condiciones
condicionesaamatchear
matchear DESTINO
DESTINO
• protocolo • ACCEPT
• IP origen • DROP
• IP destino • QUEUE
• puerto destino • RETURN
• puerto origen • ...
• flags TCP
• ...
• cadena definida
por usuario
FIREWALL
paquete
paqueteIP
IP
... cadena 1
... cadena 2
.
.
.
... cadena N
TABLA
FIREWALL
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas
cadenas predefinidas :
• responsable del filtrado • INPUT
• FILTER TABLE
• cadenas predefinidas • OUTPUT
• FORWARD
• NAT TABLE • responsable de configurar las reglas de

reescritura de direcciones o de puertos de los
paquetes
• PREROUTING (DNAT)
• POSTROUTING (SNAT)
• OUTPUT (DNAT local)
• MANGLE TABLE responsable de ajustar las opciones de los

paquetes, como por ejemplo la calidad de servicio;
contiene todas las cadenas predefinidas posibles.
FIREWALL
FIREWALL
Ejemplo de IPtables (I)
Queremos bloquear todos aquellos paquetes entrantes provenientes
de la dirección IP 200.200.200.1.
iptables -s 200.200.200.1
No estamos especificando qué hacer con los paquetes. Para esto, se

usa el parámetro -j seguido por alguna de estas tres opciones:
ACCEPT, DENY o DROP.
iptables -s 200.200.200.1 -j DROP
Necesitamos también especificar a qué chain o cadena vamos a

aplicar esta regla. Para eso está el parámetro -A.
iptables -A INPUT -s 200.200.200.1 -j DROP
FIREWALL
Ejemplo de IPtables (II)
Si lo que buscamos es que a nuestra computadora le sea imposible
comunicarse con la anterior, simplemente cambiaremos el INPUT por
el OUTPUT, y el parámetro -s por el -d.
iptables -A OUTPUT -d 200.200.200.1 -j DROP
Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa

misma IP
iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP
Si vamos a usar la computadora como router, deberemos setear la

cadena de FORWARD para que también quede en ACCEPT.
iptables -P FORWARD ACCEPT
FIREWALL
Implementación (escenario 1)
REGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR

Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicación
FIREWALL
Implementación (escenario 2)
VPN L1
L2
PaP L3
• VPN con túnel IPSEC.

• Punto a Punto seguro, o política de seguridad anti-intrusos o sniffing (ENCRIPT.)
FIREWALL

Firewall - PPT - Modo de Compatibilidad - Reparado

Cargado por

Copyright:

Formatos disponibles

Firewall - PPT - Modo de Compatibilidad - Reparado

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Firewall - PPT - Modo de Compatibilidad - Reparado

Cargado por

Copyright:

Formatos disponibles

66.

69 Criptografía y Seguridad Informática

Elemento de hardware o software utilizado en una red de

Punto de conexión de la red interna con la red exterior

Zona Desmilitarizada (DMZ)

La información solicitada al exterior es recuperada por el firewall y

La información solicitada al exterior es recuperada por el firewall y

La información solicitada al exterior es recuperada por el firewall y

La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall

La LAN tiene dos vinculos con internet y el firewall distribuye la

• No protege de ataques fuera de su área

• No protege de espías o usuarios inconscientes

• No protege de ataques de “ingeniería social”

• No protege contra ataques posibles en la transferencia de datos,

... el usuario puede crear tantas como desee.

... enlace a otra cadena

• NAT TABLE • responsable de configurar las reglas de

• MANGLE TABLE responsable de ajustar las opciones de los

No estamos especificando qué hacer con los paquetes. Para esto, se

iptables -s 200.200.200.1 -j DROP

Necesitamos también especificar a qué chain o cadena vamos a

iptables -A INPUT -s 200.200.200.1 -j DROP

iptables -A OUTPUT -d 200.200.200.1 -j DROP

Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa

iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP

Si vamos a usar la computadora como router, deberemos setear la

iptables -P FORWARD ACCEPT

Todo lo que venga de la red local al Firewall : ACEPTAR

ALTERNATIVA: implementar reglas por PROXY a nivel aplicación

• VPN con túnel IPSEC.

También podría gustarte