Scribd Logo
Upload

Welcome to Scribd!

  • Firewall

    Uploaded by

    Miriam Daniela
    8 views35 pages
    f

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    f

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    8 views35 pages

    Firewall

    Uploaded by

    Miriam Daniela
    f

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 35

    Firewalls

    Agenda

    ConceptosGenerales
    Operacinbsica
    EnquecapatrabajaelFirewall?
    TiposdeFirewalls
    FiltrodePaquetes
    CriteriosdeFiltrado
    VentajasdelFiltradodePaquetes
    Desventajasdelosfiltrosdepaquetes

    05/10/06

    Agenda,continuacin

    05/10/06

    FirewallaNiveldeAplicacin
    StatefulInspectionFirewall
    TiposdeFirewallsegnsuImplementacin
    HardwareFirewall
    SoftwareFirewall
    ComoImplementarunFirewall
    FirewallyPolticasdeSeguridad
    Hastadondepodemosllegarsegneltipode
    filtrado

    ConceptosGenerales
    UnfirewallesunsistemaqueimponeunaPolticade
    Seguridadentrelaorganizacinderedprivada(red
    segura)yelInternet(redinsegura).
    Determinacualdelosserviciosderedpuedenser
    accedidosdesdeyhaciaelexteriordelaredprivada
    Nopuedeofrecerproteccinalgunaunavezqueel
    agresorlotraspasa.
    05/10/06

    Operacinbsica

    05/10/06

    Enquecapatrabajael
    Firewall?

    05/10/06

    TiposdeFirewallssegntipode
    Filtrado
    FitradodePaquetes
    FirewallaniveldeAplicacin
    StatefulInspectionFirewall
    05/10/06

    FiltrodePaquetes

    05/10/06

    Criterios de Filtrado

    05/10/06

    Por
    Por
    Por
    Por
    Por
    Por
    Por

    direccin de origen
    direccin de destino
    puerto de origen
    puerto de destino
    tipo de paquetes
    interfaces de entrada
    interfaces de salida

    Ventajas del Filtrado de


    Paquetes

    Permite controlar desde un solo


    punto todo el acceso
    No necesita cooperacin del usuario

    05/10/06

    10

    Desventajas de los
    filtros de paquetes

    05/10/06

    Solo se manipulan acciones de


    permitir o rechazar.
    Si un filtro de paquetes falla deja
    la puerta abierta

    11

    FirewallaNiveldeAplicacin

    05/10/06

    12

    StatefulInspectionFirewall

    05/10/06

    13

    TiposdeFirewallsegnsu
    Implementacin
    Segnsuimplementacinlosfirewalltambiense
    puedenclasificaren:
    FirewallsbasadosenHardware
    PixFirewall
    CheckPoint

    05/10/06

    FirewallsbasadosenSoftware
    ZoneAlarm
    WinXPfirewall

    14

    HardwareFirewall

    05/10/06

    15

    SoftwareFirewall

    05/10/06

    16

    ComoImplementarunFirewall
    DeterminarelniveldeSeguridadrequeridoenbase
    alasPolticasdeSeguridaddelaOrganizacin.
    Determinareltrficoquevaaentraralared.
    Determinareltraficoquevaasalirdelared.
    Determinarelniveldefiltrajemnimonecesario

    05/10/06

    17

    FirewallyPolticasde
    Seguridad
    PolticasporOmisin
    Loquenoestexplcitamentepermitidoest
    prohibido
    Loquenoestexplcitamenteprohibidoest
    permitido
    05/10/06

    18

    Hasta donde podemos llegar


    segn el tipo de filtrado:
    Suponga que implementa un firewall de
    filtrado de paquetes:
    Le permitir establecer reglas como:
    Permita que desde cualquier red se
    haga telnet (puerto 23) a mi red
    Pero no podr establecer una regla como:
    No permita que el usuario Pedro haga
    telnet a mi red
    05/10/06

    19

    Hasta donde podemos llegar


    segn el tipo de filtrado
    (continuacin)

    Suponga que implementa un firewall de


    filtrado de Contenido:
    Con este tipo de firewall si podr
    establecer reglas como:
    No permita que el usuario Pedro haga
    telnet a mi red
    Descarte todo el contenido Active-X en
    navegacin Web.
    05/10/06

    20

    Filtradode
    Fragmentos
    Elproblemasedebeaquesoloelprimer
    fragmentocontienelainformacinTCP
    necesaria.
    Elenfoquecomnespermitirelpasode
    todoslosfragmentosquenoseaninicialesy
    filtrarsoloestosltimos
    Elpeligroesquelosfragmentosnoiniciales
    puedencontenerinformacintilparaun
    atacante.
    PuedeserutilizadoparaunataquedeDoS
    05/10/06

    21

    FiltradoTCP
    EnlacabeceradelpaqueteTCP
    tenemos:
    Puertosdeorigenydestino
    BanderasTCP(ACK)
    ParafiltarunaconexinTCPsolobasta
    conpararelprimerpaquete.
    ElchequeodelbitdeACKnospermite
    filtrarconexionesenunsentidoperono
    enelotro.
    05/10/06

    22

    FiltradoUDP
    LospaquetesUDPnonecesitan
    reconocimentoporloqueparece
    imposiblefiltrarunidireccionalmente.
    Solucin:filtradoDinmico
    FiltradoDinmico:AlgunosFP
    recuerdanlosltimospaquetesque
    salieronporunenlace,porloque
    puedenfiltraraquellosquelleguen
    comorespuestas.
    05/10/06

    23

    Pregunta?

    PorquexistenTCPyUDP?
    DebeentrarUDPamireddesdeel
    exterior?

    05/10/06

    24

    RPC
    RPCnoutilizalospuertosTCPUDPsinoun
    nmerodeserviciode4bytes
    RPCestsobreTCPyUDPporloquedebe
    haberunmecanismodemapearlosnmeros
    deservicioconlospuertosTCPUDP:
    Portmapper
    Elproblemaesquenuncasabemoscuales
    exactamenteelpuertoabloquear
    Podemosbloquearelpuertodelportmapper
    (111)perounatacantepodrabuscarlos
    puertosrealesdelasaplicaciones(sonsolo
    05/10/06

    65535!!!)25

    FTP

    05/10/06

    26

    ServidoresBastin

    05/10/06

    27

    DNS

    05/10/06

    28

    masdeDNS
    Nopermitaqueseaelservidorinterno
    quienrealicelasbsquedasenInternet
    Debeserelservidorbastinquien
    realicelasbsquedas
    Declareasuservidorbastinforwarder
    enlaconfiguracindesuservidor
    interno
    EstolepermitircerrartodoUDPsin
    problemas

    05/10/06

    29

    Syslog
    Nopermitaqueseaelservidorinterno
    quienrealicelasbsquedasenInternet
    Debeserelservidorbastinquien
    realicelasbsquedas
    Declareasuservidorbastinforwarder
    enlaconfiguracindesuservidor
    interno
    EstolepermitircerrartodoUDPsin
    problemas

    05/10/06

    30

    SNMP
    LosservidoresSNMPescuchan161

    TCPyUDP
    LosservidorestrapSNMPescuchanpor
    elpuerto162TCPyUDP
    Nopermitatrficodeentradaalos
    puertos161TCPyUDP:susequiposno
    podrnserdescubiertos(porestava)

    05/10/06

    31

    Tunelesicmp
    Eslacapacidaddeenvolverlosdatos
    realesenuncabeceraICMP.
    Muchosroutespermitenpasartrfico
    ICMPECHO;ICMPECHOREPLYyUDP
    porloquesonvulnerablesaesteataque.
    Solucin:Laformadeprevenirloes
    desactivartodotrficoICMPatravsde
    suenrutador.
    05/10/06

    32

    Hagamosun
    ejemplo

    05/10/06

    33

    y...

    05/10/06

    Enquepuerta(s)
    ponemosesas
    reglas?

    34

    Losfirewallnolosontodo
    Losfirewallssonsindudaunvaluarteimportanteenlas
    estrategiasdeseguridaddeunaorganizacin,sinembargo,no
    losontodo.
    UnfirewallpuedefallarysiUd.lohaconfiadotodoal,se
    encontrarenunasituacinrealmentepeligrosa.
    Unfirewallnoleprotegerdeataquesinternos.
    UnFirewalldebeversecomounelementomsenlaestrategia
    dedefensa,peronuncacomosustitutodelrestodelasmedidas
    deseguridadquehemosdiscutido.
    05/10/06

    35

    You might also like