Professional Documents
Culture Documents
Agenda
ConceptosGenerales
Operacinbsica
EnquecapatrabajaelFirewall?
TiposdeFirewalls
FiltrodePaquetes
CriteriosdeFiltrado
VentajasdelFiltradodePaquetes
Desventajasdelosfiltrosdepaquetes
05/10/06
Agenda,continuacin
05/10/06
FirewallaNiveldeAplicacin
StatefulInspectionFirewall
TiposdeFirewallsegnsuImplementacin
HardwareFirewall
SoftwareFirewall
ComoImplementarunFirewall
FirewallyPolticasdeSeguridad
Hastadondepodemosllegarsegneltipode
filtrado
ConceptosGenerales
UnfirewallesunsistemaqueimponeunaPolticade
Seguridadentrelaorganizacinderedprivada(red
segura)yelInternet(redinsegura).
Determinacualdelosserviciosderedpuedenser
accedidosdesdeyhaciaelexteriordelaredprivada
Nopuedeofrecerproteccinalgunaunavezqueel
agresorlotraspasa.
05/10/06
Operacinbsica
05/10/06
Enquecapatrabajael
Firewall?
05/10/06
TiposdeFirewallssegntipode
Filtrado
FitradodePaquetes
FirewallaniveldeAplicacin
StatefulInspectionFirewall
05/10/06
FiltrodePaquetes
05/10/06
Criterios de Filtrado
05/10/06
Por
Por
Por
Por
Por
Por
Por
direccin de origen
direccin de destino
puerto de origen
puerto de destino
tipo de paquetes
interfaces de entrada
interfaces de salida
05/10/06
10
Desventajas de los
filtros de paquetes
05/10/06
11
FirewallaNiveldeAplicacin
05/10/06
12
StatefulInspectionFirewall
05/10/06
13
TiposdeFirewallsegnsu
Implementacin
Segnsuimplementacinlosfirewalltambiense
puedenclasificaren:
FirewallsbasadosenHardware
PixFirewall
CheckPoint
05/10/06
FirewallsbasadosenSoftware
ZoneAlarm
WinXPfirewall
14
HardwareFirewall
05/10/06
15
SoftwareFirewall
05/10/06
16
ComoImplementarunFirewall
DeterminarelniveldeSeguridadrequeridoenbase
alasPolticasdeSeguridaddelaOrganizacin.
Determinareltrficoquevaaentraralared.
Determinareltraficoquevaasalirdelared.
Determinarelniveldefiltrajemnimonecesario
05/10/06
17
FirewallyPolticasde
Seguridad
PolticasporOmisin
Loquenoestexplcitamentepermitidoest
prohibido
Loquenoestexplcitamenteprohibidoest
permitido
05/10/06
18
19
20
Filtradode
Fragmentos
Elproblemasedebeaquesoloelprimer
fragmentocontienelainformacinTCP
necesaria.
Elenfoquecomnespermitirelpasode
todoslosfragmentosquenoseaninicialesy
filtrarsoloestosltimos
Elpeligroesquelosfragmentosnoiniciales
puedencontenerinformacintilparaun
atacante.
PuedeserutilizadoparaunataquedeDoS
05/10/06
21
FiltradoTCP
EnlacabeceradelpaqueteTCP
tenemos:
Puertosdeorigenydestino
BanderasTCP(ACK)
ParafiltarunaconexinTCPsolobasta
conpararelprimerpaquete.
ElchequeodelbitdeACKnospermite
filtrarconexionesenunsentidoperono
enelotro.
05/10/06
22
FiltradoUDP
LospaquetesUDPnonecesitan
reconocimentoporloqueparece
imposiblefiltrarunidireccionalmente.
Solucin:filtradoDinmico
FiltradoDinmico:AlgunosFP
recuerdanlosltimospaquetesque
salieronporunenlace,porloque
puedenfiltraraquellosquelleguen
comorespuestas.
05/10/06
23
Pregunta?
PorquexistenTCPyUDP?
DebeentrarUDPamireddesdeel
exterior?
05/10/06
24
RPC
RPCnoutilizalospuertosTCPUDPsinoun
nmerodeserviciode4bytes
RPCestsobreTCPyUDPporloquedebe
haberunmecanismodemapearlosnmeros
deservicioconlospuertosTCPUDP:
Portmapper
Elproblemaesquenuncasabemoscuales
exactamenteelpuertoabloquear
Podemosbloquearelpuertodelportmapper
(111)perounatacantepodrabuscarlos
puertosrealesdelasaplicaciones(sonsolo
05/10/06
65535!!!)25
FTP
05/10/06
26
ServidoresBastin
05/10/06
27
DNS
05/10/06
28
masdeDNS
Nopermitaqueseaelservidorinterno
quienrealicelasbsquedasenInternet
Debeserelservidorbastinquien
realicelasbsquedas
Declareasuservidorbastinforwarder
enlaconfiguracindesuservidor
interno
EstolepermitircerrartodoUDPsin
problemas
05/10/06
29
Syslog
Nopermitaqueseaelservidorinterno
quienrealicelasbsquedasenInternet
Debeserelservidorbastinquien
realicelasbsquedas
Declareasuservidorbastinforwarder
enlaconfiguracindesuservidor
interno
EstolepermitircerrartodoUDPsin
problemas
05/10/06
30
SNMP
LosservidoresSNMPescuchan161
TCPyUDP
LosservidorestrapSNMPescuchanpor
elpuerto162TCPyUDP
Nopermitatrficodeentradaalos
puertos161TCPyUDP:susequiposno
podrnserdescubiertos(porestava)
05/10/06
31
Tunelesicmp
Eslacapacidaddeenvolverlosdatos
realesenuncabeceraICMP.
Muchosroutespermitenpasartrfico
ICMPECHO;ICMPECHOREPLYyUDP
porloquesonvulnerablesaesteataque.
Solucin:Laformadeprevenirloes
desactivartodotrficoICMPatravsde
suenrutador.
05/10/06
32
Hagamosun
ejemplo
05/10/06
33
y...
05/10/06
Enquepuerta(s)
ponemosesas
reglas?
34
Losfirewallnolosontodo
Losfirewallssonsindudaunvaluarteimportanteenlas
estrategiasdeseguridaddeunaorganizacin,sinembargo,no
losontodo.
UnfirewallpuedefallarysiUd.lohaconfiadotodoal,se
encontrarenunasituacinrealmentepeligrosa.
Unfirewallnoleprotegerdeataquesinternos.
UnFirewalldebeversecomounelementomsenlaestrategia
dedefensa,peronuncacomosustitutodelrestodelasmedidas
deseguridadquehemosdiscutido.
05/10/06
35