11 Firewall 1

35
UNIDAD 04 Tecnologías y Protocolos de Seguridad El equipo Docente del curso TEMA 05 : Arquitecturas de Seguridad 01

description

PTT

Transcript of 11 Firewall 1

  • UNIDAD 04Tecnologas y Protocolos de SeguridadEl equipo Docente del cursoTEMA 05 : Arquitecturas de Seguridad 01

  • Logros de la Unidad de AprendizajeAl trmino de la unidad de aprendizaje, el alumno disea arquitecturas de seguridad de redes mediante el uso de componentes de seguridad como los firewall, IDS, IPS y VPN para el control de los accesos a la red local (LAN) y control de las salidas a la red Internet (WAN).

  • FirewallSon dispositivos fsicos y/o lgicos que controlan el trfico de una organizacin. Dispositivo o un conjunto de dispositivos con dos interfaces de red, diseados para permitir, limitar, bloquear, cifrar y, descifrar el acceso autorizado y no autorizado a las redes sobre la base de un conjunto de normas y criterios.Se implementan en software, hardware o una combinacin de ambos

  • FirewallSe utilizan para evitar que usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet (Intranets).Todos los mensajes que entren o salgan de la intranet pasan por el firewall, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados.Tambin se utiliza para conectarse a una tercera red llamada DMZ en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior.

  • Firewall

  • Ventajas de un FirewallEstablece permetros confiables.Protege de intrusiones.- El acceso a ciertos segmentos de la red de una organizacin slo se permite desde mquinas autorizadas de otros segmentos de la organizacin o de Internet.Proteccin de informacin privada.- Permite definir niveles de acceso a la informacin. Cada grupo de usuarios tiene acceso slo a los servicios e informacin que le son necesarios.Optimizacin de acceso.- Identifica los elementos de la red internos y permite que la comunicacin entre ellos sea ms directa.

  • Limitaciones del FirewallNo protege contra aquellos ataques cuyo trfico no pase a travs de l.No protege de ataques internos o usuarios negligentes.No protege contra los ataques de ingeniera social.No protege contra virus informticos a travs de archivos y software.No protege de los fallos de seguridad de los servicios y protocolos cuyo trfico est permitido.

  • Tipos de FirewallDe Filtro de paquetes. De Nivel de aplicacin. De Inspeccin de paquetes. De Filtro de paquetes dinmicos. De Proxy.

  • Firewall de Filtro de PaquetesConocido tambin como screening router.Filtra paquetes basados en direcciones IP, puertos utilizados y direcciones MAC (capa 2, 3 y 4)No realiza anlisis de contenido, ni seguimiento de la conexin.Son implementados dentro de los routers y trabajan con Listas de Control de Acceso (ACL).Es difcil de configurar y mantener actualizado.

  • Firewall de Nivel de AplicacinSon firewalls de segunda generacin. Trabajan en capa 7. Como hardware, es una PC que ejecuta un software Proxy que la hace trabajar como servidor Proxy.Trabaja enmascarando las verdaderas direcciones IP de origen. El filtrado de datos se puede adaptar a caractersticas propias de los protocolos de aplicacin.Permite controlar qu servicios son utilizados por los host y protege a la red de usuarios externos. Su desventaja es que reduce el rendimiento de la red, ya que debe analizar cada paquete en todos los niveles.

  • Firewall de Inspeccin de PaquetesSon firewalls de tercera generacin.Trabaja en todos los niveles del modelo OSI.En este firewall, los paquetes son capturados por un motor de inspeccin que est operando a la velocidad de la red.Permite un mayor anlisis de los datos al examinar el estado y contexto de los paquetes de datos entrantes.Permite seguir el rastro a las aplicaciones no confiables (que trabajan con UDP).

  • Firewall de Filtro de Paquetes DinmicoSon de cuarta generacin.Permite habilitar la modificacin de las reglas del firewall.Se utiliza generalmente para proveer soporte UDP, ya que el firewall recuerda, por un periodo corto de tiempo, los paquetes UDP que han cruzado el permetro y decide si los habilita en la red

  • Firewall de Proxy KernelSon de quinta generacinPermite la evaluacin de sesiones multicapa de manera modular basada en Kernel.A diferencia del stack TCP/IP convencional, este stack es construido fuera del nivel del kernel.Se ejecuta en el Windows 2000 y 2003.

  • Arquitectura de FirewallsArquitectura Screening RouterArquitectura Screened HostArquitectura Dual Homed HostArquitectura Screened SubnetArquitectura Defense In-depth

  • Arquitectura Screening RouterLlamados tambin Packet Filtering Router (PFR).Es el firewall ms bsico.Este dispositivo se coloca entre la red confiable (privada) y la no confiable (pblica).El router posee dos tarjetas de red (redes pblica y privada)Toda la seguridad recae en las reglas de filtrado de paquetes del routerTrabaja con listas de control de acceso (ACL).Su dificultad es que las ACL son difciles de mantener y no oculta las direcciones IP.

  • Arquitectura Screened HostLlamado tambin Screened-Host Firewall Systems.Esta arquitectura posee un PFR(router de filtrado de paquetes) hacia la red pblica y un Bastion Host (filtrado con proxy de aplicaciones) hacia la red privada.Acta en capa de red (PFR) y en capa de aplicacin (Proxy).El PFR se coloca entre la red pblica y el Bastion host.El router dirige todo el trafico proveniente de la red externa al host bastin por lo que es el nico que puede ser accedido directamente desde fuera de la red local

  • Arquitectura Dual Homed HostPosee un host con dos interfaces de red, una hacia la red privada y la otra hacia la red pblica.Filtra parte del trafico que va de una red a otra.Todo el trfico debe pasar por un mecanismo de inspeccin de seguridad.La capacidad de ruteo esta deshabilitada para evitar que el trfico pase transparentemente por el routerSu funcin es la de trasladar trfico entre redes diferentes. Por ejemplo Ethernet con Token Ring.

  • Arquitectura Screened SubnetSe consigue implementado una red de permetro llamada DMZ. Es uno de los mecanismos de seguridad perimetral ms eficientes.Se coloca PFR entre el Bastion Host y la red interna, por lo que el host bastin se encontrar entre los dos routers.Permite aislar la red local de Internet, ocultando su trfico.Soporta seguridad a nivel de red y de aplicacin y provee un sitio seguro para conectar servidores pblicos.

  • Arquitectura Screened SubnetEl Router externo solo permite el paso de los protocolos que provienen del Bastion Host y administra el acceso a internet.El router interno filtra la mayor cantidad de paquetes y oculta el trfico interno.El Bastion Host acta como Proxy, contiene a los IDS y los servidores de acceso externo.El Bastion Host puede dividir la red fsica en dos subredes (dual-homed) para aadir un nivel de seguridad adicional.

  • Arquitectura Defense In-DepthNo es una arquitectura propiamente dicha, sino un concepto de seguridad de informacin.La seguridad de una red se implementa por capas para maximizar la proteccin.Se combinan diferentes tipos de firewall que protegen diferentes sectores de la red permitiendo que no se comprometa toda la red cuando un sistema es atacado exitosamente.

  • Qu arquitectura es?

  • Qu arquitectura es?

  • Qu arquitectura es?

  • Qu arquitectura es?

  • Qu arquitectura es?

  • Qu arquitectura es?

  • Network Address Translation - NATMecanismo utilizado en firewalls por el cual se evita que atacantes y/o visitantes externos no sepan cual es el rango de direcciones internas utilizadas.NAT convierte una direccin IP privada en una IP pblica.Existen dos mtodos de NAT: esttico y dinmico.NAT Esttico: Relaciona una IP pblica con una IP privada.NAT Dinmico: Relaciona una IP pblica con varias IP privadas. Se conoce como PAT (Port Address Traslation), ya que la traslacin se realiza a traves de puertos de servicios.

  • Funcionamiento del NAT

  • Firewall por SoftwareSon ms econmicos que los firewall basados en HardwareRequiere un SO bastante estable y robusto.Su implementacin es ms rpida que los firewall de hardware pero es ms compleja.Si no es configurado adecuadamente, el firewall puede ejecutar servicios que no son requeridos por la red.Algunos ejemplos son: IPTables; Microsoft Internet Security & Aceleration Server; Untangle; SmoothWall; Engarde Secure Linux

  • Firewall por HardwareSon mquinas optimizadas y diseadas para realizar trabajos exclusivos de firewall, especialmente de PFRPoseen SO desarrollado para reducir y anular ataques.Tienen mayor desempeo que los firewalls basados en software; pero toman mayor tiempo en su implementacin.El HW, SO y PFR viene configurado, simplificado y optimizado en un solo paquete.Algunos ejemplos son: Astaro; Cisco PIX (Private Internet Exchange); Juniper NetScreen; SonicWall; Checkpoint

  • Demilitarized Zone (DMZ)Es una red local (una subred) que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet.En una DMZ las conexiones, desde la red interna y la externa a la DMZ, estn permitidas; mientras que las conexiones desde la DMZ solo se permitan a la red externa.Los equipos en la DMZ no se pueden conectar con la red interna.La DMZ se usa para ubicar servidores, que se pueden accesar desde la internet (Web, DNS, e-mail, etc.)

  • Caractersticas del DMZProporciona Filtrado de Paquetes por IP y por contenidosBrinda servicios de NATPoseen mapeo bidireccionalPermite monitoreo de trafico en interfacesMantienen colas de trfico y prioridadPermite configurar salidas redundantes salidas redundantesBalanceo de carga a servicios

  • Polticas de seguridad en DMZEl trfico de la red externa a la DMZ est autorizado El trfico de la red externa a la red interna est prohibido El trfico de la red interna a la DMZ est autorizado El trfico de la red interna a la red externa est autorizado El trfico de la DMZ a la red interna est prohibido El trfico de la DMZ a la red externa est denegado

  • Configuraciones DMZ

  • Configuraciones de Firewall


Firewall Con Iptables

Firewall Con Iptables

Telefónica de España 1 Solución ADSL Seguridad Firewall PC.

Telefónica de España 1 Solución ADSL Seguridad Firewall PC.

Conf Firewall

Conf Firewall

Firewall Nat Snmp

Firewall Nat Snmp

Actividad 1 Firewall (FortiGate)

Actividad 1 Firewall (FortiGate)

Como configurar Firewall (Kaspersky) 1 / 9 de...2 / 9 Cómo configurar Firewall (Kaspersky) El firewall presenta las siguientes funcionalidades: 1. Inicio Consola de Seguridad incorpora

Como configurar Firewall (Kaspersky) 1 / 9 de...2 / 9 Cómo configurar Firewall (Kaspersky) El firewall presenta las siguientes funcionalidades: 1. Inicio Consola de Seguridad incorpora

Firewall Iptables

Firewall Iptables

Firewall de windows

Firewall de windows

Windows Firewall con Seguridad Avanzada. Agenda Windows Vista Firewall Configuración y solución de problemas. Integración del Firewall con IPSec.

Windows Firewall con Seguridad Avanzada. Agenda Windows Vista Firewall Configuración y solución de problemas. Integración del Firewall con IPSec.

Firewall Cisco Pix

Firewall Cisco Pix

PFSense Firewall Failover

PFSense Firewall Failover

diaspositivas FIREWALL

diaspositivas FIREWALL

Firewall Total

Firewall Total

Firewall Presentaciones

Firewall Presentaciones

Taller firewall

Taller firewall

Firewall Disertacion

Firewall Disertacion

Firewall Final

Firewall Final

Ejercicios Practicos Firewall

Ejercicios Practicos Firewall

Firewall Complete

Firewall Complete

Estadio firewall iluminacion

Estadio firewall iluminacion