Firewall hw

download Firewall hw

of 24

  • date post

    19-Jun-2015
  • Category

    Documents

  • view

    1.007
  • download

    2

Embed Size (px)

description

Cortafuegos Hardware

Transcript of Firewall hw

  • 1. FIREWALL

2. FIREWALL Qu es un Firewall? FIREWALL Cortafuegos = 3. FIREWALL Qu es un Firewall? FIREWALL Cortafuegos = 4. FIREWALL Qu es un Firewall? Elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de seguridad. FIREWALL Cortafuegos = 5. FIREWALL Dnde opera un Firewall? Punto de conexin de la red interna con la red exterior Zona Desmilitarizada (DMZ) 6. FIREWALL Dnde opera un Firewall? Tambin es frecuente conectar alfirewalluna tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben permanecer accesibles desde la red exterior. 7. FIREWALL Tipos deFirewall

  • de capa de red o de filtrado de paquetes
  • personal
  • de capa de aplicacin

Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo se permiten filtrados segn campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la direccin MACTrabaja en el nivel de aplicacin (nivel 7), por ejemplo, si se trata de trfico HTTP se pueden realizar filtrados segn la URL a la que se est intentando acceder. En este caso es denominadoProxy . Se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red y viceversa. 8. FIREWALL Funciones posibles del Firewall (I)

  • NAT (Network Address Translation)

10.0.0.1 10.0.0.2 9. FIREWALL Funciones posibles del Firewall (I)

  • NAT (Network Address Translation)

10.0.0.1 10.0.0.2 10. FIREWALL Funciones posibles del Firewall (I)

  • NAT (Network Address Translation)

10.0.0.1 10.0.0.2 11. FIREWALL Funciones posibles del Firewall (II)

  • PROXY

La informacin solicitada al exterior es recuperada por elfirewall y despus enviada al host que la requiri originalmente. 12. FIREWALL Funciones posibles del Firewall (II)

  • PROXY

La informacin solicitada al exterior es recuperada por elfirewall y despus enviada al host que la requiri originalmente. 13. FIREWALL Funciones posibles del Firewall (II)

  • PROXY

La informacin solicitada al exterior es recuperada por elfirewall y despus enviada al host que la requiri originalmente. 14. FIREWALL Funciones posibles del Firewall (III)

  • QOS

La LAN esta haciendo mucho uso de Intenet via HTTP y elfirewalllimita la salida para que por ejemplo los usuarios puedan recibir sin problemas su correo HTTP HTTP 15. FIREWALL Funciones posibles del Firewall (IV)

  • Balanceo de Carga

La LAN tiene dos vinculos con internet y elf irewalldistribuye la carga entre las dos conexiones. HTTP HTTP 16. FIREWALL Limitaciones del Firewall

  • Noprotege de ataques fuera de su rea
  • Noprotege de espas o usuarios inconscientes
  • Noprotege de ataques de ingeniera social
  • Noprotege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.

17. FIREWALL Implementacin Hardware especfico configurable o bien una aplicacin de software corriendo enuna computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red) 18. FIREWALL Implementacin Hardware especfico configurable o bien una aplicacin de software corriendo enuna computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)REGLAS 1) ACEPTAR 2) DENEGAR 19. FIREWALL Implementacin Hardware especfico configurable o bien una aplicacin de software corriendo enuna computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)IPTABLES(LINUX) 20. FIREWALL Funcionamiento de IPtables INPUT ... el usuario puede crear tantas como desee.OUTPUT FORWARD regla1 regla2 regla3 ... cadena 1 paquete IP cadenas bsicas 21. FIREWALL Funcionamiento de IPtables REGLAS condiciones amatchear DESTINO

  • ACCEPT
  • DROP
  • QUEUE
  • RETURN
  • ...
  • cadena definida
  • por usuario

22. FIREWALL Funcionamiento de IPtables REGLAS condiciones amatchear DESTINO

  • ACCEPT
  • DROP
  • QUEUE
  • RETURN
  • ...
  • cadena definida
  • por usuario
  • protocolo
  • IP origen
  • IP destino
  • puerto destino
  • puerto origen
  • flags TCP
  • ...

23. FIREWALL Funcionamiento de IPtables TABLA ... cadena 1 paquete IP ... cadena 2 . . . ... cadena N 24. FIREWALL Ejemplo de IPtables (I) Queremos bloquear todos aquellos paquetes entrantes provenientes de la direccin IP 200.200.200.1.iptables -s 200.200.200.1 No estamos especificando qu hacer con los paquetes. Para esto, se usa el parmetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP.iptables -s 200.200.200.1 -j DROPNecesitamos tambin especificar a quchaino cadena vamos a aplicar esta regla. Para eso est el parmetro -A.iptables -A INPUT -s 200.200.200.1 -j DROP 25. FIREWALL Ejemplo de IPtables (II) Si lo que buscamos es que a nuestra computadora le sea imposible comunicarse con la anterior, simplemente cambiaremos el INPUT por el OUTPUT, y el parmetro -s por el -d.iptables -A OUTPUT -d 200.200.200.1 -j DROPSi quisiramos ignorar slo las peticiones Telnet provenientes de esa misma IPiptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROPSi vamos a usar la computadora como router, deberemos setear la cadena de FORWARD para que tambin quede en ACCEPT.iptables -P FORWARD ACCEPT 26. FIREWALL Implementacin (escenario 1) REGLAS Todo lo que venga de la red local al Firewall : ACEPTAR Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR Todo lo que venga de la red local al exterior = ENMASCARAR Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGARALTERNATIVA: implementar reglas por PROXY a nivel aplicacin