FIREWALL TAREA.docx

7/22/2019 FIREWALL TAREA.docx

1/32

Contenido

Firewall 2Firewalls de Filtrado de Paquetes. 11Listas de control de acceso (ACL). 17Firewalls con Inspeccin de Estado. 26Firewalls a Nivel de Aplicacin. 29


2/32

Firewall

Un firewall o firewalls, es una parte de un sistema o una red que est diseado

para bloquear el acceso no autorizado, permitiendo al mismo tiempo

comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos

configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes

mbitos sobre la base de un conjunto de normas y otros criterios.

Hay dos polticas bsicas en la configuracin de un firewall que cambian

radicalmente la filosofa fundamental de la seguridad en la organizacin:

Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente

permitido. El firewall obstruye todo el trfico y hay que habilitar expresamente el

trfico de los servicios que se necesiten.

Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente

denegado. Cada servicio potencialmente peligroso necesitar ser aislado

bsicamente caso por caso, mientras que el resto del trfico no ser filtrado.

TIPOS DE FIREWALL

Estos pueden ser implementados en hardware o software, o una combinacin de

ambos. Los firewalls se utilizan con frecuencia para evitar que los usuarios de

Internet no autorizados tengan acceso a redes privadas conectadas a Internet,

especialmente intranets. Un firewalls correctamente configurado aade proteccinnecesaria a la red, pero en ningn caso debe considerarse suficiente.

Firewall por hardware:


3/32

Normalmente son dispositivos que se colocan entre el router y la conexin

telefnica. Como ventajas, podemos destacar, que al ser independientes del

computador, no es necesario configurarlos cada vez que reinstalamos el sistema

operativo, y no consumen recursos del sistema.

Firewall por software

Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito

que se conecta entre la red y el cable de la conexin a Internet, o bien un

programa que se instala en la mquina que tiene el modem que conecta con

Internet. Incluso podemos encontrar ordenadores computadores muy potentes y

con software especfico que lo nico que hacen es monitorizar las comunicaciones

entre redes.

Firewalls de capa de red o de filtrado de paquetes

Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de

paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de

los paquetes IP: direccin IP origen, direccin IP destino, etc. A menudo en este

tipo de firewalls se permiten filtrados segn campos de nivel de transporte (nivel 4)

como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la

direccin MAC. Este es uno de los principales tipos de firewalls. Se considera

bastante eficaz y transparente pero difcil de configurar.

Firewalls de capa de aplicacin

Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden

adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se

trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est

intentando acceder. Un firewalls a nivel 7 de trfico HTTP suele denominarse

proxy, y permite que los computadores de una organizacin entren a Internet de


4/32

una forma controlada.

Trabaja en el nivel de aplicacin. Analizando todo el trfico de HTTP, (u otro

protocolo), puede interceptar todos los paquetes que llegan o salen desde y hacialas aplicaciones que corren en la red. Este tipo de firewalls usa ese conocimiento

sobre la informacin transferida para proveer un bloqueo ms selectivo y para

permitir que ciertas aplicaciones autorizadas funcionen adecuadamente. A

menudo tienen la capacidad de modificar la informacin transferida sobre la

marcha, de modo de engaar a las aplicaciones y hacerles creer que el firewalls

no existe.

Firewalls Personales

Estos Firewalls son aplicaciones disponibles para usuarios finales que desean

conectarse a una red externa insegura y mantener su computadora a salvo de

ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus

hasta la prdida de toda su informacin almacenada.

Es un caso particular de firewalls que se instala como software en un computador,

filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa

por tanto, a nivel personal.

PARA QUE SIRVE UN FIREWALL

Bsicamente la funcin de un firewall es proteger los equipos individuales,

servidores o equipos conectados en red contra accesos no deseados de intrusos

que nos pueden robar datos confidenciales, hacer perder informacin valiosa o

incluso denegar servicios en nuestra red.


5/32

As por lo tanto queda claro que es altamente recomendable que todo el mundo

utilice un firewall por los siguientes motivos:

1. Preservar nuestra seguridad y privacidad.

2. Para proteger nuestra red domstica o empresarial.

3. Para tener a salvo la informacin almacenadaen nuestra red, servidores

u ordenadores.

4. Para evitar intrusiones de usuarios no deseados en nuestra red y

ordenador. Los usuarios no deseados tanto pueden ser hackers como

usuarios pertenecientes a nuestra misma red.

5. Para evitarposibles ataques de denegacin de servicio.

As por lo tanto un firewall debidamente configurado nos podr proteger por

ejemplo contra ataquesIP address Spoofing,Ataques Source Routing, etc.

COMO FUNCIONA UN FIREWALL

El firewall normalmente se encuentra en el punto de unin entre 2 redes. En el

caso que podis ver en la captura de pantalla se halla en el punto de unin de una

red pblica (internet) y una red privada.
http://en.wikipedia.org/wiki/IP_address_spoofinghttp://en.wikipedia.org/wiki/IP_address_spoofinghttp://en.wikipedia.org/wiki/IP_address_spoofing


6/32

As mismo tambin vemos que cada una de las subredes dentro de nuestra red

puede tener otro firewall, y cada uno de los equipos a la vez puede tener su propio

firewall por software. De esta forma, en caso de ataques podemos limitar las

consecuencias ya que podremos evitar que los daos de una subred se

propaguen a la otra.

Lo primero que tenemos que saber para conocer el funcionamiento de un firewall

es que la totalidad de informacin y trfico que pasa por nuestro router y que se

transmite entre redes es analizada por cada uno de los firewall presentes en

nuestra red.

Si el trfico cumple con las reglasque se han configurado en los firewall el trfico

podr entrar o salir de nuestra red.

Si el trfico no cumple con las reglas que se han configurado en los firewall

entonces el trfico se bloquear no pudiendo llegar a su destino.


7/32

TIPOS DE REGLAS QUE SE PUEDEN IMPLEMENTAR EN UN FIREWALL

El tipo de reglas y funcionalidades que se pueden construir en un firewall son las

siguientes:

1. Administrar los accesos de los usuarios a los servicios privados de la

redcomo por ejemplo aplicaciones de un servidor.

2. Registrar todos los intentos de entrada y salida de una red. Los intentos

de entrada y salida se almacenan en logs.

3. Filtrar paquetes en funcin de su origen, destino, y nmero de puerto. Esto

se conoce como filtro de direcciones. As por lo tanto con el filtro de

direcciones podemos bloquear o aceptar el acceso a nuestro equipo de la

IP 192.168.1.125 a travs del puerto 22. Recordar solo que el puerto 22

acostumbra a ser el puerto de un servidor SSH.

4. Filtrar determinados tipos de trfico en nuestra red u ordenador personal.

Esto tambin se conoce como filtrado de protocolo. El filtro de protocolo

permite aceptar o rechazar el trfico en funcin del protocolo utilizado.

Distintos tipos de protocolos que se pueden utilizar son http, https, Telnet,

TCP, UDP, SSH, FTP, etc.

5. Controlar el nmero de conexiones que se estn produciendo desde

un mismo punto y bloquearlas en el caso que superen un determinado


8/32

lmite. De este modo es posible evitar algunos ataques de denegacin de

servicio.

6. Controlar las aplicaciones que pueden acceder a Internet. As por lo

tanto podemos restringir el acceso a ciertas aplicaciones, como por ejemplo

dropbox, a un determinado grupo de usuarios.

7. Deteccin de puertos que estn en escucha y en principio no deberan

estarlo. As por lo tanto el firewall nos puede advertir que una aplicacin

quiere utilizar un puerto para esperar conexiones entrantes.

Ventajas y Limitaciones de los firewalls.

Ventajas:

Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes

privadas.

Administran los accesos provenientes de Internet hacia la red privada. Sin

un firewall, cada uno de los servidores propios del sistema se exponen al

ataque de otros servidores en el Internet. Por ello la seguridad en la red

privada depende de la "dureza" con que el firewall cuente.

Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los

usuarios no-autorizados (tal, como, hackers, crakers y espas), prohibiendo

potencialmente la entrada o salida de datos.

El firewall crea una bitcora en donde se registra el trfico ms significativo

que pasa a travs l.

Concentra la seguridad Centraliza los accesos

Limitaciones:

Un firewalls no puede proteger contra aquellos ataques cuyo trfico no pase

a travs de l.

El firewalls no puede proteger de las amenazas a las que est sometido por

ataques internos o usuarios negligentes. El firewalls no puede prohibir a


9/32

espas corporativos copiar datos sensibles en medios fsicos de

almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.

El firewalls no puede proteger contra los ataques de ingeniera social.

El firewalls no puede proteger contra los ataques posibles a la red interna

por virus informticos a travs de archivos y software. La solucin real est

en que la organizacin debe ser consciente en instalar software antivirus en

cada mquina para protegerse de los virus que llegan por cualquier medio

de almacenamiento u otra fuente.

El firewalls no protege de los fallos de seguridad de los servicios y

protocolos cuyo trfico est permitido. Hay que configurar correctamente y

cuidar la seguridad de los servicios que se publiquen en Internet.

La tecnologa empleada en los firewalls ha ido madurando a medida que la

industria especializada avanzaba y ahora tenemos una amplia variedad de

dispositivos que realizan esta funcin de distintas formas. Una forma prctica y

sencilla de comparar las bondades de cada plataforma es examinando las capas

del modelo OSI (Open System Interconnect) donde el firewalls interacta.


10/32

La capa 1, o fsica, define la infraestructura tangible (medios, conectores, voltajes,

etc.) necesaria para las comunicaciones.

La capa 2, o capa de enlace de datos es el nivel donde se desarrollan las

comunicaciones en el interior de las LANs (Local Area Networks) y es la primera

en la que tenemos un espacio de direcciones a travs del cual podemos identificar

a una mquina determinada. Estas direcciones son asignadas a las tarjetas o

interfaces de red y son llamadas direcciones MAC (Media Access Control

addresses).

La Capa 3, o capa de red, es el nivel donde se interconectan las WANs (Wide

Area Networks) y en ella encontramos un segundo espacio de direcciones

identificativo, conocido como direcciones IP (Internet Protocol address).

En la capa 4 o capa de transporte, introducimos dos nuevos conceptos tiles:

sesiones y puertos. Un host puede tener abiertas cualquier nmero de sesiones de

comunicacin contra otro u otros hosts en la misma o distintas redes. Los puertos

pueden verse como los puntos finales (y origen) de conexin de dichas sesiones.

Por ltimo, las capas 5, 6 y 7 (sesin, presentacin y aplicacin) representan los

niveles donde se desenvuelven las aplicaciones del usuario y los servicios finales

de estas y para estas.


11/32

La clasificacin conceptual ms simple divide los firewalls en slo dos tipos:

Firewalls a nivel de red (trabajan en las capas 2, 3 y/o 4).

Firewalls a nivel de aplicacin (trabajan en las capas 5,6 y/o 7).

Como regla general, podemos afirmar que cuanto ms bajas sean las capas en las

que el firewalls trabaja, su evaluacin ser ms rpida y transparente pero su

capacidad de accin ante ataques complejos es menor.

Firewalls de Filtrado de Paquetes.El trmino en ingls por el que se los conoce es Packet Filter Firewalls. Se trata

del tipo ms bsico de firewalls. Analizan el trfico de la red fundamentalmente en

la capa 3, teniendo en cuenta a veces algunas caractersticas del trfico generado

en las capas 2 y/o 4 y algunas caractersticas fsicas propias de la capa 1. Los

elementos de decisin con que cuentan a la hora de decidir si un paquete es

vlido o no son los siguientes:

La direccin de origen desde donde, supuestamente, viene el paquete

(capa 3).

La direccin del host de destino del paquete (capa 3). El protocolo especfico que est siendo usado para la comunicacin,

frecuentemente Ethernet o IP aunque existen firewalls capas de

desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3).

El tipo de trfico: TCP, UDP o ICMP (capas 3 y 4).

Los puertos de origen y destino de la sesin (capa 4).

El interface fsico del firewalls a travs del que el paquete llega y por el que

habra que darle salida (capa 1), en dispositivos con 3 o ms interfaces de

red.


12/32

Con todas o algunas de esta caractersticas se forman dos listas de reglas: una de

permitidas y otra de denegadas. La forma en que un paquete recibido se procesa

en funcin de estas dos listas difiere segn el modelo, el fabricante o el modo de

actuacin configurado y define en gran medida la permisividad del firewalls. Los

ms restrictivos exigen que el paquete pase con xito por ambas listas, es decir,

que no sea expresamente denegado en la una y sea expresamente autorizado en

la segunda. Otras veces existe una nica lista de reglas y el paquete es procesado

segn la primera regla que encontramos en la tabla y define como tratarlo. Otros


13/32

firewalls usan la ltima regla que encuentran como accin a efectuar. Por ltimo,

tambin encontramos diferencias en cuanto a qu hacer cuando no se encuentra

ninguna regla vlida: algunos productos aceptan el paquete y otros lo rechazan.

Es, pues, fundamental conocer perfectamente el modo de trabajo del equipo que

nos ocupa en cada momento.

En la siguiente tabla tenemos un pequeo ejemplo de una de estas ltimas listas

de reglas en la que el firewalls posee la direccin IP 192.168.1.1:

Aparte de Aceptar (Accept) o Rechazar (Deny o Drop), la mayora de los firewalls

de este tipo poseen un tercer tipo de accin: Descartar (Discard o Stealth).

Cuando un paquete es procesado por una regla que define esta accin, este se

elimina silenciosamente sin devolverse error alguno al originario del mismo

creando un efecto de agujero negro y evitando as el firewalls revelar su

presencia.

Las principales bondades de este tipo de firewalls estn en su rapidez,

transparencia y flexibilidad. Proporcionan un alto rendimiento y escalabilidad y

muy bajo coste, y son muy tiles para bloquear la mayora de los ataques de


14/32

Denegacin de Servicio, por ello se siguen implementando como servicios

integrados en algunos routers y dispositivos hardware de balanceo de carga de

gama media-alta.

Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la

hora de configurarlos y mantenerlos. Son fcilmente vulnerables mediante

tcnicas de spoofing y no pueden prevenir contra ataques que exploten

vulnerabilidades especficas de determinadas aplicaciones, puesto que no

examinan las capas altas del modelo OSI. La informacin almacenada en los logs

de accesos es tan imprecisa como los parmetros usados en la configuracin de

su lista de reglas (direcciones de origen, de destino, puertos, protocolos, interfaces

de red, etc.) y la complejidad en la construccin de reglas hace que deban de ser

configurados por expertos conocedores del protocolo y que sean muy susceptibles

a los errores.

No son, pues, efectivos como medida nica de seguridad, pero s muy prcticos

como primera barrera, en la que se bloquean ciertos ataques, se filtran protocolos

no deseados y se pasan los paquetes restantes a otro firewalls que examine las

capas ms altas del protocolo.

Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este

control puede ser tan simple como permitir o denegar los hosts o direcciones de

red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico

de red segn el puerto TCP que se utiliza.

Para comprender cmo funciona una ACL con TCP, observemos el dilogo

durante una conversacin TCP cuando descarga una pgina Web a su equipo.


15/32


16/32

El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla

el acceso a la red, analiza los paquetes de entrada y de salida, y permite o

bloquea su ingreso segn un criterio establecido.

Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para

determinar la autorizacin o denegacin del trfico segn las direcciones IP de


17/32

origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete.

Estas reglas se definen mediante las listas de control de acceso o ACL.

Listas de control de acceso (ACL).Una lista de control de acceso o ACL (del ingls, access control list) es un

concepto de seguridad informtica usado para fomentar la separacin de

privilegios. Es una forma de determinar los permisos de acceso apropiados a un

determinado objeto, dependiendo de ciertos aspectos del proceso que hace el

pedido.

Las ACL permiten controlar el flujo del trfico en equipos de redes, tales como

enrutadores y conmutadores. Su principal objetivo es filtrar trfico, permitiendo o

denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin

tienen usos adicionales, como por ejemplo, distinguir "trfico interesante" (trfico

suficientemente importante como para activar o mantener una conexin) en RDSI.


18/32

ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de

dominios (de redes) que estn disponibles en un terminal u otro dispositivo de

capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen

permiso para usar el servicio. Tanto servidores individuales como enrutadores

pueden tener ACL de redes. Las listas de control de acceso pueden configurarse

generalmente para controlar trfico entrante y saliente y en este contexto son

similares a un firewalls. Existen dos tipos de listas de control de acceso:

Listas estndar, donde solo tenemos que especificar una direccin de origen;

Listas extendidas, en cuya sintaxis aparece el protocolo y una direccin de

origen y de destino.

Una ACL es una lista secuencial de sentencias de permiso o denegacin que se

aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la

siguiente informacin del encabezado del paquete, probarla respecto de las reglas

y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios:

Direccin IP de origen

Direccin IP de destino

Tipo de mensaje ICMP.

La ACL tambin puede extraer informacin de las capas superiores y probarla

respecto de las reglas. La informacin de las capas superiores incluye:

Puerto TCP/UDP de origen

Puerto TCP/UDP de destino

Hay dos tipos de ACL Cisco: estndar y extendidas.

ACL estndar

Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones

IP de origen. No importan el destino del paquete ni los puertos involucrados. El

ejemplo permite todo el trfico desde la red 192.168.30.0/24.


19/32

Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro

trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de

configuracin global.

ACL extendidas

Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por

ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino,

puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin

opcional de tipo de protocolo para una mejor disparidad de control.

En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin

en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP).

Las ACL extendidas se crean en el modo de configuracin global.

Lgica de las ACL estndar

En la figura, se revisan las direcciones de origen de los paquetes que ingresan a

Fa0/0:


20/32

access-list 2 deny 192.168.10.1

access-list 2 permit 192.168.10.0 0.0.0.255

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Si los paquetes tienen permiso, se enrutan a travs del router hacia una interfaz

de salida.

Si se les niega el permiso, se los descarta en la interfaz de entrada.


21/32

Mscaras wildcard

Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras

wildcard. Una mscara wildcard es una secuencia de dgitos binarios que le

indican al router qu partes del nmero de subred observar. La mscara determinaqu parte de la direccin IP de origen y destino aplicar a la concordancia de

direcciones. Los nmeros 1 y 0 de la mscara identifican cmo considerar los bits

de direcciones IP correspondientes.

Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la

direccin

Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin.


22/32

Procedimientos de configuracin de las ACL estndar

Luego de configurar una ACL estndar, se la vincula a una interfaz con el

comando ip access-group:

Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso}

{in | out}


23/32

Prueba de puertos y servicios

La posibilidad de filtrar protocolos y nmeros de puerto le permite crear ACL

extendidas muy especficas. Mediante el nmero de puerto adecuado, puede

especificar una aplicacin al configurar el nmero de puerto o el nombre de un

puerto bien conocido.


24/32


25/32


26/32

Ventajas:

Un solo enrutador con filtrado puede proteger

toda una red completa.

El filtrado simple es muy eficiente.

Desventajas:

El filtrado reduce la performance del enrutador.

Algunas polticas no son fciles de implementar

por enrutadores comunes.

Firewalls con Inspeccin de Estado.Los firewalls de segunda generacin, llamados con firewalls con inspeccin de

estado, o Stateful Inspection Firewalls o Circuit Level Firewalls, son bsicamente

firewalls de filtrado de paquetes en los que, adems, se valida a la hora de aceptar

o rechazar un paquete el hecho de que este sea una peticin de nueva conexin o

pertenezca a un circuito virtual (o sesin) ya establecido entre un host externo y

otro interno.

Cuando una aplicacin crea una sesin TCP con un host remoto, se establece un

puerto en el sistema originario de la conexin con objeto de recibir all los datos

provenientes del sistema remoto. De acuerdo a las especificaciones de TCP, este

puerto del host cliente estar comprendido entre el 1023 y el 16.384. En el sistema

remoto se establecer, asimismo, un puerto que ser siempre menor al 1024.

Los firewalls por filtrado de paquetes deben de permitir trfico entrante en todos

los puertos superiores (1023 hasta 16.384) para permitir los datos de retorno de

las conexiones salientes. Esto crea un gran riesgo de intrusiones. Los firewalls con

inspeccin de estado resuelven eficazmente este problema construyendo unatabla con informacin correspondiente a todas las sesiones TCP abiertas y los

puertos que utilizan para recibir los datos y no permitiendo el trfico entrante a

ningn paquete que no corresponda con ninguna de estas sesiones y puertos.

Para hacer esto, los firewalls de este tipo examinan rigurosamente el

establecimiento de cada conexin (en la capa 4 del modelo OSI) para asegurarse


27/32

de que esta es legtima y est permitida. Los paquetes no son remitidos a su

destino hasta que el establecimiento de la conexin ha sido correctamente

completado y verificado.

El firewalls mantiene una tabla de conexiones vlidas (en la que se incluye

informacin del estado de cada sesin) y deja pasar los paquetes que contienen

informacin correspondiente a una entrada vlida en dicha tabla de circuitos

virtuales.

Una vez que la conexin finaliza la entrada en la tabla es eliminada y el circuito

virtual entre los dos hosts es cerrado.

Las tablas de estado de circuitos virtuales suelen contener, por cada conexin, la

siguiente informacin:

Un identificador de sesin nico asignado por el firewalls a cada conexin

establecida.

El estado de la conexin: negocindose (handshake), establecida o

cerrndose. (capa 4)

El nmero de secuencia del ltimo paquete (capa 4).

La direccin IP origen de los datos (capa 3).

La direccin IP destino de los datos (capa 3).

La interface fsica de red, si procede, a travs de la que los paquetes llegan

(capa 1).

La interface fsica de red, si procede, a travs de la que los paquetes salen

(capa 1).


28/32

Usando esta informacin y con un ligero escrutinio de las cabeceras de los

paquetes, el firewalls es capaz de determinar cuando un paquete es vlido y

cuando no lo es. Una vez que la conexin es establecida, el resto de los paquetes

asociados con ella son rutados sin mas comprobaciones. Esto los hara, de base,

tremendamente vulnerables a ciertos tipos de ataques, pero muy pocos firewalls

de este tipo son tan rudimentarios. Sobre esta base, y aprovechando la gran

velocidad y consistencia que supone la misma, se realizan otro tipo de

verificaciones para, por ejemplo, asegurarnos que no ha habido suplantamiento

(spoofing), que no existen paquetes malformados, etc. Tambin son comunes en

ellos la implantacin de sistemas de translacin de direcciones, NAT, que ocultan

eficazmente el interior de nuestra red a intrusos externos.

Las principales ventajas de este esquema de salvaguardas son la velocidad de

filtrado, la solidez de sus principios de cara a establecer una poltica de seguridad

y, en conjunto con un esquema de traslacin de direcciones, la slida proteccin

adicional a las direcciones IP internas.

Sus principales debilidades residen en su limitacin estrictamente al escrutinio del

protocolo TCP, la imposibilidad de chequear protocolos de niveles altos, las

limitaciones inherentes a su mecnica de actuacin a la hora de llevar un registro


29/32

de sucesos y la imposibilidad de implementar algunos servicios de valor aadido,

como realizar cacheado de objetos http o filtrado de URLs (puesto que no

entienden estosprotocolos).

Firewalls a Nivel de Aplicacin.Como su nombre indica, esta generacin de firewalls evala los paquetes

realizando una validacin en la capa de aplicacin (capa 7) antes de permitir una

conexin manteniendo, al igual que hacen los firewalls de inspeccin de estado,

un riguroso control del estado de todas las conexiones y el nmero de secuencia

de los paquetes. Adicionalmente, este tipo de firewalls suelen prestar, dado su

emplazamiento en la capa 7, servicios de autenticacin de usuarios.

La prctica totalidad de los firewalls de este tipo, suelen prestar servicios de Proxy.

Tanto es as que a menudo se identifican biunvocamente unos con otros. Un

Proxy es un servicio especfico que controla el trfico de un determinado protocolo

(como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un

detallado registro de sucesos respecto al mismo. Los servicios o agentes tpicos

con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS,

LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentesgenricos que, en teora, son capaces de inspeccionar cualquier protocolo de la

red, pero lgicamente, usarlos le resta robustez al esquema y facilita a un intruso

la labor de establecer un tnel (tunneling) a travs de el.

Los agentes o servicios Proxy estn formados por dos componentes: un servidor y

un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados

por un nico ejecutable. El servidor acta como destino de las conexiones

solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que

realmente encamina la peticin haca el servidor externo y recibe la respuesta de

este.

Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red

interna.


30/32

De esta forma estamos creando un aislamiento absoluto impidiendo una

comunicacin directa entre la red interna y la externa. En el dilogo entre cliente y

servidor proxy se evalan las peticiones de los clientes de la red interna y se

decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando

meticulosamente que los paquetes de datos sean en todo momento correctos.

Puesto que son servicios hechos a medida para el protocolo que inspeccionan,

tenemos un control total y un registro de sucesos al ms alto detalle.

En el siguiente grfico podemos ver un ejemplo de cmo se desarrolla la

comunicacin antes descrita:

Las principales ventajas de este tipo de firewalls son sus detallados registros de

trfico (ya que pueden examinar la totalidad del paquete de datos), el valor

aadido que supone tener un servicio de autenticacin de cara a securizar nuestra

red, y la casi nula vulnerabilidad que presentan ante ataques de suplantacin


31/32

(spoofing), el aislamiento que realizan de nuestra red, la seguridad que

proporciona la comprensin a alto nivel de los protocolos que inspeccionan y los

servicios aadidos, como cach y filtro de URLs, que prcticamente todos

implementan.

Entre los inconvenientes estn sus menores prestaciones (en cuanto a velocidad

de inspeccin se refiere) frente a los otros modelos ya vistos, la necesidad de

contar con servicios especficos para cada tipo distinto de trfico, la imposibilidad

de ejecutar muchos otros servicios en el (puesto que escucha en los mismos

puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros

servicios comunes, la necesidad de reemplazar la pila TCP nativa en el servidor

donde se ejecutan y lo vulnerables que resultan ante ataques directos al sistema

operativo sobre el que se suelen ejecutar.

Ventajas:

Registro eficiente de conexiones

Capacidad de filtrado inteligente/caching.

Autenticacin de usuarios.

Proteccin automtica para debilidades en la implementacin

Desventajas:

Demora en disponer del proxy para nuevas aplicaciones.

A menudo implican modificaciones a los clientes y las aplicaciones.


32/32

FIREWALL TAREA.docx

Documents

Transcript of FIREWALL TAREA.docx