FIREWALLS

ASPECTOS PROBLEMATICOS DE LA SEGURIDAD

Los virus y su constante desarrollo Los troyanos

– En general no detectados por antivirus

Las vulnerabilidades – De los sistemas operativos

Los spammers Todas sus combinaciones

FIREWALL

Definición– Conjunto de hardware y/o software montados sobre un

sistema (o sobre varios) que controla el trafico entre dos redes aplicando una serie de reglas especificas.

– “sistema o grupo de sistemas que establece una política de control de acceso entre dos redes ".

– Similar a un router al que se le añade seguridad. La política de seguridad tiene en cuenta paquetes conexiones

y/o aplicaciones, que vienen de fuera (lo más habitual) y que van de dentro hacía afuera.

Sin política de seguridad, firewall = router.

OBJETIVOS BASICOS DE UN FIREWALL

Bloquea los datos entrantes que pueden contener un ataque

Oculta la información acerca de la red, haciendo que todo parezca como tráfico de salida del firewall y no de la red.

Esto también se conoce como NAT (Network Address Translation)

• Filtra el tráfico de salidaCon el fin de restringir el uso de Internet y el acceso a localidades remotas

CLASIFICACION DE FIREWALLS

De filtración de paquetes, Servidores proxy a nivel de aplicación De inspección de paquetes (SPI, Stateful

Packet Inspection).

Filtración de Paquetes

Utiliza reglas para negar el acceso, según la información contenida en el paquete y en la lista de las direcciones confiables

Problemas: Propenso al “spoofing” de IP

– Truco en el cual los datos parecen provenir de una fuente confiable o incluso de una dirección de su propia red

Son muy difíciles de configurar. Cualquier error en su configuración, puede dejarlo

vulnerable a los ataques

Aplication Level

Filtran tráfico a nivel de aplicación Debe existir para cada protocolo y servicio

que se desea filtrar (FTP, HTTP, SMTP, etc.).

No utilizan reglas de control de acceso Aplican restricciones para garantizar la

integridad de la conexión (filtran comandos)

Firewall de SPI

Ultima generación en la tecnología de firewall

Tecnología más avanzada y segura examina todos los componentes de un paquete IP para

decidir si acepta o rechaza la comunicación

Firewall de SPI

Mantiene un registro de todas las solicitudes de información que se originan de la red

Luego, inspecciona toda comunicación entrante para verificar si realmente fue solicitada y rechaza cualquiera que no lo haya sido

Luego, proceden al siguiente nivel de inspección y el software determina el estado de cada paquete de datos.

Firewalls con zona desmilitarizada (DMZ)

Solución efectiva para empresas que ofrecen a sus clientes la posibilidad de conectarse a su red a partir de cualquier medio externo

Los usuarios externos pueden ingresar al área protegida, pero no pueden acceder al resto de la red

hardware vs. software

 Firewall integrado con

Hardware (“Appliance”)

Firewall basado en software

Tiempo deInstalación

Estos dispositivos están listospara conectarse y configurarse tanpronto como salen de la caja.

Requiere un tiempo variable: senecesita instalar el sistema operativo, configurarlo, instalar “drivers” de dispositivos de hardware y finalmente instalar el software de firewall antes de iniciarla configuración

hardware vs. software

Escalabilidad

Las opciones de crecimientode hardware son limitadas y sueleser necesario cambiar todo eldispositivo.

La integración a nivel aplicaciónpermite seleccionar y modificar labase de hardware con mayorflexibilidad. Esto permite cambiar elhardware fácilmente cuando seanecesario.

hardware vs. software

Estabilidad

Estos dispositivos incluyenhardware y un sistema operativoextensivamente probado yadecuado por el fabricante paragarantizar un correcto desempeño ycompatibilidad

Es necesario configurarmanualmente dispositivos y sistemaoperativo para garantizar undesempeño adecuado.Se requiere efectuar también de unreforzamiento de la seguridad anivel sistema operativo.

hardware vs. software

Flexibilidad enconfiguraciónde hardware y S.P.

Las opciones de configuraciónen hardware y sistema operativosubyacente están limitadas por elfabricante para garantizar estabilidad

Existe mayor libertad paramodificar la configuración dehardware y sistema operativo encaso necesario.

Software

Tienen cambios constantes en su infraestructura tecnológica y de red

Poseen personal dedicado para la administración y operación de los dispositivos y están altamente capacitados 

Hardware

Carecen de personal dedicado (y especializado) para la administración, instalación y configuración del firewall

Carecen de personal especialista en sistemas operativos

Tienen pocos cambios (o cambios graduales) en su infraestructura tecnológica y de red

TOPOLOGIAS

Firewall entre internet y una red local

TOPOLOGIAS

Según las necesidades de cada red : Uno o más firewalls para establecer distintos perímetros

de seguridad DMZ o zona desmilitarizada

– Necesidad de exponer algún servidor a internet

TOPOLOGIA - DMZ

TOPOLOGIA

Cuando se usa un firewall con tres interfaces, se crea un mínimo de tres redes. Las tres redes que crea el firewall se describen de este modo: – Interior – Exterior– DMZ (Zona desmilitarizada)

INTERIOR

Área de confianza de la internetwork Los dispositivos internos forman la red

privada de la organización – Comparten directivas de seguridad comunes con

respecto a la red exterior (Internet). – Se mantienen en entornos de confianza entre

ellos– Si un departamento, como Recursos Humanos, tiene que

ser protegido del resto de usuarios de confianza, se puede utilizar un firewall.

EXTERIOR

Área de no confianza de la internetwork Los dispositivos del interior y de la DMZ se

protegen de los dispositivos del exterior las empresas suelen permitir el acceso a la

DMZ desde el exterior Para ofrecer servicios web por ejemplo

DMZ (Zona desmilitarizada)

Red aislada Pueden acceder los usuarios del exterior Posibilita que una empresa ponga la

información y los servicios a disposición de los usuarios del exterior dentro de un entorno seguro y controlado

Hosts bastión : hosts o servidores que residen en la DMZ

Host Bastion

Está actualizado con respecto a su sistema operativo

Menos vulnerable a los ataques

Ejecuta los servicios necesarios para realizar sus tareas de aplicación

Los servicios innecesarios (y a veces más vulnerables) son desactivados o eliminados.

TOPOLOGIA – HOST BASTION

QUE FIREWALL ELEGIR?

Asegurar de que se trata de una solución segura y de que ha sido certificada por una organización confiable

Depende de las necesidades de seguridad de la organización

Definir las políticas de firewall: Requiere un análisis de las necesidades, inclusive la

evaluación de riesgos, para Luego determinar los requisitos

FINAL

MAS IMPORTANTE QUE LA ELECCION DEL FIREWALL ES TOMAR LAS MEDIDAS DE SEGURIDAD CORRECTAS Y EDUCAR A LAS PERSONAS A IDENTIFICAR Y NO CREAR RIESGOS