Proxy &Firewall

download Proxy &Firewall

of 24

  • date post

    12-Jul-2015
  • Category

    Documents

  • view

    286
  • download

    0

Embed Size (px)

Transcript of Proxy &Firewall

TRABAJO DE INVESTIGACIN CORTAFUEGOS Y PROXY PFSEN PFSENSE SOBRE BDS Y SQUID

Profesor(a) Alumnos

: :

Wladimir Jimnez Javier Ignacio Rodrguez Rebolledo Luis Alexis Gonzlez Muoz

Asignatura Curso

: :

S O Linux Redes Vespertino

INDICE

Portada Indice Introduccin Historia del Cortafuegos Primera Generacin Segunda / Tercera Generacin Acontecimientos Posteriores Descripcin y Tipos de Cortafuegos Descripcin de Proxy Funciones del Proxy Implementacin de Cortafuegos PfSense y Proxy Squid Conclusin Bibliografa

1 2 3 4 5 6 7 8 9 10 11 - 22 23 24

INTRODUCCIN

La seguridad ha sido la preocupacin principal cuando una organizacin debe conectar su red privada al Internet. Sin importar el tipo de negocios, se ha incrementado el nmero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet como World Wide Web (WWW), Internet Mail (e-mail), RSS, Comunidades Globales, Telnet y File Transfer Protocol (FTP). Los administradores de red tienen que revisar constantemente todo lo relativo a la seguridad de sus sistemas, debido a que, al acceder a internet se expone los datos privados de la organizacin as como la infraestructura de su red. Para tratar estos problemas y proveer el nivel de proteccin adecuada, la organizacin necesita implementar y seguir una poltica de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, as como, protegerse contra la exportacin privada de informacin. Sin embargo, si una organizacin no est conectada al Internet, esta debera establecer una poltica de seguridad interna para administrar el acceso de usuarios a porciones de red y proteger sensitivamente la informacin secreta.

HISTORIA

La tecnologa de los cortafuegos surgi a finales de 1980, cuando Internet era una tecnologa bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenan a las redes separadas unas de otras. La visin de Internet como una comunidad relativamente pequea de usuarios con mquinas compatibles, que valoraba la predisposicin para el intercambio y la colaboracin, termin con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80 : Clifford Stoll, que descubri la forma de manipular el sistema de espionaje alemn. Bill Cheswick, cuando en 1992 instal una crcel simple electrnica para observar a un atacante. En 1988, un empleado del Centro de Investigacin Ames de la NASA, en California, envi una nota por correo electrnico a sus colegas que deca: "Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames."

El Gusano Morris, que se extendi a travs de mltiples vulnerabilidades en las mquinas de la poca. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.

PRIMERA GENERACIN Cortafuegos de Red: Filtrado de Paquetes El primer documento publicado para la tecnologa firewall data de 1988, cuando Digital Equipment Corporation (DEC) desarroll los sistemas de filtro conocidos como cortafuegos de filtrado de paquetes. Este sistema, bastante bsico, fue la primera generacin de lo que se convertira en una caracterstica ms tcnica y evolucionada de la seguridad de Internet. Filtrado de paquetes acta mediante la inspeccin de los paquetes ya que estos representan la unidad bsica de transferencia de datos entre ordenadores en Internet. Si un paquete coincide con el conjunto de reglas del filtro, el paquete se reducir, es decir har un descarte silencioso o bien ser rechazado (desprendindose de l y enviando una respuesta de error al emisor). Este tipo de filtrado no presta atencin al paquete como parte de una secuencia existente de trfico. En cambio, se filtra cada paquete basndose en la informacin contenida en el mismo (utiliza el emisor del paquete y la direccin de destino, su protocolo y el nmero de puerto). Los protocolos TCP y UDP comprenden la mayor parte de comunicacin a travs de Internet, utilizando por convencin puertos bien conocidos para determinados tipos de trfico, por lo que un filtro de paquetes puede distinguir entre ambos tipos de trfico (ya sean navegacin web, impresin remota, envo y recepcin de correo electrnico, transferencia de archivos); a menos que las mquinas a cada lado del filtro de paquetes son a la vez utilizando los mismos puertos no estndar. El filtrado de paquetes en un cortafuego acta en las tres primeras capas del modelo OSI, lo que significa que todo el trabajo lo realiza entre la red y las capas fsicas. Cuando el emisor origina un paquete y es filtrado por el cortafuegos, ste comprueba las reglas de filtrado de paquetes que lleva configuradas, aceptando o rechazando el paquete. Cuando el paquete pasa a travs de cortafuegos, ste filtra el paquete mediante un protocolo y un nmero de puerto base (GSS). Por ejemplo, si existe una norma en el cortafuego para bloquear el acceso telnet, bloquear el protocolo IP para el nmero de puerto 23.

SEGUNDA GENERACIN Cortafuegos de Estado Durante 1989 y 1990, tres colegas de los laboratorios AT&T Bell, Dave Presetto, Janardan Sharma, y Nigam Kshitij, desarrollaron la tercera generacin de servidores de seguridad. Esta generacin cortafuegos tiene en cuenta adems la colocacin de cada paquete individual dentro de una serie de paquetes. Esta tecnologa se conoce generalmente como la inspeccin de estado de paquetes, ya que mantiene registros de todas las conexiones que pasan por el cortafuegos, siendo capaz de determinar si un paquete indica el inicio de una nueva conexin, es parte de una conexin existente, o es un paquete errneo. Este tipo de cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o ciertos ataques de denegacin de servicio.

TERCERA GENERACIN Cortafuegos de Aplicacin Son aquellos que actan sobre la capa de aplicacin del modelo OSI. La clave de un cortafuegos de aplicacin es que puede entender ciertas aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, DNS o navegacin web), y permite detectar si un protocolo no deseado se col a travs de un puerto no estndar o si se est abusando de un protocolo de forma perjudicial. Un cortafuegos de aplicacin es mucho ms seguro y fiable cuando se compara con un cortafuegos de filtrado de paquetes, ya que repercute en las siete capas del modelo de referencia OSI. En esencia es similar a un cortafuegos de filtrado de paquetes, con la diferencia de que tambin podemos filtrar el contenido del paquete. El mejor ejemplo de cortafuegos de aplicacin es ISA (Internet Security and Acceleration).

Un cortafuegos de aplicacin puede filtrar protocolos de capas superiores tales como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP y TFTP (GSS). Por ejemplo, si una organizacin quiere bloquear toda la informacin relacionada con una palabra en concreto, puede habilitarse el filtrado de contenido para bloquear esa palabra en particular. No obstante, los cortafuegos de aplicacin resultan ms lentos que los de estado.

ACONTECIMIENTOS POSTERIORES

En 1992, Bob Braden y DeSchon Annette, de la Universidad del Sur de California (USC), dan forma al concepto de cortafuegos. Su producto, conocido como "Visas", fue el primer sistema con una interfaz grfica con colores e iconos, fcilmente implementable y compatible con sistemas operativos como Windows de Microsoft o MacOS de Apple. En 1994, una compaa israel llamada Check Point Software Technologies lo patent como software denominndolo FireWall-1. La funcionalidad existente de inspeccin profunda de paquetes en los actuales cortafuegos puede ser compartida por los sistemas de prevencin de intrusiones (IPS). Actualmente, el Grupo de Trabajo de Comunicacin Middlebox de la Internet Engineering Task Force (IETF) est trabajando en la estandarizacin de protocolos para la gestin de cortafuegos. Otro de los ejes de desarrollo consiste en integrar la identidad de los usuarios dentro del conjunto de reglas del cortafuegos. Algunos cortafuegos proporcionan caractersticas tales como unir a las identidades de usuario con las direcciones IP o MAC. Otros, como el cortafuegos NuFW, proporcionan caractersticas de identificacin real solicitando la firma del usuario para cada conexin.

DESCRIPCION

Un Firewall en Internet es un sistema o grupo de sistemas que impone una poltica de seguridad entre la organizacin de red privada y el Internet. El firewall determina cual de los servicios de red pueden ser accezados dentro de esta por los que estn fuera, es decir quin puede entrar para utilizar los recursos de red pertenecientes a la organizacin. Para que un firewall sea efectivo, todo trfico de informacin a travs del Internet deber pasar a travs del mismo donde podr ser inspeccionada la informacin. El firewall podr nicamente autorizar el paso del trfico, y el mismo podr ser inmune a la penetracin. Desafortunadamente, este sistema no puede ofrecer proteccin alguna una vez que el agresor lo traspasa o permanece entorno a este.

TIPOS DE CORTAFUEGOS

-

Nivel de aplicacin de pasarela

Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradacin del rendimiento. Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se permiten filtrados segn campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y de