Cortafuegos

2,167
-1

Published on

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,167
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
117
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Cortafuegos

  1. 1. Cortafuegos “Firewall”
  2. 2. Índice <ul><li>Definición </li></ul><ul><li>¿Por qué utilizar un firewall? </li></ul><ul><li>Tipos habituales de ataque </li></ul><ul><li>Puntos fuertes y débiles de un firewall </li></ul><ul><li>Características de diseño </li></ul><ul><li>Elementos de un cortafuegos </li></ul><ul><li>Arquitecturas de cortafuegos </li></ul><ul><li>Software cortafuegos </li></ul><ul><li>Conclusión </li></ul>
  3. 3. Definición de cortafuegos <ul><li>Un firewall o cortafuegos es un sistema o grupo de sistemas que hace cumplir una política de control de acceso entre dos redes, es decir, cualquier sistema utilizado para separar, en cuanto a seguridad se refiere, una máquina o subred del resto, protegiéndolos de servicios y protocolos que desde el exterior pueden suponer una amenaza de seguridad. </li></ul><ul><ul><li>El espacio protegido perímetro de seguridad </li></ul></ul><ul><ul><li>Red externa no confiable zona de riesgo </li></ul></ul>
  4. 4. Esquema básico Perímetro de seguridad Zona de riesgo
  5. 5. Esquema básico Zona de riesgo Perímetro de seguridad
  6. 6. ¿ Por qué utilizar un firewall? <ul><li>Riesgo de confidencialidad </li></ul><ul><li>Riesgo de integridad de datos </li></ul><ul><li>Riesgo de disponibilidad </li></ul>
  7. 7. Riesgo de confidencialidad <ul><li>Una persona no autorizada tenga acceso a datos importantes o que se revelen de forma prematura. Una empresa puede perder fácilmente millones si el plan de su negocio, los secretos comerciales de la empresa o la información financiera se viera expuesta. </li></ul>
  8. 8. Riesgo de la integridad de datos <ul><li>Modificación no autorizada de los datos . Las empresas crecen y prosperan según la exactitud de la información que generan sus sistemas. ¿ Cómo se pueden tomar mejores decisiones si la información del sistema no es de confianza? </li></ul>
  9. 9. Riesgo en la disponibilidad <ul><li>La disponibilidad de los sistemas asegura que éstos sean lo suficientemente fuertes y que estén disponibles para los usuarios en el momento oportuno </li></ul>
  10. 10. Tipos habituales de ataque <ul><li>Lista abreviada: </li></ul><ul><ul><li>Ingeniería social </li></ul></ul><ul><ul><ul><li>Un atacante engaña al administrador o a otro usuario autorizado de un sistema para que comparta sus credenciales de conexiones o detalles de la operación del sistema. </li></ul></ul></ul><ul><ul><li>Errores de software </li></ul></ul><ul><ul><ul><li>Un atacante explota un defecto de programación y obliga a una aplicación o servicio a ejecutar comandos no autorizados o no esperados, peligrosos especialmente cuando el programa se ejecuta con privilegios adicionales o administrativos </li></ul></ul></ul>
  11. 11. Tipos habituales de ataque <ul><ul><li>Virus y código troyano </li></ul></ul><ul><ul><ul><li>Un atacante engaña a un usuario legítimo al ejecutar un programa, siendo la forma más común de ataque el disfrazar el programa con el aspecto de un inocente correo electrónico o dentro de un virus. </li></ul></ul></ul><ul><ul><li>Configuración pobre del sistema </li></ul></ul><ul><ul><ul><li>Un atacante es capaz de explotar los errores de configuración de un sistema en los servicios y cuentas que están disponibles </li></ul></ul></ul><ul><ul><ul><ul><li>No cambiar contraseñas </li></ul></ul></ul></ul><ul><ul><ul><ul><li>No restringir accesos a los programas de administración de aplicaciones </li></ul></ul></ul></ul><ul><ul><ul><ul><li>No deshabilitar servicios innecesarios que no se utilizan </li></ul></ul></ul></ul>
  12. 12. Puntos fuertes <ul><li>Los firewalls son excelentes para reforzar la política de una empresa. </li></ul><ul><li>Los firewalls se utilizan para restringir el acceso a servicios específicos </li></ul><ul><li>Los firewalls solo tienen un propósito </li></ul><ul><li>Los firewalls son excelentes auditores </li></ul><ul><li>Los firewalls son excelentes para alertar a las personas apropiadas acerca de los sucesos que se producen </li></ul>
  13. 13. Puntos débiles <ul><li>Los firewalls no ofrecen protección ante lo que está autorizado. </li></ul><ul><li>Los firewalls son tan eficaces como las reglas que tienen que aplicar de acuerdo con su configuración. </li></ul><ul><li>El firewall no puede detener la ingeniería social o a un usuario autorizado que utilice su acceso con propósitos maliciosos. </li></ul><ul><li>Los firewalls no pueden solucionar las prácticas administrativas débiles o un diseño inadecuado de una directiva de seguridad. </li></ul><ul><li>Los firewalls no pueden detener ataques si el tráfico no pasa a través de ellos. </li></ul>
  14. 14. Características de diseño <ul><li>Existen tres decisiones básicas en el diseño o la configuración de un firewall: </li></ul><ul><ul><li>Primera : la política de seguridad de la organización </li></ul></ul><ul><ul><li>Segunda: decisión de diseño es el nivel de monitorización, redundancia y control deseado en la organización </li></ul></ul><ul><ul><li>Tercera : económica </li></ul></ul>
  15. 15. Primera <ul><li>Dos ejemplos de posturas tomadas: </li></ul><ul><ul><li>Firewall para bloquear tráfico externo hacia su dominio (excepto, por ejemplo, las consultas a su página web) </li></ul></ul><ul><ul><li>Firewall para evitar que los usuarios pierdan el tiempo en la red (bloquear, por ejemplo, todos los servicios al exterior salvo el correo elctrónico) </li></ul></ul>
  16. 16. Segunda <ul><li>Se refiere básicamente a que se va a permitir y que se va a denegar </li></ul><ul><ul><li>Postura restrictiva “Deneguemos todo lo que explícitamente no se permita” </li></ul></ul><ul><ul><li>Postura permisiva “Permitamos todo excepto lo explícitamente denegado” </li></ul></ul>
  17. 17. Tercero <ul><li>En función del valor estimado de lo que deseemos proteger , debemos gastar más o menos dinero, o no gastar nada. </li></ul>
  18. 18. <ul><li>Las decisiones anteriores aunque concernientes al diseño, eran básicamente políticas; la primera decisión elemental a la que nos vamos a enfrentar a la que nos vamos a enfrentar a la hora de instalar un cortafuegos es: </li></ul><ul><li>¿ DÓNDE LO COLOCAMOS PARA QUE CUMPLA EFICIENTEMENTE SU </li></ul><ul><li>CONTENIDO? </li></ul>
  19. 19. Elementos de un cortafuegos <ul><li>Filtrado de paquetes : acción de denegar o permitir el flujo de paquetes entre dos redes de acuerdo con unas normas predefinidas. * puerta de enlace </li></ul><ul><li>Proxy de aplicación: programa que realiza una acción en representación de otro. </li></ul><ul><li>Monitorización: nos facilitará información sobre los intentos de ataque </li></ul>
  20. 20. Filtrado de paquetes <ul><li>Modelo OSI </li></ul>
  21. 21. Filtrado de paquetes <ul><li>Correspondencia entre OSI y TCP/IP </li></ul>
  22. 22. Filtrado de paquetes <ul><li>Se analiza la cabecera de cada paquete </li></ul>
  23. 23. Filtrado de paquetes <ul><li>En función de una serie de reglas preestablecidas la trama es bloqueada o se le permite seguir su camino. Las reglas normalmente se expresan con una simple tabla de condiciones: </li></ul>Aceptar 80 TCP 195.5.5.1 Aceptar * * * 124.12.12.0/24 Denegar * * * 165.56.0.0/16 Acción Puerto Tipo Destino Origen
  24. 24. Filtrado de paquetes <ul><li>Si llegara un paquete que no encajara dentro de ninguna de las reglas lo mejor que podemos hacer es añadir siempre al final de la tabla una última regla donde se exprese la acción que deseamos realizar por defecto. </li></ul>Denegar * * * * Acción Puerto Tipo Destino Origen
  25. 25. Proxy de aplicación <ul><li>Servidor Proxy: aplicación software para reenviar o bloquear conexiones o servicios. </li></ul><ul><li>Pasarela de aplicación: máquina donde se ejecutan </li></ul><ul><ul><li>Pasarelas a nivel circuito: son capaces de redirigir conexiones, pero se limitan simplemente a autenticar al usuario antes de establecer el circuito virtual entre sistemas . </li></ul></ul>
  26. 26. Proxy de aplicación <ul><li>Ejemplo: Proxy cache de HTTP </li></ul>
  27. 27. Monitorización <ul><li>Monitorizar: nos facilitará información sobre los intentos de ataque que estemos sufriendo (origen, franjas horarias, etc.) así como la existencia de tramas sospechosas </li></ul>
  28. 28. Otras definiciones <ul><li>IP Forwarding: se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz hacia otro nodo </li></ul><ul><li>Host Bastión : Sistema especialmente asegurado que actúa como puerta de unión entre el mundo hostil (Internet) y la confiable red interna. </li></ul>
  29. 29. IP Forwarding <ul><li>IP Forwarding: mecanismo encargado de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz hacia otro lado. </li></ul><ul><ul><li>Si la dirección IP destino del paquete corresponde con la del dispositivo se procesa el paquete y se pasa al módulo TCP input </li></ul></ul><ul><ul><li>Si la dirección IP destino no se corresponde con la del dispositivo y el módulo IP forwarding está desactivado , el paquete se descarta. </li></ul></ul><ul><ul><li>Si la dirección IP destino no corresponde con la del dispositivo y el módulo IP forwarding está activado , se pasa el paquete al módulo IP de salida, se consulta la tabla de encaminamiento y el paquete se retransmite por la interfaz correspondiente . </li></ul></ul>
  30. 30. Host bastión <ul><li>Sistema especialmente asegurado que actúa como puerta de unión entre el mundo hostil (Internet) y la confiable red interna. </li></ul><ul><ul><li>Es en el host bastión donde se suele instalar el firewall que permitirá controlar las comunicaciones, es decir, va a estar expuesto a cualquier tipo de ataque. </li></ul></ul><ul><ul><ul><li>Instalar un sistema bastante probado, con las necesidades que EXCLUSIVAMENTE necesitemos. </li></ul></ul></ul><ul><ul><ul><li>Parchear todas nuestras aplicaciones vulnerables </li></ul></ul></ul><ul><ul><ul><li>Hacer una lista de comprobaciones: </li></ul></ul></ul><ul><ul><ul><li> http :// www.auscert.org.au / render.html?cid =1937 </li></ul></ul></ul>
  31. 31. Arquitecturas de cortafuegos <ul><li>Cortafuegos de filtrado de paquetes </li></ul><ul><li>Dual-Homed Host </li></ul><ul><li>Screened Host </li></ul><ul><li>Screened Subnet (DMZ) </li></ul>
  32. 32. Cortafuegos de filtrado de paquetes <ul><li>Arquitectura sencilla </li></ul><ul><li>Consta de un enrutador (screening routers) </li></ul><ul><li>Contacto directo con las máquinas externas ( No existen proxies ) </li></ul><ul><li>Para organizaciones que no precisan de grandes medidas de seguridad </li></ul>
  33. 33. Dual-Homed Host <ul><li>Máquina Unix equipadas con dos o más tarjetas de red: </li></ul><ul><ul><li>Una tarjeta se conecta a la red interna para protegerla. </li></ul></ul><ul><ul><li>Otra tarjeta a la red externa de la organización. </li></ul></ul><ul><li>Un servidor proxy para cada uno de los servicios. </li></ul><ul><li>Deshabilitado el IP Fordwarding </li></ul>
  34. 34. Screened Host <ul><li>Combina un router con un host bastión </li></ul><ul><ul><li>Router: línea de defensa más importante gracias al filtrado de paquetes. </li></ul></ul><ul><ul><li>Host bastión: único sistema accesible desde el exterior, donde se ejecutan los proxies de las aplicaciones </li></ul></ul>
  35. 35. Screened Subnet (DMZ) <ul><li>Subred entre la red interna y la externa. </li></ul><ul><li>Aislamiento del Host bastión en la subred. </li></ul><ul><li>Aísla otros servidores potencialmente peligrosos (servidores Web, correo, etc.) </li></ul>
  36. 36. Zone Alarm <ul><li>Características básicas: </li></ul><ul><li>ZoneAlarm es una utilidad gratuita . </li></ul><ul><li>ZoneAlarm controla los datos que fluyen de nuestro PC hacia la red y permite a los usuarios decidir qué aplicaciones pueden acceder el Internet. </li></ul><ul><li>ZA nos avisa que aplicación intenta conectarse a Internet, y pone en nuestras manos el permitírselo o no </li></ul><ul><li>Es fácil de usar, y no necesita conocimientos técnicos </li></ul><ul><li>ZoneAlarm tal vez no sea la panacea para quienes sientan temor del ataque de un cracker, pero hará más segura su conexión. Y sin dudas, es una herramienta imprescindible, junto a un buen antivirus. </li></ul>
  37. 37. Zone Alarm <ul><li>Importante: una vez descargado el programa ( www.zonealarm.com ), a la hora de instalarlo, debemos marcar la opción “ SelectZoneAlarm ” porque la versión PRO no es gratuita. </li></ul>
  38. 38. Zone Alarm: configuración básica <ul><li>Botón rojo STOP </li></ul><ul><li>Candado </li></ul>
  39. 39. Zone Alarm: configuración básica <ul><li>Overview </li></ul><ul><li>Firewall </li></ul><ul><li>Program Control </li></ul><ul><li>Alerts and Logs </li></ul><ul><li>E-mail protection </li></ul>
  40. 40. Zone Alarm: configuración básica <ul><li>Overview </li></ul><ul><ul><li>Status: es tan solo una pantalla informativa </li></ul></ul><ul><ul><li>Product info : solo nos muestra información de la versión del producto y otros datos relacionados. </li></ul></ul><ul><ul><li>Preferences: información básica durante la instalación no es necesario cambiarla </li></ul></ul>
  41. 42. Zone Alarm: configuración <ul><li>Firewall </li></ul><ul><ul><li>Main </li></ul></ul><ul><ul><li>Zones </li></ul></ul>
  42. 43. Zone Alarm: configuración <ul><li>Program Control </li></ul><ul><ul><li>Main </li></ul></ul><ul><ul><li>Programs </li></ul></ul>
  43. 44. Zone Alarm: configuración <ul><li>Alerts and logs </li></ul><ul><ul><li>Main </li></ul></ul><ul><ul><li>Long Viewer </li></ul></ul>
  44. 45. Zone Alarm: configuración <ul><li>E-mail protection </li></ul>
  45. 46. Puntos fuertes y débiles de un fire wall <ul><li>Un firewall sólo es una parte de una arquitectura de seguridad general. Sin embargo, como pieza individual de la arquitectura, está diseñado para cumplir un requisito muy importante dentro del diseño general. </li></ul>

×