SlideShare una empresa de Scribd logo

Diseño de un firewall

Descargar como DOCX, PDF
Roger Rayme Bautista
Roger Rayme Bautista
1 de 3
Diseño de un firewall En un entorno de red, incluyendo tanto equipos finales como de conectividad, el firewall es la primer medida indispensable en lo que hace a seguridad lógica de la misma. Por ello es importante entender cómo funciona un firewall y diseñarlo correctamente antes de ponerlo en funcionamiento, sobre todo si se trata de un ambiente de producción. Para empezar es importante saber que un firewall puede tener una de dos políticas: Política permisiva: por defecto se permite todo el tráfico y se deniega explícitamente lo que no se desea que atraviese el mismo. La ventaja es que es fácil de implementar ya que no requiere conocimientos precisos de los servicios brindados. La desventaja es, lógicamente, su falta de seguridad. Política restrictiva: por defecto se bloquea todo el tráfico y se permite sólo el tráfico válido. Por ejemplo, si se tiene un servidor web se denegará todo tipo de intento de conexión al mismo con excepción del tráfico destinado al puerto 80 tcp. Será necesario entonces escoger una para luego definir las reglas necesarias. En la práctica uso la segunda de ellas y será la que utilice en este post. Ahora bien, el próximo paso es relevar los servicios que se permitirán pasar por el firewall con la mayor precisión posible: IPs de origen, IPs de destino, puertos, protocolos. Una vez obtenida esa información ya es posible comenzar a definir las reglas para permitir lo relevado. Un consejo en este punto es mantener las reglas lo más restrictivas posibles aunque dependerá siempre de cuán críticos sean los equipos a proteger. Con esto en cuenta mostraré un ejemplo práctico en base al siguiente diagrama:
Red de ejemplo En la red anterior se tiene una red de servidores con un firewall y otra red con máquinas sin un firewall en el medio donde, una de ellas, es la máquina del administrador. Ya se decidió que la política será restrictiva. Siguiendo con los pasos, debería hacerse entonces un relevamiento. A continuación listo los requerimientos obtenidos a partir del mismo: FTP: se utiliza para subir cambios en la web y se permite sólo desde la red con los dos hosts. SSH: para los tres equipos, sólo desde la máquina del administrador. DNS: a todo internet, pues es el servidor de DNS de la empresa. HTTP/HTTPS: a todo internet, ya que los servidores alojan el sitio web de la empresa. SMTP: como se necesita que reciba mails es necesario que sea accesible desde cualquier lugar de internet. POP/IMAP: los usuarios de mail de la empresa pueden chequearlo desde sus casas. Por lo tanto estará disponible para todo internet también. Además se desea que sea posible hacer ping a los servidores desde la máquina del administrador. Antes de seguir con la definición del firewall es importante saber los puertos que utiliza cada servicio. Los mismos son:
FTP: puertos de destino 20/tcp y 21/tcp. SSH: puerto de destino 22/tcp. DNS: puertos de destino 53/udp y 53/tcp. Puertos de origen 53/udp y 53/tcp. HTTP/HTTPS: puertos de destino 80/tcp y 443/tcp respectivamente. SMTP: puerto de destino 25/tcp. Puerto de origen 25/tcp. POP/IMAP: puertos de destino 110/tcp y 143/tcp. Ping: usa el protocolo ICMP que no tiene puertos. Basados en lo anterior se podría definir el firewall. Sería algo como lo siguiente: Denegar todo tráfico entrante Permitir todas las conexiones establecidas y relacionadas (si una conexión pasó por el firewall ya no se vuelve a analizar el tráfico referente a dicha conexión ni necesita ser explícitamente aceptado. Lo mismo con las conexiones relacionadas) Permitir tráfico ICMP con cualquier destino y origen Permitir conexiones con destino 172.25.11.0/24 desde la ip 172.25.10.2 puerto origen tcp 20 (FTP ACTIVO) Permitir conexiones con destino 172.25.10.2 al puerto tcp 21 desde 172.25.11.0/24 Permitir conexiones con destino 172.25.10.2-4 al puerto tcp 22 desde 172.25.11.2 (SSH) Permitir conexiones con destino 172.25.10.4 al puerto tcp 25 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 25 desde 172.25.10.4 Permitir conexiones con destino 172.25.10.3 al puerto tcp 53 desde cualquier lado Permitir conexiones con destino 172.25.10.3 al puerto udp 53 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 53 desde 172.25.10.3 Permitir conexiones con cualquier destino al puerto udp 53 desde 172.25.10.3 Permitir conexiones con destino 172.25.10.2 al puerto tcp 80 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 110 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 143 desde cualquier lado Permitir conexiones con destino 172.25.10.2 al puerto tcp 443 desde cualquier lado Con lo visto he pretendido dar una noción del diseño básico de un firewall. En un próximo post mostraré cómo implementarlo con herramientas libres.

Recomendados

Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertosFrancisco Vergara
 
Cafe internet
Cafe internetCafe internet
Cafe internetAirtime
 
Designer oracle
Designer oracleDesigner oracle
Designer oracleLeidy Galindo
 
Servidores GNU/LINUX
Servidores GNU/LINUXServidores GNU/LINUX
Servidores GNU/LINUXJørk Skädinwalder
 
Fundamentos de Calidad del Software - Modelos y Estándares
Fundamentos de Calidad del Software - Modelos y EstándaresFundamentos de Calidad del Software - Modelos y Estándares
Fundamentos de Calidad del Software - Modelos y EstándaresLuis Eduardo Pelaez Valencia
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Casos de prueba
Casos de pruebaCasos de prueba
Casos de prueba481200601
 
Fase de Elaboración RUP
Fase de Elaboración RUPFase de Elaboración RUP
Fase de Elaboración RUPAdrian González
 

Recomendados

Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertosFrancisco Vergara
 
Cafe internet
Cafe internetCafe internet
Cafe internetAirtime
 
Designer oracle
Designer oracleDesigner oracle
Designer oracleLeidy Galindo
 
Servidores GNU/LINUX
Servidores GNU/LINUXServidores GNU/LINUX
Servidores GNU/LINUXJørk Skädinwalder
 
Fundamentos de Calidad del Software - Modelos y Estándares
Fundamentos de Calidad del Software - Modelos y EstándaresFundamentos de Calidad del Software - Modelos y Estándares
Fundamentos de Calidad del Software - Modelos y EstándaresLuis Eduardo Pelaez Valencia
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Casos de prueba
Casos de pruebaCasos de prueba
Casos de prueba481200601
 
Fase de Elaboración RUP
Fase de Elaboración RUPFase de Elaboración RUP
Fase de Elaboración RUPAdrian González
 
Historia de un mp4
Historia de un mp4Historia de un mp4
Historia de un mp4dahiana manuela
 
Informe tecnico seguridad informatica
Informe tecnico seguridad informaticaInforme tecnico seguridad informatica
Informe tecnico seguridad informaticadahiaperez96
 
B. manejo de concurrencia
B. manejo de concurrenciaB. manejo de concurrencia
B. manejo de concurrenciaNatalia Del Toro
 
Cuadro comparativo aplicaciones ria y web 1.0
Cuadro comparativo aplicaciones ria y web 1.0Cuadro comparativo aplicaciones ria y web 1.0
Cuadro comparativo aplicaciones ria y web 1.0aguilarlupitas
 
Capa Sesion, victor mamani catachura,boreasH,Modelo Osi
Capa Sesion, victor mamani catachura,boreasH,Modelo OsiCapa Sesion, victor mamani catachura,boreasH,Modelo Osi
Capa Sesion, victor mamani catachura,boreasH,Modelo Osivictor mamani
 
Telnet & SSH
Telnet & SSH Telnet & SSH
Telnet & SSH NetProtocol Xpert
 
SO Unidad 3: Administración de memoria y sistemas de archivos
SO Unidad 3: Administración de memoria y sistemas de archivosSO Unidad 3: Administración de memoria y sistemas de archivos
SO Unidad 3: Administración de memoria y sistemas de archivosFranklin Parrales Bravo
 
La Calidad de Software
La Calidad de SoftwareLa Calidad de Software
La Calidad de SoftwareAmérico Uriarte Quispe
 
Algoritmos de enrutamiento
Algoritmos de enrutamientoAlgoritmos de enrutamiento
Algoritmos de enrutamientoyeiko11
 
Modelo de soporte
Modelo de soporteModelo de soporte
Modelo de soporteProColombia
 
Ingeniería de software - Descripción, características, modelos
Ingeniería de software - Descripción, características, modelosIngeniería de software - Descripción, características, modelos
Ingeniería de software - Descripción, características, modelosRafael Fdo Lopez Castillo
 
Firewall Logico
Firewall LogicoFirewall Logico
Firewall LogicoHugo Alberto Rivera Diaz
 
Lan manager
Lan managerLan manager
Lan managerRey JOaquin
 
Extreme Programming (XP).pptx
Extreme Programming (XP).pptxExtreme Programming (XP).pptx
Extreme Programming (XP).pptxLisethGiraldoMorales
 
Valores y prácticas XP
Valores y prácticas XPValores y prácticas XP
Valores y prácticas XPDomingo Gallardo
 
Base de datos Transaccional
Base de datos TransaccionalBase de datos Transaccional
Base de datos TransaccionalJohanna Caragolla
 
Modelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwareModelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwarejhonatanalex
 
IIS Unidad1: Introducción a la Ingeniería de Software
IIS Unidad1: Introducción a la Ingeniería de SoftwareIIS Unidad1: Introducción a la Ingeniería de Software
IIS Unidad1: Introducción a la Ingeniería de SoftwareFranklin Parrales Bravo
 
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTERCPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTEREnmer Genaro Leandro Ricra
 
sistemas de cifrado clasicos
sistemas de cifrado clasicossistemas de cifrado clasicos
sistemas de cifrado clasicosHeyOS RA
 
Cisco ssh telnet en radius
Cisco ssh telnet en radiusCisco ssh telnet en radius
Cisco ssh telnet en radiusRoger Rayme Bautista
 
Vlans Privadas
Vlans PrivadasVlans Privadas
Vlans PrivadasRoger Rayme Bautista
 

Más contenido relacionado

La actualidad más candente

Informe tecnico seguridad informatica
Informe tecnico seguridad informaticaInforme tecnico seguridad informatica
Informe tecnico seguridad informaticadahiaperez96
 
Cuadro comparativo aplicaciones ria y web 1.0
Cuadro comparativo aplicaciones ria y web 1.0Cuadro comparativo aplicaciones ria y web 1.0
Cuadro comparativo aplicaciones ria y web 1.0aguilarlupitas
 
Capa Sesion, victor mamani catachura,boreasH,Modelo Osi
Capa Sesion, victor mamani catachura,boreasH,Modelo OsiCapa Sesion, victor mamani catachura,boreasH,Modelo Osi
Capa Sesion, victor mamani catachura,boreasH,Modelo Osivictor mamani
 
SO Unidad 3: Administración de memoria y sistemas de archivos
SO Unidad 3: Administración de memoria y sistemas de archivosSO Unidad 3: Administración de memoria y sistemas de archivos
SO Unidad 3: Administración de memoria y sistemas de archivosFranklin Parrales Bravo
 
Algoritmos de enrutamiento
Algoritmos de enrutamientoAlgoritmos de enrutamiento
Algoritmos de enrutamientoyeiko11
 
Modelo de soporte
Modelo de soporteModelo de soporte
Modelo de soporteProColombia
 
Ingeniería de software - Descripción, características, modelos
Ingeniería de software - Descripción, características, modelosIngeniería de software - Descripción, características, modelos
Ingeniería de software - Descripción, características, modelosRafael Fdo Lopez Castillo
 
Modelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwareModelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwarejhonatanalex
 
IIS Unidad1: Introducción a la Ingeniería de Software
IIS Unidad1: Introducción a la Ingeniería de SoftwareIIS Unidad1: Introducción a la Ingeniería de Software
IIS Unidad1: Introducción a la Ingeniería de SoftwareFranklin Parrales Bravo
 
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTERCPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTEREnmer Genaro Leandro Ricra
 
sistemas de cifrado clasicos
sistemas de cifrado clasicossistemas de cifrado clasicos
sistemas de cifrado clasicosHeyOS RA
 

La actualidad más candente (20)

Historia de un mp4
Historia de un mp4Historia de un mp4
Historia de un mp4
 
Informe tecnico seguridad informatica
Informe tecnico seguridad informaticaInforme tecnico seguridad informatica
Informe tecnico seguridad informatica
 
B. manejo de concurrencia
B. manejo de concurrenciaB. manejo de concurrencia
B. manejo de concurrencia
 
Cuadro comparativo aplicaciones ria y web 1.0
Cuadro comparativo aplicaciones ria y web 1.0Cuadro comparativo aplicaciones ria y web 1.0
Cuadro comparativo aplicaciones ria y web 1.0
 
Capa Sesion, victor mamani catachura,boreasH,Modelo Osi
Capa Sesion, victor mamani catachura,boreasH,Modelo OsiCapa Sesion, victor mamani catachura,boreasH,Modelo Osi
Capa Sesion, victor mamani catachura,boreasH,Modelo Osi
 
Telnet & SSH
Telnet & SSH Telnet & SSH
Telnet & SSH
 
SO Unidad 3: Administración de memoria y sistemas de archivos
SO Unidad 3: Administración de memoria y sistemas de archivosSO Unidad 3: Administración de memoria y sistemas de archivos
SO Unidad 3: Administración de memoria y sistemas de archivos
 
La Calidad de Software
La Calidad de SoftwareLa Calidad de Software
La Calidad de Software
 
Algoritmos de enrutamiento
Algoritmos de enrutamientoAlgoritmos de enrutamiento
Algoritmos de enrutamiento
 
Modelo de soporte
Modelo de soporteModelo de soporte
Modelo de soporte
 
Ingeniería de software - Descripción, características, modelos
Ingeniería de software - Descripción, características, modelosIngeniería de software - Descripción, características, modelos
Ingeniería de software - Descripción, características, modelos
 
Firewall Logico
Firewall LogicoFirewall Logico
Firewall Logico
 
Lan manager
Lan managerLan manager
Lan manager
 
Extreme Programming (XP).pptx
Extreme Programming (XP).pptxExtreme Programming (XP).pptx
Extreme Programming (XP).pptx
 
Valores y prácticas XP
Valores y prácticas XPValores y prácticas XP
Valores y prácticas XP
 
Base de datos Transaccional
Base de datos TransaccionalBase de datos Transaccional
Base de datos Transaccional
 
Modelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de softwareModelos y capas de la ingenieria de software
Modelos y capas de la ingenieria de software
 
IIS Unidad1: Introducción a la Ingeniería de Software
IIS Unidad1: Introducción a la Ingeniería de SoftwareIIS Unidad1: Introducción a la Ingeniería de Software
IIS Unidad1: Introducción a la Ingeniería de Software
 
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTERCPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
CPD CENTRO DE PROCESAMIENTO DE DATOS DATA CENTER
 
sistemas de cifrado clasicos
sistemas de cifrado clasicossistemas de cifrado clasicos
sistemas de cifrado clasicos
 

Destacado

Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANcyberleon95
 
Instalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANInstalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANcyberleon95
 

Destacado (7)

Cisco ssh telnet en radius
Cisco ssh telnet en radiusCisco ssh telnet en radius
Cisco ssh telnet en radius
 
Vlans Privadas
Vlans PrivadasVlans Privadas
Vlans Privadas
 
Configurando zabbix
Configurando zabbixConfigurando zabbix
Configurando zabbix
 
Servidor proxy en endian
Servidor proxy en endianServidor proxy en endian
Servidor proxy en endian
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIAN
 
Instalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANInstalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIAN
 
Endian firewall
Endian firewallEndian firewall
Endian firewall
 

Similar a Diseño de un firewall

Unidad iii seguridad de redes
Unidad iii seguridad de redes Unidad iii seguridad de redes
Unidad iii seguridad de redes leonardoruiz98
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Rod Hinojosa
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏ingpuma
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redeschristianchanagrote
 
Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios SiubhyAUrribarri
 
Unidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmosUnidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmosBenjamin Ortiz
 
Unidad III Seguridad de las Redes
Unidad III Seguridad de las RedesUnidad III Seguridad de las Redes
Unidad III Seguridad de las RedesJesusTheDark
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Exposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreExposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreLuis Angel F
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguezdianaaribarra
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesOswaldoPolanco3
 

Similar a Diseño de un firewall (20)

Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Protocolos redes
Protocolos redesProtocolos redes
Protocolos redes
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
Unidad iii seguridad de redes
Unidad iii seguridad de redes Unidad iii seguridad de redes
Unidad iii seguridad de redes
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏
 
Café maria
Café mariaCafé maria
Café maria
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
 
Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios
 
Unidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmosUnidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmos
 
Unidad III Seguridad de las Redes
Unidad III Seguridad de las RedesUnidad III Seguridad de las Redes
Unidad III Seguridad de las Redes
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Pfsense
Pfsense Pfsense
Pfsense
 
Exposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreExposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libre
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguez
 
Clase 15
Clase 15Clase 15
Clase 15
 
Clase 15
Clase 15Clase 15
Clase 15
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las Redes
 

Diseño de un firewall

  • 1. Diseño de un firewall En un entorno de red, incluyendo tanto equipos finales como de conectividad, el firewall es la primer medida indispensable en lo que hace a seguridad lógica de la misma. Por ello es importante entender cómo funciona un firewall y diseñarlo correctamente antes de ponerlo en funcionamiento, sobre todo si se trata de un ambiente de producción. Para empezar es importante saber que un firewall puede tener una de dos políticas: Política permisiva: por defecto se permite todo el tráfico y se deniega explícitamente lo que no se desea que atraviese el mismo. La ventaja es que es fácil de implementar ya que no requiere conocimientos precisos de los servicios brindados. La desventaja es, lógicamente, su falta de seguridad. Política restrictiva: por defecto se bloquea todo el tráfico y se permite sólo el tráfico válido. Por ejemplo, si se tiene un servidor web se denegará todo tipo de intento de conexión al mismo con excepción del tráfico destinado al puerto 80 tcp. Será necesario entonces escoger una para luego definir las reglas necesarias. En la práctica uso la segunda de ellas y será la que utilice en este post. Ahora bien, el próximo paso es relevar los servicios que se permitirán pasar por el firewall con la mayor precisión posible: IPs de origen, IPs de destino, puertos, protocolos. Una vez obtenida esa información ya es posible comenzar a definir las reglas para permitir lo relevado. Un consejo en este punto es mantener las reglas lo más restrictivas posibles aunque dependerá siempre de cuán críticos sean los equipos a proteger. Con esto en cuenta mostraré un ejemplo práctico en base al siguiente diagrama:
  • 2. Red de ejemplo En la red anterior se tiene una red de servidores con un firewall y otra red con máquinas sin un firewall en el medio donde, una de ellas, es la máquina del administrador. Ya se decidió que la política será restrictiva. Siguiendo con los pasos, debería hacerse entonces un relevamiento. A continuación listo los requerimientos obtenidos a partir del mismo: FTP: se utiliza para subir cambios en la web y se permite sólo desde la red con los dos hosts. SSH: para los tres equipos, sólo desde la máquina del administrador. DNS: a todo internet, pues es el servidor de DNS de la empresa. HTTP/HTTPS: a todo internet, ya que los servidores alojan el sitio web de la empresa. SMTP: como se necesita que reciba mails es necesario que sea accesible desde cualquier lugar de internet. POP/IMAP: los usuarios de mail de la empresa pueden chequearlo desde sus casas. Por lo tanto estará disponible para todo internet también. Además se desea que sea posible hacer ping a los servidores desde la máquina del administrador. Antes de seguir con la definición del firewall es importante saber los puertos que utiliza cada servicio. Los mismos son:
  • 3. FTP: puertos de destino 20/tcp y 21/tcp. SSH: puerto de destino 22/tcp. DNS: puertos de destino 53/udp y 53/tcp. Puertos de origen 53/udp y 53/tcp. HTTP/HTTPS: puertos de destino 80/tcp y 443/tcp respectivamente. SMTP: puerto de destino 25/tcp. Puerto de origen 25/tcp. POP/IMAP: puertos de destino 110/tcp y 143/tcp. Ping: usa el protocolo ICMP que no tiene puertos. Basados en lo anterior se podría definir el firewall. Sería algo como lo siguiente: Denegar todo tráfico entrante Permitir todas las conexiones establecidas y relacionadas (si una conexión pasó por el firewall ya no se vuelve a analizar el tráfico referente a dicha conexión ni necesita ser explícitamente aceptado. Lo mismo con las conexiones relacionadas) Permitir tráfico ICMP con cualquier destino y origen Permitir conexiones con destino 172.25.11.0/24 desde la ip 172.25.10.2 puerto origen tcp 20 (FTP ACTIVO) Permitir conexiones con destino 172.25.10.2 al puerto tcp 21 desde 172.25.11.0/24 Permitir conexiones con destino 172.25.10.2-4 al puerto tcp 22 desde 172.25.11.2 (SSH) Permitir conexiones con destino 172.25.10.4 al puerto tcp 25 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 25 desde 172.25.10.4 Permitir conexiones con destino 172.25.10.3 al puerto tcp 53 desde cualquier lado Permitir conexiones con destino 172.25.10.3 al puerto udp 53 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 53 desde 172.25.10.3 Permitir conexiones con cualquier destino al puerto udp 53 desde 172.25.10.3 Permitir conexiones con destino 172.25.10.2 al puerto tcp 80 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 110 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 143 desde cualquier lado Permitir conexiones con destino 172.25.10.2 al puerto tcp 443 desde cualquier lado Con lo visto he pretendido dar una noción del diseño básico de un firewall. En un próximo post mostraré cómo implementarlo con herramientas libres.