Escolar Documentos
Profissional Documentos
Cultura Documentos
Cortafuegos (Firewalls)
Dispositivo formado por uno o varios equipos que se sitan entre la red de la empresa y la red exterior (normalmente Internet), que analiza todos los paquetes que transitan entre ambas redes y filtra los que deben y los que no deben ser reenviados, de acuerdo con un criterio establecido de antemano, de forma simple. Crea un permetro de se uridad y defensa de la or anizaci!n que prote e. "l definir un permetro, el sistema cortafue os normalmente opera tambi#n como $"% ($et&or' "ddress %raslation) y como (roxy (servidor multipasarela).
Rogelio Montaana Juan Carlos Nuo Febrero 2014
Tipos de firewalls
)iltrado de paquetes b*sico )iltrado con Inspecci!n de estados (+(I) "pplication ,evel )ire&alls o "pplication ,evel filter (",-)
Puertos
,i un cliente inicia una sesi*n TCP a un ser'icio externo) escoger# un puerto no reser'ado (12345)) con lo cual cuando conteste el ser'idor al cliente utili+ando su puerto) el cortafuegos pueda i%pedir (si s*lo per%ite la entrada a puertos conocidos) la entrada a dic&o puerto 6desconocido7 (el que escogi* el cliente).
8l n9%ero de puertos conocidos es grande ! crece r#pida%ente) ! esto requiere que el ad%inistrador este continua%ente actuali+ando la lista. :uc&o tr#fico de Internet no se dirige a un puerto conocido) es decir) %uc&os progra%adores pueden elegir el puerto que deseen para sus aplicaciones cliente ser'idor. La lista de puertos de ser'icios conocidos) de.a al firewall 'ulnerable frente al tunneling.
8n la practica) se suele encontrar co%o una funcionalidad a@adida a los routers de filtrado de paquetes. Por e.e%plo) el siste%a iptables incorpora esta funci*n.
Rogelio Montaana Juan Carlos Nuo Febrero 2014
Desventa.as3
,on %#s lentos (tienen que anali+ar todo) por lo tanto se requiere %as cantidad de Bardware para anali+ar el tr#fico del canal. Pueden no soportar ciertos tipos de conexi*n.
Rogelio Montaana Juan Carlos Nuo Febrero 2014
:;.<.<.5 )%(
:;.<.<.0 9%%(
access-list acl-number {deny | permit} icmp source sourcewildcard destination destination-wildcard [icmp-type] [tos tos] [log | log-input]
,i el protocolo es TCP0
access-list acl-number {deny | permit} tcp source sourcewildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [tos tos] [log | log-input]
,i el protocolo es ;$P0
access-list acl-number {deny | permit} udp source sourcewildcard [operator [port]] destination destination-wildcard [operator [port]] [tos tos] [log | log-input]
Rogelio Montaana Juan Carlos Nuo Febrero 2014
2.emplo0 $enegar las conexiones Telnet que se produ+can desde una deter%inada subred
access-list 110 deny tcp 172 1! " 1# 0 0 0 2$$ any e% 2# access-list 110 permit ip any any &access-list 110 deny any' inter(ace )a0*0 ip access-group 110 out
acl 110
Any solo puede indicar direccin ! de destino. !or tanto eq "# se re$iere a puerto destino. %i se hu&iera querido indicar un puerto ori'en () de&er*amos poner+ 1,".1-.4.1# 0.0.0."55 eq "1 any eq "#
Rogelio Montaana Juan Carlos Nuo Febrero 2014
Oildcard (:ascara)
2n las direcciones I( especificadas, para cada bit de la direcci!n se especifica con una m*scara si se comprueba o no dic6o bit3
3 indica bit a c&equear 2 indica bit a ignorar ,u significado es .usto la in'ersa de los bits en las %#scaras de las subredes.
2.emplo3
Quere%os especificar el rango de direcciones 2R4.53.2L.3 E43 (desde 2R4.2L.2L.2 &asta 2R4.2L.52.4NF) La %ascara de red es 4NN.4NN.4F3.3 La wildcard expresa los bits que &a! que 'erificar0 """" """"."""" """"."""" BBBB.BBBB BBBB Ba! que 'erificar los 43 pri%eros bits. 8n la wildcard se expresan con un 637 3.3.2N.4NN
8.e%plo
8.e%plo0 $enegar acceso a una subred especifica0
access-list 2 deny 172 1! " 1# 0 0 2$$ 2$$ access-list 2 permit any &access-list 2 deny any' inter(ace )a0*1 ip access-group 2 out Creamos acl. La ultima l*nea siempre se a.ade por de$ecto. La mascara se interpreta 0usto en sentido in1erso a ms2 con1encional 34ildcard5. Aplicamos acl a Fa0/1 en sentido salida
8.e%plo
"
5;.;.<.<
$escartar todo el tr#fico con origen el &ost A ! cu!o destino sea cualquier ser'icio de Internet. A debe poder co%unicar con C ! $
fa; fa<
<
8
5;.;.<.5
+; Aed 5;.;.<.;/51 C
5;.;.5.<
Internet
D
5;.;.5.5
,outer-con(igure terminal ,outer&con(ig'- access-list 1 deny 20 0 1 1 0 0 0 0 ,outer&con(ig'- access-list 1 permit any ,outer&con(ig'- inter(ace .0 ,outer&con(ig-i('- ip access-group 1 out
Aed 5;.;.5.;/51
8fecto0 $escarta paquetes con IP origen 43.3.2.2 que salgan por ,3. Per%ite todo lo de%#s
8.e%plo
"
5;.;.<.<
$escartar todo el tr#fico con origen el &ost A ! cu!o destino sea cualquier ser'icio de Internet. A debe poder co%unicar con C ! $ ((tra 'ersi*n)
fa; fa<
<;; <;<
8
5;.;.<.5
+; Aed 5;.;.<.;/51 C
5;.;.5.<
Internet
D
5;.;.5.5
,outer-con(igure /erminal ,outer&con(ig'- access-list ,outer&con(ig'- access-list ,outer&con(ig'- access-list ,outer&con(ig'- access-list
deny ip 20 0 1 1 0 0 0 0 any permit ip any any deny ip any 20 0 1 1 0 0 0 0 permit ip any any
Aed 5;.;.5.;/51
8fecto0 $escarta paquetes IP con IP origen 43.3.2.2 que salgan por ,3 ! paquetes con IP destino 43.3.2.2 que entren por ,3 . Per%ite todo lo de%#s
Aed <1B.<CD.;.;/<D
<;;
fa;
+;
Internet
,outer-con(igure terminal ,outer&con(ig'- access-list 100 permit ip 1"7 1$! 0 0 0 0 2$$ 2$$ any ,outer&con(ig'- access-list 100 deny ip any any ,outer&con(ig'- access-list 101 deny ip 1"7 1$! 0 0 0 0 2$$ 2$$ any ,outer&con(ig'- access-list 101 permit ip any any ,outer&con(ig'- inter(ace (a0 ,outer&con(ig-i('- ip access-group 100 in ,outer&con(ig-i('- inter(ace .0 ,outer&con(ig-i('- ip access-group 101 in
8fecto0 $escarta paquetes IP que entren por fa3 con IP origen 2FR.2NL.3.3E2L. $escarta paquetes que entren por ,3 con IP origen 2FR.2NL.3.3.E2L. Per%ite todo lo de%#s