Escolar Documentos
Profissional Documentos
Cultura Documentos
FIREWALLS
Son dispositivos y sistemas de hardware y software que controlan el trfico entrante y saliente del punto donde son instalados. Son equipos que trabajan principalmente a nivel de red, es decir capa 3 TCP/IP, pero su campo de accin se extiende hasta el nivel de aplicacin.
jar_2010 2
Tipos de Firewalls
Los ms empleados son: Packet Filtering Application Level Stateful Packet Inspection Dynamic Packet Filtering Kernel Proxy
jar_2010
Packet Filtering
Este tipo de Firewall fue el primero que apareci en el mercado conocido tambin como screening router. Trabaja principalmente en el nivel 3(Internet) y en menor grado en el nivel 4(Transporte) del modelo OSI. Este Firewall filtra paquetes basado en la direccin IP fuente y destino de los paquetes entrantes, no realizando anlisis de contenido ni seguimiento de la conexin.
jar_2010 4
Packet Filtering
Estos Firewalls son implementados incluso dentro del router, y trabajan con listas de control de Acceso(ACLs), que son archivos de Base de Datos que residen en el Firewall y mantenidos por el administrador de red. Estos firewalls adems chequean los puertos TCP y UDP fuente y destino de una conexin para proceso de filtrado de trfico.
jar_2010
jar_2010
jar_2010
jar_2010
10
Kernel Proxy
Es una arquitectura de quinta generacin que provee evaluacin de sesiones multicapa de manera modular basada en kernel. Se ejecuta en el Windows NT, 2000 y 2003. A diferencia del stack TCP/IP convencional, este stack es construido fuera del nivel del Kernel.
jar_2010
11
Arquitecturas de Firewall
Existen varias arquitecturas de firewall las cuales se escogen de acuerdo a las necesidades de la organizacin: Packet Filtering Routers Screened-host firewall systems Dual-homed host firewall Screened-subnet firewall con zonas desmilitarizadas(DMZ)
jar_2010 12
jar_2010
13
Screened-Host Firewall
jar_2010
15
jar_2010
17
jar_2010
18
jar_2010
19
jar_2010
20
jar_2010
21
NAT
NAT es un concepto importante en redes en especial con firewalls. Como una medida de seguridad , el administrador de red debe evitar que los atacantes y visitantes externos sepan cual es el rango de direcciones internas con las que trabaja. IANA(Internet Assigned Numbers Authority) ha reservado los siguientes 3 bloques de espacio de direcciones para redes privadas:
jar_2010 22
NAT
10.0.0.0/8 176.16.0.0/16 192.168.0.0/16
NAT es una herramienta que permite enmascarar direcciones IP internas con direcciones IP externas. NAT convierte una direccin IP privada en una direcin IP pblica. Existen 2 mtodos: Esttico y Dinmico.
jar_2010 23
jar_2010
24
Los firewalls permiten detectar actividades principalmente relacionadas con: Escaneos Intentos de conexin fallida Spoofing Denial of Service
jar_2010
25
Escaneos
El Firewall registra intentos de conexin provenientes de una estacin, esto es un indicador de una fase de reconocimiento por parte del usuario.
jar_2010
26
jar_2010
27
Spoofing
El Spoofing se da cuando se pretende establecer una sesin indicando una direccin fuente falsa. Como la fuente debe conocer la secuencia de comunicacin, trata de adivinarla y mantener la sesin. Si el firewall no hace seguimiento de la sesin, puede ser sorprendido y permitir estas comunicaciones.
jar_2010 28
Denial of Service
Los Firewalls pueden mantener control de flujo de trfico evitando que las redes que protegen sean inundadas de trfico hostil o de tipo spoofing.
jar_2010
29
Acciones Evasivas
Los firewalls ofrecen pocas caractersticas de acciones evasivas y son pocos los firewalls que las poseen. Las acciones que se pueden ejecutar son: Cerrar la sesin establecida Bloquear el trfico
jar_2010
30
Evaluacin de Firewalls
Los firewalls deben ser evaluados de distintas maneras, para ello existen diversas herramientas como : fragroute, escaneadores, etc. Se debe evaluar lo siguiente: Verificar el filtrado de puertos. Evitar el paso de trfico encapsulado. Anular la posibilidad de spoofing. Filtrar el trfico de direcciones que no pertenecen a la red no son vlidas.
jar_2010 31
Reglas Fundamentales
El primer objetivo del administrador de seguridad es evitar el trfico innecesario hacia y desde su red. El ancho de banda es un recurso muy valioso y hay que aprovecharlo al mximo. Existen varias formas de configurar un firewall, una de las ms comunes es denegar todo e ir habilitando filtros permisivos.
jar_2010 32
Reglas Fundamentales
Filtros desde la red Pblica hacia la red Privada.(RFC 1918) Filtros desde la red Privada hacia la red Pblica. Habilitar el registro de actividades. Habilitacin de acceso remoto. Habilitar opciones de control de trfico. Habilitar servicios para autenticacin de usuarios. Definir tiempos de duracin de conexiones.
jar_2010 33
Errores Comunes
Los principales son: Dejar la mayora de parmetros por omisin. Habilitacin de permisos innecesarios. Denegacin de permisos necesarios. Problemas de conexin con el router.
jar_2010 34
Registros y Reportes
Los firewalls no ofrecen reportes de por si. Estos equipos registran las actividades que se dan en los sistemas que protegen y por lo general es abundante informacin que debe ser procesada por el departamento de seguridad. Se debe hacer uso de herramientas adicionales de reportes.
jar_2010
35
Registros y Reportes
Estas herramientas proveen varios reportes dentro de los cuales tenemos: Estaciones que ms han usado el enlace. Protocolos ms usados. Actividades hostiles ms frecuentes y clasificadas por severidad. Pginas ms visitadas Distribucin de trfico por da/semana/mes.
jar_2010 36