66.69 Criptografía y Seguridad Informática FIREWALL.
-
Upload
antonello-manzanares -
Category
Documents
-
view
243 -
download
0
Transcript of 66.69 Criptografía y Seguridad Informática FIREWALL.
![Page 1: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/1.jpg)
66.69 Criptografía y Seguridad Informática
FIREWALL
![Page 2: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/2.jpg)
FIREWALL
¿Qué es un Firewall?
FIREWALL “Cortafuegos”=
![Page 3: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/3.jpg)
FIREWALL
¿Qué es un Firewall?
FIREWALL “Cortafuegos”=
![Page 4: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/4.jpg)
FIREWALL
¿Qué es un Firewall?
Elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de seguridad.
FIREWALL “Cortafuegos”=
![Page 5: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/5.jpg)
FIREWALL
¿Dónde opera un Firewall?
Punto de conexión de la red interna con la red exterior
Zona Desmilitarizada (DMZ)
![Page 6: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/6.jpg)
FIREWALL
Tipos de Firewall
De filtrado de paquetes
De capa de aplicación
FISICAFISICA
ENLACEENLACE
REDRED
TRANSPORTETRANSPORTE
SESIÓNSESIÓN
PRESENTACIÓNPRESENTACIÓN
APLICACIÓNAPLICACIÓN
OSI
MAC
IP
protocolo + puerto
URL de HTTP
![Page 7: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/7.jpg)
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
![Page 8: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/8.jpg)
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
![Page 9: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/9.jpg)
FIREWALL
Funciones posibles del Firewall (I)
• NAT (Network Address Translation)
10.0.0.1
10.0.0.2
![Page 10: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/10.jpg)
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
![Page 11: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/11.jpg)
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
![Page 12: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/12.jpg)
FIREWALL
Funciones posibles del Firewall (II)
• PROXY
La información solicitada al exterior es recuperada por el firewall y después enviada al host que la requirió originalmente.
![Page 13: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/13.jpg)
FIREWALL
Funciones posibles del Firewall (III)
• QOS
La LAN esta haciendo mucho uso de Intenet via HTTP y el firewall limita la salida para que por ejemplo los usuarios puedan recibir sin problemas su correo
HTTPHTTP
![Page 14: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/14.jpg)
FIREWALL
Funciones posibles del Firewall (IV)
• Balanceo de Carga
La LAN tiene dos vinculos con internet y el firewall distribuye la carga entre las dos conexiones.
HTTPHTTP
![Page 15: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/15.jpg)
FIREWALL
Limitaciones del Firewall
• No protege de ataques fuera de su área
• No protege de espías o usuarios inconscientes
• No protege de ataques de “ingeniería social”
• No protege contra ataques posibles en la transferencia de datos, cuando datos son enviados o copiados a un servidor interno y son ejecutados despachando un ataque.
![Page 16: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/16.jpg)
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
![Page 17: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/17.jpg)
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
REGLASREGLAS
1) ACEPTARACEPTAR
2) DENEGAR DENEGAR
![Page 18: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/18.jpg)
FIREWALL
Implementación
Hardware específico configurable o bien una aplicación de software corriendo en una computadora, pero en ambos casos deben existir al menos dos interfaces de comunicaciones (ej: placas de red)
IPTABLES (LINUX)
![Page 19: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/19.jpg)
FIREWALL
IPtables
IPTables
Kernel
LINUX
= NETFILTER
• Filtrado de paquetes• “Connection tracking”• NAT
![Page 20: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/20.jpg)
FIREWALL
Funcionamiento de IPtables
INPUTINPUT
... el usuario puede crear tantas como desee.
OUTPUTOUTPUT
FORWARDFORWARD
regla1regla1 regla2regla2 regla3regla3 ...
cadena 1
paquete IPpaquete IP
cadenas básicas
![Page 21: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/21.jpg)
FIREWALL
Funcionamiento de IPtables
... enlace a otra cadena
regla1regla1 regla2regla2 regla3regla3 ...
cadena 1
paquete IPpaquete IP
regla1regla1 regla2regla2 regla3regla3 ...
cadena 2
![Page 22: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/22.jpg)
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINOcondiciones a matchear DESTINO
• ACCEPT• DROP• QUEUE• RETURN• ...
• cadena definida por usuario
![Page 23: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/23.jpg)
FIREWALL
Funcionamiento de IPtables
REGLAS
condiciones a matchear DESTINOcondiciones a matchear DESTINO
• ACCEPT• DROP• QUEUE• RETURN• ...
• cadena definida por usuario
• protocolo• IP origen • IP destino• puerto destino• puerto origen• flags TCP• ...
![Page 24: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/24.jpg)
FIREWALL
Funcionamiento de IPtables
TABLA
... cadena 1
paquete IPpaquete IP
... cadena 2
.
.
.
... cadena N
![Page 25: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/25.jpg)
FIREWALL
Funcionamiento de IPtables
Hay tres tablas ya incorporadas, cada una de las cuales contiene ciertas cadenas predefinidas :
• FILTER TABLE
• NAT TABLE
• MANGLE TABLE
• responsable del filtrado
• cadenas predefinidas
• INPUT
• OUTPUT
• FORWARD
• responsable de configurar las reglas de reescritura de direcciones o de puertos de los paquetes
• PREROUTING (DNAT)
• POSTROUTING (SNAT)
• OUTPUT (DNAT local)
responsable de ajustar las opciones de los paquetes, como por ejemplo la calidad de servicio; contiene todas las cadenas predefinidas posibles.
![Page 26: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/26.jpg)
FIREWALL
Funcionamiento de IPtables
![Page 27: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/27.jpg)
FIREWALL
Ejemplo de IPtables (I)
Queremos bloquear todos aquellos paquetes entrantes provenientes de la dirección IP 200.200.200.1.
iptables -s 200.200.200.1
No estamos especificando qué hacer con los paquetes. Para esto, se usa el parámetro -j seguido por alguna de estas tres opciones: ACCEPT, DENY o DROP.
iptables -s 200.200.200.1 -j DROP
Necesitamos también especificar a qué chain o cadena vamos a aplicar esta regla. Para eso está el parámetro -A.
iptables -A INPUT -s 200.200.200.1 -j DROP
![Page 28: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/28.jpg)
FIREWALL
Ejemplo de IPtables (II)
Si lo que buscamos es que a nuestra computadora le sea imposible comunicarse con la anterior, simplemente cambiaremos el INPUT por el OUTPUT, y el parámetro -s por el -d.
iptables -A OUTPUT -d 200.200.200.1 -j DROP
Si quisiéramos ignorar sólo las peticiones Telnet provenientes de esa misma IP
iptables -A INPUT -s 200.200.200.1 -p tcp --puerto-destino telnet -j DROP
Si vamos a usar la computadora como router, deberemos setear la cadena de FORWARD para que también quede en ACCEPT.
iptables -P FORWARD ACCEPT
![Page 29: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/29.jpg)
FIREWALL
Implementación (escenario 1)
REGLASREGLAS
Todo lo que venga de la red local al Firewall : ACEPTAR
Todo lo que venga de una IP domiciliaria al puerto TCP 22 = ACEPTAR
Todo lo que venga de la IP domiciliaria del Gerente al puerto TCP 1723 = ACEPTAR
Todo lo que venga de la red local al exterior = ENMASCARAR
Todo lo que venga del exterior al puerto TCP 1 al 1024 = DENEGAR
Todo lo que venga del exterior al puerto TCP 3389 = DENEGAR
Todo lo que venga del exterior al puerto UDP 1 al 1024 = DENEGAR
ALTERNATIVA: implementar reglas por PROXY a nivel aplicación
![Page 30: 66.69 Criptografía y Seguridad Informática FIREWALL.](https://reader035.fdocuments.co/reader035/viewer/2022062217/5665b4561a28abb57c90a4cf/html5/thumbnails/30.jpg)
FIREWALL
Implementación (escenario 2)
• VPN con túnel IPSEC.• Punto a Punto seguro, o política de seguridad anti-intrusos o sniffing (ENCRIPT.)
L1
L2
L3
VPN
PaP