cortafuegos
Instalación y configuración de cortafuegos
David Villa Alises
Escuela Superior de Informática
Universidad de Castilla-La Mancha
Contenidos
●
Introducción
●
Tipos de cortafuegos.
●
●
●
Características.
Funciones principales.
Diseño del sistema cortafuegos.
●
DMZ
●
netfilter / iptables.
●
Distribuciones libres paracortafuegos dedicados.
●
Cortafuegos hardware.
http://www.esi.uclm.es
2
Introducción
http://www.esi.uclm.es
3
Cortafuegos
RAE: 2. m. Arq. Pared toda de fábrica, sin madera alguna, y de
un grueso competente, que se eleva desde la parte inferior del
edificio hasta más arriba del caballete, con el fin de que, si hay
fuego en un lado, no se pueda este comunicar al otro.Wikipedia: es una parte de un sistema o una red que está
diseñada para bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas. Se trata de un
dispositivo o conjunto de dispositivos configurados para
permitir/limitar, cifrar/descifrar el tráfico entre los diferentes
ámbitos sobre la base de un conjunto de normas y otros criterios.
4
http://www.esi.uclm.esCortafuegos
Un cortafuegos es un dispositivo o
sistema que controla el flujo de tráfico
entre diferentes áreas de una red.
[R.A. Deal, Cisco Router Firewall Security]
5
http://www.esi.uclm.es
¿Para qué sirve?
El objetivo de todo cortafuegos es proporcionar un
medio para implementar la política de control de
acceso.
red protegida
red exterior
router
cortafuegoshttp://www.esi.uclm.es
6
¿Para qué sirve?
●
Control
●
●
Seguridad/Protección
●
●
Ej: Los usuarios de mi red solo podrán acceder a
ciertos sitios web, y no podrán usar IRC.
Ej: Solo los usuarios de cierta red pueden acceder a mi
servidor SSH.
Vigilancia
●
Ej: Determinar qué máquina está haciendo
constantemente intentos de acceso a mi servidor.http://www.esi.uclm.es
7
Características habituales
●
Ligados a un encaminador.
●
Controla el tráfico.
●
Protege los recursos sensibles.
●
Oculta la estructura interna.
●
Establece áreas con restricciones diferentes.
●
Registra e informa de incidencias.
http://www.esi.uclm.es
8
Tipos de cortafuegos
http://www.esi.uclm.es
9
Tipos de cortafuegos
●
Defiltrado de paquetes (packet-filtering ó stateless)
●
Con estado (stateful)
●
Pasarela de aplicación (application gateway)
●
Cortafuegos NAT (address-translation)
●
Local o personal (host-based)
●
Híbridos
http://www.esi.uclm.es
10
Cortafuegos
de filtrado de paquetes
●
Sin estado (no tienen en cuenta el tráfico anterior).
●
Dado un paquete y un conjunto dereglas decide:
●
Reenviar: ACCEPT
●
Descartar: DROP
●
Rechazar: REJECT. Como DROP pero informando al remitente
(con ICMP).
●
Dos políticas:
●
Restrictiva: Todo lo que no esté explícitamente permitido, está prohibido.
●
Permisiva: Todo lo que no esté explícitamente prohibido, está permitido.
http://www.esi.uclm.es
11
Cortafuegos de filtrado de paquetesInspección de paquetes
●
Dirección de capa 3 (IP) origen o destino.
●
Dirección de capa 4 (puerto) origen o destino.
●
Carga útil de paquete (campo protocol).
●
Flags de la cabecera: SYN, RST, ...
●
Interfaz de red, de entrada o salida
●
El propietario del proceso que creó el paquete.
●
etc...
http://www.esi.uclm.es
12
Inspección
Formato delpaquete IP
20 – 65536 bytes
20 – 60 bytes
Paquete IP
encabezado
carga (payload)
0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
20 bytes
versión
IHL
longitud total
tipo de servicio
D M
F F
identificación
tiempo de vida
offset del fragmento
protocolo
checksum
dirección del origen
0 – 40 B
dirección del destino
opciones...
Regístrate para leer el documento completo.