firewall
Páginas: 12 (2773 palabras)
Publicado: 17 de noviembre de 2014
Tema 6. Firewalls
´
SEGURIDAD EN SISTEMAS DE INFORMACION
Libre Elecci´on
http://ccia.ei.uvigo.es/docencia/SSI
20 de abril de 2009
– FJRP, FMBR 2008 ccia SSI –
6.1 Conceptos b´
asicos
Cortafuegos: Mecanismo de control de accesos
Formado por componentes hardware y software
Separa nuestra red interna (equipos de confianza) de los equipos
externos (potencialmente hostiles)mediante el control del tr´afico
• denegando intentos de conexi´on no autorizados (en ambos sentidos)
Prevenci´
on de ataques desde el exterior hacia equipos internos
Esquema
(a) Objetivos
Todo el tr´afico desde interior a exterior y viceversa debe pasar por
el Cortafuegos/Firewall.
• bloqueo de todos los accesos f´ısicos a red propia excepto el del
Cortafuegos
• diferentes topolog´ıas ⇒diferentes niveles de aislamiento
El Cortafuegos permite s´olo tr´afico autorizado
• definido por las pol´ıticas de seguridad de la organizaci´on
• cada tipo de Cortafuegos permite distintos tipos de control
El Corfafuegos debe ser inmune a intrusiones
• Sistema Operativo y software fiable
– FJRP, FMBR 2008 ccia SSI –
1
(b) Tipos de aspectos a controlar
Control de Servicios determinarlos tipos de servicios de red accesibles
desde interior y exterior
Dos grandes alternativas:
Cortafuegos filtra tr´afico a los servicios bas´andose en la direcci´on
IP + n´
ums. de puerto
Cortafuegos proporciona un software Proxy para cada servicio
concreto a controlar.
Proxy recibe e interpreta las solicitudes a nivel de aplicaci´on,
permitiendo o no su paso.
Control de Direccionesdeterminar que direcciones pueden iniciar las
solicitudes de servicios y hacia cu´ales se permite su paso a trav´es
del Cortafuegos
Control de Usuarios control de accesos en base al usuario concreto
que pretende acceder
Normalmente se restringir´a a usuarios locales (dentro de zona protegida)
Control de Comportamiento control de c´omo se usan los servicios
Ejemplos: restricci´on de acceso adeterminados servicios Web,
filtrado de SPAM, etc...
– FJRP, FMBR 2008 ccia SSI –
2
(c) Utilidad de los Cortafuegos
Definen un punto u
´nico de resistencia frente a ataques
• mantiene usuarios no autorizados fuera de la red protegida
• prohibe entrada o salida de servicios potencialmente vulnerables
• protecci´on frente a ciertos ataques de suplantaci´on de IP (IP
spoofing )
•simplifica la administraci´on (punto u
´nico de entrada)
Ofrece ubicaci´on donde realizar supervisi´on de eventos de seguridad
• registro de accesos, intentos de intrusi´on, gesti´on de alarmas de
seguridad, auditorias, etc
Ofrece ubicaci´on para situar otros elementos de gesti´on de red (no
exclusivamente relacionados con la seguridad)
• traducci´on de direcciones, NAT(network addresstranslation)
◦ direcciones locales (privadas) ⇔ direcciones p´
ublicas de Internet
• software de auditoria y registro del uso de la red
• plataforma para implantar pasarelas IPSec o similares (enlaces de
redes virtuales privadas [VPN])
• plataforma donde centralizar sistemas de detecci´on de intrusiones
(ej.: SNORT)
• plataforma para ubicar filtros de nivel de aplicaci´on (antivirus,
SPAM,etc,...)
(d) Limitaciones
No protegen contra ataques que no pasen a trav´es del Cortafuegos
• conexiones adicionales que ofrecen un punto de entrada alternativo fuera de su control
No protegen contra amenazas internas
Pueden proporcionar una sensaci´on de falsa seguridad
• el Cortafuegos no basta por si s´olo
• seguridad en redes afecta a muchos aspectos
– FJRP, FMBR 2008 ccia SSI –
3
(e)Clasificaci´
on general de los tipos de Cortafuegos
Filtros de paquetes
Inspeccionan los paquetes recibidos/enviados
y comprueban si encajan en las reglas
Filtrado basado en la informaci´on contenida en cada paquete
recibido/enviado
• cada paquete se inspecciona de forma aislada y la decisi´on se
toma de forma aislada
• filtro ”sin estado”
• no tiene en cuenta si los paquetes son...
´
SEGURIDAD EN SISTEMAS DE INFORMACION
Libre Elecci´on
http://ccia.ei.uvigo.es/docencia/SSI
20 de abril de 2009
– FJRP, FMBR 2008 ccia SSI –
6.1 Conceptos b´
asicos
Cortafuegos: Mecanismo de control de accesos
Formado por componentes hardware y software
Separa nuestra red interna (equipos de confianza) de los equipos
externos (potencialmente hostiles)mediante el control del tr´afico
• denegando intentos de conexi´on no autorizados (en ambos sentidos)
Prevenci´
on de ataques desde el exterior hacia equipos internos
Esquema
(a) Objetivos
Todo el tr´afico desde interior a exterior y viceversa debe pasar por
el Cortafuegos/Firewall.
• bloqueo de todos los accesos f´ısicos a red propia excepto el del
Cortafuegos
• diferentes topolog´ıas ⇒diferentes niveles de aislamiento
El Cortafuegos permite s´olo tr´afico autorizado
• definido por las pol´ıticas de seguridad de la organizaci´on
• cada tipo de Cortafuegos permite distintos tipos de control
El Corfafuegos debe ser inmune a intrusiones
• Sistema Operativo y software fiable
– FJRP, FMBR 2008 ccia SSI –
1
(b) Tipos de aspectos a controlar
Control de Servicios determinarlos tipos de servicios de red accesibles
desde interior y exterior
Dos grandes alternativas:
Cortafuegos filtra tr´afico a los servicios bas´andose en la direcci´on
IP + n´
ums. de puerto
Cortafuegos proporciona un software Proxy para cada servicio
concreto a controlar.
Proxy recibe e interpreta las solicitudes a nivel de aplicaci´on,
permitiendo o no su paso.
Control de Direccionesdeterminar que direcciones pueden iniciar las
solicitudes de servicios y hacia cu´ales se permite su paso a trav´es
del Cortafuegos
Control de Usuarios control de accesos en base al usuario concreto
que pretende acceder
Normalmente se restringir´a a usuarios locales (dentro de zona protegida)
Control de Comportamiento control de c´omo se usan los servicios
Ejemplos: restricci´on de acceso adeterminados servicios Web,
filtrado de SPAM, etc...
– FJRP, FMBR 2008 ccia SSI –
2
(c) Utilidad de los Cortafuegos
Definen un punto u
´nico de resistencia frente a ataques
• mantiene usuarios no autorizados fuera de la red protegida
• prohibe entrada o salida de servicios potencialmente vulnerables
• protecci´on frente a ciertos ataques de suplantaci´on de IP (IP
spoofing )
•simplifica la administraci´on (punto u
´nico de entrada)
Ofrece ubicaci´on donde realizar supervisi´on de eventos de seguridad
• registro de accesos, intentos de intrusi´on, gesti´on de alarmas de
seguridad, auditorias, etc
Ofrece ubicaci´on para situar otros elementos de gesti´on de red (no
exclusivamente relacionados con la seguridad)
• traducci´on de direcciones, NAT(network addresstranslation)
◦ direcciones locales (privadas) ⇔ direcciones p´
ublicas de Internet
• software de auditoria y registro del uso de la red
• plataforma para implantar pasarelas IPSec o similares (enlaces de
redes virtuales privadas [VPN])
• plataforma donde centralizar sistemas de detecci´on de intrusiones
(ej.: SNORT)
• plataforma para ubicar filtros de nivel de aplicaci´on (antivirus,
SPAM,etc,...)
(d) Limitaciones
No protegen contra ataques que no pasen a trav´es del Cortafuegos
• conexiones adicionales que ofrecen un punto de entrada alternativo fuera de su control
No protegen contra amenazas internas
Pueden proporcionar una sensaci´on de falsa seguridad
• el Cortafuegos no basta por si s´olo
• seguridad en redes afecta a muchos aspectos
– FJRP, FMBR 2008 ccia SSI –
3
(e)Clasificaci´
on general de los tipos de Cortafuegos
Filtros de paquetes
Inspeccionan los paquetes recibidos/enviados
y comprueban si encajan en las reglas
Filtrado basado en la informaci´on contenida en cada paquete
recibido/enviado
• cada paquete se inspecciona de forma aislada y la decisi´on se
toma de forma aislada
• filtro ”sin estado”
• no tiene en cuenta si los paquetes son...
Leer documento completo
Regístrate para leer el documento completo.