cortafuegos
DESCRIPTION
Corta fuegosClase de Transmision de Datos UCABTRANSCRIPT
-
Carlos Figueira 1
Criptografa y Seguridad Criptografa y Seguridad de Datosde Datos
Proteccin de redes: Proteccin de redes: CortafuegosCortafuegos(Parte I)(Parte I)
Carlos Figueira. Carlos Figueira. Universidad Simn Bolvar
Basado en lminas del Profesor Henric Johnson (http://www.its.bth.se/staff/hjo/
-
Carlos Figueira 2
ContenidoContenido Principios de Diseo de Cortafuegos
(Firewall) Caractersticas Tipos de cortafuegos Configuraciones
Sistemas confiables (trusted) Control de acceso a datos Concepto de sistema confiable Defensa Caballo de Troya
-
Carlos Figueira 3
CortafuegosCortafuegos
Medios efectivos para proteger sistemas y redes locales de ataques a la seguridad a travs de la red, garantizando acceso controlado desde el exterior a travs de Internet o Red de rea Ancha
-
Carlos Figueira 4
Principios de DiseoPrincipios de Diseo
Los sistemas de informacin evolucionan, desde pequeas redes locales a conectividad a Internet
No se establecen medidas de seguridad slidas para las estaciones de trabajo y los servidores
-
Carlos Figueira 5
Principios de Diseo (cont.)Principios de Diseo (cont.)
El cortafuego se inserta entre la red interna (Intranet) e Internet
Objetivos: Establecer un enlace controlado Proteger la red interna de ataques desde
Internet Proveer un punto estratgico (nico) de
defensa
-
Carlos Figueira 6
CaractersticasCaractersticas
Metas de diseo: Todo trfico desde Intranet hacia afuera
debe pasar por cortafuegos, bloqueando fsicamente todo acceso a la red interna excepto a travs del cortafuego
Slo se permite el paso del trfico autorizado (definido por las polticas de seguridad locales)
-
Carlos Figueira 7
CaractersticasCaractersticas
Metas de diseo: El cortafuego mismo es inmune a
penetraciones (uso de sistemas confiables con un sistema de operacin confiable)
-
Carlos Figueira 8
CaractersticasCaractersticas 4 tcnicas generales: control de
servicios, de direccin, de usuario y de comportamiento
Control de Servicios Determina los tipos de servicios de la
institucin que pueden ser accedidos desde Internet (entrante y saliente)
Control de Direccin Determina direccin en que se permite flujo
de solicitudes de servicios
-
Carlos Figueira 9
CaractersticasCaractersticas
Control de Usuario Controla acceso a un servicio segn quien
trata de accederlo
Control de Comportamiento Controla como se usan algunos servicios
particulares (p.e. Filtro de correo electrnico)
-
Carlos Figueira 10
Tipos de CortafuegosTipos de Cortafuegos
Encaminadores de filtrado de paquetes
Pasarelas a nivel de aplicacin Pasarelas a nivel de circuito Bastiones
-
Carlos Figueira 11
Tipos de CortafuegosTipos de Cortafuegos
Encaminador de filtro de paquetes
-
Carlos Figueira 12
Tipos de CortafuegosTipos de Cortafuegos Encaminador de filtro de paquetes
Aplica un conjunto de reglas a cada paquete IP entrante, el cual es encaminado o descartado
Filtra paquetes en ambas direcciones Tpicamente se establece como una lista
de reglas basadas en correspondencia de patrones en los encabezados IP o TCP
Dos polticas por defecto: descartar o encaminar
-
Carlos Figueira 13
Tipos de CortafuegosTipos de Cortafuegos
Ventajas: Simplicidad Transparencia para usuarios Alta velocidad
Desventajas: Dificultad para crear reglas Falta de Autenticacin
-
Carlos Figueira 14
Tipos de CortafuegosTipos de Cortafuegos
Posibles ataques y medidas apropiadas Suplantar direcciones IP (por una IP
interna) Ataques de encaminamiento de fuente Ataques de pequeos fragmentos
-
Carlos Figueira 15
Tipos de CortafuegosTipos de Cortafuegos
Pasarelas a nivel de aplicacin
-
Carlos Figueira 16
Tipos de CortafuegosTipos de Cortafuegos
Pasarela a nivel de aplicacin Tambin llamada proxy server Funciona como un relevo (pivot) del
trfico a nivel de aplicacin
-
Carlos Figueira 17
Tipos de CortafuegosTipos de Cortafuegos
Ventajas: Ms seguro que filtro de paquetes Slo revisa unas pocas aplicaciones
permitidas Fcil de llevar registros y se audita todo
el trfico entrante
Desventajas: Sobrecarga de procesamiento en cada
conexin
-
Carlos Figueira 18
Tipos de CortafuegosTipos de Cortafuegos
Pasarela a nivel de circuito
-
Carlos Figueira 19
Tipos de CortafuegosTipos de Cortafuegos
Pasarelas a nivel de circuito Sistemas dedicados o Funciones
especializadas realizadas por una pasarela a nivel de aplicacin
Establece dos conexiones TCP La pasarela tpicamente reenva
segmentos TCP de una conexin a otra sin examinar los contenidos
-
Carlos Figueira 20
Tipos de CortafuegosTipos de Cortafuegos
Pasarelas a nivel de circuito La funcin de seguridad consiste en
determinar las conexiones que sern permitidas
Se usa tpicamente cuando el administrador confa en los usuarios internos
Un ejemplo es el paquete SOCKS
-
Carlos Figueira 21
Tipos de CortafuegosTipos de Cortafuegos
Bastin Sistema identificado por el cortafuegos
como un punto crtico fuerte en la seguridad de la red
El anfitrin bastin sirve como una plataforma de pasarela a nivel de aplicacin y a nivel de circuito
-
Carlos Figueira 22
Configuraciones de Configuraciones de Cortafuegos ICortafuegos I
Sistema cortafuego con bastin conectado a una sola red
-
Carlos Figueira 23
Configuraciones de Configuraciones de Cortafuegos I (cont.)Cortafuegos I (cont.)
Cortafuego es una mquina robusta de proteccin (bastin), conectada a una sola red
Cortafuego consiste de dos sistemas: Un encaminador que filtra paquetes Un bastin
-
Carlos Figueira 24
Configuraciones de Configuraciones de Cortafuegos I (cont.)Cortafuegos I (cont.)
Configuracin del encaminador que filtra paquetes: Slo se permite el paso de paquetes
desde y hacia el bastin
El bastin realiza autenticacin y funciones de intermediario (proxy)
-
Carlos Figueira 25
Configuraciones de Configuraciones de Cortafuegos I (cont.)Cortafuegos I (cont.)
Mayor seguridad que las configuraciones simples debido a que: Implementa filtros de paquete y de nivel
de aplicacin, simultneamente, permitiendo flexibilidad al definir las polticas de seguridad
El intruso debe generalmente penetrar dos sistemas separados
-
Carlos Figueira 26
Configuraciones de Configuraciones de Cortafuegos I (cont.)Cortafuegos I (cont.)
Esta configuracin tambin provee flexibilidad, al ofrecer acceso directo a Internet (p.e., un servidor Web)
-
Carlos Figueira 27
Configuraciones de Configuraciones de Cortafuegos IICortafuegos II
Sistema de bastin conectado a dos redes
-
Carlos Figueira 28
Configuraciones de Configuraciones de Cortafuegos II (cont.)Cortafuegos II (cont.)
El encaminador que filtra paquetes no compromete a la red
El trfico entre Internet y las mquinas de la red privada tiene que fluir a travs del bastin
-
Carlos Figueira 29
Configuraciones de Configuraciones de Cortafuegos IIICortafuegos III
Sistema cortafuegos con bastin entre dos filtros de paquetes
DMZ
-
Carlos Figueira 30
Configuraciones de Configuraciones de Cortafuegos III (cont.)Cortafuegos III (cont.)
La ms segura de las tres Se usan dos encaminadores filtro de
paquetes Creacin de una red aislada (Intranet)
y una Zona desmilitarizada (DMZ)
-
Carlos Figueira 31
Configuraciones de Configuraciones de Cortafuegos III (cont.)Cortafuegos III (cont.)
Ventajas: Tres niveles de defensa contra intrusos El encaminador externo publica en
Internet slo la existencia de la subred monitoreada (la red interna es invisible a Internet)
-
Carlos Figueira 32
Configuraciones de Configuraciones de Cortafuegos III (cont.)Cortafuegos III (cont.)
Ventajas: El encaminador interno publica slo la
existencia de la subred monitoreada a las red interna (los sistemas en la red interna no pueden construir rutas directas a Internet)
Pgina 1OutlineFirewalls Firewall Design Principles Pgina 5Firewall Characteristics Pgina 7Pgina 8Pgina 9Types of Firewalls Pgina 11Pgina 12Pgina 13Pgina 14Pgina 15Pgina 16Pgina 17Pgina 18Pgina 19Pgina 20Pgina 21Pgina 22Pgina 23Pgina 24Pgina 25Pgina 26Pgina 27Pgina 28Pgina 29Pgina 30Pgina 31Pgina 32