Download - FIREWALL TAREA.docx
-
7/22/2019 FIREWALL TAREA.docx
1/32
Contenido
Firewall 2Firewalls de Filtrado de Paquetes. 11Listas de control de acceso (ACL). 17Firewalls con Inspeccin de Estado. 26Firewalls a Nivel de Aplicacin. 29
-
7/22/2019 FIREWALL TAREA.docx
2/32
Firewall
Un firewall o firewalls, es una parte de un sistema o una red que est diseado
para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos
configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes
mbitos sobre la base de un conjunto de normas y otros criterios.
Hay dos polticas bsicas en la configuracin de un firewall que cambian
radicalmente la filosofa fundamental de la seguridad en la organizacin:
Poltica restrictiva: Se deniega todo el trfico excepto el que est explcitamente
permitido. El firewall obstruye todo el trfico y hay que habilitar expresamente el
trfico de los servicios que se necesiten.
Poltica permisiva: Se permite todo el trfico excepto el que est explcitamente
denegado. Cada servicio potencialmente peligroso necesitar ser aislado
bsicamente caso por caso, mientras que el resto del trfico no ser filtrado.
TIPOS DE FIREWALL
Estos pueden ser implementados en hardware o software, o una combinacin de
ambos. Los firewalls se utilizan con frecuencia para evitar que los usuarios de
Internet no autorizados tengan acceso a redes privadas conectadas a Internet,
especialmente intranets. Un firewalls correctamente configurado aade proteccinnecesaria a la red, pero en ningn caso debe considerarse suficiente.
Firewall por hardware:
-
7/22/2019 FIREWALL TAREA.docx
3/32
Normalmente son dispositivos que se colocan entre el router y la conexin
telefnica. Como ventajas, podemos destacar, que al ser independientes del
computador, no es necesario configurarlos cada vez que reinstalamos el sistema
operativo, y no consumen recursos del sistema.
Firewall por software
Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito
que se conecta entre la red y el cable de la conexin a Internet, o bien un
programa que se instala en la mquina que tiene el modem que conecta con
Internet. Incluso podemos encontrar ordenadores computadores muy potentes y
con software especfico que lo nico que hacen es monitorizar las comunicaciones
entre redes.
Firewalls de capa de red o de filtrado de paquetes
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de
paquetes IP. A este nivel se pueden realizar filtros segn los distintos campos de
los paquetes IP: direccin IP origen, direccin IP destino, etc. A menudo en este
tipo de firewalls se permiten filtrados segn campos de nivel de transporte (nivel 4)
como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la
direccin MAC. Este es uno de los principales tipos de firewalls. Se considera
bastante eficaz y transparente pero difcil de configurar.
Firewalls de capa de aplicacin
Trabaja en el nivel de aplicacin (nivel 7), de manera que los filtrados se pueden
adaptar a caractersticas propias de los protocolos de este nivel. Por ejemplo, si se
trata de trfico HTTP, se pueden realizar filtrados segn la URL a la que se est
intentando acceder. Un firewalls a nivel 7 de trfico HTTP suele denominarse
proxy, y permite que los computadores de una organizacin entren a Internet de
-
7/22/2019 FIREWALL TAREA.docx
4/32
una forma controlada.
Trabaja en el nivel de aplicacin. Analizando todo el trfico de HTTP, (u otro
protocolo), puede interceptar todos los paquetes que llegan o salen desde y hacialas aplicaciones que corren en la red. Este tipo de firewalls usa ese conocimiento
sobre la informacin transferida para proveer un bloqueo ms selectivo y para
permitir que ciertas aplicaciones autorizadas funcionen adecuadamente. A
menudo tienen la capacidad de modificar la informacin transferida sobre la
marcha, de modo de engaar a las aplicaciones y hacerles creer que el firewalls
no existe.
Firewalls Personales
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean
conectarse a una red externa insegura y mantener su computadora a salvo de
ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus
hasta la prdida de toda su informacin almacenada.
Es un caso particular de firewalls que se instala como software en un computador,
filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa
por tanto, a nivel personal.
PARA QUE SIRVE UN FIREWALL
Bsicamente la funcin de un firewall es proteger los equipos individuales,
servidores o equipos conectados en red contra accesos no deseados de intrusos
que nos pueden robar datos confidenciales, hacer perder informacin valiosa o
incluso denegar servicios en nuestra red.
-
7/22/2019 FIREWALL TAREA.docx
5/32
As por lo tanto queda claro que es altamente recomendable que todo el mundo
utilice un firewall por los siguientes motivos:
1. Preservar nuestra seguridad y privacidad.
2. Para proteger nuestra red domstica o empresarial.
3. Para tener a salvo la informacin almacenadaen nuestra red, servidores
u ordenadores.
4. Para evitar intrusiones de usuarios no deseados en nuestra red y
ordenador. Los usuarios no deseados tanto pueden ser hackers como
usuarios pertenecientes a nuestra misma red.
5. Para evitarposibles ataques de denegacin de servicio.
As por lo tanto un firewall debidamente configurado nos podr proteger por
ejemplo contra ataquesIP address Spoofing,Ataques Source Routing, etc.
COMO FUNCIONA UN FIREWALL
El firewall normalmente se encuentra en el punto de unin entre 2 redes. En el
caso que podis ver en la captura de pantalla se halla en el punto de unin de una
red pblica (internet) y una red privada.
http://en.wikipedia.org/wiki/IP_address_spoofinghttp://en.wikipedia.org/wiki/IP_address_spoofinghttp://en.wikipedia.org/wiki/IP_address_spoofing -
7/22/2019 FIREWALL TAREA.docx
6/32
As mismo tambin vemos que cada una de las subredes dentro de nuestra red
puede tener otro firewall, y cada uno de los equipos a la vez puede tener su propio
firewall por software. De esta forma, en caso de ataques podemos limitar las
consecuencias ya que podremos evitar que los daos de una subred se
propaguen a la otra.
Lo primero que tenemos que saber para conocer el funcionamiento de un firewall
es que la totalidad de informacin y trfico que pasa por nuestro router y que se
transmite entre redes es analizada por cada uno de los firewall presentes en
nuestra red.
Si el trfico cumple con las reglasque se han configurado en los firewall el trfico
podr entrar o salir de nuestra red.
Si el trfico no cumple con las reglas que se han configurado en los firewall
entonces el trfico se bloquear no pudiendo llegar a su destino.
-
7/22/2019 FIREWALL TAREA.docx
7/32
TIPOS DE REGLAS QUE SE PUEDEN IMPLEMENTAR EN UN FIREWALL
El tipo de reglas y funcionalidades que se pueden construir en un firewall son las
siguientes:
1. Administrar los accesos de los usuarios a los servicios privados de la
redcomo por ejemplo aplicaciones de un servidor.
2. Registrar todos los intentos de entrada y salida de una red. Los intentos
de entrada y salida se almacenan en logs.
3. Filtrar paquetes en funcin de su origen, destino, y nmero de puerto. Esto
se conoce como filtro de direcciones. As por lo tanto con el filtro de
direcciones podemos bloquear o aceptar el acceso a nuestro equipo de la
IP 192.168.1.125 a travs del puerto 22. Recordar solo que el puerto 22
acostumbra a ser el puerto de un servidor SSH.
4. Filtrar determinados tipos de trfico en nuestra red u ordenador personal.
Esto tambin se conoce como filtrado de protocolo. El filtro de protocolo
permite aceptar o rechazar el trfico en funcin del protocolo utilizado.
Distintos tipos de protocolos que se pueden utilizar son http, https, Telnet,
TCP, UDP, SSH, FTP, etc.
5. Controlar el nmero de conexiones que se estn produciendo desde
un mismo punto y bloquearlas en el caso que superen un determinado
-
7/22/2019 FIREWALL TAREA.docx
8/32
lmite. De este modo es posible evitar algunos ataques de denegacin de
servicio.
6. Controlar las aplicaciones que pueden acceder a Internet. As por lo
tanto podemos restringir el acceso a ciertas aplicaciones, como por ejemplo
dropbox, a un determinado grupo de usuarios.
7. Deteccin de puertos que estn en escucha y en principio no deberan
estarlo. As por lo tanto el firewall nos puede advertir que una aplicacin
quiere utilizar un puerto para esperar conexiones entrantes.
Ventajas y Limitaciones de los firewalls.
Ventajas:
Bloquea el acceso a personas y/o aplicaciones no autorizadas a redes
privadas.
Administran los accesos provenientes de Internet hacia la red privada. Sin
un firewall, cada uno de los servidores propios del sistema se exponen al
ataque de otros servidores en el Internet. Por ello la seguridad en la red
privada depende de la "dureza" con que el firewall cuente.
Administran los accesos provenientes de la red privada hacia el Internet. Permite al administrador de la red mantener fuera de la red privada a los
usuarios no-autorizados (tal, como, hackers, crakers y espas), prohibiendo
potencialmente la entrada o salida de datos.
El firewall crea una bitcora en donde se registra el trfico ms significativo
que pasa a travs l.
Concentra la seguridad Centraliza los accesos
Limitaciones:
Un firewalls no puede proteger contra aquellos ataques cuyo trfico no pase
a travs de l.
El firewalls no puede proteger de las amenazas a las que est sometido por
ataques internos o usuarios negligentes. El firewalls no puede prohibir a
-
7/22/2019 FIREWALL TAREA.docx
9/32
espas corporativos copiar datos sensibles en medios fsicos de
almacenamiento (discos, memorias, etc.) y sustraerlas del edificio.
El firewalls no puede proteger contra los ataques de ingeniera social.
El firewalls no puede proteger contra los ataques posibles a la red interna
por virus informticos a travs de archivos y software. La solucin real est
en que la organizacin debe ser consciente en instalar software antivirus en
cada mquina para protegerse de los virus que llegan por cualquier medio
de almacenamiento u otra fuente.
El firewalls no protege de los fallos de seguridad de los servicios y
protocolos cuyo trfico est permitido. Hay que configurar correctamente y
cuidar la seguridad de los servicios que se publiquen en Internet.
La tecnologa empleada en los firewalls ha ido madurando a medida que la
industria especializada avanzaba y ahora tenemos una amplia variedad de
dispositivos que realizan esta funcin de distintas formas. Una forma prctica y
sencilla de comparar las bondades de cada plataforma es examinando las capas
del modelo OSI (Open System Interconnect) donde el firewalls interacta.
-
7/22/2019 FIREWALL TAREA.docx
10/32
La capa 1, o fsica, define la infraestructura tangible (medios, conectores, voltajes,
etc.) necesaria para las comunicaciones.
La capa 2, o capa de enlace de datos es el nivel donde se desarrollan las
comunicaciones en el interior de las LANs (Local Area Networks) y es la primera
en la que tenemos un espacio de direcciones a travs del cual podemos identificar
a una mquina determinada. Estas direcciones son asignadas a las tarjetas o
interfaces de red y son llamadas direcciones MAC (Media Access Control
addresses).
La Capa 3, o capa de red, es el nivel donde se interconectan las WANs (Wide
Area Networks) y en ella encontramos un segundo espacio de direcciones
identificativo, conocido como direcciones IP (Internet Protocol address).
En la capa 4 o capa de transporte, introducimos dos nuevos conceptos tiles:
sesiones y puertos. Un host puede tener abiertas cualquier nmero de sesiones de
comunicacin contra otro u otros hosts en la misma o distintas redes. Los puertos
pueden verse como los puntos finales (y origen) de conexin de dichas sesiones.
Por ltimo, las capas 5, 6 y 7 (sesin, presentacin y aplicacin) representan los
niveles donde se desenvuelven las aplicaciones del usuario y los servicios finales
de estas y para estas.
-
7/22/2019 FIREWALL TAREA.docx
11/32
La clasificacin conceptual ms simple divide los firewalls en slo dos tipos:
Firewalls a nivel de red (trabajan en las capas 2, 3 y/o 4).
Firewalls a nivel de aplicacin (trabajan en las capas 5,6 y/o 7).
Como regla general, podemos afirmar que cuanto ms bajas sean las capas en las
que el firewalls trabaja, su evaluacin ser ms rpida y transparente pero su
capacidad de accin ante ataques complejos es menor.
Firewalls de Filtrado de Paquetes.El trmino en ingls por el que se los conoce es Packet Filter Firewalls. Se trata
del tipo ms bsico de firewalls. Analizan el trfico de la red fundamentalmente en
la capa 3, teniendo en cuenta a veces algunas caractersticas del trfico generado
en las capas 2 y/o 4 y algunas caractersticas fsicas propias de la capa 1. Los
elementos de decisin con que cuentan a la hora de decidir si un paquete es
vlido o no son los siguientes:
La direccin de origen desde donde, supuestamente, viene el paquete
(capa 3).
La direccin del host de destino del paquete (capa 3). El protocolo especfico que est siendo usado para la comunicacin,
frecuentemente Ethernet o IP aunque existen firewalls capas de
desenvolverse con otros protocolos como IPX, NetBios, etc (capas 2 y 3).
El tipo de trfico: TCP, UDP o ICMP (capas 3 y 4).
Los puertos de origen y destino de la sesin (capa 4).
El interface fsico del firewalls a travs del que el paquete llega y por el que
habra que darle salida (capa 1), en dispositivos con 3 o ms interfaces de
red.
-
7/22/2019 FIREWALL TAREA.docx
12/32
Con todas o algunas de esta caractersticas se forman dos listas de reglas: una de
permitidas y otra de denegadas. La forma en que un paquete recibido se procesa
en funcin de estas dos listas difiere segn el modelo, el fabricante o el modo de
actuacin configurado y define en gran medida la permisividad del firewalls. Los
ms restrictivos exigen que el paquete pase con xito por ambas listas, es decir,
que no sea expresamente denegado en la una y sea expresamente autorizado en
la segunda. Otras veces existe una nica lista de reglas y el paquete es procesado
segn la primera regla que encontramos en la tabla y define como tratarlo. Otros
-
7/22/2019 FIREWALL TAREA.docx
13/32
firewalls usan la ltima regla que encuentran como accin a efectuar. Por ltimo,
tambin encontramos diferencias en cuanto a qu hacer cuando no se encuentra
ninguna regla vlida: algunos productos aceptan el paquete y otros lo rechazan.
Es, pues, fundamental conocer perfectamente el modo de trabajo del equipo que
nos ocupa en cada momento.
En la siguiente tabla tenemos un pequeo ejemplo de una de estas ltimas listas
de reglas en la que el firewalls posee la direccin IP 192.168.1.1:
Aparte de Aceptar (Accept) o Rechazar (Deny o Drop), la mayora de los firewalls
de este tipo poseen un tercer tipo de accin: Descartar (Discard o Stealth).
Cuando un paquete es procesado por una regla que define esta accin, este se
elimina silenciosamente sin devolverse error alguno al originario del mismo
creando un efecto de agujero negro y evitando as el firewalls revelar su
presencia.
Las principales bondades de este tipo de firewalls estn en su rapidez,
transparencia y flexibilidad. Proporcionan un alto rendimiento y escalabilidad y
muy bajo coste, y son muy tiles para bloquear la mayora de los ataques de
-
7/22/2019 FIREWALL TAREA.docx
14/32
Denegacin de Servicio, por ello se siguen implementando como servicios
integrados en algunos routers y dispositivos hardware de balanceo de carga de
gama media-alta.
Sus principales inconvenientes son su limitada funcionalidad y su dificultad a la
hora de configurarlos y mantenerlos. Son fcilmente vulnerables mediante
tcnicas de spoofing y no pueden prevenir contra ataques que exploten
vulnerabilidades especficas de determinadas aplicaciones, puesto que no
examinan las capas altas del modelo OSI. La informacin almacenada en los logs
de accesos es tan imprecisa como los parmetros usados en la configuracin de
su lista de reglas (direcciones de origen, de destino, puertos, protocolos, interfaces
de red, etc.) y la complejidad en la construccin de reglas hace que deban de ser
configurados por expertos conocedores del protocolo y que sean muy susceptibles
a los errores.
No son, pues, efectivos como medida nica de seguridad, pero s muy prcticos
como primera barrera, en la que se bloquean ciertos ataques, se filtran protocolos
no deseados y se pasan los paquetes restantes a otro firewalls que examine las
capas ms altas del protocolo.
Las ACL le permiten controlar el trfico de entrada y de salida de la red. Este
control puede ser tan simple como permitir o denegar los hosts o direcciones de
red. Sin embargo, las ACL tambin pueden configurarse para controlar el trfico
de red segn el puerto TCP que se utiliza.
Para comprender cmo funciona una ACL con TCP, observemos el dilogo
durante una conversacin TCP cuando descarga una pgina Web a su equipo.
-
7/22/2019 FIREWALL TAREA.docx
15/32
-
7/22/2019 FIREWALL TAREA.docx
16/32
El filtrado de paquetes, a veces denominado filtrado esttico de paquetes, controla
el acceso a la red, analiza los paquetes de entrada y de salida, y permite o
bloquea su ingreso segn un criterio establecido.
Como dispositivo de Capa 3, un router de filtrado de paquetes utiliza reglas para
determinar la autorizacin o denegacin del trfico segn las direcciones IP de
-
7/22/2019 FIREWALL TAREA.docx
17/32
origen y de destino, el puerto origen y el puerto destino, y el protocolo del paquete.
Estas reglas se definen mediante las listas de control de acceso o ACL.
Listas de control de acceso (ACL).Una lista de control de acceso o ACL (del ingls, access control list) es un
concepto de seguridad informtica usado para fomentar la separacin de
privilegios. Es una forma de determinar los permisos de acceso apropiados a un
determinado objeto, dependiendo de ciertos aspectos del proceso que hace el
pedido.
Las ACL permiten controlar el flujo del trfico en equipos de redes, tales como
enrutadores y conmutadores. Su principal objetivo es filtrar trfico, permitiendo o
denegando el trfico de red de acuerdo a alguna condicin. Sin embargo, tambin
tienen usos adicionales, como por ejemplo, distinguir "trfico interesante" (trfico
suficientemente importante como para activar o mantener una conexin) en RDSI.
-
7/22/2019 FIREWALL TAREA.docx
18/32
ACL se refiere a una lista de reglas que detallan puertos de servicio o nombres de
dominios (de redes) que estn disponibles en un terminal u otro dispositivo de
capa de red, cada uno de ellos con una lista de terminales y/o redes que tienen
permiso para usar el servicio. Tanto servidores individuales como enrutadores
pueden tener ACL de redes. Las listas de control de acceso pueden configurarse
generalmente para controlar trfico entrante y saliente y en este contexto son
similares a un firewalls. Existen dos tipos de listas de control de acceso:
Listas estndar, donde solo tenemos que especificar una direccin de origen;
Listas extendidas, en cuya sintaxis aparece el protocolo y una direccin de
origen y de destino.
Una ACL es una lista secuencial de sentencias de permiso o denegacin que se
aplican a direcciones IP o protocolos de capa superior. La ACL puede extraer la
siguiente informacin del encabezado del paquete, probarla respecto de las reglas
y decidir si "permitir" o "denegar" el ingreso segn los siguientes criterios:
Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP.
La ACL tambin puede extraer informacin de las capas superiores y probarla
respecto de las reglas. La informacin de las capas superiores incluye:
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino
Hay dos tipos de ACL Cisco: estndar y extendidas.
ACL estndar
Las ACL estndar le permiten autorizar o denegar el trfico desde las direcciones
IP de origen. No importan el destino del paquete ni los puertos involucrados. El
ejemplo permite todo el trfico desde la red 192.168.30.0/24.
-
7/22/2019 FIREWALL TAREA.docx
19/32
Debido a la sentencia implcita "deny any" (denegar todo) al final, todo el otro
trfico se bloquea con esta ACL. Las ACL estndar se crean en el modo de
configuracin global.
ACL extendidas
Las ACL extendidas filtran los paquetes IP en funcin de varios atributos, por
ejemplo: tipo de protocolo, direcciones IP de origen, direcciones IP de destino,
puertos TCP o UDP de origen, puertos TCP o UDP de destino e informacin
opcional de tipo de protocolo para una mejor disparidad de control.
En la figura, la ACL 103 permite el trfico que se origina desde cualquier direccin
en la red 192.168.30.0/24 hacia cualquier puerto 80 de host de destino (HTTP).
Las ACL extendidas se crean en el modo de configuracin global.
Lgica de las ACL estndar
En la figura, se revisan las direcciones de origen de los paquetes que ingresan a
Fa0/0:
-
7/22/2019 FIREWALL TAREA.docx
20/32
access-list 2 deny 192.168.10.1
access-list 2 permit 192.168.10.0 0.0.0.255
access-list 2 deny 192.168.0.0 0.0.255.255
access-list 2 permit 192.0.0.0 0.255.255.255
Si los paquetes tienen permiso, se enrutan a travs del router hacia una interfaz
de salida.
Si se les niega el permiso, se los descarta en la interfaz de entrada.
-
7/22/2019 FIREWALL TAREA.docx
21/32
Mscaras wildcard
Las sentencias de las ACL incluyen mscaras, tambin denominadas mscaras
wildcard. Una mscara wildcard es una secuencia de dgitos binarios que le
indican al router qu partes del nmero de subred observar. La mscara determinaqu parte de la direccin IP de origen y destino aplicar a la concordancia de
direcciones. Los nmeros 1 y 0 de la mscara identifican cmo considerar los bits
de direcciones IP correspondientes.
Bit 0 de mscara wildcard: hacer coincidir el valor de bits correspondiente de la
direccin
Bit 1 de mscara wildcard: ignorar el valor de bits correspondiente de la direccin.
-
7/22/2019 FIREWALL TAREA.docx
22/32
Procedimientos de configuracin de las ACL estndar
Luego de configurar una ACL estndar, se la vincula a una interfaz con el
comando ip access-group:
Router(config-if)#ip access-group {nmero de lista de acceso | nombre de lista de acceso}
{in | out}
-
7/22/2019 FIREWALL TAREA.docx
23/32
Prueba de puertos y servicios
La posibilidad de filtrar protocolos y nmeros de puerto le permite crear ACL
extendidas muy especficas. Mediante el nmero de puerto adecuado, puede
especificar una aplicacin al configurar el nmero de puerto o el nombre de un
puerto bien conocido.
-
7/22/2019 FIREWALL TAREA.docx
24/32
-
7/22/2019 FIREWALL TAREA.docx
25/32
-
7/22/2019 FIREWALL TAREA.docx
26/32
Ventajas:
Un solo enrutador con filtrado puede proteger
toda una red completa.
El filtrado simple es muy eficiente.
Desventajas:
El filtrado reduce la performance del enrutador.
Algunas polticas no son fciles de implementar
por enrutadores comunes.
Firewalls con Inspeccin de Estado.Los firewalls de segunda generacin, llamados con firewalls con inspeccin de
estado, o Stateful Inspection Firewalls o Circuit Level Firewalls, son bsicamente
firewalls de filtrado de paquetes en los que, adems, se valida a la hora de aceptar
o rechazar un paquete el hecho de que este sea una peticin de nueva conexin o
pertenezca a un circuito virtual (o sesin) ya establecido entre un host externo y
otro interno.
Cuando una aplicacin crea una sesin TCP con un host remoto, se establece un
puerto en el sistema originario de la conexin con objeto de recibir all los datos
provenientes del sistema remoto. De acuerdo a las especificaciones de TCP, este
puerto del host cliente estar comprendido entre el 1023 y el 16.384. En el sistema
remoto se establecer, asimismo, un puerto que ser siempre menor al 1024.
Los firewalls por filtrado de paquetes deben de permitir trfico entrante en todos
los puertos superiores (1023 hasta 16.384) para permitir los datos de retorno de
las conexiones salientes. Esto crea un gran riesgo de intrusiones. Los firewalls con
inspeccin de estado resuelven eficazmente este problema construyendo unatabla con informacin correspondiente a todas las sesiones TCP abiertas y los
puertos que utilizan para recibir los datos y no permitiendo el trfico entrante a
ningn paquete que no corresponda con ninguna de estas sesiones y puertos.
Para hacer esto, los firewalls de este tipo examinan rigurosamente el
establecimiento de cada conexin (en la capa 4 del modelo OSI) para asegurarse
-
7/22/2019 FIREWALL TAREA.docx
27/32
de que esta es legtima y est permitida. Los paquetes no son remitidos a su
destino hasta que el establecimiento de la conexin ha sido correctamente
completado y verificado.
El firewalls mantiene una tabla de conexiones vlidas (en la que se incluye
informacin del estado de cada sesin) y deja pasar los paquetes que contienen
informacin correspondiente a una entrada vlida en dicha tabla de circuitos
virtuales.
Una vez que la conexin finaliza la entrada en la tabla es eliminada y el circuito
virtual entre los dos hosts es cerrado.
Las tablas de estado de circuitos virtuales suelen contener, por cada conexin, la
siguiente informacin:
Un identificador de sesin nico asignado por el firewalls a cada conexin
establecida.
El estado de la conexin: negocindose (handshake), establecida o
cerrndose. (capa 4)
El nmero de secuencia del ltimo paquete (capa 4).
La direccin IP origen de los datos (capa 3).
La direccin IP destino de los datos (capa 3).
La interface fsica de red, si procede, a travs de la que los paquetes llegan
(capa 1).
La interface fsica de red, si procede, a travs de la que los paquetes salen
(capa 1).
-
7/22/2019 FIREWALL TAREA.docx
28/32
Usando esta informacin y con un ligero escrutinio de las cabeceras de los
paquetes, el firewalls es capaz de determinar cuando un paquete es vlido y
cuando no lo es. Una vez que la conexin es establecida, el resto de los paquetes
asociados con ella son rutados sin mas comprobaciones. Esto los hara, de base,
tremendamente vulnerables a ciertos tipos de ataques, pero muy pocos firewalls
de este tipo son tan rudimentarios. Sobre esta base, y aprovechando la gran
velocidad y consistencia que supone la misma, se realizan otro tipo de
verificaciones para, por ejemplo, asegurarnos que no ha habido suplantamiento
(spoofing), que no existen paquetes malformados, etc. Tambin son comunes en
ellos la implantacin de sistemas de translacin de direcciones, NAT, que ocultan
eficazmente el interior de nuestra red a intrusos externos.
Las principales ventajas de este esquema de salvaguardas son la velocidad de
filtrado, la solidez de sus principios de cara a establecer una poltica de seguridad
y, en conjunto con un esquema de traslacin de direcciones, la slida proteccin
adicional a las direcciones IP internas.
Sus principales debilidades residen en su limitacin estrictamente al escrutinio del
protocolo TCP, la imposibilidad de chequear protocolos de niveles altos, las
limitaciones inherentes a su mecnica de actuacin a la hora de llevar un registro
-
7/22/2019 FIREWALL TAREA.docx
29/32
de sucesos y la imposibilidad de implementar algunos servicios de valor aadido,
como realizar cacheado de objetos http o filtrado de URLs (puesto que no
entienden estosprotocolos).
Firewalls a Nivel de Aplicacin.Como su nombre indica, esta generacin de firewalls evala los paquetes
realizando una validacin en la capa de aplicacin (capa 7) antes de permitir una
conexin manteniendo, al igual que hacen los firewalls de inspeccin de estado,
un riguroso control del estado de todas las conexiones y el nmero de secuencia
de los paquetes. Adicionalmente, este tipo de firewalls suelen prestar, dado su
emplazamiento en la capa 7, servicios de autenticacin de usuarios.
La prctica totalidad de los firewalls de este tipo, suelen prestar servicios de Proxy.
Tanto es as que a menudo se identifican biunvocamente unos con otros. Un
Proxy es un servicio especfico que controla el trfico de un determinado protocolo
(como HTTP, FTP, DNS, etc.), proporcionando un control de acceso adicional y un
detallado registro de sucesos respecto al mismo. Los servicios o agentes tpicos
con que cuentan este tipo de dispositivos son: DNS, Finger, FTP, HTTP, HTTPS,
LDAP, NMTP, SMTP y Telnet. Algunos fabricantes proporcionan agentesgenricos que, en teora, son capaces de inspeccionar cualquier protocolo de la
red, pero lgicamente, usarlos le resta robustez al esquema y facilita a un intruso
la labor de establecer un tnel (tunneling) a travs de el.
Los agentes o servicios Proxy estn formados por dos componentes: un servidor y
un cliente. Ambos suelen implementarse como dos procesos diferentes lanzados
por un nico ejecutable. El servidor acta como destino de las conexiones
solicitadas por un cliente de la red interna. El cliente del servicio proxy es el que
realmente encamina la peticin haca el servidor externo y recibe la respuesta de
este.
Posteriormente, el servidor proxy remite dicha respuesta al cliente de la red
interna.
-
7/22/2019 FIREWALL TAREA.docx
30/32
De esta forma estamos creando un aislamiento absoluto impidiendo una
comunicacin directa entre la red interna y la externa. En el dilogo entre cliente y
servidor proxy se evalan las peticiones de los clientes de la red interna y se
decide aceptarlas o rechazarlas en base a un conjunto de reglas, examinando
meticulosamente que los paquetes de datos sean en todo momento correctos.
Puesto que son servicios hechos a medida para el protocolo que inspeccionan,
tenemos un control total y un registro de sucesos al ms alto detalle.
En el siguiente grfico podemos ver un ejemplo de cmo se desarrolla la
comunicacin antes descrita:
Las principales ventajas de este tipo de firewalls son sus detallados registros de
trfico (ya que pueden examinar la totalidad del paquete de datos), el valor
aadido que supone tener un servicio de autenticacin de cara a securizar nuestra
red, y la casi nula vulnerabilidad que presentan ante ataques de suplantacin
-
7/22/2019 FIREWALL TAREA.docx
31/32
(spoofing), el aislamiento que realizan de nuestra red, la seguridad que
proporciona la comprensin a alto nivel de los protocolos que inspeccionan y los
servicios aadidos, como cach y filtro de URLs, que prcticamente todos
implementan.
Entre los inconvenientes estn sus menores prestaciones (en cuanto a velocidad
de inspeccin se refiere) frente a los otros modelos ya vistos, la necesidad de
contar con servicios especficos para cada tipo distinto de trfico, la imposibilidad
de ejecutar muchos otros servicios en el (puesto que escucha en los mismos
puertos), la imposibilidad de inspeccionar protocolos como UDP, RPC y otros
servicios comunes, la necesidad de reemplazar la pila TCP nativa en el servidor
donde se ejecutan y lo vulnerables que resultan ante ataques directos al sistema
operativo sobre el que se suelen ejecutar.
Ventajas:
Registro eficiente de conexiones
Capacidad de filtrado inteligente/caching.
Autenticacin de usuarios.
Proteccin automtica para debilidades en la implementacin
Desventajas:
Demora en disponer del proxy para nuevas aplicaciones.
A menudo implican modificaciones a los clientes y las aplicaciones.
-
7/22/2019 FIREWALL TAREA.docx
32/32