Diseño de un firewallEn un entorno de red, incluyendo tanto equipos finales como de conectividad, el firewall es laprimer ...
Red de ejemploEn la red anterior se tiene una red de servidores con un firewall y otra red con máquinas sin unfirewall en ...
FTP: puertos de destino 20/tcp y 21/tcp.     SSH: puerto de destino 22/tcp.     DNS: puertos de destino 53/udp y 53/tcp. P...
Próxima SlideShare
Cargando en…5
×

Diseño de un firewall

233 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
233
En SlideShare
0
De insertados
0
Número de insertados
1
Acciones
Compartido
0
Descargas
1
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Diseño de un firewall

  1. 1. Diseño de un firewallEn un entorno de red, incluyendo tanto equipos finales como de conectividad, el firewall es laprimer medida indispensable en lo que hace a seguridad lógica de la misma. Por ello esimportante entender cómo funciona un firewall y diseñarlo correctamente antes de ponerlo enfuncionamiento, sobre todo si se trata de un ambiente de producción.Para empezar es importante saber que un firewall puede tener una de dos políticas: Política permisiva: por defecto se permite todo el tráfico y se deniega explícitamente lo que no se desea que atraviese el mismo. La ventaja es que es fácil de implementar ya que no requiere conocimientos precisos de los servicios brindados. La desventaja es, lógicamente, su falta de seguridad. Política restrictiva: por defecto se bloquea todo el tráfico y se permite sólo el tráfico válido. Por ejemplo, si se tiene un servidor web se denegará todo tipo de intento de conexión al mismo con excepción del tráfico destinado al puerto 80 tcp.Será necesario entonces escoger una para luego definir las reglas necesarias. En la práctica uso lasegunda de ellas y será la que utilice en este post.Ahora bien, el próximo paso es relevar los servicios que se permitirán pasar por el firewall con lamayor precisión posible: IPs de origen, IPs de destino, puertos, protocolos. Una vez obtenida esainformación ya es posible comenzar a definir las reglas para permitir lo relevado.Un consejo en este punto es mantener las reglas lo más restrictivas posibles aunque dependerásiempre de cuán críticos sean los equipos a proteger. Con esto en cuenta mostraré un ejemplopráctico en base al siguiente diagrama:
  2. 2. Red de ejemploEn la red anterior se tiene una red de servidores con un firewall y otra red con máquinas sin unfirewall en el medio donde, una de ellas, es la máquina del administrador. Ya se decidió que lapolítica será restrictiva. Siguiendo con los pasos, debería hacerse entonces un relevamiento. Acontinuación listo los requerimientos obtenidos a partir del mismo: FTP: se utiliza para subir cambios en la web y se permite sólo desde la red con los dos hosts. SSH: para los tres equipos, sólo desde la máquina del administrador. DNS: a todo internet, pues es el servidor de DNS de la empresa. HTTP/HTTPS: a todo internet, ya que los servidores alojan el sitio web de la empresa. SMTP: como se necesita que reciba mails es necesario que sea accesible desde cualquier lugar de internet. POP/IMAP: los usuarios de mail de la empresa pueden chequearlo desde sus casas. Por lo tanto estará disponible para todo internet también. Además se desea que sea posible hacer ping a los servidores desde la máquina del administrador.Antes de seguir con la definición del firewall es importante saber los puertos que utiliza cadaservicio. Los mismos son:
  3. 3. FTP: puertos de destino 20/tcp y 21/tcp. SSH: puerto de destino 22/tcp. DNS: puertos de destino 53/udp y 53/tcp. Puertos de origen 53/udp y 53/tcp. HTTP/HTTPS: puertos de destino 80/tcp y 443/tcp respectivamente. SMTP: puerto de destino 25/tcp. Puerto de origen 25/tcp. POP/IMAP: puertos de destino 110/tcp y 143/tcp. Ping: usa el protocolo ICMP que no tiene puertos.Basados en lo anterior se podría definir el firewall. Sería algo como lo siguiente:Denegar todo tráfico entrantePermitir todas las conexiones establecidas y relacionadas (si una conexión pasó por el firewall yano se vuelve a analizar el tráfico referente a dicha conexión ni necesita ser explícitamenteaceptado. Lo mismo con las conexiones relacionadas)Permitir tráfico ICMP con cualquier destino y origenPermitir conexiones con destino 172.25.11.0/24 desde la ip 172.25.10.2 puerto origen tcp 20 (FTPACTIVO)Permitir conexiones con destino 172.25.10.2 al puerto tcp 21 desde 172.25.11.0/24Permitir conexiones con destino 172.25.10.2-4 al puerto tcp 22 desde 172.25.11.2 (SSH)Permitir conexiones con destino 172.25.10.4 al puerto tcp 25 desde cualquier ladoPermitir conexiones con cualquier destino al puerto tcp 25 desde 172.25.10.4Permitir conexiones con destino 172.25.10.3 al puerto tcp 53 desde cualquier ladoPermitir conexiones con destino 172.25.10.3 al puerto udp 53 desde cualquier ladoPermitir conexiones con cualquier destino al puerto tcp 53 desde 172.25.10.3Permitir conexiones con cualquier destino al puerto udp 53 desde 172.25.10.3Permitir conexiones con destino 172.25.10.2 al puerto tcp 80 desde cualquier ladoPermitir conexiones con destino 172.25.10.4 al puerto tcp 110 desde cualquier ladoPermitir conexiones con destino 172.25.10.4 al puerto tcp 143 desde cualquier ladoPermitir conexiones con destino 172.25.10.2 al puerto tcp 443 desde cualquier ladoCon lo visto he pretendido dar una noción del diseño básico de un firewall. En un próximo postmostraré cómo implementarlo con herramientas libres.

×