Este documento describe los conceptos fundamentales de los firewalls. Explica que un firewall filtra el tráfico de red autorizado y bloquea el no autorizado, actuando como parte de una defensa en profundidad. También describe los componentes clave de un firewall como el filtrado de paquetes, los proxies de aplicación y la monitorización. Finalmente, señala que aunque los firewalls brindan protección, no son la solución definitiva contra todas las amenazas de seguridad.
2. IDEAS FALSAS SOBRE
FIREWALL
Concepto erróneo
➢ Diseñado para evitar todos
los hackers, virus y que los
posibles intrusos entren.
Realidad
➢ Activa el trafico autorizado
para acceder a la red.
➢ Bloquea el trafico no
autorizado.
Concepto erróneo
➢ Una vez desplegado, los
firewalls operan por su
cuenta.
Realidad
➢ Trabaja mejor cuando es
parte de la defensa en
profundidad.
➢ Necesitan tratamiento
constante.
3. Definición de firewall
Sistema de defensa basado en el hecho de que todo el tráfico de entrada o salida a la red
debe pasar obligatoriamente por un sistema de seguridad capaz de autorizar, denegar, y
tomar nota de todo aquello que ocurre, de acuerdo con una política de control de acceso
entre redes.
NO ES UN PROGRAMA, sino que consiste en un conjunto de
medidas hardware y software destinadas a asegurar una instalación de red.
4. Funciones
básicas
− Filtrar los accesos no autorizados.
− Llevar la contabilidad de las transacciones que se llevan a
cabo en la red.
− Alertar en caso de ataques o de comportamiento extraño
de los sistemas de comunicación.
6. Decisiones políticas
1.Política de seguridad de la organización
propietaria del firewall
2.Nivel de monitorización, redundancia y
control deseado en la organización
3.Valoración económica
9. El filtrado de paquetes
❑ Se utiliza para reducir la carga de red
❑ También se emplea para implementar distintas políticas de seguridad en
una red. R
❑ El objetivo principal es evitar el acceso no autorizado entre dos redes,
manteniendo los accesos autorizados.
❑ Encaminan los paquetes entre los hosts de una red interna y los hosts de
una red externa.
❑ De modo selectivo, permiten o bloquean ciertos tipos de paquetes de
acuerdo a una política de seguridad.
10. Diferencia entre un router ordinario y
un screening router:
UN ROUTER ORDINARIO simplemente
mira la dirección de destino de cada
paquete y escoge el mejor modo de
enviar el paquete hacia dicho
destino. La decisión sobre cómo
manejar el paquete se basa
únicamente en su destino.
UN SCREENING ROUTER examina los
paquetes más detenidamente.
Además de determinar si puede
encaminar el paquete hacia su
destino, decide si se debería
hacerlo, de acuerdo a la política
de seguridad con la que se ha
configurado.
11. El proxy de aplicación
❖ Aplicación software capaz de filtrar las conexiones a servicios, es decir,
capaz de reenviar o bloquear conexiones a servicios.
❖ cogen las peticiones de los usuarios sobre servicios de Internet, como FTP
y Telnet, y responden a dichas peticiones según la política de seguridad.
❖ Proporcionan conexiones y actúan de pasarela entre la propia máquina
o la red interna y la red externa.
❖ El servidor proxy requiere dos componentes: un servidor proxy y un proxy
cliente.
12. La monitorización y detección de actividad
sospechosa
La monitorización facilita información sobre:
• Intentos de ataque: origen, franjas horarias, tipos de acceso
• Existencia de tramas sospechosas.
La información que se debe registrar:
• Tipos de paquetes recibidos, frecuencias, direcciones fuente y
destino,
• Información de la conexión: origen y destino, nombre de usuario,
hora y duración.
• Intentos de uso de protocolos denegados.
• Intentos de falsificación de dirección por parte de máquinas internas.
• Tramas recibidas desde routers desconocidos.
13. La monitorización y detección de
actividad sospechosa
PARA REGISTRAR ESTA INFORMACIÓN ES NECESARIO INDICAR LAS
SIGUIENTES CARACTERÍSTICAS:
▪ Información de servicio: fecha y hora.
▪ Información remota: la/s dirección/es IP del presunto atacante, así
como su puerto y el protocolo de comunicación utilizado.
▪ Información Local: dirección IP de destino y su puerto de acceso.
▪ Filtrado de Información: forma en que ha actuado el filtro que
empleamos y qué adaptador de red lo hizo.
14. Cortafuegos a nivel 3 de
modelo de referencia OSI
(nivel de red o nivel IP en
redes TCP/IP)
Cortafuegos a nivel 4 del
modelo de referencia OSI
(nivel de transporte o nivel de
TCP en redes TCP/IP)
Cortafuegos a nivel 7
del modelo de
referencia OSI (nivel de
aplicación)
|
15. Utilidades de un
firewall
Un cortafuegos ofrece los aspectos que se describen a
continuación:
1. Aislamiento de Internet.
2. Cuello de botella.
3. Auditoría y registro de uso.
4. Seguridad de contenidos.
5. Autenticación.
6. Ocultamiento del rango de direccionamientos internos de la
organización.
16. Ataques internos dentro del perímetro de
seguridad de la organización.
Los cortafuegos no suponen la solución definitiva a todos los problemas de seguridad. A
pesar de todas sus ventajas, existen amenazas fuera de su alcance, contra las cuales se
deben buscar otros métodos de protección. Algunas de estas amenazas son:
1. Ataques internos dentro del perímetro de seguridad de la organización.
2. Ataques que no pasan a través del cortafuegos.
3. Ataque de virus sofisticados.
4. Ataques basados en datos.
5. Ataques de los que no se tiene conocimiento.
Aparte de otras amenazas que no cubre un cortafuegos.