Implementación de tecnologías de firewall

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE I Chapter 6 1
Implementación de
Firewalls
Fernando Illescas
Fernando.illescasp@gmail.com

© 2006 Cisco Systems, Inc. All rights reserved. Cisco PublicITE 1 Chapter 6 2
Objetivos
– Configurar ACLS extendidas y estándar con CLI
– Verificar l funcionalidad de las ACL configuradas
– Configurar ACL reflexivas.
– Configurar ACL dinámicas
– Configurar ACL basadas en tiempo.
– ACL Troubleshoothing
– Mitigación de ataques con ACL.
– Configurar IPv6 ACLs
– Configuración de grupos de control de acceso
– Configuración de Firewalls
– Zone-based Policy Firewalls

Control de Acceso - Introducción
 El control de acceso determina quien hace qué a qué
basados en una politica de seguridadpolitica de seguridad.
 Una de las principals tareas del adminstrador de redes
es controlar quien entra y quien sale de las redes.
 La definición de perfiles de acceso debe realizarse por
grupos de trabajo en empresas grandes.
 Una matriz de grupos-objetos puede ser de gran
ayuda.

Control de Acceso - Introducción

Introducción a ACL
 Las Access Control List (ACL) son un mecanismo de
control de trafico de red ampliamente utilizado en
infraestructuras.
 Las ACL tradicionales, pueden llegar a ser muy
complicadas, ya que en principio el control de acceso
se realiza en base a grupos de trabajo (gerentes de
Proyecto, administradores de base de datos, tecnicos,
diseñadores) que se encuentran en distintas redes.

Introducción a ACL

ACL standards y extendidas
 Las ACL standard están numeradas de 1-99 o 1300-
1999.
 Su sintaxis únicamente define la red de origen.
 Las ACL extendidas se numeran de 100-199 o 2000-
2699.
 Su sintaxis puede definir, redes de origen y destino,
puertos y protocolos de origen y destino.

IP ACL nombradas

Loggin ACLs
 Al final de una sentencia ACL ya sea extendida o
standard, ejecutar el commando log.
 El router realiza una comparación entre el trafico que
fluye y las entradas ACL.
 Los logs obtenidos se pueden almacenar en memoria
interna o ser enviados a un syslog.
 La operación Log afecta considerablemente el
rendimiento de procesamiento de los equipos.
 Debe ser aplicado únicamente con propósitos de
troubleshooting y no como funcionamiento constante

Reglas de entradas de ACL
 Implicit deny: Al final de una ACL siempre existe un
deny any, aun si esta sentencia no es visible.
 Packet filtering: Los routers de borde deben siempre
configurar ACL standard, las ACL extendidas se
configuran para cumplimiento de políticas.
 Orden de las entradas: El match se realiza de forma
secuencial, cuando existe coincidencia no se toma en
cuenta las entradas subsecuentes.
 Direccionamiento del filtrado: IN y OUT.
 Modificacion de ACL: Cuando se requiere cambiar una
ACL, es necesario eliminar la ACL y configurar una
nueva.

ACL standard, ejemplo

ACL extendida, ejemplo

Edicion de ACL Extendidas
 A partir del IOS 12.3, es possible eliminar entradas
específicas en las ACL y agregar entradas en un lugar
específico.

Edicion de ACL Standard
 En ACL Standard, las entradas (ACE) son leidas en
forma descendente sin importer su numero de
secuencia.
 El numero de secuencia es utilizado como identificador
para propósitos de modificación.
 En las ACL Standard las sentencias orientadas a host
(aquellas con una IPv4 específica) son listadas
primero, pero no necesariamente en el orden que
fueron ingresadas.
 El IOS ejecuta una operacion hash a las sentencias por
host y las ordena. Esto optimiza la busqueda de ACE

Edicion de ACL Standard

Ubicación de las ACL

Ubicación de las ACL – Cont.
 ACL Standard: Deben ser configuradas lo mas cerca
possible del destino, como outbound.
 ACL Extendidas: Deben ser configuadas lo mas cerca
del origen, como inbound.

Implementacion de statefull filtering en
routers
 En redes modernas, los network firewalls deben estar
entre la red externa y la red interna.
 La idea básica es que el firewall bloquee todo el trafico
entrante a menos que exista una regla implícita o el
retorno de un trafico solicitado desde la red interna.
 Una mejora significativa en los IOS fue la agregación
del comando established, que bloquea todo el trafico
entrante excepto el trafico en respuesta a una
comunicación TCP preestablecida.
 La siguiente mejora fue las ACL reflexivas que creaban
una ACL temporal mientras la sesión de una
comunicación era establecida.

El commando Established
 Los routers que configuran ACL con el comando
established no implementan Stateful inspection.
 Los routers no almacenan un track de las
comunicaciones TCP que se generan desde la red
interna.
 Por lo tanto, tampoco garantiza que el trafico de
regreso esté asociada con una comunicación
establecida desde la red interna.
 Lo que hace es que se le obligue al router a verificar el
estado de las banderas TCP ACK y RST.
 Produce un hueco de seguridad.

El commando Established

Configuracion de ACL-established

Inconvenientes con established?

ACL reflexivas
 Es mas difícil de engañar a la ACL generando trafico
falso.
 Se chequea IP origen y destino, puertos origen y
destino y estado de las banderas.
 A medida que el trafico sale de la red y existe una
coincidencia con una ACE reflect, el router crea una
ACE temporal de retorno basándose en la información
de las cabeceras.
 La ACE es eliminada de la configuración de la interfaz
cuando la sesión termina o se genera un time out para
la entrada.

ACL reflexivas

ACL dinámicas
 Proveer acceso a usuarios remotos hacia un host de la
red interna.
 Proveer acceso a un conjunto de hosts de la red
interna a redes remotas.
 Implementa mecanismos de autenticación.
 Administración simplificada en redes grandes.
 Reducción de procesamiento de ACL.
 Mayor nivel de seguridad.

Operacion de ACL dinámicas

Creacion de ACL dinámicas
 Crear la ACL numerada o extendida nombrada.
 Definir el tipo de autenticación, puede ser base de
datos local o servidores ACS.
 Habilitar el metodo de autenticación, suele realizarse
en las interfaces VTY del router.
 Access-list 101 dynamicAccess-list 101 dynamic ACL_nameACL_name timeouttimeout [tiempo] {[tiempo] { permitpermit || denydeny } tcp} tcp
192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Creacion de ACL dinámicas

ACL basadas en tiempo
 Existen situaciones en las que se desea abrir puertos u
otorgar permisos adicionales a ciertas horas de trabajo.
 Existen servicios como los de ETAPA, para cobro de
servicios que solo funcionan desde las 9am-5pm.

Verificacion de ACL

Debbuging ACL

Mitigación de spoofing attacks

Ejemplo de habilitación de puertos a
servers

Mitigacion de ataques de
reconocimiento

Mitigación de ataques SNMP a equipos
 Como se vio en presentaciones anteriores, el servicio SNMP
permite tener un control administrative del equipo.
 Puede recolectar información así como enviar sentencias de
ejecución.
 La major estrategia de mitigación es la deshabilitación del servicio
SNMP en los routers y switches.
 Sin embargo, al ser necesaria el monitoreo y administración por
SNMP se debe implementar controles que solo equipos
autorizados puedan conectarse por SNMP al router.
 Cambiar la string_community por defecto.

Grupos de objetos
 En redes grandes, tener cientos de lineas de ACL
puede ser un gran problema al hacer troubleshooting,
incluso la misma documentación.
 Object group-based ACL son mas administrables y
faciles de configurar que las ACL convencionales.
 Se puede clasificar usuarios, dispositivos o protocolos
en grupos.
 Los grupos son asignados a ACL para implementar las
politicas de control de acceso para grupos u objetos.

Grupos de objetos

Configuracion de grupos de red
 Un grupo de objetos de red puede definir conjunto de
hosts o un rango de hosts dentro de una red.

Configuración de grupos de servicios
 Los grupos de servicios definen los protocolos de
origen, destino, protocolos de nivel superior y paquetes
ICMP.

Aplicación de los grupos de objetos a
ACL
 Configurar el object-group SOURCES con las Ips
10.6.252.65 y 10.6.252.66.
 Configurar el object-group DESTINATION con las Ips
172.8.2.12 y 171.8.2.13.
 Configurar el object-group APPLICATIONS con www y
ftp.
 Crear un ACL llamada INBOUND que niegue el trafico
desde SOURCES que usen los servicios de
APPLICATIONS y que se dirijan hacia los hosts
DESTINATIONS. Permitir el resto de trafico.

Firewalls y perimetros de defensa
 Un firewall es una aplicación o un equipo que controla
el tráfico entre dos segmentos de red.
 Se implementan en el perimetro de la red donde
generalmente se conecta la red interna con la red
externa (Internet).
 Es comun implementar mas de un firewall en la red.
Los firewalls internos protegen segmentos críticos de la
red (granja de servidores).

Firewalls y perimetros de defensa

Limitaciones y beneficios de los
firewalls
 Los firewalls pueden:
–Prevenir que equipos criticos sean accedidos por usuarios no
confiables.
–Controlar el flujo de protocolos y prevenir explotations de banderas de
protocolos.
–Cumplir las politicas de seguridad en cuanto a controles de acceso.
–Controlar la propagación de virus, worms y trojans
 Los firewalls no pueden:
–Proteger a la red interna de ataques internos.
–Proteger de ataques que no atraviesen el firewall.
–No protegen de nuevas amenazas.
–No detectan virus.
–No pueden configurarse a si mismos.

Tipos de firewalls - Firewall de filtro de
paquetes
 Desencapsula cabeceras de capa 3 y 4.
 No considera conceptos de ACK o sesiones de comunicación ya
establecidas.
 Se implementa regularmente en routers de borde.
 Tienen muy bajo impacto en la red.
–Son fáciles de implementar.
 Son susceptibles a ataques de IP Spoofing.
 No controlan paquetes fragmentados.
 Las comunicaciones son bidireccionales, eso implica que no se
puede tener un control total del trafico que se dirige a clients de
puertos aleatorios

Tipos de firewalls - Firewall de filtro de
paquetes

Tipos de firewalls – Stateful firewalls
 Los firewalls stateful son los mas communes en el
Mercado.
 Filtran trafico usando informacion de conexión
registrada en su state table.
 Se los considera equipos de arquitectura de capa 3, a
pesar que en algunas aplicaciones analiza trafico de
capa 4, 5 y 6.
 Se basa en la verificación del estado de las banderas
SYN, ACK, RST y FIN.

Tipos de firewalls – Stateful firewalls

Ventajas y desventajas de Stateful
inspection
 Ventajas
–Son utilizados como primera linea de defense para eliminar
trafico no deseado.
–Mejora el performance en comparacion a proxys.
–Puede mitigar ataques DoS (cuestionable).
 Limitaciones:
–No previenen ataques de capa de aplicación.
–No todos los protocolos son stateful (UDP, ICMP)
–Algunas aplicaciones pueden requerir un amplio rango de
puertos aleatorios que se abren como segunda conexión.
–No soporta autenticación
–La table state o cache state puede llenarse y empezar a
desechar paquetes.

Application proxy firewalls
 Operan en todas las
capas del modelo OSI.
 El firewall contiene un
agente proxy que actúa
como intermediario.
 Se generan dos
conexiones
independientes para
controlar el trafico entre la
red externa con el proxy, y
el proxy con la red interna.

Operacion de los firewalls tradicionales
 Los firewalls clasicos se los conoce como Context
Based Access Control (CBAC).
 Realizan inspección de paquetes con NAT o PAT,
realizan su traducción.
 Pueden bloquear tráfico P2P.
 Bloquean tráfico de mensajería instantánea.
 Los firewalls tradicionales implentados con stateful
inspection son similares a las ACL reflexivas y
dinámicas al crear entradas en la state-table al inicarse
una comunicación.
 Son colocados generalmente en el perímetro de la red.

Reglas de inspección
 Una regla de inspección es aplicada a una interfaz del
firewall en una determinada dirección.
 El motor de busqueda del firewall inspecciona el
protocol especificado solo si hay tráfico que fluye por la
interfaz configurada.

Configuración de firewalls
1. Definir la interfaz involucrada, ya sea IN/OUT
2. Configurar la lista de ACL bajo los conceptos hasta ahora revisados.
3. Definir las reglas de inspección tomando en cuenta el trafico que debe permitirse
de regreso a la red interna.
4. Aplicar la regla de inspección a una interfaz.

DMZ y seguridad en profundidad
 Las redes son confiables y no
confiables.
 Se conoce como red confinable a la
red interna, donde residen hosts,
laptops de empleados, camaras IP.
Todo lo que sea propiedad de la
institución.
 Red no confiable es el Internet.
 Usuarios del internet pueden requerir
conectarse a servicios que brinde la
compañia, sin otorgar muchos
priviliegios ni poner en riesgo a toda la
red interna.
 La demilitarized Zone (DMZ) contiene
servicios públicos.
 La DMZ es el primer paso para la
implementacion de seguridad en capaz
o seguridad en profundidad.

Seguridad en profundidad
 “En mi opinión, la única solución viable consiste en utilizar un modelo de
defensa en profundidad”
 “Debemos dar por hecho que nuestros sistemas de acceso público serán
vulnerables a ataques de día cero en un momento o en otro. Por tanto,
debemos crear un entorno que minimice los potenciales daños que podría
causar un malintencionado”. Kevin Mitnick El arte de la intrusión

Firewalls y las mejores practicas de
seguridad
 Posicionar el firewall en puntos bordes o perímetros de la red.
 Denegar todo el trafico por defecto y abrir lo puertos requeridos.
 Control de acceso fisico al datacenter y su firewall.
 Necesariamente tener control de logs en firewalls.
 No asumir que el firewall es la solución de seguridad para la red.
 La configuración del firewall debe regirse estrictamente a la
política de seguridad.
 No manejar el perfil de usuario del firewall como administrator o
como root.
 Revisar y cambiar siempre la configuración por defecto del
firewall.
 Eliminar redundancias en las reglas del firewall.

Zone-based policy firewall de Cisco
 ZBF es un modelo creado por Cisco para implementacion de
inspección de tráfico que se mueve entre zonas definidas.
 ZBF permite que distintas politicas de inspección sean aplicadas a
multiples hosts y redes conectadas a una misma interface.
 Define una estructura jerárquica para la inspección.
 Todos los hosts que se conecten a una interfaz que pertenece a
una zona, se adjuntan automáticamente a dicha zona.
 Solucionan el problema de complejidad de ACL en firewalls CBAC
 La politica por defecto en todas las zonas es deny-all, si no se
define politicas en una zona todo el tráfico es bloqueado.

Diseño de politicas Zone-based Firewall
1. Determinación de zonas:
la demilitación de zonas
no se basa en conjuntos
fisicos de equipos, puede
delimitarse por zonas de
infraestructura.
2. Establecer politicas entre
las zonas: definición de
los requerimientos entre
zonas.
3. Diseño de infraestructura
física:
4. Identificar subzonas y sus
requerimientos de tráfico.

Observaciones antes de crear zonas
 Las zonas pueden aplicar 3 acciones:
–Inspect: genera regla para tráfico de regreso a partir de un tráfico generado.
–Drop.
–Pass.
 Una zona debe ser configurada antes de ser asignada a una
interfaz.
 Si existe trafico que va a fluir entre interfaces del router, cada
interfaz debe pertenecer a una zona.
 Una interfaz es asignada solo a una zona
 Trafico es implicitamente permitida por defecto entre interfaces de
una misma zona.
 Trafico no puede fluir entre interfaces de distintas zonas.
 Interfaces que no han sido aplicadas a una zona puede
implementar CBAC classic firewall.

Operación de ZBF

Configuración de ZBF

Consideraciones
 No pueden haber class-maps y policy-maps con el mismo nombre.
 Considerar a una zona como un conjunto de interfaces que
comparten las mismas caracteristicas y requerimientos de
seguridad
 Una interfaz no puede pertenecer a varias zonas.
 ZBF es un reemplazo de CBAC Classic firewall, por lo que antes
de asignar una zona se debe quitar el commando ip inspect de la
interfaz.
 El trafico no puede fluir desde una interfaz asignada a una zona,
hacia otra interfaz que no lo esté.
 El tráfico no se filtra entre interfaces de la misma zona.

Troubleshooting y verificación de la
configuración

Implementación de tecnologías de firewall

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Implementación de tecnologías de firewall

Similar a Implementación de tecnologías de firewall (20)

Más de fillescas

Más de fillescas (8)

Último

Último (16)

Implementación de tecnologías de firewall

Notas del editor