2. El firewall evita que tráfico indeseable ingrese a
áreas restringidas de la red.
Es un sistema o grupo de sistemas que aplica una
política de control de acceso entre las redes
Puede incluir opciones como un router de filtrado de
paquetes, un switch con dos VLANs y múltiples hosts
con software de firewall.
3. Propiedades de un Firewall
Resisten ataques
Son el único punto de tránsito entre las redes (todo
el tráfico fluye a través del firewall)
Aplican la política de control de acceso
4. Firewall de filtrado de paquetes
Inspeccionan los paquetes para ver si coinciden con
grupos de reglas establecidos, con la opción de
reenviar o descartar los paquetes.
Este tipo de filtrado de paquetes, conocido como
filtrado sin estados (stateless), ocurre sin importar si
el paquete es parte de un flujo de datos existente.
Cada paquete es filtrado basándose exclusivamente
en los valores de ciertos parámetros del encabezado
del paquete, de manera similar al filtrado efectuado
por las ACLs
5. Firewall con estados (stateful).
Filtran los paquetes basándose en la información
extraída de los datos que fluyen a través del firewall y
almacenada en él.
Este tipo de firewall es capaz de determinar si un paquete
pertenece a un flujo de datos existente.
Las reglas estáticas, como las de los firewalls de filtrado
de paquetes, son suplementadas por reglas dinámicas
creadas en tiempo real para definir estos flujos activos.
Los firewalls con estados ayudan a mitigar ataques de
DoS que explotan conexiones activas a través de
dispositivos de red.
6. Los firewalls no eran dispositivos autónomos, sino que
los routers o servidores con funciones adicionales
proporcionaban funcionalidad de firewall.
Los dispositivos de firewalls dedicados permitieron a los
routers y switches librarse de la carga de memoria y
procesamiento de efectuar el filtrado de paquetes.
Los routers modernos, como los Routers de Servicios
Integrados (Integrated Services Routers - ISRs) de Cisco,
pueden ser usados como sofisticados firewalls con
estados en las organizaciones que pueden no necesitar un
firewall dedicado.
7.
8. Algunos de los beneficios del uso de un firewall
en una red:
Prevenir la exposición de hosts y aplicaciones sensibles a
usuarios no confiables.
Sanitizar el flujo de protocolos, previniendo la
explotación de fallas en los protocolos.
Bloquear el acceso de datos maliciosos a servidores y
clientes.
Puede hacer que la aplicación de la política de seguridad
se torne simple, escalable y robusta.
Puede reducir la complejidad de la administración de la
seguridad de la red al reducir la mayoría del control de
acceso a la red a algunos puntos.
9. Limitaciones:
Si está mal configurado, el firewall puede tener
consecuencias serias (único punto de falla).
Muchas aplicaciones no pueden pasar a través del
firewall en forma segura.
Los usuarios pueden intentar buscar maneras de sortear
el firewall para recibir material bloqueado, exponiendo la
red a potenciales ataques.
El rendimiento de la red puede disminuir.
Puede hacerse tunneling de tráfico no autorizado o puede
disfrazárselo como tráfico legítimo.
Es importante entender los tipos diferentes de firewalls y
sus capacidades específicas para poder usar el firewall
adecuado para cada situación
10.
11. Tipos de firewall. Firewalls de filtrado
Firewall de filtrado de paquetes - (Packet-filtering
firewall) Típicamente consiste en un router con la
capacidad de filtrar paquetes con algún tipo de
contenido, como información de capa 3 y, en ocasiones,
de capa 4.
Firewall con estados - (Stateful firewall) Monitorea el
estado de las conexiones, si están en estado de iniciación,
transferencia de datos o terminación.
Firewall gateway de aplicación (proxy) - (Application
gateway firewall). Filtra según información de las capas
3, 4, 5 y 7 del modelo de referencia OSI. La mayoría del
control y filtrado del firewall se hace por software.
12. Firewall de traducción de direcciones - (Address
translation firewall) Expande el número de
direcciones IP disponibles y esconde el diseño del
direccionamiento de la red.
Firewall basado en hosts (servidor y personal) -
(Host-based firewall) Una PC o servidor que ejecuta
software de firewall.
Firewall transparente - (Transparent firewall) Filtra
tráfico IP entre un par de interfaces conmutadas.
13. Firewall híbrido - (Hybrid firewall) Es una
combinación de varios tipos de firewalls diferentes.
Por ejemplo, un firewall de inspección de
aplicaciones combina un firewall con estados con un
firewall de Gateway de aplicación.
14. Firewalls de filtrado de paquetes
Trabajan principalmente en la capa de Red del
modelo OSI y generalmente se los considera
dispositivos de capa 3.
Permiten y deniegan tráfico basándose en
información de capa 4 como protocolo y números de
puerto de origen y destino.
El filtrado de paquetes usa ACLs para determinar si
permite o deniega tráfico basándose en direcciones
IP de origen y destino, protocolo, tipo de paquete y
números de puerto origen y destino.
Generalmente son parte de un router firewall
15. Los servicios usan puertos específicos.
Por ejemplo, los servidores SMTP escuchan en el puerto
25 por defecto.
Como los firewalls de filtrado de paquetes filtran el
tráfico de acuerdo con información estática del
encabezado del paquete, en ocasiones se los llama filtros
estáticos.
El administrador puede restringir ciertos puertos para
restringir los servicios que los usan. Por ejemplo, el
bloqueo del puerto 25 en una estación de trabajo
específica puede prevenir que un virus se transmita a
través de correo electrónico por Internet.
16. Los firewalls de filtrado de paquetes revisan una
tabla simple para permitir o denegar el tráfico
basándose en criterios específicos:
Dirección IP de origen
Dirección IP de destino
Protocolo
Número de puerto de origen
Número de puerto de destino
Recepción del paquete de sincronización e inicio de conexión
(SYN)
17. Los filtros de paquetes no representan una solución
de firewall completa, pero constituyen un elemento
importante en ellas.
18.
19. Firewalls con estados
Son la tecnología de firewall más versátil y común en
uso actualmente.
Proporcionan filtrado de paquetes con estados
utilizando la información de conexiones mantenida
en una tabla de estados.
El filtrado con estados es una arquitectura de firewall
que se clasifica como de capa de Red, aunque, para
algunas aplicaciones, también puede analizar tráfico
de capas 4 y 5.
20. Monitorea cada conexión que pasa por las interfaces
del firewall y confirma su validez.
Usan una tabla de estados para monitorear el
proceso de la comunicación.
El firewall examina la información en los
encabezados de paquetes de capa 3 y segmentos de
capa 4.
Por ejemplo, el firewall busca en los encabezados
TCP los bits de control synchronize (SYN), reset
(RST), acknowledgment (ACK), finish (FIN) y otros
para determinar el estado de la conexión.
21. Cada vez que se accede a un servicio externo, el firewall
de filtrado de paquetes por estados retiene ciertos
detalles de la solicitud y salva el estado de la solicitud en
la tabla de estados.
Cada vez que se establece una conexión TCP y UDP para
conexiones de entrada o de salida, el firewall registra la
información en una tabla de flujo de sesiones con
estados.
Cuando el sistema externo responde a una solicitud, el
servidor firewall compara los paquetes recibidos con el
estado salvado para permitir o denegar el acceso a la red.
22. La tabla de flujo de sesiones con estados contiene las
direcciones de origen y destino, los números de
puertos, información de secuencias TCP y flags
adicionales por cada conexión TCP o UDP asociada
con esa sesión particular.
Esta información crea un objeto de conexión que el
firewall usa para comparar los paquetes de entrada y
salida con los flujos de sesiones en la tabla de flujo de
sesiones con estados.
El firewall permite los datos sólo si existe una
conexión apropiada que justifique su paso.
23. Los firewalls con estados más avanzados incluyen la
capacidad de analizar comandos de puerto FTP y
actualizar la tabla de estados para permitir que FTP
trabaje transparentemente a través del firewall.
Los firewalls con estados más avanzados también
proporcionan interpretación de números de secuencia
TCP y correlación de consultas y respuestas DNS para
garantizar que el firewall permita que los paquetes
vuelvan sólo en respuesta a solicitudes que se originan
dentro de la red.
Estas características reducen la amenaza de ataques de
inundación RST TCP y envenenamiento de caché DNS.
24. Desventaja potencial
Aunque la inspección con estados proporciona
velocidad y transparencia, los paquetes dentro de la
red deben poder salir de la red.
Esto puede exponer las direcciones IP internas a
potenciales atacantes.
La mayoría de los firewalls tiene incorporados
inspección por estados, traducción de direcciones de
red (network address translation - NAT) y servidores
proxy para mayor seguridad.