Download Presentación

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
Document related concepts

Private Internet Exchange wikipedia , lookup

Microsoft Internet Security and Acceleration Server wikipedia , lookup

OpenVPN wikipedia , lookup

Minidistribución de Linux wikipedia , lookup

Cisco IOS wikipedia , lookup

Transcript 
FIREWALLS
ASPECTOS PROBLEMATICOS DE LA SEGURIDAD


Los virus y su constante desarrollo
Los troyanos
–

Las vulnerabilidades
–


En general no detectados por antivirus
De los sistemas operativos
Los spammers
Todas sus combinaciones
FIREWALL

Definición
–
–
–
Conjunto de hardware y/o software montados sobre un
sistema (o sobre varios) que controla el trafico entre dos
redes aplicando una serie de reglas especificas.
“sistema o grupo de sistemas que establece una política de
control de acceso entre dos redes ".
Similar a un router al que se le añade seguridad.


La política de seguridad tiene en cuenta paquetes conexiones
y/o aplicaciones, que vienen de fuera (lo más habitual) y que
van de dentro hacía afuera.
Sin política de seguridad, firewall = router.
OBJETIVOS BASICOS DE UN
FIREWALL


Bloquea los datos entrantes que pueden contener
un ataque
Oculta la información acerca de la red, haciendo que
todo parezca como tráfico de salida del firewall y no
de la red.

Esto también se conoce como NAT (Network Address
Translation)
• Filtra el tráfico de salida
Con el fin de restringir el uso de Internet y el acceso a
localidades remotas
CLASIFICACION DE FIREWALLS



De filtración de paquetes,
Servidores proxy a nivel de aplicación
De inspección de paquetes (SPI, Stateful
Packet Inspection).
Filtración de Paquetes


Utiliza reglas para negar el acceso, según la
información contenida en el paquete y en la
lista de las direcciones confiables
Problemas:

Propenso al “spoofing” de IP
–


Truco en el cual los datos parecen provenir de una fuente
confiable o incluso de una dirección de su propia red
Son muy difíciles de configurar.
Cualquier error en su configuración, puede dejarlo
vulnerable a los ataques
Aplication Level




Filtran tráfico a nivel de aplicación
Debe existir para cada protocolo y servicio
que se desea filtrar (FTP, HTTP, SMTP, etc.).
No utilizan reglas de control de acceso
Aplican restricciones para garantizar la
integridad de la conexión (filtran comandos)
Firewall de SPI


Ultima generación en la tecnología de
firewall
Tecnología más avanzada y segura

examina todos los componentes de un paquete IP para
decidir si acepta o rechaza la comunicación
Firewall de SPI



Mantiene un registro de todas las solicitudes
de información que se originan de la red
Luego, inspecciona toda comunicación
entrante para verificar si realmente fue
solicitada y rechaza cualquiera que no lo
haya sido
Luego, proceden al siguiente nivel de
inspección y el software determina el estado
de cada paquete de datos.
Firewalls con zona desmilitarizada
(DMZ)


Solución efectiva para empresas que ofrecen
a sus clientes la posibilidad de conectarse a
su red a partir de cualquier medio externo
Los usuarios externos pueden ingresar al
área protegida, pero no pueden acceder al
resto de la red
hardware vs. software
Firewall integrado con
Hardware
(“Appliance”)
Tiempo de
Instalación
Firewall basado en
software
Requiere un tiempo
Estos dispositivos variable: se
necesita instalar el
están listos
sistema operativo,
para conectarse y configurarlo, instalar
“drivers” de dispositivos
configurarse tan
pronto como salen de hardware y finalmente
instalar el software de
de la caja.
firewall antes de iniciar
la configuración
hardware vs. software
Escalabilidad
Las opciones de
crecimiento
de hardware son
limitadas y suele
ser necesario
cambiar todo el
dispositivo.
La integración a nivel
aplicación
permite seleccionar y
modificar la
base de hardware con
mayor
flexibilidad. Esto
permite cambiar el
hardware fácilmente
cuando sea
necesario.
hardware vs. software
Estos dispositivos
incluyen
hardware y un sistema
operativo
extensivamente
Estabilidad probado y
adecuado por el
fabricante para
garantizar un correcto
desempeño y
compatibilidad
Es necesario configurar
manualmente dispositivos
y sistema
operativo para garantizar
un
desempeño adecuado.
Se requiere efectuar
también de un
reforzamiento de la
seguridad a
nivel sistema operativo.
hardware vs. software
Flexibilidad en
configuración
de hardware y
S.P.
Las opciones de
configuración
en hardware y sistema
operativo
subyacente están
limitadas por el
fabricante para
garantizar estabilidad
Existe mayor libertad
para
modificar la
configuración de
hardware y sistema
operativo en
caso necesario.
Software


Tienen cambios constantes en su
infraestructura tecnológica y de red
Poseen personal dedicado para la
administración y operación de los
dispositivos y están altamente capacitados
Hardware



Carecen de personal dedicado (y
especializado) para la administración,
instalación y configuración del firewall
Carecen de personal especialista en
sistemas operativos
Tienen pocos cambios (o cambios
graduales) en su infraestructura tecnológica
y de red
TOPOLOGIAS
Firewall entre internet y una red local
TOPOLOGIAS

Según las necesidades de cada red :


Uno o más firewalls para establecer distintos perímetros
de seguridad
DMZ o zona desmilitarizada
–
Necesidad de exponer algún servidor a internet
TOPOLOGIA - DMZ
TOPOLOGIA

Cuando se usa un firewall con tres
interfaces, se crea un mínimo de tres redes.
Las tres redes que crea el firewall se
describen de este modo:
–
–
–
Interior
Exterior
DMZ (Zona desmilitarizada)
INTERIOR


Área de confianza de la internetwork
Los dispositivos internos forman la red
privada de la organización
–
–
Comparten directivas de seguridad comunes con
respecto a la red exterior (Internet).
Se mantienen en entornos de confianza entre
ellos
–
Si un departamento, como Recursos Humanos, tiene que
ser protegido del resto de usuarios de confianza, se
puede utilizar un firewall.
EXTERIOR



Área de no confianza de la internetwork
Los dispositivos del interior y de la DMZ se
protegen de los dispositivos del exterior
las empresas suelen permitir el acceso a la
DMZ desde el exterior

Para ofrecer servicios web por ejemplo
DMZ (Zona desmilitarizada)




Red aislada
Pueden acceder los usuarios del exterior
Posibilita que una empresa ponga la
información y los servicios a disposición de
los usuarios del exterior dentro de un
entorno seguro y controlado
Hosts bastión : hosts o servidores que
residen en la DMZ
Host Bastion

Está actualizado con respecto a su sistema
operativo



Menos vulnerable a los ataques
Ejecuta los servicios necesarios para realizar
sus tareas de aplicación
Los servicios innecesarios (y a veces más
vulnerables) son desactivados o eliminados.
TOPOLOGIA – HOST BASTION
QUE FIREWALL ELEGIR?



Asegurar de que se trata de una solución
segura y de que ha sido certificada por una
organización confiable
Depende de las necesidades de seguridad
de la organización
Definir las políticas de firewall:


Requiere un análisis de las necesidades, inclusive la
evaluación de riesgos, para
Luego determinar los requisitos
FINAL

MAS IMPORTANTE QUE LA ELECCION
DEL FIREWALL ES TOMAR LAS MEDIDAS
DE SEGURIDAD CORRECTAS Y EDUCAR
A LAS PERSONAS A IDENTIFICAR Y NO
CREAR RIESGOS
Related documents
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
capitulo iv - Repositorio UTN
capitulo iv - Repositorio UTN
ISP_Capitulo3
ISP_Capitulo3
implementación de un sistema de protección y
implementación de un sistema de protección y
Análisis De Los Requerimientos Tecnológicos Para La
Análisis De Los Requerimientos Tecnológicos Para La
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
prueba de intrusión al sistema operativo windows server 2003 de
prueba de intrusión al sistema operativo windows server 2003 de
Actividad1_Herramientas de seguridad para redes
Actividad1_Herramientas de seguridad para redes
Seguridad Perimetral
Seguridad Perimetral