Diseño y planeación de un firewall

43 %
57 %
Information about Diseño y planeación de un firewall

Published on March 2, 2014

Author: KennyCruz

Source: slideshare.net

Diseño y planeación de un Firewall

Introducción • Las redes que se conectan a Internet para comunicaciones o para uso del comercio se perciben como particularmente vulnerables • Los cortafuegos y sus controles técnicos asociados tienen se han convertido en herramientas fundamentales de seguridad en las corporaciones •Ningún sistema de seguridad puede garantizar una absoluta protección y seguridad en la totalidad de su organización de •Sin embargo, los cortafuegos son una de los más eficaces herramientas de seguridad que el administrador de la red tiene o debe tener

Las ideas falsas sobre Firewalls Concepto erróneo - Diseñado para evitar todos los hackers, virus, y que los posibles intrusos entren -Realidad -Activa el tráfico autorizado para pasar a través - Bloquear el tráfico no autorizado -Concepto erróneo - Una vez desplegado, los firewalls operan por su cuenta - Realidad - Trabajan mejor cuando es una parte de la defensa en profundidad - Necesitan de un mantenimiento constante

Firewalls Explicados Firewall es todo hardware o software que monitorea la transmisión de paquetes de la tecnología digital que tratan de pasar el perímetro de una red Los cortafuegos realizan dos funciones básicas de seguridad: - El filtrado de paquetes - Proxy de una aplicación

Firewall en el perímetro

Funciones de seguridad del Firewall Algunos fabricantes de cortafuegos añaden características como: •Accesos •Proporcionar enlace VPN a otra red. •Autenticación •Filtrado de contenido

Firewall Perimetral en la Seguridad de la red  El perímetro es un límite entre dos zonas de confianza, común para instalar cortafuegos en la frontera e inspeccionar y controlar el tráfico que fluye a través de ella. El extranet puede extender la red a terceros, como socio de negocios, y si el extranet opera a través de VPN. VPN debe tener su propio servidor de seguridad perimetral Para ser realmente seguro, un servidor de seguridad debe ser instalado en host VPN del socio

Perímetro de VPN

Componentes del Firewall •Filtro de paquetes •Servidor Proxy •Sistema de autenticación •Software que realiza las traducciones de direcciones de red (NAT) • Algunos servidores de seguridad: - Se puede cifrar el tráfico - Ayudar a establecer VPNs - Empaquetado en un dispositivo de hardware que también funciona como un router - Hacer uso de un host

Redes DMZ

Tareas de seguridad en el Firewall -Restringir el acceso desde redes externas utilizando filtrado de paquetes - Filtrado de paquetes que protege las redes de los ataques de escaneo de puertos - Los números de puerto son de dos tipos: bien conocidoss (1023 y siguientes) definen para más común y servicios y puertos efímeros (1024 a través de 65535) - Los servicios de red expuestos son una de los mayores vulnerabilidades que los cortafuegos pueden proteger.

Tareas de seguridad Firewall (continuación) •Restringir el acceso no autorizado desde el interior de la red (por ejemplo, la ingeniería social) • Los cortafuegos pueden ayudar a prevenir algunas, pero no todas las amenazas internas •Los firewall pueden estar configurados para reconocer paquetes o impedir el acceso a los archivos protegidos de hosts internos y externos

Tareas de seguridad Firewall (continuación)  Limitar el acceso a los servidores externos por que actúa como un servidor proxy  Los cortafuegos pueden permitir selectivamente el tráfico para ir de dentro de la red a Internet o de otro redes para proporcionar un control más preciso de cómo los empleados dentro de la red utilizan externa recursos Los proxies de aplicaciones pueden restringir a los usuarios internos que quieren tener acceso sin restricciones a la Internet

Tareas de seguridad Firewall (continuación) •La protección de los recursos críticos (por ejemplo, gusanos, virus, caballos de Troya y ataques DDoS) • Un gusano puede replicarse a sí mismo, mientras que un virus requiere de un entorno de software con el fin de ejecutarse en un ordenador, infectarlo, y extenderse •Los caballos de Troya contienen código malicioso que es escondido dentro de los programas supuestamente inofensivos • (DDoS) distribuidos de denegación de servicio inundan un servidor con peticiones procedentes de muchas diferentes fuentes controladas por un atacante

Tareas de seguridad Firewall (continuación) - Proteger contra la piratería informática, que puede afectar: - La pérdida de datos - Pérdida de tiempo - Los recursos de personal - Confidencialidad

Tareas de seguridad Firewall (continuación) - Proporcionar centralización Activar documentación a:  Identificar los puntos débiles en el sistema de seguridad por lo que puede fortalecerse.  Identificar a los intrusos para que puedan ser aprehendidos  Proveer para la autenticación  Contribuir a una VPN

Tipos de protección del cortafuegos El filtrado de paquetes - El cortafuegos de filtrado de paquetes escanea los paquetes de datos de red buscando el cumplimiento o la violación de las reglas de base de datos de servidor de seguridad - Restricciones más comúnmente implementadas en paquetes de firewalls de filtrado se basan en: • IP de origen y de destino • Dirección (entrante o saliente) • TCP o UDP de origen y puerto de destino

Filtrado de paquetes del router

Filtrado de paquetes sin estado El firewall inspecciona las cabeceras de paquetes sin prestar atención al estado de la conexión entre el servidor y el ordenador cliente Bloquea sobre la base de la información en el encabezamiento También se llama la inspección de paquetes sin estado

Stateful Packet Filtering • Examina contenidos en paquetes; superior a inspección sin estado • Mantiene la memoria del estado de la conexión entre el cliente y el servidor en el caché de disco •Detecta y elimina paquetes que sobrecargan el servidor •También llama la inspección de estado

Reglas de filtrado de paquetes Normas comunes incluyen: Cualquier paquete de salida: - Debe tener la dirección de origen en la red interna - No debe tener la dirección de destino en el interior de la red Cualquier paquete de entrada: - No debe tener la dirección de origen en la red interna - Debe tener la dirección de destino en el interior de la red

Reglas de filtrado de paquetes (continuación) •¨Cualquier paquete que entra y sale de una red debe tener fuente de la dirección / destino que cae dentro del rango de direcciones en la red Incluyen el uso de: - Protocolo de mensajes de control de Internet (ICMP) - Programa de datagramas de usuario (UDP) - Filtrado TCP - Filtrado de IP

Uso de varios filtros de paquetes en una DMZ

PAT y NAT Funcionan como proxy a nivel de red; convierten las direcciones IP direcciones de los hosts internos a la dirección IP asignado por el firewall - PAT utiliza una dirección externa para todos los internos sistemas, asignando un puerto aleatorio y de orden superior números a cada equipo interno - NAT utiliza es cuando se usa un conjunto de direcciones IP externas válidas, se le asigna una de estas direcciones reales para cada maquina informática interna solicitando una conexión hacia afuera

PAT y NAT (continuación)

Gateways de capa de aplicación • Se puede controlar cómo las aplicaciones dentro de la red tener acceso al mundo exterior mediante la creación de proxy •Como sustituto para el cliente; un individuo o maquina funciona como escudo para los usuarios se conecten directamente con el Internet Proporcionar un beneficio importante de seguridad: - Comprender el contenido de los datos solicitados - Se puede configurar para permitir o denegar un contenido en específico • También llamado un servidor proxy

Métodos de categorización Los cortafuegos se pueden clasificar por: - Modo de Tratamiento - Tiempos de Desarrollo - Estructura previsto

Categorías de firewall: modo de procesamiento Los modos de procesamiento son: - El filtrado de paquetes - Las aplicaciones de pasarela - Pasarelas de Circuito - Firewalls de capa MAC - Híbridos

Filtrado de paquetes •Como se describió anteriormente, los cortafuegos de filtrado de paquetes examinan la información de cabecera de paquetes de datos Tres subconjuntos de los cortafuegos de filtrado de paquetes: - Filtrado Estático: requiere que las reglas de filtrado rijan cómo se decide qué paquetes del firewall están permitidos y que se les niega - Filtrado dinámico: permite que el firewall pueda reaccionar ante un evento emergente y pueda actualizarse o crear reglas para hacer frente a eventos - La inspección de estado: realiza un seguimiento de cada red de conexión entre interna y externa

Las aplicaciones de pasarela • Instalado frecuentes en un equipo dedicado • También conocido como firewall de nivel de aplicación, el proxy servidor o firewall de aplicaciones

Circuito de Gateways •Operan en la capa de transporte • Las conexiones autorizadas sobre la base de direcciones , por lo general no se ven en los datos el tráfico que fluye entre una red y otra para evitar conexiones directas entre una red y otra • Logra esto mediante la creación de túneles que conectan procesos o sistemas en cada lado específico del servidor de seguridad y luego permitiendo sólo tráfico autorizado, tal como un tipo específico de conexión TCP para sólo los usuarios autorizados en estos túneles

Los firewalls de capa MAC • Diseñado para operar en el acceso a los medios en la capa de control del modelo de red OSI • Esto le da a estos servidores de seguridad con capacidad de considerar la identidad del ordenador host específico en sus filtrado • Con este enfoque, las direcciones MAC de los equipos específicos host están vinculadas a las entradas de ACL que identifican tipos específicos de paquetes que pueden ser enviados a cada huésped, y el resto del tráfico está bloqueado

Firewalls en el modelo OSI

Firewalls híbridos • Combinan elementos de otros tipos de servidores de seguridad, es decir, los elementos de filtrado de paquetes y el proxy de servicios o de filtrado de paquetes y circuitos gateways • Como alternativa, el sistema de firewall híbrida podrá en realidad tener dos dispositivos de firewall separadas, cada una separada por un sistema de cortafuegos pero conectado por lo que trabajar en tándem

Categorías de Firewall : Desarrollo de generación • Primera generación: estática de filtrado de paquetes • Segunda generación: cortafuegos a nivel de aplicación o servidores proxy • Tercera generación: los cortafuegos de inspección de estado •Cuarta generación: filtrado de paquetes dinámico • Quinta generación: proxies del kernel

SOHO dispositivos Firewall

Software vs Hardware: El debate del firewall SOHO • ¿Qué tipo de firewall debe un usuario residencial implementar? •¿Dónde se preferiría defender contra un hacker? • Con la opción de software, pirata está adentro de su ordenador • Con dispositivo de hardware, incluso si los hackers gestionan bloquear el sistema del firewall, el equipo y información todavía están a salvo

Arquitecturas de Firewall • Cada uno de los dispositivos de firewall señaló que anteriormente pudo ser configurado en un número de arquitecturas • La arquitectura que funciona mejor para una organización particular, depende de: - Objetivos de la red - La capacidad de la organización para desarrollar e implementar las arquitecturas - Presupuesto disponible para la función

Arquitecturas de Firewall (continuación) • Existen cientos de variaciones, pero cuatro son común de la arquitectura de los servidores de seguridad - Routers de filtrado de paquetes - Firewalls de host apantallados - Cortafuegos de base dual - Cortafuegos subred filtrada

Routers de filtrado de paquetes • La mayoría de las organizaciones con una conexión a Internet tienden a disponer de un router como interface para la dirección de Internet del perímetro • Muchos de estos routers se pueden configurar para rechazar los paquetes que la organización no permite a la red • Los inconvenientes de este tipo de sistema son la falta de auditoría y autenticación fuerte y el hecho de que la complejidad de las listas de control de acceso utilizado para filtrar los paquetes puede crecer y degradar rendimiento de la red

Los firewalls de host apantallados • Combina un enrutador de filtrado de paquetes con un firewall dedicado, como servidor proxy de aplicación • Un proxy de aplicación examina la capa de aplicación de servicios de protocolo y realiza el proxy • Este host independiente se refiere a menudo como un host de baluarte o host de sacrificio, sino que puede ser un rico objetivo para los ataques externos y debe ser muy bien asegurado

Proyectado Arquitectura Host

Los firewalls de host-de origen dual • Los bastion host contiene dos NIC: una conectada a la red externa y una conectada a red interna • La implementación de esta arquitectura a menudo hace uso de NAT mediante la asignación de direcciones IP asignadas a rangos especiales no enrutables por direcciones de IP interna , creando una barrera más a intrusión de atacantes externos

Arquitectura con base dual Host

Subred de Firewalls selectivo (con DMZ) • Es la arquitectura dominante utilizada hoy en día • Su disposición común consiste en dos o más hosts de baluarte internas detrás de un router de filtrado de paquetes con cada host protección de confianza en la red: - Las conexiones de red fuera o no de confianza se enrutan a través de un enrutador de filtrado externo - Las conexiones de red fuera o no de confianza se encaminan hacia-y luego fuera de una ruta firewall para el segmento de red independiente conocido como la DMZ - Conexiones en la red interna de confianza son permitido sólo de los servidores host DMZ bastión

Selectivo de subred Firewalls (con DMZ) (continuación) • La subred filtrada es un segmento de red completa que realiza dos funciones: - Protege los sistemas DMZ y la información de amenazas externas, proporcionando una red de seguridad intermedia - Protege las redes internas al limitar la conexiones externas pueden acceder a interno sistemas •El DMZ también puede crear extranets en segmentos de la zona de distensión donde autenticación adicional y controles de autorización se ponen en marcha para proporcionar servicios que no están disponibles al público general

Subred filtrada (con DMZ)

Limitaciones de los Firewalls • En caso de formar parte de un plan general de seguridad, no es la única forma de protección para una red • Se debe utilizar en combinación con otras formas de protección (por ejemplo, tarjetas de ID, contraseñas, normas de conducta de los empleados)

Resumen • La seguridad de la red es un proceso que impone controles sobre los recursos de la red para equilibrar los riesgos y recompensas de uso de la red • Firewall: cualquier cosa que filtra paquete de datos de transmisión, ya que cruza las fronteras de la red • Llevar a cabo dos funciones de seguridad básicas:filtrado y / o aplicación proxy • Puede contener muchos componentes, incluidos los filtro de paquetes, servidor proxy, el sistema de autenticación y software • Algunos pueden cifrar el tráfico, ayudar a establecer VPNs

Resumen • Los cortafuegos pueden ser categorizados por: - Modo de ejecución: el filtrado de paquetes, la aplicación, puerto de entrada, puerta de entrada del circuito, la capa MAC, híbrido - Generación: nivel tecnológico, siendo las posteriores más complejo y más recientemente desarrollado - Estructura: grado comercial-residencial, hardware, basada en dispositivos de software • Cuatro implementaciones arquitectónicos comunes de firewalls: routers de filtrado de paquetes, firewalls, servidores de seguridad con base dual, subred filtrada con cortafuegos

Add a comment

Related pages

Diseño y planeación de un Firewall - YouTube

... http://www.slideshare.net/KennyCruz/diseo-y-planeacin-de-un-firewall Para ... Diseño y planeación de un Firewall ... y diseño de Redes ...
Read more

Diseño y planeación de un firewall - Documents

1. Diseño y planeación de un Firewall. 2. Introducción • Las redes que se conectan a Internet para comunicaciones o para uso del comercio se perciben ...
Read more

Diseño de un firewall con herramientas de software libre ...

Diseño y planeación de un firewall 1. Diseño y planeación de un Firewall 2.
Read more

Videotutorial 2 - Diseño de un Firewall mediante IPTABLES ...

A lo largo del video realizamos un script con IPTABLES que ... Diseño de un Firewall con ... Diseño y planeación de un Firewall ...
Read more

Diseño y Planificación de Restaurantes by Wilmary Ortiz on ...

Diseño y Planificación de ... Una buena planificación ayuda a planificar un "Budget" y presentarlo a los inversionistas provoca mejor seguridad en la ...
Read more

Diseño y elaboración de TEST by alejandro rom on Prezi

Diseño y elaboración ... de redactar los reactivos Planeación de un test Tipos de test vs elaboración Tipos de reactivos Reactivos de aparejamiento ...
Read more

Configuración de un firewall para Operations Manager

Diseño y compilación de ... Planeación de seguridad ... En la tabla siguiente se muestra la interacción de características de Operations Manager a ...
Read more

Planear el Firewall de Windows con seguridad avanzada de ...

Para crear un diseño de aislamiento ... para crear un dominio aislado, vea elPlaneación de zonas de ... todavía un diseño y los ...
Read more