“Firewalls”. Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos.

Slides:



Advertisements
Presentaciones similares
Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
Advertisements

TEMA1. Servicios de Red e Internet
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Comunicación de Datos I
FIREWALL.
LISTAS DE CONTROL DE ACCESO (ACL)
66.69 Criptografía y Seguridad Informática FIREWALL.
Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.
TCP/IP Introducción TCP/IP Introducción. TCP/IP vs OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Acceso a la red Física TCP/IP.
LA FAMILIA DE PROTOCOLOS TCP/IP
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Protocolos del modelo TCP/IP
Mg(c) Ing. Miguel A. Mendoza Dionicio Curso: Diseño de Redes de Comunicación Instituto Superior Tecnológico Público INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO.
Ing. Elizabeth Guerrero V.
UD 1: “Introducción a los servicios de red e Internet”
PROTOCOLO TCP Y UDP.
Protocolos de comunicación TCP/IP
Ing. Elizabeth Guerrero V.
Protocolos de Transporte y Aplicación. – TCP y UDP
Nivel de Transporte en Internet
UNIVERSIDAD LATINA SEGURIDAD INFORMATICA II
PROTOCOLOS Modelo TCP/IP
Iptables Introduccion Comandos Basicos Ejemplos.
FIREWALLS, Los cortafuegos
Gabriel Montañés León. TCP es un protocolo orientado a conexión es decir, que permite que dos máquinas que están comunicadas controlen el estado de la.
Modelo OSI Para redes………
Arquitecturas de cortafuegos. 1.CORTAFUEGO DE FILTRADO DE PAQUETES. Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes,
Benemérita Universidad Autónoma de Puebla Comandos Unix Ivan Rosas Torre.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED UNIDAD 2. SERVICIOS DHCP UNIDAD 3. SERVICIOS DNS UNIDAD 4. SERVICIOS DE ACCESO REMOTO.
UT7. SEGURIDAD PERIMETRAL
Protocolos de Transporte y Aplicación Javier Rodríguez Granados.
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se.
Redes en gnuLinex Sniffers y cortafuegos Antonio Durán.
INSTALACIÓN/CONFIGURACIÓN DE EQUIPOS EN RED i+c: Investiga y contesta.
En seguridad de redes hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación. El atacante.
Teoría sobre redes DNS DHCP UDP OSI HTTP MA C Switch Hub Router Ethernet IPIP LDA P Netbios BOOTP Puertos IMA P POP3 SMTP Telnet SSH Cortafuegos.
Firewall en Linux Luis Eduardo Vivero Peña. Director Centro de Difusión del Software Libre Ingeniero de Proyectos Corporación Linux.
Port knocking Antonio Mario Molina Saorín 13 de Julio de 2011 TC Caldum.
Qué es un Firewall Es un dispositivo que filtra el tráfico entre redes, como mínimo dos. Este puede ser un dispositivo físico o un software sobre un sistema.
1 Analizador de Tráfico: WireShark DTIC – Mayo 2008 UNIVERSIDAD CENTRAL DE VENEZUELA RECTORADO DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES.
Linux como Firewall. Agenda ● Historia. ● Netfilter. ● Características. ● Filtrado. ● NAT. ● Network Stack. ● Estructura Netfilter.
RESUMEN M2-UF2 UF0855: Verificació i resolució d'incidències en una xarxa d'àrea local.
Paul Leger Modelo OSI Paul Leger
UF0854: Instalación y configuración de los nodos de una red local.
INTRODUCCIÓN A SISTEMAS FIREWALL
Teleprocesos Ing. Leonardo Párraga.
Capítulo 8, Sección 8.6: IPsec
Mensaje Segmento Paquete Frame Hola, que tal FCS Hola, que tal
Dónde están? Los dispositivos Celulares, tablets, laptops, desktops, servidores ETC!!!
Juan Daniel Valderrama Castro
A RQUITECTURA C LIENTE - SERVIDOR La arquitectura del cliente servidor se divide en dos partes Los promovedores de recursos o servicios llamados servidores.
66.69 Criptografía y Seguridad Informática FIREWALL.
Eslared 2006 Seguridad Informática
Eslared 2006 Seguridad Informática
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
“Seguridad en Aplicaciones Web” -Defensa en Profundidad-
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED
POLÍTICAS DE SEGURIDAD Alumno: Aguilar Gallardo Carlos.
2 Es el dispositivo digital lógico de interconexión de equipos que opera en la capa de enlace de datos del modelo OSI. Su función es interconectar dos.
FIREWALLS. ASPECTOS PROBLEMATICOS DE LA SEGURIDAD  Los virus y su constante desarrollo  Los troyanos  En general no detectados por antivirus  Las.
CAPA DE RED- OSI. Intercambiar secciones de datos individuales a través de la red entre dispositivos finales identificados. Provee servicios para:
Capítulo 4: Contenidos 4.1 Introducción Plano de datos
Curso Redes (IS20) -Capítulo 5 1 Redes (IS20) Ingeniería Técnica en Informática de Sistemas Práctica 3- Estudio de tráfico sobre LAN
Maestro: Oscar Medina Espinosa REDES CONVERGENTES Unidad II. Calidad de Servicio (QoS).
PROXY MARISOL LUNA MARTÍNEZ EUNICE CASTILLO ORFILIA ANGULO MARLOVY.
Transcripción de la presentación:

“Firewalls”

Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos de una red interna Programa capaz de analizar paquetes con el propósito de modificarlos, bloquearlos o mandarlos a su destino Mecanismo para filtrar paquetes basado en la información de los encabezados

Dispositivo que filtra tráfico entre una red externa (no confiable) y una red interna (protegida) Dispositivo que filtra tráfico entre una red externa (no confiable) y una red interna (protegida) Firewall

Dos tipos de comportamiento (Política) Lo que no está expresamente prohibido está permitido –Default: permitir entrada –Usuarios Lo que no está expresamente permitido está prohibido –Default: negar entrada –Expertos El administrador decide

Hola que tal! En la red..... MAC Desti no MAC Orige n CRC Puert o Desti no Puert o Orige n Dato s IP Destin o IP Orige n

Tenemos acceso a: –Direcciones MAC: destino y origen –Direcciones IP: destino y origen –Puertos: destino y origen –Campos de encabezados Protocolo: TCP, UDP, ICMP, ARP Banderas, etc –Datos: aplicación MAC Destin o MAC Origen CRC IP Destin o IP Origen Puerto Destin o Puerto Origen Datos

Filtrado de tráfico Por dirección MAC –Bloquear/permitir máquinas individuales Por dirección IP –Bloquear/permitir direcciones individuales o grupos Por puerto –Permitir o bloquear servicios (http, ftp, smtp, etc.)‏ Por protocolo –TCP, UDP, ICMP –ej: bloquear “ping”

Firewalls: Arquitectura Básica Red Interna Internet

Firewalls: Arquitectura con DMZ Red Interna Internet Zona DMZ

Firewalls: Arquitecura Dual con DMZ Red Interna Internet Zona DMZ

Tipos de Firewall Filtradores de paquetes Analizador de estados Proxy de aplicación Guardias (Guards) Personales

Filtrador de paquetes Simple Efectivo No ven “adentro” de los paquetes, sólo encabezados Filtran con base en direcciones –MAC, IP, Puerto Bloquear entrada o salida

Firewall personal Internet

Netfilter/Iptables Kernel 2.0 – ipfwadm Kernel 2.2 – ipchains Kernel 2.4 – netfilter/iptables –netfilter: parte del kernel –iptables: herramienta para crear reglas (funciones) y “engancharlas” en el kernel por medio de netfilter Reglas definen el manejo de los paquetes: Filtrar, NAT, manipular

Tablas Cada tabla define funcionalidades en forma amplia –Filtrado filter (default) –NAT nat –Modificación Mangle – Raw Las tablas se componen de cadenas – Integradas y definidas por el usuario

Cadenas (chains) Cadenas para filter – INPUT, OUTPUT, FORWARD Cadenas para nat – PREROUTING, OUTPUT, POSTROUTING Cadenas para mangle – PREROUTING, OUTPUT

Cadenas para filter INPUT –Para paquetes que van a la máquina local OUTPUT –Para paquetes que son generados por la máquina local FORWARD –Para paquetes que son “ruteados” por la máquina local –Conexión entre dos redes

Flujo a través de filter y nat

Tablas, cadenas, reglas, parámetros y targets

Funcionamiento Cada paquete que se recibe o envía está sujeto a por lo menos una tabla Una tabla contiene cadenas que procesan los paquetes en forma específica Las cadenas tienen reglas que se aplican a cada paquete Cada regla tiene una serie de parámetros (matches) que se comparan con datos del paquete En el momento en que un paquete cumple una regla, es decir la comparación parámetro por parámetro es verdadera se le aplica una acción (target)

Acciones (targets) ACCEPT, DROP, REJECT, LOG, RETURN Cada cadena tiene un política por default la cual se aplica en caso de que el paquete no cumpla ninguna regla – ACCEPT, DROP

Acciones (targets) ACCEPT –El paquete continua su camino DROP –Deshecha el paquete. no se sigue procesando. Como si el paquete nunca hubiese llegado (o enviado) LOG –Se escribe en la bitácora syslog REJECT –Deshecha el paquete y envía una respuesta adecuada RETURN –Continua procesando el paquete dentro de la cadena

Algunos parámetros -p --protocol –Protocolo usado: udp, tcp, icmp -s --source –Dirección IP origen -d --destination –Dirección IP destino -i --in-interface –Interfaz de entrada

Más parámetros --source-port --sport –Puerto origen del paquete --destination-port--dport –Puerto destino del paquete --tcp-flags – SYN, ACK, PSH, URG, FIN, RST, ALL -- icmp-type – Tipo de mensaje icmp – 0: echo-reply, 8: echo-request, 3: port unreachable

Algunos comandos -A(Append) –Agrega una regla al final de la cadena -Inúmero(Insert) –Inserta una regla, antes de la regla número -D número(Delete) –Borra la regla número -F cadena(Flush) –Borra todas las reglas de una cadena -Lcadena(List) –Lista las reglas de una cadena

Algunos comandos -N cadena(New) –Crea una nueva cadena -X cadena –Borra la cadena -P cadena target(Policy) –Crea un target por default, en caso de que ninguna regla se haya aplicado al paquete

Algunas opciones --line-numbers –Se usa con -- list para ver los números de las reglas -n –Se usa con -- list para que los puertos y las direcciones IP se desplieguen en forma numérica en lugar de nombres

Reglas iptables -A INPUT -s p tcp – destination-port telnet -j DROP iptables -A INPUT -p tcp –-dport 23 j DROP iptables -A INPUT -p icmp –icmp-type 8 j DROP iptables -I INPUT 1 -p icmp –icmp-type 8 j DROP iptables -I INPUT 1 -p icmp –icmp-type 8 j REJECT

Reglas iptables -A INPUT -s j DROP iptables -A INPUT -s atacante.losmalos.com -j DROP iptables -A INPUT -s /24 -j DROP iptables -A INPUT -s / j DROP iptables -A INPUT -s 0/0 -j DROP iptables -A INPUT -j DROP

Comandos iptables -L – Lista todas las reglas activas de todas las tablas y sus cadenas iptables -L -n – Las reglas se despliegan con Ips y puertos en forma numérica, en lugar de nombres iptables -L -t filter – Despliega las reglas de una tabla específica. filter es el default iptables -L –line-numbers – Despliega las reglas numeradas. Util para posibles INSERT

Comandos iptables -F – Borra todas las reglas de las cadenas de la tabla filter iptables -F INPUT – Borra todas las reglas de la cadena INPUT de la tabla filter iptables -D INPUT 7 – Borra la séptima regla de la cadena INPUT de la tabla filter iptables -P INPUT DROP – Todos los paquetes que no satisfagan alguna regla en la entrada serán descartados, sin respuesta

Sesión iptables -F iptables -A INPUT -s 0/0 -p tcp –-dport 22 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp --sport 22 -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP Borrar todas las reglas de la tabla filter Aceptar entrada y salida de paquetes para conexión remota a través de ssh Poner la política de rechazar todos los paquetes de entrada y no permitir paquetes de salida. ¿Qué pasa si quitamos la última política? La máquina está completamente aislada de la red, con excepción de conexiones remotas desde cualquier máquina en Internet por medio de “secure shell”

Sesión iptables -A INPUT -s 0/0 -p tcp –-dport 80 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp –-sport 80 -j ACCEPT iptables -A INPUT -p tcp –-dport http -j ACCEPT iptables -A OUTPUT -p tcp –-sport http -j ACCEPT igual a: Dejamos que nuestro servidor de Web acepte peticiones y sirva páginas iptables -A INPUT -s 0/0 -p tcp –-dport j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp –-sport j ACCEPT

Sesión iptables -A INPUT -p icmp –icmp-type 8 -j REJECT iptables -A OUTPUT -p icmp –icmp-type 3 -j ACCEPT Rechazamos “pings” contestando con un mensaje adecuado “destination port unreachable”. En lugar de simplemente ignorar el paquete

Cambios permamentes Los cambios a las tablas (nuevas reglas) se activan en el mismo momento en que se escriben con iptables, pero se quedan en memoria iptables-save [>archivo] –Graba las tablas en archivo o /etc/sysconfig/iptables si no se especifica iptables-restore archivo –Escribe las tablas que están en archivo a memoria

Firewalls Pueden proteger una red si es que controlan el perímetro completo –Un usuario conectándose por modem o inalámbrica No protegen datos fuera del perímetro –Una vez en las afueras Son la parte más visible de una red y la más atractiva para ataques –No es conveniente depender de esta sola herramienta para protección (Defense in depth)

Firewalls Deben de estar correctamente configurados Actualizar configuraciones ante cualquier cambio en la red Revisión periódica de bitácoras (logs) Mantenerlo simple –Son blancos preferidos, hay que mantenerlos sencillos (sin muchas herramientas), en caso de un ataque El control sobre los datos es menor –Datos no correctos o código malicioso deben ser controlados por otros medios

Información man iptables

¿Es suficiente un firewall?

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.