FIREWALLS

ASPECTOS PROBLEMATICOS DE LA SEGURIDAD  Los virus y su constante desarrollo  Los troyanos  En general no detectados por antivirus  Las vulnerabilidades  De los sistemas operativos  Los spammers  Todas sus combinaciones  Los virus y su constante desarrollo  Los troyanos  En general no detectados por antivirus  Las vulnerabilidades  De los sistemas operativos  Los spammers  Todas sus combinaciones

FIREWALL  Definición  Conjunto de hardware y/o software montados sobre un sistema (o sobre varios) que controla el trafico entre dos redes aplicando una serie de reglas especificas.  “sistema o grupo de sistemas que establece una política de control de acceso entre dos redes ".  Similar a un router al que se le añade seguridad.  La política de seguridad tiene en cuenta paquetes conexiones y/o aplicaciones, que vienen de fuera (lo más habitual) y que van de dentro hacía afuera.  Sin política de seguridad, firewall = router.  Definición  Conjunto de hardware y/o software montados sobre un sistema (o sobre varios) que controla el trafico entre dos redes aplicando una serie de reglas especificas.  “sistema o grupo de sistemas que establece una política de control de acceso entre dos redes ".  Similar a un router al que se le añade seguridad.  La política de seguridad tiene en cuenta paquetes conexiones y/o aplicaciones, que vienen de fuera (lo más habitual) y que van de dentro hacía afuera.  Sin política de seguridad, firewall = router.

OBJETIVOS BASICOS DE UN FIREWALL  Bloquea los datos entrantes que pueden contener un ataque  Oculta la información acerca de la red, haciendo que todo parezca como tráfico de salida del firewall y no de la red.  Esto también se conoce como NAT (Network Address Translation) Filtra el tráfico de salida Con el fin de restringir el uso de Internet y el acceso a localidades remotas  Bloquea los datos entrantes que pueden contener un ataque  Oculta la información acerca de la red, haciendo que todo parezca como tráfico de salida del firewall y no de la red.  Esto también se conoce como NAT (Network Address Translation) Filtra el tráfico de salida Con el fin de restringir el uso de Internet y el acceso a localidades remotas

CLASIFICACION DE FIREWALLS  De filtración de paquetes,  Servidores proxy a nivel de aplicación  De inspección de paquetes (SPI, Stateful Packet Inspection).  De filtración de paquetes,  Servidores proxy a nivel de aplicación  De inspección de paquetes (SPI, Stateful Packet Inspection).

Filtración de Paquetes  Utiliza reglas para negar el acceso, según la información contenida en el paquete y en la lista de las direcciones confiables  Problemas:  Propenso al “spoofing” de IP  Truco en el cual los datos parecen provenir de una fuente confiable o incluso de una dirección de su propia red  Son muy difíciles de configurar.  Cualquier error en su configuración, puede dejarlo vulnerable a los ataques  Utiliza reglas para negar el acceso, según la información contenida en el paquete y en la lista de las direcciones confiables  Problemas:  Propenso al “spoofing” de IP  Truco en el cual los datos parecen provenir de una fuente confiable o incluso de una dirección de su propia red  Son muy difíciles de configurar.  Cualquier error en su configuración, puede dejarlo vulnerable a los ataques

Aplication Level  Filtran tráfico a nivel de aplicación  Debe existir para cada protocolo y servicio que se desea filtrar (FTP, HTTP, SMTP, etc.).  No utilizan reglas de control de acceso  Aplican restricciones para garantizar la integridad de la conexión (filtran comandos)  Filtran tráfico a nivel de aplicación  Debe existir para cada protocolo y servicio que se desea filtrar (FTP, HTTP, SMTP, etc.).  No utilizan reglas de control de acceso  Aplican restricciones para garantizar la integridad de la conexión (filtran comandos)

Firewall de SPI  Ultima generación en la tecnología de firewall  Tecnología más avanzada y segura  examina todos los componentes de un paquete IP para decidir si acepta o rechaza la comunicación  Ultima generación en la tecnología de firewall  Tecnología más avanzada y segura  examina todos los componentes de un paquete IP para decidir si acepta o rechaza la comunicación

Firewall de SPI  Mantiene un registro de todas las solicitudes de información que se originan de la red  Luego, inspecciona toda comunicación entrante para verificar si realmente fue solicitada y rechaza cualquiera que no lo haya sido  Luego, proceden al siguiente nivel de inspección y el software determina el estado de cada paquete de datos.  Mantiene un registro de todas las solicitudes de información que se originan de la red  Luego, inspecciona toda comunicación entrante para verificar si realmente fue solicitada y rechaza cualquiera que no lo haya sido  Luego, proceden al siguiente nivel de inspección y el software determina el estado de cada paquete de datos.

Firewalls con zona desmilitarizada (DMZ)  Solución efectiva para empresas que ofrecen a sus clientes la posibilidad de conectarse a su red a partir de cualquier medio externo  Los usuarios externos pueden ingresar al área protegida, pero no pueden acceder al resto de la red  Solución efectiva para empresas que ofrecen a sus clientes la posibilidad de conectarse a su red a partir de cualquier medio externo  Los usuarios externos pueden ingresar al área protegida, pero no pueden acceder al resto de la red

hardware vs. software Firewall integrado con Hardware (“Appliance”) Firewall basado en software Tiempo de Instalación Estos dispositivos están listos para conectarse y configurarse tan pronto como salen de la caja. Requiere un tiempo variable: se necesita instalar el sistema operativo, configurarlo, instalar “drivers” de dispositivos de hardware y finalmente instalar el software de firewall antes de iniciar la configuración

hardware vs. software Escalabilidad Las opciones de crecimiento de hardware son limitadas y suele ser necesario cambiar todo el dispositivo. La integración a nivel aplicación permite seleccionar y modificar la base de hardware con mayor flexibilidad. Esto permite cambiar el hardware fácilmente cuando sea necesario.

hardware vs. software Estabilidad Estos dispositivos incluyen hardware y un sistema operativo extensivamente probado y adecuado por el fabricante para garantizar un correcto desempeño y compatibilidad Es necesario configurar manualmente dispositivos y sistema operativo para garantizar un desempeño adecuado. Se requiere efectuar también de un reforzamiento de la seguridad a nivel sistema operativo.

hardware vs. software Flexibilidad en configuración de hardware y S.P. Las opciones de configuración en hardware y sistema operativo subyacente están limitadas por el fabricante para garantizar estabilidad Existe mayor libertad para modificar la configuración de hardware y sistema operativo en caso necesario.

Software  Tienen cambios constantes en su infraestructura tecnológica y de red  Poseen personal dedicado para la administración y operación de los dispositivos y están altamente capacitados  Tienen cambios constantes en su infraestructura tecnológica y de red  Poseen personal dedicado para la administración y operación de los dispositivos y están altamente capacitados

Hardware  Carecen de personal dedicado (y especializado) para la administración, instalación y configuración del firewall  Carecen de personal especialista en sistemas operativos  Tienen pocos cambios (o cambios graduales) en su infraestructura tecnológica y de red  Carecen de personal dedicado (y especializado) para la administración, instalación y configuración del firewall  Carecen de personal especialista en sistemas operativos  Tienen pocos cambios (o cambios graduales) en su infraestructura tecnológica y de red

TOPOLOGIAS Firewall entre internet y una red local

TOPOLOGIAS  Según las necesidades de cada red :  Uno o más firewalls para establecer distintos perímetros de seguridad  DMZ o zona desmilitarizada  Necesidad de exponer algún servidor a internet  Según las necesidades de cada red :  Uno o más firewalls para establecer distintos perímetros de seguridad  DMZ o zona desmilitarizada  Necesidad de exponer algún servidor a internet

TOPOLOGIA - DMZ

TOPOLOGIA  Cuando se usa un firewall con tres interfaces, se crea un mínimo de tres redes. Las tres redes que crea el firewall se describen de este modo:  Interior  Exterior  DMZ (Zona desmilitarizada)  Cuando se usa un firewall con tres interfaces, se crea un mínimo de tres redes. Las tres redes que crea el firewall se describen de este modo:  Interior  Exterior  DMZ (Zona desmilitarizada)

INTERIOR  Área de confianza de la internetwork  Los dispositivos internos forman la red privada de la organización  Comparten directivas de seguridad comunes con respecto a la red exterior (Internet).  Se mantienen en entornos de confianza entre ellos  Si un departamento, como Recursos Humanos, tiene que ser protegido del resto de usuarios de confianza, se puede utilizar un firewall.  Área de confianza de la internetwork  Los dispositivos internos forman la red privada de la organización  Comparten directivas de seguridad comunes con respecto a la red exterior (Internet).  Se mantienen en entornos de confianza entre ellos  Si un departamento, como Recursos Humanos, tiene que ser protegido del resto de usuarios de confianza, se puede utilizar un firewall.

EXTERIOR  Área de no confianza de la internetwork  Los dispositivos del interior y de la DMZ se protegen de los dispositivos del exterior  las empresas suelen permitir el acceso a la DMZ desde el exterior  Para ofrecer servicios web por ejemplo  Área de no confianza de la internetwork  Los dispositivos del interior y de la DMZ se protegen de los dispositivos del exterior  las empresas suelen permitir el acceso a la DMZ desde el exterior  Para ofrecer servicios web por ejemplo

DMZ (Zona desmilitarizada)  Red aislada  Pueden acceder los usuarios del exterior  Posibilita que una empresa ponga la información y los servicios a disposición de los usuarios del exterior dentro de un entorno seguro y controlado  Hosts bastión : hosts o servidores que residen en la DMZ  Red aislada  Pueden acceder los usuarios del exterior  Posibilita que una empresa ponga la información y los servicios a disposición de los usuarios del exterior dentro de un entorno seguro y controlado  Hosts bastión : hosts o servidores que residen en la DMZ

Host Bastion  Está actualizado con respecto a su sistema operativo  Menos vulnerable a los ataques  Ejecuta los servicios necesarios para realizar sus tareas de aplicación  Los servicios innecesarios (y a veces más vulnerables) son desactivados o eliminados.  Está actualizado con respecto a su sistema operativo  Menos vulnerable a los ataques  Ejecuta los servicios necesarios para realizar sus tareas de aplicación  Los servicios innecesarios (y a veces más vulnerables) son desactivados o eliminados.

TOPOLOGIA – HOST BASTION

QUE FIREWALL ELEGIR?  Asegurar de que se trata de una solución segura y de que ha sido certificada por una organización confiable  Depende de las necesidades de seguridad de la organización  Definir las políticas de firewall:  Requiere un análisis de las necesidades, inclusive la evaluación de riesgos, para  Luego determinar los requisitos  Asegurar de que se trata de una solución segura y de que ha sido certificada por una organización confiable  Depende de las necesidades de seguridad de la organización  Definir las políticas de firewall:  Requiere un análisis de las necesidades, inclusive la evaluación de riesgos, para  Luego determinar los requisitos

FINAL  MAS IMPORTANTE QUE LA ELECCION DEL FIREWALL ES TOMAR LAS MEDIDAS DE SEGURIDAD CORRECTAS Y EDUCAR A LAS PERSONAS A IDENTIFICAR Y NO CREAR RIESGOS