La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

“Firewalls”. Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos.

Publicada porAndrés Hugo Torregrosa Suárez Modificado hace 7 años

Presentaciones similares

Presentación del tema: "“Firewalls”. Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos."— Transcripción de la presentación:

1 “Firewalls”

2 Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos de una red interna Programa capaz de analizar paquetes con el propósito de modificarlos, bloquearlos o mandarlos a su destino Mecanismo para filtrar paquetes basado en la información de los encabezados

3 Dispositivo que filtra tráfico entre una red externa (no confiable) y una red interna (protegida) Dispositivo que filtra tráfico entre una red externa (no confiable) y una red interna (protegida) Firewall

4 Dos tipos de comportamiento (Política) Lo que no está expresamente prohibido está permitido –Default: permitir entrada –Usuarios Lo que no está expresamente permitido está prohibido –Default: negar entrada –Expertos El administrador decide

5 Hola que tal! En la red..... MAC Desti no MAC Orige n CRC Puert o Desti no Puert o Orige n Dato s IP Destin o IP Orige n

6 Tenemos acceso a: –Direcciones MAC: destino y origen –Direcciones IP: destino y origen –Puertos: destino y origen –Campos de encabezados Protocolo: TCP, UDP, ICMP, ARP Banderas, etc –Datos: aplicación MAC Destin o MAC Origen CRC IP Destin o IP Origen Puerto Destin o Puerto Origen Datos

7 Filtrado de tráfico Por dirección MAC –Bloquear/permitir máquinas individuales Por dirección IP –Bloquear/permitir direcciones individuales o grupos Por puerto –Permitir o bloquear servicios (http, ftp, smtp, etc.)‏ Por protocolo –TCP, UDP, ICMP –ej: bloquear “ping”

8 Firewalls: Arquitectura Básica Red Interna Internet

9 Firewalls: Arquitectura con DMZ Red Interna Internet Zona DMZ

10 Firewalls: Arquitecura Dual con DMZ Red Interna Internet Zona DMZ

11 Tipos de Firewall Filtradores de paquetes Analizador de estados Proxy de aplicación Guardias (Guards) Personales

12 Filtrador de paquetes Simple Efectivo No ven “adentro” de los paquetes, sólo encabezados Filtran con base en direcciones –MAC, IP, Puerto Bloquear entrada o salida

13 Firewall personal Internet

14 Netfilter/Iptables Kernel 2.0 – ipfwadm Kernel 2.2 – ipchains Kernel 2.4 – netfilter/iptables –netfilter: parte del kernel –iptables: herramienta para crear reglas (funciones) y “engancharlas” en el kernel por medio de netfilter Reglas definen el manejo de los paquetes: Filtrar, NAT, manipular

15 Tablas Cada tabla define funcionalidades en forma amplia –Filtrado filter (default) –NAT nat –Modificación Mangle – Raw Las tablas se componen de cadenas – Integradas y definidas por el usuario

16 Cadenas (chains) Cadenas para filter – INPUT, OUTPUT, FORWARD Cadenas para nat – PREROUTING, OUTPUT, POSTROUTING Cadenas para mangle – PREROUTING, OUTPUT

17 Cadenas para filter INPUT –Para paquetes que van a la máquina local OUTPUT –Para paquetes que son generados por la máquina local FORWARD –Para paquetes que son “ruteados” por la máquina local –Conexión entre dos redes

18 Flujo a través de filter y nat

19 Tablas, cadenas, reglas, parámetros y targets

20 Funcionamiento Cada paquete que se recibe o envía está sujeto a por lo menos una tabla Una tabla contiene cadenas que procesan los paquetes en forma específica Las cadenas tienen reglas que se aplican a cada paquete Cada regla tiene una serie de parámetros (matches) que se comparan con datos del paquete En el momento en que un paquete cumple una regla, es decir la comparación parámetro por parámetro es verdadera se le aplica una acción (target)

21 Acciones (targets) ACCEPT, DROP, REJECT, LOG, RETURN Cada cadena tiene un política por default la cual se aplica en caso de que el paquete no cumpla ninguna regla – ACCEPT, DROP

22 Acciones (targets) ACCEPT –El paquete continua su camino DROP –Deshecha el paquete. no se sigue procesando. Como si el paquete nunca hubiese llegado (o enviado) LOG –Se escribe en la bitácora syslog REJECT –Deshecha el paquete y envía una respuesta adecuada RETURN –Continua procesando el paquete dentro de la cadena

23 Algunos parámetros -p --protocol –Protocolo usado: udp, tcp, icmp -s --source –Dirección IP origen -d --destination –Dirección IP destino -i --in-interface –Interfaz de entrada

24 Más parámetros --source-port --sport –Puerto origen del paquete --destination-port--dport –Puerto destino del paquete --tcp-flags – SYN, ACK, PSH, URG, FIN, RST, ALL -- icmp-type – Tipo de mensaje icmp – 0: echo-reply, 8: echo-request, 3: port unreachable

25 Algunos comandos -A(Append) –Agrega una regla al final de la cadena -Inúmero(Insert) –Inserta una regla, antes de la regla número -D número(Delete) –Borra la regla número -F cadena(Flush) –Borra todas las reglas de una cadena -Lcadena(List) –Lista las reglas de una cadena

26 Algunos comandos -N cadena(New) –Crea una nueva cadena -X cadena –Borra la cadena -P cadena target(Policy) –Crea un target por default, en caso de que ninguna regla se haya aplicado al paquete

27 Algunas opciones --line-numbers –Se usa con -- list para ver los números de las reglas -n –Se usa con -- list para que los puertos y las direcciones IP se desplieguen en forma numérica en lugar de nombres

28 Reglas iptables -A INPUT -s 10.16.54.243 -p tcp – destination-port telnet -j DROP iptables -A INPUT -p tcp –-dport 23 j DROP iptables -A INPUT -p icmp –icmp-type 8 j DROP iptables -I INPUT 1 -p icmp –icmp-type 8 j DROP iptables -I INPUT 1 -p icmp –icmp-type 8 j REJECT

29 Reglas iptables -A INPUT -s 10.17.43.235 -j DROP iptables -A INPUT -s atacante.losmalos.com -j DROP iptables -A INPUT -s 10.17.43.0/24 -j DROP iptables -A INPUT -s 10.17.43.0/255.255.255.0 -j DROP iptables -A INPUT -s 0/0 -j DROP iptables -A INPUT -j DROP

30 Comandos iptables -L – Lista todas las reglas activas de todas las tablas y sus cadenas iptables -L -n – Las reglas se despliegan con Ips y puertos en forma numérica, en lugar de nombres iptables -L -t filter – Despliega las reglas de una tabla específica. filter es el default iptables -L –line-numbers – Despliega las reglas numeradas. Util para posibles INSERT

31 Comandos iptables -F – Borra todas las reglas de las cadenas de la tabla filter iptables -F INPUT – Borra todas las reglas de la cadena INPUT de la tabla filter iptables -D INPUT 7 – Borra la séptima regla de la cadena INPUT de la tabla filter iptables -P INPUT DROP – Todos los paquetes que no satisfagan alguna regla en la entrada serán descartados, sin respuesta

32 Sesión iptables -F iptables -A INPUT -s 0/0 -p tcp –-dport 22 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp --sport 22 -j ACCEPT iptables -P INPUT DROP iptables -P OUTPUT DROP Borrar todas las reglas de la tabla filter Aceptar entrada y salida de paquetes para conexión remota a través de ssh Poner la política de rechazar todos los paquetes de entrada y no permitir paquetes de salida. ¿Qué pasa si quitamos la última política? La máquina está completamente aislada de la red, con excepción de conexiones remotas desde cualquier máquina en Internet por medio de “secure shell”

33 Sesión iptables -A INPUT -s 0/0 -p tcp –-dport 80 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp –-sport 80 -j ACCEPT iptables -A INPUT -p tcp –-dport http -j ACCEPT iptables -A OUTPUT -p tcp –-sport http -j ACCEPT igual a: Dejamos que nuestro servidor de Web acepte peticiones y sirva páginas iptables -A INPUT -s 0/0 -p tcp –-dport 8080 -j ACCEPT iptables -A OUTPUT -d 0/0 -p tcp –-sport 8080 -j ACCEPT

34 Sesión iptables -A INPUT -p icmp –icmp-type 8 -j REJECT iptables -A OUTPUT -p icmp –icmp-type 3 -j ACCEPT Rechazamos “pings” contestando con un mensaje adecuado “destination port unreachable”. En lugar de simplemente ignorar el paquete

35 Cambios permamentes Los cambios a las tablas (nuevas reglas) se activan en el mismo momento en que se escriben con iptables, pero se quedan en memoria iptables-save [>archivo] –Graba las tablas en archivo o /etc/sysconfig/iptables si no se especifica iptables-restore archivo –Escribe las tablas que están en archivo a memoria

36 Firewalls Pueden proteger una red si es que controlan el perímetro completo –Un usuario conectándose por modem o inalámbrica No protegen datos fuera del perímetro –Una vez en las afueras...... Son la parte más visible de una red y la más atractiva para ataques –No es conveniente depender de esta sola herramienta para protección (Defense in depth)

37 Firewalls Deben de estar correctamente configurados Actualizar configuraciones ante cualquier cambio en la red Revisión periódica de bitácoras (logs) Mantenerlo simple –Son blancos preferidos, hay que mantenerlos sencillos (sin muchas herramientas), en caso de un ataque El control sobre los datos es menor –Datos no correctos o código malicioso deben ser controlados por otros medios

38 Información www.netfilter.org man iptables

39 ¿Es suficiente un firewall?

40

41

42

43

44

45

46

47

Descargar ppt "“Firewalls”. Firewall Dispositivo que interconecta dos redes Dispositivo de red que regula el acceso a una red interna Programas que protegen los recursos."

Presentaciones similares

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta

Profesor: Lic. Albino Petlacalco Ruiz M.C. Jose David Alanis Urquieta
TEMA1. Servicios de Red e Internet

TEMA1. Servicios de Red e Internet
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7

Trabajar en una pequeña o mediana empresa o ISP. Capítulo 7
MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.

MODELO TCP/IP Conectividad de extremo a extremo especificando como los datos deberian ser formateados,direccionados,transmitidos,enrutados y recibidos.
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.

PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Comunicación de Datos I

Comunicación de Datos I
FIREWALL.

FIREWALL.
LISTAS DE CONTROL DE ACCESO (ACL)

LISTAS DE CONTROL DE ACCESO (ACL)
66.69 Criptografía y Seguridad Informática FIREWALL.

66.69 Criptografía y Seguridad Informática FIREWALL.
Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.

Filtrado de paquetes y NAT. Aprendizajes esperados Contenidos: Filtrado de paquetes NAT.
TCP/IP Introducción TCP/IP Introducción. TCP/IP vs OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Acceso a la red Física TCP/IP.

TCP/IP Introducción TCP/IP Introducción. TCP/IP vs OSI Aplicación Presentación Sesión Transporte Red Enlace Física Aplicación Acceso a la red Física TCP/IP.
LA FAMILIA DE PROTOCOLOS TCP/IP

LA FAMILIA DE PROTOCOLOS TCP/IP
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS

CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Protocolos del modelo TCP/IP

Protocolos del modelo TCP/IP
Mg(c) Ing. Miguel A. Mendoza Dionicio Curso: Diseño de Redes de Comunicación Instituto Superior Tecnológico Público INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO.

Mg(c) Ing. Miguel A. Mendoza Dionicio Curso: Diseño de Redes de Comunicación Instituto Superior Tecnológico Público INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO.
Ing. Elizabeth Guerrero V.

Ing. Elizabeth Guerrero V.
UD 1: “Introducción a los servicios de red e Internet”

UD 1: “Introducción a los servicios de red e Internet”
PROTOCOLO TCP Y UDP.

PROTOCOLO TCP Y UDP.

Presentaciones similares

Anuncios Google