La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Implementando Firewall Technologies

Publicada porElvira Labrador Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Implementando Firewall Technologies"— Transcripción de la presentación:

1 Implementando Firewall Technologies
CCNA Security Implementando Firewall Technologies

2 Firewalls Un firewall es un sistema que aplica una política de control de acceso dentro de la red Propiedades comunes de un cortafuegos: El servidor de seguridad es resistente a los ataques El firewall es el punto de tránsito sólo entre las redes El cortafuegos aplica la política de control de acceso

3 Beneficios de los Firewalls
Evita la exposición de los hosts y aplicaciones a los usuarios no confiables Prevenir la explotación de los fallos del protocolo. Firewalls evitan que los datos maliciosos se envíen a los servidores y los clientes. Cortafuegos correctamente configurado subordina la ejecución de políticas de seguridad simple, escalable y robusta. Un servidor de seguridad reduce la complejidad de la gestión de la seguridad mediante la descarga de la mayor parte del control de acceso a la red en un par de puntos.

4 Tipos de filtrados en Firewalls
Cortafuegos de filtrado de paquetes es típicamente un router que tiene la capacidad de filtrado en algunos de los contenidos de los paquetes (examina la capa 3 y a veces información de capa 4). A nivel de red, con direcciones IP y la interfaz por la que llega el paquete, generalmente a través de listas de acceso (en los routers). A nivel de transporte, con los puertos y tipo de conexión, a través de listas de acceso (en los routers) Cortafuegos de estados: Comprueba el estado de una conexión: si la conexión está en iniciación, transferencia de datos, o estado de terminación.

5 Tipos de Filtrado en Firewalls
Cortafuegos de Aplicación (firewall proxy) filtros de información en las capas 3, 4, 5, y 7. Control de Firewall y filtrado se hace por software. A nivel de aplicación, con los datos, a través de pasarelas para las aplicaciones permitidas analizando el contenidos de los paquetes y los protocolos de aplicación (ejemplo servidor proxy o pasarela multiaplicación) Firewall NAT amplía el número de direcciones IP disponibles y el diseño esconde el direccionamiento de red. Firewall basado en host (servidor y personal), un servidor o PC con software de firewall que se ejecuta en el mismo. Firewall Transparente: Filtra de tráfico IP entre un par de interfaces que hacen de puente. Firewalls híbridos combinación de los servidores de seguridad anteriores. Por ejemplo, un cortafuegos de inspección de aplicación combina un cortafuegos de estado con un firewall de aplicación.

6 Ventajas del filtrado de paquetes
Se basan en el permiso o denegación de sencillo conjunto de reglas Tienen un bajo impacto en el rendimiento de la red. Son fáciles de implementar Son compatibles con la mayoría de los routers Usualmente se aplica en dispositivos de capa de red e implementa conjuntos de reglas estáticas que examinan los encabezados de cada paquete para permitir o denegar el tráfico, sin ninguna relación con los flujos de tráfico precedentes. Trabajan bien cuando el objetivo filtra aplicaciones basadas en TCP que no utilizan negociación dinámica de puertos.

7 Desventajas del Filtrado de Paquetes
Filtrado de paquetes es susceptible a la falsificación de direcciones IP. Los hackers envían paquetes arbitrarios que se ajustan a criterios de la ACL y pasan a través del filtro. Al procesarse los paquetes de forma independiente, no se guarda información de contexto (no se almacenan históricos de cada paquete), ni se puede analizar a nivel de capa de aplicación, dado que está implementado en los routers. Además, son difíciles de seguir en ejecución ACL complejas, son difíciles de implementar y mantener correctamente.

8 Firewall de estado (stateful)
Es un método de filtrado de paquetes que trabaja a nivel de flujo o conexión, con ocasionales intervenciones a nivel de aplicación. Mantienen una tabla de estado que hace seguimiento de las sesiones que atraviesan el firewall y en función de ella hace inspección de cada paquete que atraviesa el dispositivo. El mecanismo asume que si se permite el inicio de la conexión, cualquier conexión adicional que requiera esa aplicación será permitida. Es un mecanismo confiable para filtrar tráfico de red entre dominios de seguridad.

9 Firewall de estado (stateful)
Internamente se define una tabla de sesiones permitidas (tanto TCP como UDP), donde el paquete de conexión inicial (por ejemplo en TCP el primer segmento marcha con bit ACK=0 y SYN=1) se comprueba contra las reglas, y si está permitido se apunta en la tabla de sesiones y tras ello, los paquetes siguientes de la misma sesión se dejan pasar. Ejemplo: apertura de FTP en modo Activo

10 Stateful Firewall Outside ACL (Incoming Traffic) Inside ACL
source port 1500 destination port 80 Inside ACL (Outgoing Traffic) Outside ACL (Incoming Traffic) permit ip any Dynamic: permit tcp host eq 80 host eq 1500 permit tcp any host eq 25 permit udp any host eq 53 deny ip any any

11 Firewalls de estado Ventajas / Desventajas
A menudo se utiliza como principal medio de defensa al filtrar el tráfico no deseado, innecesario o indeseable. Fortalece el filtrado de paquetes, proporcionando un control más estricto sobre la seguridad de filtrado de paquetes Mejora el rendimiento a través de filtros de paquetes o servidores proxy. Protege contra spoofing y ataques DoS Permite mayor información de log que un firewall de filtrado de paquetes Desventajas No se pueden evitar los ataques de nivel de aplicación, ya que no examina el contenido real de la conexión HTTP No todos los protocolos son stateful, como UDP e ICMP Algunas aplicaciones requieren múltiples conexiones abiertas y toda una nueva gama de puertos abiertos para permitir una segunda conexión Firewalls no son compatibles con la autenticación de usuarios

12 Ejemplo: red con servidor proxy/cache de uso obligatorio
Servidor web Filtro en el router Servidor Proxy/cache permit tcp host any eq www deny tcp any eq www Internet Cliente web Router Los usuarios han de configurar su cliente web con el proxy que sólo él puede realizar conexiones al exterior por el puerto 80. Esto no afecta a los accesos a servidores web internos desde el exterior Servidor web Red interna /16

13 Dual-homed gateway (1) Se trata de un host (bastión) con dos tarjetas de red, conectadas a redes diferentes En esta configuración, el bastión puede filtrar hasta capa de aplicación. Son sistemas muy baratos y fáciles de implementar Sólo soportan servicios mediante proxy El filtrado de paquetes, puede realizarse en Linux a través de “iptables” ( que son sentencias: accept|deny con declaración de puertos, direcciones IP, ...

14 Dual-homed gateway (2) Bastión Red Externa Interna

15 Screened host (1) Se trata de un router que bloquea todo el tráfico hacia la red interna, excepto al bastión Soporta servicios mediante proxy (bastión) Soporta filtrado de paquetes (router) No es complicada de implementar Si el atacante entra en el bastión, no hay ninguna seguridad

16 Screened host (2) Bastión Red Externa Interna Router
Esta arquitectura permite mantener la conectividad transparente cuando esté justificado, obligando a pasar por el ‘bastion host’ el resto

17 Preparación del bastión en UNIX
Instalación segura del UNIX: Eliminar ejecutables con bit SUID y GUID y conexiones a través de SSH Deshabilitar los servicios no requeridos NFS, RPCs, ftpd, bootd, bootpd, rshd, rlogind, rexecd Instalar las pasarelas para los servicios requeridos (proxies) Quitar los ejecutables y librerías no esenciales Instalar un sistema de análisis de logs (swatch) en tiempo real Montar los file systems posibles de sólo lectura Instalar un chequeador de integridad (tripwire) Realizar un backup completo del sistema limpio

18 Ejemplo de colocación del host bastión
Red perimetral Red interna Internet Bastion host/ router exterior Router interior Cortafuegos Mantener el bastion fuera del router, implica mayor seguridad para la red interna, pero el bastión va a estar sometido a más ataques que el router.

19 Private-Public Policy
Diseño con DMZ Private-DMZ Policy DMZ DMZ-Private Policy Public-DMZ Policy Untrusted Trusted Internet Private-Public Policy

20 Ejemplo cortafuego con Zona Desmilitarizada
Red interna Router interior Internet Router exterior Bastion host Red perimetral Web DNS, Mail Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

21 Cortafuego con DMZ conmutada
Router exterior Internet Red interna Router interior Red perimetral DNS, Mail Web Bastion host Zona desmilitarizada (DMZ) o Free Trade Zone (FTZ)

22 Jarrón de miel (HONEY POT)
En ocasiones es interesante aprender de los propios atacantes. Para ello, en las redes se ubican servidores puestos adrede para que los intrusos los saboteen y son monitorizados por sistemas que actúan como puentes a los servidores, registrando de forma transparente los paquetes que acceden a dichos servidores. Detectado un ataque (por modificación de la estructura de archivos), se recompone la traza del atacante (secuencia de paquetes registrados en el monitor puente) y se pasa a un análisis forense. Este análisis forense concluye, en caso de detectar un nuevo ataque, en una nueva regla de detección. Ejemplo: proyecto Hades en

23 Screened subnet (1) Se sitúa una red DMZ (DeMilitarized Zone) entre la interna y la externa, usando dos routers y que contiene el bastión Tráfico sospechoso se envía hacia el bastión, si no puede pasar directamente. Soporta servicios mediante proxy (bastión) Soporta filtrado de paquetes (routers) Es complicada y cara de implementar Si el atacante entra en el bastión, todavía tiene un router por delante (no puede hacer sniffing)

24 Screened subnet (2) Configuración: consistente en implementar un perímetro con 2 routers y un host bastión, es la arquitectura más segura y tiene las ventajas: En ningún momento el exterior puede saturar la red interna, ya que están separadas En ningún momento se puede monitorizar (sniffer)la red interna en el caso de que el host bastión fuera saboteado

25 Screened subnet (3) Bastión Red Externa Interna Router DMZ

26 Cisco Systems Soluciones
IOS Firewall Políticas basadas en zonas con una intuitiva gestión Filtrado de aplicaciones Instant messenger y peer-to-peer Filtrado de protocolo VoIP Filtrado de routing Virtual y reencaminamiento (VRF) Integración Wireless Stateful failover Soporte de Listas blancas/negras URL Inspección de aplicaciones con tráfico web y PIX 500 Series ASA 5500 Series

27 Productos Comerciales
Firewall-1 (Check Point) IBM Firewall (International Bussines Machines) Gauntlet (Trusted Information Systems) Libre Distribución FWTK (Trusted Information Systems)

28 Escenario de Defensa por Niveles
Seguridad de punto final: Provee identificación y políticas de seguridad Seguridad de las Comunicaciones: Proporciona seguridad de la información Núcleo de red Perimetro de Seguridad: Asegura los límites entre las zonas Seguridad del núcleo de la red: Protege contra software malicioso y las anomalías de tráfico, hace cumplir las políticas de red y asegura la supervivencia Recuperación de desastre: Almacenamiento fuera del sitio y arquitectura redundante

29 Firewall: Buenas prácticas
Firewalls posicionados en los límites de seguridad. Los cortafuegos son el dispositivo de seguridad principal. No es prudente confiar exclusivamente sólo en ellos. Denegar todo el tráfico por defecto. Permitir sólo los servicios que se necesitan. Asegúrese de que el acceso físico al firewall está controlado. Monitorear regularmente los registros del firewall. Recuerda que los firewalls protegen principalmente contra los ataques técnicos procedentes del exterior.

30 Ejemplo de Diseño Internet R1 R3 R2 S2 S3 S1 PC A (RADIUS/TACACS+)
F0/1 F0/0 Serial 0/0/0 Serial0/0/1 R1 R3 R2 F0/5 S2 S3 F0/6 F0/18 S1 PC A (RADIUS/TACACS+) PC C Cisco Router with IOS Firewall Cisco Router with IOS Firewall Internet

31 Control Acceso Basado en Contexto

32 Funciones CBAC

33 Funciones CBAC

34 Funciones CBAC

35 Funciones CBAC

36 Funciones CBAC

37 Funciones CBAC

38 Paso-a-Paso 1. Examina la ACL Fa0 / 0 entrante para determinar si a las solicitudes de telnet se les permite salir de la red. 2. IOS compara el tipo de paquete con las reglas de inspección para determinar si telnet debe ser monitorizado. Request Telnet 209.x.x.x Fa0/0 S0/0/0 4. Añade una entrada dinámica a la ACL de entrada en S0/0/0 para permitir el paso de los paquetes de respuesta a la red interna. 3. Agrega información al tipo de estado para realizar un seguimiento de la sesión de Telnet. 5. Una vez que se termina la sesión por el cliente, el router elimina la entrada de estado y la entrada de ACL dinámica

39 CBAC TCP Handling

40 CBAC UDP Handling

41 Paso-a-Paso

42 Paso-a-Paso

43 Configuración de CBAC Cuatro pasos para configurar CBAC Paso 1: Escoja una interfaz Paso 2: Configurar las ACL de IP en la interfaz Paso 3: Definir reglas de inspección Paso 4: Aplicar una regla de inspección a una interfaz

44 Paso 1: Escoger un interface
Two-Interface Three-Interface

45 Paso 2: Configura IP ACLs en el interface

46 Paso 3: Define reglas de Inspección
Router(config)# ip inspect name inspection_name protocol [alert {on | off}] [audit-trail {on | off}] [timeout seconds]

47 Paso 4: Aplica la regla de Inspección al interface

48 Verificación y Troubleshooting de CBAC
Alertas y Auditorías show ip inspect Parameters debug ip inspect Parameters

49 Alertas y Auditarías *Nota: Las alertas están activadas por defecto y automáticamente aparecerán en la línea de la consola del router. Si las alertas han sido desactivadas mediante el comando ip inspect alert-off, es necesario volver a activarlas con la negación de este comando. ISCW

50 show ip inspect Parameters

51 debug ip inspect Parameters

52 Ejemplo de topología Each zone holds only one interface. Si una interfaz adicional se agrega a la zona privada, los hosts conectados a la nueva interfaz en la zona privada puede pasar el tráfico a todos los hosts de la interfaz existente en la misma zona. Además, los hosts conectados a la nueva interfaz en la zona privada deben cumplir con las políticas existentes en la zona "privada" cuando pasen tráfico a otras zonas.

53 Beneficios Two Zones Firewalls basados en Zonas no depende de las ACL
La regla de seguridad del router es ahora "bloquear a menos que explícitamente sea permitido" C3PL (Cisco Common Classification Policy Language) hace que las políticas sean de fácil lectura y solución de problemas Una política afecta a todo el tráfico dado, en lugar de necesitar múltiples ACLs y acciones de inspección.

54 El proceso del diseño La Infraestructura de red en estudio se divide en zonas bien documentadas por separado con distintos niveles de seguridad Para cada par de zonas de origen-destino, las sesiones que los clientes, en las zonas de origen pueden abrir contra los servidores en las zonas de destino, están definidas. Para el tráfico que no está basada en el concepto de sesiones (por ejemplo, IPsec Encapsulating Security Payload [ESP]), el administrador debe definir flujos unidireccionales de tráfico desde el origen al destino y viceversa. El administrador debe diseñar la infraestructura física. Para cada dispositivo firewall en el diseño,el administrador debe identificar subconjuntos de zonas conectados a sus interfaces y combinar los requisitos de tráfico para esas zonas, resultando una política interzona específica del dispositivo.

55 Diseños más comunes Public Servers LAN-to-Internet Redundant Firewalls
Complex Firewall

56 Firewall complejo simplificando zonas

57 Acciones Inspect - Esta acción configura Cisco IOS inspección de estado de paquetes Drop – Esta acción es análoga a negar en una ACL Pass – Esta acción es análoga a permitir en una ACL

58 Reglas para aplicar al tráfico
Source interface member of zone? Destination interface member of zone? Zone-pair exists? Policy exists? RESULT NO N/A No impact of zoning/policy YES (zone 1) N/A* No policy lookup (PASS) YES DROP YES (zone 2) policy actions The source policy application and default policy for traffic is applied according to the above rules. *zone-pair must have different zone as source and destination

59 Reglas para enrutar tráfico
Source interface member of zone? Destination interface member of zone? Zone-pair exists? Policy exists? RESULT ROUTER YES NO - PASS policy actions

60 Implementando Zone-based Policy Firewall con CLI
1. Crea zonas para el firewall con el comando zone security. 2. Define las clases de tráfico con el comando class-map type inspect. 3. Especifica políticas del firewall con el comando policy-map type inspect 4. Aplica políticas al firewall, pares de zonas fuente-destino con el comando zone-pair security 5. Asigna los interfaces del router a zonas usando el interface de comando zone-member security

61 Paso 1: Crea las Zonas FW(config)# zone security Inside
FW(config-sec-zone)# description Inside network FW(config)# zone security Outside FW(config-sec-zone)# description Outside network

62 Paso 2: Define Clases de tráfico
FW(config)# class-map type inspect FOREXAMPLE FW(config-cmap)# match access-group 101 FW(config-cmap)# match protocol tcp FW(config-cmap)# match protocol udp FW(config-cmap)# match protocol icmp FW(config-cmap)# exit FW(config)# access-list 101 permit ip any

63 Step 3: Define Polícicas en el Firewall
FW(config)# policy-map type inspect InsideToOutside FW(config-pmap)# class type inspect FOREXAMPLE FW(config-pmap-c)# inspect

64 Paso 4: Asigna mapas de políticas a pares de zonas y asigna los interfaces del router a las zonas
FW(config)# zone-pair security InsideToOutside source Inside destination Outside FW(config-sec-zone-pair)# description Internet Access FW(config-sec-zone-pair)# service-policy type inspect InsideToOutside FW(config-sec-zone-pair)# interface F0/0 FW(config-if)# zone-member security Inside FW(config-if)# interface S0/0/0.100 point-to-point FW(config-if)# zone-member security Outside

65 Configuración Final ZPF
policy-map type inspect InsideToOutside class class-default inspect ! zone security Inside description Inside network zone security Outside description Outside network zone-pair security InsideToOutside source Inside destination Outside service-policy type inspect InsideToOutside interface FastEthernet0/0 zone-member security Inside interface Serial0/0/0.100 point-to-point zone-member security Outside

66 Zone-based Policy Firewall con SDM
Paso 1: Definir zonas Paso 2: Configurar mapas de clase para describir el tráfico entre zonas Paso 3: Crear mapas de políticas públicas para aplicar acciones para el tráfico de los mapas de clase Paso 4: Definir los pares de zona y asignar mapas de políticas públicas para los pares de zona

67 Define Zonas 1. Choose Configure > Additional Tasks > Zones
2. Click Add 3. Enter a zone name 4. Choose the interfaces for this zone 5. Click OK to create the zone and click OK at the Commands Delivery Status window

68 Configura mapas de clases
1. Choose Configure > Additional Tasks > C3PL > Class Map > Inspections 2. Review, create, and edit class maps. To edit a class map, choose the class map from the list and click Edit

69 Crea Mapas de políticas
1. Choose Configure > Additional Tasks > C3PL > Policy Map > Protocol Inspection 2. Click Add 3. Enter a policy name and description 4. Click Add to add a new class map 6. Choose Pass, Drop, or Inspect 5. Enter the name of the class map to apply. Click the down arrow for a pop-up menu, if name unknown 7. Click OK 8. To add another class map, click Add, to modify/delete the actions of a class map, choose the class map and click Edit/Delete 9. Click OK. At the Command Delivery Status window, click OK

70 Define Pares de zonas 1. Choose Configure > Additional Tasks > Zone Pairs 2. Click Add 3. Enter a name for the zone pair. Choose a source zone, a destination zone and a policy 4. Click OK and click OK in the Command Delivery Status window

71 Configuración Basic Firewall
1. Choose Configuration > Firewall and ACL 2. Click the Basic Firewall option and click Launch the Selected Task button 3. Click Next to begin configuration

72 Configurando el Firewall
1. Check the outside (untrusted) check box and the inside (trusted) check box to identify each interface 2. (Optional) Check box if the intent is to allow users outside of the firewall to be able to access the router using SDM. After clicking Next, a screen displays that allows the admin to specify a host IP address or network address 3. Click Next. If the Allow Secure SDM Access check box is checked, the Configuring Firewall for Remote Access window appears 4. From the Configuring Firewall choose Network address, Host Ip address or any from the Type drop-down list

73 Basic Firewall Security
2. Click the Preview Commands Button to view the IOS commands 1. Select the security level

74 Firewall: Resumen de configuración
Click Finish

75 Revisando Politicas 1. Choose Configure > Firewall and ACL
2. Click Edit Firewall Policy tab

76 CLI :Salida generada List of services defined in the firewall policy
class-map type inspect match-any iinsprotocols match protocol http match protocol smtp match protocol ftp ! policy-map type inspect iinspolicy class type inspect iinsprotocols inspect ! zone security private zone security internet interface fastethernet 0/0 zone-member security private interface serial 0/0/0 zone-member security internet zone-pair security priv-to-internet source private destination internet service-policy type inspect iinspolicy Apply action (inspect = stateful inspection) Zones created Interfaces assigned to zones Inspection applied from private to public zones

77 Firewall :Información de estado
1. Choose Monitor > Firewall Status 2. Choose one of the following options: Real-time data every 10 sec 60 minutes of data polled every 1 minute 12 hours of data polled every 12 minutes

78 Muestra Conexión activa
Router# show policy-map type inspect zone-pair session Shows zone-based policy firewall session statistics

Descargar ppt "Implementando Firewall Technologies"

Presentaciones similares

CAPA DE TRANSPORTE MODELO OSI

CAPA DE TRANSPORTE MODELO OSI
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Configuración básica de un router CISCO

Configuración básica de un router CISCO
Firewalls COMP 417.

Firewalls COMP 417.
Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
DIRECT ACCESS.

DIRECT ACCESS.
Listas de Acceso Módulo 11.

Listas de Acceso Módulo 11.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.

Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Tema 4 – Cortafuegos Punto 1 – Cortafuegos Juan Luis Cano.

Tema 4 – Cortafuegos Punto 1 – Cortafuegos Juan Luis Cano.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11

LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
FIREWALL.

FIREWALL.
ELEMENTOS DE UNA RED ( Parte I)

ELEMENTOS DE UNA RED ( Parte I)
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security

Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.

1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software
FIREWALLS.

FIREWALLS.

Presentaciones similares

Anuncios Google