Firewall
-
Upload
lovo-quintanilla -
Category
Documents
-
view
213 -
download
0
description
Transcript of Firewall
Luis Napoleon Regalado
Firewalls
CCNA Wireless
09/09/2015
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
• Netgear
• Raptor Systems
• Ruckus Wireless
• SonicWall
• StarTech.com
• TRENDnet
• WatchGuard
• ZyXEL
Todas las Marcas de Firewall y Dispositivos de Seguridad• Anthro Corporation
• Barracuda Networks
• Cables To Go
• Cisco
• D-Link
• Dell
• Digium
• Fortinet
• Juniper
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
ASPECTOS PROBLEMATICOS DE LA SEGURIDAD
• Los virus y su constante desarrollo
• Los troyanos
En general no detectados por antivirus
• Las vulnerabilidades
De los sistemas operativos
• Los spammers
• Todas sus combinaciones
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
FIREWALL• Definición
Conjunto de hardware y/o software montados sobre un sistema (o sobre varios) que controla el trafico entre dos redes aplicando una serie de reglas especificas.
“sistema o grupo de sistemas que establece una política de control de acceso entre dos redes ".
Similar a un router al que se le añade seguridad.
La política de seguridad tiene en cuenta paquetes conexiones y/o aplicaciones, que vienen de fuera (lo más habitual) y que van de dentro hacía afuera.
Sin política de seguridad, firewall = router.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
OBJETIVOS BASICOS DE UN FIREWALL • Bloquea los datos entrantes que pueden contener un ataque
• Oculta la información acerca de la red, haciendo que todo parezca como tráfico de salida del firewall y no de la red.
Esto también se conoce como NAT (Network Address Translation)
• • Filtra el tráfico de salidaCon el fin de restringir el uso de Internet y el acceso a localidades remotas
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
CLASIFICACION DE FIREWALLS
• De filtración de paquetes,
• Servidores proxy a nivel de aplicación
• De inspección de paquetes (SPI, Stateful Packet Inspection).
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 7
Filtración de Paquetes• Utiliza reglas para negar el acceso, según la información
contenida en el paquete y en la lista de las direcciones confiables
• Problemas:Propenso al “spoofing” de IP
Truco en el cual los datos parecen provenir de una fuente confiable o incluso de una dirección de su propia red
Son muy difíciles de configurar.
Cualquier error en su configuración, puede dejarlo vulnerable a los ataques
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
Aplication Level• Filtran tráfico a nivel de aplicación
• Debe existir para cada protocolo y servicio que se desea filtrar (FTP, HTTP, SMTP, etc.).
• No utilizan reglas de control de acceso
• Aplican restricciones para garantizar la integridad de la conexión (filtran comandos)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Firewall de SPI• Ultima generación en la tecnología de firewall
• Tecnología más avanzada y segura examina todos los componentes de un paquete IP para decidir si acepta o rechaza la comunicación
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
Firewall de SPI• Mantiene un registro de todas las solicitudes de información que
se originan de la red
• Luego, inspecciona toda comunicación entrante para verificar si realmente fue solicitada y rechaza cualquiera que no lo haya sido
• Luego, proceden al siguiente nivel de inspección y el software determina el estado de cada paquete de datos.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
Firewalls con zona desmilitarizada (DMZ)
• Solución efectiva para empresas que ofrecen a sus clientes la posibilidad de conectarse a su red a partir de cualquier medio externo
• Los usuarios externos pueden ingresar al área protegida, pero no pueden acceder al resto de la red
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
hardware vs. software
Firewall integrado con
Hardware (“Appliance”)
Firewall basado en software
Tiempo deInstalación
Estos dispositivos están listospara conectarse y configurarse tanpronto como salen de la caja.
Requiere un tiempo variable: senecesita instalar el sistema operativo, configurarlo, instalar “drivers” de dispositivos de hardware y finalmente instalar el software de firewall antes de iniciarla configuración
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
hardware vs. software
Escalabilidad
Las opciones de crecimientode hardware son limitadas y sueleser necesario cambiar todo eldispositivo.
La integración a nivel aplicaciónpermite seleccionar y modificar labase de hardware con mayorflexibilidad. Esto permite cambiar elhardware fácilmente cuando seanecesario.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
hardware vs. software
Estabilidad
Estos dispositivos incluyenhardware y un sistema operativoextensivamente probado yadecuado por el fabricante paragarantizar un correcto desempeño ycompatibilidad
Es necesario configurarmanualmente dispositivos y sistemaoperativo para garantizar undesempeño adecuado.Se requiere efectuar también de unreforzamiento de la seguridad anivel sistema operativo.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
hardware vs. software
Flexibilidad enconfiguraciónde hardware y S.P.
Las opciones de configuraciónen hardware y sistema operativosubyacente están limitadas por elfabricante para garantizar estabilidad
Existe mayor libertad paramodificar la configuración dehardware y sistema operativo encaso necesario.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
Software• Tienen cambios constantes en su infraestructura tecnológica y de
red
• Poseen personal dedicado para la administración y operación de los dispositivos y están altamente capacitados
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
Hardware• Carecen de personal dedicado (y especializado) para la
administración, instalación y configuración del firewall
• Carecen de personal especialista en sistemas operativos
• Tienen pocos cambios (o cambios graduales) en su infraestructura tecnológica y de red
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
TOPOLOGIAS
Firewall entre internet y una red local
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
TOPOLOGIAS• Según las necesidades de cada red :
Uno o más firewalls para establecer distintos perímetros de seguridad
DMZ o zona desmilitarizada
Necesidad de exponer algún servidor a internet
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
TOPOLOGIA - DMZ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
TOPOLOGIA• Cuando se usa un firewall con tres interfaces, se crea un mínimo
de tres redes. Las tres redes que crea el firewall se describen de este modo:
Interior
Exterior
DMZ (Zona desmilitarizada)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
INTERIOR• Área de confianza de la internetwork
• Los dispositivos internos forman la red privada de la organización Comparten directivas de seguridad comunes con respecto a la red exterior (Internet).
Se mantienen en entornos de confianza entre ellos
Si un departamento, como Recursos Humanos, tiene que ser protegido del resto de usuarios de confianza, se puede utilizar un firewall.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23
EXTERIOR• Área de no confianza de la internetwork
• Los dispositivos del interior y de la DMZ se protegen de los dispositivos del exterior
• las empresas suelen permitir el acceso a la DMZ desde el exterior
Para ofrecer servicios web por ejemplo
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
DMZ (Zona desmilitarizada) • Red aislada
• Pueden acceder los usuarios del exterior
• Posibilita que una empresa ponga la información y los servicios a disposición de los usuarios del exterior dentro de un entorno seguro y controlado
• Hosts bastión : hosts o servidores que residen en la DMZ
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25
Host Bastion• Está actualizado con respecto a su sistema operativo
Menos vulnerable a los ataques
• Ejecuta los servicios necesarios para realizar sus tareas de aplicación
• Los servicios innecesarios (y a veces más vulnerables) son desactivados o eliminados.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26
TOPOLOGIA – HOST BASTION
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
QUE FIREWALL ELEGIR?• Asegurar de que se trata de una solución segura y de que ha
sido certificada por una organización confiable
• Depende de las necesidades de seguridad de la organización
• Definir las políticas de firewall:Requiere un análisis de las necesidades, inclusive la evaluación de riesgos, para
Luego determinar los requisitos
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
Conclusion • MAS IMPORTANTE QUE LA ELECCION DEL FIREWALL ES
TOMAR LAS MEDIDAS DE SEGURIDAD CORRECTAS Y EDUCAR A LAS PERSONAS A IDENTIFICAR Y NO CREAR RIESGOS