01 firewalls

Seguridad Perimetral en redes de área local

Ing. Enrique Javier Santiago ChinchillaPh.D(c) Ingeniería en Telecomunicaciones (Uvigo – España).

Master Ingeniería Telemática (Uvigo – España).Esp. Redes de Computadoras.

Esp. Sistemas de Telecomunicaciones.Certified Ethical Hacker – Eccouncil.

2

Firewalls

Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet

Los perímetros de redincluyen conexiones a:

Socio comercial

LAN

Oficina principal

LAN

Sucursal

LAN

Redinalámbrica

Usuario remoto

Internet

3

Equipos de Filtrado (Firewalls)

• Clasificación según la arquitectura:– Screening Router– Dual-Homed Gateway Firewall (Bastión)– Screend Host Firewall (Bastión + router)– Screened Subnet Firewall (DMZ)

4

Screening router

5

Dual-Homed Gateway Firewall

6

Screened Host Firewall

7

Screened Subnet Firewall

8


• Clasificación según la Tecnologia:

– Packet Filtering Firewall (L3,L4)– Application Level gateway (L5)– Statefull Inspection Firewall (L3,L4,L5)

9

Packet Filtering Firewalls

10

Application Level gateway

11

Statefull Inspection Firewall

Internet

12

Reglas de Firewall (host-iptables)iptables -P INPUT DROPiptables -P OUTPUT DROP iptables -P FORWARD DROP#------------------ acepte paquetes icmp ----------iptables -A INPUT -s 192.168.1.129 -p icmp -j ACCEPT# --------------- acepte solicitudes dns-------------------------iptables -A INPUT -p tcp --syn -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED -j ACCEPTiptables -A INPUT -p udp --sport 53 --dport 53 -j ACCEPTiptables -A INPUT -j LOG --log-prefix "trafico Aceptado" #------------------filtrado de los puertos de servicios broadcast de windows---#----si no se tubiese la politica de deny all al inicio del scriptiptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 135 --syn -j DROP iptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 137 --syn -j DROPiptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 139 --syn -j DROPiptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 443 --syn -j DROP

13


14


15


16


17


18

Sistemas de Filtrado( proxy)

• Generalmente son productos de software• Se instalan sobre hosts• Hacen proxy por servicio (no global).• Son capaces de hacer “Full Inspection” • Se basan en listas de control de acceso• Junto con otros productos, permiten

generar bitácoras del comportamiento del trafico que gestionan

19

Reglas Proxy (squid)acl pc1 src 192.168.1.89/255.255.255.255acl pc2 src 192.168.1.89/255.255.255.255http_access deny pc1http_access allow pc2

acl uac dst www.uac.edu.coacl uac dst web.uautonoma.edu.coacl pc3 src 192.168.1.20/255.255.255.255http_access allow pc3 uac

20

Equipos de Filtrado (Proxy)

21

¿Preguntas ?

01 firewalls

Documents