01 firewalls

Seguridad Perimetral en redes de área local

Ing. Enrique Javier Santiago ChinchillaPh.D(c) Ingeniería en Telecomunicaciones (Uvigo – España).

Master Ingeniería Telemática (Uvigo – España).Esp. Redes de Computadoras.

Esp. Sistemas de Telecomunicaciones.Certified Ethical Hacker – Eccouncil.

2

Firewalls

Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet

Los perímetros de redincluyen conexiones a:

Socio comercial

LAN

Oficina principal

LAN

Sucursal

LAN

Redinalámbrica

Usuario remoto

Internet

3

Equipos de Filtrado (Firewalls)

• Clasificación según la arquitectura:– Screening Router– Dual-Homed Gateway Firewall (Bastión)– Screend Host Firewall (Bastión + router)– Screened Subnet Firewall (DMZ)

4

Screening router

5

Dual-Homed Gateway Firewall

6

Screened Host Firewall

7

Screened Subnet Firewall

8

Equipos de Filtrado (Firewalls)

• Clasificación según la Tecnologia:

– Packet Filtering Firewall (L3,L4)– Application Level gateway (L5)– Statefull Inspection Firewall (L3,L4,L5)

9

Packet Filtering Firewalls

10

Application Level gateway

11

Statefull Inspection Firewall

Internet

12

Reglas de Firewall (host-iptables)iptables -P INPUT DROPiptables -P OUTPUT DROP iptables -P FORWARD DROP#------------------ acepte paquetes icmp ----------iptables -A INPUT -s 192.168.1.129 -p icmp -j ACCEPT# --------------- acepte solicitudes dns-------------------------iptables -A INPUT -p tcp --syn -j ACCEPTiptables -A INPUT -m state --state ESTABLISHED -j ACCEPTiptables -A INPUT -p udp --sport 53 --dport 53 -j ACCEPTiptables -A INPUT -j LOG --log-prefix "trafico Aceptado" #------------------filtrado de los puertos de servicios broadcast de windows---#----si no se tubiese la politica de deny all al inicio del scriptiptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 135 --syn -j DROP iptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 137 --syn -j DROPiptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 139 --syn -j DROPiptables -t filter -A INPUT -s 0.0.0.0 -i eth0 -p tcp --dport 443 --syn -j DROP

13

Equipos de Filtrado (Firewalls)

14

Equipos de Filtrado (Firewalls)

15

Equipos de Filtrado (Firewalls)

16

Equipos de Filtrado (Firewalls)

17

Equipos de Filtrado (Firewalls)

18

Sistemas de Filtrado( proxy)

• Generalmente son productos de software• Se instalan sobre hosts• Hacen proxy por servicio (no global).• Son capaces de hacer “Full Inspection” • Se basan en listas de control de acceso• Junto con otros productos, permiten

generar bitácoras del comportamiento del trafico que gestionan

19

Reglas Proxy (squid)acl pc1 src 192.168.1.89/255.255.255.255acl pc2 src 192.168.1.89/255.255.255.255http_access deny pc1http_access allow pc2

acl uac dst www.uac.edu.coacl uac dst web.uautonoma.edu.coacl pc3 src 192.168.1.20/255.255.255.255http_access allow pc3 uac

20

Equipos de Filtrado (Proxy)

21

¿Preguntas ?