Reporte 4 de Ivan

UNIVERSIDAD TECNOLGICA DE HUEJOTZINGO
Unidad 4: Firewall
INTEGRANTES: Jos ngel Martnez Salas Marisol Vianney Jurez Sandoval Fernando Ramrez Prez Gregorio Snchez Diego
Grupo: 10 A Equipo 5
2013
- Unidad 4: Firewall
Unidad 4: Firewall
NDICE DE GENERAL
INTRODUCCIN .............................................................................................................................................................5 MEDIDAS DE SEGURIDAD PREVENTIVAS Y CORRECTIVAS APLICABLES A UN FIREWALL .................................................6 PUERTOS ............................................................................................................................................................................. 6 NMEROS DE PUERTOS........................................................................................................................................................... 7 MEDIDAS PREVENTIVAS Y CORRECTIVAS DE SEGURIDAD E IDENTIFICACIN DE PUERTOS TCP/UDP .............................9 ACTIVIDADES PREVIAS A LA REALIZACIN DE UN ATAQUE ............................................................................................................. 12 ZONA DESMILITARIZADA (DMZ) .................................................................................................................................. 21 TCNICAS DE IMPLEMENTACIN DE FIREWALL............................................................................................................ 22 TIPOS DE FIREWALL.............................................................................................................................................................. 22 SISTEMA DE FILTRADO DE TRAFICO ......................................................................................................................................... 23 FIREWALL A NIVEL CIRCUITO (CIRCUIT LEVEL FIREWALLS) ............................................................................................................. 24 FIREWALL A NIVEL APLICACIN (APPLICATION LAYER FIREWALLS): ................................................................................................. 24 FILTROS DINMICOS A NIVEL PAQUETE (DYNAMIC PACKET FILTERS): .............................................................................................. 24 FIREWALL / CORTAFUEGOS ......................................................................................................................................... 25 ROUTERS Y BRIDGES............................................................................................................................................................. 26 1. Proxy-Gateways de Aplicaciones ....................................................................................................................... 26 2. Dual-Homed Host .............................................................................................................................................. 27 3. Screened Host .................................................................................................................................................... 27 4. Screened Subnet ................................................................................................................................................ 28 POLTICAS DE DISEO DE FIREWALLS ....................................................................................................................................... 28 RESTRICCIONES EN EL FIREWALL ............................................................................................................................................. 29 BENEFICIOS DE UN FIREWALL ................................................................................................................................................. 29 LIMITACIONES DE UN FIREWALL .............................................................................................................................................. 30 LOS FIREWALLS DE NIVEL DE APLICACIN .................................................................................................................................. 30 FIREWALLS ................................................................................................................................................................... 31 Firewalls a nivel de circuito. ...................................................................................................................................... 31 ACL (LISTAS DE CONTROL DE ACCESO) ..................................................................................................................................... 32 Beneficios de las Listas de Acceso IP ......................................................................................................................... 33 Trfico no deseado o usuarios del bloque .................................................................................................................. 33 Reduzca la ocasin de los ataques DOS .................................................................................................................... 34 Controle el acceso a las lneas de terminal virtual ................................................................................................... 34 Restrinja el contenido de las actualizaciones de ruteo ............................................................................................. 34 Proporcione el Control del ancho de banda .............................................................................................................. 34 Identifique o clasifique el trfico para las caractersticas de QoS ............................................................................ 34
Llamadas del Marcado a pedido del activador (DDR) ............................................................................................... 34 Resultado del comando de debug del lmite .............................................................................................................. 34 Proporcione el control NAT ........................................................................................................................................ 34 Autentique las peticiones entrantes del RSH y RCP .................................................................................................... 34 Los Routers de Borde y los Routers de Firewall Deben Usar Listas de Acceso ............................................................ 35 Definicin de una Lista de Acceso .............................................................................................................................. 35 Procesamiento del Software de una Lista de Acceso ................................................................................................. 36 Reglas de la Lista de Acceso ....................................................................................................................................... 36 Listas de Acceso con Nombre o Numeradas............................................................................................................... 37 Listas de Acceso Estndar o Ampliadas...................................................................................................................... 37 Campos de Paquetes IP que se Pueden Filtrar para Controlar el Acceso ................................................................... 38 Nmeros de Secuencia de la Lista de Acceso ............................................................................................................. 39 Registro de Listas de Acceso....................................................................................................................................... 39 Listas de Acceso Basadas en Tiempo y Basadas en Tiempo DIstribuido .................................................................... 39 Tipos de Listas de Acceso IP ....................................................................................................................................... 40 Dnde se Aplica una Lista de Acceso .......................................................................................................................... 40 CONCLUSIN ............................................................................................................................................................... 43 BIBLIOGRAFA .............................................................................................................................................................. 44
NDICE DE ILUSTRACIONES
ILUSTRACIN 1. TABLA DE NMERO DE PUERTOS ............................................................................................................................. 7 ILUSTRACIN 2. ESQUEMA DE FIREWALL CON DMZ.......................................................................................................................... 8 ILUSTRACIN 3. ESQUEMA DE RED CON DOBLE FIREWALL ................................................................................................................... 8 ILUSTRACIN 4. MODELO TCP/IP ................................................................................................................................................ 9 ILUSTRACIN 5. CAPAS DE RED................................................................................................................................................... 10 ILUSTRACIN 6. PROTOCOLOS Y CAPAS DE INTERNET ....................................................................................................................... 10 ILUSTRACIN 7. UTILIZACIN DE TRACEROUTE ............................................................................................................................... 13 ILUSTRACIN 8. OBTENCIN DE INFORMACIN POR TRACEROUTE ..................................................................................................... 13 ILUSTRACIN 9. OBTENCIN DE INFORMACIN DEL SERVIDOR .......................................................................................................... 14 ILUSTRACIN 10. INFORMACIN COMPLETA OBTENIDA ................................................................................................................... 15 ILUSTRACIN 11. EXPLORACIN DE PUERTOS A TRAVS DE NMAP. .................................................................................................... 19 ILUSTRACIN 12. ESQUEMA DE DMZ. ......................................................................................................................................... 21 ILUSTRACIN 13. INTERPRETACIN DE UN FIREWALL ...................................................................................................................... 25 ILUSTRACIN 14. FIREWALL DE APLICACIN. ................................................................................................................................. 26 ILUSTRACIN 15. UTILIZACIN DEL DUAL-HOMED HOST ................................................................................................................. 27 ILUSTRACIN 16. UTILIZACIN DE SCREENED HOST ........................................................................................................................ 27 ILUSTRACIN 17. UTILIZACIN DEL SCREENED SUBNET ................................................................................................................... 28 ILUSTRACIN 18. UTILIZACIN DEL BRANCHOFFICES ....................................................................................................................... 35
INTRODUCCIN
El presente reporte hace referencia a la funcionalidad del firewall, de una manera precisa y detallada describir el funcionamiento que tiene el firewall. Un Firewall es un sistema diseado para prevenir accesos no autorizados hacia o desde una red privada. Provee un punto de defensa entre dos redes, Usualmente, un Firewall protege la red privada de una empresa de las redes pblicas o compartidas a las que se conecta. Un Firewall puede ser tan simple como un router que filtra paquetes o tan complejo como varias computadoras o varios router que combinan el filtrado de paquetes con servicios Proxy a nivel aplicacin. Tambin se mencionaran las tcnicas implementada en un firewall (filtros a nivel paquete, firewall a nivel circuito, firewall a nivel de aplicacin, filtros dinmicos o nivel de paquete), Medidas preventivas y correctivas para la aplicacin de firewall, Firewall a nivel circuito, Medidas preventivas y correctivas de seguridad e identificacin de puertos TCP/UDP etc. Se visualizara la importancia que existe al aplicar los firewalls. El Firewall proporciona un gran nivel de seguridad y ofrece proteccin de muchos posibles ataques, pero tiene algunos inconvenientes importantes. Por ejemplo, si se usa un programa que deba comunicarse con Internet, ste necesitar que los puertos de comunicacin estn abiertos. Normalmente el Firewall detecta que el programa quiere comunicarse a travs de un determinado puerto y pregunta al administrador si desea permitirlo. Recae por lo tanto en el usuario la responsabilidad de decidir si el programa es de confianza. Otro punto a mencionar es proxy, de manera especfica es una aplicacin o un dispositivo hardware que hace de intermediario entre los usuarios, normalmente de una red local, e Internet. Lo que hace realmente un Proxy es recibir peticiones de usuarios y redirigirlas a Internet. La ventaja que presenta es que con una nica conexin a Internet podemos conectar varios usuarios.
Medidas de seguridad preventivas y correctivas aplicables a un firewall
Generalmente, los firewalls son configurados para proteger contra accesos desde el mundo exterior. Esto ayuda a prevenir a los accesos no autorizados a mquinas de tu red. Firewalls ms sofisticados bloquean trfico del exterior al interior, pero se permite a los usuarios del interior comunicarse con el exterior de una forma ms flexible. Existen tres decisiones bsicas en el diseo o la configuracin de un firewall. La primera de ellas, la ms importante, hace referencia a la poltica de seguridad de la organizacin propietaria del firewall: evidentemente, la configuracin y el nivel de seguridad potencial ser distinto en una empresa que utilice un firewall para bloquear todo el trfico externo hacia el dominio de su propiedad (excepto, quizs, las consultas a su pgina web) frente a otra donde slo se intente evitar que los usuarios internos pierdan el tiempo en la red, bloqueando por ejemplo todos los servicios de salida al exterior excepto el correo electrnico. Sobre esta decisin influyen, aparte de motivos de seguridad, motivos administrativos de cada organismo. 2. La segunda decisin de diseo a tener en cuenta es el nivel de monitorizacin, redundancia y control deseado en la organizacin; una vez definida la poltica a seguir, hay que definir cmo implementarla en el firewall indicando bsicamente qu se va a permitir y qu se va a denegar. Para esto existen dos aproximaciones generales: o bien se adopta una postura restrictiva (denegamos todo lo que explcitamente no se permita) o bien una permisiva (permitimos todo excepto lo explcitamente negado); evidentemente es la primera la ms recomendable de cara a la seguridad, pero no siempre es aplicable debido a factores no tcnicos sino humanos (esto es, los usuarios y sus protestas por no poder ejecutar tal o cual aplicacin a travs del firewall). 3. La tercera decisin a la hora de instalar un firewall es meramente econmica: en funcin del valor estimado de lo que deseemos proteger, debemos gastar ms o menos dinero, o no gastar nada. Un firewall puede no entraar gastos extras para la organizacin, o suponer un desembolso de varios de miles de pesos: seguramente un departamento o laboratorio con pocos equipos en su interior puede utilizar un PC con Linux, Solaris o FreeBSD a modo de firewall, sin gastarse nada en l (excepto unas horas de trabajo y unas tazas de caf), pero esta aproximacin evidentemente no funciona cuando el sistema a proteger es una red de tamao considerable; en este caso se pueden utilizar sistemas propietarios, que suelen ser caros, o aprovechar los routers de salida de la red, algo ms barato pero que requiere ms tiempo de configuracin que los cortafuegos sobre Unix en PC de los que hemos hablado antes. De cualquier forma, no es recomendable a la hora de evaluar el dinero a invertir en el firewall fijarse slo en el costo de su instalacin y puesta a punto, sino tambin en el de su mantenimiento.
1.
Puertos
Muchas veces queremos acceder a un servidor para obtener uno de sus servicios y solamente uno de ellos y no los dems. Para ello, todos los servicios se organizan o mapean en toda computadora de una forma y en esta forma de organizar los servicios entran en juego los puertos. Pensemos en una mquina expendedora de por ejemplo, imaginemos que dicha mquina cuando pulsamos el 25 nos sirve un Jack Daniel's con Cola y en el 110 nos sirve un Vodka con lima. Suponemos que yo quiero el servicio que me da el nmero (puerto) 25 y no el del 110, entonces lo que hacemos es meter el dinero en la
mquina (nos conectamos a ella) y le decimos que queremos lo que hay en el estante con el nmero 25 (nos conectamos al puerto 25). Pues esto mismo pasa con los servicios de un servidor. Cuando hacemos un request a google.com para buscar algo, estamos pidindole a la direccin IP de google (sea cual sea) en el puerto 80 (el estndar del WWW) que nos busque fotos del volcn Popocatpetl (por citar un ejemplo). Es decir es como si en la expendedora pulsamos el 80 para obtener un licor de mora. Lo que pasa es que nuestro navegador nos hace transparente esa peticin al puerto, porque por defecto l sabe que todo lo que escribamos en la barra de direcciones se refiere a servicios web que se hospedan en los puertos 80 de gran parte de los servidores del mundo y es por ello que si yo tecleo http:/ /www.google.com me lleva a la pgina de google y si tecleo http://www.google.com:80 tambin, lo que pasa es que sera una redundancia.
Nmeros de puertos
Los nmeros de puertos son divididos en 3 rangos: Puertos bien conocidos (0 al 1023) Puertos registrados (1024 al 49151) Puertos dinmicos o privados (49152 al 65535)
Puerto FTP SSH Telnet SMTP DNS HTTP POP Samba IMAP HTTPS
Nmero 20, 21 22 23 25 53 80 110 139 143 443
Descripcin Transferencia de archivos Conexin remota Conexin remota Transferencia de correo Servidor de nombres de dominio Web Protocolo de oficina de correo Protocolo de archivos compartidos Protocolo de acceso de mensajes de internet Web seguro
Ilustracin 1. Tabla de nmero de puertos
Dependiendo de las necesidades de cada red, puede ponerse uno o ms firewalls para establecer distintos permetros de seguridad en torno a un sistema. Es frecuente tambin que se necesite exponer algn servidor a internet (como es el caso de un servidor web, un servidor de correo, etc.), y en esos casos obviamente en principio se debe aceptar cualquier conexin a ellos. Lo que se recomienda en esa situacin es situar ese servidor en lugar aparte de la red, el que denominamos DMZ o zona desmilitarizada. El firewall tiene entonces tres entradas:
Ilustracin 2. Esquema de firewall con DMZ
En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso a l, la red local sigue protegida por el firewall. Esta estructura de DMZ puede hacerse tambin con un doble firewall (aunque como se ve se puede usar un nico dispositivo con al menos tres interfaces de red).
Ilustracin 3. Esquema de red con doble firewall
Medidas preventivas de un firewall a) Detecta atacantes del sistema conforme estos tratan de obtener informacin en base a cualquier esquema. b) Restringir el acceso a un punto cuidadosamente controlado, digamos que es capaz de impedir trfico no deseado desde el exterior. c) Restringe a las personas para que salgan en un punto cuidadosamente controlado. Medidas correctivas de un firewall a) Un firewall es instalado en el punto donde se halla la conexin a internet. Ah la red puede sufrir serios daos y atacante constantes. Es un esquema general es recomendable colocar una intranet.
(Orea, 2010)
Medidas preventivas y correctivas de seguridad e identificacin de puertos TCP/UDP

Durante la dcada de los 60, dentro del marco de la guerra fra, la Agencia de Proyectos de Investigacin Avanzada del Departamento de Defensa de los Estados Unidos (DARPA) se plante la posibilidad de que un ataque afectara a su red de comunicaciones y financio equipos de investigacin en distintas universidades con el objetivo de desarrollar una red de ordenadores con una administracin totalmente distribuida. Como resultado de la aplicacin de sus estudios en redes de conmutacin de paquetes, se cre la denominada red ARPANET, de carcter experimental y altamente tolerable a fallos. Ms adelante, a mediados de los 70, la agencia empez a investigar en la interconexin de distintas redes, y en 1974 estableci las bases de desarrollo de la familia de protocolos que se utilizan en las redes que conocemos hoy en da como redes TCP/IP.
Ilustracin 4. Modelo TCP/IP
La familia de protocolos TCP/IP se divide en las cuatro capas siguientes: Capa de red. Normalmente est formada por una red LAN* o WAN** (de conexin punto a punto) homognea. Todos los equipos conectados a internet implementan esta capa. Todo lo que se encuentra por debajo de la IP es la capa de red fsica o, simplemente, capa de red. Capa de internet (o capa de internetworking). Da unidad a todos los miembros de la red y, por lo tanto, es la capa que permite que todos se puedan interconectar, independientes de si se conectan mediante lnea telefnica o mediante una red local Ethernet. La direccin y el encaminamiento son sus principales funciones. Todos los equipos conectados a internet implementan esta capa. Capa de transporte. Da fiabilidad a la red. El control de flujo y de errores se lleva a cabo principalmente dentro esta capa, que solo es implementada por equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento* (encaminado- res) no la necesitan. Capa de aplicacin. Engloba todo lo que hay por encima de la capa de transporte. Es la capa en la que encontramos las aplicaciones que utilizan internet: clientes y servidores de web, correo electrnico, FTP, etc. Solo es implementada por los equipos usuarios de internet o por terminales de internet. Los dispositivos de encaminamiento no la utilizan.
Solo los equipos terminales implementan todas las capas. Los equipos intermedios o nicamente implementan el nivel de red y el nivel IP:
Ilustracin 5. Capas de Red
En cada una de las capas expuestas encontramos protocolos distintos. La situacin relativa de cada protocolo en las diferentes capas se muestra en la siguiente figura:
Ilustracin 6. Protocolos y capas de internet
Como ya se ha adelantado, en cada capa del modelo TCP/IP pueden existir distintas vulnerabilidades y un atacante puede explotar los protocolos asociados a cada una de ellas. Cada da se descubren nuevas deficiencias, la mayora de las cuales se hacen pblicas por organismos internacionales, tratando de documentar, si es posible, la forma de solucionar y contrarrestar los problemas.
10
A continuacin presentamos algunas de las vulnerabilidades ms comunes de las distintas capas que veremos con ms detalle a lo largo de este mdulo: Vulnerabilidades de la capa de red. Ataques fsicos en esta estrechamente relacionados a los medios sobre el que realiza la conexin. En esta capa se presenta. Esta capa presenta problemas de control de acceso y de confidencialidad, este tipo de ataques pueden llegar a ser difciles de realizar, ya que generalmente requieren un acceso fsico a los equipos que se quieren atacar. Algunos ejemplos de vulnerabilidades a este nivel los ataques a las lneas punto a punto: desvo de los cables de conexin n hacia otros sistemas, interceptacin n intrusiva de las comunicaciones (pinchar la lnea), escuchas no intrusivas en medios de transmisin n sin cables, etc. Vulnerabilidades de la capa internet. En esta capa se puede realizar cualquier, Ataque que afecte un datagrama IP. Se incluyen como ataques contra esta capa las tcnicas de sniffing, la suplantacin de mensajes, la modificacin de datos, los retrasos de mensajes y la denegacin de mensajes. (En ingls, sniffing). Pueden realizarse mediante aplicaciones que se conocen con el nombre de sniffers. Cualquier atacante puede suplantar un paquete si indica que proviene de otro sistema. La suplantacin de un mensaje se puede realizar, por ejemplo, dando una respuesta a otro mensaje antes de que lo haga el suplantado. Vulnerabilidades de la capa de transporte. La capa de transporte transmite informacin TCP o UDP sobre datagramas IP. En esta capa podamos encontrar problemas de autenticacin, de integridad y de confidencialidad. Algunos de los ataques ms conocidos en esta capa son las denegaciones de servicio debido a protocolos de transporte. En cuanto a los mecanismos de seguridad incorporados en el diseo del protocolo de TCP (como las negociaciones involucradas en el establecimiento de una sesin TCP), existe una serie de ataques que aprovechan ciertas deficiencias en su diseo. Una de las vulnerabilidades ms graves contra estos mecanismos de control puede comportar la posibilidad de interceptacin de sesiones TCP establecidas, con el objetivo de secuestrarlas y dirigirlas a otros equipos con fines deshonestos. Estos ataques de secuestro se aprovechan de la poca exigencia en el protocolo de intercambio de TCP respecto a la autenticacin de los equipos involucrados en una sesin. As, si un usuario hostil puede observar los intercambios de informacin utilizados durante el inicio de la sesin y es capaz de interceptar con xito una conexin en marcha con todos los parmetros de autenticacin configurados adecuadamente, podr saber la sesin. Vulnerabilidades de la capa de aplicacin. Como en el resto de niveles, la capa de aplicacin presenta varias deficiencias de seguridad asociadas a sus protocolos. Debido al gran nmero de protocolos definidos en esta capa, la cantidad de deficiencias presentes tambin ser superior al resto de capas. Algunos ejemplos de deficiencias de seguridad a este nivel podran ser los siguientes:
11
a) Servicio de nombres de dominio. Normalmente, cuando un sistema solicita conexin a un servicio, pide la direccin IP de un nombre de dominio y enva un paquete UDP a un servidor DNS; entonces, este responde con la direccin IP del dominio solicitado o una referencia que apunta a otro DNS que pueda suministrar la direccin IP solicitada. b) Telnet. Normalmente, el servicio Telnet autentica al usuario mediante la solicitud del identificador de usuario y su contrasea, que se transmiten en claro por la red. As, al igual que el resto de servicios de internet que no protegen los datos mediante mecanismos de proteccin, el protocolo de aplicacin Telnet hace posible la captura de aplicacin sensible mediante el uso de tcnicas de sniffing. Actualmente existen otros protocolos a nivel de aplicacin (como por ejemplo SSH) para acceder a un servicio equivalente a Telnet pero de manera segura (mediante autenticacin fuerte). Aun as, el hecho de cifrar el identificador del usuario y la contrasea no impide que un atacante que las conozca y acceda al servicio. c) File Transfer Protocol(FTP). Al igual que Telnet, FTP es un protocolo que enva la informacin en claro (tanto por el canal de datos como por el canal de comandos). As pues, al enviar el identificador de usuario y la contrasea en claro por una red potencialmente hostil, presenta las mismas deficiencias de seguridad que veamos anteriormente con el protocolo Telnet. Aparte de pensar en mecanismos de proteccin de informacin para solucionar el problema, FTP permite la conexin annima a una zona restringida en la cual slo se permite la descarga de archivos. De este modo, se restringen considerablemente los posibles problemas de seguridad relacionados con la captura de contraseas, sin imitar una de las funcionalidades ms interesantes del servicio. d) Hipertexto Transfer Protocol. El protocolo HTTP es el responsable del servicio World Wide Web. Una de sus vulnerabilidades ms conocidas procede de la posibilidad de entrega de informacin por parte de los usuarios del servicio. Esta entrega de informacin desde el cliente de HTTP es posible mediante la ejecucin remota de caen la parte del servidor. La ejecucin de este como digo por parte del servidor suele utilizarse para dar el formato adecuado tanto a la informacin entregada por el usuario como a los resultados devueltos (para que el navegador del cliente la pueda visualizar correctamente). Si este como digo que se ejecuta presenta deficiencias de programacin, la seguridad del equipo en el que est funcionando el servidor se podr poner en peligro.
Actividades previas a la realizacin de un ataque

Previamente a la planificacin de un posible ataque contra uno o ms equipos de una red TCP/IP, es necesario conocer el objetivo que hay que atacar. Para realizar esta primera fase, es decir, para obtener toda la informacin posible de la vctima, ser necesario utilizar una serie de tcnicas de obtencin y recoleccin de informacin veremos, con algunos ejemplos sencillos, algunas de las tcnicas existentes que tanto los administradores de una red como los posibles atacantes, pueden utilizar para realizar la fase de recogida y obtencin de informacin previa a un ataque utilizando herramientas de administracin: La fase de recogida de informacin podr empezar con la utilizacin de todas aquellas aplicaciones de administracin que permitan la obtencin de informacin de un sistema como, por ejemplo, ping, traceroute, whois, finger, r-users, nslookup, rcp-info, telnet, dig, etc. La simple ejecucin del comando ping contra la direccin IP asociada a un nombre de dominio podra ofrecer al atacante informacin de gran utilidad. Para empezar, esta informacin le permitir determinar la existencia
12
de uno o ms equipos conectados a la red de este dominio. Una vez descubierta la existencia de como mnimo, uno de los equipos del dominio, el atacante podra obtener informacin relacionada con la topologa o la distribucin fsica y lgica de la red, mediante alguna aplicacin de administracin como, por ejemplo, traceroute. Aunque traceroute es una herramienta de administracin pensada para solucionar problemas de red, tambin se puede utilizar con objetivos deshonestos. Por ejemplo, traceroute se puede emplear para tratar de averiguar que sistemas existen entre distintos equipos (en este caso, entre el ordenador del atacante y el equipo que se quiere atacar). El funcionamiento de traceroute se basa en la manipulacin del campo TTL de la cabecera IP de un paquete, de forma que es capaz de determinar uno a uno los saltos por los que un determinado paquete avanza por la red TCP/IP. El campo TTL acta como un contador de saltos, vindose reducido en una unidad al ser reenviado por cada dispositivo de encaminamiento. As, mediante traceroute se puede llegar a obtener una lista de los elementos de la red recorridos desde una ubicacin de origen hasta el sistema de destino, como muestra el siguiente ejemplo: Existen herramientas grficas con una funcionalidad similar a traceroute, que permiten visualizar las correspondientes.
Ilustracin 7. Utilizacin de traceroute
El uso del protocolo ICMP (que utilizan tanto ping como traceroute) tambin puede permitir obtener informacin adicional, como la franja horaria del sistema de destino o la mscara de red empleada. Descubriendo Usuarios y/o otra informacin relevante de un sistema es el nombre de los usuarios que tienen acceso a estos equipos. Una utilidad que puede ayudar al atacante a obtener estos datos.
Ilustracin 8. Obtencin de informacin por traceroute
13
Mediante finger, el atacante podra realizar varias pruebas para tratar de descubrir el axis- tena de usuarios vlidos. Ms adelante, y con la informacin n obtenida, podra probar distintas contraseas de usuario con la finalidad de obtener un acceso remoto al sistema utilizando, por ejemplo, un cliente de Telnet o de SSH. Informacin de dominio
Durante esta primera etapa el atacante tambin tratara de obtener toda aquella informacin general relacionada con la organizacin que hay detrs de la red que se quiere atacar. La recogida de esta informacin puede empezar extrayendo la informacin relativa a los dominios asociados a la organizacin, as como las subredes correspondientes. Esto puede obtenerse fcilmente mediante consultas al servicio de nombre de dominios (DNS). Si el servidor que ofrece la informacin de este dominio no se ha configurado adecuadamente, es posible realizar una consulta de transferencia de zona completa, lo cual permitir obtener toda la informacin, direcciones IP o nombres de mquinas. Este tipo de consulta puede realizarse con las utilidades host, dig y nslookup, entre otras:
Ilustracin 9. Obtencin de Informacin del servidor
Entre la informacin encontrada, el atacante podra encontrar informacin sensible como, por ejemplo, relaciones entre sistemas de la red o subredes, el objetivo para el que se utilizan los mismos, el sistema operativo instalado en cada equipo, etc.
Cadenas identificativas
A medida que vaya encontrando nuevos sistemas el atacante ira complementando la informacin recogida con toda aquella informacin que pueda serle de utilidad para explotar posibles deficiencias en la seguridad de la red. Una primera fuente de informacin podra ser, por ejemplo, la informacin que ofrecen las cadenas de texto que generalmente aparece al conectarse a un determinado servicio. Estas cadenas, aparte de identificar cada uno de los servicios ofrecidos por estos equipos, podran indicar el nombre y la versin de la aplicacin que se est ejecutando detrs de dicho servicio:
14
Ilustracin 10. Informacin completa obtenida
Como vemos en estos dos ejemplos, utilizando nicamente un cliente de FTP y un cliente de Telnet, el atacante puede hacerse una idea de las aplicaciones (y de sus respectivas versiones) que la red del dominio victima.com est utilizando para ofrecer sus servicios. En el ejemplo mostrado, el atacante habra descubierto que detrs de los servicios FTP y HTTP que ofrece la red existe un servidor de FTP llamado ProFTPD Server (en su versin 1.2.4) y un servidor de HTTP llamado Apache (en su versin 1.3.23) compilado para funcionar en un sistema Unix. La informacin del servidor de HTTP tambin le muestra que el servidor Apache est utilizando la librera criptogrfica OpenSSL (en su versin 0.9.6c) para poder ofrecer la versin segura de HTTP por medio del protocolo criptogrfico SSL (HTTPS) mediante la utilizacin del mdulo mod ssl (en su versin 2.8.6). Grupos de noticias y buscadores de internet
Finalmente, esta primera fase de recogida de informacin mediante herramientas de la administracin suele finalizar realizando una serie de consultas en grupos de noticias, buscadores de pginas web o meta buscadores. Mediante estas consultas, el atacante puede obtener informacin emitida por los usuarios de la organizacin asociada a la red que desea atacar. Una simple bsqueda de la cadena @victima.com en http://groups.google.com o http://www.google.com puede ofrecer al atacante detalles de inters, como podran ser los sistemas operativos existentes en la red, tecnologas y servidores utilizados, el conocimiento en cuanto a temas de seguridad por parte de los administradores, etc. El perfil de humano de organizacin muchas veces los propios administradores de la red pueden divulgar, sin darse cuenta, informacin sensible de sus sistemas cuando utilizan listas de correo o grupos de noticias pblicas. Al hacer preguntas, o al contestar otras, pueden poner en peligro los equipos de su red al dar pblicamente ejemplos a partir de la informacin de sus sistemas.
15
Bsqueda de huellas identificativas Aparte de la utilizacin de herramientas de administracin y servicios de internet, existen tcnicas ms avanzadas que permiten extraer informacin ms precisa de un sistema o de una red en concreto. Identificacin de mecanismos de control TCP
La huella identificativa que un atacante querra obtener de los sistemas de una red hace referencia a toda aquella informacin de la implementacin de pila TCP/IP de los mismos. En primer lugar, esta informacin le permitir descubrir de forma muy fiable el sistema operativo que se ejecuta en la maquina analizada. Por otro lado, estos datos, junto con la versin del servicio y del servidor obtenido anteriormente, facilitaran al atacante la bsqueda de herramientas necesarias para realizar, por ejemplo, una explotacin de un servicio contra algunos de estos sistemas. La mayor parte de las tcnicas para obtener esta huella identificativa se basan en la informacin de la pila TCP/IP que puede obtenerse a partir de los mecanismos de control del intercambio de tres pasos propio del protocolo TCP/IP. El protocolo TCP es un protocolo de la capa de transporte que asegura que los datos sean enviados correctamente. Esto significa que se garantiza que la informacin recibida se corresponda con la informacin enviada y que los paquetes sean ensamblados en el mismo orden en que fueron enviados. Identificacinn de respuestas ICMP
El protocolo ICMP es el encargado de realizar el control de flujo de los datagramas IP que circulan por una red TCP/IP. Este protocolo consta de varias funcionalidades que permiten realizar desde la comunicacin de situaciones con anomalas (por ejemplo, para indicar que no se ha podido realizar la entrega de un datagrama IP) hasta la comprobacin del estado de una mi maquina en la red. Generalmente, las caractersticas de implementacin de los mecanismos de control incorporados en el diseo de TCP en pila TCP/IP de un sistema operativo se basa en la interpretacin que los desarrolladores realizan de los RFC. Aunque el objetivo original del protocolo ICMP es el de notificar errores y condiciones ICMP inusuales (que requieren una especial atencin respecto al protocolo IP), es posible poder realizar un uso indebido de este protocolo para obtener huellas identificativas de un sistema remoto. A continuacin algunos ejemplos de cmo obtener estas huellas a partir de las distintas respuestas ofrecidas mediante el trfico ICMP: ICMP echo. Como hemos visto anteriormente, el uso de trafico ICMP de tipo echo permite la exploracin de sistemas activos. As, con esta exploracin se pretende identificar los equipos existentes dentro de la red que se quiere explorar, normalmente accesibles desde internet. El comando ping puede informar, mediante paquetes ICMP de tipos echo-request y echoreply, sobre si una determinada direccin IP est o no activa. ICMP timestamp. Mediante la transmisin de un paquete ICMP de tipo timestamp- request, si un sistema est activo, se recibir un paquete de tipo timestamp-reply, indicando si es posible conocer la referencia de tiempo en el sistema de destino. La decisin de responder o no a estos paquetes depende de la implementacin. A unos sistemas operativos Windows si responden, mientras que otros no lo hacen. No obstante, la mayora de los sistemas operativos Unix s que suelen
16
implementarlo segn si los sistemas de la red responden o no ante esta peticin, su huella identificativa apuntara un posible sistema o a otro. ICMP information. La finalidad de los paquetes ICMP de tipo information- request y su respuesta asociada, information-reply, consiste en permitir que ciertos equipos que no disponen de disco puedan extraer su propia configuracin, a configurarse en el momento de inicio, obtener su direccin IP, etc.
Aunque las recomendaciones de seguridad indican que los sistemas operativos no deberan generar este tipo de paquetes ni responder a ellos. La respuesta, en lugar de indicar la direccin IP de la red en el campo de origen, indica la direccin IP del equipo. Algunos sistemas operativos respondern nicamente cuando la direccin IP de destino del paquete tenga el valor de una direccin IP de confianza. Otros sistemas, as como muchos dispositivos de red, implementan distintos mtodos de respuesta ante este tipo de paquetes. Todas estas diferencias se pueden utilizar en el momento de confeccionar la huella identificativa. Exploracin de puertos
La exploracin de puertos es una tcnica ampliamente utilizada para identificar los servicios que ofrecen los sistemas de destino. Suele ser la ltima de las actividades previas a la realizacin de un ataque. Exploracin de puertos TCP
Aparte de ser de utilidad para obtener la huella identificativa de un sistema conectado a la red, la exploracin de puertos TCP se puede utilizar para descubrir si dicho sistema ofrece o no un determinado servicio. Existe un gran nmero de tcnicas para realizar esta exploracin de puertos TCP. Entre las ms conocidas, podemos destacar las siguientes: a) TCP connect scan. Mediante el establecimiento de una conexin TCP completa (completando los tres pasos del establecimiento de la conexin) la exploracin puede ir analizando todos los puertos posibles. Si la conexin se realiza correctamente, se anotara el puerto como abierto (realizando una suposicin de su servicio asociado segn el nmero de puerto). b) TCP SYN scan. Enviando nicamente paquetes de inicio de conexin (SYN) por cada uno de los puertos que se quieren analizar se puede determinar si estos estn abiertos o no. Recibir como respuesta un paquete RST-ACK significa que no existe ningn servicio que escuche por este puerto. Por el contrario, si se recibe un paquete SYN-ACK, podemos afirmar la existencia de un servicio asociado a dicho puerto TCP. En este caso, se enviar un paquete RST-ACK para no establecer conexin y no ser registrados por el sistema objetivo, a diferencia del caso anterior (TCP connect scan). c) TCP FIN scan. Al enviar un paquete FIN a un puerto, deberamos recibir un paquete de reste (RST) si dicho puerto est cerrado. Esta tcnica se aplica principalmente sobre implementaciones de pilas TCP/IP de sistemas Unix. d) TCP Xmas Tree scan. Esta tcnica es muy similar a la anterior, y tambin se obtiene como resultado un paquete de reset si el puerto est cerrado. En este caso se envan paquetes FIN, URG y PUSH. e) TCP Null scan. En el caso de poner a cero todos los indicadores de la cabecera TCP, la exploracin debera recibir como resultado un paquete de reset en los puertos no activos. La mayor parte de aplicaciones para realizar exploracin de puertos TCP suelen ser ruidosas, es decir, no intentan esconder lo que se est analizando la red. Esto suele ser as porque se presume que o bien nadie
17
est revisando la actividad de exploracin o que, utilizando un equipo comprometido, nadie podr descubrir el equipo desde el que realmente se realiza la exploracin de puertos. Exploracin de puertos UDP
Mediante la exploracin de puertos UDP es posible determinar si un sistema est o no disponible, as como encontrar los servicios asociados a los puertos UDP que encontramos abiertos. Para realizar esta exploracin se envan datagramas UDP sin ninguna informacin al campo de datos. En el caso de que el puerto este cerrado, se recibir un mensaje ICMP de puerto no alcanzable (port unreachable). Si el puerto est abierto, no se recibir ninguna respuesta. Dado que UDP es un protocolo no orientado a conexin, la fiabilidad de este mtodo depende de numerosos factores (ms todava en internet), como son la utilizacin de la red y sus recursos, la carga existente, la existencia de filtros de paquetes en sistemas finales o en sistemas cortafuegos, etc. Asimismo, y a diferencia de las exploraciones TCP, se trata de un proceso mucho ms lento, puesto que la recepcin de los paquetes enviados se consigue mediante el vencimiento de temporizadores (timeouts). En el caso de detectar un elevado nmero de puertos UDP abiertos, el atacante podra concluir que existe un sistema cortafuegos entre su equipo y el objetivo. Para confirmar esta ltima posibilidad, se puede enviar un datagrama UDP al puerto cero. Esto tendra que generar una respuesta ICMP de puerto no alcanzable. No recibir esta respuesta significa que existe un dispositivo que filtra el trfico. Herramientas para realizar la exploracin de puertos
La aplicacin por excelencia para realizar exploracin de puertos es Nmap (Network Map- per). Esta herramienta implementa la gran mayora de tcnicas conocidas para exploracin de puertos y permite descubrir informacin de los servicios y sistemas encontrados. Nmap tambin implementa un gran nmero de tcnicas de reconocimiento de huellas identifica- tovas. Mediante Nmap pueden realizarse, por ejemplo, las siguientes acciones de exploracin: a) Descubrimiento de direcciones IP activas mediante una exploracin de la red: nmap -sP IP ADDRESS/NETMASK. b) Exploracin de puertos TCP activos: nmap -sT IP ADDRESS/NETMASK. c) Exploracin de puertos UDP activos: nmap -sU IP ADDRESS/NETMASK, nmap -O IP ADDRESS/NETMASK.
18
Ilustracin 11. Exploracin de Puertos a travs de Nmap.
Generalmente, Nmap es utilizado internamente por otras aplicaciones como, por ejemplo, escner de vulnerabilidades, herramientas de deteccin de sistemas activos, servicios web que ofrecen exploracin de puertos, etc. Este es el caso de la utilidad Nessus. Se trata de una utilidad que permite comprobar si un sistema es vulnerable a un conjunto muy amplio de problemas de seguridad almacenados en su base de datos. Si encuentra alguna de estas debilidades en el sistema analizado, se encargar de informar sobre su existencia y sobre posibles soluciones. Nmap junto con Nessus, son dos de las herramientas ms frecuentemente utilizadas tanto por administradores de redes como por posibles atacantes, puesto que ofrecen la mayor parte de los datos necesarios para estudiar el comportamiento de un sistema o red que se quiere atacar. Uno de los primeros ataques contra las dos primeras capas del modelo TCP/IP son la de red. Se trata de un ataque realmente efectivo, puesto que permite la obtencin de una gran cantidad de informacin valiosa. Mediante aplicaciones que se encargan de capturar e interpretar tramas y datagramas en entornos de red basados en difusin, conocidos como escuchas de red o sniffers, es posible realizar el anlisis de la informacin contenida en los paquetes TCP/IP que interceptan para poder extraer todo tipo de informacin. Las redes Ethernet son un ejemplo de redes basadas en difusin.
19
Desactivar MAC Un sniffer no es ms que un sencillo programa que intercepta toda la informacin que pase por la interfaz de red a la que este asociado. Una vez capturado se podr almacenar para su posterior anlisis. De esta forma, sin necesidad de acceso a ningn sistema de la red, un atacante podr obtener informacin sobre cuentas de usuario, claves de acceso o incluso mensajes de correo electrnico en el que se envan estas claves. Este tipo de tcnica se conoce como sniffing. Las tcnicas de sniffing tambin se conocen como tcnicas de eavesdropping y tcnicas de snooping. La primera, eavesdropping, es una variante del sniffing, caracterizada por realizar la adquisicin o intercepcin del trfico que circula por la red de forma pasiva, es decir, sin modificar el contenido de la informacin. Por otra parte, las tcnicas de snooping se caracterizan por el almacenamiento de la informacin capturada en el ordenador del atacante, mediante una conexin remota establecida durante toda la sesin de captura. En este caso, tampoco se modifica la informacin incluida en la transmisin. La forma ms habitual de realizar tcnicas de sniffing en una red, probablemente porque est al alcance de todo el mundo, es la que podramos denominar sniffing software, utilizando las aplicaciones que ya mencionadas. Escuchas de red
Una de las tcnicas ms utilizadas por la mayora de los sniffers de redes Ethernet se basa en la posibilidad de configurar la interfaz de red para que desactive su filtro MAC (poniendo la tarjeta de red en modo promiscuo). Las redes basadas en dispositivos Ethernet fueron concebidas en torno a una idea principal: todas las mquinas de una misma red local comparten el mismo medio, de manera que todos los equipos son capaces de ver el trfico de la red de forma global. Cuando se envan datos es necesario especificar claramente a quien van dirigidos, indicando la direccin MAC. De los 48 bits que componen la direccin MAC, los 24 primeros bits identifican al fabricante del hardware, y los 24 bits restantes corresponden al nmero de serie asignado por el fabricante. Esto garantiza que dos tarjetas no puedan tener la misma direccin MAC. Para evitar que cualquier maquina se pueda apropiar de informacin fraudulenta, las tarjetas Ethernet incorporan un filtro que ignora todo el trfico que no les pertenece, descartando aquellos paquetes con una direccin MAC que no coincide con la suya. La desactivacin de este filtro se conoce con el nombre de modo promiscuo. (EsDebian, 2011)
20
Zona Desmilitarizada (DMZ)
Tipos de Firewall - Screened Subnet: En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta mquina no consiga el acceso total a la subred protegida. En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno). Es posible definir varios niveles de DMZ agregando ms Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificaran a uno solo.
Ilustracin 12. Esquema de DMZ.
Como puede apreciarse la Zona Desmilitarizada asla fsicamente los servicios internos, separndolos de los servicios pblicos. Adems, n o existe una conexin directa entre la red interna y la externa. Los sistemas Dual-Homed Host y Screnned: pueden ser complicados de configurar y comprobar, lo que puede dar lugar, paradjicamente, a importantes agujeros de seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de proteccin y ciertas ventajas: 1. Ocultamiento de la informacin: los sistemas externos no deben conocer el nombre de los sistemas internos. El Gateway de aplicaciones es el nico autorizado a conectarse con el exterior y el encargado de bloquear la informacin no solicitada o sospechosa. 2. Registro de actividades y autenticacin robusta: El Gateway requiere de autenticacin cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes. 3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router sern menos compleja dado a que l slo debe atender las solicitudes del Gateway. 4. As mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que generalmente este debe instalar algn tipo de aplicacin especializada para lograr la comunicacin. Se suma a esto que generalmente es ms lento porque deben revisar todo el trfico de la red. (Borghello, 2009)
21
Tcnicas de implementacin de Firewall
Los firewalls pueden ser implementados tanto en el hardware como en el software, o bien combinando los dos. Los firewalls generalmente se usan para evitar el acceso no autorizado a usuarios del internet hacia redes privadas que estn conectadas a Internet, sobre todo aquellas que son Intranets. Todos los mensajes que entran o salen de la intranet pasan a travs del firewall, el cual examina cada mensaje y bloquea aquellos que no cumplen las polticas de seguridad especificados. Las polticas de seguridad son el conjunto de reglas de seguridad, convenciones y procedimientos que gobiernan las comunicaciones dentro y fuera de una red. Existen varios tipos de tcnicas para implementar un firewall: Filtros a nivel paquete (Packet Filters) Firewall a nivel circuito (Circuit Level Firewalls) Firewall a nivel aplicacin (Application Layer Firewalls) Filtros dinmico a nivel paquete (Dynamic Packet Filters)
Tipos de Firewall
Filtros a nivel paquete (Packet Filters):
Esta tecnologa pertenece a la primera generacin de firewalls la cual analiza el trfico de la red. Cada paquete que entra o sale de la red es inspeccionado y lo acepta o rechaza basndose en las reglas definidas por el usuario. El filtrado de paquetes es efectivo y transparente para los usuarios de la red, pero es difcil de configurar. Adems de que es susceptible a IP Spoofing. a) Spoofing: se conoce a la creacin de tramas TCP/IP utilizando una direccin IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra mquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algn tipo de confianza basada en el nombre o la direccin IP del host suplantado. Y como los anillos de confianza basados en estas caractersticas tan fcilmente falsificables son an demasiado abundantes (no tenemos ms que pensar en los comandos r-, los accesos NFS, o la proteccin de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organizacin. (FACCE, 1997) Las reglas para rechazar o aceptar un paquete son las siguientes: Si no se encuentra una regla que aplicar al paquete, el paquete es rechazado. Si se encuentra una regla que aplicar al paquete, y la regla permite el paso, se establece la comunicacin. Si se encuentra una regla que aplicar al paquete, y la regla rechaza el paso, el paquete es rechazado.
22
a) Packet Filter(PF): es un componente de software con la capacidad para examinar las cabeceras de los paquetes que lo atraviesan y en base a ellas tomar decisiones sobre el destino de cada uno de los paquetes. Trabaja a nivel del kernel (ncleo de Linux) e inspecciona cada paquete IP que entra o sale del sistema. Fue desarrollado por Daniel Hartmeier, para el proyecto OpenBSD (desde la version 3.0) en el ao 2001. Este software ha ido evolucionando rpidamente y ahora posee varias ventajas ante otros sistemas de firewalls, como la integracin de NAT (Network Address Translation) y Calidad de Servicio (QoS) han sido integrados en packet filter. Tambin existe la capacidad de loguear los eventos que ocurren en la red, y monitorearlos con herramientas especiales que ofrece el ambiente OpenBSD (como pflog). NAT: Es un sistema que se utiliza para asignar una red completa (o varias redes) a una sola direccin IP. NAT es necesario cuando la cantidad de direcciones IP que nos haya asignado nuestro proveedor de Internet sea inferior a la cantidad de ordenadores que queramos que accedan a Internet. NAT QoS: son las tecnologas que garantizan la transmisin de cierta cantidad de datos en un tiempo dado. Con ello ofrecen mayor garanta y seguridad para las aplicaciones avanzadas
PF consiste bsicamente en dos elementos: las reglas de filtro y la tabla de estados. 1. Reglas de Filtro: Cada paquete es comparado con un conjunto de reglas de filtro. Un filtro puede tomar tres decisiones sobre un paquete, aceptarlo, rechazarlo o descartarlo. Adems el cortafuego puede realizar cierto tipo de manipulacin de paquetes. Esto tendremos que especificarlo en cada regla. 2. Tabla de Estados: Un firewall no solo inspecciona paquetes independientes, sino que conoce las conexiones ya establecidas. Cualquier regla que permite pasar el paquete, puede escribir en la tabla de estados. Antes de que una regla sea evaluado para el paquete, se busca en la tabla de estados para ver si ya existe, de ser asi, se deja pasar, sin evaluarlo nuevamente. Para TCP, se ve el nmero de secuencia y se compara con las ventanas esperadas, esto provee un importante mecanismo de seguridad contra ataques de secuencia. PF guarda los estados en un rbol AVL (binario y balanceado). Este diseo provee funcionalidades eficientes para buscar, y una buena escalabilidad si el rbol crece mucho. Para el peor caso se tiene O (long n), lo que impide ataques de negacin de servicios (DoS). (Antifermo, 2007)
Sistema de Filtrado de Trafico

El trfico sobre el que puede actuar un cortafuegos puede ser el propio trfico que llega o sale de la propia mquina y el trfico de "paso", el que la mquina tiene que enrutar cuando acta como router entre redes. Como un router recoge todo el trfico entre redes otra posibilidad que nos brinda es poder modificar el ancho de banda que puede utilizar cada cliente. Para que la red sea justa con todos podemos prevenir el caso de que unos pocos saturen el ancho de banda disponible. Ahora, la accin de filtrar paquetes consiste en bloquear o permitir el paso a los paquetes de datos de forma selectiva, segn van llegando a una interfaz de red. Los criterios que usa Packet Filter para inspeccionar los paquetes se basan en la informacin existente en la capa de red y en la capa de transporte de las cabeceras de los paquetes.
23
Las reglas de filtrado especifican los criterios con los que debe concordar un paquete y la accin a seguir, bien sea bloquearlo o permitir que pase, que se toma cuando se encuentra una concordancia. Las reglas de filtrado se evalan por orden de secuencia, de la primera a la ltima. El paquete se evaluara comparndolo con todas las reglas de filtrado antes de decidir una accin final. La ltima regla que concuerde ser la ganadora y la que dictamine qu accin se tomar con el paquete. Al principio del grupo de reglas de filtrado hay un pass all implcito que indica que si algn paquete no concuerda con ninguna de las reglas de filtrado, la accin a seguir ser pass, o sea permitirle el paso.
Firewall a nivel circuito (Circuit Level Firewalls)

Esta tecnologa pertenece a la segunda generacin de firewalls y valida que los paquetes pertenezcan ya sea a una solicitud de conexin o bien a una conexin entre dos computadoras. Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se establece, los paquetes pueden ir y venir entre las computadoras sin tener que ser revisados cada vez. El firewall mantiene una tabla de conexiones vlidas y permite que los paquetes de la red pasen a travs de ella si corresponden a algn registro de la tabla. Una vez terminada la conexin, la tabla se borra y la transmisin de informacin entre las dos computadoras se cierra.
Firewall a nivel aplicacin (Application Layer Firewalls):

Pertenece a la tercera generacin de firewalls. Examina la informacin de todos los paquetes de la red y mantiene el estado de la conexin y la secuencia de la informacin. En este tipo de tecnologa tambin se puede validar claves de acceso y algunos tipos de solicitudes de servicios. La mayora de estos tipos de firewalls requieren software especializado y servicios Proxy. Un Servicio Proxy es un programa que aplica mecanismos de seguridad a ciertas aplicaciones, tales como FTP o HTTP. Un servicio proxy puede incrementar el control al acceso, realizar chequeos detallados a los datos y generar auditorias sobre la informacin que se transmite.
Filtros dinmicos a nivel paquete (Dynamic Packet Filters):

Pertenece a la cuarta generacin de firewall y permite modificaciones a las reglas de seguridad sobre la marcha. En la prctica, se utilizan dos o ms tcnicas para configurar el firewall. Un firewall es considerado la primera lnea de defensa para proteger la informacin privada.
Definiciones de trminos usados:

Paquete: un paquete es una pieza de un mensaje trasmitido. Una parte importante del paquete es que contiene la direccin destino, adems de la informacin o datos. En redes IP, generalmente son llamados datagramas. IP Spoofing: Es una tcnica usada para obtener acceso no autorizado a las computadoras, en donde el intruso enva mensajes a una computadora con una direccin IP indicando que el mensaje viene de una computadora confiable. Para lograr el IP Spoofing, un hacker debe primero de usar una variedad de tcnicas para encontrar la direccin IP de una computadora confiable y posteriormente modificar el encabezado del paquete para que parezca que el paquete viene de esa computadora.
24
FTP: Abreviatura para File Transfer Protocol, es el protocolo usado en Internet para enviar archivos. Servidor Proxy: Es un servidor que se encuentra entre una aplicacin cliente, por ejemplo un navegador de internet, y un servidor real. El servidor proxy intercepta todas las requisiciones que van al servidor para ver si las puede cumplir, si no es as, le enva la requisicin al servidor real. TCP: Abreviatura para Transmission Control Protocol. TCP es uno de los protocolos principales para las redes tipo TCP/IP. En donde, el protocolo IP, lidia solamente con los paquetes y el TCP hace posible que dos computadoras establezcan la conexin e intercambio de informacin. TCP garantiza el envo de la informacin y tambin garantiza que los paquetes son entregados en el mismo orden en que fueron enviados. UDP: Abreviatura para User Datagram Protocol, es un protocolo sin conexin, que, como TCP, corre encima de redes IP networks. A diferencia del TCP/IP, UDP/IP da muy pocos servicios de recuperacin de errores, pero ofrece a cambio una manera directa de enviar y recibir datagramas sobre una red IP. Este protocolo es usado principalmente para transmitir mensajes sobre una red. (Vliz, 2003)
Firewall / Cortafuegos
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet). Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos: 1. Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l. 2. Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.
Ilustracin 13. Interpretacin de un Firewall
El Cortafuegos, slo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer proteccin una vez que el intruso lo traspasa. Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos deben "hablar" el mismo mtodo de encriptacindes encriptacin para entablar la comunicacin.
25
Routers y Bridges
Cuando los paquetes de informacin viajan entre su destino y origen, va TCP/IP, estos pasan por diferentes Routers (enrutadores a nivel de Red). Los Routers son dispositivos electrnicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa. En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que operan a nivel de Enlace. La evolucin tecnolgica les ha permitido transformarse en computadoras muy especializadas capaz de determinar, si el paquete tiene un destino externo y el camino ms corto y ms descongestionado hacia el Router de la red destino. En caso de que el paquete provenga de afuera, determina el destino en la red interna y lo deriva a la mquina correspondiente o devuelve el paquete a su origen en caso de que l no sea el destinatario del mismo. Los Routers "toman decisiones" en base a un conjunto de datos, regla, filtros y excepciones que le indican que rutas son las ms apropiadas para enviar los paquetes.
Firewall de Red y de Aplicaciones

1. Proxy-Gateways de Aplicaciones Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de aplicacin encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la mquina donde se ejecuta recibe el nombre de Gateway de Aplicacin o Bastion Host. El Proxy, instalado sobre el Nodo Bastin, acta de intermediario entre el cliente y el servidor real de la aplicacin, siendo transparente a ambas partes. Cuando un usuario desea un servicio, lo hace a travs del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su funcin fue la de analizar el trfico de red en busca de contenido que viole la seguridad de la misma.
Ilustracin 14. Firewall de Aplicacin.
26
2. Dual-Homed Host Son dispositivos que estn conectados a ambos permetros (interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actan con el "IP-Forwarding desactivado". Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse primero al Firewall, donde el Proxy atender su peticin, y en funcin de la configuracin impuesta en dicho Firewall, se conectar al servicio exterior solicitado y har de puente entre este y el usuario interior. Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el Firewall y el otro desde este hasta la mquina que albergue el servicio exterior.
Ilustracin 15. Utilizacin del Dual-Homed Host
3. Screened Host En este caso se combina un Router con un host bastin y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastin, el nico sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y slo se permiten un nmero reducido de servicios.
Ilustracin 16. Utilizacin de Screened Host
27
4. Screened Subnet En este diseo se intenta aislar la mquina ms atacada y vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a esta mquina no consiga el acceso total a la subred protegida. En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la misin de bloquear el trfico no deseado en ambos sentidos: hacia la red interna y hacia la red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo y el interno). Es posible definir varios niveles de DMZ agregando ms Routers, pero destacando que las reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificaran a uno solo.
Ilustracin 17. Utilizacin del Screened Subnet
Polticas de Diseo de Firewalls

Las polticas de accesos en un Firewalls se deben disear poniendo principal atencin en sus limitaciones y capacidades pero tambin pensando en las amenazas y vulnerabilidades presentes en una red externa insegura. Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad. Tambin es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las medidas diferirn notablemente en funcin de esos usuarios. Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier poltica de seguridad: Qu se debe proteger? Se deberan proteger todos los elementos de la red interna (hardware, software, datos, etc.). De quin protegerse? De cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenir.
28
Sin embargo, podemos definir niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a determinados servicios o denegando cualquier tipo de acceso a otros. Cmo protegerse? Esta es la pregunta ms difcil y est orientada a establecer el nivel de monitorizacin, control y respuesta deseado en la organizacin. Puede optarse por alguno de los siguientes paradigmas o estrategias: a) Paradigmas de seguridad Se permite cualquier servicio excepto aquellos expresamente prohibidos. Se prohbe cualquier servicio excepto aquellos expresamente permitidos. La ms recomendada y utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no pueden acceder a tal cual servicio. b) Estrategias de seguridad Paranoica: se controla todo, no se permite nada. Prudente: se controla y se conoce todo lo que sucede. Permisiva: se controla pero se permite demasiado. Promiscua: no se controla (o se hace poco) y se permite todo. Cunto costar? Estimando en funcin de lo que se desea proteger se debe decidir cunto es conveniente invertir.
Restricciones en el Firewall
La parte ms importante de las tareas que realizan los Firewalls, la de permitir o denegar determinados servicios, se hacen en funcin de los distintos usuarios y su ubicacin: 1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una serie de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando provengan del interior, van a poder acceder a determinados servicios externos que se han definido. 2. Usuarios externos con permiso de entrada desde el exterior: este es el caso ms sensible a la hora de vigilarse. Suele tratarse de usuarios externos que por algn motivo deben acceder para consultar servicios de la red interna. Tambin es habitual utilizar estos accesos por parte de terceros para prestar servicios al permetro interior de la red. Sera conveniente que estas cuentas sean activadas y desactivadas bajo demanda y nicamente el tiempo que sean necesarias.
Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todas las computadoras de la red estaran expuestas a ataques desde el exterior. Esto significa que la seguridad de toda la red, estara dependiendo de qu tan fcil fuera violar la seguridad local de cada mquina interna. El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de ataque, el administrador ser el responsable de la revisin de este monitoreo. Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el hecho que en los ltimos aos en Internet han entrado en crisis el nmero disponible de direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall.
29
Los Firewalls tambin son importantes desde el punto de vista de llevar las estadsticas del ancho de banda "consumido" por el trfico de la red, y que procesos han influido ms en ese trfico, de esta manera el administrador de la red puede restringir el uso de estos procesos y economizar o aprovechar mejor el ancho de banda disponible. Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.
Limitaciones de un Firewall
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no se tapa y que coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes, ellos actan de acuerdo a parmetros introducidos por su diseador, por ende si un paquete de informacin no se encuentra dentro de estos parmetros como una amenaza de peligro simplemente lo deja pasar. Ms peligroso an es que ese intruso deje Back Doors (puerta tracera9, abriendo un hueco diferente y borre las pruebas o indicios del ataque original. Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un intruso logra entrar a la organizacin y descubrir passwords o los huecos del Firewall y difunde esta informacin, el Firewall no se dar cuenta. El Firewall tampoco provee de herramientas contra la filtracin de software o archivos infectados con virus, aunque es posible dotar a la mquina, donde se aloja el Firewall, de antivirus apropiados. Finalmente, un Firewall es vulnerable, l NO protege de la gente que est dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: "cuanto mayor sea el trfico de entrada y salida permitido por el Firewall, menor ser la resistencia contra los paquetes externos. El nico Firewall seguro (100%) es aquel que se mantiene apagado". (Hernndez, 2009)
Los firewalls de nivel de aplicacin

Generalmente son host con servidores proxy, que no permiten el trfico directamente entre dos redes, sino que realizan un seguimiento detallado del trfico que pasa por l. Los firewalls de nivel de aplicacin pueden ser usados como traductores de direccin de red; segn pasa el trfico de un lado a otro, enmascara la direccin de origen, lo que dificulta observar la topologa de la red el exterior. Estos sistemas proporcionan informes de auditora ms detallados que los firewalls de nivel de red; se usan cuando la poltica de control de acceso es ms conservadora. (FJRP, 2009)
30
FIREWALLS
Firewalls a nivel de circuito. Los firewalls a nivel de circuito, son similares a los de nivel de aplicacin, pues ambos utilizan servidores proxy. La diferencia radica los firewalls a nivel de aplicacin necesitan un software de proxy para cada uno de los servicios a los que se desea dar acceso, mientras que los firewalls de circuito crean un circuito entre el cliente y el servidor sin que la aplicacin sepa nada del servicio. Los servidores a nivel de circuito, solo utilizan un proxy y permiten a los usuarios utilizar sus aplicaciones cliente sin tener que preocuparnos por la compatibilidad entre el servidor proxy y la aplicacin cliente. (AGUAYO, 2000) Filtrado de paquetes Los sistemas de filtrado de paquetes enrutan los paquetes entre las mquinas de la red interna y externa, pero, de forma selectiva dependiendo de las polticas que se tengan en el sistema. A este tipo de enrutadores que realizan filtrado de paquetes se les llama "screening router". Un firewall de filtrado de paquetes trabaja a nivel de paquetes. Estos firewalls son diseados para controlar el flujo de paquetes basndose en la direccin IP de origen y destino, los puertos de origen y destino e informacin del tipo del paquete. El filtrado de paquetes no toma decisiones basndose en el contenido en s del paquete sino en el encabezado. Algunos filtrados de paquetes son:

Bloquear todas las conexiones desde sistemas externos a la red interna, excepto conexiones SMTP (correo). Bloquear todas las conexiones desde una red externa en particular. Permitir los servicios telnet o ftp desde la red interna, pero bloquear otros como rlogin, rsh o tftp.
Reglas de filtrado El filtrado de paquetes utiliza la siguiente informacin que poseen los paquetes para definir las reglas de filtrado: Direccin IP de origen Direccin IP de destino Puerto de Origen Puerto de destino Protocolo Tipo de paquete
Filtrado por direccin Esta es la forma ms sencilla y ms usada para realizar filtrado de paquetes. La restriccin del flujo de paquetes se realiza basndose en la direccin origen y/o destino del paquete sin considerar qu protocolo est involucrado.
31
Generalmente existen tres acciones a tomar con un paquete de red: Aceptar. Indica que este paquete pas el criterio de filtrado y ser reenviado tal como lo hace un enrutador cualquiera. b) Denegar. Indica que este paquete no cumple con el criterio de aceptacin y ser descartado. c) Rechazar. Indica que este paquete no cumple con el criterio de acetacin y ser descartado, pero a diferencia de Denegar, se enva un mensaje ICMP a la mquina origen informado lo ocurrido. Generalmente es un paquete ICMPde destino inalcanzable o destino administrativamente inalcanzable. De esta forma el que enva el paquete es avisado y no tratar de retransmitir el paquete.
a)
Filtrado por Servicio Este es un tipo de filtrado ms complejo y ms completo. Este filtrado permite definir reglas basadas en servicios tales como telnet, SNMP, SMTP, etc. El software de filtrado utiliza la informacin de los puertos, protocolo y tipo que contiene cada paquete para realizar filtrado por servicio.

Direccin origen Direccin destino Puerto origen: Un puerto aleatorio superior al 1023 (> 1023) Puerto destino: Protocolo: Tipo de paquete: El primer paquete, el que establece la conexin, no tiene el bit ACK activo, el resto s lo tiene.
El bit ACK de los paquetes TCP permite identificar si se trata de un paquete de solicitud de conexin (donde el ACK no est activado) o si es otro de los paquetes de la conexin (donde s est activado). De la misma forma un paquete entrante de una conexin telnet saliente posee la siguiente informacin:

Direccin origen Direccin destino Puerto origen Puerto destino: El mismo puerto que se utiliza como origen en un paquete saliente. Protocolo Tipo de paquete: De conexin, siempre tiene el bit ACK activo.
ACL (Listas de control de acceso)

Las listas de acceso (ACL) se usan para el filtrado de paquetes en funcin de ciertos parmetros como pueden ser las direcciones de red origen o destino, los puertos origen o destino, el tipo de protocolo (ip, icmp, tcp, udp, etc). Una de las aplicaciones donde se usan ms las listas de acceso es en la seguridad de la red. Con las ACLs se puede bloquear el trfico no deseado en una interfaz ya sea de salida o de entrada. Sin embargo se debe apreciar que las ACLs no solo se usan en temas de seguridad, sino que tambin se usan para filtrar en general paquetes en aplicaciones tan variadas como pueden ser NAT (Network Address Translation), en BGP para filtrar rutas al crear polticas de encaminamiento, etc.
32
Existen ACLs para distintas pilas de protocolos: TCP/IP, IPX/SPX10, Apple11, etc. La diferencia entre las pilas de protocolos est en el rango de ACLs que se pueden generar. Por ejemplo las ACLs entre la 1 y la 199 se usan en TCP/IP, mientras que las comprendidas entre la 800 y la 999 se usan para IPX/SPX, otros rangos se usan para DECnet12 (300-399), XNS13 (400-599), AppleTalk (600-699), etc. Cuando creamos una lista de acceso y la aplicamos a una interfaz de entrada o de salida, estamos creando una secuencia de instrucciones que son revisadas cada vez que un paquete entra o sale por esa interfaz. Es importante notar varias caractersticas de las ACLs. Primero, que una ACL se aplica a la interfaz ya sea de entrada o de salida. Se pueden crear una ACL para la interfaz de salida y otra distinta para esa interfaz de entrada. Lo segundo, las ACLs son secuencias de instrucciones que son revisadas contra el paquete. El orden de las instrucciones es importante, ya que cuando una lnea de la secuencia da cierta en el chequeo, se toma una accin y se sale de la ACL, es decir no se continua chequeando para comprobar que haya otra lnea de la secuencia que tambin resulta cierta. Por consiguiente es muy importante disear la ACL en la secuencia que nos interese ms. Otro aspecto importante es que no podemos insertar lneas en la secuencia. Si nos equivocamos al crearla o queremos insertar una lnea a hay que borrar toda la ACL y volverla a crear. Finalmente, tambin muy importante, la ltima lnea de una lista de acceso nunca aparece, es decir existe de forma implcita y siempre denegar todo. Dentro de las listas de acceso TCP/IP hay dos tipos de ACLs:
Listas de acceso IP extendidas (100-199) (Rey, 2005)
Listas de acceso IP14 estndar (1-99)
Beneficios de las Listas de Acceso IP

Las listas de control de acceso (ACLs) realizan el filtrado de paquetes para controlar qu paquetes se desplazan por la red y dnde. Tal control puede restringir el acceso de los usuarios y de los dispositivos a la red, proporcionando a una medida de Seguridad. Las Listas de acceso pueden salvar a los recursos de red reduciendo el trfico. Las Listas de acceso proporcionan las ventajas diversas, dependiendo de cmo se utilizan. Muchas de las ventajas entran en las categoras siguientes:
Trfico no deseado o usuarios del bloque

Las Listas de acceso pueden filtrar entrante o los paquetes de salida en una interfaz, de tal modo controlando el acceso basado en las direcciones de origen, las direcciones destino, o la autenticacin de usuario. Usted puede tambin utilizar las Listas de acceso para determinar remiten o se bloquean qu tipos de trfico en las interfaces del router. Por ejemplo, usted puede permitir que el trfico del email sea ruteado, pero al mismo tiempo bloquea todo el trfico de Telnet.
33
Reduzca la ocasin de los ataques DOS
Hay varias maneras de reducir la ocasin de los establecimientos de rechazo del servicio. Por ejemplo, especificando los IP Source Address, usted puede controlar si el trfico de los hosts, las redes, o los usuarios acceden su red. Usted puede filtrar en los valores especficos del Tiempo para vivir (TTL) en los paquetes para controlar cuntos saltos puede tomar un paquete antes de alcanzar a un router en su red. Configurando la caracterstica de la Intercepcin de trfico de TCP, usted puede evitar que los servidores sean inundados con los pedidos una conexin.
Controle el acceso a las lneas de terminal virtual

Usted puede poner una lista de acceso en la lnea entrante acceso del vty (Telnet) de los ciertos Nodos o redes. Usted puede tambin poner una lista de acceso en el acceso saliente del vty, bloqueando o permitiendo el acceso de Telnet a los otros dispositivos.
Restrinja el contenido de las actualizaciones de ruteo

Las Listas de acceso pueden controlar las actualizaciones de ruteo que son enviadas, recibidas, o redistribuidas.
Proporcione el Control del ancho de banda

Una lista de acceso en un link lento puede prevenir el trfico en exceso.
Identifique o clasifique el trfico para las caractersticas de QoS

Las Listas de acceso pueden proporcionar la prevencin de congestionamiento fijando la Prioridad IP para el WRED o el CAR. Puede proporcionar la administracin de la congestin para el Class-Based Weighted Fair Queuing (WFQ), la cola prioritaria, y el formar la cola a medida.
Llamadas del Marcado a pedido del activador (DDR)

Una lista de acceso puede aplicar la marca y desconectar los criterios.
Resultado del comando de debug del lmite

Una lista de acceso puede limitar la salida de los debugs basada en un direccionamiento o un protocolo.
Proporcione el control NAT

Las Listas de acceso pueden controlar que los direccionamientos son traducidos por el Network Address Translation (NAT).
Autentique las peticiones entrantes del RSH y RCP

Para permitir al Cisco IOS Software para recibir shell remoto las peticiones entrantes del protocolo del (RCP) del protocolo (rsh) y de la copia remota, los clientes deben configurar las bases de datos de autenticacin para controlar el acceso al router. Las Listas de acceso pueden simplificar la identificacin de los usuarios locales, de los host remotos, y de los usuarios remotos en la configuracin de autenticacin de la base de datos.
34
Los Routers de Borde y los Routers de Firewall Deben Usar Listas de Acceso
Hay muchas razones para configurar las Listas de acceso; por ejemplo, usted puede utilizar las Listas de acceso para restringir el contenido de las actualizaciones de ruteo o para proporcionar el control de flujo de trfico. Una de las razones ms importantes de configurar las Listas de acceso es proporcionar un nivel de seguridad bsico para su red controlando el acceso a l. Si usted no configura las Listas de acceso en su router, todos los paquetes que pasaban a travs del router se podran permitir sobre todas las partes de su red. Una lista de acceso puede permitir un host acceda una parte de su red y evite que otro host acceda la misma rea.
Definicin de una Lista de Acceso

Una lista de acceso es una lista secuencial que consiste en por lo menos una permit declaracin y posiblemente una o ms deny declaraciones. En el caso de las listas de IP Access, las declaraciones pueden aplicarse a los IP Addresses, a los protocolos IP de la capa superior, o a otros campos en los paquetes IP. La lista de acceso es identificada y referida por un nombre o un nmero. La lista de acceso acta como filtro de paquete, los filtrados de paquetes basados en los criterios definidos en la lista de acceso. Una lista de acceso puede ser configurada, pero no toma el efecto hasta que la lista de acceso sea cualquier aplicada a una interfaz (con ip access-group el comando), a una lnea de terminal virtual (vty) (con accessclass el comando), o referido por un cierto otro comando que valide una lista de acceso. Las Listas de acceso tienen muchas aplicaciones, y por lo tanto muchos comandos del Cisco IOS Software validan una referencia a una lista de acceso en su sintaxis de los comandos. Varios comandos pueden hacer referencia a la misma lista de acceso. En el fragmento de configuracin siguiente, las primeras tres lneas son un ejemplo de una lista de IP Access nombrada los branchoffices, que se aplica a la interfaz serial 0 en los paquetes entrantes. Ningunas fuentes con excepcin de sas en las redes especificadas por cada direccin de origen y par de la mscara pueden acceder esta interfaz. Los destinos para los paquetes que vienen de las fuentes en la red 172.20.7.0 estn sin restriccin. El destino para los paquetes que vienen de las fuentes en la red 172.29.2.0 debe ser 172.25.5.4.
Ilustracin 18. Utilizacin del branchoffices
35
Procesamiento del Software de una Lista de Acceso
Los pasos generales siguientes describen cmo el Cisco IOS Software procesa una lista de acceso cuando se aplica a una interfaz, un vty, o es referido por un cierto otro comando cisco ios. Estos pasos se aplican a una lista de acceso que tenga 13 o a menos entradas de lista de acceso.
El software recibe un paquete del IP y prueba las partes de cada paquete que es filtrado contra las condiciones en la lista de acceso, un en un momento de la condicinpermit (deny o declaracin). Por ejemplo, el software prueba a las direcciones de origen y de destino del paquete contra las direcciones de origen y de destino en a permit o deny la declaracin. Si un paquete no coincide con la sentencia de una lista de acceso, el paquete se prueba respecto a la siguiente sentencia de la lista. Si un paquete y una sentencia de una lista de acceso coinciden, el resto de las sentencias de la lista se salta y el acceso se permite o se deniega para el paquete en funcin de lo especificado en la sentencia coincidente. La primera entrada con la que el paquete coincida determina si el software permite o niega el paquete. Es decir, despus de la primera coincidencia, no se considera ninguna entrada posterior. Si la lista de acceso niega un paquete, el software desecha el paquete y vuelve un mensaje ICMP imposible acceder al host. Si no coincide ninguna condicin, el software descarta el paquete. Esto es porque cada lista de acceso termina con una declaracin no escrito, deny implcita. Es decir, si el paquete no ha recibido permiso en el momento de la prueba con respecto a cada sentencia, se deniega.
En versiones posteriores del Cisco IOS tales como versin 12,4, 12.2S, y 12.0S, por abandono, una lista de acceso que tenga ms de 13 entradas de lista de acceso se procesa diferentemente a partir de la una que tiene 13 o menos entradas. Para ser ms eficiente, una lista de acceso con ms de 13 entradas se procesa usando un algoritmo trie-basado de las operaciones de bsqueda. Este proceso suceder automticamente; no necesita ser configurado.
Reglas de la Lista de Acceso

Tenga las reglas y las caractersticas siguientes de las Listas de acceso presente al crear uno:
Solamente se permite una lista de acceso por interfaz, por protocolo y por direccin. La lista de acceso debe contener por lo menos una permit declaracin o bien se niegan todos los paquetes. Dado que el software detiene la prueba de condiciones despus de la primera coincidencia, el orden de las condiciones es fundamental. El mismo permit o deny las declaraciones especificadas en una diversa orden poda dar lugar a un paquete que era pasado bajo una circunstancia y negado en otra circunstancia. Si se hace referencia a una lista de acceso por el nombre en un comando, pero no existe la lista de acceso, pasan todos los paquetes. Es decir, una interfaz o un comando con una lista de acceso vaca aplicada a ella permite todo el trfico. Las listas y las listas de acceso ampliadas de acceso estndar no pueden tener el mismo nombre. Paquetes de proceso de listas de acceso entrante que llegan al router. Los paquetes entrantes se procesan antes de rutearse a una interfaz saliente. Una lista de acceso de entrada es eficiente porque ahorra la sobrecarga de las bsquedas de ruteo si el paquete va a ser desechado por ser denegado por las pruebas de filtrado. Si las pruebas permiten el paquete, se procesa para el ruteo.
36
Para las listas entrantes, permit significa continan procesando el paquete despus de recibirlo en una interfaz de entrada; deny significa el descarte del paquete.
Las listas de acceso salientes procesan los paquetes antes de que salgan del router. Los paquetes de entrada se rutean a la interfaz saliente y se procesan a travs de la lista de acceso saliente. Para las listas salientes, permit significa la envan al bfer de salida; deny significa el descarte del paquete. Una lista de acceso puede controlar el trfico que llega al router o que deja el router, pero no el trfico que se origina en el router.
Listas de Acceso con Nombre o Numeradas

Todas las Listas de acceso se deben identificar por un nombre o un nmero. Nombrado y las listas de acceso numeradas tenga diversa sintaxis de los comandos. Las listas de acceso denominadas son compatibles con el Cisco IOS Release 11.2 y Posterior. Las listas de acceso denominadas son ms convenientes que las listas de acceso numeradas porque usted puede especificar un nombre significativo que sea ms fcil de recordar y de asociarse a un propsito. Usted puede reordenar las declaraciones adentro o agregar las declaraciones a una lista de acceso denominada. La lista de acceso denominada es ms nueva que las listas de acceso numeradas y soporta las caractersticas siguientes que no se soportan en las listas de acceso numeradas:
Filtracin del indicador TCP Filtracin de la opcin IP Puertos noncontiguous Listas de acceso reflexivas Capacidad de borrar las entradas con no permit o no deny el comando
No los comandos all que validan una lista de acceso numerada validarn una lista de acceso denominada. Por ejemplo, las lneas de terminal virtual utilizan solamente las listas de acceso numeradas.
Listas de Acceso Estndar o Ampliadas

Todas las Listas de acceso son estndar o listas de acceso ampliadas. Si usted se prepone solamente filtrar en una direccin de origen, la lista de acceso estndar ms simple es suficiente. Para filtrar en cualquier cosa con excepcin de una direccin de origen, una lista de acceso ampliada es necesaria.
Las listas de acceso denominadas se especifican como estndar o extendidas sobre la base de la palabra clave standard o extended en ip access-list la sintaxis de los comandos. Las listas de acceso numeradas se especifican como estndar o extendido sobre la base de su nmero en access-list la sintaxis de los comandos. Las listas de IP Access estndar se numeran 1 a 99 o 1300 a 1999; las listas de acceso IP ampliado se numeran 100 a 199 o 2000 a 2699. El rango de las listas de IP Access estndar era inicialmente solamente 1 a 99, y fue ampliado posteriormente con el rango 1300 a 1999 (los nmeros de intervencin fueron asignados a otros protocolos). El rango de la lista de acceso ampliada fue ampliado semejantemente.
37
Listas de Acceso Estndar Las listas de IP Access estndar prueban solamente a las direcciones de origen de los paquetes (a excepcin de dos excepciones). Porque las listas de acceso estndar prueban a las direcciones de origen, son muy eficientes en el bloqueo del trfico cerca de un destino. Hay dos excepciones cuando el direccionamiento en una lista de acceso estndar no es una direccin de origen:
En las Listas de acceso salientes del VTY, cuando alguien est intentando al telnet, el direccionamiento en la entrada de lista de acceso se utiliza como direccin destino bastante que una direccin de origen. Al filtrar las rutas, usted est filtrando la red que es hecha publicidad a usted bastante que una direccin de origen.
Listas de acceso ampliadas Las listas de acceso ampliadas son buenas para bloquear el trfico dondequiera. Las listas de acceso ampliadas prueban a las direcciones de origen y de destino y otros datos del paquete del IP, tales como protocolos, los nmeros del puerto TCP o UDP, Tipo de servicio (ToS), precedencia, los indicadores TCP, las opciones IP, y valor de TTL. Las listas de acceso ampliadas pueden tambin proporcionar las capacidades que no pueden las listas de acceso estndar, por ejemplo el siguiente:
Opciones de filtracin IP. Indicadores de filtracin TCP Fragmentos noninitial de filtracin de los paquetes (vase el mdulo el refinar de una lista de IP Access). Entradas del time basado (vase el time basado y las listas de acceso basadas en el tiempo distribuidas seccionar y el mdulo que refina una lista de IP Access). Listas de acceso dinmicas (vase la seccin de las listas de IP Access de la seccin los tipos). Listas de acceso reflexivas (vase tipos de la seccin los de listas de IP Access seccionar y del mdulo que configuran el [Reflexive Access Lists] de filtracin de la sesin IP).
Campos de Paquetes IP que se Pueden Filtrar para Controlar el Acceso

Usted puede utilizar una lista de acceso ampliada para filtrar en uno de los despus de los campos en un paquete del IP. La direccin de origen y la direccin destino son los dos lo ms frecuentemente campos especificados en los cuales basar una lista de acceso:
Direccin de origen Especfica a una direccin de origen a los paquetes de control que vienen de los ciertos dispositivos de interconexin de redes u hosts. Direccin destino Especifica a una direccin destino a los paquetes de control que son enviados a los ciertos dispositivos de interconexin de redes u hosts. Protocolo Especifica protocolo IP indicado por la palabra clave eigrp gre icmp igmp ip ipinip nos ospf tcp, o udp, o indicado por un nmero entero en el rango a partir de la 0 a 255 (representando un protocolo de Internet). Si usted especifica un protocolo de capa de transporte (icmp igmp tcp, o udp), el comando tiene una sintaxis especfica. Puertos y puertos NON-contiguos Especifica el TCP o el UDP vira hacia el lado de babor por un nombre del puerto o un nmero del puerto. Los
38
nmeros del puerto pueden ser nmeros del puerto noncontiguous. Los nmeros del puerto pueden ser tiles para filtrar el trfico o el trfico HTTP de Telnet, por ejemplo. Indicadores TCP Especifica que los paquetes hacen juego cualquier indicador o todos los indicadores fijados en los paquetes TCP. La filtracin en los indicadores especficos TCP puede ayudar a prevenir los paquetes falsos de la sincronizacin.
Opciones IP Especifica las opciones IP; una razn para filtrar en las opciones IP es evitar que saturen al Routers con los paquetes falsos que los contienen. Valor de TTL Especifica los valores de TTL indicados por un operador y posiblemente un rango de los valores. La filtracin en el valor de TTL puede controlar quin puede alcanzar una interfaz basada en cuntos saltos lejos es la fuente. Tal filtracin puede tambin evitar que los paquetes alcancen el nivel de proceso.
Nmeros de Secuencia de la Lista de Acceso

La capacidad de aplicar nmeros de secuencia a las entradas de la lista de acceso simplifica los cambios de la lista de acceso. Antes de la funcin IP Access List Entry Sequence Numbering no haba manera de especificar la posicin de una entrada dentro de una lista de acceso. Si deseaba insertar una entrada en medio de una lista existente, tena que remover todas las entradas que hubiera tras la posicin deseada, aadir la nueva entrada y despus volver a ingresar todas las entradas removidas. Este mtodo era pesado y propenso a errores. Esta funcin permite que los usuarios aadan nmeros de secuencia a entradas de listas de acceso y que cambien su secuencia. Cuando aada una nueva entrada, especifique el nmero de secuencia para que est en la posicin deseada de la lista de acceso. En caso necesario, las entradas incluidas actualmente en la lista de acceso se pueden volver a secuenciar para crear espacio donde insertar la nueva entrada.
Registro de Listas de Acceso

El Cisco IOS Software puede proporcionar los mensajes de registracin sobre los paquetes permitidos o negados por un solo estndar o entrada de la lista del acceso IP ampliado. Es decir, cualquier paquete que haga juego la entrada har un mensaje de registracin informativo sobre el paquete ser enviado a la consola. El nivel de mensajes registrados a la consola es controlado por logging console el comando global configuration. El primer paquete que acciona la entrada de lista de acceso causa un mensaje de registracin inmediato, y los paquetes subsiguientes se recoge sobre cinco minutos los intervalos antes de que se visualicen o se registren. El mensaje de registracin incluye el nmero de lista de acceso, si el paquete fue permitido o negado, la direccin IP de origen del paquete, y el nmero de paquetes de esa fuente permiti o neg en cinco minutos el intervalo anterior. Sin embargo, usted puede utilizar ip access-list log-update el comando de fijar el nmero de paquetes que, cuando coincidencia una lista de acceso (y se permiten o se niegan), hagan el sistema generar un mensaje del registro. Usted puede ser que quiera hacer esto para recibir los mensajes del registro ms con frecuencia que en cinco minutos los intervalos.
Listas de Acceso Basadas en Tiempo y Basadas en Tiempo DIstribuido

Las listas de acceso basadas en el tiempo implementan las entradas de lista de acceso basadas en las pocas determinadas del da o de la semana. Esto es una ventaja cuando usted no quiere las entradas de lista de acceso siempre en efecto o en efecto tan pronto como sean aplicadas. Utilice las listas de acceso basadas en el tiempo para hacer la aplicacin de las condiciones del permit or deny granular, sobre la base de la Fecha y hora. Las listas de acceso basadas en el tiempo distribuido son las que se soportan en el linecards para los Cisco 7500 Series Router. Los paquetes destinados para una interfaz configurada con las listas de acceso basadas en el tiempo son conmutados distribuidos con el linecard.
39
Tipos de Listas de Acceso IP
Hay varios tipos de Listas de acceso que sean distintas debido a cmo se accionan, su naturaleza temporal, o cmo su comportamiento diferencia de una lista de acceso ordinaria. Proxy de Autenticacin El proxy de autenticacin proporciona autenticacin y autorizacin dinmicas usuario, y autentica a los usuarios contra los protocolos de autenticacin estndar de la industria TACACS+ y RADIUS. La autenticacin y la autorizacin de las conexiones de los usuarios proporcionan una proteccin ms slida contra los ataques a la red. Control de Acceso Basado en Contexto El Control de acceso basado en el contexto (CBAC) examina la informacin no slo de la capa de red y de la capa de transporte, pero tambin la informacin del Application Layer Protocol (tal como informacin FTP) para aprender sobre el estado del TCP y de las conexiones UDP. El CBAC mantiene la informacin de estado de la conexin de las conexiones individuales. Esta informacin de estado se utiliza para tomar decisiones inteligentes sobre si los paquetes deben permitirse o denegarse, y crea y elimina dinmicamente aperturas temporales en el firewall. Listas de acceso dinmicas con la caracterstica Cerrojo y Llave Las listas de acceso dinmicas proporcionan el Acceso temporario a los usuarios sealados que estn utilizando Telnet para alcanzar los host designados con un Firewall. Las listas de acceso dinmicas implican la autenticacin de usuario y la autorizacin. Listas de acceso reflexivas Las Listas de acceso reflexivas proporcionan la filtracin en las sesiones de la capa superior protocolo IP. Contienen las entradas temporarias que se crean automticamente cuando una nueva sesin IP comienza. Se jerarquizan dentro de las listas de IP Access extendidas, Nombradas que se aplican a una interfaz. Las Listas de acceso reflexivas se configuran tpicamente en los Router del borde, que pasan el trfico entre un interno y una red externa. stos son a menudo router de escudo de proteccin. Las Listas de acceso reflexivas no terminan con un enunciado de negacin implcito porque se jerarquizan dentro de una lista de acceso y las declaraciones subsiguientes necesitan ser examinadas.
Dnde se Aplica una Lista de Acceso

Si usted est aplicando una lista de acceso a una interfaz, considere cuidadosamente si especificarla como in (entrante) o out (saliente). Aplicando una lista de acceso a los controles de interfaces entrantes o salientes el trfico que ingresar o deja la interfaz o el nivel de proceso del router (en el caso de la filtracin en los valores TTL).
Cuando una lista de acceso de entrada se aplica a una interfaz, despus de que el software reciba un paquete, el software marca el paquete contra las sentencias de lista de acceso. Si la lista de acceso permite el paquete, el software contina procesando el paquete. Por lo tanto, la filtracin en los paquetes entrantes puede salvar a los recursos del router porque los paquetes filtrados no pasarn a travs del router. Las Listas de acceso que se aplican a los paquetes salientes son los filtrados de paquetes que han pasado ya a travs del router. Los paquetes que pasan la lista de acceso se transmiten (enviado) hacia fuera la interfaz.
40
La caracterstica que parte TCP ACL del Control Protocol por satlite de la tarifa basada (RBSCP) es un ejemplo de una caracterstica que se pueda utilizar en una interfaz saliente. Los controles de la lista de acceso que los paquetes son conforme a partir TCP ACK.
Las Listas de acceso se pueden utilizar en las maneras con excepcin de aplicarlas a las interfaces. Los siguientes son lugares adicionales para aplicar una lista de acceso.
Para restringir entrante y las conexiones salientes entre un vty determinado (en un dispositivo de Cisco) y los dispositivos de red en los direccionamientos en una lista de acceso, aplique una lista de acceso a una lnea. Referirse a una lista de acceso debug de un comando limita la cantidad de informacin visualizada solamente a la informacin permitida por la lista de acceso, tal como fuentes, destinos, o protocolos, por ejemplo.
Las Listas de acceso se pueden utilizar para controlar las actualizaciones de ruteo, para controlar el Dial-on-Demand Routing (DDR), y para controlar las caractersticas del Calidad de Servicio (QoS), por ejemplo. Vea los captulos de configuracin apropiados para usar las Listas de acceso con estas caractersticas. (Cisco, 2006)
Configuracin de lista de acceso

Router(config)#interface serial 0/0/0 Router(config-if)#ip address 10.1.1.1 255.255.255.252 Router(config-if)#no shutdown Router(config)#interface serial 0/0/0 Router(config-if)#clock rate 64000 R-3 interface fa0/0 Router(config-if)#ip address Router(config-if)#ip address 192.168.30.1 255.255.255.0 no shoutdown Router(config)#interface serial 0/0/0 Router(config-if)#ip address 10.2.2.2 255.255.255.252 Router(config-if)#no shutdown R-2 Router(config)#interface serial 0/0/0 Router(config-if)#ip address 10.1.1.2 255.255.255.252 Router(config-if)#no shutdown Router(config)#interface serial 0/0/1 Router(config-if)#ip address 10.2.2.1 255.255.255.252 Router(config-if)#no shutdown Router(config)#interface serial 0/0/0 Router(config-if)#clock rate 64000 Router(config)#interface serial 0/0/1 Router(config-if)#clock rate 64000 Habilite OSPF mediante el ID de proceso 1 en todos los routers para todas las redes. R1 route ospf 1
41
network 192.168.10.0 255.255.255.0 area 1 network 192.168.11.0 255.255.255.0 area 1 network 10.1.1.0 255.255.255.252 area 1 R2 Router(config)#router ospf 1 Router(config-router)#network 10.1.1.0 255.255.255.252 area 1 Router(config-router)#network 10.2.2.0 255.255.255.252 area 1 Router(config-router)#network 192.168.20.0 255.255.255.0 area 1 R3 Router(config)#router ospf 1 Router(config-router)#network 10.2.2.2 255.255.255.252 area 1 Router(config-router)#network 10.2.2.0 255.255.255.252 area 1 Router(config-router)#network 192.168.30.0 255.255.255.0 area 1 Router(config-router)#exit Configure direcciones IP para la interfaz VLAN 1 en cada switch sw1: Switch(config)#interface fa 0/1 Switch(config-if)#switchport access vlan 1 Switch(config-if)#exit Switch(config)#interface fa 0/2 Switch(config-if)#switchport access vlan 1 sw2: Switch(config)#interface fa0/2 Switch(config-if)#switchport access vlan 1 Switch(config-if)#exit Switch(config)#interface fa0/1 Switch(config-if)#switchport access vlan 1 Switch(config-if)#exit Configure cada switch con la gateway predeterminada apropiada. sw1: Switch(config)#ip default-gateway 192.168.10.1 sw2: Switch(config)#ip default-gateway 192.168.11.1 Verifique la conectividad IP completa mediante el comando ping.
(Joaquin, 2009)
Servidores Proxy Los servicios proxy son aplicaciones especializadas que corren en una mquina firewall: ya sea en el enrutador de la red o en una mquina bastin. Estas aplicaciones toman los requerimientos de los clientes y los renvan a los servidores verdaderos, basndose en las polticas de seguridad del sistema. El servidor proxy evala las solicitudes de los clientes y decide si debe ser aprobada o denegada. Si la solicitud es aprobada el servidor proxy contacta al servidor real y le renva las solicitudes del cliente proxy al servidor y las respuestas del servidor real al cliente proxy. Por el contrario si es denegada, entonces la solicitud es descartada. (Dulzon, 2002)
42
CONCLUSIN
Anteriormente se mencion todo lo referenciado a lo que es un firewall en la cual se mencion como primer punto hace referencia a las medidas preventivas y correctivas en la cual se aplican a un firewall lo que hizo un listado de dichas medidas, como por igual en este mismo punto se mencionaron las medidas preventivas de seguridad y como tal la identificacin de puertos TCP/UDP en lo cual trabaja en la zona desmilitarizada (DMZ) y como se dijo un firewall provee un punto de defensa entre dos redes, Usualmente, un Firewall protege la red privada de una empresa de las redes pblicas o compartidas a las que se conecta. Un Firewall puede ser tan simple como un router que filtra paquetes o tan complejo como varias computadoras o varios router que combinan el filtrado de paquetes con servicios Proxy, en el segundo punto se trat los temas de tcnicas de implementacin de un firewall de lo cual de menciona las diferentes tcnicas de implementacin de una firewall como tambin los diferentes tipos de firewall a nivel de red y de aplicacin y como por ultimo hace mencin a la forma de implementar un firewall de filtrado de paquetes a nivel de red y de aplicacin por medio de una lista de control del acceso y por lo consiguiente tambin un firewall proxi a nivel de aplicacin.
43
Bibliografa
AGUAYO, Y. C. (01 de 09 de 2000). Administracin de Redes. Recuperado el 02 de 11 de 2013, de Administracin de Redes: http://docente.ucol.mx/ychavez/public_html/FIREWALL.htm Antifermo. (10 de 11 de 2007). Packet Filter. Recuperado el 02 de 11 de 2013, de Packet Filter: http://packetfilter-teleinfo.blogspot.mx/2007/11/filtrado-de-paquetes-packet-filter.html Borghello, C. (12 de 9 de 2009). SEGU.INFO Seguridad de la Informacin. Recuperado el 02 de 11 de 2013, de SEGU.INFO Seguridad de la Informacin. Cisco. (18 de 08 de 2006). Descripcin General de la Lista de Acceso IP. Recuperado el 04 de 11 de 2013, de Descripcin General de la Lista de Acceso IP: http://www.cisco.com/cisco/web/support/LA/107/1074/1074091_sec_access_list_ov_ps6922_TSD_ Products_Configuration_Guide_Chapter.pdf Dulzon. (08 de 02 de 2002). Firewall. Recuperado el 02 de 11 de 2013, de Firewall: http://spi1.nisu.org/recop/al01/dulzon/index.html EsDebian. (16 de 5 de 2011). EsDebian-La mayor comunidad de debian en espa{ol. Recuperado el 02 de 11 de 2013, de EsDebian-La mayor comunidad de debian en espa{ol: http://www.esdebian.org/micuenta FACCE. (13 de 12 de 1997). Zona Virus. Recuperado el 02 de 12 de 2013, de Zona virus: http://www.zonavirus.com/articulos/que-es-el-spoofing.asp FJRP, F. 2. (20 de 04 de 2009). SSI. Recuperado el 30 de 10 de 2013, de SSI: http://www.ie.itcr.ac.cr/marin/telematica/wan/Firewalls.pdf Hernndez, R. (07 de 03 de 2009). Segu.Info. Recuperado el 30 de 10 de 2013, de Segu.Info: http://www.segu-info.com.ar/firewall/firewall.htm Joaquin. (02 de 08 de 2009). Paso a Paso. Recuperado el 04 de 11 de 2013, de Paso a Paso: http://pasoapasodospuntocero.blogspot.mx/ Orea, M. S. (23 de 08 de 2010). Seguridad de la Informacin. Recuperado el 02 de 11 de 2013, de Seguridad de la Informacin: http://www.utim.edu.mx/~svalero/docs/Antologia%20Seguridad%20de%20la%20Informacion.pdf Rey, D. A. (03 de 08 de 2005). Uni Valle. Recuperado el 02 de 10 de 2013, de Uni valle: http://www.univalle.edu.co/~telecomunicaciones/trabajos_de_grado/anteproyectos/anteproyecto_ DavidRey.pdf Vliz, C. (05 de Julio de 2003). Boletn Tress. Recuperado el 01 de 11 de 2013, de Boletn Tress: http://www.tress.com.mx/boletin/julio2003/firewall.htm
44

Reporte 4 de Ivan

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Reporte 4 de Ivan

Caricato da

Copyright:

Formati disponibili

UNIVERSIDAD TECNOLGICA DE HUEJOTZINGO

Nmero 20, 21 22 23 25 53 80 110 139 143 443

Ilustracin 2. Esquema de firewall con DMZ

Ilustracin 3. Esquema de red con doble firewall

Medidas preventivas y correctivas de seguridad e identificacin de puertos TCP/UDP

Ilustracin 4. Modelo TCP/IP

Ilustracin 5. Capas de Red

Ilustracin 6. Protocolos y capas de internet

Actividades previas a la realizacin de un ataque

Ilustracin 7. Utilizacin de traceroute

Ilustracin 8. Obtencin de informacin por traceroute

Ilustracin 9. Obtencin de Informacin del servidor

Ilustracin 10. Informacin completa obtenida

Ilustracin 11. Exploracin de Puertos a travs de Nmap.

Ilustracin 12. Esquema de DMZ.

Sistema de Filtrado de Trafico

Firewall a nivel circuito (Circuit Level Firewalls)

Firewall a nivel aplicacin (Application Layer Firewalls):

Filtros dinmicos a nivel paquete (Dynamic Packet Filters):

Definiciones de trminos usados:

Ilustracin 13. Interpretacin de un Firewall

Firewall de Red y de Aplicaciones

Ilustracin 14. Firewall de Aplicacin.

Ilustracin 15. Utilizacin del Dual-Homed Host

Ilustracin 16. Utilizacin de Screened Host

Ilustracin 17. Utilizacin del Screened Subnet

Polticas de Diseo de Firewalls

Los firewalls de nivel de aplicacin

ACL (Listas de control de acceso)

Listas de acceso IP extendidas (100-199) (Rey, 2005)

Listas de acceso IP14 estndar (1-99)

Beneficios de las Listas de Acceso IP

Trfico no deseado o usuarios del bloque

Controle el acceso a las lneas de terminal virtual

Restrinja el contenido de las actualizaciones de ruteo

Proporcione el Control del ancho de banda

Identifique o clasifique el trfico para las caractersticas de QoS

Llamadas del Marcado a pedido del activador (DDR)

Resultado del comando de debug del lmite

Proporcione el control NAT

Autentique las peticiones entrantes del RSH y RCP

Definicin de una Lista de Acceso

Ilustracin 18. Utilizacin del branchoffices

Reglas de la Lista de Acceso

Listas de Acceso con Nombre o Numeradas

Listas de Acceso Estndar o Ampliadas

Campos de Paquetes IP que se Pueden Filtrar para Controlar el Acceso

Nmeros de Secuencia de la Lista de Acceso

Registro de Listas de Acceso

Listas de Acceso Basadas en Tiempo y Basadas en Tiempo DIstribuido

Dnde se Aplica una Lista de Acceso

Configuracin de lista de acceso

Potrebbero piacerti anche