Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Octubre-2012
Tema 6
Contenido
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Conceptos bsicos
Tipos de cortafuegos
Cortafuegos de filtrado de paquetes
Pasarelas de nivel de aplicacin (Proxies)
Topologas de cortafuegos
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Conceptos bsicos
Cortafuegos/Firewalls: Mecanismos de control de acceso
a la red y los recursos informticos de una organizacin
Formado por componentes hardware y software
Separa nuestra red interna (equipos de confianza) de los equipos externos
(potencialmente hostiles) mediante el control del trfico
Deniega intentos de conexin no autorizados (en ambos sentidos)
Finalidad: prevencin de ataques desde el exterior hacia equipos internos
Opcionalmente: control del uso de la red por parte de los equipos
internos
Proteccin del propio equipo: firewalls personales
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Limitaciones
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
origen interno
dir.origen
puerto origen
10.0.2.16
20122
10.0.2.45
12856
10.0.2.16
5378
...
...
origen NAT
dir. NAT
puerto NAT
193.147.87.47
37012
193.147.87.47
6734
193.147.87.47
11003
...
...
destino externo
dir.destino
puerto destino
193.144.51.100
80
87.123.56.120
22
200.132.50.27
80
...
...
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Filtrado de paquetes
Dispositivos encaminan trfico entre red externa e interna
Trabajan en las capas de red (IP) y/o transporte (TCP,UDP)
Suelen implementarse como un elemento aadido a un router o como un
equipo dedicado
Tema 6
Funcionamiento general
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Funcionamiento
1 Reglas comprobadas secuencialmente una a una (el orden es importante)
2 Cuando hay una correspondencia, se invoca la regla (aceptar o denegar el paquete)
3 Si ninguna regla encaja, se aplica la accin predeterminada
denegar por defecto: lo que no est expresamente permitido, est prohibido
poltica ms conservadora, todo est bloqueado
los servicios permitidos deben aadirse explcitamente
indicar explicitamente qu paquetes se dejan pasar
mayor dificultad de administracin (muy perceptible por el usuario)
mayor nivel de proteccin
aceptar por defecto: lo que no est expresamente prohibido, est permitido
poltica ms permisible, todo est permitido
servicios vulnerables/peligrosos deben bloquearse explcitamente
mayor facilidad de administracin (puesta en marcha sencilla)
nivel de proteccin ms bajo (incrementa el riesgo)
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Ventajas.
Simplicidad: maneja una informacin mnima (cabeceras de los paquetes) y la
especificacin de reglas es simple
permite establecer un filtrado en casi cualquier red
Rapidez/eficiencia: mnimo proceso a realizar sobre los paquetes para la
toma de decisiones (coste y retardos reducidos)
Son transparentes al usuario (no requieren participacin por su parte)
Limitaciones.
Usan info. de bajo nivel, no examinan datos de niveles superiores (capa
aplicacin)
no puede evitar ataques que aprovechen vulnerabilidades o funcionalidades especficas de
las aplicaciones
no pueden bloquear comandos especficos del protocolo de aplicacin
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Funcionamiento
Cliente interno que desee conectar con exterior establece conex. con Proxy
Proxy establece conexin con servidor externo en nombre de ese cliente
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Ventajas
Mayor seguridad que filtros de paquetes
Proxy est especializado en analizar/controlar una aplicacin concreta
Inconvenientes
Exige instalar Proxy para cada aplicacin que se pretenda controlar
No totalmente transparentes al usuario (requieren cierta intervencin)
Alto coste de procesamiento (mantener/controlar 2 conexiones)
menor rendimiento que filtros de paquetes
cantidad de servicios con Proxy est limitada por recursos del equipo cortafuegos.
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
reglas de filtrado
servicios pblicos
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Caractersticas:
ofrece los servicios pblicos sin debilitar la red interna
configuracin y administracin delicada
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Tema 6
SSI
Conceptos
Tipologa
Filtros paquetes
Proxies
Topologas
Ventajas.
mayor seguridad y tolerancia a fallos
mayor flexibilidad: pueden definirse tantas DMZ como sea preciso, con
distintos niveles de seguridad
Limitaciones.
dificultad de administracin (gestionar 2 conjuntos de reglas de filtrado
funcionando en conjunto)
sensacin de falsa seguridad