MODULO V-S1: ADMINISTRA UNA RED LAN DE ACUERDO A LOS RECURSOS DISPONIBLES Y

PRCTICA No: 09

REQUERIMIENTOS DE LA ORGANIZACIN

FECHA: 25-FEB-16
EV. No: 2.2

CUIDADO CON LOS ATAQUES!

Un firewall es software o hardware que comprueba la informacin
procedente de Internet o de una red y, a continuacin, bloquea o permite el
paso de sta al equipo, en funcin de la configuracin del firewall.
Un firewall puede ayudar a impedir que hackers o software malintencionado
(como gusanos) obtengan acceso al equipo a travs de una red o de
Internet. Un firewall tambin puede ayudar a impedir que el equipo enve
software malintencionado a otros equipos.
Tipos de firewall

Filtrado de paquetes

Proxy-gateways de
aplicaciones

Caractersticas
Estos firewall se basan en
un conjunto de reglas que
especifican la accin a
tomar dependiendo de las
caractersticas del paquete
analizado:
IP origen
IP destino
Puerto de origen (en
paquetes TCP o
UDP)
Puerto de destino
(en paquetes TCP o
UDP)
Cabeceras
de
estado (en paquetes
TCP)
Este tipo de firewall no
almacena un registro de
que conexiones han sido
establecidas con xito,
debido a esto y al hecho de
que las cabeceras TCP/IP
de un paquete pueden ser
falsificadas estos filtros son
susceptibles a Spoofing de
paquetes.
Fsica: Se crearon software
de aplicacin encargados
de filtrar las conexiones.
Estas aplicaciones son
conocidas como Servidores

Nivel de seguridad
Filtrar
contenidos
en
transferencias HTTP o FTP
Examinar el trfico de
correo electrnico en busca
de SPAM o virus

Durante la creacin del

servidor
proxy
seguro,
estn
disponibles
las
configuraciones
predeterminadas de alto,
NC

EP

ED

EA

DIMAS ELIAS ARIANA

6 I
PLANTEL CECyTE
HUICHAPAN

FACILITADOR: M.C. MARIO CHAVEZ RAMIREZ

Colegio de Estudios
Cientficos y Tecnolgicos
Del Estado de Hidalgo

INSTITUCION CERTIFICADA:
ISO 9001:2008

MODULO V-S1: ADMINISTRA UNA RED LAN DE ACUERDO A LOS RECURSOS DISPONIBLES Y

PRCTICA No: 09

REQUERIMIENTOS DE LA ORGANIZACIN

Dual- humed host

Screened host

FECHA: 25-FEB-16
EV. No: 2.2

Proxy y la mquina donde

se ejecuta recibe el nombre
de Gateway de Aplicacin o
Bastion Host.
El Proxy, instalado sobre el
Nodo Bastin, acta de
intermediario
entre
el
cliente y el servidor real de
la
aplicacin,
siendo
transparente
a
ambas
partes.
Lgica:
proxy
de
aplicacin:
Adems del filtrado de
paquetes, es habitual que
los cortafuegos utilicen
aplicaciones software para
reenviar
o
bloquear
conexiones a servicios
como finger, telnet o FTP; a
tales aplicaciones se les
denomina servicios proxy,
mientras que a la mquina
donde se ejecutan se le
llama
pasarela
de
aplicacin.
Son dispositivos que estn
conectados
a
ambos
permetros
(interior
y
exterior) y no dejan pasar
paquetes IP (como sucede
en el caso del Filtrado de
Paquetes), por lo que se
dice que actan con el "IPForwarding desactivado".
Es decir que se utilizan dos
conexiones. Uno desde la
mquina interior hasta el
Firewall y el otro desde este
hasta la mquina que
albergue el servicio exterior.
En este caso se combina un
Router con un host bastin
y el principal nivel de

medio y bajo. Tambin

puede personalizar estos
valores de seguridad que
hacen que el sistema
calcule el nivel de seguridad
DMZ actual. Cada valor
personalizado tiene un valor
asignado de alto, medio o
bajo.

Es necesario que el IP
Forwarding
est
deshabilitado en el equipo:
aunque una mquina con
dos tarjetas puede actuar
como un router, para aislar
el trfico entre la red interna
y la externa es necesario
que el choke no enrute
paquetes entre ellas.

Un paso ms en trminos
de seguridad de los
cortafuegos
es
la
NC

EP

ED

EA

DIMAS ELIAS ARIANA

6 I
PLANTEL CECyTE
HUICHAPAN

FACILITADOR: M.C. MARIO CHAVEZ RAMIREZ

Colegio de Estudios
Cientficos y Tecnolgicos
Del Estado de Hidalgo

INSTITUCION CERTIFICADA:
ISO 9001:2008

MODULO V-S1: ADMINISTRA UNA RED LAN DE ACUERDO A LOS RECURSOS DISPONIBLES Y

PRCTICA No: 09

REQUERIMIENTOS DE LA ORGANIZACIN

Screened subnet

Inspeccin de paquetes

Firewalls personales

FECHA: 25-FEB-16
EV. No: 2.2

seguridad proviene del

filtrado de paquetes. En el
bastin, el nico sistema
accesible desde el exterior,
se ejecuta el Proxy de
aplicaciones y en el Choke
se filtran los paquetes
considerados peligrosos y
slo se permiten un nmero
reducido de servicios.
En este diseo se intenta
aislar la mquina ms
atacada y vulnerable del
Firewall, el Nodo Bastin.
Para ello se establece una
Zona
Desmilitarizada
(DMZ) de forma tal que sin
un intruso accede a esta
mquina no consiga el
acceso total a la subred
protegida.
Este tipo de Firewalls se
basa en el principio de que
cada paquete que circula
por la red es inspeccionado,
as como tambin su
procedencia y destino. Se
aplican desde la capa de
Red
hasta
la
de
Aplicaciones.
Generalmente
son
instalados
cuando
se
requiere seguridad sensible
al
contexto
y
en
aplicaciones
muy
complejas.
Estos
Firewalls
son
aplicaciones
disponibles
para usuarios finales que
desean conectarse a una
red externa insegura y
mantener su computadora a
salvo de ataques que

arquitectura screened host

o choke-gate, que combina
un router con un host
bastin, y donde el principal
nivel de seguridad proviene
del filtrado de paquetes

Un nivel de seguridad en las

arquitecturas
de
cortafuegos situando una
subred (DMZ) entre las
redes externa e interna.
es la arquitectura ms
segura, pero tambin la
ms compleja; se utilizan
dos routers, denominados
exterior
e
interior,
conectados ambos a la red
perimtrica
DPI pueden inspeccionar el
contenido completo del
paquete y analizar el
rendimiento en funcin del
protocolo con el que
estemos trabajando. De
este modo, DPI hace
posible poder encontrar,
identificar,
clasificar,
redirigir
o
bloquear
paquetes
con
ciertos
contenidos
o
cdigos
determinados que otros
sistemas
convencionales
no pueden detectar.
Acceso completo
Acceso saliente
Acceso supervisado
Invisible
Bloqueo

NC

EP

ED

EA

DIMAS ELIAS ARIANA

6 I
PLANTEL CECyTE
HUICHAPAN

FACILITADOR: M.C. MARIO CHAVEZ RAMIREZ

Colegio de Estudios
Cientficos y Tecnolgicos
Del Estado de Hidalgo

INSTITUCION CERTIFICADA:
ISO 9001:2008

MODULO V-S1: ADMINISTRA UNA RED LAN DE ACUERDO A LOS RECURSOS DISPONIBLES Y

PRCTICA No: 09

REQUERIMIENTOS DE LA ORGANIZACIN

FECHA: 25-FEB-16
EV. No: 2.2

puedan ocasionarle desde

un simple "cuelgue" o
infeccin de virus hasta la
prdida
de
toda
su
informacin almacenada.

NC

EP

ED

EA

DIMAS ELIAS ARIANA

6 I
PLANTEL CECyTE
HUICHAPAN

FACILITADOR: M.C. MARIO CHAVEZ RAMIREZ

Colegio de Estudios
Cientficos y Tecnolgicos
Del Estado de Hidalgo

INSTITUCION CERTIFICADA:
ISO 9001:2008