Filtrado de red

Filtrado de red
Separa reas protegidas de aquellas no protegidas en una red,

previniendo que usuarios no autorizados accedan a los recursos

de red protegidos.
Tecnologas usadas:
ACLs
ACLs Estndar, extendidas, numeradas y nombradas

ACLs Avanzadas
Cortafuegos con estado

ACLs Reflexivas (dinamicas), ACLs basadas en tiempo

Cortafuegos basados en inspeccin de paquetes con estado

Cortafuegos basados en zonas

Filtrado de paquetes con ACL

Funciona en la capa 3 en base a reglas para determinar la

autorizacin o denegacin del trfico

Las reglas se definen mediante las listas de control de acceso o ACL
Una ACL es una lista secuencial de sentencias de permiso o
denegacin que se aplican a direcciones IP o protocolos de capa
superior

Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino

Filtrado de paquetes con ACL

Pautas para el uso de las ACL:
Utilice las ACL en routers firewall entre su red interna y su red externa, como Internet.
Utilice las ACL en un router situado entre dos partes de la red a fin de controlar el trfico que

entra o sale de una parte especfica de su red interna.

Configure las ACL en routers de borde situados en los extremos de la red. Esto proporciona
un bfer muy bsico desde la red externa, o entre un rea menos controlada y un rea ms
sensible de su red.
Configure las ACL para cada protocolo de red configurado en las interfaces del router de
borde. Puede configurar las ACL en una interfaz para filtrar el trfico entrante, saliente o
ambos.

Funcionamiento de ACL
Las ACL se configuran para ser aplicadas al trfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de

salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas de enrutamiento
si el paquete se descarta. Si el paquete est autorizado por las pruebas, luego se procesa
para el enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son
procesados a travs de la ACL de salida.

Funcionamiento ACL estndar

Las dos tareas principales involucradas al utilizar las ACL son:
Paso 1. Crear una lista de acceso que especifique un nmero o nombre de lista de acceso y las

condiciones de acceso.
Paso 2. Aplicar la ACL a las interfaces o lneas de terminal.

ACL extendidas
Las ACL extendidas proporcionan un mayor control que las ACL

estndar
Puede usar ACL extendidas numeradas del 100 al 199 y del 2000
al 2699
Las ACL extendidas verifican la direccin de origen del paquete,
pero tambin verifican la direccin de destino, los protocolos y los
nmeros de puerto (o servicios)

Ubicacin de ACL
Como las ACL estndar no

especifican las direcciones de

destino, colquelas lo ms
cerca del destino posible.

Ubicar las ACL extendidas lo

ms cerca posible del origen

del trfico denegado. De esta
manera, el trfico no deseado
se filtra sin atravesar la
infraestructura de red.

Sesiones TCP
En una red moderna, todo el trfico proveniente del exterior debe

ser bloqueado para ingresar a la red interna a menos que:

Est permitido explcitamente por una ACL.
Sea un trfico de retorno y que fue iniciado desde el interior de la red.

Muchas aplicaciones comunes se basan en TCP, que construye

un circuito virtual entre dos extremos.

Se introdujeron soluciones de filtrado de trfico basado en la

conectividad de dos vas de TCP:

TCP Established
ACL reflexivas

ACLs con TCP Established

Bloquea todo el trfico TCP procedente de Internet excepto el

trfico de respuesta asociado con las conexiones TCP iniciadas

en el interior de la red.
Comprueba si el indicador de control TCP ACK o RST est

activado en el paquete evaluado.

Si lo est, se permite que el trfico TCP ingrese.
Si no lo est, supone que el trfico corresponde a una nueva conexin

externa.
Usar la funcin de TCP Established no significa que se haya

implementado un firewall con estados en el router.

El parmetro established permite que slo pasen segmentos con el

indicador de control TCP apropiado.

No se mantiene ninguna informacin acerca del estado de la
conexin.

ACLs Reflexivas
Filtran el trfico basndose en la fuente, las direcciones de

destino, y los nmeros de puerto.

Adems, el filtrado de sesin utiliza filtros temporales que se

eliminan cuando una sesin ha finalizado, lo cual limita la

oportunidad de ataque de un hacker.
El router examina el trfico saliente y cuando ve una nueva

conexin, agrega una ACL temporal que permita que la respuesta

a esa conexin pueda volver.
Estas entradas se crean automticamente cuando una nueva sesin

IP comienza, por ejemplo, con un paquete de salida, y las entradas se

eliminan automticamente cuando finaliza la sesin.

ACL dinmicas ACL de bloqueo

Establecen una ACL extendida que bloquea el trfico en el router
Los usuarios que deseen atravesar el router son bloqueados por la ACL

extendida hasta que utilizan Telnet para conectarse al router y ser

autenticados.
En ese momento, se interrumpe la conexin a Telnet, y se agrega una
ACL dinmica de nica entrada a la ACL extendida existente.
Esta entrada permite el trfico por un perodo determinado

ACL basadas en el tiempo

La ACL basada en el tiempo es similar en funcin a la ACL extendida, pero

admite control de acceso basado en el tiempo.

Para implementar las ACL basadas en el tiempo, debe crear un rango
horario que defina la hora especfica del da y la semana.
Debe identificar el rango de tiempo con un nombre y, luego, remitirse a l
mediante una funcin.
Las restricciones temporales son impuestas en la misma funcin.

Mitigando Ataques con ACLs

ACLs se pueden usar para mitigar varias amenazas en la red:
Suplantacin de direcciones IP, salientes y entrantes
Ataques de DoS TCP SYN
Ataques DoS smurf

ACLs tambin pueden filtrar el siguiente trfico:

Mensajes ICMP, entrantes y salientes
traceroute

No permitir direcciones suplantadas

Denegar todos los paquetes IP

entrantes a la red que provengan de:

Cualquier direccin de host local

(127.0.0.0/8)
Cualquier direccin de una red privada

reservada (RFC 1918)

Cualquier direccin IP que provenga del

rango de direcciones Multicast (224.0.0.0/4)

Inbound on S0/0/0
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#

access-list
access-list
access-list
access-list
access-list
access-list
access-list

150
150
150
150
150
150
150

deny
deny
deny
deny
deny
deny
deny

ip
ip
ip
ip
ip
ip
ip

0.0.0.0 0.255.255.255 any

10.0.0.0 0.255.255.255 any
127.0.0.0 0.255.255.255 any
172.16.0.0 0.15.255.255 any
192.168.0.0 0.0.255.255 any
224.0.0.0 15.255.255.255 any
host 255.255.255.255 any

No permitir direcciones suplantadas

No permitir la salida a paquetes IP

cuya direccin origen no sea la de

una direccin IP vlida en la red
interna.
Crear una ACL que permita que slo

aquellos paquetes cuya direccin origen

pertenezca a la red interna puedan salir y
denegar el resto.

Inbound on Fa0/1
R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any

Proteger servicios comunes

Los servicios comunes debieran estar permitidos para atravesar

el firewall.

Outbound on Fa0/0
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#

access-list
access-list
access-list
access-list
access-list
access-list
access-list

180
180
180
180
180
180
180

permit
permit
permit
permit
permit
permit
permit

udp
tcp
tcp
tcp
tcp
udp
udp

any host 192.168.20.2 eq domain

any host 192.168.20.2 eq smtp
any host 192.168.20.2 eq ftp
host 200.5.5.5 host 192.168.20.2
host 200.5.5.5 host 192.168.20.2
host 200.5.5.5 host 192.168.20.2
host 200.5.5.5 host 192.168.20.2

eq
eq
eq
eq

telnet
22
syslog
snmptrap

Firewall
Previene que el trfico no deseado ingrese a reas protegidas

dentro de una red.

Es un sistema o un grupo de sistemas que refuerzan las polticas

de control de acceso entre redes.

Por ejemplo:
Un enrutador con filtrado de paquetes

Un switch con dos VLANs

Mltiples terminales con software de cortafuegos

En 1989, AT&T Bell Laboratories desarroll el primer cortafuegos

con estado.
Un cortafuegos con estado puede determinar si un paquete pertenece

a algn flujo de datos existente.

Firewall

Filtrado de paquetes sin estado Vs. con

estado

Filtrado de paquetes sin estado:

Filtran el trfico basndose en las direcciones IP origen y destino,

nmeros de puerto TCP y UDP, banderas TCP, tipos y cdigos ICMP.

Filtrado de paquetes con estado:
Mantiene registro de todas las conexiones que atraviesan el firewall
Monitorea el estado de las conexiones, y revisa si una conexin se

encuentra en estado de inicio, transferencia de datos o terminacin.

Puede determinar si un paquete es el inicio de una nueva conexin, o parte

de una conexin existente.

Nota:
Un firewall de filtrado de paquetes tpicamente puede filtrar hasta la

capa de transporte, mientras un firewall con estado puede filtrar hasta

la capa de sesin.

Tipos de firewall
Filtrado de paquetes

Con estado

Manejo de conexiones TCP

Manejo de conexiones UDP

Otros Tipos de Firewall

firewall de pasarela de

aplicaciones (proxy firewall):

Filtra informacin en las capas 3, 4, 5, y 7.
El control y filtrado del firewall se realiza por

software.

Firewall de traduccin de

direcciones:
Un firewall que expande el nmero de

direcciones IP disponible y esconde el

diseo del espacio de direcciones.

Proxy de aplicacin

Verifican el acceso y el contenido de la informacin en

curso
No todo el trfico pasa a travs del Proxy
La ubicacin del Proxy en la red no representa un
elemento crtico como en el caso anterior

Servidor Proxy Bsico

Servidor Proxy con reforzamiento de usuarios
Servidor Proxy en una DMZ (SOCKS)

Otros tipos de Firewalls

Firewall basado en host (servidor and personal) :
A PC o servidor corriendo un software de firewall.

Firewall Transparente :
Un firewall que filtra trfico IP entre un par de interfaces puenteadas.

Firewall Hbrido:
Un firewall que combina varios tipos de firewalls.
Por ejemplo, un firewall de inspeccin de aplicaciones combina un

firewall con estado con un firewall de pasarela de aplicaciones.

Cortafuegos de Capa 2
Los cortafuegos de capa 3 representan

un destino en la red
No genera ningn cambio en la
topologa de la red
Se vuelve ms difcil de atacar al no
disponer de direcciones IP

Zona Desmilitarizada
Es una red segura, ubicada entre la red interna de una

organizacin y una red externa, generalmente en Internet.

Su principal uso es aislar servidores que requieren acceso

pblico.

Conceptos errneos
"Un firewall es todo lo que se necesita para garantizar una red interna

segura!"
Esto ayuda, pero no es "todo lo que se necesita"!
Un nmero significativo de intrusiones, tales como virus, provienen
de hosts dentro de la red.
Los cortafuegos no reemplazan los mecanismos de copia de
seguridad y recuperacin de desastres resultantes de ataque o
fallo de hardware.
Un servidor de seguridad no es un sustituto para los
administradores y usuarios informados.

Eleccin del cortafuegos

Cada tipo de cortafuegos tiene fortalezas y

debilidades.
La implementacin del cortafuegos debe ser el ltimo
paso en el proceso de anlisis de riesgo
Principios a tener en cuenta en la eleccin:
Un cortafuegos implementa una poltica de seguridad
primero debe establecerse la poltica de seguridad y dejar en

claro las pautas de lo que se permite y lo que no se permite

hacer.
Desarrollar un criterio de seleccin propio.

Implementando un cortafuegos
Los cortafuegos ayudan a proteger los recursos, pero son

parte de un plan de seguridad general.

El mejor cortafuegos no es un producto, es una combinacin de factores.
Un cortafuegos es tan bueno como las polticas que se implementen.
Determinar que productos encajan mejor en nuestro esquema

Se justifica su existencia en la reduccin del impacto y/o

probabilidad de amenazas que reduzcan el riesgo.

Analizar los requerimientos de seguridad
Debe ser administrado proactivamente, revisado y

actualizado

periodicamente.

Se puede implementar una combinacin de cortafuegos

Diseo de firewall simple

El diseo de un Firewall puede ser tan simple como tener una red

interna y otra red externa utilizando dos interfaces.

La red interna (o red privada) es de confianza.
El trfico desde el interior por lo general tiene permitido atravesar el

cortafuegos al exterior con poca o ninguna restriccin.

El trfico que vuelve desde el exterior que est asociado con el trfico
originado desde el interior tiene permitido atravesar desde la interfaz no
confiable hacia la interfaz de confianza.
La red externa (o red pblica) no es de confianza.
El trfico que se origina desde el exterior es generalmente bloqueado por

completo o se permite de forma muy selectiva.

Reforzando la seguridad perimetral

Diseo de firewall moderno

Los diseos involucran tres o ms interfaces del firewall:
Una red interna
El trfico hacia el exterior est permitido libremente.
El trfico hacia la DMZ est permitido libremente.

Una red externa

El trfico desde el exterior generalmente est bloqueado completamente a

menos que est asociado con trfico originado en la red interna o en la

DMZ.
Una red DMZ
El trfico desde el exterior debe ser muy especfico como el trfico de

email, DNS, HTTP, o HTTPS.

El trfico hacia el exterior est libremente permitido.

Diseo de firewall moderno

Inspeccin de paquetes con estado (SPI)

Anteriormente conocido como el control de acceso basado en el contexto

(CBAC)
SPI permite el ingreso de ciertos flujos inspeccionando primero y registrando los
flujos que se iniciaron desde la red de confianza.
Est configurado por interfaz y opera modificando dinmicamente las entradas
de ACL basndose en los flujos de trfico.
SPI puede inspeccionar hasta la capa de aplicacin
La combinacin de la poltica de inspeccin y la poltica basada en ACL define
la poltica general de firewall.
Para proteger una red de confianza (interna) de una red no fiable (externa)
utilizando un router con dos interfaces, se tendrn cuatro puntos lgicos donde
el router puede inspeccionar el trfico:

Entrante en la interfaz interna

Saliente en la interfaz externa
Entrante en la interfaz externa
Saliente en la interfaz interna

Ejemplo de SPI
Todo el trfico de la LAN interna hacia Internet es permitido, y el trfico
desde Internet hacia la LAN es denegado.
El router inspecciona el contenido del trfico procedente de la red de
confianza, y ajusta dinmicamente las ACLs para permitir/restringir el trfico
entrante de retorno en la interfaz externa

Ejemplo SPI
Router(config)# ip access-list extended WEB
Router(config-ext-nacl)# permit ip host 192.168.0.2 any eq 80
Router(config-ext-nacl)# exit
Router(config)# interface fa0/1
Router(config-if)# ip access-group WEB in
Router(config-if)# exit
Router(config)# ip access-list extended DENY_ALL
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface fa0/0
Router(config-if)# ip access-group DENY_ALL in
Router(config-if)# exit
Router(config)# ip inspect name inshttp http
Router(config)# interface fa0/0
Router(config-if)# ip inspect inshttp out
Router(config-if)# end
Router#

Firewall basado en zonas

El firewall basado en zonas (ZPF) es la tecnologa ms actual firewall

Cisco.
ZPF permite la agrupacin de interfaces fsicas y virtuales.
Aplica polticas explcitas que se configuran sobre el trfico que se
mueve entre zonas.
La configuracin de polticas de firewall es muy flexible.
Polticas diferentes se pueden aplicar a diferentes grupos de host, en
base a la configuracin de ACL.
ZPF soporta las siguientes funcionalidades:

La inspeccin de estado
Inspeccin de la aplicacin: IM, POP, IMAP, SMTP / ESMTP, filtrado de URL HTTP
Parmetro por polticas
cortafuegos transparente

Topologa ZPF
Los firewall de poltica basados en zonas presentan zonas privadas,
pblicas y DMZ controladas por mltipes polticas.

Ejemplo ZPF
! Define inspect class-maps:
class-map type inspect match-any TCP
match protocol tcp
class-map type inpsect match-all MY-CLASS
match access-group 102
match class-map TCP
! Define inspect policy-map:
policy-map type inspect MY-POLICY
class type inspect MY-CLASS
inspect
! Define zones:
zone security PRIVATE
zone security PUBLIC
! Establish zone pair, apply policy:
zone-pair security PRIV-PUB source PRIVATE destination PUBLIC
service-policy type inspect MY-POLICY
! Assign interfaces to zones:
interface FastEthernet0/0
zone-member security PRIVATE
interface FastEthernet0/1
zone-member security PUBLIC
! Define ACL
access-list 102
access-list 102
access-list 102
access-list 102

permit
permit
permit
permit

tcp
tcp
tcp
tcp

any
any
any
any

any
any
any
any

eq
eq
eq
eq

telnet
smtp
ftp
www

Otros Mtodos para asegurar la red

El trfico no autorizado o no deseado se puede bloquear

implementando otras caractersticas de seguridad:

Mapas de acceso VLAN (en switches LAN)
Sistemas de Prevencin de Intrusiones (IPS)
Unicast Reverse Path Forwarding (uRPF).
IP Security (IPsec)
IEEE 802.1X
Network Admission Control (NAC)

Consultas