Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Filtrado de red
Separa reas protegidas de aquellas no protegidas en una red,
ACLs Avanzadas
Cortafuegos con estado
Direccin IP de origen
Direccin IP de destino
Tipo de mensaje ICMP
Puerto TCP/UDP de origen
Puerto TCP/UDP de destino
Funcionamiento de ACL
Las ACL se configuran para ser aplicadas al trfico entrante o saliente.
ACL de entrada: los paquetes entrantes se procesan antes de ser enrutados a la interfaz de
salida. Una ACL de entrada es eficaz porque guarda la carga de bsquedas de enrutamiento
si el paquete se descarta. Si el paquete est autorizado por las pruebas, luego se procesa
para el enrutamiento.
ACL de salida: los paquetes entrantes se enrutan a la interfaz de salida y luego son
procesados a travs de la ACL de salida.
condiciones de acceso.
Paso 2. Aplicar la ACL a las interfaces o lneas de terminal.
ACL extendidas
Las ACL extendidas proporcionan un mayor control que las ACL
estndar
Puede usar ACL extendidas numeradas del 100 al 199 y del 2000
al 2699
Las ACL extendidas verifican la direccin de origen del paquete,
pero tambin verifican la direccin de destino, los protocolos y los
nmeros de puerto (o servicios)
Ubicacin de ACL
Como las ACL estndar no
Sesiones TCP
En una red moderna, todo el trfico proveniente del exterior debe
externa.
Usar la funcin de TCP Established no significa que se haya
ACLs Reflexivas
Filtran el trfico basndose en la fuente, las direcciones de
(127.0.0.0/8)
Cualquier direccin de una red privada
Inbound on S0/0/0
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
access-list
access-list
access-list
access-list
access-list
access-list
access-list
150
150
150
150
150
150
150
deny
deny
deny
deny
deny
deny
deny
ip
ip
ip
ip
ip
ip
ip
Inbound on Fa0/1
R1(config)# access-list 105 permit ip 192.168.1.0 0.0.0.255 any
el firewall.
Outbound on Fa0/0
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
R1(config)#
access-list
access-list
access-list
access-list
access-list
access-list
access-list
180
180
180
180
180
180
180
permit
permit
permit
permit
permit
permit
permit
udp
tcp
tcp
tcp
tcp
udp
udp
eq
eq
eq
eq
telnet
22
syslog
snmptrap
Firewall
Previene que el trfico no deseado ingrese a reas protegidas
con estado.
Un cortafuegos con estado puede determinar si un paquete pertenece
Firewall
Nota:
Un firewall de filtrado de paquetes tpicamente puede filtrar hasta la
Tipos de firewall
Filtrado de paquetes
Con estado
software.
Firewall de traduccin de
direcciones:
Un firewall que expande el nmero de
Proxy de aplicacin
Firewall Transparente :
Un firewall que filtra trfico IP entre un par de interfaces puenteadas.
Firewall Hbrido:
Un firewall que combina varios tipos de firewalls.
Por ejemplo, un firewall de inspeccin de aplicaciones combina un
Cortafuegos de Capa 2
Los cortafuegos de capa 3 representan
un destino en la red
No genera ningn cambio en la
topologa de la red
Se vuelve ms difcil de atacar al no
disponer de direcciones IP
Zona Desmilitarizada
Es una red segura, ubicada entre la red interna de una
pblico.
Conceptos errneos
"Un firewall es todo lo que se necesita para garantizar una red interna
segura!"
Esto ayuda, pero no es "todo lo que se necesita"!
Un nmero significativo de intrusiones, tales como virus, provienen
de hosts dentro de la red.
Los cortafuegos no reemplazan los mecanismos de copia de
seguridad y recuperacin de desastres resultantes de ataque o
fallo de hardware.
Un servidor de seguridad no es un sustituto para los
administradores y usuarios informados.
debilidades.
La implementacin del cortafuegos debe ser el ltimo
paso en el proceso de anlisis de riesgo
Principios a tener en cuenta en la eleccin:
Un cortafuegos implementa una poltica de seguridad
primero debe establecerse la poltica de seguridad y dejar en
Implementando un cortafuegos
Los cortafuegos ayudan a proteger los recursos, pero son
actualizado
periodicamente.
(CBAC)
SPI permite el ingreso de ciertos flujos inspeccionando primero y registrando los
flujos que se iniciaron desde la red de confianza.
Est configurado por interfaz y opera modificando dinmicamente las entradas
de ACL basndose en los flujos de trfico.
SPI puede inspeccionar hasta la capa de aplicacin
La combinacin de la poltica de inspeccin y la poltica basada en ACL define
la poltica general de firewall.
Para proteger una red de confianza (interna) de una red no fiable (externa)
utilizando un router con dos interfaces, se tendrn cuatro puntos lgicos donde
el router puede inspeccionar el trfico:
Ejemplo de SPI
Todo el trfico de la LAN interna hacia Internet es permitido, y el trfico
desde Internet hacia la LAN es denegado.
El router inspecciona el contenido del trfico procedente de la red de
confianza, y ajusta dinmicamente las ACLs para permitir/restringir el trfico
entrante de retorno en la interfaz externa
Ejemplo SPI
Router(config)# ip access-list extended WEB
Router(config-ext-nacl)# permit ip host 192.168.0.2 any eq 80
Router(config-ext-nacl)# exit
Router(config)# interface fa0/1
Router(config-if)# ip access-group WEB in
Router(config-if)# exit
Router(config)# ip access-list extended DENY_ALL
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface fa0/0
Router(config-if)# ip access-group DENY_ALL in
Router(config-if)# exit
Router(config)# ip inspect name inshttp http
Router(config)# interface fa0/0
Router(config-if)# ip inspect inshttp out
Router(config-if)# end
Router#
Cisco.
ZPF permite la agrupacin de interfaces fsicas y virtuales.
Aplica polticas explcitas que se configuran sobre el trfico que se
mueve entre zonas.
La configuracin de polticas de firewall es muy flexible.
Polticas diferentes se pueden aplicar a diferentes grupos de host, en
base a la configuracin de ACL.
ZPF soporta las siguientes funcionalidades:
La inspeccin de estado
Inspeccin de la aplicacin: IM, POP, IMAP, SMTP / ESMTP, filtrado de URL HTTP
Parmetro por polticas
cortafuegos transparente
Topologa ZPF
Los firewall de poltica basados en zonas presentan zonas privadas,
pblicas y DMZ controladas por mltipes polticas.
Ejemplo ZPF
! Define inspect class-maps:
class-map type inspect match-any TCP
match protocol tcp
class-map type inpsect match-all MY-CLASS
match access-group 102
match class-map TCP
! Define inspect policy-map:
policy-map type inspect MY-POLICY
class type inspect MY-CLASS
inspect
! Define zones:
zone security PRIVATE
zone security PUBLIC
! Establish zone pair, apply policy:
zone-pair security PRIV-PUB source PRIVATE destination PUBLIC
service-policy type inspect MY-POLICY
! Assign interfaces to zones:
interface FastEthernet0/0
zone-member security PRIVATE
interface FastEthernet0/1
zone-member security PUBLIC
! Define ACL
access-list 102
access-list 102
access-list 102
access-list 102
permit
permit
permit
permit
tcp
tcp
tcp
tcp
any
any
any
any
any
any
any
any
eq
eq
eq
eq
telnet
smtp
ftp
www
Consultas