1) ESP - Firewall Introduction

Introduccin al
Firewall
www.huawei.com
Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.
Objetivos
Al completar el curso el participante podr:
Entender la evolucin de la historia del firewall

Page 2
Historia de los firewalls
El trmino "firewall / fireblock" significaba

originalmente una pared para confinar un
incendio o riesgo potencial de incendio en un
edificio.
Ms adelante se uso para referirse a las

estructuras similares, como la hoja de metal
que separa el compartimiento del motor de
un vehculo o una aeronave de la cabina

Page 3
Historia de los firewalls
Los predecesores de los cortafuegos para la

seguridad de la red fueron los ruteadores
utilizados a finales de 1980, que mantenan a
las redes separadas unas de otras.
Mas tarde se utilizaron listas de acceso en

las interfaces de los ruteadores para permitir
o negar el trafico

Page 4
Amenazas de seguridad
Las amenazas de seguridad mas comunes en

Internet pueden ser clasificadas en los
siguientes tipos :
Uso no autorizado
Denegacin de servicio
Robo de informacin
Alteracin de la informacin.

Page 5
Uso no autorizado
Los recursos son usados por usuarios no

autorizados o alguna autorizacin ilegal
Por ejemplo un atacante accede con un

usuario/password robado o un usuario
modifica sus permisos para acceder a cierta
informacin.

Page 6
DoS ( Denegacin de Servicio)
El servidor deniega las peticiones de acceso de

usuarios legales por estar ocupado contestando
peticiones ilegales.
Por ejemplo un atacante manda un numero

muy grande de paquetes en un periodo de
tiempo muy corto para prevenir el
procesamiento de tareas legales por sobre
capacidad.

Page 7
Robo de informacin
Un atacante evade los sistemas de seguridad
y obtiene informacin confidencial u obtiene

informacin de la estructura de la red sin
atacarla directamente.
Alteracin de la informacin
Un atacante accede a los recursos poniendo

en riesgo la informacin al modificarla,
borrarla, adicionarla, reordenarla provocando
falsa informacin.

Page 8
Disponibilidad
del
servicio
Nos asegura que la informacin o el servicio este disponible a cualquier
momento que sea requerido.
Confidencialidad del servicio
Nos asegura que la informacin sensible no estar

expuesta o vulnerable a una entidad no autorizada.
Integridad del servicio
Nos asegura que la informacin no puede ser

modificada o destruida en modo autorizado y no
autorizado. del servicio

Verificacin
Nos asegura la legalidad de la entidad que brinda el

servicio.
Autorizacin
Especifica el acceso autorizado a controlar el acceso a

los usuarios.

Page 9
Que es un Firewall?
Un Firewall es un dispositivo localizado entre 2 niveles de

confianza para controlar el acceso a los recursos
mediante polticas de seguridad.
Firewall = Hardware + Software + Security policy
Loose control policy: Por default todo esta permitido a

menos que se denigue especficamente.
Strict control policy: Por default todo esta negado a

menos que se permita especficamente.

Page 10
Clasificacin de tecnologas de
firewall
De acuerdo al mtodo de implementacin del

firewall se puede clasificar en :
Packet-Filtering Firewall
Proxy Firewall
State Inspection Firewall

Page 11
Firewalls de Primera Generacin

Filtrado de Paquetes
El filtrado de paquetes es un mtodo para checar cada

paquete a nivel de la capa de red y despus enviar o
descartar los paquetes basados en polticas de seguridad.
El principio bsico del filtrado de paquetes es la

configuracin de la lista de acceso basado en diferentes
caractersticas : direccin IP origen, direccin IP destino,
puerto origen ,puerto destino, identificadores de
protocolos.

Page 12
Desventajas
Firewall de Filtrado de Paquetes
La complejidad de la cantidad de reglas en las listas de

acceso hace que se degrade considerablemente la calidad.
Las reglas de las listas de acceso estaticas hacen dificil

cumplir con los requrimientos dinamicos.
El filtrado de paquete no checa el estado de una sesion, no

analiza la informacion,no puede filtrar a nivel de la capa de
aplicacion para prevenir ataques.

Page 13
Firewall de filtrado de paquetes

Paquetes de la red
192.110.10.0/24
son permitidos a la
INTRANET
192.110.10.0/24
Intranet
Internet
Office
ACL
HQ
Paquetes de la red
202.110.10.0/24 son
denegados. a la
Unauthorized User
INTRANET
IP:202.110.10.2

Page 14
Firewalls de segunda generacin

Proxy Firewall
Los servicios de proxy actan en la capa de aplicacin.
En esencia un proxy toma el control entre los equipos

internos y los equipos externos.
El principio de trabajo de un proxy es que verifica los

requerimientos del usuario y la autentificacin para
establecer la conexin al servidor destino, si es permitida
esta comunicacin el firewall manda las peticiones .

Page 15
Desventajas de Firewall Proxy
Baja velocidad de procesamiento debido a la

restriccin del software.
Vulnerable a ataques DoS
Dificultad de actualizar por que requiere desarrollar

la aplicacin del proxy para cada protocolo.

Page 16
Proxy Firewall
WWW FTP
Email
proxy
Envio de
Peticion
Client
Reenvio de
Peticion
Renvio de la
respesta
Respuesta
Server
Security
policy,
audit
monitor
log
Page 17
Firewall de 3era Generacin
La tecnologa STATEFUL ANALYSIS es una extensin de la

tecnologa de filtrado de paquetes ( tambin llamada
filtrado de paquetes dinmico
EL filtrado de paquetes basado en el estado de

la conexin no solamente checa el paquete
como una unidad independiente tambin
considera la asociacin de la historia.

Page 18
Firewall tercera generacin Stateful

Firewall
Los firewall stateful usan diferentes tablas para guardar la

actividad de las sesiones Transmission Control Protocol (TCP)
y las sesiones User Datagram Protocol (UDP) psudo sesiones.
La lista de acceso ACL determina las sesiones que pueden

ser establecidas.
Finalmente nicamente los paquetes asociados con la

sesin son permitidos y enviados.

Page 19
Firewall tercera generacin Stateful

Firewall
1)
Un stateful firewall captura los paquetes en la capa de

red
2)
Luego el firewall extrae la informacin de estado

requerida por las polticas de seguridad en la capa de
aplicacin
3)
Salva esta informacin en las tablas dinmicas
4)
El firewall analiza el estado de las tablas y las

conexiones subsecuentes para que el paquete realice
una decisin correcta.

Page 20
Ventajas:
Alta velocidad
El firewall solo checa los registros del estado de conexin de

los paquetes subsecuentes basados en la tabla de estado.
Seguridad confiable
La tabla de estado de conexin es administrada

dinmicamente
Una vez que las sesiones son completadas, las entradas

temporales creadas para el regreso del paquete en el firewall
son cerradas para asegurar la seguridad.

Page 21
Stateful Firewall
El usuario A inicializa la
sesion de Telnet
El firewall establece
la entrada de sesion
Usuari
oA
Protected
Network
Los demas paquetes son

bloqueados
Otros
usuarios
External
Network
Los paquetes de respuesta del

telnet para el usuario A pasan
El Firewall checa la
entrada de la sesion

Page 22
Servidor
Aplicacin del Firewall en una

solucin de
seguridad
Cuarto de
Puerta
- Firewall
Camara
- Intrusion Detection
Seguridad
System (IDS)
- Antivirus
Cuarto de Control
Transmision Segura
- Encryption, VPN
Puerta de Acceso
Oficial de seguridad
- Verificacion de identidad, ACL
- Scanner,

Page 23
Thank You
www.huawei.com

1) ESP - Firewall Introduction

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

1) ESP - Firewall Introduction

Caricato da

Copyright:

Formati disponibili

Introduccin al

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Al completar el curso el participante podr:

Entender la evolucin de la historia del firewall

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Historia de los firewalls

El trmino "firewall / fireblock" significaba

Ms adelante se uso para referirse a las

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Historia de los firewalls

Los predecesores de los cortafuegos para la

Mas tarde se utilizaron listas de acceso en

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Las amenazas de seguridad mas comunes en

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Los recursos son usados por usuarios no

Por ejemplo un atacante accede con un

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

DoS ( Denegacin de Servicio)

El servidor deniega las peticiones de acceso de

Por ejemplo un atacante manda un numero

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

y obtiene informacin confidencial u obtiene

Un atacante accede a los recursos poniendo

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

momento que sea requerido.

Confidencialidad del servicio

Nos asegura que la informacin sensible no estar

Integridad del servicio

Nos asegura que la informacin no puede ser

autorizado. del servicio

Nos asegura la legalidad de la entidad que brinda el

Especifica el acceso autorizado a controlar el acceso a

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Un Firewall es un dispositivo localizado entre 2 niveles de

Firewall = Hardware + Software + Security policy

Loose control policy: Por default todo esta permitido a

Strict control policy: Por default todo esta negado a

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

De acuerdo al mtodo de implementacin del

State Inspection Firewall

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Firewalls de Primera Generacin

El filtrado de paquetes es un mtodo para checar cada

El principio bsico del filtrado de paquetes es la

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

La complejidad de la cantidad de reglas en las listas de

Las reglas de las listas de acceso estaticas hacen dificil

El filtrado de paquete no checa el estado de una sesion, no

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Firewall de filtrado de paquetes

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Firewalls de segunda generacin

Los servicios de proxy actan en la capa de aplicacin.

En esencia un proxy toma el control entre los equipos

El principio de trabajo de un proxy es que verifica los

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Desventajas de Firewall Proxy

Baja velocidad de procesamiento debido a la

Vulnerable a ataques DoS

Dificultad de actualizar por que requiere desarrollar

Copyright 2009 Huawei Technologies Co., Ltd. All rights reserved.

Firewall de 3era Generacin