El trmino firewall se refera originalmente a una pared a prueba de fuego (generalmente hecha de piedra o metal), que evitaba que

las llamas se extendieran entre las estructuras que conectaba. Luego, el trmino fue aplicado a la plancha de metal que separaba el compartimento del motor de un vehculo o aeronave del compartimento del pasajero. Eventualmente, el trmino se adapt para su uso en las redes de computadoras: el firewall evita que trfico indeseable ingrese a reas restringidas de la red.

Beneficios del uso de un firewall en una red Puede prevenir la exposicin de hosts y aplicaciones sensibles a usuarios no confiables. Puede sanitizar el flujo de protocolos, previniendo la explotacin de fallas en los protocolos. Puede bloquearse el acceso de datos maliciosos a servidores y clientes. Puede hacer que la aplicacin de la poltica de seguridad se torne simple, escalable y robusta. Puede reducir la complejidad de la administracin de la seguridad de la red al reducir la mayora del control de acceso a la red a algunos puntos.

Limitaciones de los Firewalls Si est mal configurado, el firewall puede tener consecuencias serias (nico punto de falla). Muchas aplicaciones no pueden pasar a travs del firewall en forma segura. El rendimiento de la red puede disminuir Los usuarios pueden intentar buscar maneras de sortear el firewall para recibir material bloqueado, exponiendo la red a potenciales ataques. Puede hacerse tunneling de trfico no autorizado o puede disfrazrselo como trfico legtimo.

Tecnologas de Firewalling

En las redes corporativas es frecuente aplicar una lgica de segmentacin o separacin de diferentes sectores de la red, minimizando la interaccin entre los diferentes segmentos. El firewall es el dispositivo que controla las interacciones que puedan tener lugar entre los segmentos o dominios adyacentes.

La separacin entre dominios puede ser: Separacin Fsica: Se trata de redes fsicamente diferentes que por lo tanto se conectan al firewall a travs de diferentes interfaces fsicas. Desde la perspectiva de seguridad es el mejor mtodo de separacin de dominios, aunque el mas costoso. Separacin Lgica: Separa diferentes grupos de usuarios sobre la misma infraestructura fsica. Entre las implementaciones que permiten este tipo de separacin se cuentan las VLANs, VSANs, VPN-MPLS, etc.

Tipos de firewall Firewall de filtrado de paquetes (Packet - filtering firewall) Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, como informacin de capa 3 y, en ocasiones, de capa 4. Los firewalls de filtrado de paquetes revisan una tabla simple para permitir o denegar el trfico basndose en criterios especficos: La direccin IP de origen La direccin IP de destino El protocolo de red que se est utilizando (TCP, UDP o ICMP) El puerto de origen TCP o UDP El puerto de destino TCP o UDP Si el protocolo es ICMP, el tipo de mensaje ICMP

Firewall con estados (Stateful firewall) Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin Los firewalls con estados son la tecnologa de firewall ms verstil y comn en uso actualmente. Proporcionan filtrado de paquetes con estados utilizando la informacin de conexiones mantenida en una tabla de estados. El filtrado con estados es una arquitectura de firewall que se clasifica como de capa de Red, aunque, para algunas aplicaciones, tambin puede analizar trfico de capas 4 y 5. A diferencia del filtrado de paquetes esttico, que examina paquetes en base a la informacin del encabezado del paquete, el filtrado con estados monitorea cada conexin que pasa por las interfaces del firewall y confirma su validez.

Firewall gateway de aplicacin (proxy) (Application gateway firewall) Filtra segn informacin de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayora del control y filtrado del firewall se hace por software.

Firewall de traduccin de direcciones (Address translation firewall) Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red.

Cisco ASA Adaptive Security Appliances Cisco Systems proporciona varias opciones para implementar soluciones de firewall. Estas incluyen : firewall IOS de Cisco, PIX Security Appliances , Adaptive Security Appliances (ASA).

Que es ASA?
ASA o Adaptive Security Appliance es el ncleo del sistema operativo en el que se basa la familia Cisco ASA. Proporciona funciones de firewall de clase empresarial para los dispositivos ASA en una variedad de formatos: dispositivos autnomos, y virtuales. Brevemente, ASA es un dispositivo de seguridad que combina firewall, antivirus, prevencin de intrusiones y capacidades VPN, proveyendo una defensa proactiva para detener los ataques antes que estos se propaguen a travs de la red. Debido a su flexibilidad puede implementarse como solucin de seguridad para redes grandes o pequeas indistintamente. Entre las ventajas del software Cisco ASA destacan: Ofrece funciones integradas de IPS, VPN, y Comunicaciones Unificadas Ayuda a las organizaciones a aumentar su capacidad y mejorar su rendimiento a travs de formacin de clsteres

Ofrece aplicaciones de alta disponibilidad y gran capacidad de recuperacin Proporciona identificacin del contexto con etiquetas de grupos de seguridad de Cisco TrustSec y firewall con deteccin de identidad

Facilita el routing dinmico y VPN entre sitios en funcin del contexto

ASA Firewall Routed Mode Overview En modo router, el dispositivo de seguridad es considero un salto de ruter en la red. Puede usar OSPF o RIP. Modo router soporta mltiples interfaces, cada interfaz esta en una subnet diferente, las interfaces pueden compartirse entre contextos
Como se mueven los datos la aplicacin de seguridad en modo router? Un usurio interno visita un servidor web Un usuario externo visita un servidor web en el DMZ Un usuario interno visita un servidor web en el DMZ Un usuario externo intenta acceder a un host interno Un usuario de DMZ intenta acceder a un host interno

Un usuario interno visita un servidor web

De adentro hacia afuera:

Los siguientes pasos describen como la informacin se mueve a travs de los dispositivos de seguridad 1. el usuario en la red interna realiza una solicitud a una pagina web: www.example.com 2. el dispositivo ASA recibe el paquete y, debido a que es una nueva sesin, verifica que el paquete es permitido de acuerdo a los trminos de la poltica de seguridad (listado de acceso, filtros, etc..) Para el modo de contexto mltiple, el ASA primero clasifica el paquete de acuerdo ya sea a una nica interface o a un destino direccin destino asociada con un contexto, la direccin destino es asociada a travs de la concordancia de la direccin en el contexto. En este caso, la interfaz deber ser nica, la direccin IP : www.example.com no tiene una traduccin o equivalencia en el contexto.

3. El ASA traduce la direccin local de origen (10.1.2.27) a una direccin global 209.165.201.10, la cual esta en la interfaz externa de la subred. La direccin global puede estar en cualquier subnet, pero el ruteo es simplificado cuado esta en la interfaz externa de la subred. 4. el ASA archiva que la sesin esta establecida y transmite el paquete de la interfaz externa 5. cuando www.example.com responde la peticin, el paquete va a travs del ASA, y debido a que la sesin ya ha sido establecida, el paquete puentea las mltiples bsquedas con una nueva conexin, el ASA ejecuta NAT al traducir direccin global de destino a la direccin local del usuario, 10.1.2.27. 6. finalmente ASA transmite el paquete al usuario interno.

Un usuario externo visita un servidor web en la DMZ

1. Un usuario en la red externa solicita una pgina web del servidor web DMZ usando la direccin global 209.165.201.3, la cual est en la interfaz externa de la subred. 2. el ASA recibe el paquete y , ya que es una nueva sesin, verifica que el paquete sea permitido de acuerdo a las polticas de seguridad, para el modo de contexto mltiple, el ASA primero clasifica el paquete de acuerdo a ya sea a una nica interfaz o a una nica direccin destino asociada al contexto, la direccin destino es asociada al concordar la traduccin de la direccin en un contexto, , en este caso al clasificador sabe que la direccin del servidor web DMZ pertenece a cierto contexto debido a la traduccin del direccin. 3. el ASA traduce la direccin destino a la direccin local 10.1.1.3. 4. el ASA aade una nueva entrada a la va rpida y transmite el paquete a la interfaz DMZ 5. cuando el servido web DMZ responde a la peticin, el paquete va a travs del ASA y ya que la sesin ha sido establecida, el paquete no pasa por las muchas bsquedas asociadas con la nueva conexin. Luego el ASA realiza un NAT traduciendo la direccin local a 209.165.201.3. 6. el ASA transmite el paquete al usuario externo.

Un usuario interno visita un servidor web en la DMZ

1. un usuario de la red interna solicita una pgina web de un servidor web DMS utilizando la direccin destino 10.1.1.3. 2. el ASA recibe el paquete y verifica si el paquete es permitido de acuerdo a las trminos de la poltica de seguridad. 3. el ASA registra la sesin como establecida y trasmite el paquete a la interfaz DMZ 4. cuando el servidor DMZ responde la peticin el paquete recorre el camino ms rpido, lo cual permite que la nueva conexin evite nuevas bsquedas. 5. por ltimo el ASA trasmite el paquete al usuario interno.

Un usuario externo intenta accesar a un host interno

1. un usuario en la red exterior intenta alcanzar un host interno (asumiendo que el host posea una direccin IP enrutable). Si la red interna usa direcciones privadas, ningn usuario externo podr alcanzar la red interna sin usar NAT. El usuario externo podr intentar alcanzar a un usuario interno utilizando una sesin NAT existente. 2. el ASA recibe la paquete y verifica si es permitido o no, basado en las polticas de seguridad. 3. el paquete es denegado, el SAS suelta el paquete y guarda en un log el intento de conexin. Si un usuario externo esta intenta atacar la red interna, EL ASA utiliza mltiples tecnologas para determinar si un paquete es vlido para una sesin ya establecida.

Un usuario DMZ intenta acceder a un host interno.

1. un usuario en la red DMZ intenta alcanzar un host interno. Debido a que el DMZ no tiene que dirigir el trfico en internet, el esquema de direccionamiento privado no previne el enrutamiento. 2. el ASA recibe el paquete y verifica si el paquete es permitido, siempre basado en las polticas de seguridad. 3. el paquete es rechazado, el ASA suelta el paquete y guarda el registro del intento de conexin.

Microsoft ForeFront GateWay

Microsoft Forefront Threat Management Gateway (Forefront TMG), anteriormente conocido como Microsoft Internet Security and Acceleration Server (ISA Server), es un firewall, antivirus, servidor VPN y servidor web cache de Microsoft. Trabaja en Windows server y funciona inspeccionando todo el trafico de red que pasa a tarves de el. es un completo gateway de seguridad web desarrollado por Microsoft que ayuda a proteger a las empresas de las amenazas que existen actualmente en internet. Simple manejo e interfaz con la que se puede habilitar una seguridad perimetral perfecta a prueba de ataques gracias al firewall integrado, VPN, prevencin de accesos no autorizados, antivirus y anti-spam.

Microsoft Forefront TMG estar tambin integrado en la nueva suite completa de Forefront conocida con el nombre en clave de Microsoft Forefront STIRLING.

Caractersticas: Proteccin ante mltiples de ataques gracias a tener integrado un anti-malware y antivirus, protecciones contra ataques de nivel de red y nivel de aplicacin y firewall multicapa. Altamente seguro gracias a la proteccin contra ataques de usuarios web, un sistema altamente fiable y seguro para la publicacin por parte de usuarios remotos y un sistema avanzado para VPN. Gestin simplificada gracias a wizards que ayudan a configurarlo, un servicio centralizado y un sistema de envo de e-mails integrado. Inspeccin HTTPS. Inspecciones paquetes cifrados con SSL para descubrir malware, limitar el acceso a ciertas webs a sus empleados e incluso pudiendo creando exclusiones a webs sensibles, como las bancarias, evitando la inspeccin por parte de Forefront TMG. Redundancia ISP, sistema de inspeccin de red, 64 bit, gestin centralizada de versiones Standard y Enterprise

TACACS
Terminal Access Controller Access-Control System (TACACS) se refiere a una familia de protocolos que manejan autenticacin remota y servicios relacionados para control de acceso a redes a travs de un servidor centralizado. El protocolo TACACS original, que data de 1984, era utilizado para comunicarse con servidor de autenticacin, comn en viejas redes UNIX, luego se derivaron protocolos relacionados: Extended TACACS (XTACACS) introducido por CISCO Systems en 1990, sin compatibilidad con el protocolo original, TACACS and XTACACS permitan a un servidor de acceso remoto comunicarse con un servidor de autenticacin con el objetivo de determinar si se tena acceso a la red. Terminal Access Controller Access-Control System Plus (TACACS+) es un protocolo desarrollado por CISCO y liberado como estndar abierto en 1993, aunque se derivaba del TACACS, TACACS+ es un protocolo separado que maneja autenticacin, autorizacin y contabilizacin (AAA) , TACACS+ y otros protocolos ms flexibles reemplazaron extensivamente a sus predecesores
Historia

TACACS fue desarrollado originalmente en 1984 por BBN Technologies, la cual operaba trafico desclasificado en redes para DARPA, la que luego evolucionaria en NIPRNet del departamento de defensa de los E.U. Fue descrita formalmente por primera vez por Brian Anderson el diciembre de 1984 en el IETF RFC 927. Cisco systems comenz a soportar TACACS entre sus productos de red a finales de los 80s, aadiendo eventualmente muchas extensiones al protocolo. En 1990 las extensiones de cisco en TACACS se convirti en un protocolo llamado extended TACACS, aunque TACACS y XTACACS no eran estndares abiertos, Craig Finseth de la universidad de Minnesota , con la asistencia de cisco, publico una descripcin de los protocoles en 1993 en la IETF RFC 1492 para propsitos informativos.

TACACS est definido en RFC 1492 y usa (TCP o UDP) el puerto 49 por definicin, permite a un cliente utilizar un usuario y contrasea y enva una solicitud al servidos de autenticacin TACACS, a veces llamado TACACS daemon o simplemente TACACSD. TACACSD utiliza TCP (puerto 49) y determina si acepta o no la solicitud de autenticacin y enva una respuesta. Entonces el TIP permitir o no el acceso, basado en la respuesta, de esta manera el procesa para tomar la decisin est abierto y los algoritmos y datos utilizados para esta decisin estn bajo el completo control de quien este corriendo el demonio TACACS

TACACS+

TACACS+ y RADIUS han reemplazado a TACACS y XTACACS en el diseo de redes mas recientes o en las actualizaciones de estas. TACACS+ es un protocolo enteramente nuevo y no es compatible con TACACS y XTACACS , TACACS+ utiliza el protocolo de control de trasmisin (TCP) Y RADIUS utiliza UDP, ya que TCP es un protocolo orientado a la conexin, TACACS+ no tienen que implementar un control de trasmisin, RADIUS , si embargo no tiene que detectar y corregir errores de trasmisin, tales como perdida de paquetes, timeouts, etx, ya que funciona sobre UDP el cual no es enfocado a conexin. RADIUS encripta solo la contrasea del usuario, y como viaja del cliente RADIUS al servidor RADIUS, todo otro tipo de informacin, tal como nombre de usuario, autorizacin y cuentas son transmitidos en texto libre, por lo que es vulnerable a diferentes tipos de ataques.

TACACS+ encripta toda la informacin mencionada antes y adems no tiene las vulnerabilidades presentes en el protocolo RADIUS.

The Advantages of TACACS+ for Administrator Authentication

Como administrador de red, es necesario mantener un completo control de los dispositivos de red, ta,es como routers, switches y firewalls. Adems se entender la importancia de un nico registro de ingreso (Single Sign-On SSO) como una medida para simplificar la administracin de la red e incrementar la seguridad de la misma.

RADIUS and TACACS+ son los protocolos principales utilizados para proveer servicios de autenticacin, autorizacin y contabilidad en los dispositivos de red. RADIUS fue diseado para autenticar y acceder usuarios remotos a la red, y TACACS+ es usado mas comnmente para acceso de administrador a dispositivos de red tales como routers y switches, esto esta indicado en los nombres de os protocolos: RADIUS : Remote Access Dial-In User Service TACACS+: Terminal Access Controller Access Control Service Plus La diferencia principal entre RADIUS and TACACS+ es que TACACS+ separa la funcionalidad de autorizacin, cuando RADIUS combina autenticacin y autorizacin. Esto puede parecer un detalle menor, pero hace mucha diferencia cuando se implementan servicios de administracin en un ambiente de red. Adermas Radius no guarda un registro de los comandos utilizados por el administrador, nicamente registrar el inicio y final de la sesin, estos significa que si hay dos o ms administradores registrados en una sesin, no hay manera de saber desde el log de RADIUS cual administrador utilizo que comandos.

El protocolo TACACS+ fue desarrollado para resolver estos inconvenientes, separando la funcionalidad de autorizacin y aade flexibilidad y control de acceso en quien pude ejecutar que comandos en dispositivos especficos, cada comando ingresado por un usuarios es enviado de vuelta al servidor TACACS+ central para autorizacin, el cual entonces revisa el comando contra una lista de comandos para cada grupo de usuarios, TACACS+ puede definir polticas basadas en usuarios, tipo de dispositivo, ubicacin o fecha u hora del da.