Firewalls

Luis Napoleon Regalado

CCNA Wireless
09/09/2015

Todas las Marcas de Firewall y

Dispositivos de Seguridad
Anthro Corporation

Netgear

Barracuda Networks

Raptor Systems

Cables To Go

Ruckus Wireless

Cisco

SonicWall

D-Link

StarTech.com

Dell

TRENDnet

Digium

WatchGuard

Fortinet

ZyXEL

Juniper

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

ASPECTOS PROBLEMATICOS DE LA SEGURIDAD

Los virus y su constante desarrollo
Los troyanos
En general no detectados por antivirus
Las vulnerabilidades
De los sistemas operativos
Los spammers
Todas sus combinaciones

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

FIREWALL
Definicin
Conjunto de hardware y/o software montados sobre un sistema (o sobre
varios) que controla el trafico entre dos redes aplicando una serie de reglas
especificas.
sistema o grupo de sistemas que establece una poltica de control de acceso
entre dos redes ".
Similar a un router al que se le aade seguridad.
La poltica de seguridad tiene en cuenta paquetes conexiones y/o aplicaciones, que
vienen de fuera (lo ms habitual) y que van de dentro haca afuera.
Sin poltica de seguridad, firewall = router.

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

OBJETIVOS BASICOS DE UN
FIREWALL
Bloquea los datos entrantes que pueden contener un ataque
Oculta la informacin acerca de la red, haciendo que todo

parezca como trfico de salida del firewall y no de la red.

Esto tambin se conoce como NAT (Network Address Translation)

Filtra el trfico de salida

Con el fin de restringir el uso de Internet y el acceso a localidades remotas

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

CLASIFICACION DE FIREWALLS
De filtracin de paquetes,
Servidores proxy a nivel de aplicacin
De inspeccin de paquetes (SPI, Stateful Packet Inspection).

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

Filtracin de Paquetes
Utiliza reglas para negar el acceso, segn la informacin

contenida en el paquete y en la lista de las direcciones confiables

Problemas:
Propenso al spoofing de IP
Truco en el cual los datos parecen provenir de una fuente confiable o incluso de una direccin de
su propia red

Son muy difciles de configurar.

Cualquier error en su configuracin, puede dejarlo vulnerable a los ataques

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

Aplication Level
Filtran trfico a nivel de aplicacin
Debe existir para cada protocolo y servicio que se desea filtrar

(FTP, HTTP, SMTP, etc.).

No utilizan reglas de control de acceso
Aplican restricciones para garantizar la integridad de la conexin

(filtran comandos)

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

Firewall de SPI
Ultima generacin en la tecnologa de firewall
Tecnologa ms avanzada y segura
examina todos los componentes de un paquete IP para decidir si acepta o rechaza la
comunicacin

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

Firewall de SPI
Mantiene un registro de todas las solicitudes de informacin que

se originan de la red
Luego, inspecciona toda comunicacin entrante para verificar si

realmente fue solicitada y rechaza cualquiera que no lo haya sido

Luego, proceden al siguiente nivel de inspeccin y el software

determina el estado de cada paquete de datos.

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

10

Firewalls con zona desmilitarizada (DMZ)

Solucin efectiva para empresas que ofrecen a sus clientes la

posibilidad de conectarse a su red a partir de cualquier medio

externo
Los usuarios externos pueden ingresar al rea protegida, pero no

pueden acceder al resto de la red

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

11

hardware vs. software

Tiempo de
Instalacin

Firewall integrado con

Hardware
(Appliance)

Firewall basado en
software

Estos dispositivos
estn listos
para conectarse y
configurarse tan
pronto como salen
de la caja.

Requiere un tiempo
variable: se
necesita instalar el
sistema operativo,
configurarlo, instalar
drivers de dispositivos
de hardware y finalmente
instalar el software de
firewall antes de iniciar
la configuracin

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

12

hardware vs. software

Escalabilidad

2013 Cisco and/or its affiliates. All rights reserved.

Las opciones de
crecimiento
de hardware son
limitadas y suele
ser necesario
cambiar todo el
dispositivo.

La integracin a nivel
aplicacin
permite seleccionar y
modificar la
base de hardware con
mayor
flexibilidad. Esto
permite cambiar el
hardware fcilmente
cuando sea
necesario.

Cisco Public

13

hardware vs. software

Estos dispositivos
incluyen
hardware y un sistema
operativo
extensivamente
Estabilidad probado y
adecuado por el
fabricante para
garantizar un correcto
desempeo y
compatibilidad

2013 Cisco and/or its affiliates. All rights reserved.

Es necesario configurar
manualmente dispositivos
y sistema
operativo para garantizar
un
desempeo adecuado.
Se requiere efectuar
tambin de un
reforzamiento de la
seguridad a
nivel sistema operativo.

Cisco Public

14

hardware vs. software

Flexibilidad en
configuracin
de hardware y
S.P.

Las opciones de
configuracin
en hardware y sistema
operativo
subyacente estn
limitadas por el
fabricante para
garantizar estabilidad

2013 Cisco and/or its affiliates. All rights reserved.

Existe mayor libertad

para
modificar la
configuracin de
hardware y sistema
operativo en
caso necesario.

Cisco Public

15

Software
Tienen cambios constantes en su infraestructura tecnolgica y de

red
Poseen personal dedicado para la administracin y operacin de

los dispositivos y estn altamente capacitados

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

16

Hardware
Carecen de personal dedicado (y especializado) para la

administracin, instalacin y configuracin del firewall

Carecen de personal especialista en sistemas operativos
Tienen pocos cambios (o cambios graduales) en su

infraestructura tecnolgica y de red

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

17

TOPOLOGIAS

Firewall entre internet y una red local

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

18

TOPOLOGIAS
Segn las necesidades de cada red :
Uno o ms firewalls para establecer distintos permetros de seguridad
DMZ o zona desmilitarizada
Necesidad de exponer algn servidor a internet

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

19

TOPOLOGIA - DMZ

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

20

TOPOLOGIA
Cuando se usa un firewall con tres interfaces, se crea un mnimo

de tres redes. Las tres redes que crea el firewall se describen de

este modo:
Interior
Exterior
DMZ (Zona desmilitarizada)

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

21

INTERIOR
rea de confianza de la internetwork
Los dispositivos internos forman la red privada de la organizacin
Comparten directivas de seguridad comunes con respecto a la red exterior
(Internet).
Se mantienen en entornos de confianza entre ellos
Si un departamento, como Recursos Humanos, tiene que ser protegido del resto de usuarios de
confianza, se puede utilizar un firewall.

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

22

EXTERIOR
rea de no confianza de la internetwork
Los dispositivos del interior y de la DMZ se protegen de los

dispositivos del exterior

las empresas suelen permitir el acceso a la DMZ desde el

exterior
Para ofrecer servicios web por ejemplo

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

23

DMZ (Zona desmilitarizada)

Red aislada
Pueden acceder los usuarios del exterior
Posibilita que una empresa ponga la informacin y los servicios a

disposicin de los usuarios del exterior dentro de un entorno

seguro y controlado
Hosts bastin : hosts o servidores que residen en la DMZ

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

24

Host Bastion
Est actualizado con respecto a su sistema operativo
Menos vulnerable a los ataques

Ejecuta los servicios necesarios para realizar sus tareas de

aplicacin
Los servicios innecesarios (y a veces ms vulnerables) son

desactivados o eliminados.

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

25

TOPOLOGIA HOST BASTION

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

26

QUE FIREWALL ELEGIR?

Asegurar de que se trata de una solucin segura y de que ha

sido certificada por una organizacin confiable

Depende de las necesidades de seguridad de la organizacin
Definir las polticas de firewall:
Requiere un anlisis de las necesidades, inclusive la evaluacin de riesgos, para
Luego determinar los requisitos

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

27

Conclusion
MAS IMPORTANTE QUE LA ELECCION DEL FIREWALL ES

TOMAR LAS MEDIDAS DE SEGURIDAD CORRECTAS Y

EDUCAR A LAS PERSONAS A IDENTIFICAR Y NO CREAR
RIESGOS

2013 Cisco and/or its affiliates. All rights reserved.

Cisco Public

28