310 likes | 509 Views
Filtrado. Filtrado (1). Packet filtering ACLs (Access Control Lists) Session filtering Filtrado dinámico de paquetes Información de estado (historia) Filtrado “inteligente” de paquetes Control de acceso basado en el contexto. Filtrado. Filtrado (2).
E N D
Filtrado Filtrado (1) • Packet filtering • ACLs (Access Control Lists) • Session filtering • Filtrado dinámico de paquetes • Información de estado (historia) • Filtrado “inteligente” de paquetes • Control de acceso basado en el contexto
Filtrado Filtrado (2) • Los paquetes son chequeados y luego son pasados (o descartados). • El tráfico entrante y saliente depende de la política empleada. • El firewall “tradicional” a nivel network es el router. • Muy rápido y transparente a los usuarios.
Filtrado (3) • Fragmentación/reensamblado • Chequeo de número de secuencia • ICMP
Packet Filtering • Las decisiones se toman sobre cada paquete. • No se guarda información de estado.
Packet Filtering • El filtrado de paquetes permite controlar la transferencia de datos basándose en: • La dirección (supuesta) de donde vienen los datos. • La dirección a donde van los datos. • Los protocolos de aplicación que están siendo usados para la transferencia. • Algunos ejemplos de lo que se puede obtener mediante el filtrado de paquetes: • No permitir que nadie use Telnet para loguearse desde el exterior. • Dejar que todo el mundo nos envie emails vía SMTP. • No permitir que salgan datagramas originados en el host 123.4.5.6.
Configuración Típica • Los Ports > 1023 se dejan abiertos. • Si se utilizan protocolos dinámicos se deben permitir posiblemente rangos completos para que el protocolo funcione.
Host Bastión • ¿Cómo lograr que los usuarios internos accedan a servicios del exterior mientras se mantiene una “buena” seguridad mediante el firewall en cuestión? • La respuesta es el hostbastión [bastión, sustantivo, parte de un fuerte que se destaca del resto]. • El host bastión es una computadora (elegida entre muchas otras del sitio), la cual está fuertemente fortificada para servir como nexo de comunicación segura.
Screened Host Firewall Un host bastión es (esperamos que sea!) un punto seguro y fuertemente defendido capaz de resistir ataques.
Screened Subnet El acceso (en ambos sentidos) a una red es controlado mediante un router, el cual opera en la capa network.
Applications Applications Presentations Presentations Sessions Sessions Transport Transport Network Network DataLink DataLink DataLink Physical Physical Physical Router Packet Filtering
Estrategia para Packet Filtering • Cerrar el acceso a todos los ports menores de 1024. • Permitir (selectivamente) el acceso a los ports necesarios (ej:, FTP, telnet, ssh, smtp, etc.). • Devolver el tráfico que llega a ports aleatorios 1024 • Se debe permtir el acceso a todos los ports 1024. • Selectivamente cerrar el acceso a ports que pueden causar problemas (ej: NFS, X Windows, etc.). • Tenemos abiertos todos los ports 1024! Soluciones: • Utilizar source port filtering. • filtrar los paquetes entrantes según el port fuente en lugar del destino. • Emplear los TCP “code bits” – identificar las “established connections”. • No pueden ser paquetes de iniciación de conexión. • Tendrán seteado el bit ACK en el header TCP (pero no el bit SYN). • Deben ser parte de conexiones existentes salientes.
Session Filtering • Las decisiones sobre cada paquete se hacen según el contexto de la conexión. • Si el paquete crea una nueva conexión se debe chequear contra la política de seguridad. • Si el paquete es parte de una conexión existente deberá concordar con el estado presente en la tabla de estado/actualizar la tabla.
Configuración Típica • Todo cerrado (denied) a menos que se permita explícitamente. • Los protocolos dinámicos (FTP, ICQ, RealAudio, etc.) se permitirán únicamente si están soportados en nuestra red.
Applications Applications Presentations Applications Presentations Sessions Presentations Sessions Transport Sessions Transport Network Transport Network Network DataLink DataLink DataLink Physical Physical Physical Dynamic State Tables Dynamic State Tables Tablas Dinámicas de Estado Session Filtering • Chequea TODOS los intentos, Protege Todas las aplicaciones. • Extrae y mantiene información de “estado”. • Crea una decisión inteligente sobre el tráfico.
Servidor Telnet Cliente Telnet 23 1234 “PORT 1234” “ACK” Telnet (1) El cliente abre una conexión e informa al server su número de port. El bit ACK no se inicializa mientras se está estableciendo la conexión pero se seteará en el paquete siguiente. El server acknowledges (ACK).
FTP Server FTP Client 20 Data 21 Command 5150 5151 “PORT 5151” “OK” CANAL DE DATOS TCP ACK FTP El cliente abre un command channel hacia el server y le informa al server el segundo número de port. El server envía un ACK. El server abre un canal de datos hacia el segundo port del cliente. El cliente envía un ACK.
Server de FTP Cliente de FTP 20 Data 21 Command 5150 5151 “PASV” 3267 “OK 3267” DATA CHANNEL TCP ACK FTP – Modo Pasivo El cliente abre un command channel hacia el server y solicita modo pasivo. El server asigna un port para el data channel y le informa al cliente el número de este port. El cliente abre el data channel hacia el segundo port del server. El server envía un ACK.
Proxy Firewalls • Relay (forwarding) de conexiones • Cliente Proxy Server • Dos niveles • Aplicación • Circuito
Application Gateways • “Entiende” de aplicaciones específicas • Proxies limitados. • El proxy “representa” ambos lados de la conexión. • Necesita muchos recursos • proceso por conexión • Los proxies de HTTP pueden mantener páginas web en una cache.
Application Gateways • Más apropiado para TCP. • ICMP es difícil de manejar. • Bloquear todo a menos que se permita explícitamente. • Se debe escribir una nueva aplicación proxy para soportar nuevos protocolos. • No es trivial! • Proxies transparentes.
Telnet FTP HTTP Applications Applications Applications Presentations Presentations Presentations Sessions Sessions Sessions Transport Transport Transport Network Network Network DataLink DataLink DataLink Physical Physical Physical Application Gateway Application Layer GW / Proxies
Application Level Firewalls • Son hosts corriendo servidores proxy, los cuales evitan el tráfico directo entre redes. • Un proxy puede realizar logs y auditorías sobre el tráfico entrante/saliente. • Puede hacer el firewall menos transparente.
Dual Homed Gateway El Dual Homed Gateway es un host que corre un software de proxy. Tiene dos placas de red, una en cada red y bloquea todo el tráfico que pasa entre ellas.
Circuit Level Gateways • Soporta más servicios que el Application-level Gateway • menos control sobre los datos. • Es difícil manejar protocolos como el FTP. • Los clientes saben que están utilizando un circuit-level proxy (no es transparente). • Protege contra el problema de fragmentación.
SOCKS • Circuit level Gateway • Soporta TCP • SOCKS v5 soporta UDP, las versiones anteriores solo TCP. • Ver http://www.socks.nec.com
Comparación (1) Nota: Menor número mejor seguridad y mayor performance.
Estrategia General para Firewalls • Empezar bloqueando TODO. • Evaluar los riesgos para cada punto de riesgo. • Permitir servicios haciendo un análisis de cada caso. • Tener una DMZ (De-Militarized zone) para proteger segmentos completos de nuestra red.