Endian Firewall

Tema: Endian Firewall

CAPITULO I

1.1 Historia de los Cortafuegos

El término "firewall / fireblock" significaba originalmente una pared para confinar un incendio o riesgo potencial de incendio en un edificio. Más adelante se usa para referirse a las estructuras similares, como la hoja de metal que separa el compartimiento del motor de un vehículo o una aeronave de la cabina. La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de Internet como una comunidad relativamente pequeña de usuarios con máquinas compatibles, que valoraba la predisposición para el intercambio y la colaboración, terminó con una serie de importantes violaciones de seguridad de Internet que se produjo a finales de los 80:

 Clifford Stoll, que descubrió la forma de manipular el sistema de espionaje alemán.

 Bill Cheswick, cuando en 1992 instaló una cárcel simple electrónica para observar a un atacante.

 En 1988, un empleado del Centro de Investigación Ames de la NASA, en California, envió una nota por correo electrónico a sus colegas que decía:

"Estamos bajo el ataque de un virus de Internet! Ha llegado a Berkeley, UC San Diego, Lawrence Livermore, Stanford y la NASA Ames."

 El Gusano Morris, que se extendió a través de múltiples vulnerabilidades en las máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para hacer frente a su ataque.

1.2 Firewall.

Firewall o cortafuegos es un dispositivo en hardware o software de seguridad perimetral, que permite controlar el tráfico de entrada y salida; ya sea desde o hacia la red, o hacia un equipo en específico. Su funcionamiento se basa en crear una barrera ya sea entre un equipo y una red, como en el caso de un firewall personal o entre dos tipos de redes como es el caso de un firewall de red.

1.3 Algunos tipos de firewall son:

Nivel de aplicación de pasarela

Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento.

Circuito a nivel de pasarela

Aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

Cortafuegos de capa de red o de filtrado de paquetes

Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino.

A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.

Cortafuegos de capa de aplicación

Trabaja en el nivel de aplicación (capa 7 del modelo OSI), de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder.

Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los computadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red.

Cortafuegos personales

Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

CAPITULO II

IMPLEMENTACIÓN DE FIREWALL EN DIFERENTES ESCENARIOS.

Cada día que pasa las empresas buscan mejorar sus tecnologías y por supuesto su seguridad de la información, ya que también en el mundo van evolucionando y se van encontrando nuevas vulnerabilidades en dicha seguridad.

Por esto aparecen soluciones como es la implementación de un firewall, lo cual puede llegar aportar una gran parte en la seguridad de una compañía o empresa.

PRIMER ESCENARIO: SALIDA A INTERNET

(Configuración básica)

Los requerimientos para el primer escenario son:

Existe un grupo de 4 usuarios de una pequeña compañía que desea “salir” a Internet. Usted debe garantizar que los usuarios lo puedan hacer configurando un Gateway que proporcione servicios de enrutamiento básico y NAT.

 Debe asegurarse que desde la interfaz WAN no haya acceso a la red interna.

NUESTRO PRIMER ESCENARIO ESTA IMPLEMENTADO ASÍ:

Descripción:

Tenemos dos tarjetas de red conectadas en nuestro PC que operara como Firewall, cada una de las tarjetas están conectadas a una red diferente, así:

Una de las interfaces esta conectada con la WAN (Internet),la cual posee la dirección de red 10.3.6.46/25 y la Segunda interfaz esta conectada a nuestra red privada LAN y posee la dirección IP 192.168.20.238/24.

Las direcciones IP de los cuatro (4) equipos que podrán salir a internet son:

• 192.168.20.11/24

• 192.168.20.12/24

• 192.168.20.13/24

• 192.168.20.14/24

Ningún tipo de tráfico podrá ingresar a nuestra LAN desde la WAN.

ESCENARIO 2: FILTRADO BÁSICO (Configuración media)

Los requerimientos para el escenario 2 son:

• Cada servidor en la LAN tiene diferentes direcciones IP, se debe garantizar el acceso desde Internet a estas aplicaciones.

• Se debe denegar el acceso a las aplicaciones mencionadas para los usuarios de la LAN, tenga en cuenta que las aplicaciones podrían abrir mas puertos de los esperados, por favor haga pruebas para confirmar que el firewall filtra adecuadamente.

• Existen 2 usuarios administradores en la LAN, los cuales por ningún motivo deben estar bloqueados, hay que garantizar el acceso a INTERNET para estos

...