El firewall es un dispositivo, sistema o grupo de sistemas que aplica una política en el control de acceso en las redes.

FIREWALLS

7.1 Redes seguras con firewalls

El firewall es un dispositivo, sistema o grupo de sistemas que aplica una política en el control de acceso en las redes.

Tipo de filtrado de paquetes:

• Stateless.- funciona sin importar si el paquete es parte de un flujo de datos existente.
• Stateful.- es capaz de determinar si un paquete pertenece a un flujo de datos existente.

7.1.1 Características de los firewalls

BENEFICIOS:

• Previenen la exposición de los hosts y las aplicaciones
• Examinan el flojo de datos de los protocolos
• Puede bloquearse el acceso de datos maliciosos a servidores y clientes
• Hace que la aplicación de una política de seguridad se torne simple, escalable y robusta
• Mejora la administración de la seguridad de la red al reducir el control de acceso a la misma.

LIMITACIONES

• Si está mal configurado, el firewall puede tener consecuencias serias
• Muchas aplicaciones no pueden pasar a través del firewall en forma segura
• Los usuarios pueden intentar buscar maneras de sortear el firewall para recibir material bloqueado, exponiendo la red a potenciales ataques.
• El rendimiento de la red puede disminuir
• Puede hacerse tunneling de tráfico no autorizado o puede disfrazárselo como trafico legítimo.

7.1.2 Tipos de firewall

• Firewall de filtrado de paquetes: trabajan principalmente en la capa de Red del modelo OSI y generalmente se los considera dispositivos de capa 3. Analizan tráfico basándose en información de capa 4.
• Stateful firewall: son la tecnología de firewall más versátil y común en uso actualmente, están clasificados como de capa de red. El dispositivo examina la información en los encabezados de paquetes de capa 3, aunque, para algunas aplicaciones, también puede analizar tráfico de capa 4 y 5.
• Proxy firewall: filtra según informacion de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayoría se hace por software.
• Firewall de traducción de direcciones (NAT): puede exponer las direcciones IP internas a potenciales atacantes. El NAT firewall aumenta el numero de direcciones IP disponibles y oculta el diseño de direccionamiento interno de la red.
• Host-based firewall: ejecuta un software de firewall tanto para un servidor como para un ordenador personal.
• Transparent firewall: filtra el trafico IP entre dos interfaces conmutadas
• Hybrid firewall: es una combinación de varios tipos diferentes de firewalls.

Cisco Systems lanzo 3 soluciones firewalls:

• Firewall IOS
• Cisco PIX Security Appliance
• ASA

7.1.3 Diseño de redes con firewalls

La seguridad en redes consiste en crear y mantener una política de seguridad. Incluyendo una política de seguridad de firewall.

Algunos diseños son tan simples como la designación de una red externa y una interna, determinadas por dos interfaces en un firewall. La red externa no es confiable, mientras que la interna si lo es.

Al tráfico de retorno que proviene de la red externa, asociado con tráfico de origen interno, se le permite pasar de la interfaz no confiable a la confiable.

Un diseño más complicado puede involucrar 3 o más interfaces en el firewall, interfaz externa, una interna y un a DMZ (Demilitarized Zone). A una zona desmilitarizada se le hace referencia como una porción de red conectada con un firewall donde es común permitir tipos específicos de tráfico desde fuera.

        Características de este diseño:

• El flujo de tráfico circula libremente de la interfaz interna a la externa y la DMZ.
• Se permite libremente el paso del tráfico que proviene de la DMZ por la interfaz externa.
• El tráfico de la interfaz externa generalmente se bloquea salvo que está asociado con el tráfico de origen interno o de la DMZ.
• En interfaz DMZ es común permitir tráfico desde fuera, siempre que sea el tipo de tráfico correcto y que su destino sea la DMZ

7.2 Control de acceso basado en el contexto

CBAC es una solución disponible dentro del firewall Cisco IOS. Filtra inteligentemente los paquetes TCP y UDP en base a la información obtenida de la sesión se protocolo de capa de aplicación, detecta y previene contra la mayoría de los paquetes más populares de las redes. Solo ofrece filtrado para los protocolos especificados si el tráfico pasa través de un router.

        Principales características de CBAC:

• Examina las conexiones soportadas para ejecutar las traducciones de direcciones necesarias basándose en la información de NAT y PAT contenida en el paquete.
• Puede bloquear conexiones peer-to-peer (P2P)
• Filtra el tráfico para permitir el paso de retorno en conexiones TCP y UDP especifico a través del firewall cuando la conexión se inicia dentro de la red.
• Inspecciona paquetes de capa de aplicación y mantiene información de sesiones TCP y UDP, puede detectar y prevenir ciertos tipos de ataques de red como inundación SYN.
• Inspecciona consultas y respuestas DNS.
• Proporciona una cantidad limitada de conexiones ofreciendo protección contra ataques SMTP específicos.
• Inspecciona tráfico ICMP como solicitud de eco, respuesta eco, destino inalcanzable, tiempo excedido, solicitud y respuesta de marca de tiempo.
• Genera alertas en tiempo real y registros de auditorías.

7.2.1 Funcionamiento de CBAC

Crea entradas en las ACL de las interfaces del firewall agregando una entrada temporal en la ACL para una sesión especifica.

Los protocolos que serán inspeccionados se especifican en una regla de inspección. La regla de inspección se aplica a una interfaz en una dirección (de entrada o salida) cuando se aplica la inspección.

Las entradas temporales permiten el ingreso del tráfico de retorno que normalmente seria bloqueado si no fuesen parte de la misma sesión y con las mismas propiedades esperadas que el tráfico original que disparo al CBAC cuando salió por el firewall. Sin esta entrada este tráfico seria denegado por la propia ACL, existente.

...