Tag Archives: redes

Como diseñar una política de Firewall

FirewallAunque reconozco que hacia tiempo que este borrador andaba dando vueltas hoy me decidí a plasmarlo en el blog.
Hace un tiempo, por si no lo recuerdan, hice 2 publicaciones sobre firewalls: una introducción y otro explicando sobre los diferentes tipos de firewalls.

En este pretenderé dar algunas recomendaciones a la hora de diseñar una correcta política de firewall.

Procesos tan vitales como aplicar una política de cortafuegos partiendo de una base ordenada, así como seguir unas buenas prácticas a la hora de hacer modificaciones, hacen que la política de seguridad sea más legible a la hora de entenderla, así como más eficiente en cuanto al procesamiento de las reglas.

Aquí van entonces mis pasos y/o recomendaciones:

Suponemos que comenzamos partiendo de un dispositivo (o un clúster) que segmenta de forma correcta las redes que la organización desea separar. En este ejemplo, y como dicen los libros de matemáticas: “Sea un cortafuegos con cuatro redes diferentes: Una LAN, una DMZ de servicios públicos, una red DMZ de servicios privados (o accesibles sólo desde dentro) y la red de salida a Internet”.

network

Un cortafuegos es, generalmente, un software implementado en un sistema operativo muy securizado y optimizado para tener un rendimiento óptimo en procesado y filtrado de paquetes, que interpreta las reglas que implementemos en modo Top-Down, es decir, por orden de definición. Si un paquete/conexión/sesión (dependiendo del cortafuegos) hace match con una regla, no se sigue procesando por las siguientes.

Continue reading

Introducción a Firewalls (Parte II)

En el tutorial anterior les he mostrado algunos conceptos básicos acerca de los firewalls, y también los he clasificado en dos tipos de firewalls por como están construidos, ahora en este post vamos a compartir un poco de conocimiento avanzado y clasificare los firealls por su aplicación.

¿Como trabajan los Firewalls?

Comprender como trabajan los firewalls no es algo sumamente complicado como muchos piensan. El funcionamiento de un firewall depende de algunos pasos.

Cuando se inicia una comunicación con un host u otros dispositivos a través de Internet, las computadoras siguen un proceso de negociación TCP de 3 pasos, en general, el host  envía una petición a la red para el propósito de la comunicación.

  • Si tienes un firewall en la computadoras, entonces el firewall primero controla esa solicitud y compara la misma con los diferentes tipos de reglas y directivas del firewall.
  • El firewall  también controla la fuente donde se creo el paquete de red y el hosting, entonces el firewall toma la decisión si el archivo debe ser enviado o rechazado.
  • Las reglas y directivas del firewall son establecidas por el administrador del equipo o red.
  • Los firewalls  también controlan el proceso de autenticación para una comunicación segura, si algo falta en el proceso de autenticación, se bloqueara toda la comunicación.

Los firewalls pueden ser divididos por sus técnicas de configuración o aplicación.

Firewalls a nivel de red o filtrado de paquetes

Los firewalls de nivel de capa de red, son también llamados “filtra paquetes”. Por lo general, toman sus decisiones basándose en la IP de Origen, IP Destino y los distintos puertos en cada paquete IP individual. Un simple Router es un firewall de capa de red tradicional.

Firewall a nivel de aplicacion.

Los firewalls de capa de aplicación analizan mas profundamente dentro de la aplicación que se comunica a Internet, este utiliza reglas para restringir aplicaciones como ser, TCP, FTP, Telnet, UDP, etc.
Los filtros de capa de aplicación pueden incluir protección contra spam y virus, así como también, son capaz de bloquear sitios web no deseados basados en su contenido y no solamente en la dirección IP.

.

Utilizar Solaris 10 como sniffer de tráfico de red

Introducción

Monitorizar el tráfico de red es algo importante y aunque en este tema el rey es Ethereal (WireShark), puede que no nos interese instalarlo, o no podamos.

En Solaris se incluye un comando llamado <<snoop>> que nos permite poner nuestra tarjeta de red en modo promiscuo, guardarlo en un archivo y posteriormente procesarlo utilizando Wireshark en nuestro desktop.

Wireshark es capáz de interpretar las capturas generadas con el comando <<snoop>> de Solaris simplemente utilizando la extensión snoop en el archivo de captura.

Hay que tener en cuenta que no podemos poner un alias en modo promiscuo, sino el interface original, por eso si queremos hacerlo sobre una zona no-global y la tarjeta de red no está asignada como exclusive tendremos que hacerlo desde la zona global.

Vamos a ver cómo podemos capturar todo el tráfico de nuestro interface <<ce3>> y guardarlo en un archivo llamado <</tmp/output.snoop>> (para detener la captura pulsaremos CTRL+C).

# snoop -d ce3 -o /tmp/output.snoop
Using device /dev/ce3 (promiscuous mode)
1771 ^C

Una vez tengamos nuestro archivo, podemos tratarlo dentro de Wireshark de una forma sencilla.

Saludos,