Bienvenido al Curso Gratis de Redes – Capitulo 6 – Firewall. Exploraremos la piedra angular de la ciberseguridad: el Firewall. Sumérgete en el arte de la protección digital mientras desentrañamos las complejidades y estrategias detrás de esta barrera defensiva. Descubre cómo un Firewall puede ser tu aliado crucial en la defensa contra amenazas cibernéticas.

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?

Firewall

La seguridad en cada equipo individual sigue siendo esencial pero no se puede considerar de forma aislada.  Hay que considerar:

  • El número de equipos en muchas organizaciones.
  • Entornos heterogéneos con distintos sistemas operativos y versiones de cada sistema operativo
  • usuarios con privilegios de administración pueden ser un problema a la hora de organizarlos.

Un cortafuego es una herramienta que protege una red de sistemas y dispositivos interconectados mediante el control del tráfico de red. El cortafuego debe tener tres características clave:

  • Todo el tráfico de “dentro a fuera” y de “fuera a dentro” debe pasar por él.
  • Solo el tráfico autorizado basado en la política de seguridad puede continuar.
  • Debe ser completamente inatacable. 

Aunque ningún cortafuego actual cumple estos requisitos completamente, todos intentan acercarse a ellos lo más posible. 

Para proteger las redes, se puede optar por colocar uno o varios cortafuegos.

Ventajas:

  • capacidad para ser utilizados como un punto esencial de aplicación de la política de seguridad.
  • son capaces de soportar técnicas avanzadas de autenticación de manera más eficaz y económica que si se hiciera equipo por equipo.
  • pueden centralizar alarmas y registros de tráfico
  • Tienen menos configuración en comparación con un sistema de propósito general
  • Necesitan pocos usuarios definidos para llevar a cabo su configuración y mantenimiento.

La política del tráfico en un cortafuego es restrictiva y solo permite el tráfico que ha sido explícitamente permitido. Esta política es segura, pero cada utilidad que necesite tráfico debe ser analizada y permitida de manera individual.

Desventajas:

  • pueden provocar una falsa sensación de seguridad para los usuarios y administradores.
  • Si son muy sofisticados, pueden requerir una configuración compleja.
  • Pueden representar un cuello de botella para el tráfico de red.

Tipos:

  • filtros de paquetes.
  • Gateways de aplicaciones.
  • stateful inspection.  (el Firewall-1 de Checkpoint o el CiscoASA (Adaptative Security Appliance), además de su tecnología particular, pueden configurarse como servidores proxy.)
  • híbridos.

Arquitecturas de cortafuegos: son distintas formas de combinar cortafuegos

Filtros de paquetes

Los filtros de paquetes operan en el nivel de red y transporte y filtran paquetes IP basándose en valores de algunos campos de las cabeceras de IP, TCP o UDP. también permiten filtrar el tráfico en función del enlace de red del que provenga. El más básico consiste en un encaminador que trabaja a nivel de red, aunque en muchos casos, una máquina con software dedicado realiza esta tarea.

Cada filtro está compuesto por reglas que se utilizarán de distintas  y orden en busca de una coincidencia. Un filtro de paquetes examina cada paquete entrante por la interfaz en la que está aplicado el filtro y:

  1. Obtiene los contenidos de las cabeceras citadas del paquete.
  2. Contrasta los valores contra los configurados en las reglas del filtro, ordenadamente.
  3. Si cumple lo enunciado en una regla, aplica una de las dos únicas condiciones posibles: lo permite, en cuyo caso el paquete se encaminará a su destino o lo descarta.

Campos de la cabecera

Los campos de las cabeceras que se usan como criterios de filtrado son:

  • Las direcciones IP origen y destino del mensaje, que viajan en la cabecera de IP.
  • Los números de puerto origen y destino del mensaje, que son parte de la cabecera de TCP o de UDP.
  • El tipo de protocolo o número de protocolo, parte de la cabecera de IP, que indica, el tipo de mensaje IP: si es ICMP, OSPF, TCP, UDP, etc.
  • Una serie de opciones de la cabecera TCP, como los bits de sincronización, de final, de ACK, etc.

Para ser efectivo, un filtro debe permitir la especificación de puertos, ya que algunos servidores de aplicaciones IP utilizan números de puerto normalizados, mientras que los clientes utilizan números de puerto al azar por encima de 1023. Es necesario contar con operadores relacionales para implementar relaciones como “mayor que” o “igual a” y los filtros deben permitir el filtrado de paquetes según la interfaz de origen o destino. Pueden ser un software con funcionalidades avanzadas como IPTables o ser parte de un encaminador. La tecnología es simple y transparente para los usuarios.

Puntos débiles:

  • Si la configuración llega a hacerse muy grande, puede hacerse difícil el mantenimiento de los filtros.
  • Si se tiene que hacer una excepción ocasional, puede ser que haya que cambiar toda la configuración, haciendo la situación bastante insegura.
  • No permiten realizar ningún control a nivel de usuario ni a nivel de datos. No se puede filtrar por valores de campos de las cabeceras de aplicación.
  • No es fácil filtrar protocolos con más de una conexión activa simultáneamente, como ftp, ni protocolos basados en RPC.
  • No suelen guardar registro de los accesos de los usuarios.

Aplicaciones difíciles de filtrar son aquellas basadas en el entorno RPC (Remote Procedure Call), para las que cada servidor RPC tiene asociado un número de puerto que no es siempre el mismo. Aplicaciones como NFS (Network File System) o NIS (Network Information Services), envían mensajes al portmapper con el número de puerto 111 para conocer el número de puerto actual del servidor que están buscando.

Estas aplicaciones están compuestas por varios servidores que se registran con el portmapper al iniciar, lo que las hace difíciles de filtrar. no se debe permitir el tráfico de estas aplicaciones si el cortafuego es solo un filtro de paquetes. Las reglas de filtrado se expresan como una tabla de condiciones y acciones que se consultan en orden hasta encontrar una regla para decidir si se permite o se bloquea un paquete.

Es importante el orden de análisis de las reglas para implementar correctamente la política de seguridad. Cuanto más complejas sean las reglas y su orden de análisis, más difícil será para el administrador gestionarlas. ¿Y si un paquete que no cumple ninguna regla especificada? Se debe añadir una regla por defecto al final de la lista que bloquee todo el tráfico que no cumpla con ninguna otra regla.

Access Control Lists

Muchas implementaciones de filtros de paquetes las incorporan directamente. Los encaminadores Cisco incorporan dicho filtrado restrictivo por defecto en sus listas de control de acceso o ACLs (Access Control Lists).

Las ACL de los encaminadores Cisco son de dos tipos: standard extended.

Las ACLs de tipo standard están compuestas de una serie de reglas ordenadas (ACE o Access control entry), cada una de las cuales solo usan, como criterio, la dirección IP origen del mensaje, y tienen una sintaxis:

router(config)# access-list N {permit|deny} dirección-IP-origen [máscara]

Recordar estas reglas para standard y extended:

  1. Al final de todas las reglas existe una más (que no pone el administrador) implícita, que deniega el resto del tráfico, que no coincide con alguna de las reglas de la ACL. Es la condición de «todo lo demás negado por defecto».
  2. Hay una serie de «palabras clave» que se pueden utilizar para hacer las reglas más legibles. Por ejemplo, en lugar de 144.21.13.12 0.0.0.0, se puede escribir host 144.21.13.12, o en lugar de escribir 0.0.0.0 0.0.0.0, se puede escribir any.
  3. El comando access-list solo sirve para construir la ACL, pero no la aplica a ninguna interfaz. Para ello, existe otro comando diferente.

Aplicacion de control de acceso

Para aplicar la ACL a una interfaz concreta, en el caso de los encaminadores de Cisco, se debe pasar a «modo de configuración de la interfaz» y aplicar el comando ip access-group. La sintaxis es:

router(config)# interface nombre-interface

router(config-if)# ip access-group N {in|out}

nombre-interface es la sintaxis propia de Cisco. Ej: «ethernet-0», N es el número que identifica la ACL que se quiere asociar a la interfaz. IN indica tráfico entrante y OUT saliente. En la figura. Se quiere dejar pasar hacia dentro todo el tráfico de las redes externas (más allá de la interfaz ethernet-1) excepto el que venga de la red 144.21.0.0. La ACL sería:

router(config)# access-list 1 deny 144.21.0.0 0.0.255.255

router(config)# access-list 1 permit any La segunda línea es obligatoria. Si no se tiene en cuenta, funcionará la «por defecto» ya citada, que, aunque no se vea es:

access-list 1 deny any

Para aplicar la ACL a la interfaz ethernet-1, los comandos serían:

router(config)# interface ethernet-1

router(config-if)# ip access-group 1 in

Filtrando así, solamente, el tráfico entrante.

Las ACLs de tipo extended

Las ACLs de tipo extended, comparten todas las demás características del standard, pero tienen una sintaxis más complicada, atendiendo a que permiten filtrar utilizando muchos otros criterios:

router(config)# access-list N {permit|deny} protocolo dir.IP-fuente [máscara-fuente] [op puerto-fuente] dir.IP-destino [máscara-destino] [op puerto-destino]

En este caso, N es un número entre 100 y 199, para indicar que es una lista extended, protocolo es la referencia al campo de número de protocolo de la cabecera IP y op puede ser:

  • lt, indicando «menor que».
  • le, indicando «menor o igual que».
  • gt, indicando «mayor que».
  • ge, indicando «mayor o igual que».
  • eq, indicando «igual a».
  • ne, indicando «distinto a».
  • range, que permite expresar un rango de números.

Si lo que se busca es en la misma topología de la figura anterior, que se cumpla la siguiente política:

  • No dejar entrar tráfico Telnet externo, salvo de la dirección 155.15.1.1.
  • Permitir el tráfico, del tipo que sea, de la dirección 133.11.1.3.
  • No dejar entrar tráfico general salvo de la red 144.21.0.0.

La lista de acceso sería:

router(config)# access-list 101 permit ip host 133.11.1.3 any
router(config)# access-list 101 permit tcp 155.15.11.1 any eq 23
router(config)# access-list 101 permit ip 144.21.0.0 0.0.255.255 any

igual que antes, la condición implícita por defecto, no permite entrar más tráfico.

gateway (servidores proxy)

Son una alternativa a los filtros de paquetes ya que soportan filtros a nivel de aplicación en lugar de a nivel de red y transporte. Actúan para un protocolo de aplicación y hay un proceso proxy para cada protocolo que se quiere filtrar.

Un servidor proxy reside entre los clientes y el servidor real, intercepta las peticiones de los clientes de servicios particulares, las evalúa y decide qué tráfico se permite y qué tráfico se bloquea.

Arquitectura de servidores proxy

Ventajas:

  • soluciona problemas que presentan los filtros de paquetes, ya que permite filtrar a nivel de aplicaciónse puede filtrar por operaciones concretas de protocolo.
    • Ej. en ftp e podría poner una regla de bloqueo de todos los comandos put y nadie podría subir archivos al servidor.
    • los problemas relacionados con el esquema de ftp desaparecen ya que el proxy cambia el número de puerto usado en las sesiones para mantener el estado de las dos sesiones.
  • Pueden tener un proceso separado por protocolo, no tienen que tratar de hacerlo todo a la vez.
  • Es sencillo restringir el acceso a un servicio: si no hay proxy, no hay servicio.
  • Simplifica las reglas de filtrado en el encaminador. Solo se debe permitir el tráfico hacia la pasarela de aplicación y bloquear el resto.
  • Permite un grado de ocultación de la estructura de la red protegida. El nombre del proxy será el único que estará disponible hacia el exterior.

Desventajas:

  • Al funcionar un proceso proxy por servicio, se debe tener multitud de ellos, si se quiere atender al filtrado de muchos protocolos.
  • puede pasar que se tenga que usar distintos clientes, servidores o ambos.
  • Pueden llegar a ser un cuello de botella para el tráfico.

tipos de servidores proxy:

  • Un sistema genérico, SOCKS, requiere clientes distintos a los típicos, no es popular.
  • Proxy Server, como el de Microsoft, un paquete de software que permite hacer proxy de protocolos ftp, http y nntp.
  • TIS FWTK, de Trusted Information Systems, que incluye distintos tipos de servidores proxy. Entre otros, incluye proxies para Telnet, FTP, Rlogin, Sendmail, HTTP, etc.

¿Qué se puede mejorar?

  • Trabajar con tecnología «stateful inspection».
  • Reunir varias de las tecnologías, junto con distintos tipos de sistemas de autenticación, AAA, para crear cortafuegos mucho más sofisticados.
  • Con todas las tecnologías disponibles, crear distintas arquitecturas o topologías de seguridad, en torno al cortafuego.

zona desmilitarizada (DMZ)

Esta red aísla los servicios que se quieren mantener disponibles por Internet y separa los servicios de la red interna.  Si estos servicios estuvieran en la red interna, cualquier ataque podría poner en peligro toda la red.

Topología de una DMZ típica

La robustez dependerá de qué cortafuegos se seleccione y de lo bien configurado que esté.

Dos principios de seguridad:

  • defensa en profundidad, los ataques deben de ser capaces de atacar con éxito primero el encaminador y, después, el cortafuego.
  • diversidad de defensa: El cortafuego y el encaminador estan por separado.

Topología de doble DMZ: consiste en dos DMZs, La externa con  elementos que son menos atacables y la DMZ interna.

Es importante seleccionar cuidadosamente los dos cortafuegos y decidir qué servicios se colocarán en la DMZ externa e interna. esta arquitectura puede presentar dificultades de administración. En el caso de dispositivos móviles, un cortafuego no garantiza la protección de los datos ya que cuando estos dispositivos se conectan a redes externas no están protegidos por el cortafuego y son susceptibles a ser comprometidos.

si un dispositivo móvil comprometido se vuelve a conectar a la red de la organización, puede ser una puerta de entrada para el atacante y una fuente de infección para el resto de equipos de la red.

Al llegar al final de este cautivador Capítulo sobre Firewalls, has adquirido una comprensión profunda de esta herramienta esencial en ciberseguridad. Ahora estás armado con el conocimiento para implementar y gestionar Firewalls de manera efectiva, brindando una capa sólida de protección a tus redes. ¡Protege, aprende y avanza hacia una experiencia más segura en el mundo digital!

Lee nuestra Guía Completa:

No te detengas, sigue avanzando….

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en redes, hacking y seguridad cibernética pero nunca lo has logrado, ahora es definitivamente el momento de dar el siguiente paso. Nuestros cursos. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble! Aprende Redes y Hacking y avanza en tu carrera.

Firewall: Pfsense. Instalación y configuración con Práctica

Calificación: 4,4 de 54,4 (463 calificaciones) 22.986 estudiantes Creado por Alvaro Chirou • 1.800.000+ Enrollments WorldwideWalter Coto || +440,000 Estudiantes

Implementa Pfsense desde 0. Aprenderás lo necesario de redes para instalar un firewall y brindar Seguridad a tu Red: http://achirou.com/firewall-pfsense

Lo que aprenderás

  • Implementar PFSense para aumentar la Seguridad de una Red
  • Configurar PFSense
  • Administrar PFSense
  • Qué es un Firewall
  • Qué es PFSense
  • Crear Usuarios y Grupos, con Permisos para cada uno
  • Configurar el DHCP de PFSense
  • Conectarse por medio de SSH
  • Usar PFSense como un Servidor Proxy
  • Limitar Ancho de Banda de una Red
  • Interceptar y Manipular tráfico HTTP y HTTPS
  • Controlar Accesos a la Navegación
  • Realizar conexiones Seguras desde fuera de PFSense
  • Instalación de Windows Server
  • Configuración de Active Directory en Windows Server
  • Configuración de Dominio en Windows Server
  • Conocimientos de Redes necesarios para realizar el Curso
  • SquidGuard: Instalación y configuración
  • Integraremos Squidguard con Windows Server Active Directory
  • Integración de Squid Proxy con Windows Server Active Directory
  • pfblockerNG: Instalación y configuración

El manejo de Firewall para proteger nuestra información, la red, servidores y computadoras es hoy una de las mayores demandas del mercado ya que todo se encuentra digitalizado a través de redes.

Pfsense es un Firewall Open Source y Gratuito que lleva años de uso y de mejora permanente.

La documentación oficial de esta herramienta cuenta con casi 700 paginas donde toda esta información, te la enseñamos en esta formación profesional en español y formato video, con Práctica.

Contar con el conocimiento de esta herramienta puede ampliar significativamente tus oportunidades laborales, ya que es muy valorado a nivel redes y seguridad.

Te enseñaremos las bases, todo lo que necesitas saber desde 0, acompañándote en tu crecimiento hasta llegar a aprender como implementar este Firewall, e inclusive, montar un laboratorio e instalar un windows server para integrarlo con Pfsense.

¡Inicia ahora este curso!

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mí y de mis servicios en: laprovittera.com. Seguime en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Continúa leyendo: