SlideShare una empresa de Scribd logo

Diseño de un firewall

Descargar como DOCX, PDF
Roger Rayme Bautista
Roger Rayme Bautista
1 de 3
Diseño de un firewall En un entorno de red, incluyendo tanto equipos finales como de conectividad, el firewall es la primer medida indispensable en lo que hace a seguridad lógica de la misma. Por ello es importante entender cómo funciona un firewall y diseñarlo correctamente antes de ponerlo en funcionamiento, sobre todo si se trata de un ambiente de producción. Para empezar es importante saber que un firewall puede tener una de dos políticas: Política permisiva: por defecto se permite todo el tráfico y se deniega explícitamente lo que no se desea que atraviese el mismo. La ventaja es que es fácil de implementar ya que no requiere conocimientos precisos de los servicios brindados. La desventaja es, lógicamente, su falta de seguridad. Política restrictiva: por defecto se bloquea todo el tráfico y se permite sólo el tráfico válido. Por ejemplo, si se tiene un servidor web se denegará todo tipo de intento de conexión al mismo con excepción del tráfico destinado al puerto 80 tcp. Será necesario entonces escoger una para luego definir las reglas necesarias. En la práctica uso la segunda de ellas y será la que utilice en este post. Ahora bien, el próximo paso es relevar los servicios que se permitirán pasar por el firewall con la mayor precisión posible: IPs de origen, IPs de destino, puertos, protocolos. Una vez obtenida esa información ya es posible comenzar a definir las reglas para permitir lo relevado. Un consejo en este punto es mantener las reglas lo más restrictivas posibles aunque dependerá siempre de cuán críticos sean los equipos a proteger. Con esto en cuenta mostraré un ejemplo práctico en base al siguiente diagrama:
Red de ejemplo En la red anterior se tiene una red de servidores con un firewall y otra red con máquinas sin un firewall en el medio donde, una de ellas, es la máquina del administrador. Ya se decidió que la política será restrictiva. Siguiendo con los pasos, debería hacerse entonces un relevamiento. A continuación listo los requerimientos obtenidos a partir del mismo: FTP: se utiliza para subir cambios en la web y se permite sólo desde la red con los dos hosts. SSH: para los tres equipos, sólo desde la máquina del administrador. DNS: a todo internet, pues es el servidor de DNS de la empresa. HTTP/HTTPS: a todo internet, ya que los servidores alojan el sitio web de la empresa. SMTP: como se necesita que reciba mails es necesario que sea accesible desde cualquier lugar de internet. POP/IMAP: los usuarios de mail de la empresa pueden chequearlo desde sus casas. Por lo tanto estará disponible para todo internet también. Además se desea que sea posible hacer ping a los servidores desde la máquina del administrador. Antes de seguir con la definición del firewall es importante saber los puertos que utiliza cada servicio. Los mismos son:
FTP: puertos de destino 20/tcp y 21/tcp. SSH: puerto de destino 22/tcp. DNS: puertos de destino 53/udp y 53/tcp. Puertos de origen 53/udp y 53/tcp. HTTP/HTTPS: puertos de destino 80/tcp y 443/tcp respectivamente. SMTP: puerto de destino 25/tcp. Puerto de origen 25/tcp. POP/IMAP: puertos de destino 110/tcp y 143/tcp. Ping: usa el protocolo ICMP que no tiene puertos. Basados en lo anterior se podría definir el firewall. Sería algo como lo siguiente: Denegar todo tráfico entrante Permitir todas las conexiones establecidas y relacionadas (si una conexión pasó por el firewall ya no se vuelve a analizar el tráfico referente a dicha conexión ni necesita ser explícitamente aceptado. Lo mismo con las conexiones relacionadas) Permitir tráfico ICMP con cualquier destino y origen Permitir conexiones con destino 172.25.11.0/24 desde la ip 172.25.10.2 puerto origen tcp 20 (FTP ACTIVO) Permitir conexiones con destino 172.25.10.2 al puerto tcp 21 desde 172.25.11.0/24 Permitir conexiones con destino 172.25.10.2-4 al puerto tcp 22 desde 172.25.11.2 (SSH) Permitir conexiones con destino 172.25.10.4 al puerto tcp 25 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 25 desde 172.25.10.4 Permitir conexiones con destino 172.25.10.3 al puerto tcp 53 desde cualquier lado Permitir conexiones con destino 172.25.10.3 al puerto udp 53 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 53 desde 172.25.10.3 Permitir conexiones con cualquier destino al puerto udp 53 desde 172.25.10.3 Permitir conexiones con destino 172.25.10.2 al puerto tcp 80 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 110 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 143 desde cualquier lado Permitir conexiones con destino 172.25.10.2 al puerto tcp 443 desde cualquier lado Con lo visto he pretendido dar una noción del diseño básico de un firewall. En un próximo post mostraré cómo implementarlo con herramientas libres.

Recomendados

Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidosayreonmx
 
Servicios básicos ofrecidos por una red
Servicios básicos ofrecidos por una redServicios básicos ofrecidos por una red
Servicios básicos ofrecidos por una redJALFO
 
PSW Unidad 1 PROCESO DE SOFTWARE
PSW Unidad 1 PROCESO DE SOFTWAREPSW Unidad 1 PROCESO DE SOFTWARE
PSW Unidad 1 PROCESO DE SOFTWAREFranklin Parrales Bravo
 
Procesos de los sistemas operativos
Procesos de los sistemas operativosProcesos de los sistemas operativos
Procesos de los sistemas operativosDeivis Romero
 
GRID COMPUTING
GRID COMPUTING GRID COMPUTING
GRID COMPUTING poool666
 
Proyecto ingeniería de software medicitapp
Proyecto ingeniería de software medicitappProyecto ingeniería de software medicitapp
Proyecto ingeniería de software medicitappJoseBarriosSalgado
 
Protocolos del Modelo OSI
Protocolos del Modelo OSIProtocolos del Modelo OSI
Protocolos del Modelo OSIPaola Orellana
 
El sistema operativo mac
El sistema operativo macEl sistema operativo mac
El sistema operativo macjimjaen
 

Recomendados

Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidosayreonmx
 
Servicios básicos ofrecidos por una red
Servicios básicos ofrecidos por una redServicios básicos ofrecidos por una red
Servicios básicos ofrecidos por una redJALFO
 
PSW Unidad 1 PROCESO DE SOFTWARE
PSW Unidad 1 PROCESO DE SOFTWAREPSW Unidad 1 PROCESO DE SOFTWARE
PSW Unidad 1 PROCESO DE SOFTWAREFranklin Parrales Bravo
 
Procesos de los sistemas operativos
Procesos de los sistemas operativosProcesos de los sistemas operativos
Procesos de los sistemas operativosDeivis Romero
 
GRID COMPUTING
GRID COMPUTING GRID COMPUTING
GRID COMPUTING poool666
 
Proyecto ingeniería de software medicitapp
Proyecto ingeniería de software medicitappProyecto ingeniería de software medicitapp
Proyecto ingeniería de software medicitappJoseBarriosSalgado
 
Protocolos del Modelo OSI
Protocolos del Modelo OSIProtocolos del Modelo OSI
Protocolos del Modelo OSIPaola Orellana
 
El sistema operativo mac
El sistema operativo macEl sistema operativo mac
El sistema operativo macjimjaen
 
Tecnologías Web
Tecnologías WebTecnologías Web
Tecnologías WebAntonio Albanés
 
Sistema de Archivos
Sistema de ArchivosSistema de Archivos
Sistema de ArchivosLuis Efrén Rojas Montañez
 
Diccionario de datos
Diccionario de datosDiccionario de datos
Diccionario de datosJorge Garcia
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAHelmilpa
 
Sistemas Distribuidos basados en la Web
Sistemas Distribuidos basados en la WebSistemas Distribuidos basados en la Web
Sistemas Distribuidos basados en la WebTensor
 
Interfaz del Sistema de Archivos
Interfaz del Sistema de ArchivosInterfaz del Sistema de Archivos
Interfaz del Sistema de ArchivosAcristyM
 
Servicios de red (1)
Servicios de red (1)Servicios de red (1)
Servicios de red (1)Sofia Fox
 
IW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
IW Unidad 2: Metodologías y Técnicas de la Ingeniería WebIW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
IW Unidad 2: Metodologías y Técnicas de la Ingeniería WebFranklin Parrales Bravo
 
Tecnologías que implementa facebook
Tecnologías que implementa facebookTecnologías que implementa facebook
Tecnologías que implementa facebookAngel Vega
 
Diagrama de componentes
Diagrama de componentesDiagrama de componentes
Diagrama de componentesuitron
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Anthony Torres Bastidas
 
Administración de procesos y del procesador
Administración de procesos y del procesadorAdministración de procesos y del procesador
Administración de procesos y del procesadorMicael Feliz Arias
 
Particion Discos Duros
Particion Discos DurosParticion Discos Duros
Particion Discos Durosgrupomachine
 
Dispositvos de entrada y salida
Dispositvos de entrada y salidaDispositvos de entrada y salida
Dispositvos de entrada y salidaitzayana bacilio
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidosAlbertVillegas1993
 
Unidad 2. metodologías de desarrollo DE SOFTWARE
Unidad 2. metodologías de desarrollo DE SOFTWAREUnidad 2. metodologías de desarrollo DE SOFTWARE
Unidad 2. metodologías de desarrollo DE SOFTWAREPablo Daniel Bazan Carmona
 
MODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMicky Jerzy
 
Hilos hebras
Hilos hebrasHilos hebras
Hilos hebrasJohn Goyeneche
 
Procesos Introduccion a los sistemas operativos
Procesos Introduccion a los sistemas operativos Procesos Introduccion a los sistemas operativos
Procesos Introduccion a los sistemas operativosG Hoyos A
 
Unidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de losUnidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de lospabloreyes154
 
Cisco ssh telnet en radius
Cisco ssh telnet en radiusCisco ssh telnet en radius
Cisco ssh telnet en radiusRoger Rayme Bautista
 
Vlans Privadas
Vlans PrivadasVlans Privadas
Vlans PrivadasRoger Rayme Bautista
 

Más contenido relacionado

La actualidad más candente

Diccionario de datos
Diccionario de datosDiccionario de datos
Diccionario de datosJorge Garcia
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAHelmilpa
 
Sistemas Distribuidos basados en la Web
Sistemas Distribuidos basados en la WebSistemas Distribuidos basados en la Web
Sistemas Distribuidos basados en la WebTensor
 
Interfaz del Sistema de Archivos
Interfaz del Sistema de ArchivosInterfaz del Sistema de Archivos
Interfaz del Sistema de ArchivosAcristyM
 
Servicios de red (1)
Servicios de red (1)Servicios de red (1)
Servicios de red (1)Sofia Fox
 
IW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
IW Unidad 2: Metodologías y Técnicas de la Ingeniería WebIW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
IW Unidad 2: Metodologías y Técnicas de la Ingeniería WebFranklin Parrales Bravo
 
Tecnologías que implementa facebook
Tecnologías que implementa facebookTecnologías que implementa facebook
Tecnologías que implementa facebookAngel Vega
 
Diagrama de componentes
Diagrama de componentesDiagrama de componentes
Diagrama de componentesuitron
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Anthony Torres Bastidas
 
Administración de procesos y del procesador
Administración de procesos y del procesadorAdministración de procesos y del procesador
Administración de procesos y del procesadorMicael Feliz Arias
 
Particion Discos Duros
Particion Discos DurosParticion Discos Duros
Particion Discos Durosgrupomachine
 
Dispositvos de entrada y salida
Dispositvos de entrada y salidaDispositvos de entrada y salida
Dispositvos de entrada y salidaitzayana bacilio
 
Unidad 2. metodologías de desarrollo DE SOFTWARE
Unidad 2. metodologías de desarrollo DE SOFTWAREUnidad 2. metodologías de desarrollo DE SOFTWARE
Unidad 2. metodologías de desarrollo DE SOFTWAREPablo Daniel Bazan Carmona
 
MODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMicky Jerzy
 
Procesos Introduccion a los sistemas operativos
Procesos Introduccion a los sistemas operativos Procesos Introduccion a los sistemas operativos
Procesos Introduccion a los sistemas operativosG Hoyos A
 
Unidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de losUnidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de lospabloreyes154
 

La actualidad más candente (20)

Tecnologías Web
Tecnologías WebTecnologías Web
Tecnologías Web
 
Sistema de Archivos
Sistema de ArchivosSistema de Archivos
Sistema de Archivos
 
Diccionario de datos
Diccionario de datosDiccionario de datos
Diccionario de datos
 
Estudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVAEstudio comparativo de PHP, ASP.NET Y JAVA
Estudio comparativo de PHP, ASP.NET Y JAVA
 
Sistemas Distribuidos basados en la Web
Sistemas Distribuidos basados en la WebSistemas Distribuidos basados en la Web
Sistemas Distribuidos basados en la Web
 
Interfaz del Sistema de Archivos
Interfaz del Sistema de ArchivosInterfaz del Sistema de Archivos
Interfaz del Sistema de Archivos
 
Servicios de red (1)
Servicios de red (1)Servicios de red (1)
Servicios de red (1)
 
IW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
IW Unidad 2: Metodologías y Técnicas de la Ingeniería WebIW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
IW Unidad 2: Metodologías y Técnicas de la Ingeniería Web
 
Tecnologías que implementa facebook
Tecnologías que implementa facebookTecnologías que implementa facebook
Tecnologías que implementa facebook
 
Diagrama de componentes
Diagrama de componentesDiagrama de componentes
Diagrama de componentes
 
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
Configuración de servicios DNS DHCP WEBSERVER Y EMAIL en packet tracer.
 
Administración de procesos y del procesador
Administración de procesos y del procesadorAdministración de procesos y del procesador
Administración de procesos y del procesador
 
Particion Discos Duros
Particion Discos DurosParticion Discos Duros
Particion Discos Duros
 
Dispositvos de entrada y salida
Dispositvos de entrada y salidaDispositvos de entrada y salida
Dispositvos de entrada y salida
 
Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
 
Unidad 2. metodologías de desarrollo DE SOFTWARE
Unidad 2. metodologías de desarrollo DE SOFTWAREUnidad 2. metodologías de desarrollo DE SOFTWARE
Unidad 2. metodologías de desarrollo DE SOFTWARE
 
MODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWAREMODELO DE PROCESOS DEL SOFTWARE
MODELO DE PROCESOS DEL SOFTWARE
 
Hilos hebras
Hilos hebrasHilos hebras
Hilos hebras
 
Procesos Introduccion a los sistemas operativos
Procesos Introduccion a los sistemas operativos Procesos Introduccion a los sistemas operativos
Procesos Introduccion a los sistemas operativos
 
Unidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de losUnidad 3 aseguramiento de la calidad de los
Unidad 3 aseguramiento de la calidad de los
 

Destacado

Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANcyberleon95
 
Instalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANInstalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANcyberleon95
 

Destacado (7)

Cisco ssh telnet en radius
Cisco ssh telnet en radiusCisco ssh telnet en radius
Cisco ssh telnet en radius
 
Vlans Privadas
Vlans PrivadasVlans Privadas
Vlans Privadas
 
Configurando zabbix
Configurando zabbixConfigurando zabbix
Configurando zabbix
 
Servidor proxy en endian
Servidor proxy en endianServidor proxy en endian
Servidor proxy en endian
 
Configuración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIANConfiguración VPN Sitio a Sitio en ENDIAN
Configuración VPN Sitio a Sitio en ENDIAN
 
Instalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIANInstalación y Configuración Firewall ENDIAN
Instalación y Configuración Firewall ENDIAN
 
Endian firewall
Endian firewallEndian firewall
Endian firewall
 

Similar a Diseño de un firewall

Unidad iii seguridad de redes
Unidad iii seguridad de redes Unidad iii seguridad de redes
Unidad iii seguridad de redes leonardoruiz98
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redeselvisprieto2
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Rod Hinojosa
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏ingpuma
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redeschristianchanagrote
 
Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios SiubhyAUrribarri
 
Unidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmosUnidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmosBenjamin Ortiz
 
Unidad III Seguridad de las Redes
Unidad III Seguridad de las RedesUnidad III Seguridad de las Redes
Unidad III Seguridad de las RedesJesusTheDark
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Exposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreExposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreLuis Angel F
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguezdianaaribarra
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesOswaldoPolanco3
 

Similar a Diseño de un firewall (20)

Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES SEGURIDAD DE LAS REDES
SEGURIDAD DE LAS REDES
 
Protocolos redes
Protocolos redesProtocolos redes
Protocolos redes
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
Unidad iii seguridad de redes
Unidad iii seguridad de redes Unidad iii seguridad de redes
Unidad iii seguridad de redes
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3Mikrotik RouterOs basics v0.3
Mikrotik RouterOs basics v0.3
 
IPTABLES y SQUID‏
IPTABLES y SQUID‏IPTABLES y SQUID‏
IPTABLES y SQUID‏
 
Café maria
Café mariaCafé maria
Café maria
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
 
Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios Configuraciones de Proxy, Firewall y Restricción de Servicios
Configuraciones de Proxy, Firewall y Restricción de Servicios
 
Unidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmosUnidad iii seguridad de redes bmos
Unidad iii seguridad de redes bmos
 
Unidad III Seguridad de las Redes
Unidad III Seguridad de las RedesUnidad III Seguridad de las Redes
Unidad III Seguridad de las Redes
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
 
Pfsense
Pfsense Pfsense
Pfsense
 
Exposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libreExposicion sistemas seguridad_linux_software_libre
Exposicion sistemas seguridad_linux_software_libre
 
Practica de redes diana rodriguez
Practica de redes diana rodriguezPractica de redes diana rodriguez
Practica de redes diana rodriguez
 
Clase 15
Clase 15Clase 15
Clase 15
 
Clase 15
Clase 15Clase 15
Clase 15
 
Unidad III: Seguridad de las Redes
Unidad III: Seguridad de las RedesUnidad III: Seguridad de las Redes
Unidad III: Seguridad de las Redes
 

Diseño de un firewall

  • 1. Diseño de un firewall En un entorno de red, incluyendo tanto equipos finales como de conectividad, el firewall es la primer medida indispensable en lo que hace a seguridad lógica de la misma. Por ello es importante entender cómo funciona un firewall y diseñarlo correctamente antes de ponerlo en funcionamiento, sobre todo si se trata de un ambiente de producción. Para empezar es importante saber que un firewall puede tener una de dos políticas: Política permisiva: por defecto se permite todo el tráfico y se deniega explícitamente lo que no se desea que atraviese el mismo. La ventaja es que es fácil de implementar ya que no requiere conocimientos precisos de los servicios brindados. La desventaja es, lógicamente, su falta de seguridad. Política restrictiva: por defecto se bloquea todo el tráfico y se permite sólo el tráfico válido. Por ejemplo, si se tiene un servidor web se denegará todo tipo de intento de conexión al mismo con excepción del tráfico destinado al puerto 80 tcp. Será necesario entonces escoger una para luego definir las reglas necesarias. En la práctica uso la segunda de ellas y será la que utilice en este post. Ahora bien, el próximo paso es relevar los servicios que se permitirán pasar por el firewall con la mayor precisión posible: IPs de origen, IPs de destino, puertos, protocolos. Una vez obtenida esa información ya es posible comenzar a definir las reglas para permitir lo relevado. Un consejo en este punto es mantener las reglas lo más restrictivas posibles aunque dependerá siempre de cuán críticos sean los equipos a proteger. Con esto en cuenta mostraré un ejemplo práctico en base al siguiente diagrama:
  • 2. Red de ejemplo En la red anterior se tiene una red de servidores con un firewall y otra red con máquinas sin un firewall en el medio donde, una de ellas, es la máquina del administrador. Ya se decidió que la política será restrictiva. Siguiendo con los pasos, debería hacerse entonces un relevamiento. A continuación listo los requerimientos obtenidos a partir del mismo: FTP: se utiliza para subir cambios en la web y se permite sólo desde la red con los dos hosts. SSH: para los tres equipos, sólo desde la máquina del administrador. DNS: a todo internet, pues es el servidor de DNS de la empresa. HTTP/HTTPS: a todo internet, ya que los servidores alojan el sitio web de la empresa. SMTP: como se necesita que reciba mails es necesario que sea accesible desde cualquier lugar de internet. POP/IMAP: los usuarios de mail de la empresa pueden chequearlo desde sus casas. Por lo tanto estará disponible para todo internet también. Además se desea que sea posible hacer ping a los servidores desde la máquina del administrador. Antes de seguir con la definición del firewall es importante saber los puertos que utiliza cada servicio. Los mismos son:
  • 3. FTP: puertos de destino 20/tcp y 21/tcp. SSH: puerto de destino 22/tcp. DNS: puertos de destino 53/udp y 53/tcp. Puertos de origen 53/udp y 53/tcp. HTTP/HTTPS: puertos de destino 80/tcp y 443/tcp respectivamente. SMTP: puerto de destino 25/tcp. Puerto de origen 25/tcp. POP/IMAP: puertos de destino 110/tcp y 143/tcp. Ping: usa el protocolo ICMP que no tiene puertos. Basados en lo anterior se podría definir el firewall. Sería algo como lo siguiente: Denegar todo tráfico entrante Permitir todas las conexiones establecidas y relacionadas (si una conexión pasó por el firewall ya no se vuelve a analizar el tráfico referente a dicha conexión ni necesita ser explícitamente aceptado. Lo mismo con las conexiones relacionadas) Permitir tráfico ICMP con cualquier destino y origen Permitir conexiones con destino 172.25.11.0/24 desde la ip 172.25.10.2 puerto origen tcp 20 (FTP ACTIVO) Permitir conexiones con destino 172.25.10.2 al puerto tcp 21 desde 172.25.11.0/24 Permitir conexiones con destino 172.25.10.2-4 al puerto tcp 22 desde 172.25.11.2 (SSH) Permitir conexiones con destino 172.25.10.4 al puerto tcp 25 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 25 desde 172.25.10.4 Permitir conexiones con destino 172.25.10.3 al puerto tcp 53 desde cualquier lado Permitir conexiones con destino 172.25.10.3 al puerto udp 53 desde cualquier lado Permitir conexiones con cualquier destino al puerto tcp 53 desde 172.25.10.3 Permitir conexiones con cualquier destino al puerto udp 53 desde 172.25.10.3 Permitir conexiones con destino 172.25.10.2 al puerto tcp 80 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 110 desde cualquier lado Permitir conexiones con destino 172.25.10.4 al puerto tcp 143 desde cualquier lado Permitir conexiones con destino 172.25.10.2 al puerto tcp 443 desde cualquier lado Con lo visto he pretendido dar una noción del diseño básico de un firewall. En un próximo post mostraré cómo implementarlo con herramientas libres.