Blog

Seguridad en Redes: Cortafuegos e IDS

La funcionalidad de un cortafuegos es aislar una red internet de internet, permitiendo que algunos paquetes pasen y otros no.

r4

 

Solo permite accesos autorizados al interior de la red. Hay 3 tipos de cortafuegos:

  1. Filtros de paquetes sin estado.
  2. Filtros de paquetes con estado.
  3. Gateways de aplicación.

La red interna está conectada a Internet a través de un router con función de cortafuegos. El router cortafuegos filtra paquete por paquete y su decisión puede estar basada en:

  • Ip fuente o Ip destino
  • Numero de puerto origen o destino
  • TCP o UDP
  • El tipo de mensaje ICMP.
  • Los bits SYN o ACK de TCP.

Las listas de control de acceso (ACL: Acces Control List) son tablas de reglas, que se aplican de arriba a abajo a paquetes de paso formadas por pares acción-condición.

r1

Hemos hablado antes del filtado sin estado que admite paquetes que sin sentido, por ejemplo, puerto destino = 80, ACK bit activado, aún
cuando puede que no exista conexión TCP establecida. En cambio el filtrado con estado sigue el estado de la conexión (sigue los SYN y FIN para poder determinar los paquetes que tienen sentido) y puede hacer timeout de conexiones inactivas, y no acepta más paquetes.

Esta es una tabla con ACL extendida para indicar la necesidad de verificar el estado de la conexión antes de admitir el paquete.

r2

Por ultimo hemos hablado de Gateway de aplicación que filtra paquetes según datos de aplicación o campos IP/TCP/UDP.

Ahora hablaremos de los IDS (Intrusion detection systems). En ese caso el filtrado de paquetes solo opera sobre encabezados TCP/IP y no hay correlación entresesiones.

Un IDS hace una inspección profunda del paquete: se fija en contenido (por ejemplo revisando el contenido y comparándolo con la información en base de datos buscando virus, ataques etc.). Examina la correlación entre múltiples paquetes para detectar:

  • Escaneo de puertos
  • Mapeo de la red
  • Ataques de DoS

En una misma red puede haber multiples IDS para realizar diferentes tipos de chequeo en diferentes puntos.

r3

Fuente de algunas fotos el libro James Kurose y Keith Ross ¨Computer Networking”.

Autor: Roberto (@leurian)

Leave a Reply

*

    No Twitter Messages