Diferència entre revisions de la pàgina «UF3-NF1. Introducció als tallafocs»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Servidors Intermediaris)
 
(Hi ha 17 revisions intermèdies del mateix usuari que no es mostren)
Línia 5: Línia 5:
  
  
Implementen seguretat perimètrica a nivell de xarxa però no són sistemes alternatius als altres elements de la seguretat activa i passiva. En general els tallafocs i els servidors intermediaris no comproven el contingut dels paquets (la informació), només comproven dades de xarxa.
+
Firewall és un dispositiu que té un conjunt de regles que especifiquen el tràfec de xarxa que s'accepta i el que es denega ('''Filtre'''), addicionalment poden tenir una tercera regla per indicar si es registre el tràfec ('''Log''').
 
 
 
 
El tallafoc es situa en el punt de connexió amb altres xarxes i analitza i filtra el tràfec de xarxa en ambdues direccions, entrant i sortint. Centralitza la seguretat en les comunicacions de la xarxa interna. També pot mantenir un registre (Log).
 
 
 
 
 
[[Fitxer: firewall.png]]
 
  
 
+
Existeixen dos '''paradigmes de seguretat''':
Firewall és un dispositiu que té un conjunt de regles que especifiquen el tràfec de xarxa que s'accepta i el que es denega ('''Filtre'''), addicionalment poden tenir una tercera regla per indicar si es registre el tràfec ('''Log''').
+
*''Tot allò que no es prohibeix expressament està permès'' --> Permissiu (Naïf).
 +
*''Tot allò que no està permès expressament es prohibeix'' --> Restrictiu - Paranoic (Recomanat).  
  
  
 
El funcionament bàsic d'un tallafocs és
 
El funcionament bàsic d'un tallafocs és
# Examinar els paquets que rep. Informació de xarxa, protocols, adreces, ports, interfases, estat de la connexió ...
+
# Examinar els paquets que rep o envia. Informació de xarxa, protocols, adreces, ports, interfases, estat de la connexió, dades d'aplicació ...
 
# Aplicar les regles definides
 
# Aplicar les regles definides
 
# Decidir si el paquet passa o no
 
# Decidir si el paquet passa o no
  
  
== Filtre d'informació. Regles ==
+
Els tallafocs es poden classificar
 +
* Segons el seu objectiu
 +
** Personals
 +
** De xarxa
  
 +
* Com s'implementen
 +
** Programari
 +
** Maquinari
  
Existeixen dos paradigmes de seguretat:
+
* Segons el filtratge que realitzen
*Tot allò que no es prohibeix expressament està permès  --> Naïf
+
** De paquets o de capa de xarxa, no miren informació de protocols d'aplicació (Estàtics). Són ràpids, p.e. iptables
*Tot allò que no està permès expressament es prohibeix  --> Paranoic (Recomanat)
+
*** Sense estat (Stateless).
 +
*** Amb estat (StateFul Filtering i StateFull Packet Inspection).
 +
** De capa d'aplicació, més complexos doncs entenen els diferents protocols d'aplicació, més específics però més lents (Dinàmics). Generalment s'implementen en proxys i s'enfoquen a protocols concrets com HTTP, p.e. DansGuardian + SQUID, ISA Server
  
  
*Tipus de Filtres:
+
=== Tallafocs Personals ===
** Estàtics
 
** Dinàmics
 
** Amb estat (StateFul Filtering i StateFull Packet Inspection)
 
  
  
 +
Són sol·lucions de programari que filtren el tràfec entre un ordinador personal i la xarxa.
  
=== iptables ===
+
* Firewall de Windows
 +
* Firestarter, Linux Firewall
 +
* Gufw, interfase de ufw (Uncomplicated Firewall), interface per a iptables
  
En Linux la majoria de tallafocs es basen en ''iptables''.
+
Filtren:
 +
* Connexions d'entrada, només útil en cas de servidors
 +
* Connexions de sortida, control de la navegació dels usuaris, possibles connexions de programari maliciós, p2p, etc...
  
Es basa en cadenes (Chains) que són les regles que s'apliquen als paquets que passen pel tallafocs.
 
  
S'organitza en taules:
+
=== Tallafocs de Xarxa ===
*RAW
 
*NAT
 
*MANGLE
 
*FILTER
 
  
Per a les funcions de tallafocs interessa principalment el filtrat (FILTER) que té 3 cadenes: INPUT, OUTPUT, FORWARD. També interessa NAT que s'utilitza per traducció i redirecció.
+
Implementen seguretat perimètrica a nivell de xarxa però no són sistemes alternatius als altres elements de la seguretat activa i passiva. En general els tallafocs més bàsics no comproven el contingut dels paquets (la informació), només comproven dades de xarxa.
  
  
Registre connexions entrants des de 192.168.1.215 (Inici de connexió, estat sync, es guarden als missatges del nucli)
+
El tallafoc es situa en el punt de connexió amb altres xarxes i analitza i filtra el tràfec de xarxa en ambdues direccions, entrant i sortint. Centralitza la seguretat en les comunicacions de la xarxa interna. També pot mantenir un registre (Log). La xarxa interna és el '''perímetre de seguretat'''.
#iptables -I INPUT -s 192.168.1.215 -p tcp --syn -j LOG
 
  
  
Tutorial molt complet
+
[[Fitxer: firewall.png]]
 
 
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
 
 
 
Alguns exemples per a protocols concrets
 
 
 
http://ocw.uv.es/ingenieria-y-arquitectura/seguridad/3Seguridad_perimetrica.pdf
 
 
 
 
 
 
 
 
 
http://www.mmc.igeofcu.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-html/node228.html
 
 
 
 
 
 
 
== Servidors Intermediaris ==
 
  
  
Un servidor intermediari (Proxy) fa referència de manera genèrica a un representant (intermediari) local d'un servei remot.
+
=== Implementacions ===
  
 +
'''Programari''', el tallafocs es pot implementar amb un ordinador i el programari necessari.
 +
* En general serà un ordinador dedicat sense gaires serveis addicionals per temes de rendiment.
 +
* Programari gratuït, existeixen múltiples distribucions de linux a tal efecte, en general GUI per a iptables
 +
* Programari propietari, en cas de fer servir sistemes Windows Server per exemple
  
[[ Fitxer : proxy.png ]]
+
'''Maquinari''', amb un router o amb maquinari i programari específic
 +
* CISCO té famílies de Routers - Firewalls, CISCO ASA (successor CISCO PIX). Que a més inclouen moltes altres funcionalitats, VPN, IPS
 +
* http://www.checkpoint.com  empresa desenvolupadora de FireWall-1
  
<code style="color:gray"> http://ocw.uv.es/ingenieria-y-arquitectura/seguridad/3Seguridad_perimetrica.pdf </code>
 
  
 +
En qualsevol cas és normal que el tallafocs faci funcions d'encaminador també, donat la situació física on es troba (punt de sortida de la xarxa).
  
Sistema que reenvia peticions a serveis, generalment web i ftp. Els clients fan les peticions al servidor intermediari i aquests les realitzen en el seu nom (intermediari). D'aquesta manera per una banda es centralitzen les comunicacions dels dispositius de la xarxa cap a l'exterior, també s'acceleren amb tècniques de caché, i milloren la seguretat perquè només permeten uns serveis concrets (Els serveis accessibles via proxy no poden ser accessibles directament).
+
Exemples de programari per a Tallafocs de xarxa
  
A vegades també s'anomenen Gateways d'aplicació.
 
  
En alguns casos els proxys poden oferir filtratge a nivell d'aplicació (Contingut, més concret que el filtre dels firewalls a nivell de xarxa) i autenticació.
+
{| cellspacing="0" cellpadding="4" border="1"
 +
| IPcop
  
Les desavantatges són que no tots els serveis estan disponibles, ni centralitzat en una única aplicació (diferents proxys per cada servei) i a vegades que cal realitzar configuracions als clients.
+
  
 +
<font color="#000080"><u>[http://ipcop.org/ <font>http://ipcop.org/</font>]</u></font>
 +
| <font>Linux</font>
 +
|
  
 +
* <font>Firewall i proxy caché</font>
 +
|-
 +
| Zentyal
  
http://ocw.uv.es/ingenieria-y-arquitectura/seguridad/3Seguridad_perimetrica.pdf  pàgina 44
+
  
 +
<font color="#000080"><u>[http://www.zentyal.com/ http://www.zentyal.com/]</u></font>
 +
| <br />
  
*Tallafocs basats en Proxys
+
**Pasarel·la a nivell d'aplicació
 
**Pasarel·la a nivell de circuit
 
  
 +
Ubuntu
 +
|
  
http://trac.zentyal.org/wiki/Features
+
* Firewall
 +
* Proxy caché
 +
* Servidor d'arxius
 +
* Servidor Domini
 +
* VPN
 +
|-
 +
| ISA Server
 +
| Windows
  
 +
  
Unified Threat Manager
+
Server
 +
|
  
http://en.wikipedia.org/wiki/Unified_threat_management
+
* <font>Firewall i proxy caché</font>
 +
|}

Revisió de 19:45, 10 gen 2012

tornar M11_-_Seguretat_i_alta_disponibilitat#UF3_-_Tallafocs_i_servidors_intermediaris


Tallafocs

Firewall és un dispositiu que té un conjunt de regles que especifiquen el tràfec de xarxa que s'accepta i el que es denega (Filtre), addicionalment poden tenir una tercera regla per indicar si es registre el tràfec (Log).

Existeixen dos paradigmes de seguretat:

  • Tot allò que no es prohibeix expressament està permès --> Permissiu (Naïf).
  • Tot allò que no està permès expressament es prohibeix --> Restrictiu - Paranoic (Recomanat).


El funcionament bàsic d'un tallafocs és

  1. Examinar els paquets que rep o envia. Informació de xarxa, protocols, adreces, ports, interfases, estat de la connexió, dades d'aplicació ...
  2. Aplicar les regles definides
  3. Decidir si el paquet passa o no


Els tallafocs es poden classificar

  • Segons el seu objectiu
    • Personals
    • De xarxa
  • Com s'implementen
    • Programari
    • Maquinari
  • Segons el filtratge que realitzen
    • De paquets o de capa de xarxa, no miren informació de protocols d'aplicació (Estàtics). Són ràpids, p.e. iptables
      • Sense estat (Stateless).
      • Amb estat (StateFul Filtering i StateFull Packet Inspection).
    • De capa d'aplicació, més complexos doncs entenen els diferents protocols d'aplicació, més específics però més lents (Dinàmics). Generalment s'implementen en proxys i s'enfoquen a protocols concrets com HTTP, p.e. DansGuardian + SQUID, ISA Server


Tallafocs Personals

Són sol·lucions de programari que filtren el tràfec entre un ordinador personal i la xarxa.

  • Firewall de Windows
  • Firestarter, Linux Firewall
  • Gufw, interfase de ufw (Uncomplicated Firewall), interface per a iptables

Filtren:

  • Connexions d'entrada, només útil en cas de servidors
  • Connexions de sortida, control de la navegació dels usuaris, possibles connexions de programari maliciós, p2p, etc...


Tallafocs de Xarxa

Implementen seguretat perimètrica a nivell de xarxa però no són sistemes alternatius als altres elements de la seguretat activa i passiva. En general els tallafocs més bàsics no comproven el contingut dels paquets (la informació), només comproven dades de xarxa.


El tallafoc es situa en el punt de connexió amb altres xarxes i analitza i filtra el tràfec de xarxa en ambdues direccions, entrant i sortint. Centralitza la seguretat en les comunicacions de la xarxa interna. També pot mantenir un registre (Log). La xarxa interna és el perímetre de seguretat.


Firewall.png


Implementacions

Programari, el tallafocs es pot implementar amb un ordinador i el programari necessari.

  • En general serà un ordinador dedicat sense gaires serveis addicionals per temes de rendiment.
  • Programari gratuït, existeixen múltiples distribucions de linux a tal efecte, en general GUI per a iptables
  • Programari propietari, en cas de fer servir sistemes Windows Server per exemple

Maquinari, amb un router o amb maquinari i programari específic

  • CISCO té famílies de Routers - Firewalls, CISCO ASA (successor CISCO PIX). Que a més inclouen moltes altres funcionalitats, VPN, IPS
  • http://www.checkpoint.com empresa desenvolupadora de FireWall-1


En qualsevol cas és normal que el tallafocs faci funcions d'encaminador també, donat la situació física on es troba (punt de sortida de la xarxa).

Exemples de programari per a Tallafocs de xarxa


IPcop


http://ipcop.org/

Linux
  • Firewall i proxy caché
Zentyal


http://www.zentyal.com/



Ubuntu

  • Firewall
  • Proxy caché
  • Servidor d'arxius
  • Servidor Domini
  • VPN
ISA Server Windows


Server

  • Firewall i proxy caché
Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF3-NF1._Introducció_als_tallafocs&oldid=998»