Firewall Flashcards
Firewall actions (generales)
Firewall actions
Acciones básicas:
Permitir paquetes
Denegar paquetes (notificando o no el rechazo) DROP no notifica REJECT si notifica
Modificar paquetes
Modificar solo el encabezado
Modificar la carga
Filtrado de tráfico:
Filtrado de tráfico:
Permitir o denegar tráfico
Segun reglas predefinidas (p.e., IP, puerto o protocolo…)
Inspección de paquetes
Examinan los paquetes entrantes y salientes para determinar si cumplen con los criterios de seguridad.
Inspección con estado
Rastrea el estado de las conexiones activas y determina si el tráfico forma parte de la conexión establecida.
Filtrado a nivel de aplicación
Algunos firewalls inspeccionan el tráfico a nivel de aplicación (capa 7) para bloquear aplicaciones o protocolos específicos.
Inspección profunda de paquetes (DPI)
Analiza la porción de datos del paquete para detectar malware o contenido malicioso.
Logeo de tráfico:
Logeo de tráfico:
Log Network Traffic
Grabar detalles sobre el tráfico, como la IP de origen y destiono, los puertos y las acciones tomadas (blocked o allowed)
Generar alertas
Se pueden generar alertas por actividades sospechosas o no autorizadas, notificar administradores por potenciales amenazas.
Monitorización en tiempo real
Ayuda a los administradores de la red a identificar amenazas en tiempo real.
Prevención y detección de intrusiones:
Prevención y detección de intrusiones:
Detección de intrusiones (IDS)
Monitorizar señales de tráfico de comportamiento sospechoso.
Prevención de intrusiones (IPS)
Bloquear las amenzas detectadas antes de que lleguen a la red basadas en diferentes reglas.
Nerwork Address Translation (NAT):
Nerwork Address Translation (NAT):
Funcionalidad
Los firewall a menudo realizan NAT, ocultando las direcciones IP internas de las redes externas.
Port Forwarding
Los firewalls pueden redirigir el tráfico de puertos hacia un dispositivo interno, normalmente utilizado para servicios similares a VPNs. EJ:
(Firewall) 200.69.69.1:8080 redirige a 192.168.10.2:80 (web)
(Firewall) 200.69.69.1:6969 redirige a 192.168.10.20:3036 (mysql)
Virtual Private Network (VPN) Support:
Virtual Private Network (VPN) Support:
VPN Termination
Firewall puede administrar las conexiones VPN
VPN Traffic Filtering
Controlar y filtrar el tráfico VPN para asegurarse que sólo los usuarios y tráfico autorizados son permitidos.
Counter Filtering:
Counter Filtering:
URL Filtering
Pueden bloquear el acceso a diferentes webs
Malware Detection and Filtering
Escaneo de tráfico en busca de malwares o contenido malicioso
Email Filetring
Escaneo de emails en busca de spam o malware.
Quality of Service (QoS) y Traffic Shaping
Quality of Service (QoS) y Traffic Shaping
Bandwidth Management
Pueden priorizar cierto tipo de tráfico para asegurar la calidad del mismo limitando el tráfico no esencial (e.g. cuando estas viendo un video darle menos prioridad a las descargas)
Traffic Shaping
Controlar el flujo de datos para reducir la congestión de la red.
Access Control and Authentication
Access Control and Authentication
User Authentication
Algunos routers pueden requerir autenticación de usuarios antes de proveer acceso a ciertos recursos o segmentos de red.
Role-Based Access Control (RBAC)
Pueden utilizar diferentes niveles de acceso basados en roles de usuario.
Two-Factor Authentication (2FA)
Algunos firewalls soportan 2FA para ofrecer seguridad para acceso remoto o conexiones VPN.
Sandboxing and Threat Emulation
Sandboxing and Threat Emulation
Sandboxing
Aislar archivos sospechosos en entornos controlados para analizarlos.
Threat Emulation
Simular ataques con archivos sospechosos para ver su propósito real.
Network Segmentation
Network Segmentation
Segmentación interna
Crear segmentos dentro de la red para restringir el tráfico entre segmentos para reducir la propagación de brechas de seguridad.
Demilitarized Management Zone (DMZ)
Crear una subred intermedia entre la intera y externa para isolar servicios (el servidor web por ejemplo).
Encryption and Decryption
Encryption and Decryption
SSL/TLS Inspection
El firewall puede desencriptar e inspeccionar el tráfico encriptado, desenmascarando el contenido malicioso.
Re-encryption
Después de desencriptar los datos, el firewall puede re-encriptarlo para enviarlo al destino.
Policy Enforcement
Policy Enforcement
Custom Rule Sets
El administrador define las reglas de control de acceso.
Compliance Monitoring
Se siguen las normas corporativas.
Netfilter Features
Netfilter
El framework provisto por el kernel de Linux
Features
Packet Filtering
Puede permitir, dropear o modificar paquetes dependiendo de las reglas definidas por el administrador.
Network Address Translation
Permite la traducción de direcciones IP (enmascaramiento, ocultar la ip privada) y el reenvio de puertos.
Connection Tracking
Puede inspeccionar el estado de las conexiones para ver si dicha conexión es nueva, establecida o relacionada con una conexión previa.
Packet Mangling
La manipulación de paquetes permite la modificación de paquetes, por ejemplo, cambiar la cabeera para cambiar las direcciones IP de origen/destino.
Integration with iptables/nftables
Se pueden definir las reglas para el filtrado de paquetes.
Support for Logging and Auditing
Permite el auto-logging de información.
Netfilter Hooks
Opera en varios puntos en la pila de red (hooks) donde se procesan paquetes.
PREROUTING
Inspecciona paquetes antes de que se tome la decisión de enrutamiento
INPUT
Destinados al sistema local
FORWARD
Se reenvian a otro sistema
OUTPUT
Se generan desde este sistema
POSTROUTING
Paquetes que están a punto de salir del sistema después de terminar el enrutamiento
Netfilter Userspace tools
Userspace tools
IPtables
Definir reglas para el filtrado de paquetes utilizando Netfilter (manera tradicional).
NFtables
IPtabes pero más recientes, más flexibilidad y eficiencia.
EBtables
Definir reglas que inspecciones tramas Ethernet.
IPset
Define acceso a diferentes IPs. En vez de crear múltiples reglas para diferentes Ips, ipset permite crear un conjunto de reglas y referenciarlo en una sola regla de iptables.
MikroTik Firewall
MikroTik Firewall
Funciones de red
Enrutamiento
Gestión de ancho de banda
VPN
Quality of Service (QoS)
Features
Filtardo de paquetes
Seguimiento de conexiones
Listas de direcciones
Network Address Translation (NAT)
NAT origen
NAT destino
Enmascaramiento
Filtrado de protocolos en capa 7
Control de ancho de banda
Funciones de seguridad
Protección contra ataques DDoS mediante limitación de velocidad
Port Knocking
Protección contra ataques basados en ICMP
