1. Elementos bsicos de la seguridad

perimetral:

1.1- Concepto de seguridad perimetral. La seguridad perimetral es uno de los mtodos de defensa de una red, se basa en el establecimiento de recursos

de seguridad en el permetro de la red y a diferentes niveles. Esto nos permite definir niveles de confianza,

permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando

cualquier tipo de acceso a otros.

1.2- Objetivos de la seguridad perimetral.

1. Rechazar conexiones a servicios comprometidos. 2. Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos. 3. Proporcionar un nico punto de interconexin con el exterior. 4. Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet. 5. Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet. 6. Auditar el trfico entre el exterior y el interior. 7. Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de

usuarios internos.

1.3- Permetro de la red: Se conoce como permetro de la red a la frontera entre el exterior y los ordenadores y servidores internos. Los

elementos que la componen son:

-Routers frontera.

Es un dispositivo situado entre la red interna de y las redes de otros proveedores que intercambian el trfico con

nosotros y que se encarga de dirigir el trfico de datos de un lado a otro. El ltimo router que controlamos antes

de Internet. Primera y ltima lnea de defensa. Filtrado inicial y final.

- Cortafuegos (firewalls).

Es una herramienta diseada para controlar las conexiones. Este puede permitir, limitar, cifrar, descifrar, el trfico

entre equipos o redes sobre la base de un conjunto de normas y otros criterios.

Tipos:

- Nivel de aplicacin de pasarela: Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy

eficaz, pero puede imponer una degradacin del rendimiento.

- Circuito a nivel de pasarela: Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha

hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin

que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

- Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos

campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se

permiten filtrados segn campos de nivel de transporte como el puerto origen y destino, o a nivel de enlace de

datos (no existe en TCP/IP) como la direccin MAC.

- Cortafuegos de capa de aplicacin: Trabaja en el nivel de aplicacin de manera que los filtrados se pueden adaptar a caractersticas propias de los

protocolos de este nivel. Filtrados segn la URL a la que se est intentando acceder.

- Cortafuegos personales: Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las

comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

- Sistemas de Deteccin de Intrusos. Es una aplicacin usada para detectar accesos no autorizados a un ordenador/servidor o a una red. Estos accesos

pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o a travs de

herramientas automticas.

Existen dos tipos de sistemas de deteccin de intrusos:

- HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente

dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de

llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un

reporte de sus conclusiones.

- NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe

funcionar en modo promiscuo capturando as todo el trfico de la red.

Un NIDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que

viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-

IDS pone uno o ms de las interfaces en modo promiscuo. ste es una especie de modo "invisible" en el que no

tienen direccin IP. No tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes

partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como

tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han

realizado desde dentro.

Funcione del IDS

C Deteccin de ataques en el momento que estn ocurriendo o poco despus.

C Automatizacin de bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas de bsqueda,

y al anlisis de trfico anmalo.

C Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de

cortafuegos y otros.

C Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los servicios que

usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos. Si se detecta una conexin

fuera de hora, reintentos de conexin fallidos y otros.

C Auditora de configuraciones y vulnerabilidades de determinados sistemas.

C Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del trfico y de los

logs.

- Redes Privadas Virtuales. Es la forma ms econmica de unir 2 LAN de distintos puntos geogrficos. Es una red privada construida dentro

de una infraestructura de red pblica. Las empresas pueden usar redes privadas virtuales para conectar en forma

segura oficinas y usuarios remotos a travs de accesos a Internet proporcionados por ISP, en lugar de lneas

dedicadas.

Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad mediante protocolos tneles VPN y

tecnologas de autenticacin. Estas tecnologas protegen los datos que pasan por la red privada virtual contra

accesos no autorizados.

- Software y servicios. Host Bastion. Es una aplicacin que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por lo que ha sido

especialmente configurado para la recepcin de ataques, generalmente provee un solo servicio (como por

ejemplo un servidor web).

Los host bastion permiten un flujo de informacin pero no un flujo de paquetes, lo que consiste en decidir qu

servicios se incluirn en la red, lo que permite una mayor seguridad de las aplicaciones del host

Single-homed bastin host: Es un dispositivo con una interfaz nica de red, frecuentemente se utiliza para una

puerta de enlace en el nivel de aplicacin. El router externo est configurado para enviar los datos al Bastin Host

y los clientes internos tambin.Finalmente el host evaluar los datos segn las directrices de seguridad.

Dual-homed bastin host: Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de

enlace al nivel de aplicacin y como filtro de paquetes. La ventaja de usar este host es crear un quiebre entre las

red externa e interna, haciendo pasar el trfico por el host bastion. Este host evitar que un hacker intent

acceder a un dispositivo interno.

ultihomed bastin host: Cuando la poltica de seguridad requiere que todo trfico entrante y salida sea

enviado a travs de un servidor proxy, un nuevo servidor proxy debera ser creado. Cuando se utiliza un bastin

host como interno, reside dentro de la red interna, como puerta de acceso para recibir todo el trfico de un

bastin host externo. Lo que agrega un nivel mayor de seguridad.

- Zonas desmilitarizadas (DMZ) y subredes controladas. Una zona desmilitarizada (DMZ) es una red local que se ubica entre la red interna de una organizacin y una red

externa, Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn

permitidas, mientras que las conexiones desde la red externa solo se permitan a la DMZ. Esto permite que los

equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de

que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada. Para cualquiera de la

red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn

sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accesibles desde fuera, como

servidores de correo electrnico, Web y DNS.

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port

address translation(PAT).

Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta

a un puerto distinto de ste. Esta configuracin se llama cortafuegos en tipo (three-legged firewall). Un

planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos

cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir

configuracione