1. Elementos básicos de la seguridad perimetral · PDF fileLa seguridad perimetral es...

Click here to load reader

  • date post

    28-Sep-2018
  • Category

    Documents

  • view

    221
  • download

    0

Embed Size (px)

Transcript of 1. Elementos básicos de la seguridad perimetral · PDF fileLa seguridad perimetral es...

  • 1. Elementos bsicos de la seguridad

    perimetral:

    1.1- Concepto de seguridad perimetral. La seguridad perimetral es uno de los mtodos de defensa de una red, se basa en el establecimiento de recursos

    de seguridad en el permetro de la red y a diferentes niveles. Esto nos permite definir niveles de confianza,

    permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando

    cualquier tipo de acceso a otros.

    1.2- Objetivos de la seguridad perimetral.

    1. Rechazar conexiones a servicios comprometidos. 2. Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos. 3. Proporcionar un nico punto de interconexin con el exterior. 4. Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet. 5. Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet. 6. Auditar el trfico entre el exterior y el interior. 7. Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de

    usuarios internos.

    1.3- Permetro de la red: Se conoce como permetro de la red a la frontera entre el exterior y los ordenadores y servidores internos. Los

    elementos que la componen son:

    -Routers frontera.

    Es un dispositivo situado entre la red interna de y las redes de otros proveedores que intercambian el trfico con

    nosotros y que se encarga de dirigir el trfico de datos de un lado a otro. El ltimo router que controlamos antes

    de Internet. Primera y ltima lnea de defensa. Filtrado inicial y final.

  • - Cortafuegos (firewalls).

    Es una herramienta diseada para controlar las conexiones. Este puede permitir, limitar, cifrar, descifrar, el trfico

    entre equipos o redes sobre la base de un conjunto de normas y otros criterios.

    Tipos:

    - Nivel de aplicacin de pasarela: Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy

    eficaz, pero puede imponer una degradacin del rendimiento.

    - Circuito a nivel de pasarela: Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha

    hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin

    que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.

    - Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos

    campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se

    permiten filtrados segn campos de nivel de transporte como el puerto origen y destino, o a nivel de enlace de

    datos (no existe en TCP/IP) como la direccin MAC.

    - Cortafuegos de capa de aplicacin: Trabaja en el nivel de aplicacin de manera que los filtrados se pueden adaptar a caractersticas propias de los

    protocolos de este nivel. Filtrados segn la URL a la que se est intentando acceder.

    - Cortafuegos personales: Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las

    comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.

    - Sistemas de Deteccin de Intrusos. Es una aplicacin usada para detectar accesos no autorizados a un ordenador/servidor o a una red. Estos accesos

    pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o a travs de

    herramientas automticas.

    Existen dos tipos de sistemas de deteccin de intrusos:

    - HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente

    dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de

    llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un

    reporte de sus conclusiones.

    - NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe

    funcionar en modo promiscuo capturando as todo el trfico de la red.

    Un NIDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que

    viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-

    IDS pone uno o ms de las interfaces en modo promiscuo. ste es una especie de modo "invisible" en el que no

    tienen direccin IP. No tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes

    partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como

    tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han

    realizado desde dentro.

  • Funcione del IDS

    C Deteccin de ataques en el momento que estn ocurriendo o poco despus.

    C Automatizacin de bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas de bsqueda,

    y al anlisis de trfico anmalo.

    C Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de

    cortafuegos y otros.

    C Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los servicios que

    usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos. Si se detecta una conexin

    fuera de hora, reintentos de conexin fallidos y otros.

    C Auditora de configuraciones y vulnerabilidades de determinados sistemas.

    C Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del trfico y de los

    logs.

    - Redes Privadas Virtuales. Es la forma ms econmica de unir 2 LAN de distintos puntos geogrficos. Es una red privada construida dentro

    de una infraestructura de red pblica. Las empresas pueden usar redes privadas virtuales para conectar en forma

    segura oficinas y usuarios remotos a travs de accesos a Internet proporcionados por ISP, en lugar de lneas

    dedicadas.

    Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad mediante protocolos tneles VPN y

    tecnologas de autenticacin. Estas tecnologas protegen los datos que pasan por la red privada virtual contra

    accesos no autorizados.

    - Software y servicios. Host Bastion. Es una aplicacin que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por lo que ha sido

    especialmente configurado para la recepcin de ataques, generalmente provee un solo servicio (como por

    ejemplo un servidor web).

    Los host bastion permiten un flujo de informacin pero no un flujo de paquetes, lo que consiste en decidir qu

    servicios se incluirn en la red, lo que permite una mayor seguridad de las aplicaciones del host

    Single-homed bastin host: Es un dispositivo con una interfaz nica de red, frecuentemente se utiliza para una

    puerta de enlace en el nivel de aplicacin. El router externo est configurado para enviar los datos al Bastin Host

    y los clientes internos tambin.Finalmente el host evaluar los datos segn las directrices de seguridad.

    Dual-homed bastin host: Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de

    enlace al nivel de aplicacin y como filtro de paquetes. La ventaja de usar este host es crear un quiebre entre las

    red externa e interna, haciendo pasar el trfico por el host bastion. Este host evitar que un hacker intent

    acceder a un dispositivo interno.

    ultihomed bastin host: Cuando la poltica de seguridad requiere que todo trfico entrante y salida sea

    enviado a travs de un servidor proxy, un nuevo servidor proxy debera ser creado. Cuando se utiliza un bastin

    host como interno, reside dentro de la red interna, como puerta de acceso para recibir todo el trfico de un

    bastin host externo. Lo que agrega un nivel mayor de seguridad.

  • - Zonas desmilitarizadas (DMZ) y subredes controladas. Una zona desmilitarizada (DMZ) es una red local que se ubica entre la red interna de una organizacin y una red

    externa, Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn

    permitidas, mientras que las conexiones desde la red externa solo se permitan a la DMZ. Esto permite que los

    equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de

    que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada. Para cualquiera de la

    red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn

    sin salida.

    La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accesibles desde fuera, como

    servidores de correo electrnico, Web y DNS.

    Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port

    address translation(PAT).

    Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta

    a un puerto distinto de ste. Esta configuracin se llama cortafuegos en tipo (three-legged firewall). Un

    planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos

    cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir

    configuracione