1. Elementos básicos de la seguridad perimetral · PDF fileLa seguridad perimetral es...
date post
28-Sep-2018Category
Documents
view
221download
0
Embed Size (px)
Transcript of 1. Elementos básicos de la seguridad perimetral · PDF fileLa seguridad perimetral es...
1. Elementos bsicos de la seguridad
perimetral:
1.1- Concepto de seguridad perimetral. La seguridad perimetral es uno de los mtodos de defensa de una red, se basa en el establecimiento de recursos
de seguridad en el permetro de la red y a diferentes niveles. Esto nos permite definir niveles de confianza,
permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando
cualquier tipo de acceso a otros.
1.2- Objetivos de la seguridad perimetral.
1. Rechazar conexiones a servicios comprometidos. 2. Permitir slo ciertos tipos de trfico (p. ej. correo electrnico) o entre ciertos nodos. 3. Proporcionar un nico punto de interconexin con el exterior. 4. Redirigir el trfico entrante a los sistemas adecuados dentro de la intranet. 5. Ocultar sistemas o servicios vulnerables que no son fciles de proteger desde Internet. 6. Auditar el trfico entre el exterior y el interior. 7. Ocultar informacin: nombres de sistemas, topologa de la red, tipos de dispositivos de red, cuentas de
usuarios internos.
1.3- Permetro de la red: Se conoce como permetro de la red a la frontera entre el exterior y los ordenadores y servidores internos. Los
elementos que la componen son:
-Routers frontera.
Es un dispositivo situado entre la red interna de y las redes de otros proveedores que intercambian el trfico con
nosotros y que se encarga de dirigir el trfico de datos de un lado a otro. El ltimo router que controlamos antes
de Internet. Primera y ltima lnea de defensa. Filtrado inicial y final.
- Cortafuegos (firewalls).
Es una herramienta diseada para controlar las conexiones. Este puede permitir, limitar, cifrar, descifrar, el trfico
entre equipos o redes sobre la base de un conjunto de normas y otros criterios.
Tipos:
- Nivel de aplicacin de pasarela: Aplica mecanismos de seguridad para aplicaciones especficas, tales como servidores FTP y Telnet. Esto es muy
eficaz, pero puede imponer una degradacin del rendimiento.
- Circuito a nivel de pasarela: Aplica mecanismos de seguridad cuando una conexin TCP o UDP es establecida. Una vez que la conexin se ha
hecho, los paquetes pueden fluir entre los anfitriones sin ms control. Permite el establecimiento de una sesin
que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad.
- Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red como filtro de paquetes IP. A este nivel se pueden realizar filtros segn los distintos
campos de los paquetes IP: direccin IP origen, direccin IP destino. A menudo en este tipo de cortafuegos se
permiten filtrados segn campos de nivel de transporte como el puerto origen y destino, o a nivel de enlace de
datos (no existe en TCP/IP) como la direccin MAC.
- Cortafuegos de capa de aplicacin: Trabaja en el nivel de aplicacin de manera que los filtrados se pueden adaptar a caractersticas propias de los
protocolos de este nivel. Filtrados segn la URL a la que se est intentando acceder.
- Cortafuegos personales: Es un caso particular de cortafuegos que se instala como software en un computador, filtrando las
comunicaciones entre dicho computador y el resto de la red. Se usa por tanto, a nivel personal.
- Sistemas de Deteccin de Intrusos. Es una aplicacin usada para detectar accesos no autorizados a un ordenador/servidor o a una red. Estos accesos
pueden ser ataques realizados por usuarios malintencionados con conocimientos de seguridad o a travs de
herramientas automticas.
Existen dos tipos de sistemas de deteccin de intrusos:
- HIDS (HostIDS): el principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente
dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de
llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un
reporte de sus conclusiones.
- NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe
funcionar en modo promiscuo capturando as todo el trfico de la red.
Un NIDS necesita un hardware exclusivo. ste forma un sistema que puede verificar paquetes de informacin que
viajan por una o ms lneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El N-
IDS pone uno o ms de las interfaces en modo promiscuo. ste es una especie de modo "invisible" en el que no
tienen direccin IP. No tienen una serie de protocolos asignados. Es comn encontrar diversos IDS en diferentes
partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como
tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han
realizado desde dentro.
Funcione del IDS
C Deteccin de ataques en el momento que estn ocurriendo o poco despus.
C Automatizacin de bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas de bsqueda,
y al anlisis de trfico anmalo.
C Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de
cortafuegos y otros.
C Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los servicios que
usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos. Si se detecta una conexin
fuera de hora, reintentos de conexin fallidos y otros.
C Auditora de configuraciones y vulnerabilidades de determinados sistemas.
C Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del trfico y de los
logs.
- Redes Privadas Virtuales. Es la forma ms econmica de unir 2 LAN de distintos puntos geogrficos. Es una red privada construida dentro
de una infraestructura de red pblica. Las empresas pueden usar redes privadas virtuales para conectar en forma
segura oficinas y usuarios remotos a travs de accesos a Internet proporcionados por ISP, en lugar de lneas
dedicadas.
Las redes privadas virtuales proporcionan el mayor nivel posible de seguridad mediante protocolos tneles VPN y
tecnologas de autenticacin. Estas tecnologas protegen los datos que pasan por la red privada virtual contra
accesos no autorizados.
- Software y servicios. Host Bastion. Es una aplicacin que se localiza en un servidor con el fin de ofrecer seguridad a la red interna, por lo que ha sido
especialmente configurado para la recepcin de ataques, generalmente provee un solo servicio (como por
ejemplo un servidor web).
Los host bastion permiten un flujo de informacin pero no un flujo de paquetes, lo que consiste en decidir qu
servicios se incluirn en la red, lo que permite una mayor seguridad de las aplicaciones del host
Single-homed bastin host: Es un dispositivo con una interfaz nica de red, frecuentemente se utiliza para una
puerta de enlace en el nivel de aplicacin. El router externo est configurado para enviar los datos al Bastin Host
y los clientes internos tambin.Finalmente el host evaluar los datos segn las directrices de seguridad.
Dual-homed bastin host: Es un dispositivo que tiene al menos dos interfaces de red. Sirve como puerta de
enlace al nivel de aplicacin y como filtro de paquetes. La ventaja de usar este host es crear un quiebre entre las
red externa e interna, haciendo pasar el trfico por el host bastion. Este host evitar que un hacker intent
acceder a un dispositivo interno.
ultihomed bastin host: Cuando la poltica de seguridad requiere que todo trfico entrante y salida sea
enviado a travs de un servidor proxy, un nuevo servidor proxy debera ser creado. Cuando se utiliza un bastin
host como interno, reside dentro de la red interna, como puerta de acceso para recibir todo el trfico de un
bastin host externo. Lo que agrega un nivel mayor de seguridad.
- Zonas desmilitarizadas (DMZ) y subredes controladas. Una zona desmilitarizada (DMZ) es una red local que se ubica entre la red interna de una organizacin y una red
externa, Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn
permitidas, mientras que las conexiones desde la red externa solo se permitan a la DMZ. Esto permite que los
equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de
que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada. Para cualquiera de la
red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn
sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accesibles desde fuera, como
servidores de correo electrnico, Web y DNS.
Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port
address translation(PAT).
Una DMZ se crea a menudo a travs de las opciones de configuracin del cortafuegos, donde cada red se conecta
a un puerto distinto de ste. Esta configuracin se llama cortafuegos en tipo (three-legged firewall). Un
planteamiento ms seguro es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos
cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir
configuracione