Arquitectura de Seguridad - SABIA-Group ::...

Arquitectura de Seguridad

Realizado por: Manuel Casal Peteiro


Página 2 de 41


Indice 1. Introducción________________________________________________________ 4

2. Fundamentos de Seguridad perimetral __________________________________ 5 2.1 Términos empleados ____________________________________________________ 5

2.1.1 El Perímetro _______________________________________________________________5 2.1.2 Border Router ______________________________________________________________5 2.1.3 Firewall ___________________________________________________________________6 2.1.4 IDS ______________________________________________________________________6 2.1.5 VPN _____________________________________________________________________6 2.1.6 Arquitectura de Software _____________________________________________________6 2.1.7 DMZ y Screened Subnets ____________________________________________________7

2.2 Defensa en profundidad _________________________________________________ 8 2.2.1 Componentes ______________________________________________________________9

2.2.1.1 El Perímetro ___________________________________________________________9 2.2.1. 2 La red interna _________________________________________________________13 2..2.1.3 El Factor Humano _____________________________________________________16

3. Filtrado de paquetes ________________________________________________ 18 3.1 Principios de TCP/IP: como funciona filtro de paquetes ______________________ 18

3.1.1 Puertos TCP y UDP ________________________________________________________18 3.1.2 TCP three-way handshake ___________________________________________________19

4. Stateful Firewalls___________________________________________________ 21 4.1 Como funciona un Stateful Firewall ______________________________________ 21

5. Proxy Firewalls ____________________________________________________ 22 5.1 Fundamentos _________________________________________________________ 22

6. Fundamentos de diseño______________________________________________ 25 6.1 Elementos de diseño____________________________________________________ 26

6.1.1 Firewall y router ___________________________________________________________26 6.1.1.1 Filtrado básico_________________________________________________________26 6.1.1.2 Control de acceso ______________________________________________________27 6.1.1.3 Router bajo control de ISP _______________________________________________27 6.1.1.4 Router sin firewall______________________________________________________28

6.1.2 Firewall y VPN ____________________________________________________________29 6.1.2.1 Firewall con VPN como dispositivo externo__________________________________29 6.1.2.2 Firewall and VPN en un único sistema _____________________________________30

6.1.3 Firewalls multilples_________________________________________________________31 6.1.3.1 Firewalls en linea ______________________________________________________31 6.1.3.2 Firewalls en paralelo ____________________________________________________32

7. Caso de estudio: empresa de comercio electrónico ________________________ 34 7.1 Internet ______________________________________________________________ 35 7.2 La DMZ _____________________________________________________________ 36 7.3 La Capa Proxy ________________________________________________________ 37 7.4 La Red Interna ________________________________________________________ 38 7.5 La seguridad de la red __________________________________________________ 38

8. Bibliografia _______________________________________________________ 41

Página 3 de 41


1. Introducción El objetivo de este trabajo es crear una guía practica para diseñar, utilizar y mantener un perímetro de seguridad de red confiable. Proteger la red no es una tarea facil; esta requiere el conocimiento de diferentes tipos de tecnologías y entender como se relacionan unas con otras. Es por ello que comenzamos el trabajo con una exposición breve de los diferentes componentes que configuran una arquitectura de red tales como firewalls, VPN, routers y sistemas de detección de intrusiones. Nosotros tambien explicamos como integrar estos dispositivos uno con otro para proporcionar un todo unificado. No hay ningún dispositivo por si solo que pueda proteger nuestra red contra todas las amenazas; esta es la razon por la que nosotros enfocamos la arquitectura de seguridad por capas.

Página 4 de 41


2. Fundamentos de Seguridad perimetral La seguridad de la red es evaluada diariamente. Una pregunta que nos hacemos es Somos los únicos haciendo esto? La respuesta es que tu no estas solo. Ordenadores con una dirección IP que pueden ser alcanzados desde Internet reciben entra siete y miles de intentos de ataque cada dia. Muchos de estos so examenes y sondeos de los cuales nosotros sabemos como defendernos, pero otros nos cogen por sorpresa y la proxima cosa que nosotros sabemos es que nosotros estamos en modo limpieza. Tiene tu organización acceso a experiencia en todos los aspectos de la seguridad de red, incluyendo networking, firewalls, Sistema de detección de intrusiones (IDS), redes privadas virtuales ( VPN ), anti-virus, seguridad UNIX, seguridad Windows? En las paginas siguientes vamos a ver como todos estos componentes trabajan juntos. Puedes tu cuan segura o insegura estu red? Uno de los principales desarrollos en el 2001 y el 2002 ha sido la “normativa” desarrollada por el Centro para la Seguridad en Internet.

2.1 Términos empleados Nosotros necesitamos un marco común de referencia acerca de los terminos usados en este trabajo debido a que las definiciones de una persona pueden no ser iguales a las de cualquier otra

2.1.1 El Perímetro Un perímetro es la frontera fortificada de nuestra red que incluye lo siguiente:

• Routers • Firewalls • IDS • VPN • Software • DMZ y screened subnets

2.1.2 Border Router Routers son los policias de trafico ( o malvados de las redes ) Ellos dirigen el trafico adentro, afuera de o dentro de nuestras redes. El border router es el último router que tu controlas antes de Internet. Debido a que todo el trafico interno va a través de este router, este funciona como el principio de una red y la última linea de defensa a través del filtro inicial y final.

Página 5 de 41


2.1.3 Firewall Un firewall es un dispositivo que tiene un conjunto de reglas especificando que tráfico este permite o deniega. Un firewall recoge donde el border router abandona y hace una pasada mas minuciosa al filtrar el trafico. Existen diferentes tipos de firewalls incluyendo static packet filter, stateful firewalls y Proxy firewalls.

2.1.4 IDS Un IDS es como un sistema de alarma de ladrones para tu red que es usado para detectar una alerta sobre eventos maliciosos. El sistema puede comprender muchos diferentes sensores IDS posicionados en puntos estratégicos en tu red. Existen dos tipos básicos de IDS: IDS basado en red (NIDS) y IDS basado en host (HIDS). Sensores IDS frecuentemente residen en subredes que están conectadas directamente al firewall , así como en puntos críticos de la red interna. Sensores HIDS residen y monitorizan un host individual. En general, sensores IDS examinan firmas de eventos maliciosos predefinidas, y pueden realizar análisis estadístico y de anomalias. Cuando sensores IDS detectan eventos maliciosos, ellos pueden alertar en varias formas diferentes incluyendo email, paginando o registrando la ocurrencia. Sensores IDS pueden reportar a una base de datos central que relaciona su información para visualizar la red desde puntos multiples.

2.1.5 VPN Una VPN es una sesión de red protegida formada a través de canales no protegidos, tales como Internet. Frecuentemente nosotros nos referimos un VPN en términos del dispositivo sobre el perímetro que permite la sesión encriptada. Una VPN permite a un usuario participar en la red interna como si estuviera conectado directamente a esta. Muchas organizaciones tienen un falso sentido de la seguridad en cuanto a su acceso remoto debido a que ellos tienen una VPN. Si un agresor compromete la maquina de un usuario legítimo, una VPN puede dar a este agresor un canal encriptado dentro de tu red. Tu podrás confiar en la seguridad de tu perímetro, pero tu confiaras en la seguridad de uno de los usuarios remotos sobre un cable modem en el hogar o conectado en una habitación en un hotel? Aun si tu confías en ellos y su seguridad , puedes tu confiar la seguridad de usuarios de acceso remoto tales como proveedores de negocio conectados a una VPN?

2.1.6 Arquitectura de Software La arquitectura de software se refiere a aplicaciones que son hosted sobre la red de la organización, y define como ellas son estructuradas. Por ejemplo nosotros quizá estructuramos una aplicación de comercio electrónico dividiendo esta en tres capas distintas:

Página 6 de 41


• The web front end que es responsable para como la aplicación es presentada al usuario.

• El código de la aplicación que implementa la lógica de negocio de la

aplicación

• La base de datos que almacenan los datos de la aplicación. La arquitectura de software juega un rol significativo en la discusión de una infraestructura de seguridad debido al propósito principal de una arquitectura de red es proteger los datos de aplicaciones y los servicios. Asegure que la arquitectura del software y la red están armonizadas.

2.1.7 DMZ y Screened Subnets Nosotros típicamente usamos los términos DMZ y screened subnet en referencia a una red pequeña conteniendo servicios públicos que son conectados directamente a y protección ofrecida por el firewall u otro dispositivo de filtrado. Una DMZ y una screened subnet son diferentes aunque mucha gente usa los elementos intercambiablemente. El término DMZ se origino durante la guerra de Corea cuando una franja de tierra en el paralelo 38 estaba fuera de limites militarmente. Una DMZ es una área insegura entre áreas seguras. Justo como la DMZ en Corea estaba enfrente de cualesquiera defensas, la DMZ cuando es aplicada a redes esta localizada fuera del firewall. Un firewall o una comparable dipositivo protegido del tráfico protege a una screened subnet que es conectada directamente a este. Recuerde esto: Una DMZ esta enfrente de un firewall , mientras una screened subnet esta detrás de un firewall. Note la diferencia en la siguiente figura:

Página 7 de 41


Una screened subnet es una red aislada que es conectada a un interface dedicado de un firewall u otro dispositivo de filtrado. La screened subnet es frecuentemente usada para segregar servidores que necesitan ser accesibles desde Internet de sistemas que son usados únicamente por los usuarios internos de la organización. En la screened subnet típicamente residen servicios “publicos” incluyendo DNS, mail y la web. A nosotros nos gustaria pensar estos servidores como bastion hosts. Un bastion es una posición bien fortificada. Cuando es aplicada a hosts dentro de la red , fortificación envuelve fortalecer el sistema operativo y las aplicaciones de acuerdo a buenas practicas. Como ataques sobre el tiempo han demostrado, estos servidores no están siempre bien fortificados; en efecto, ellos son algunas veces vulnerables a pesar de ser protegidos por un firewall. Como profesionales de la seguridad nosotros debemos fotificar estos hosts debido a que ellos son el destino de la mayoria de los ataques y puede ser el metodo por el cual el mundo mira nuestra organización.

2.2 Defensa en profundidad Piense en la seguridad de tu red como una cebolla. Cuando tu desconchas la capa mas superior, mucho permanece bajo esta. Ningún concepto tiene mas importancia cuando discutimos seguridad de red que su defensa en profundidad y tu veras esta usada como el principio guiado detrás de los diseños e implementaciones a través de este trabajo. La defensa en profundidad te ayudara a proteger recursos de red aun si una de las capas de seguridad esta comprometida. Después de todo ninguna capa de seguridad puede garantizar resistencia a cada ataque que este necesita enfrentar. Nosotros operamos en un mundo real de desconfiguraciones, software bugs, empleados disgustados y sobrecarga de administradores de sistemas. Además cualquier diseño de seguridad practico necesita acomodarse a las necesidades del negocio que quizá requiera de nosotros abrir ciertos puertos del firewall, dejar servicios adicionales ejecutandose en el servidor, o prevenirnos de aplicar el ultimo parche de seguridad debido a que este rompe una aplicación critica del negocio. Tratar componentes de seguridad perimetral como parte de una defensa coherente en profundidad infraestructura nos permitira emplear ellas en una forma que explica las fortalezas y debilidades de cada componente individual. Por supuesto dados los requerimientos de tu organización tu podrás elegir no tener cada componente que es descrito en este trabajo. La extensión para la cual tu necesitas aplicar capas de seguridad de red dependeran de las necesidades y capacidades de tu negocio.

Página 8 de 41


2.2.1 Componentes Que exactamente una defensa en profundidad supone? La respuesta es simple: el perímetro, la red interna y el factor humano. Cada uno de estos factores comprenden muchos componentes los cuales no son suficientes independientemente para asegurar una red. La clave lies en cada componente complementando los otros para formar un plan completo de seguridad.

2.2.1.1 El Perímetro Cuando nosotros pensamos en la seguridad de una red, nosotros mas frecuentemente pensamos en el perímetro. El perímetro podra contener cualquier o todos de los siguientes componentes:

• Filtro de paquetes estático • Stateful firewall • Proxy firewall • IDS • VPN

Además de estos componentes nosotros debemos de considerar el diseño de la red. Típicamente un filtro de paquetes estático, tal como un border router, es el primer dispositivo perimetral que el tráfico entrante en una red encuentra y el último dispositivo perimetral que el tráfico saliente de una red encuentra. El filtro de paquetes estático inspecciona información basica dentro de cada paquete. Filtros de paquetes estático pueden ser o routers ( Cisco router ) o firewalls (Linux IPchains ). El dispositivo border el cual es frecuentemente un router es la primera capa por donde se entra y la ultima por donde se sale de tu red de seguridad. Esto contribuye a la defensa en profundidad filtrando el tráfico antes de que este entre o salga de tu red. Demasiado frecuente, nosotros solo consideramos filtrar el tráfico entrante, pero entonces nosotros no obtenemos la utilidad completa de nuestro border router. Impropiamente tráfico destinado podrían ser direcciones internas que golpean tu interface externo o viceversa, y ellas pueden ser direccionadas con filtro de ingreso y egreso. Border routers pueden también bloquear tráfico que puede ser considerado de alto riesgo de entrar en tu red, tal como el tráfico sobre la lista top 20 de SANS ( http://www.sans.org/top20.htm ) . ICMP es un favorito de los atacantes ambos para ataques DoS y reconocimiento,así bloqueando este en todo o en parte es una función común del border router. Bloquee paquetes fuentes ruteados en el border router porque ellos pueden burlar las defensas. El border router puede también bloquear paquetes fuera de banda tales como paquetes SYN-FIN . El 9 de febrero del 2000 web sites tale como Yahoo! y CNN fueron DDoSed fuera de Internet, principalmente por información falsa en la cabecera IP(

Página 9 de 41

http://www.sans.org/top20.htm


spoofed smurf attacks ). Un ataque smurf envolvía enviar un requerimiento echo ICMP (ping) a la dirección broadcast , resultando en una repuesta de cada host. En este caso spoofing permitía a los atacantes dirigir el gran número de respuestas a una red victima. Filtro de ingreso y egreso habría bloqueado el trafico spoofed y permitido a ellos desgastar la tormenta DDoS. Cada red debería haber ingresado y egresado filtro en el border router para permitir solamente tráfico que es destinado para entrar en la red interna y trafico que es destinado para salir de la red externa. Filtros de paquetes estáticos, talescomo routers, son mas rapidos en trafico screening que stateful o proxie firewalls . Esta rapidez viene muy bien cuando tu estas bajo ataque o cuando el firewall esta ya bajo una carga pesada. Que si tu no tienes un border router bajo tu control exclusivo? Dada tu situación esto puede ser apropiado. Si tu conexión a Internet es relativamente pequeña ( T1 o menos ), entonces un firewall podría ser suficiente. Firewalls toman una mucho mas cuidadosa mirada a los paquetes, pero ellas cubren la misma funcionalidad que un border router. En adición a filtros de paquetes estáticos, stateful firewalls mantienen un registro de conexiones en la tabla de estado y son el tipo mas común de firewall. Este registro de conexiones es útil para defensa en profundidad debido a que un stateful firewall bloquea el trafico que no esta en su tabla de conexiones establecidas. La normas base de un firewall determina la IP fuente y el destino y números de puerto que son permitidos para establecer la conexión. Tu deberías considerar cualquier reconocimiento que tu detectes a ser una indicación fuerte de un ataque pendiente. Bloqueando conexiones no establecidas o no permitidas un stateful firewall ayuda a bloquear el reconocimiento. Stateful firewalls son posibles de reconocer y bloquear tráfico que es parte de una conexión no establecida, no permitida tales como intentos en reconocimiento. La habilidad de bloquear reconocimiento tales como el Nmap ACK examina que golpea tu firewall hace stateful firewalls una parte valuable de defensa en profundidad añadiendo otra capa de seguridad a tu red. Una alternativa y algunas veces un complemento a un stateful firewall es un proxy firewall . Proxy firewalls son los mas avanzados y menos comunes tipos de firewall. Proxy firewalls son también stateful, ya que ellos bloquean cualquier conexión no establecida o no permitida. Como con stateful firewalls el firewall basado en normas determina las IP fuente y destino y números de puerto que son permitidos para establecer conexiones. Proxy firewalls ofrecen un alto nivel de seguridad debido a que hosts internos o externos nunca se comunican directamente. Además, el firewall actúa como un intermediario entre hosts. Proxy firewalls examinan el paquete entero para asegurar conformidad con el protocolo que es indicado por el número de puerto destino. Asegurando que solamente tráfico protocol-compliant pasa a través del firewall ayuda en la defensa en profundidad disminuyendo la posibilidad de tráfico malicioso entrando o saliendo de tu red.

Página 10 de 41


El proceso para un usuario detrás de un Proxy firewall con el fin de conectar a un web site externo es como sigue:

1. Un cliente interno envía al Proxy una petición de un URL

2. El Proxy requiere la URL desde el site externo

3. El site externo responde al Proxy

4. El Proxy envía la respuesta al cliente interno. Uso de Proxy firewalls disminuye la posibilidad de tráfico malicioso que esta entrando o saliendo de tu red asegurando que solamente tráfico de protocolo confirmado pasa a través. Que sucede si trafico malicioso parece ser el material apropiado y se adhiere al protocolo? Un IDS representa los ojos y oídos de una red monitorizando la red y los hosts de puntos críticos para actividad maliciosa. Tipicamente localización de sensores IDS de red incluyen cada segmento de red conectado directamente al firewall, así como puntos críticos dentro de la red. Si tráfico malicioso entra en tu red , tu IDS de red debe poder detectar este así como comunicar que este ve. Este es precisamente como un IDS ayuda en la defensa en profundidad . Por ejemplo un IDS de red podría identificar y alertar sobre lo siguiente:

• Peticiones de Transferencia de zona DNS desde host no autorizados • Ataques Unicote dirigidos a un servidor web

• Ataque de buffer overflow

• Propagacion de gusanos.

Nosotros hemos visto varios gusanos sucesivos derribando grandes redes internacionales. Si estas compañías hubieran podido identificar y aislar las maquinas infectadas rapidamete cada vez que un nuevo gusano ataque ellos podrían mantener sus redes funcionando. Un IDS con la firma correcta facilitaría esta identificación. Un IDS puede ayudar a identificar trafico malicioso que podría de otra forma aparecer como normal a un ojo no entrenado. Por ejemplo una zona de transferencia de zona DNS es una operación legitima y común para servidores de DNS coetaneos dedicados. Sin embargo nosotros deberíamos considerar transferencias de zona fuera de los host peligrosos. Un IDS es extremadamente valorable para defensa en profundidad detectando y reportando trafico malicioso. Nosotros no podemos subestimar el valor de información que un IDS provee. Aunque un IDS representa los ojos y oídos de una red, nosotros no estamos completamente ciegos sin uno. Correlación de router, firewall, VPN y logs del sistema puede producir alguna información acerca de actividad sospechosa sobre la red. Estos logs no son un medio de

Página 11 de 41


reemplazar la granularidad y extensividad de logs IDS, pero para aumentar ellas. Logs desde componentes perimetrales no-IDS pueden ayudar significativamente cuando los log de IDS de red están fuera de uso, tal como cuando el tráfico esta encriptado en ruta a un dispositivo VPN. VPNs protegen comunicaciones sobre redes no protegidas, tales como Internet. Ellas protegen ofreciendo confidencialidad, integridad y no repudio. Claramente ellas pueden hacer seguro que si un colega te envia un email, ningún otro puede leer este, la información no ha cambiado y es realmente de el. VPN son apropiadas para un extenso rango de aplicaciones, y son frecuentemente utilizadas cuando líneas privadas dedicadas son demasiado caras o poco practicas para conectar nodos de red. Protección de comunicaciones sobre redes no protegidas nos ayuda a defender nuestras redes en profundidad. VPNs son herramientas o armas maravillosas dependiendo quien estan usando ellas. Proveyendo comunicaciones protegidas sobre canales no protegidos, una VPN es una herramienta para usuarios legítimos. Si, sin embargo los puntos finales de una conexión VPN no son seguros, un atacante podria ganar un canal no protegido dentro de tu red interna, dandole a el un arma formidable. Recuerda la gran red internacional que nosotros discutimos que fue inutilizada por gusanos? Cada vez que un gusano ataca, el culpable era el mismo: un usario VPN que estaba trabajando desde casa. Usuarios navegarían por la web usando su conexión de banda ancha en la noche antes de registrarse e la red interna el siguiente día via VPN. Un gusano infectaba sus maquinas cuando ellas estaban conectadas a Internet en la noche. Cuando ellos se conectaban el siguiente día, el gusano se propagaba a la red interna y se ejecutaba desenfrenado. VPNs ofrece un significante ahorro de costes sobre la alternativa previa de frame relay . Nosotros podemos usar una VPN para proteger todo el trafico de una red a otra ( red a red ), entre dos hosts ( host to host ) o desde un simple host a una red ( host to red ). Conociendo esto, la forma en la cual nosotros configuramos nuestras redes llega a ser cada vez mas importante. Demasiado frecuente, seguridad no es una preocupación primaria para un negocio cuando ponemos una red a funcionar. Una arquitectura segura es vital para una defensa en profundidad debido a que este segrega recursos y tiene en cuenta rendimiento y redundancia. Nosotros necesitamos hacer lo siguiente cuando evaluamos una arquitectura:

• Determinar que recursos necesitamos proteger

• Determinar el riesgo

• Determinar requerimientos de negocio

Página 12 de 41


Con esta información, nosotros podemos tomar decisiones educadas tomando en cuenta nuestras defensas de red. Una arquitectura de red sólida creada con seguridad en mente segregara recursos y proveera rendimiento y redundancia. Segregar recursos es vital para defensa en profundidad y nosotros ampliaremos mas en el tema “Separando recursos”. Nosotros debemos mantener en mente que no importa cuan segregadoun host esta desde un punto de vista de la red, su configuración debe también ser fortalecida. Nosotros hemos discutido como varias piezas de el perímetro contribuyen a la seguridad total de nuestra red a través de defensa en profundidad. Mientras que es vital el perímetro es solamente es unicamente una pieza de la defensa en profundidad. A continuación nosotros examinamos una pieza que muchas organizaciones descuidan a dirigir propiamente: La red interna.

2.2.1. 2 La red interna La red interna es la red que esta protegida por el perímetro que contiene todos los servidores, estaciones de trabajo, y la infraestructura con la cual una compañía dirige su negocio. Frecuentemente administradores de varios tipos dicen “Nosotros podemos confiar en nuestra propia gente”. Organizaciones frecuentemente descuidan la seguridad de la red interna debido a que ellos no consideran un ataque interno un riesgo. Un ataque interno no tiene porque partir de un empleado malicioso; este puede partir también de un empleado descuidado. Como organizaciones estan aprendiendo cada vez que un nuevo gusano sale a la luz, ellos no pueden permitirse pasar por alto la seguridad de una red interna. En la red interna nosotros podemos tener los siguientes dispositivos perimetrales:

• Filtros de ingreso y egreso sobre cada router • Firewalls internos para separar recursos • Proxies para mejorar rendimiento y seguridad • Sensores IDS para funcionar como canarios en una mina de carbon y

monitorizar la red interna

Internamente nosotros podemos utilizar lo siguiente:

• Firewalls personales • Software anti-virus • Fortalezas del sistema operativo • Gestión de la configuración • Auditorias

Firewalls personales son generalmente implementados como módulos de software que ejecutan maquinas individuales, tráfico de red emitido según este

Página 13 de 41


entra o sale del sistema. La mayoría son configurables sobre una base por aplicación, significando que el usuario determina cuales aplicaciones tienen derecho a accesar Internet o funcionar como servidores ( aceptando conexiones entrantes ). Firewalls personales son efectivos en costo, alcazando desde gratis a baratos. Ellos ayudan a defensa en profundidad aumentando el perímetro sobre cada host. Tu te preguntarías “Porque yo necesito un firewall personal si yo estoy detrás de un firewall en el trabajo?. Un firewall personal en el trabajo puede protegerte de programas maliciosos, tales como troyanos, y otros host internos, como es el caso de usuarios internos maliciosos. Si tu no tienes un firewall personal y te conectas a Internet fuera del trabajo ( habitación de hotel mientras viajas o trabajos desde casa ) tu no puedes asumir que tu estas siendo protegido Firewalls personales son piezas maravillosas de software que aumentan el perímetro. Si un firewall no puede ser empleado en el punto de entrada de una red. Firewalls personales son alternativas efectivas en coste especialmente si la red tiene un pequeño número de sistemas. Firewalls personales son también útiles para usuarios móviles que se conectan a una red fuera del trabajo. Casi todas las redes necesitan tecnología de firewall de alguna clase sean estos filtros de paquetes estáticos , stateful firewalls o Proxy firewalls sobre el perímetro o las maquinas individuales. La mayoría de las redes con estaciones de trabajo a nivel de usuario también necesitan capacidad anti-virus. En muchos aspectos, anti-virus software y IDS de red son similares en que ellos frecuentemente operan examinando datos para registrar intentos maliciosos conocidos. Software anti-virus software tipicamente mira los datos sobre el sistema de ficheros mientras que un IDS de red examina datos sobre la red. La mayoría de los vendedores empaquetan anti-virus, firewall personal y tecnología IDS dentro de un producto simple, la línea distinguiendo las tres llega a ser cada vez mas vaga. El rol de antivirus es claro este protege contra codigo malicioso. Recuerde mi co-trabajador no tecnico que estaba chequeando su correo personal a través de dial-up? Su firewall personal la salvo. Que sucedería si ella no hubiera instalado un firewall personal? Dependiendo del ataque, un anti-virus actualizado podría haber prevenido a su maquina de ser infectada. Nosotros podemos aumentar nuestra capacidad anti-virus en nuestro ordenador personal a través de productos que se acoplan con componentes perimetrales tales como firewalls y servidores de correo. La efectividad del software anti-virus decrece drásticamente si este no es actualizado regularmente o si este no tiene un registro para identificar el último virus o gusano. Host Hardening es el proceso de tensar la configuración de el Sistema Operativo del host y aplicaciones con el proposito de asegurar cualquier aperura innecesaria sobre el sistema. Esto tipicamente envuelve aplicar cualquier parche al Sistema operativo o la aplicación, configurar permisos del sistema de ficheros, deshabilitar servicios innecesarios, y asegurar

Página 14 de 41


restricciones del password. Si cualquier cosa fallara, Host Hardening es la última capa protegiendo un sistema individual. Que pasaría si el trabajador no técnico que estaba chequeando su correo electrónico a través de dial-up no ha instalado un firewall personal o software anti-virus? Si hardening basico ha sido realizado, ella habría tenido un rieso muy reducido no presentando una vulnerabilidad que un atacante podría explotar. Es demasiado fácil olvidar acerca host hardening cuando multiples capas de defensa estan rodeando el sistema. Los hechos manifiestan que estas defensas no son perfectas y nosotros necesitamos esta última capa. La pregunta de cómo mantenerse encima de host hardening surge naturalmente. Gestión de la configuración es el proceso de establecer y mantener una configuración conocida para sistemas y dispositivos que estan sobre la red. Grandes empresas podrían tener un medio automatizado de manipular la configuración de todos los hosts , mientras pequeñas empresas podrían realizar el proceso manualmente. Gestion de la configuración puede hacer respetar lo siguiente

• Que todas las maquinas Windows tiene Service Pack x instalado • Que todas las maquinas Linux tienen el kernel x.x.x ejecutandose • Que todos los usuarios con cuentas de acceso remoto tiene un firewall

personal • Que cada maquina tiene anti-virus actualizado diariamente. • Que todos los usuarios aceptan la politica de uso admisible cuando

ellos entran en el sistema. La gestión de la configuración es la mejor forma de establecer una configuración Standard y segura tal que el daño producido por incidentes este limitado. Este también puede habilitar a tu organización a controlar la instalación de software no autorizado. Gestión de la configuración es una fuente de defensa importante porque esta asegura una configuración Standard. Como podemos verificar que una configuración permanece sin alterar? Auditoria es el proceso de resolver percepción de la realidad y mejorar sobre esta. Staff interno o consultores externos pueden realizar auditorías. La información que es presentada aquí es se aplica a cualquier situación Una auditoría abanza tipicamente de la siguiente manera:

1. Una reunión informal es mantenida para planear la auditoría. En la primera reunión nosotros descubrimos lo que el cliente quiere y espera y establece riesgos, costos, cooperación, entregas, marcos de tiempo y autorización.

Página 15 de 41


2. Comienzo del trabajo de campo ( implementar la auditoría ) cuando el cliente esta listo nosotros realizamos la auditoría en linea con lo que nosotros establecimos en la sesión de planeamiento.

3. El informe de auditoría inicial ( informe técnico ) toma lugar. Tu podrías

preferir dar un informe de auditoría inicial a los representantes técnicos de un cliente antes de que su dirección vea elinforme final. Tu puedes darle a ellos uno o dos dias para arreglar cualquier cosa que ellos puedan antes de que el informe final vaya a la dirección. Esto también asegura que los representantes técnico saben lo que vera su dirección y puede ofrecer clarificación sobre cualquier asunto.

4. El informe de auditoría final ( informe no técnico con informe técnico

final ) toma lugar. El informe de auditoría final contiene un resumen ejecutivo, el enfoque general usado, la metodología especifica usada y el informe técnico final.

5. Continuación ocurre ( verificación de las recomendaciones es realizada)

Cuando el cliente esta listo, nosotros volvemos para verificar que asuntos han sido resueltos. Justo como cuando tu vas a un doctor sobre una base regular para que tu estas saludable como tu piensas que tu estas tu debes chequear tu red regularmente para asegurar que tu percepción y la realidad de la seguridad coinciden. Asegurar la red interna con firewalls personales, software anti-virus, y blindado de host no es una tarea trivial. Gestión de la configuración y auditoría pueden ayudar a llevar a cabo esto. Direcciónar seguridad sobre el perímetro y la red interna no es suficiente. A continuación nosotros completaremos el tema discutiendo el factor humano.

2..2.1.3 El Factor Humano Frecuentemente, nosotros estamos ensimismados en el aspecto técnico de la seguridad de la red sin considerar el aspecto no técnico. Cosas como optimización basada en reglas, leer un paquete en hexadecimal, y generación de ACL’s son ciertamente importantes para seguridad de la red. Lo que nosotros típicamente olvidamos es el fin humano de las cosas,como las políticas y conocimientos que acompañan la solución tecnica. Politica determina que medidas de seguridad tu organización debe implementar. Comoun resultado, la política de seguridad guia tus decisiones cuando implementas seguridad de la red. Una infraestructura de defensa efectiva en seguridad requiere una comprensiva y realista politica de seguridad.

Página 16 de 41


Rango distintivos de una buena politica incluye lo siguiente:

• Autoridad ( quien es el responsable ) • Alcance ( a quien afecta ) • Caducidad ( cuando finaliza ) • Especifidad ( que es requerido ) • Claridad ( puede todo el mundo entender esta )

Conocimiento del usuario es como educación del conductor. Tu puedes pasar sin esta pero cosas serán mucho mas fáciles con esta. Usuarios pueden reducir riesgos y ayudar a la defensa en profundidad si ellos son conscientes de la politica y siguen esta. Para aumentar conocimiento del usuario tu puedes requerir lo siguiente:

• Tener para cada usuario una política de uso aceptable anualmente. • Configurar una página web de seguridad con políticas,

recomendaciones y noticias. • Enviar un “Consejo de seguridad de la semana” a cada usuario

Un beneficio directo de usuarios enterados viene cuando consideramos ataques de ingenieria social. Por ejemplo, si usuarios saben que no dar su password a otras personas, un ataque potencial podría ser fustrado. Cuando usuarios son conscientes de políticas, tiende a haber menos violaciones de la política y usuarios se sienten mas envueltos en la seguridad. Además en el caso de violación de la política, si ellos son formados, ellos no pueden reclamar falta de conocimiento. Recuerda: Defensa en profundidad depende sobre el factor humano, de la política y conocimiento del usuario. Política determina que medidas de seguridad tu organización debería implementar. Estas medidas de seguridad deben reflejar la política. Defensa en profundidad es el medio para la implementación de políitcas . Nosotros hemos examinado los componentes de una defensa en profundidad y como ellas contribuyen a la seguridad de la red. Defensa en profundidad es un concepto flexible que te permite crear una infraestructura de refleje los requerimientos de tu organización.

Página 17 de 41


3. Filtrado de paquetes El filtrado de paquetes es uno de los mas antiguos y el medio mas extensamente disponible para controlar acceso a la redes. El concepto es simple: determinar si un paquete es permitido a entrar o salir de la red comparando algunas piezas de identificación básicas que estan localizadas en la cabecera del paquete. Tecnología de filtrado de paquetes puede ser encontrada en sistemas operativos, software y hardware firewalls, y como una caraceristica de seguridad de la mayoría de los routers. El objetivo de este capitulo es explorar las fortalezas y debilidades de la tecnología de filtrado de paquetes y como implementarla exitosamente. Nosotros discutimos la base de TCP/IP y como este se aplica a filtrado de paquetes.

3.1 Principios de TCP/IP: como funciona filtro de paquetes Cuando sistemas sobre una red se comunican, ellos necesitan hablar el mismo lenguaje, o protocolo. Uno de tales protocolos es TCP/IP, el principal lenguaje de comunicación de Internet. Para facilitar tal comunicación, la información que tu envias necesita ser dividida en piezas manejables llamadas paquetes. Cabeceras de paquete son pequeños segmentos de información que son pegados al comienzo de un paquete para identificar este. Paquetes son dirigidos o ruteados por los valores que estan localizados en la cabecera del paquete. Estos identificadores tienen información acerca de donde los paquetes vienen ( source address ), donde ellos estan yendo ( dirección destino ), el número de puerto de el protocolo con el cual ellos se estan comunicando, también como otra información describiendo el tipo de servicio que el paquete puede soportar, entre otras cosas. Cuando un paquete TCP/IP llega a un router, el router chequea su destino para ver si este sabe como obtener el lugar donde el paquete quiere ir. Si esto es así, este pasa el paquete al segmento de red apropiado. El hecho que un router pase cualquier paquete cuyo destino del cual el es consciente es llamado permiso implicito. Como tu puedes imaginar, esto no sería una forma efectiva para proteger tu red debido a que todo el tráfico entrar también como salir. Tu necesitas un metodo para controlar la información que esta entrando y saliendo de los interfaces del router.

3.1.1 Puertos TCP y UDP La parte TCP de TCP/IP significa Protocolo de control de transmisión y esta es una forma confiable orientada a transporte para que la información sea comunicada. Protocolo de datagrama de usuario ( UDP ) es un protocolo de transporte no confiable que trabaja bien con programas que no confían en el protocolo para hacer seguro que su carga obtiene donde esta yendo. Ambos TCP y UDP utilizan puertos para registrar sesiones de comunicación. Ciertos puertos son puestos aparte como el puerto particular para contactar un servidor

Página 18 de 41


a través de la ejecución de un servicio dado tales como HTTP ( puerto 80 ), FTP ( puerto 21 ), Telnet ( puerto 23 ), DNS ( puerto 53 ) y SMTP ( puerto 25 ). Estos servicios y como asegurar ellos son discutidos en mas detalle mas tarde) Para una lista informativa actualizada de todos puertos del lado del servidor y los servicios a los cuales ellos están asignados informese en el RFC 1700. Cuando un cliente contacta un servidor, este aleatoriamente un puerto arriva de 1023 para atravesarlo. Entonces el cliente contacta el servidor sobre un puerto fijo tal como el puerto 23 para Telnet. Cuando el servidor contesta la información deja el puerto 23 y retorna al cliente en el puerto aleatorio > 1023. Esta es la unica forma que un filtro de paquetes puede determinar el servicio que este esta filtrando. Por ejemplo, tu podrías querer filtrar fuera todo el tráfico Telnet; tu haces esto bloqueando todo el tráfico que es dirigido al puerto TCP 23. Tu quizás tambien querías permitir todo el tráfico HTTP que esta viniendo al puerto 80. Sin embargo si alguien esta ejecutando un servidor telnet sobre el puerto 80 en algún lugar de tu red, y todo lo que tienes para protección es el filtro de paquetes antedicho, el trafico pasa. Sistemas de filtrado de paquetes no tienen la inteligencia para mas alla del número de puerto para determinar que servicio se esta ejecutando en la capa de aplicación. Por esta razon, si tu quieres bloquear el acceso a un servicio particular que estas ejecutando en puertos alternativos, tu necesitas mantener esto en mente cuando construyes las reglas de filtrado. Algunas veces servidores web se ejecutan sobre puertos alternativos, tales como 8000, 8080 o parecidos; si tu quieres permitir el acceso a dichos servidores web, entonces crear una norma de filtro de paquetes que permita trafico en el puerto 80 no sería suficiente.

3.1.2 TCP three-way handshake Para comenzar la comunicación el protocolo TCP orientado a conexión usa lo que es conocido como apretón de manos tres vias . Cuando host A quiere conectarse al host B para transferir datos, este tiene que dejar que el host B sepa que quiere conectarse. Host A hace esto enviando un paquete al host B con la SYN o bandera de sincronización fijada significando “Yo quiero iniciar una nueva conversación” Si host B puede y quiere conversar devuelve al host A, este retorna un paquete con el SYN y ACK o bandera de confirmación establecida, significando “OK vamos a hablar “.Finalmente host A retorna la tercera parte del apretón de manos, un paquete con exactamente la bandera ACK establecida significando “Yo estoy alegre tu quieres hablar, vamos a comenzar a hablar” . Con esto los datos comienzan a transferirse. Las banderas antedichas representan si este es un intento inicial de comunicación, una respuesta o una respuesta a una repuesta. Sistemas de filtro de paquetes pueden usar estas banderas para determinar en que estado esta el trafico de apretón de mano de tres vías actualmente. Por ejemplo, si tu no quieres permitir nuevas conexiones desde el exterior, tu

Página 19 de 41


podrias elegir solamente permitir trafico con la bandera ACK; los paquetes comenzando una nueva conexión contienen la bandera SYN solamente.

Página 20 de 41


4. Stateful Firewalls Es un tipo de firewall que intenta registrar el estado de las conexiones de la red cuando se estan filtrando paquetes. Las capaciades de un stateful firewall son un cruce entre las funciones de filtrado de paquetes y la inteligencia de un protocolo a nivel de aplicación de un Proxy. Debido al conocimiento de este protocolo adicional, muchos de los problemas que son encontrados cuando tratamos de configurar un firewall de filtrado de paquetes para protocolos que se comportan de forma no standard son evitados

4.1 Como funciona un Stateful Firewall El stateful firewall examina predominantemente capa 4 ( Transporte ) y información de paquetes inferiores, mas frecuentemente tratando solamente con la capa 7 ( aplicación ). Inspeccionando el paquete que inicializa una conexión. Si el paquete inspeccionado coincide con una regla de un firewall existente que permite esta, una entrada es añadida a la tabla de estado. Desde este punto hacia delante, los paquetes en esta sesión de comunicación particular son permitidos accesar sin llamar para nueva inspección debido a que ellos coinciden con una entrada en la tabla de estado existente. Este metodo aumenta el rendimiento total del firewall ( contra sistemas tipo Proxy que examinan todos los paquetes ) debido a que solo los paquetes iniciales necesitan ser desencapsulados del camino entero a la placa de aplicación. A la inversa debido a que estos firewalls usa tales técnicas de filtrado, ellos no consideran los comandos de la capa de aplicación para la sesion de comunicación entera, como un Proxy firewall lo haría. Esto equipara una habilidad para realmente controlar sesione basadas en tráfico a nivel de aplicación, haciendo esta una alternativa menos segura que un Proxy. Sin embargo debido a la ventaja de la rapidez de stateful firewalls y su habilidad para manejar casi acerca culquier flujo de tráfico ( opuesto al número limitado de protocolos soportados por proxies a nivel de aplicación ), ellas pueden ser una excelente elección como el unico dispositivo de seguridad perimetral para un site o como jugador de roles en un ambiente de red más complejo.

Página 21 de 41


5. Proxy Firewalls Un servidor Proxy algunas veces llamado aplication gateway, es una aplicación especializada que provee comunicación vía protocolos de Internet entre la red interna protegida y el mundo exterior ( Internet ). En general proxies trabajan para programas basados en el protocolo TCP/IP. Servidores Proxy típicamente ejecutan unos pocos programas ( proxies ) que pueden ser seguros y confiables. Estos programas son aplicaciones especificas, y cada protocolo que esta siendo soportado debe tener su propio servicio Proxy o ser encargado por un Proxy generico. Un Proxy también puede ser un programa transparente que es diseñado para mover paquetes en cualquier puerto dado a través dela frontera de la red.

5.1 Fundamentos Un Proxy actúa sobre el nombre del cliente o usuario para acceder a un servicio de red y protege cada lado de una conexión directa peer-to-peer. Clientes establecen conexiones, completando apretón de manos de tres vías al servidor proxy. El Proxy entonces establece una conexión al servidor destino. El servidor proxy envia datos que este recibe desde el cliente al servidor de destino y adelanta datos que este recibe desde el servidor de destino a el cliente. Estrictamente hablando, el servidor Proxy es ambos un servidor y un cliente. Este es un servidor para su cliente y un cliente para su servidor destino .Una forma para mantener este derecho es llamar el fin de la escucha de el Proxy el listener y el lado inicial de un Proxy the initiator. Este deja los términos cliente y servidor para los puntos finales. Los pasos en construir una conexión a través de un Proxy requiere varios niveles de autentificación o confianza de el software siendo ejecutado para establecer las conexiones. El siguiente es un ejemplo de los tipos de conexiones que son establecidas a través de un Proxy desde una red interna a Internet:

1. El usuario requiere servicios de Internet tales como http, FTP o Telnet

2. Software sobre el cliente adelanta las peticiones de acuerdo con la política de seguridad a los servicios de Internet a ser utilizados.

3. Los proxies proveen conexiónes actuando como compuertas a los

servicios remotos.

4. Los proxies realizan toda comunicación que es necesario establecer una conexión con el sistema externo mientras protege los sistemas que están detrás del firewall de ser visualizados por sistemas externos.

Página 22 de 41


5. Todo el trafico que esta siendo ruteado entre el usuario interno y los sistemas externos es procesado a través de compuertas Proxy.

Un servidor Proxy tipicamente corre sobre un dual-homed bastion host o compuerta y soporta uno mas protocolos de Internet ( ver figura 6.1 ). Bastion hosts son sistemas fortalecidos que son configurados para funciones de accesibilidad en Internet.Una compuerta dual-homed consiste de un sistema de hosts con dos interfaces de red una para la red interna protegida, y la otra para la red externa. Estos hosts no permiten el tráfico directo entre redes y pueden ser usados para para realzar logging y funciones de auditoría sobre el tráfico. La capacidad de IP forwarding de los host esta deshabilitada tal que el host ya no enruta paquetes entre las dos redes conectadas. La compuerta dual-home bloquea completamente tráfico IP entre la red interna y la red externa. Servidores Proxy sobre la compuerta proveen conectividad a Internet y servicios. Podría ser ventajoso deshabilitar la capacidad de IP forwarding explícitamente para evitar tener involuntario trafico IP forwarding. Un ejemplo de una configuración simple para una compuerta dual-homed es proveer servicios Proxy para email. El servicio sobre el firewall acepta todos los correos que estan siendo direccionados a usuarios internos y entonces remite a sistemas internos o a un servidor de correo interno centralizado. Este tipo de conexión se presenta transparente al usuario final. Parece como si la conexión se realiza directamente entre el sistema interno del usuario y el sistema externo. Figura 5.1 . Un dual-homed (bastion) host con servicios proxy es tipicamente Un sistema de compuertas con dos Interfaces de red Debido a que el datos es comunicado entre el cliente interno y el bastion host , la dirección IP interna del cliente y cierta información del protocolo son prevenida de ser transmitida a través de Internet.. Estudiando ciertas características de los paquetes ---incluyendo las configuraciones por defecto para el campo Tiempote vida (TTL), tamaño de la ventana y opciones TCP -- el sistema operativo del cliente puede ser determinante. Esta técnica de identificación del SO, conocida huella dactilar pasiva ( passive fingerprint ) puede ser usada por un atacante para determinar que clase de explosión usar contra el sistema cliente.

Página 23 de 41


Este tipo de servicios/servidores proveen funcionalidad para usuarios internos y externos mientras estan fuera del perímetro de la red interna. Figura 6.2 provee una ilustración de servidores múltiples fuera de una red protegida. Idealmente, un host bastion sería usado para dirigir un servicio Proxy, el principio de separación de la seguridad. Ningúna cuenta de usuario, compiladores o programas no necesarios deben estar en los bastion hosts. Además cualquier servicio no usado debe ser deshabilitado. Solamente estos servicios que el servidor Proxy ofrece deben ser habilitados tal que si un bastion o servicio fuera comprometido, solamente un servicio sería afectado. Sin embargo esto no podría ser siempre factible. Desafortunadamente , pooling de todos los proxies en un simpe bastion host provee un punto simple de fracaso potencial si es atacado exitosamente. Figura 5.2 Multiples bastion hosts pueden residir fuera del perímetro Cada uno potencialmente sirviendo para un diferente proposito

Ademas de los protocolos Proxied , tales como Telnet, FTP, email and news, organizaciones podrían necesitar proveer acceso a la web (HTTP), multicast, y protocolos distribuidos para musica, audio/video, conferencia, acceso a la base de datos, compartición de ficheros y mas. Esto resulta en un significante desafío para los administradores de seguridad de red como ellos luchan por mantener los sistemas actualizados y mantener a los clientes/usuarios satisfechos con la disponibilidad del servicio. Firewalls de la capa de aplicación son beneficiosos debido a que ellos tienen para decodificar la información de cabecera de la capa de aplicación; por lo tanto, ellos pueden proveer de informes de auditoría de logs.

Página 24 de 41


6. Fundamentos de diseño Si tu no eres actualmente el director de diseño de tu organización, nosotros suponemos que llegar a ser uno es tu objetivo. Tu podrías estar trazando una red desde cero valorando la resistencia de una infraestructura existente, determinando donde poner un nuevo dispositivo de seguridad o decidir si emplear uno depues de todo. Tu conocimiento de muchos componentes de defensa que tu pudieras incorporar dentro de tu infraestructura de seguridad, y tu conocimiento de innumerables formas de organizarlas. Este capítulo se concentra en los pro y contras del diseño del perímetro del diseño del perímetro de seguridad. Antes de entrar dentro de una sesión de diseño, tu necesitas tener las herramientas correctas para tomar decisiones relacionadas con el diseño. En el mundo de la arquitectura de seguridad de red, estas herramientas son trozos de información acerca de tu ambiente y tus objetivos de negocio. Tu necesitas llegar a comprender lo siguiente:

• Que recursos necesitan ser protegidos • Contra quien tu te estas protegiendo • Cuales son las necesidades de tu negocio • Cuales son tus restricciones políticas

En este capitulo, nosotros revisaremos los factores que tu necesitas considerar cuando diseñamos el perímetro de la red. Nosotros analizamos varios bloques de construcción que son útiles para trabajar sobre arquitecturas mas complejas. Estos escenarios incorporaran firewalls, routers y dispositivos VPN en varias combinaciones. Decidirnos por una arquitectura de defensa en particular es una tarea complicada y gratificante que requiere tomar decisiones difíciles donde la funcionalidad y seguridad tienden a estar reñidas una con la otra. Es entendible querer demorarse haciendo estas decisiones tan largas como sea posible. Después de todo, es fácil evitar confrontaciones que pelar una batalla difícil por presupuesto y recursos. Tomar decisiones de diseño de seguridad envuelve resolver conflictos que incorporan muchos aspectos de la red y la infraestructura de aplicaciones, tales como utilidad, confiabilidad, manejabilidad y coste. Principios que son presentados en este capitulo son medios para tener una ayuda para tomar decisiones complicadas en el proceso de configurar un perímetro de seguridad; De esta manera tu puedes ahorrar sueño, tiempo y dinero en las fases de implementación y mantenimiento de tu proyecto.

Página 25 de 41


6.1 Elementos de diseño Una de las razones por las que nosotros tenemos muchas elecciones cuando diseñamos la defensa de nuestro perímetro de red es debido a que los recursos difieren en la sensitividad de su información y la probabilidad que ellos seran exitosamente explotados. Por ejemplo un servidor web que esta ejecutando Apache y hosting paginas HTML estáticas esta generalmente sujeto a factores de menos riesgo que una base de datos Oracle que esta almacenando información de ordenes para los clientes de la organización. En el mundo donde nosotros somos libres de permutar componentes de cualquier manera imaginable, algunos elementos de diseño son vistos mas frecuentemente que otros. Nosotros cubrimos algunos de los patrones básicos aquí para ponerte en el marco mental correcto

6.1.1 Firewall y router El firewall y el router son dos de los componentes de seguridad perimetral mas comunes. En capitulos anteriores nosotros describimos diferentes tipos de estos dispositivos y explicado que rol ellos juegan en defender la red. En esta sección nos concentraremos sobre la relación entre el router y el firewall y repasaremos varias configuraciones que tu probablemente encontraras cuando configures o asegures tu red. La Figura 6.1 ilustra una de las formas mas comunes de emplear un router y un firewall juntos. La subset corporativa hosts “sistemas privados” que son usados por los usuarios internos de la organización y la screened subnet host servidores “publicos” que necesitan ser accesibles desde Internet. En este escenario, ningún servidor interno puede ser accesado desde Internet; por ejemplo en vez de abrir el puerto TCP 25 en el firewall al servidor de correo interno, nosotros ruteamos tráfico SMTP a través del retransmisor de correo residiendo en la Screened Subnet.

6.1.1.1 Filtrado básico En la configuración que fue descrita previamente, el router es el responsable para realizar funciones de enrutamiento para lo que este fue diseñado a realizar. Este enlaza el site a Internet. Frecuente tiene sentido utilizar las capacidades de filtros de paquetes del router para filtrar fuera alguno del ruido que nos importaría ver en los logs del firewall o que nosotros queremos parar en el margen de la red. Generalmente nosotros no queremos bloquear demasiado en el router debido a que en esta configuración, la mayoría de los esfuerzos de monitorización

Página 26 de 41


seran enfocados sobre el firewall. Bloqueando la mayoría del tráfico de red en el router, nosotros podríamos no tener una vista completa de los paquetes denegados en el los del firewall y correlacionando eventos que son registrados en el router y el firewall podrían ser demasiado escurridos para muchas organizaciones .

6.1.1.2 Control de acceso En el escenario que fue decrito en la sección previa, el firewall tiene responsabilidades de control de acceso primario . Esto es donde nosotros implementaremos la política de bloquear todo el tráfico por defecto y explícitamente permitir solamente estos protocolos que nuestro negocio requiere. En este caso, el firewall llega a ser la manifestación de las reglas del negocio que tu política de seguridad define. En este punto del diseño, tu deberías tener un buen entendimiento de cuales son las necesidades de tu negocio de tal manera que las normas de implementación del firewall no deberían ser demasiado desalentadoras. Note que en algunos casos emplazamiento de sistemas en la Screened subnet quiza no sea apropiada. Quizas esto es debido a que el firewall es demasiado cuello de botella, o debido a que el sistema no es demasiado de confianza para ser localizado sobre la misma subred como los servidores en screened subnet. En este caso tu podrías considerar emplazar este sistema dentro de la DMZ, entre el border router y el firewall. Tu necesitaras utilizar las capacidades de filtrado de paquetes del router para controlar acceso a ese sistema desde Internet. Tu tambien necesitaras configurar el firewall para regular comunicaciones entre este sistema y la subred corporativa.

6.1.1.3 Router bajo control de ISP ISP ( Internal service provider ) te provee con una conexión ethernet para su equipamiento de red, eliminando la necesidad de configurar tu propio border router, pero no dandote control sobre como su router es mantenido y configurado. Tu entonces tipicamente emplazarías tu firewall detrás de tu router ISP. En algunos aspectos, esto simplifica la tarea de configurar y administrar tu red debido a que tu tienes que mantener unos pocos componentes. Al mismo tiempo, tu no puedes confiar que el ISP configurara el router en la misma forma que tu habrías configurado este. Esta arquitectura no es muy diferente de la construida previamente. No tener control sobre el router simplemente significa que tu quizás no tengas el nivel de defensa en profundidad que tu podrías haber tenido si tu hubieras realizado la configuración del router. Uno de las mayores limitaciones de tal configuración podría ser la falta de información detallada acerca del tráfico bloqueado. Si el ISP confia en el router para bloquear tráfico no querido, tu firewall nunca tendra la oportunidad de registrar este.

Página 27 de 41


6.1.1.4 Router sin firewall Existe una configuración en la cual el border router es el único dispositivo que separa la red interna de Internet . Esto podría ser apropiado para organizaciones que decidan que riesgos asociados con la falta de un firewall son aceptables para su negocio. Cuando están propiamente configurados routers pueden ser bastante efectivos en el bloqueo de trafico no deseado, especialmente si ellos implementan listas de acceso reflexibas, o si ellos usan la caracteristica de firewall que viene de serie dentro de router high-end de Cisco. Es también común encontrar routers en varios otros puntos de la red interna, no solo en el border de el perímetro. Después de todo, el proposito primario de los routers es conectar redes, y una empresa podría necesitar conectar otras redes además de Internet. Por ejemplo si tu organización tiene varios sites geográficamente distintos, tu usaras routers para conectarlos. En tales casos los routers probablemente estaran desacoplados del firewall. Aun cuando tu estas usando routers con conexiones WAN privadas tales como enlaces T1 o frame relay bloquee los dispositivos ajustando su configuración deshabilitando servicios innecesarios y configurando listas de control de acceso requeridas. Este enfoque es compatible con la metodología de defensa en profundidad que nosotros hemos estado discutiendo; y ayuda a proteger la red contra una multitud de amenazas de las cuales nosotros no podriamos estar conscientes todavía.

Figura 6.1 Empleando un router con un firewall detrás de este

Página 28 de 41


6.1.2 Firewall y VPN Firewalls y VPN son frecuentemente discutidas en el mismo contexto. Firewalls son generalmente responsables de controlar el acceso a los recursos, y dispositivos VPN son responsables de asegurar enlaces de comunicación entre hosts o redes. Examinar como VPNs interactuan con firewalls es importante por varias razones:

• Traducción de direcciones de red (NAT) podria ser incompatible con algunas implementaciones VPN dependiendo de tu arquitectura de red.

• VPNs podrían crear tuneles a través de tu perímetro lo que haría difícil

para el firewall asegurar restricciones de acceso sobre tráfico encriptado

• Puntos finales VPN tienen acceso a datos en texto claro debido a que dispositivos VPN son los únicos que decriptan o autentican este; esto podría merecer consideración especial para proteger el dispsitivo VPN

• VPNs protegiendo la confidencialidad de los datos encriptados, pueden

ser usados para pasar por IDS sin ser detectados.

Cuando decidimos como incorporar un componente VPN dentro de la arquitectura de red, nosotros tenemos dos elecciones de alto nivel: mantener el modulo VPN como su propio dispositivo, externo al firewall, o integrar la VPN con el firewall tal que ambos servicios sean provistos por el mismo sistema. Cada enfoque tiene su complejidad, fortalezas y debilidades.

6.1.2.1 Firewall con VPN como dispositivo externo Muchas elecciones de diseño nos permite configurar un punto terminal VPN como un dispositivo que es externo al firewall. Algunos de las opciones de posicionamiento para hardware VPN incluye esto:

• En la DMZ entre el firewall y el border router

• En la screened subnet, fuera de la NIC tercera del firewall

• En la red interna detrás del firewall

• En paralelo con el firewall en el punto de entrada a la red interna NAT es la causa de algunos de los mas frecuentes problemas ocurriendo cuando equipamiento VPN es empleado separadamente del firewall Por ejemplo salida de paquetes que pasan a través del dispositivo VPN antes de ser Nated por el firewall podrían no pasar el chequeo de integridad en el otro Terminal de la conexión VPN si usando un esquema de autenticación, tal como

Página 29 de 41


cabecera de autenticación IPSec (AH). Esto es debido a que AH toma en cuenta las cabeceras de los paquetes cuando cuando este calcula la firma asimilada del mensaje para el paquete. Entonces el dispositivo NAT modifica la dirección fuente del paquete, causando que la verificación asimilada del mensaje falle en la otra conexión final VPN. Otro asunto con dispositivos VPN que están localizados detrás del firewall es la gestión de direcciones; algunas especificaciones VPN requieren que dispositivos VPN sean asignados a una dirección IP legal. Por ejemplo, cuando autenticamos dispositivos VPN usando certificados X.509, la fase IKE de IPsec podría fracasar si los certificados fueran enlazados a cada dirección IP de la compuerta que fueron entonces reescritas por NAT. Posicionar hardware VPN enfrente de el firewall, cercano a Internet, ayuda a evitar problemas con NAT y gestión de direcciones, pero esto podria introducir otras preocupaciones que estan asociadas con todo el empleo NAT. Como tu probablemente conozcas, muchas aplicaciones tales como estas que usan protocolos Microsoft’s Distributed Component Model ( DCOM) no trabaja con ninguna implementación NAT. Esto es debido a que procesadores NAT genéricos traslada direcciones solamente en la cabecera del paquete, aunque algunos protocolos de nivel de aplicación empotran información de direccion en la carga del paquete. Otra desventaja de posicionar dispositivos VPN en frente del firewall es que entonces ellas no pueden aprovechar la protección que el firewall ofrece. Si el sistema que esta sirviendo como punto final VPN esta comprometido, el atacante podría ganar acceso a información cuya confidencialidad esta supuesta a ser protegida por VPN.

6.1.2.2 Firewall and VPN en un único sistema Cuando empleamos un dispositivo que integra funcionalidad VPN y firewall dentro de un mismo sistema, tu probablemente reconoceras alg.un ahorro de coste sobre la solución en la cual los dos dispositivos esta separados. Mayoría de estos ahorros no vendran del costo de empleo inicial debido a VPN funcionalidad sobre un firewall requerira licencias de software adicionales y posiblemente una actualización de hardware. Una solución integrada es generalmente menos cara para mantener aunque debido a que tu tiene menos sistemas que revisar. Uno de los grandes rechazos de una solución integrada es que tu podrías estar limitado en las selecciones que tu puedes hacer con respeto al empleo optimo de tus componentes VPN y firewall. Productos firewall que coinciden mas cercanamente a tus necesidades de negocio podrían no estar bien ajustado a sus componentes VPN. Similarmente, bajo algunas circunstancias tu te beneficiarias de emplear un dispositivo externo VPN especializado, y comprar una solución integrada te bloquearía teniendo componentes VPN y firewall sobre el mismo sistema.

Página 30 de 41


6.1.3 Firewalls multilples Algunos diseños claman por el uso de multiples firewallls para proteger la red . Esto tiene sentido cuando tu quieres proveer diferentes niveles de protección para recursos con diferentes necesidades de seguridad. Tales escenarios podrían devolver el despliegue de firewalls en línea, uno detrás de otro, para segmentar recursos con diferentes requerimientos de seguridad. Firewalls pueden tambien desplegados en paralelo, uno al lado del otro y equidistantes de Internet. Uso de firewalls multiples provee al diseñador con la habilidad de controlar acceso a recursos en una manera de grano fino. Por otra parte costos de configurar y mantener tu red aumentan dramáticamente cuando tu añades mas firewalls.

6.1.3.1 Firewalls en linea Firewalls en linea son empleados uno detrás de otro, y tráfico yendo y viniendo desde Internet podría estar sujetos a restricciones de control de acceso de multiple dispositivos de firewall. Esto no es tan poco común en una configuración como tu podrías pensar. Considere la arquitectura tipica en la cual un simple firewall esta localizado detrás del border router. Si tu usas la funcionalidad de listas de acceso del router para controlar el acceso a los recursos en lugar de hacer solamente filtrado de paquetes básico sobre este, el router esta actuando de una forma muy parecida a un firewall. La idea aquí podría ser tener redundancia en tus accesos a puntos de aplicación; de esta forma si un dispositivo no para trafico malicioso, el que esta detrás podría. Si localización de un dispositivo parecido-firewall apropiado detrás de otro parace un desperdicio, otra configuración en linea presentada en la figura 6.2 podría tener mas sentido. Aqui nosotros tomamos ventaja de las subredes con diferentes niveles de seguridad creadas con firewalls multiples. Mientras mas cerca esta la subred de Internet, menos segura esta es. En tal arquitectura, nosotros podríamos posicionar servidores web detrás del primer firewall, mientras mantenemos mas recursos sensibles tales como servidores de base de datos detrás del segundo firewall. El primer firewall podría ser configurado para permitir tráfico golpear servidores web solamente, mientras el segundo firewall solamente permitiría a servidores web hablar a servidores de base de datos.

Página 31 de 41


Figura 6.2 Cuando utilizamos multiples firewalls en linea, la mayoría la información sensible debe estar contenida dentro del segundo firewall. Uno de los grandes problemas con ambientes incorporando firewalls en linea es el de la manejabilidad. No solo tu necesitas configurar, mantener y monitorizar firewalls multiples, pero tu necesitas soportar multiples politicas de firewall. Si por ejemplo, tu necesitas permitir a un sistema detrás de multiples firewalls conectarse a Internet, tu necesitas recordar modificar conjuntos de reglas de ambos firewalls. Si tu determinas que un dispositivo que esta protegido por firewalls en linea necesita comunicarse directamente con la Internet, tu podrías también considerar reestructurar el diseño de la red para minimizar el numero de firewalls a ser atravesados.

6.1.3.2 Firewalls en paralelo Muchas veces tu podrías estar obligado a configurar firewalls en paralelo uno con el otro. En esta configuración, los firewall protegen recursos con diferentes necesidades de seguridad. Cuando firewalls son configurados en línea, como discutimos en la sección anterior, paquetes que son destinados a los hosts profundizan dentro de la red de la organización podría ser retrasado debido a que ellos necesitan ir a través de varios dispositivos de control de accesos. Con firewalls paralelos, esto no es un asunto significante debido a que firewalls estan equidistantes de Internet. En una configuración paralela, nosotros podemos emplear firewalls que son tuneados cada uno específicamente para recursos que ellos estan protegiendo. Uno de tales escenarios es mostrado en la figura 6.3. Aquí nosotros utilizamos

Página 32 de 41


una compuerta de aplicación y un stateful firewall, cada uno protegiendo un diferente conjunto de sistemas. En este ejemplo, nosotros asumimos que nuestro negocio requiere el uso de robustas capacidades a nivel Proxy de una compuerta de aplicación para proteger sistemas accesibles a Internet tales como servidores web,, SMTP y DNS. Nosotros estuvimos de acuerdo al generalmente lento rendimiento del Proxy firewall para este proposito. Al mismo tiempo nosotros necesitamos la flexibilidad de un stateful firewall para la red corporativa, el cual hosted estaciones de trabajo interna y servidores. Empleando dos diferentes firewalls en paralelo, nosotros podemos tomar ventaja de lo mejor de funciones engendradas que fueron ofrecidas por cada tipo de dispositivo. Al mismo tiempo, nosotros no tenemos el lujo de posicionar un sistema detrás de multiples capas de firewalls, como sería el caso con la configuración en linea . Figura 6.3 empleando firewalls paralelos, retrasos son evitados debido a que firewalls son equidistantes de Internet

Página 33 de 41


7. Caso de estudio: empresa de comercio electrónico Los requerimientos del caso de estudio para la empresa GIAC incluía los siguientes detalles:

• El negocio funcionara enteramente sobre Internet • Ventas esperadas de 200 millones de euros por año

• Tres clases de usuarios externos: clientes que compran,suplidores que

proveen y socios de negocio que venden en el extranjero.

• Dirección de GIAC considera la seguridad un requerimiento fundamental de su negocio. La empresa esta dispuesta a gastar fondos significativos para asegurar que un sistema de seguridad sera desarrollado.

Nosotros podremos extraer los siguientes criterios de diseño:

• El mas importante recurso que esta red debe proteger son los ingresos, las cuales constituyen el capital intelectual de GIAC y los registros de clientes, proveedores y socios de negocio que GIAC debe mantener .

• Todo el negocio de GIAC es generado de su web site

• Proveedores deben poder proveer nuevos ingresos seguramente

• Socios de negocio debe poder accesar ingresos

• La red debe protegerse contra determinados forasteros. Ademas hay

alguna preocupación acerca de ataques lanzados por socios de negocio y proveedores

• Basado en las proyecciones de ventas, GIAC espera ser un site de alto

volumen lo cual debe ser tomado en cuenta para el diseño. El diseño de la red es mostrado al final del capítulo. Este es un buen diseño para asegurar la red propuesta, pero eso no significa que es la unica forma que la red puede ser asegurada. El diseño muestra dos firewall para dividir la red en cinco zonas de seguridad principales. Estas son Internet, la DMZ, la capa Proxy, la red de seguridad y la red interna. Como una forma de organizar esta discusión, nosotros describiremos las caracteristicas de seguridad de cada zona separadamente.

Página 34 de 41


7.1 Internet Esta zona esta sin etiquetar en el diagrama, pero esta es la red formada entre el border router y el firewall externo. Acceso a Internet es provisto por un par de routers para permitir que uno de los routers tome el lugar de otro en el caso de fallo de uno de ellos. Este es el primer ejemplo de las caracteristicas de redundancia que han sido incluidas para tener seguridad en que la disponibilidad de la red es alta. Los routers estan tambien siendo usados para proveer algún filtrado de paquetes . Localizados justo enfrente de los routers estan los border firewalls y dos concentradores VPN. Los concentradores permiten a proveedores, vendedores y empleados establecer conexiones VPN seguras a la red desde Internet. Los concentradores pueden usar tarjetas aceleradoras de hardware para proveer alto rendimiento y soportar varios sistemas de autenticación. Los firewalls proveen la primera y principal restricción de acceso a la red. La regla base es grande debido a la complejidad del diseño. Aquí estan los puntos principales

• Permitir a visitantes externos hojear el cacheflow reverse Proxy. Esta regla permite a los visitantes accesar el web publico de GIAC.

• Permitir a los sitios web publicos conectar a los servidores de base de

datos interno

• Permitir al Proxy Internet conectar a sitios web externos. Esto permite a usuarios internos hojear sitios web sobre Internet

• Permitir correo entrante y saliente de el servidor de correo externo

• Permitir consultas DNS entre la DMZ y Internet.

• Permitir a suplidores, socios y empleados quienes han establecido VPN

con el concentrador alcanzar el servidor drop box FTP

• Permitir a empleados quienes han establecido VPNs con el concentrador alcanzar la red interna GIAC.

• Disminuir todo el otro tráfico no necesario

Usando la regla base, los firewalls bloquearan efectivamente todo menos el tráfico esencial descubierto al entrar en la red GIAC.

Página 35 de 41


7.2 La DMZ Estrictamente hablando esta zona debe ser referida como una screened subnet debido a que este es un segmento de red protegido por un firewall; sin embargo esto no es un área insegura localizada entre dos áreas seguras. La zona tiene todos los servidores que son accesibles a los usuarios externos. Esto incluye los Cacheflow revese proxies , los servidores web publicos, los servidores DNS externos, el servidor de correo externo y el servidor FTP drop box. Cada uno de estos servidores juegan un rol publico para la red GIAC. Esta zona es considerada un segmento de red de alto riesgo. Debido a esto precauciones de seguridad extra han sido implementadas. Para comenzar, todos los servidores han sido fortalecidos removiendo todos los servicios innecesarios y haciendo seguro que todos los servicios restantes esten tan actualizados como sea posible. Después un sensor IDS ha sido localizado en la zona para mirar actividad sospechosa. Si un atacante consigue burlar alguno de los controles de seguridad que tienen lugar, es esperado que este sensor proveera una advertencia suficiente para que el staff responda apropiadamente. Los servidores mas importantes de la zona son los servdores web. El servidor web provee el interface primario entre clientes GIAC y GIAC. Todas las transacciones de ventas son conducidas sobre estos sistemas y entonces registradas en el servidor de la base de datos de la red interna. Para habilitar a los servidores web sigan con el volumen de trafico que es esperado, todos los requerimientos web externos pasan primero a traves de un servidor cachefflow. Los servidores cacheflow estan siendo usados como proxies reverso para todas las conexiones desde Internet a los sites web publicos. Servidores Cacheflow son diseñados para proteger servidores web mientras aceleramos conexiones SSL. Debido al uso de proxies reversos, usuarios externos nunca accedan directamente los servidores web publicos. Debido a que muchos ataques a servidores web requieren una conexión TCP directa al servidor web, emplazar el Proxy entre Internet y el servidor web provee una mejora sustancial de la seguridad. Usando los servidores cacheflow este diseño maximiza rendimiento y disponibilidad de el site web publico de GIAC. Otros servidores sobre la red incluyen DNS, mail y FTP. Cada uno tiene algunos controles de seguridad especificos que son valorables mencionar. Los servidores DNS proveen resolución de nombre para usuarios externos. Esta red usa el concepto de split DNS, así que estos servidores solamente tienen registros para servidores accesibles públicamente . El servidor de correo externo envia y recibe email desde Internet. Este es implementado usando un servidor ejecutando Sendmail. Para prevenir codigo malicioso de entrar en la red via email el servidor corre un software anti-virus. Este software busca cada mensaje de correo entrante o saliente para encontrar virus.

Página 36 de 41


El último servidor sobre DMZ es el servidor FTP drop box. Suplidores, proveedores y empleados usan este sistema para intercambiar ficheros. Debido a las reglas en lugar sobre los border firewalls , este servidor es solamente accesible a usuarios internos o a usuarios que han establecido VPNs a través del concentrador. Además una autenticación username/password es requerida, añadiendo una segunda capa de defensa para proteger el servidor.

7.3 La Capa Proxy La capa Proxy protege sistemas de seguridad de red internos mientras permite a estos sistemas acceder servicios de red localizados sobre otras redes. Este esta directamente en el camino para el resto de la red GIAC, otro sensor snort IDS ha sido posicionado enfrente de esta para mirar tráfico sospechoso. Esto provee alguna defensa extra debiendo un atacante pasar el border firewall. La capa Proxy usa cuatro dispositivos para formar una especie de Proxy firewall. Esto incluye un servidor cacheflow, el servidor de correo interno,un servidor SOCKS y un router bypass. Cada dispositivo permite diferentes tipos de comunicación . Probablemente el mas usado desde el punto de vista de volumen de tráfico es el servidor cacheflow. Similar a el servidor cacheflow usado sobre la DMZ, este servidor proxies peticiones web para la zonas interna y de seguridad de red. Cualquier sistema interno que necesita comunicar a un servidor web debe pasar la petición a través del servidor cacheflow, el cual permite GIAC restringir los web sites que empleados puede acceder mientras protege el sistema de web sites maliciosas. El servidor de correo interno pasa emails dentro y fuera de la red interna. Perimitendo solamente a este sistema enviar y recibir emails desde el servidor mail externo, este diseño limita la exposición de un servidor a un ataque. Además al proxy web que el servidor cacheflow provee, dos servidores SOCKS han sido usados para proveer servicios Proxy para aplicaciones SOCKS-aware. SOCKS es un protocolo basado en standards que realiza proxies de capa de red en la capa de transporte. Este es usado en este diseño para proveer acceso para apliaciones Proxy-aware tales como RealAudio. Localizado justo detrás de la capa Proxy esta el firewall interno, el cual crea las restantes zonas de seguridad. A continuación esta un sumario de las normas base de la capa de Proxy:

Página 37 de 41


• Permitir a la red interna hacer uso de proxies web cacheflow

• Permitir a la red interna enviar y recibir email desde el servidor de correo interno.

• Permitir a los mantenedores del web site registrarse dentro de

sistemas en la DMZ. Esto requiere que el mantenedor se autentique a el firewall para proveer su identidad

• Permitir a la red interna hacer FTP a el servidor FTP drop box

• Permitir a empleados remotos quienes tienen VPN dentro del

concentrador VPN ganar acceso a la red interna.

• Permitir a sistemas sobre la red de seguridad gestionar los dispositivos de seguridad que están localizados a través de la red

Estas normas base pone en su sitio las restricciones que forman la dos zonas de seguridad restantes: la red interna y la red de seguridad

7.4 La Red Interna La red interna tiene todos los sistemas internos. Incluyendo estaciones de trabajo de los empleados y bases de datos GIAC. Esta red contiene una extensa cantidad de información que es valorable para GIAC. Esto sucede por que esta ha sido protegida con muchas capas de defensa.

7.5 La seguridad de la red La seguridad de la red contiene los sistemas que gestionan y monitorizan la seguridad de la red. Dos servidores sobre la red gestionan los dispositivos de seguridad GIAC. Estos servidores deben ser cuidadosamente protegidos debido ellos concederían a un atacante la habilidad para burlar casi todos ls controles de seguridad sobre la red si uno de ellos fuera a ser compometido. Otro sistema sobre la seguridad es el servidor RSA ACE, el cual provee el servicio de autenticación para los tokens Escurrid. El servidor ACE es accesado cuando usuarios VPN entran en el concentrador. Este es también usado por el firewall interno para autenticar los mantenedores del web site antes de permitirles registrarse en la DMZ Después, esta red tiene un sistema que analiza los resultados desde sensores IDS. Todas las alerta que los sensores generan son remitidos a este sistema. Cuando una alerta típica es recibida, la red de seguridad alerta a un administrador de seguridad.

Página 38 de 41


Los últimos dos servidores sobre la red de seguridad centralizan y protegen todos los datos de registro de seguridad que es generado sobre la red. Atacantes no les gusta nada mejor que borrar la evidencia de sus ataques. Moviendo datos de registro a un lugar protegido, nosotros podemos prevenir a atacantes de borrar sus huellas Este diseño es bastante complicado, así que es algo difícil meter tus manos alrededor de todas las características de seguridad. Vamos a resumir algunas de las mejores cualidades del diseño:

• Redundancia extensiva es usada a través de la red.Ningún punto simple de fallo hará caer un servicio de red critico.

• Rendimiento y seguridad en los servidores web son direccionados

usando un reverse proxy para acelerar contenido SSL mientras protegemos los servidores de ataque Internet directo.

• Multiples capas de firewalls crean distintas zonas de seguridad:

Estas zonas agrupan sistemas a nivel de riesgo similares. Esto hace fácil asegurar controles de seguridad apropiados en cada zona

• Mail es escaneado contra virus antes de que este entra o deja la

red. Asumiendo que anti-virus son actualizados, esta es una forma potente de prevenis el compromiso de la red

• Tecnología VPN permite a socios, proveedores y empleados

ganar acceso remoto a recursos internos apropiados. Esto en combinación con firewall, permite a individuos apropiados entrar en la red mientras restringe a ellos al conjunto de servicios

• Todo acceso remoto es fuertemente autenticado a través del uso

de tokens escurrid. Esto es una sustancial mejora sobre autenticación username/password y provee un alto nivel de confianza

Página 39 de 41


Figura 7.1 Arquitectura de red para la empresa GIAC

Página 40 de 41


8. Bibliografia

1. Inside Network Perimeter Security.

Stephen Northcutt, Lenny Zelster y otros Editorial New Riders

2. Firewalls. Jumpstart for Networks and System Administrators

John R. Vacca y Scott R. Ellis Elsevier Digital Press

3. Mission Critical ! Internet Security

Bradley Dunsmore, Joli Annette Ballew y otros Editorial Syngress

Página 41 de 41

Arquitectura de Seguridad - SABIA-Group ::...

Documents

Transcript of Arquitectura de Seguridad - SABIA-Group ::...