Defensa perimetral

download Defensa perimetral

of 21

  • date post

    21-Jul-2015
  • Category

    Internet

  • view

    103
  • download

    5

Embed Size (px)

Transcript of Defensa perimetral

Defensa perimetral

Defensa perimetralPOR : Gonzalo Negrete MontaoDefinicin: Establecimiento de un permetro de seguridad que proteja y aisl la red local interna y la red local de servicios de las entradas externas.

Introduccin:La seguridad es todo lo que concierne a asegurar que no ocurran cosas malas. Alternativa A: no moverse. Alternativa B: moverse, pero con seguridad

Defensa PerimetralEs relativa ala amenaza que uno afronteAfecta todos los puntos del sistemaDebe ser fcil de obtenerDebe ser accesibleDebe obtenerse de forma simple

Tipos de AmenazasA la privacidadA la IntegridadA la disponibilidad

Defensa PerimetralAproximacin que distingue la parte interna de la externa del sistema.Evitando la conexinEncapsulando el sistema (VPN)En sistemas practicables ha de ser selectivaEl sistema puede establecerse en cada capa de un esquema arquitectnico orientado en capasPuede establecerse por tipos de comunicacin

Defensa perimetral-elementos de seguridadSwitchRouters de seleccinNatProxyFirewallRouter de proteccinHost Bastiondmz(Zona desmitalirizada)Mltiples subredes seleccionadas

switchLa posibilidad introducida por los switchs de aislar el trafico en diferentes redes, incluso dentro de un mismo elemento de red con la tecnologa de vlans.Introducida implcitamente caractersticas de confidencialidad como mnimo el no poder desde una subred dada acceder al trafico de otra

Esta seguridad es de las mas eficientes ya que no introduce carga al sistema

Routers de seleccin(con Filtrado de paquetes)Suele ser el elemento principal de casi todas las configuraciones de seguridad perimetralConsiste en definir reglas de control acceso en base a reglas estas reglas se aplican en el orden que han sido guardadas.Si no se cumple ninguna se da una accin por defectoTodo lo que no esta permitido explcitamente esta prohibido.Todo lo que no esta prohibido explcitamente esta permitido.

Router seleccinAcciones que pueden realizarenviar el paqueteEliminar el paquete desvolviendo un errorRechazar el paquete devolviendo errorGuardar un registro del eventoActivar una alarmaModificar el paquete cambiando direccin de puertos o de origen ,destino del paquete haciendo llamando (nat)

NATEsta tcnica se pueden utilizar adems para optimizacin de las direcciones ip para aislar el trafico de entrada y salida ocultando la configuracin de la red.Nat puede interferir con algunos sistemas de encriptacin y autentificacin

Nat puede interferir con el propio sistema de filtrado de paquetes por lo que se debe ser muy cauteloso con el uso e integracin con el resto de los mecanismos

PROXY

Este tipo de aplicacin presenta la ventaja de que se dispone de mayor control de que con nat permitiendo filtros inteligentes.Se pueden establecer reglas en funcin de usuarios y contenido.Adems tambin proporcionan mecanismos de cache aunque los routers de seleccin son mas eficientes

InconvenienteAdems del menor ancho de banda con respecto al nat que dependen del servicio(Debe existir un proxy por cada servicio)Para solucionar esto se crea socks es una aplicacin independiente que realiza la misma funcin proxy.

http://en.flossmanuals.net/bypassing-es/proxis-socks/

FirewallSe entiende por firewall a una arquitectura de seguridad de red en la que se sitan diversos elementos para controlar el trafico de entrada y salida a una organizacin

En un firewall intervienen 3 elementos adems router y proxyHost bastinHost de Base DualRED perimetral O zona Neutra

Router de proteccin Es la configuracin mas simple y barata y consiste en el empleo de un router de seleccin para filtrar el trafico de entrada y salida a la red rea local

Host de base dualUtiliza como mecanismo de conexin entre la red interna y la externa un host con dos interfaces de red una conectada a la red local interna y otra a la red exterior .en el host la opcin de encaminamiento debe de desactivarse para que las peticiones externas dirigida ala red interna o a las peticiones originadas en la red local y destinadas a la exterior pasen por la aplicacin proxy

Host BastinEsta configuracin intervienen dos componentes: router de seleccin y host bastin con una aplicacin proxy.El en caminador se sita en la conexin entre las red local y la red externa filtrando el trafico de tal forma que solo permite entrada y salida de paquetes dirigidos al host bastin(Se sita una aplicacin proxy que realiza el filtro a nivel aplicaccion)

Host BastinVentaja DE la combinacin de la arquitectura de host dual y de router seleccionado, se pueden realizar filtros complejos.DesventajaTanto el router como el host bastion son puntos nicos de fallosDmzEnseguridad informtica, unazona desmilitarizada(conocida tambin comoDMZ, sigla en ingls dedemilitarized zone) ored perimetrales unaredlocal que se ubica entre la red interna de una organizacin y una red externa, generalmente enInternet. El objetivo de unaDMZes que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientrasque en generallas conexiones desde laDMZsolo se permitan a la red externa los equipos (hosts) en laDMZno pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.LaDMZse usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de correo electrnico,WebyDNS.

Mltiples subredes seleccionadas

En algunas configuraciones de barreras de proteccin, tanto la red externa no confiable como la red interna pueden tener acceso a una red aislada; sin embargo, ningn trfico de red puede fluir entre ambas redes a travs de la red aislada. El aislamiento de la red se lleva a cabo mediante una combinacin de routers de seleccin configurados de manera adecuada. Dicha red se conoce como red seleccionada

Mltiples subredes seleccionadasComo la nica manera de tener acceso a la subred seleccionada es mediante el firewall, es bastante difcil que el intruso viole esta subred. Si la invasin viene por Internet, el intruso debe volver a configurar el enrutamiento en Internet, la subred seleccionada y la red interna para tener libre acceso ( lo cual se logra con dificultad si los routers permiten el acceso slo a los servidores especficos ). Si alguien violara al firewall , el intruso forzara su entrada hacia uno de los anfitriones en la red interna y despus el router, para tener acceso a la subred seleccionada. Este tipo de invasin de tipo aislamiento es difcil de lograr sin desconectarse o sin activar alguna alarma.