Download - Defensa perimetral

Transcript

Defensa perimetralPOR : Gonzalo Negrete Montaño

Definición: Establecimiento de un perímetro de seguridad que

proteja y aislé la red local interna y la red local de servicios de las

entradas externas.

Introducción:

La seguridad es todo lo que concierne a asegurar que no ocurran cosas malas. • Alternativa A:

no moverse. •

Alternativa B: moverse, pero con seguridad

Defensa Perimetral

Es relativa ala amenaza que uno afronte

Afecta todos los puntos del sistema

Debe ser fácil de obtener

Debe ser accesible

Debe obtenerse de forma simple

Tipos de Amenazas A la privacidad

A la Integridad

A la disponibilidad

Defensa Perimetral

Aproximación que distingue la parte interna de la externa del sistema.

• Evitando la conexión

• Encapsulando el sistema (VPN)

En sistemas practicables ha de ser selectiva

• El sistema puede establecerse en cada capa de un esquema

arquitectónico orientado en capas

• Puede establecerse por tipos de comunicación

Defensa perimetral

-elementos de seguridad Switch

Routers de selección

Nat

Proxy

Firewall

Router de protección

Host Bastion

dmz(Zona desmitalirizada)

Múltiples subredes seleccionadas

switchLa posibilidad introducida por los switchs de aislar el trafico en diferentes

redes, incluso dentro de un mismo elemento de red con la tecnología de

vlan´s.

Introducida implícitamente características de confidencialidad como mínimo

el no poder desde una subred dada acceder al trafico de otra

“Esta seguridad es de las mas eficientes ya que no introduce carga al sistema”

Routers de selección

(con Filtrado de paquetes)Suele ser el elemento principal de casi todas las configuraciones de seguridad perimetral

Consiste en definir reglas de control acceso en base a reglas estas reglas se aplican en el

orden que han sido guardadas.

Si no se cumple ninguna se da una acción por defecto

Todo lo que no esta permitido explícitamente esta prohibido.

Todo lo que no esta prohibido explícitamente esta permitido.

Router selección

Acciones que pueden realizar

enviar el paquete

Eliminar el paquete desvolviendo un error

Rechazar el paquete devolviendo error

Guardar un registro del evento

Activar una alarma

Modificar el paquete cambiando dirección de puertos o de origen ,destino del

paquete haciendo llamando (nat)

NATEsta técnica se pueden utilizar además para optimización de las direcciones ip

para aislar el trafico de entrada y salida ocultando la configuración de la red.

Nat puede interferir con algunos sistemas de encriptación y autentificación

Nat puede interferir con el propio sistema de filtrado de paquetes por lo que se

debe ser muy cauteloso con el uso e integración con el resto de los mecanismos

PROXYEste tipo de aplicación presenta la ventaja de que se dispone de mayor control

de que con nat permitiendo filtros inteligentes.

Se pueden establecer reglas en función de usuarios y contenido.

Además también proporcionan mecanismos de cache aunque los routers de

selección son mas eficientes

InconvenienteAdemás del menor ancho de banda con respecto al nat que dependen del

servicio(Debe existir un proxy por cada servicio)

Para solucionar esto se crea socks es una aplicación independiente que realiza

la misma función proxy.

http://en.flossmanuals.net/bypassing-es/proxis-socks/

FirewallSe entiende por firewall a una arquitectura de seguridad de red en la que se

sitúan diversos elementos para controlar el trafico de entrada y salida a una

organización

En un firewall intervienen 3 elementos además router y proxy

Host bastión

Host de Base Dual

RED perimetral O zona Neutra

Router de protección Es la configuración mas simple y barata y consiste en el empleo de un

router de selección para filtrar el trafico de entrada y salida a la red área

local

Host de base dualUtiliza como mecanismo de conexión entre la red interna y la externa un host con dos

interfaces de red una conectada a la red local interna y otra a la red exterior .

en el host la opción de encaminamiento debe de desactivarse para que las peticiones

externas dirigida ala red interna o a las peticiones originadas en la red local y destinadas a

la exterior pasen por la aplicación proxy

Host BastiónEsta configuración intervienen dos componentes: router de selección y host

bastión con una aplicación proxy.

El en caminador se sitúa en la conexión entre las red local y la red externa

filtrando el trafico de tal forma que solo permite entrada y salida de paquetes

dirigidos al host bastión(Se sitúa una aplicación proxy que realiza el filtro a nivel

aplicaccion)

Host Bastión

Ventaja

DE la combinación de la arquitectura de host dual y de router seleccionado, se

pueden realizar filtros complejos.

Desventaja

Tanto el router como el host bastion son puntos únicos de fallos

DmzEn seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en

inglés de demilitarized zone) ored perimetral es una red local que se ubica entre la red

interna de una organización y una red externa, generalmente enInternet. El objetivo de

una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas,

mientrasque en general las conexiones desde la DMZ solo se permitan a la red externa los

equipos (hosts) en la DMZ no pueden conectar con la red interna.

Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la

vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los

equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que

quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un

callejón sin salida.

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos

desde fuera, como servidores de correo electrónico, Web y DNS.

Múltiples subredes seleccionadas

En algunas configuraciones de barreras de protección, tanto la red externa no

confiable como la red interna pueden tener acceso a una red aislada; sin

embargo, ningún tráfico de red puede fluir entre ambas redes a través de la red

aislada.

El aislamiento de la red se lleva a cabo mediante una combinación de routers de

selección configurados de manera adecuada. Dicha red se conoce como red

seleccionada

Múltiples subredes seleccionadas

Como la única manera de tener acceso a la subred seleccionada es mediante el firewall,

es bastante difícil que el intruso viole esta subred. Si la invasión viene por Internet, el

intruso debe volver a configurar el enrutamiento en Internet, la subred seleccionada y la

red interna para tener libre acceso ( lo cual se logra con dificultad si los routers permiten

el acceso sólo a los servidores específicos ).

Si alguien violara al firewall , el intruso forzaría su entrada hacia uno de los anfitriones en

la red interna y después el router, para tener acceso a la subred seleccionada. Este tipo

de invasión de tipo aislamiento es difícil de lograr sin desconectarse o sin activar alguna

alarma.