defensa perimetral
Post on 21-Jul-2015
120 Views
Preview:
TRANSCRIPT
Definición: Establecimiento de un perímetro de seguridad que
proteja y aislé la red local interna y la red local de servicios de las
entradas externas.
Introducción:
La seguridad es todo lo que concierne a asegurar que no ocurran cosas malas. • Alternativa A:
no moverse. •
Alternativa B: moverse, pero con seguridad
Defensa Perimetral
Es relativa ala amenaza que uno afronte
Afecta todos los puntos del sistema
Debe ser fácil de obtener
Debe ser accesible
Debe obtenerse de forma simple
Defensa Perimetral
Aproximación que distingue la parte interna de la externa del sistema.
• Evitando la conexión
• Encapsulando el sistema (VPN)
En sistemas practicables ha de ser selectiva
• El sistema puede establecerse en cada capa de un esquema
arquitectónico orientado en capas
• Puede establecerse por tipos de comunicación
Defensa perimetral
-elementos de seguridad Switch
Routers de selección
Nat
Proxy
Firewall
Router de protección
Host Bastion
dmz(Zona desmitalirizada)
Múltiples subredes seleccionadas
switchLa posibilidad introducida por los switchs de aislar el trafico en diferentes
redes, incluso dentro de un mismo elemento de red con la tecnología de
vlan´s.
Introducida implícitamente características de confidencialidad como mínimo
el no poder desde una subred dada acceder al trafico de otra
“Esta seguridad es de las mas eficientes ya que no introduce carga al sistema”
Routers de selección
(con Filtrado de paquetes)Suele ser el elemento principal de casi todas las configuraciones de seguridad perimetral
Consiste en definir reglas de control acceso en base a reglas estas reglas se aplican en el
orden que han sido guardadas.
Si no se cumple ninguna se da una acción por defecto
Todo lo que no esta permitido explícitamente esta prohibido.
Todo lo que no esta prohibido explícitamente esta permitido.
Router selección
Acciones que pueden realizar
enviar el paquete
Eliminar el paquete desvolviendo un error
Rechazar el paquete devolviendo error
Guardar un registro del evento
Activar una alarma
Modificar el paquete cambiando dirección de puertos o de origen ,destino del
paquete haciendo llamando (nat)
NATEsta técnica se pueden utilizar además para optimización de las direcciones ip
para aislar el trafico de entrada y salida ocultando la configuración de la red.
Nat puede interferir con algunos sistemas de encriptación y autentificación
Nat puede interferir con el propio sistema de filtrado de paquetes por lo que se
debe ser muy cauteloso con el uso e integración con el resto de los mecanismos
PROXYEste tipo de aplicación presenta la ventaja de que se dispone de mayor control
de que con nat permitiendo filtros inteligentes.
Se pueden establecer reglas en función de usuarios y contenido.
Además también proporcionan mecanismos de cache aunque los routers de
selección son mas eficientes
InconvenienteAdemás del menor ancho de banda con respecto al nat que dependen del
servicio(Debe existir un proxy por cada servicio)
Para solucionar esto se crea socks es una aplicación independiente que realiza
la misma función proxy.
http://en.flossmanuals.net/bypassing-es/proxis-socks/
FirewallSe entiende por firewall a una arquitectura de seguridad de red en la que se
sitúan diversos elementos para controlar el trafico de entrada y salida a una
organización
En un firewall intervienen 3 elementos además router y proxy
Host bastión
Host de Base Dual
RED perimetral O zona Neutra
Router de protección Es la configuración mas simple y barata y consiste en el empleo de un
router de selección para filtrar el trafico de entrada y salida a la red área
local
Host de base dualUtiliza como mecanismo de conexión entre la red interna y la externa un host con dos
interfaces de red una conectada a la red local interna y otra a la red exterior .
en el host la opción de encaminamiento debe de desactivarse para que las peticiones
externas dirigida ala red interna o a las peticiones originadas en la red local y destinadas a
la exterior pasen por la aplicación proxy
Host BastiónEsta configuración intervienen dos componentes: router de selección y host
bastión con una aplicación proxy.
El en caminador se sitúa en la conexión entre las red local y la red externa
filtrando el trafico de tal forma que solo permite entrada y salida de paquetes
dirigidos al host bastión(Se sitúa una aplicación proxy que realiza el filtro a nivel
aplicaccion)
Host Bastión
Ventaja
DE la combinación de la arquitectura de host dual y de router seleccionado, se
pueden realizar filtros complejos.
Desventaja
Tanto el router como el host bastion son puntos únicos de fallos
DmzEn seguridad informática, una zona desmilitarizada (conocida también como DMZ, sigla en
inglés de demilitarized zone) ored perimetral es una red local que se ubica entre la red
interna de una organización y una red externa, generalmente enInternet. El objetivo de
una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas,
mientrasque en general las conexiones desde la DMZ solo se permitan a la red externa los
equipos (hosts) en la DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la
vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los
equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un
callejón sin salida.
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos
desde fuera, como servidores de correo electrónico, Web y DNS.
Múltiples subredes seleccionadas
En algunas configuraciones de barreras de protección, tanto la red externa no
confiable como la red interna pueden tener acceso a una red aislada; sin
embargo, ningún tráfico de red puede fluir entre ambas redes a través de la red
aislada.
El aislamiento de la red se lleva a cabo mediante una combinación de routers de
selección configurados de manera adecuada. Dicha red se conoce como red
seleccionada
Múltiples subredes seleccionadas
Como la única manera de tener acceso a la subred seleccionada es mediante el firewall,
es bastante difícil que el intruso viole esta subred. Si la invasión viene por Internet, el
intruso debe volver a configurar el enrutamiento en Internet, la subred seleccionada y la
red interna para tener libre acceso ( lo cual se logra con dificultad si los routers permiten
el acceso sólo a los servidores específicos ).
Si alguien violara al firewall , el intruso forzaría su entrada hacia uno de los anfitriones en
la red interna y después el router, para tener acceso a la subred seleccionada. Este tipo
de invasión de tipo aislamiento es difícil de lograr sin desconectarse o sin activar alguna
alarma.
top related