Qu informacin se necesita obtener?

Las siglas DMZ que significan Demilitarized Zone, es el servidor de seguridad interno y la red interna que incorpora segmentos de red para los servidores de infraestructura, los servidores de bases de datos y administracin, y los servidores corporativos. Una red de rea de almacenamiento (SAN, Storage Area Network) se encarga de centralizar el almacenamiento e implementar una solucin de copia de seguridad y restauracin a alta velocidad que no interfiera con la red de produccin. DMZ La zona desmilitarizada (DMZ) se encuentra entre la red de permetro y la red interna, y est separada de ellas por servidores de seguridad a ambos lados. Esta red contiene servidores que proporcionan dos grupos bsicos de servicios. El primero es el servicio Web de aplicaciones para el usuario, formado por servidores en los que se ejecuta Internet Information Server (IIS). Este grupo ofrece los servicios Web fundamentales y se comunica con los clientes de Internet a travs de los protocolos de transporte estndar de Internet, como HTTP o HTTPS. Estos servidores se renen en clsteres con el servicio Equilibrio de la carga en la red. El segundo grupo de servidores proporciona servicios de red como el Sistema de nombres de dominio (DNS, Domain Naming System). Todos los servidores de la red DMZ tambin pueden comunicarse con recursos internos, como los servidores de bases de datos y otros componentes adicionales que formen parte de la red interna. Cules son las caractersticas de una Zona Militarizada? Filtrado de paquetes a cualquier zona La accin de filtrar paquetes es bloquear o permitir el paso a los paquetes de datos de forma selectiva, segn van llegando a una interfaz de red. Los criterios que usa pf para inspeccionar los paquetes los toma de la informacin existente en la capa Layer 3 (IPv4 y IPv6) y en la capa Layer 4 (TCP, UDP, ICMP, y ICMPv6) de las cabeceras de los paquetes. Los criterios que ms se utilizan son los de la direccin de origen y de destino, el puerto de origen y de destino, y el protocolo.Las reglas de filtrado especifican los criterios con los que debe concordar un paquete y la accin a seguir, bien sea bloquearlo o permitir que pase, que se toma cuando se encuentra una concordancia. Las reglas de filtrado se evalan por orden de secuencia, de la primera a la ltima. A menos que el paquete concuerde con una regla que contenga la clave quick, se evaluar el paquete comparndolo con todas las reglas de filtrado antes de decidir una accin final. La ltima regla que concuerde ser la ganadora y la que dictamine qu accin se tomar con el paquete. Al principio del grupo de reglas de filtrado hay un pass all implcito que indica que si algn paquete no concuerda con ninguna de las reglas de filtrado, la accin a seguir ser pass, o sea permitirle el paso. NAT, Mapero Bidireccional La Traduccin de Direcciones de Red, o NAT (Network Address Translation), es un sistema que se utiliza para asignar una red completa (o varias redes) a una sola direccin IP. NAT es necesario cuando la cantidad de direcciones IP que nos haya asignado nuestro proveedor de Internet sea inferior a la cantidad de ordenadores que queramos que accedan a Internet. NAT nos permite aprovechar los bloques de direcciones reservadas que se describen en el RFC 1918. Generalmente, una red interna se suele configurar para que use uno o ms de estos bloques de red. Estos bloques son: 10.0.0.0/8 (10.0.0.0 - 10.255.255.255) 172.16.0.0/12 (172.16.0.0 - 172.31.255.255) 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)

Cuando los paquetes pasan a travs de la pasarela de NAT, son modificados para que parezca que se han originado y provienen de la misma pasarela de NAT. La pasarela de NAT registra los cambios que realiza en su tabla de estado, para as poder: a) invertir los cambios en los paquetes devueltos, y b) asegurarse de que los paquetes devueltos pasen a travs del firewall y no sean bloqueados. Se puede establecer una asignacin de tipo bidireccional usando la regla binat. Una regla binat establece una asignacin de uno por uno entre la direccin IP interna y la direccin externa. Esto puede ser til, por ejemplo, para colocar un servidor de web en la red interna con su propia direccin IP externa. Las conexiones desde Internet hacia la direccin externa se traducirn a la direccin interna, y las conexiones desde el servidor de web (como los requerimientos de DNS) se traducirn a la direccin externa. Colas de trfico y Prioridad Poner algo en cola es almacenarlo en orden, a la espera de ser procesado. En una red de computadoras, cuando se envan paquetes desde un servidor, stos entran en un sistema de colas en el que permanecen hasta ser procesados por el sistema operativo. Entonces el sistema operativo decide qu cola debe procesar y qu paquete o paquetes de dicha cola. El orden en el que el sistema operativo selecciona los paquetes que va a procesar puede afectar al rendimiento de la red. Pongamos por ejemplo un usuario que estuviera ejecutando dos aplicaciones de red: SSH y FTP. Lo ideal sera procesar los paquetes de SSH antes que los de FTP, por la propia naturaleza de SSH; cuando se pulsa una tecla en el cliente SSH se espera obtener una respuesta inmediata, mientras que un retraso de unos pocos segundos en una transferencia por FTP pasa casi inadvertido. Pero, qu ocurrira si el enrutador que maneja estas conexiones procesara una gran parte de paquetes de la conexin de FTP antes de procesar la conexin de SSH? Los paquetes de la conexin de SSH se quedaran en la cola (o incluso seran rechazados por el enrutador si la cola no fuera lo suficientemente grande como para mantener todos los paquetes) y podra parecer que hay retrasos en la sesin de SSH, o que va muy lenta. Al modificar la estrategia de la cola en uso, las diversas aplicaciones, usuarios y ordenadores pueden compartir bastante bien el ancho de banda de la red. El scheduler es lo que decide qu colas hay que procesar y en qu orden deben ser procesadas. Por definicin, OpenBSD usa un scheduler tipo FIFO (el primero en entrar es el primero en salir). Una cola FIFO funciona como la cola de un supermercado o la de un banco, en donde el primer producto de la cola es tambin el primero que se procesa. Segn van llegando nuevos paquetes, stos se van aadiendo al final de la cola. Si la cola se llena, los nuevos paquetes que vayan llegando van siendo bloqueados. Esto se conoce como tail-drop. Salidas redundantes / balanceo de carga Una reserva de direcciones es un grupo de dos o ms direcciones cuyo uso comparten un grupo de usuarios. Una reserva de direcciones puede aparecer como la direccin de redireccin en las reglas rdr, como la direccin de traduccin en las reglas nat y como la direccin de destino en las opciones route-to, reply-to, y dup-to de las reglas de filtrado de paquetes. Filtrado de contenido (web-cache) La ventaja del caching consiste en que cuando varios clientes solicitan el mismo objeto, este puede proporcionrseles desde el cach de disco. De este modo, los clientes obtiene los datos mucho ms rpidamente que si lo hicieran desde Internet y se reduce al mismo tiempo el volumen de transferencias en red.

Adems del caching, Squid ofrece mltiples prestaciones tales como la definicin de jerarquas de servidores proxys para distribuir la carga del sistema, establecer estrictas reglas de control de acceso para los clientes que quieran acceder al proxy, permitir o denegar el acceso a determinadas pginas web con ayuda de aplicaciones adicionales o producir estadsticas sobre las pginas webs ms visitadas y por tanto sobre los hbitos de navegacin del usuario. Monitoreo de trfico en interfaces via netflow Inicialmente due diseado para las rutas en los switch. Netflow es ahora latecnologa mas utilizada para llevar la contablidad de red, Contesta las preguntas del trafico, Quin, Qu, Cmo, Cuando y Donde. Define 7 llaves nicas: Direccin IP Origen Direccin IP Destino Puerto Origen Puerto Destino Tipo de protocolo (Paca 3 Byte de TOS Interce Lgica Qu problemtica se puede generar?

Esta arquitectura de cortafuegos elimina los puntos nicos de fallo presentes en las anteriores: antes de llegar al bastin (por definicin, el sistema ms vulnerable) un atacante ha de saltarse las medidas de seguridad impuestas por el enrutador externo. Si lo consigue, como hemos aislado la mquina bastin en una subred estamos reduciendo el impacto de un atacante que logre controlarlo, ya que antes de llegar a la red interna ha de comprometer tambin al segundo router; en este caso extremo (si un pirata logra comprometer el segundo router), la arquitectura DMZ no es mejor que un screened host. Por supuesto, en cualquiera de los tres casos (compromiso del router externo, del host bastin, o del router interno) las actividades de un pirata pueden violar nuestra seguridad, pero de forma parcial: por ejemplo, simplemente accediendo al primer enrutador puede aislar toda nuestra organizacin del exterior, creando una negacin de servicio importante, pero esto suele ser menos grave que si lograra acceso a la red protegida.

Aunque, como hemos dicho antes, la arquitectura DMZ es la que mayores niveles de seguridad puede proporcionar, no se trata de la panacea de los cortafuegos. Evidentemente existen problemas relacionados con este modelo: por ejemplo, se puede utilizar el firewall para que los servicios fiables pasen directamente sin acceder al bastin, lo que puede dar lugar a un incumplimiento de la poltica de la organizacin. Un segundo problema, quizs ms grave, es que la mayor parte de la seguridad reside en los routers utilizados; como hemos dicho antes las reglas de filtrado sobre estos elementos pueden ser complicadas de configurar y comprobar, lo que puede dar lugar a errores que abran importantes brechas de seguridad en nuestro sistema. Cules son las soluciones que se pueden proponer? DdMZ ofrece una solucin a las limitaciones de las soluciones de seguridad tradicionales, como es la arquitectura DMZ, piedra angular de la seguridad de red desde los 90. Esta arquitectura gestiona la red de una manera global,(el DMZ separa con firewalls el mundo externo a la empresa - supuestamente seguro-), y delimita entre ellos una zona intermedia para los servidores Internet (El mismo DMZ, incluyendo servidores web y mail). Si esta solucin se adaptaba bien en el pasado cuando las compaas tenan solo una conexin frontal de cara al mundo externo, se muestra ahora claramente insuficiente en un mundo completamente conectado, donde cada departamento de negocio y cada aplicacin tiene diferentes necesidades de seguridad y conectividad. Hoy, Bull Evidian proporciona una solucin y una arquitectura innovadoras: DdMZ (Distributed dedicated Militarized Zones). DdMZ asocia dos conjuntos de soluciones para asegurar una proteccin de red reforzada: - Una proteccin completa de los servidores y de las redes, mediante un software innovador para proteger cada servidor individualmente, adems de los tradicionales "firewalls". - Un motor de administracin de procesos de negocio, que permiten utilizar los "firewalls" y los servidores para dividir la red interna de la compaa en diferentes zonas de seguridad: marketing, financiero, I+D... RESUMEN EJECUTIVO La seguridad de las redes internas como externas, debe estar bien administrada, por lo que es necesario que se haga una segmentacin de acuerdo a las necesidades de cada cliente. Es por eso que es importante que se tenga bien definido la forma en como la red va a ser segmentada. Una de las partes de la cual la red debe segmentarse es la DMZ (Desmilitary Zone), la cual se encuentra entre la red de permetro y la red interna, y est separada de ellas por servidores de seguridad a ambos lados. Una DMZ (del ingls Demilitarized zone) o Zona DesMilitarizada. En seguridad informtica, una zona desmilitarizada (DMZ) o red perimetral es una red local (una subred) que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ's dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida. La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS.Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).