Scribd Logo
Carica

Benvenuto in Scribd!

  • Tema 5

    Caricato da

    ainhoazala
    15 visualizzazioni19 pagine

    Titolo originale

    Tema5_

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    15 visualizzazioni19 pagine

    Tema 5

    Caricato da

    ainhoazala

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 19

    Tema 5.

    Topologas de red Seguras


    Mdulo I : Topologas de Red Seguras

    Introduccin
    Definicin de Firewall:
    Firewall o cortafuegos se denomina al elemento de enlace entre dos tramos de Red.

    Intranet

    Internet

    2009 evalues

    Seguridad en Sistemas de Informacin

    Introduccin
    Caractersticas:
    Aparecen entre polticas diferentes de seguridad de red. Define zonas confiables por las que los datos pueden distribuirse sin peligro de su seguridad. Los pueden viajar por ellas sin la necesidad de identificarse a cada momento. Centralizan la poltica de control relativa al acceso a terceras partes, entrada y salida. Permiten separar el problema en dos partes poltica interna frente a poltica de interconexin.
    2009 evalues Seguridad en Sistemas de Informacin

    Elementos Tecnolgicos
    Filtros a nivel de red
    Las redes IP permiten el intercambio de paquetes. Cada conexin TCP o UDP est asociada a un equipo y a un puerto (asociado a un servicio). Controlando los paquetes que van y vienen controlamos los servicios que estn prestando. Un cortafuegos a nivel de red suele incorporarse a un equipo encaminador (router).

    2009 evalues

    Seguridad en Sistemas de Informacin

    Elementos Tecnolgicos
    Direcciones IP de intranet
    Los encaminadores (routers) precisan de direcciones vlidas para ir acercando los paquetes a su destino. La utilizacin de direcciones no vlidas para las intranets favorece:
    A la escasez de direcciones de Internet La seguridad de las mquinas de la intranet.

    De la traduccin a direcciones legales puede hacerse cargo el cortafuegos. (NAT, Network Address Translation, rfc 1631)
    2009 evalues Seguridad en Sistemas de Informacin

    Elementos Tecnolgicos
    NAT
    10.42.6.9 ADDRESS TRANSLATION SYSTEM 192.123.2.5 CLIENTE 1 192.124.2.19

    SERVIDOR 10.42.7.1 CLIENTE 2 INSIDE OUTSIDE

    2009 evalues

    Seguridad en Sistemas de Informacin

    Elementos Tecnolgicos
    PAT
    ADDRESS TRANSLATION 10.42.6.9:1024 SYSTEM 192.123.2.5:2028 CLIENTE 1 192.124.2.5:2027

    SERVIDOR 10.42.7.1:1024 CLIENTE 2 INSIDE OUTSIDE

    2009 evalues

    Seguridad en Sistemas de Informacin

    Elementos Tecnolgicos
    Redes privadas virtuales
    Se trata de canales seguros de comunicacin entre cortafuegos extremos. Establecen un tnel criptogrfico que cifra los datos de salida los cuales son descifrados al llegar al otro extremo. En las RPV se debe notar que:
    Deben protegerse las infidelidades internas. La seguridad de la RPV es la de la red mas insegura de las dos. Los agresores pueden analizar el trfico extremo a extremo.
    2009 evalues Seguridad en Sistemas de Informacin

    Arquitectura de cortafuegos
    Arquitecturas simples
    Internet

    Routes o blocks packets, as determined by sites security policy.

    Screening Router

    Internal Network

    2009 evalues

    Seguridad en Sistemas de Informacin

    Arquitectura de cortafuegos
    Arquitecturas simples
    Internet

    Firewall

    Dual-Homed Hosted

    Internal Network

    2009 evalues

    Seguridad en Sistemas de Informacin

    10

    Arquitectura de cortafuegos
    Tcnicas de defensa en profundidad
    Internet Bastion Host

    Exterior Router

    Perimeter Network Interior Router Internal Network

    Firewall

    2009 evalues

    Seguridad en Sistemas de Informacin

    11

    Arquitectura de cortafuegos
    Tcnicas de defensa en profundidad
    Internet

    Exterior Router
    Perimeter Network 1

    Dual-Homed Host
    Perimeter Network 2

    Firewall

    Interior Router Internal Network

    2009 evalues

    Seguridad en Sistemas de Informacin

    12

    Planificacin de una arquitectura


    La planificacin no es trivial. No es una tarea imposible pero si delicada. Debe fundamentarse en:
    Una poltica de seguridad definida por la corporacin. Determinar los responsables y beneficiarios de los servicios. Ubicacin del cortafuegos. Control y mantenimiento del funcionamiento.

    2009 evalues

    Seguridad en Sistemas de Informacin

    13

    Planificacin de una arquitectura


    Poltica permisiva.
    Permite todo salvo orden Exceso de trfico Problemas debidos a las interacciones de los servicios.

    Poltica prohibitiva.
    Se prohbe todo en principio y luego se van permitiendo poco a poco permisos y servicios.

    2009 evalues

    Seguridad en Sistemas de Informacin

    14

    Seleccin de un cortafuegos
    Fundamentar la decisin en:
    Desarrollo interno del cortafuego. Elegir un producto del mercado. Analizar la carga de trfico para determinar la capacidad del cortafuego. Ubicar el cortafuego en un sistema operativo seguro. Los cortafuegos sin sistema operativo representan un gran avance en seguridad. Interfaz grfica de configuracin. Herramientas de anlisis y registro. Integracin en un sistema SNMP.
    2009 evalues Seguridad en Sistemas de Informacin

    15

    IP Tables
    Slo en Linux, hay paquetes similares para otros sistemas. Robusto y sencillo. Lista de reglas para controlar paquetes:
    Aceptar Denegar Ignorar (denegar sin contestar)

    No permite acceso por usuarios, slo por redes o estaciones.


    2009 evalues Seguridad en Sistemas de Informacin

    16

    iptables
    Habilitar la opcin de forwarding en el kernel. Es un comando del sistema. Es necesario ejecutarlo desde el arranque, pero es reconfigurable en cualquier momento. Establecer una poltica por defecto (acceso o rechazo) y especificar el resto de las normas de acceso por reglas adicionales.

    2009 evalues

    Seguridad en Sistemas de Informacin

    17

    iptables
    Parmetros:
    Tipo de regla:
    Entrada -I, Salida -O, Reenvo -F, Enmascaramiento -M, Registro del trafico A.

    Accin:
    Aceptar, denegar o ignorar.

    Protocolo a controlar:
    ICMP, IP, UDP, TCP o todos.

    Red de origen/destino del paquete y puerto o rango de puertos.

    2009 evalues

    Seguridad en Sistemas de Informacin

    18

    iptables
    Internet 0.0.0.0 196.1.2.*

    Servidor de correo

    Servidor Web

    196.1.2.10

    196.1.2.11

    iptables -F -p deny #denegar todos los accesos. iptables -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.1.2.10 25 #aceptar correo iptables -F -a accept -b -P tcp -S 196.1.2.10 25 -D 0.0.0.0/0 1024:65535 #permitir enviar correo. iptables -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 196.1.2.11 80 #aceptar conexiones a nuestra Web iptables -F -a accept -b -P tcp -S 196.1.2.* 80 -D 0.0.0.0/0 1024:65535 #permitir http a servidores externos iptables -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 196.1.2.0/24 #aceptar trafico DNS. 2009 evalues Seguridad en Sistemas de Informacin

    19

    Potrebbero piacerti anche