Escolar Documentos
Profissional Documentos
Cultura Documentos
ANTECEDENTES
La seguridad basada en Redes IP se ha vuelto de vital importancia ya que es el protocolo por default de las Redes e Internet. La seguridad basada en IP a travs de Firewalls no solo debe de enfocarse en accesos del exterior sino que tambin abarca permisos de salida por parte de la red local y filtrado de contenido. Las Redes basadas en IP pueden ser pblicas y privadas en base a su uso y tambin a su direccionamiento.
24-bit block
16,777,216
single class A
24 bits
20-bit block
1,048,576
16 contiguous class Bs
20 bits
16-bit block
65,536
FIREWALL
Dispositivo de seguridad que puede ser a travs de hardware o software que analiza el trfico de entrada y salida de la red para permitir o bloquear su acceso. El firewall en su funcin primaria es un ruteador ya que permite manejar el trfico de una interfaz hacia otra. El Firewall con proteccin real debe de ser visualizado con mltiples interfaces de red fsica para dividir las zonas de acceso no solo a nivel virtual sino fsico.
DMZ
Zona Desmilitarizada que debe contener los servidores expuestos hacia internet (Web, Correo, Extranet, FTP) Debe contener direcciones IPs privadas de preferencia para hacer el redireccionamiento de IP Pblica a Privada a travs del Firewall.
Zona de Red privada que conforma la red local de la organizacin, puede ser una sola o varias. Cuando se manejan varias zonas LAN pueden ser manejadas a travs de Vlans en forma lgica o bien a travs de zonas independientes de algn puerto del firewall.
Trusted o LAN
Static NAT
Cont.
One-To-Onet NAT
Cuando se mapea una direccin IP Pblica a una direccin Privada en su totalidad con todos los puertos tanto TCP como UDP. Es utilizada en forma comn en la zona de DMZ para exponer servidores. Hoy en da puede provocar problemas si el servidor expuesto no tiene bloqueo de puertos ya que deja expuestos todos los puertos si no hay reglas especficas. Es recomendable cuando se tienen mltiples IPs Pblicas para poder ser redireccionadas a IPs privadas.
Cont.
Cuando solo se tiene una IP Pblica o muy pocas es ms recomendable el manejo de Port Redirect para:
Aprovechar el direccionamiento de la IP a mltiples servicios y direcciones IPs locales.
Cuando se cambia de un puerto externo a un puerto interno diferente es para enmascarar servicios como el ftp. Poner a escuchar servicios en puertos diferentes para confundir al hacker.
Bridge
Cont..
Polticas de Entrada (IN)
Se deben definir las polticas de entrada, generalmente hacen referencia a la zona DMZ donde se tienen los servidores expuestos. En algunas organizaciones las polticas de entrada involucran accesos a computadoras dentro de la zona LAN o Trusted
Ej. Radmin VNC Remote Desktop (Terminal Server)
Cont
Polticas de Salida (OUT)
Se refiere a los permisos de salida o acceso hacia el exterior a los usuarios tanto de la LAN o Trusted como de la DMZ. Incluye puertos de salida que estn configurados para servicios especficos.
Las polticas de salida deben ser cuidadosas tambin para la zona DMZ ya que no se debe permitir salida total a los servidores expuestos, ya que al ser atacados pueden consumir el ancho de banda o ser utilizados de intermediarios para ataques a terceros.
Las Polticas de salida a los usuarios deben de involucrar filtrado de contenido que es solo posible con servicios de tipo Proxy.
Proxy Service.
VPNs
Existen varios tipos de VPN
Branch Office VPN
Comunica 2 sitios completos a travs de un tnel seguro por Internet, pueden viajar varios segmentos de red por dicho tnel. Sirve para ver todos los dispositivos de una red hacia otra y se pueden aplicar reglas especficas.
VPN Cliente.
Sirve para comunicar un solo dispositivo a una Red Completa (PC-Red, Laptop-Red) con un tnel a travs de Internet.
Cont.
En una VPN intervienen llaves de negociacin en Primera y Segunda Fase. Las llaves de encriptacin pueden ser de 64, 128 o 256 bits.
VPN Cliente
El cliente que se conecta a la red completa presenta las siguientes caractersticas:
Se le asigna una IP de la red a la que se conecta con un nateo para que pueda comunicarse en la red. Navega con las restricciones de la red a la que se conecta, en cuanto a salida de Internet con restricciones de Firewall y con comunicacin contra dispositivos de la Red. Puede hacerse de la siguiente forma la conexin.
PPTP VPN Cliente Software (Propietario del fabricante) SSL
VPN (Peer-to-Peer)
Solo permite comunicacin de un dispositivo contra otro.