Arquitectura de Seguridad

Slides:



Advertisements
Presentaciones similares
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.
Advertisements

Hardware y Software de servidor
SEGURIDAD EN REDES DE DATOS
Switches, routers, hubs & “patch panels”
Introducción a servidores
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
Aplicación informática. formando parte de una red. pone sus recursos a disposición de las demás computadoras(clientes) de la red. Maneja información.
DIRECT ACCESS.
Ing. Horacio Carlos Sagredo Tejerina
Tema 5 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Seguridad en Granjas Web Defense in Depth Universidad de los Andes Colombia 2002 Mario Enrique Santoyo Santoyo.
Conozca la nueva solución para sus problemas de seguridad…
TIPOS DE SERVIDORES 4/2/2017 3:29 PM
Publicación del sitio web en internet
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Almacenamiento virtual de sitios web: «Hosts» virtuales Gustavo Antequera Rodríguez.
Tema 4 – Cortafuegos Punto 1 – Cortafuegos Juan Luis Cano.
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
(VIRTUAL PRIVATE NETWORK)
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
FIREWALL.
Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
ESQUEMAS BASICOS DE RED
Auditoría de Sistemas y Software
FIREWALLS.
Existen dos tipos básicos de redes VPN:
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
LISTAS DE CONTROL DE ACCESO (ACL)
Utilidades de seguridad del sistema
66.69 Criptografía y Seguridad Informática FIREWALL.
Desarrollo de aplicaciones para ambientes distribuidos
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
Aspectos básicos de networking: Unidad 5
LOGO Not Another Dynamic DNS Claudia Codriansky / Francisco Castillo.
DIDACTIFICACION DE IPv6 00. IPv6 in IPv4. Introducción a IPv6 Para explicar este mecanismo veremos lo que es un Broker y como funciona. También mostraremos.
DISPOSITIVOS DE INTERCONEXIÓN DE REDES
 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)
Elementos básicos de la seguridad perimetral
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Elementos básicos de la seguridad perimetral Luis Alfonso Sánchez Brazales.
COLEGIO DE BACHILLERES N° 16 PLANTEL TLAHUAC “MANUEL CHAVARRIA CHAVARRIA”
Instalacion de redes locales
Políticas de defensa en profundidad: - Defensa perimetral
FIREWALL.
Modelo de 3 capas.
N A T Network Address Translation.
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
Políticas de defensa en profundidad
Estructura del Sistemas Operativos por su Estructura
Elementos básicos de la seguridad perimetral: - Concepto de seguridad perimetral. - Objetivos de la seguridad perimetral. - Perímetro de la red: *
Protocolos del modelo TCP/IP
Gabriel Montañés León.  El sistema de nombres de dominio (DNS, Domain Name System) se diseñó originalmente como un protocolo. Antes de considerar qué.
Arquitectura de cortafuegos
DESARROLLO DE APLICACIONES PARA AMBIENTES DISTRIBUÍDOS ALUMNOS: MARIANA MIGNÓN RÉDING CARLOS ANTONIO CARRASCO MARTÍNEZ PROFESOR: DR. JOSÉ BERNARDO PARRA.
Luis Villalta Márquez Servicios SFTP/SCP. SFTP SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo.
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Políticas de defensa en profundidad
Arquitecturas de cortafuegos Gabriel Montañés León.
Arquitecturas de cortafuegos:
Almacenamiento virtual de sitios web: «Hosts» virtuales
Servidores. ¿Qué es un servidor? Servidor de Aplicación Servidor de impresión Servidor de base de datos Servidor de correo Servidor de Internet Servidor.
¿Qué es un ? El correo electrónico o fue una de las primeras aplicaciones creadas para Internet y de las que más se utilizan. Éste medio.
Arquitecturas de cortafuegos. 1.CORTAFUEGO DE FILTRADO DE PAQUETES. Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes,
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
QUÉ ES UN SERVIDOR WEB?. Un servidor web o servidor HTTP es un programa informático que procesa una aplicación del lado del servidor, realizando conexiones.
Conociendo el modelo Cliente-Servidor
Conociendo el modelo Cliente-Servidor. Introducción En el mundo de TCP/IP las comunicaciones entre computadoras se rigen básicamente por lo que se llama.
Sistemas de Comunicación Magistral Nro. 6 Capa 3: Red La Capa de Red provee principalmente los servicios de envío, enrutamiento (routing) y control de.
Transcripción de la presentación:

Arquitectura de Seguridad Manuel Casal Peteiro

Indice Introducción Fundamentos de seguridad perimetral Fundamentos de diseño

Introducción El objetivo de este trabajo es el diseño, utilización y mantenimiento de una arquitectura de red confiable Proteger una red no es una tarea fácil; esta requiere del conocimiento de distintas tecnologías y como se relacionan unas con otras. Es por ello que comenza- remos la exposición breve de los diferentes compo-nentes que configuran una arquitectura de red luego veremos como integrar estos dispositivos uno con otro para proporcionar un todo unificado.

Fundamentos Seguridad Perimetral El perimetro Es la frontera fortificada de nuestra red e incluye: Routers Firewalls IDS VPN Arquitectura Software DMZ y screened subnets

Border router Los routers son los policías de tráfico. Ellos dirigen el trafico hacia dentro hacia fuera o en el interior de nuestras propias redes. El border router es el último router que tu controlas antes de internet. Debido a que todo el tráfico interno va a través de este router este funciona como el principio de una red y la ultima linea de defensa a través del filtro inicial y final.

Firewall Es un dispositivo que tiene un conjunto de reglas especificas que determina cual tráfico se permite y cual se deniega. Un firewall recoge todo lo que el border router abandona y hace una pasada mas minuciosa para filtrar el tráfico. Existen diferentes tipos de firewall tales como: static packet filter, stateful firewalls y Proxy firewalls

IDS Un IDS es como un sistema de alarmas de ladrones para tu red que es usado para detectar una alerta sobre eventos maliciosos. El sistema puede estar compuesto de muchos y diferentes sensores posicionados en puntos estratégicos en tu red. Existen dos tipos de sensores: basados en red (NIDS ) y basados en hosts (HIDS). Frecuentemente residen en subredes que esta conectadas directamente al firewall, así como en puntos críticos de la red interna.

VPN Una VPN ( Red Privada Virtual ) es una sesión de red protegida formada a través de canales no protegidos, tale como Internet. Frecuentemente nos referimos a un VPN en términos del dispositivo sobre el perímetro que permite la sesión encriptada. Una VPN permite a un usuario participar en la red interna como si estuviera conectado directamente a esta. Muchas organizaciones, tienen un falso sentido de la seguridad en cuanto a su acceso remoto debido a que ellos tiene una VPN. Si un agresor compromete la máquina de un usuario legitimo una VPN puede dar a este agresor un canal encriptado dentro de la red.

DMZ y Screened Subnets Nosotros usamos los términos DMZ y screened subnet en referencia a una red pequeña conteniendo servicios públicos que son conectados directamente a y desde la protección ofrecida por el firewall u otro dispositivo de filtrado. Una DMZ y una screened subnet son diferentes aunque mucha gente utiliza estos términos intercambiablemente

DMZ y Screened Subnets El término DMZ se origino en la guerra de corea cuando una franja de tierra en el paralelo 38 esta fuera de los limites militarmente hablando. Una DMZ es un area insegura entre areas seguras. Justo como la DMZ en Corea estaba enfrente de cualesquiera defensas, la DMZ cuando es aplicada a redes esta fuera del firewall

DMZ y Screened Subnets Un firewall o un dispositivo comparable protegido del tráfico protege a una screened subnet que es conectada directamente a este. Recuerde: Una DMZ esta enfrente de un firewall, mientras una screened subnet esta detrás de un firewall. Note la diferencia en la siguiente figura Una screened subnet es un red aislada que esta conectada a un interface dedicado de un firewall u otro dispositivo de filtrado. La screened subnet es frecuentemente usada para segregar servidores que necesitan ser accesibles desde internet de sistemas que son usados unícamente por usuarios de la organización.

DMZ y Screened subnets

DMZ y Screened Subnets En la Screened subnet tipícamente residen servicios públicos incluyendo DNS, mail y la web. A nosotros nos gustaría pensar estos servidores como bastion Hosts Una bastion es una posición bien fortificada. Cuando es aplicada a hosts dentro de la red, fortificación envuelve fortalecer el sistema operativo y las aplicaciones de acuerdo a buenas practicas.

Defensa en profundidad La seguridad de la red es como una cebolla. Cuando tu desconchas la capa superior algo permanece bajo esta. La defensa en profundidad ayuda a proteger recursos de la red aun si una de las capas esta protegida. Nosotros operamos en un mundo real de desconfiguraciones, software bugs, empleados disgustados y sobrecarga de administradores de sistemas. Además cualquier diseño de seguridad practico necesita acomodarse a las necesidades del negocio.

Defensa en profundidad Esto quizá requiera de nosotros abrir ciertos puertos firewall, dejar servicios adicionales ejecutandose en el servidor o prevenirnos de aplicar el último parche de seguridad Que exactamente una defensa en profundidad supone? La repuesta es: El perimetro La red Interna El factor humano

Proxy firewall Un servidor proxy se ejecuta sobre un dual-homed bastion host y soporta uno a mas protocolos de internet ( ver figura en pagina siguiente ). Bastion hosts son sistemas fortalecidos que son configurados para funciones de accesabilidad en Internet. Una compuerta dual-homed consiste de un sistema de hosts con dos interfaces de red una para la red interna protegida y otra para la red externa. Estos hosts no permiten el tráfico directo entre redes y pueden ser usados para realizar logging y funciones de auditoría sobre el tráfico.

Proxy Firewall

Proxy Firewalls Este tipo de servicios/servidores proveen funcionalidad para usuarios internos y externos mientras están fuera del perímetro de la red Interna. La figura de la página siguiente provee una ilustración de servidores múltiples fuera de una red protegida. Idealmente un bastion host sería usado para direccionar un servicio proxy, el principio de separación de la seguridad. Ninguna cuenta de usuario compilador o programas deben estar en los bastion host. Ademas cualquier servicio no usado debe ser deshabilitado.

Proxy firewalls

Fundamentos de diseño El diseño consiste en a partir de una red desde cero valorando la resistencia de una infraestructura existente, determinando donde pones un dispositivo de seguridad o decidir si emplear uno despues de todo. Esta parte se concentra en los pros y contras del diseño del perimetro de seguridad. Para cumplir tal objetivo tu necesitas determinar: Que recursos deben ser protegidos Contra quien tu te estas protegiendo Cuales son las necesidades de tu negocio Cuales son tus necesidades politicas

Fundamentos de diseño Decidirnos por una arquitectura de defensa en particular es una tarea complicada y gratificante que requiere tomar decisiones difíciles donde la funcionalidad y la seguridad tienden a estar reñidas una con la otra. Tomar decisiones de diseño de seguridad envuelve resolver conflictos que incorporan aspectos de la red y de la infraestructura de aplicaciones tales como utilidad, confiabilidad, manejabilidad y coste.

Firewall y Router El firewall y el router son dos de los componentes de seguridad perimetral mas comunes. A continuación nos concentraremos sobre la relación entre el router y el firewall y veremos varias configuraciones. En la página siguiente ilustra una de las formas mas comunes de emplear un router y un firewall juntos. La subnet corporativa hosts “Sistemas Privados” usados por los usuarios internos y la Screened Subnet “Servidores publicos” que necesitan ser accesibles desde internet

Firewall y router

Firewall y VPN Firewalls son generalmente responsables de controlar el acceso a los recursos y dispositivos VPN son responsables de asegurar enlaces de comunicación entre hosts o redes. Examinar como VPNs interactuan con firewall es importante por varias razones: Traducción de direcciones de red NAT podría ser incompatible con algunas implementaciones VPN dependiendo de la arquitectura de red.

Firewall y VPN VPNs podrían crear tuneles a través de tu perimetro lo que haría dificil para el firewall asegurar restricciones de acceso sobre trafico encriptado Puntos finales VPN tienen acceso a datos con texto claro debido a que dispositivos VPN son los unicos que decriptan o autentican este VPNs protegiendo la confidencialidad de datos encriptados pueden ser usados para pasar por IDS sin ser detectados.

Firewalls Multiples Algunos diseños reclaman el uso de múltiples firewalls para proteger la red. Esto tiene sentido cuando tu quieres proveer diferentes niveles de protección para recursos con diferentes necesidades de seguridad. Tales escenarios podrían ser firewalls en línea, uno de tras de otro para segmentar recursos con diferentes requerimientos de seguridad o en paralelo una al lado del otro y equidistantes de Internet. Los costos de configurar y mantener la red aumentan dramáticamente cuando se añaden mas firewalls

Firewalls en linea Este tipo de arquitectura no es poco común en una configuración. Considere la arquitectura típica en la cual un simple firewall esta situado detrás del border router. Si tu utilizas la funcionalidad de las listas de acceso del router para controlar el acceso a los recursos en lugar del filtrado de paquetes básico, el router esta actuando de forma parecida a un firewall. Si la localización de un dispositivo parecido a un firewall parece un desperdicio. Otra configuración en línea presentada en la figura de la pagina siguiente tiene mas sentido.

Firewalls en linea

Firewalls en paralelo Muchas veces se podría estar obligado a configurar firewalls en paralelo uno con el otro. En esta configuración, los firewalls protegen recursos con diferentes necesidades de seguridad. Cuando los firewalls son configurados en linea los paquetes que son destinados a los hosts dentro de la organización podrían ser retrasados debido a que necesitan ir a través de varios dispositivos de control de acceso. Con firewalls paralelos, esto no es un asunto significante debido a que los firewalls estan equidistantes de Internet.

Firewalls en paralelo En una configuración paralela nosotros podemos emplear firewalls que son tuneados cada uno especifícamente para recursos que ellos estan protegiendo. Uno de tales escenarios se muestra en la página siguiente. Aquí mostramos una compuerta de aplicación y un stateful firewall cada uno protegiendo un conjunto diferente de sistemas.

Firewalls en paralelo

Firewalls en paralelo En este ejemplo nosotros asumimos que nuestro negocio requiere el uso de robustas capacidades a nivel proxy de una compuerta de aplicación para proteger sistemas accesibles a Internet tales como servidores web, SMTP y DNS. Al mismo tiempo nosotros necesitamos la flexibilidad de un stateful firewall para la red corporativa, constituida por estaciones de trabajo y servidores.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.