La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Criptografía y Seguridad de Datos Protección de redes: Cortafuegos

Publicada porMaría Cristina Toro Rey Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Criptografía y Seguridad de Datos Protección de redes: Cortafuegos"— Transcripción de la presentación:

1 Criptografía y Seguridad de Datos Protección de redes: Cortafuegos
Carlos Figueira. Universidad Simón Bolívar Basado en láminas del Profesor Henric Johnson ( Carlos Figueira

2 Contenido Principios de Diseño de Cortafuegos (Firewall)
Características Tipos de cortafuegos Configuraciones Carlos Figueira

3 Cortafuegos Medios efectivos para proteger sistemas y redes locales de ataques a la seguridad a través de la red, garantizando acceso controlado desde el exterior a través de Internet o Red de Área Ancha Carlos Figueira

4 Contexto usual Los sistemas de información evolucionan desde pequeñas redes locales a conectividad a Internet No se establecen medidas de seguridad sólidas para las estaciones de trabajo y los servidores Carlos Figueira

5 Principios de Diseño El cortafuegos se inserta entre la red interna (Intranet) e Internet Objetivos: Establecer un enlace controlado Proteger la red interna de ataques desde Internet Proveer un punto estratégico (único) de defensa Carlos Figueira

6 Características Metas de diseño:
Todo tráfico desde/hacia la Intranet debe pasar por cortafuegos, bloqueando físicamente todo acceso a la red interna excepto a través del cortafuegos Sólo se permite el paso del tráfico autorizado (definido por las políticas de seguridad locales) Carlos Figueira

7 Características Metas de diseño:
El cortafuegos mismo es inmune a penetraciones Puede hacer uso de sistemas confiables con un sistema de operación confiable Carlos Figueira

8 Características 4 técnicas generales, basadas en control de: servicios
dirección usuario comportamiento Carlos Figueira

9 Características Control de Servicios
Determina los tipos de servicios de la organización que pueden ser accedidos desde Internet (e incluso desde la Intranet) Control de Dirección Determina dirección (entrada o salida) en que se permite flujo de solicitudes de servicios Carlos Figueira

10 Características Control de Usuario
Controla acceso a un servicio según quien lo solicita Control de Comportamiento Controla cómo se usan algunos servicios particulares (p.e. Filtro de correo electrónico) Carlos Figueira

11 Tipos de Cortafuegos Enrutadores (routers) de filtrado de paquetes
Pasarelas (gateways) a nivel de aplicación Pasarelas a nivel de circuito Bastiones Carlos Figueira

12 Enrutador de filtro de paquetes
Carlos Figueira

13 Enrutador de filtro de paquetes
Aplica un conjunto de reglas a cada paquete IP entrante, el cual es encaminado o descartado Filtra paquetes en ambas direcciones Típicamente se establece como una lista de reglas basadas en correspondencia de patrones en los encabezados IP o TCP Dos políticas por defecto: descartar o encaminar Carlos Figueira

14 Enrutador de filtro de paquetes
Ventajas: Simplicidad Transparencia para usuarios Alta velocidad Desventajas: Dificultad para crear reglas Falta de Autenticación Carlos Figueira

15 Enrutador de filtro de paquetes
Posibles ataques Suplantar direcciones IP (por una IP interna) Solución: eliminar paquetes con direcciones internas que vienen de afuera Ataques de encaminamiento de fuente Solución: eliminar paquetes que usan esta opción Carlos Figueira

16 Enrutador de filtro de paquetes
Posibles ataques Fragmentos muy pequeños El encabezado TCP queda repartido en varios fragmentos, fallan los filtros basados en encabezados TCP Solución: eliminar paquetes con protocolo TCP y desplazamiento pequeño (p.e., 1) Carlos Figueira

17 Pasarelas a nivel de aplicación
Carlos Figueira

18 Pasarelas a nivel de aplicación
También llamadas servidores intermedios (proxy server) Funciona como un relevo (pivot) del tráfico a nivel de aplicación Carlos Figueira

19 Pasarelas a nivel de aplicación
Ventajas: Más seguro que filtro de paquetes Sólo revisa unas pocas aplicaciones permitidas Fácil de llevar registros y se audita todo el tráfico entrante Desventajas: Sobrecarga de procesamiento en cada conexión Carlos Figueira

20 Pasarela a nivel de circuito
Carlos Figueira

21 Pasarela a nivel de circuito
Sistemas dedicados o funciones especializadas realizadas por una pasarela a nivel de aplicación Establece dos conexiones TCP La pasarela típicamente reenvía segmentos TCP de una conexión a otra sin examinar los contenidos Carlos Figueira

22 Pasarela a nivel de circuito
La función de seguridad consiste en determinar las conexiones que serán permitidas Se usa típicamente cuando el administrador confía en los usuarios internos Un ejemplo es el paquete SOCKS Requiere versiones especiales de las aplicaciones Carlos Figueira

23 Bastión Sistema identificado por el cortafuegos como un punto crítico fuerte en la seguridad de la red El anfitrión bastión sirve como una plataforma de pasarela a nivel de aplicación y a nivel de circuito Se le aplican medidas especiales de seguridad (hardening) In computing, hardening is usually the process of securing a system by reducing its surface of vulnerability. A system has a larger vulnerability surface the more that it does; in principle a single-function system is more secure than a multipurpose one. Reducing available vectors of attack typically includes the removal of unnecessary software, unnecessary usernames or logins and the disabling or removal of unnecessary services. There are various methods of hardening Unix and Linux systems. This may involve, among other measures, applying a patch to the kernel such as Exec Shield or PaX; closing open network ports; and setting up intrusion-detection systems, firewalls and intrusion-prevention systems. There are also hardening scripts and tools like Bastille Linux, JASS [1] for Solaris systems and Apache/PHP Hardener [2] that can, for example, deactivate unneeded features in configuration files or perform various other protective measures. Carlos Figueira

24 Configuraciones de Cortafuegos I
Sistema cortafuego con bastión conectado a una sola red Carlos Figueira

25 Configuraciones de Cortafuegos I (cont.)
El Cortafuegos es una máquina robusta de protección (bastión), conectada a una sola red Consiste de dos sistemas: Un enrutador que filtra paquetes Un bastión Carlos Figueira

26 Configuraciones de Cortafuegos I (cont.)
Configuración del enrutador que filtra paquetes: Sólo se permite el paso de paquetes desde y hacia el bastión El bastión realiza autenticación y funciones de intermediario (proxy) Carlos Figueira

27 Configuraciones de Cortafuegos I (cont.)
Mayor seguridad que las configuraciones simples debido a que: Implementa filtros de paquete y de nivel de aplicación, simultáneamente, permitiendo flexibilidad al definir las políticas de seguridad El intruso debe generalmente penetrar dos sistemas separados Carlos Figueira

28 Configuraciones de Cortafuegos I (cont.)
Esta configuración también provee flexibilidad, al ofrecer acceso directo a Internet (p.e., un servidor Web) Carlos Figueira

29 Configuraciones de Cortafuegos II
Sistema de bastión conectado a dos redes Carlos Figueira

30 Configuraciones de Cortafuegos II (cont.)
El enrutador que filtra paquetes no compromete a la red El tráfico entre Internet y las máquinas de la red privada tiene que fluir a través del bastión Carlos Figueira

31 Configuraciones de Cortafuegos III
Sistema cortafuegos con bastión entre dos filtros de paquetes DMZ Carlos Figueira

32 Configuraciones de Cortafuegos III (cont.)
La más segura de las tres Se usan dos enrutadores filtro de paquetes Creación de una red aislada (Intranet) y una “Zona desmilitarizada” (DMZ) Carlos Figueira

33 Configuraciones de Cortafuegos III (cont.)
Ventajas: Tres niveles de defensa contra intrusos El enrutador externo publica en Internet sólo la existencia de la subred monitoreada (la red interna es invisible a Internet) Carlos Figueira

34 Configuraciones de Cortafuegos III (cont.)
Ventajas: El enrutador interno publica sólo la existencia de la subred monitoreada a las red interna (los sistemas en la red interna no pueden construir rutas directas a Internet) Carlos Figueira

35 Tarro de miel (honeypot)
Sistema colocado como trampa para atraer ataques Se ubica en la zona desmilitarizada Objetivo: Desviar los ataques de los sistemas y redes reales Aprender estrategias de ataques Carlos Figueira

Descargar ppt "Criptografía y Seguridad de Datos Protección de redes: Cortafuegos"

Presentaciones similares

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.

Seguridad en Internet Cortafuegos/Proxy Lizbeth Huamantuma H.
Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral

Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
FIREWALL.

FIREWALL.
FIREWALLS.

FIREWALLS.
66.69 Criptografía y Seguridad Informática FIREWALL.

66.69 Criptografía y Seguridad Informática FIREWALL.
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.

© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
Proxy Sistemas Operativos y Servicios de Internet U3. P RINCIPALES S ERVICIOS DE I NTERNET.

Proxy Sistemas Operativos y Servicios de Internet U3. P RINCIPALES S ERVICIOS DE I NTERNET.
DISPOSITIVOS DE INTERCONEXIÓN DE REDES

DISPOSITIVOS DE INTERCONEXIÓN DE REDES
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Elementos básicos de la seguridad perimetral Luis Alfonso Sánchez Brazales.

UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Elementos básicos de la seguridad perimetral Luis Alfonso Sánchez Brazales.
WWW. WIRELESS WIFI Wireless-Fidelity Es un mecanismo de conexión de dispositivos electrónicos de forma inalámbrica.

WWW. WIRELESS WIFI Wireless-Fidelity Es un mecanismo de conexión de dispositivos electrónicos de forma inalámbrica.
FIREWALL.

FIREWALL.
Arquitectura de cortafuegos

Arquitectura de cortafuegos
UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.

UD 3: “Implantación de técnicas de seguridad remoto. Seguridad perimetral.” Arquitecturas de cortafuegos Luis Alfonso Sánchez Brazales.
Arquitecturas de cortafuegos Gabriel Montañés León.

Arquitecturas de cortafuegos Gabriel Montañés León.
Arquitecturas de cortafuegos:

Arquitecturas de cortafuegos:
FIREWALLS, Los cortafuegos

FIREWALLS, Los cortafuegos
Arquitecturas de cortafuegos. 1.CORTAFUEGO DE FILTRADO DE PAQUETES. Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes,

Arquitecturas de cortafuegos. 1.CORTAFUEGO DE FILTRADO DE PAQUETES. Un firewall sencillo puede consistir en un dispositivo capaz de filtrar paquetes,

Presentaciones similares

Anuncios Google