06 May
Red Desmilitarizada (DMZ):
Parte de la red que aloja servicios accesibles desde el
Exterior.
Un Cortafuegos conecta selectivamente dos o más redes entre sí, de manera Que permitirá o denegará el tráfico entre ellas. Puede actuar en distintas Capas del modelo TCP/IP.
-Cortafuegos de Puente:
Es El que actúa en el nivel de enlace y basa su filtrado en carácterísticas de Capa 2, como la MAC.
-Cortafuegos de Filtrado de paquetes
Basa sus reglas en carácterísticas de capa de red.
-Cortafuegos de Estado:
actúan en la Capa de trasporte, y basan sus reglas en información de esta capa: números de Puerto, protocolo TCP o UDP o icmp, etc.
-Proxies:
Estos cortafuegos actúan en la capa de aplicación orientados A aplicaciones específicas.
**Tipos de Filtrado
-Filtrado Estático:
Consiste En aceptar o rechazar un paquete en función de la información de su cabecera:
-La dirección ip de origen o destino
-El puerto de origen o destino identifica un servicio.
-Los protocolos de capa 4: TCP, UDP, icmp.
-Los flags de la cabecera TCP: SYN, ACK, etc.
En Este tipo de router hay dos políticas Generales de seguridad:
1. Política
Restrictiva o de lista blanca, consiste en denegar todo el tráfico excepto
Aquel que explícitamente se acepta.
2.
Una política
Permisiva o de lista negra, consiste en aceptar todo el tráfico excepto el que
Se deniega explícitamente.
Este tipo de filtrado tiene algunos inconvenientes:
-Hay servicios cuyo puerto de conexión no está estandarizado O que usa un rango de puertos.
-No soporta autentificación de usuarios
-Algunos servicios, como el FTP en modo activo, no se prestan A este tipo de filtrado.
-Filtrado Dinámico:
En Este tipo las reglas se crean y se destruyen dinámicamente, y las decisiones de Filtrado se basan no solamente en reglas predefinidas, sino también en los Paquetes que anteriormente pasaron por el cortafuegos.
**Tipos de Cortafuegos
-Cortafuegos de Filtrado estático:
Usan Exclusivamente el filtrado estático
-Cortafuegos de Inspección de estado:
Utiliza todas Las técnicas de filtrado que hemos visto anteriormente, el cortafuegos mantiene Una tabla en la que registra el estado de las conexiones activas, tienen una Determinada caducidad y se eliminan automáticamente. Estos cortafuegos Inspeccionan el primer paquete de una conexión, si este aceptado, entonces Todos los paquetes también lo son. Estos cortafuegos pueden también permitir la Identificación de los usuarios que establecen las conexiones.
-Proxies:
Son cortafuegos que actúan exclusivamente en la capa de
Aplicación.
Hay 2 tipos
-Pasarelas de nivel de aplicación:
En Estas el usuario establece una conexión al proxy por un puerto y una ip, el Proxy puede pedir identificación. Establece dos conexiones distintas: usuario con el proxy y proxy con el servidor Al que quiere conectar el usuario. Durante este proceso de intermediación el Proxy puede realizar labor de filtrado (cookies, malware, etc.). Cada Aplicación requiere una pasarela distinta.
-Pasarelas de nivel de circuito:
En este caso a Todos los servicios se accede por un único puerto y la pasarela lo único que Hace es trasladar fielmente la conexión que hace el cliente al servidor.
**DMZ (zona desmilitarizada)
Es Aquel territorio entre potencias donde no se permite la actividad militar. Este Término se usa en informática para designar la parte fronteriza de la red que Se sitúa entre la red externa y la interna. Es parte de la red local y Responsabilidad del administrador del sistema, pero tiene la particularidad de Que se permiten conexiones a ella desde la red interna y la red externa, pero Desde ella solo podemos conectarnos a la red exterior.
**Tipos de DMZ
-Host de interfaz múltiple
Consiste en tener un bastión con varias interfaces de Red, de manera que cada una de ellas este conectada a una red física diferente. Una de estas interfaces comunica con la red exterior y es el bastión el que Tiene que asegurar la red o redes internas de los ataques externos.
-Host apantallado
Esta topología se basa en hacer que todas las Conexiones del Router lleven hacia el bastión que se encargara de filtrarlas. Cualquier nodo que quiera comunicar con el exterior debe pasar por el bastión. Cabe así dos posibilidades: que el bastión solo tenga una interfaz de red y por Tanto la interfaz interna del Router y otros nodos de la red estén físicamente En la misma red o que el bastión tenga dos interfaces y se pueda separar la red Routerbastion de la red bastión del resto de nodos. La configuración más segura Es la segunda pues si el atacante se hace con el control del Router aun tendrá Que atravesar el bastión para poder acceder al resto de nodos.
-Subred apantallada:
es parecida al modelo anterior pero la red interna Está separada físicamente por otro Router interno. El bastión puede tener una o Dos interfaces.
**Sistemas de detección de intrusos
La misión de estos sistemas es la detección de ataques a través de la monitorización bien del trafico de red o de los sistemas operativos y aplicaciones de las maquinas que componen la red
. Fases de este sistema:
-Identificación del ataque –Registro de eventos –Bloqueo del ataque –Aviso a los administradores
La diferencia fundamental entre este sistema (IDS) y un cortafuegos es que los primeros son pasivos: no interfieren en el tráfico de red, sino que se limitan a analizar el tráfico en busca de alguno que sea sospechoso. Para llegar a la conclusión de que hay trafico sospechoso, compara el tráfico real con patrones de tráfico establecidos previamente. En realidad hay dos tipos de IDS: los pasivos (detectan y registran el evento) y los activos (que además reaccionan). Es posible que al comparar el tráfico real con patrones clasifique como trafico malicioso trafico que no lo es o que deje pasar como trafico legitimo trafico que es malicioso por esto algunas IDS incorporan la capacidad de aprender de sus propios errores.
Clasificación
Pueden clasificarse atendiendo a distintos criterios
-Según su enfoque: – de detección de anomalías -de detección de intrusos –híbridos
-Según el origen de sus datos: -de red (NIDS) –de hosts (HIDS)
-Según su estructura: -centralizados – Distribuidos (DIDS)
-Según su reacción ante el ataque: – activos – pasivos
Dispositivos adicionales de seguridad
-Honeypot o tarro de miel
Sistemas configurados expresamente para atraer ataques y recoger información sobre ellos. Puede ser sistemas totalmente simulados y en otros casos sistemas reales que no se dedican a la producción. Como los honeypots no son sistemas de producción posiblemente el único tráfico de entrada que reciban sea tráfico de ataques y actúe como complemento a un IDS.
-UTM (gestión unificada de amenazas
: Sistema que integra en un único dispositivo un conjunto de soluciones de seguridad perimetral. Por lo general incluyen cortafuegos de capa de aplicación, IDS, VPN, sistemas antivirus y antispam. Pueden implementarse por hardware o por software.
Deja un comentario