Estrategias de Seguridad Perimetral: Elementos, Defensa y Cortafuegos

Clasificado en Informática

Escrito el en español con un tamaño de 4,21 KB

Seguridad Perimetral: Elementos Esenciales, Defensa en Profundidad y Cortafuegos

Elementos Básicos de la Seguridad Perimetral

Conjunto de sistemas que ofrecen servicios a la red externa. Si no se dispone de red perimetral, la red tendrá las siguientes características negativas:

  • Red plana sin segmentación
  • Publica al exterior servicios internos
  • Sistemas de monitorización de red desactivados
  • Sin políticas de filtrado de tráfico
  • Malware y correo sin verificar
  • Acceso directo a los servicios

La Seguridad Perimetral: Características Clave

Características:

  • Rechazo de conexiones desde clientes externos
  • Discrimina diferentes tipos de tráfico
  • Selecciona el tráfico procedente hacia los nodos
  • Único punto de conexión con el exterior
  • Redirecciona tráfico de entrada
  • Oculta servicios vulnerables
  • Oculta información de características de la red interna

Componentes de la Seguridad Perimetral

Perímetro: Frontera fortificada de la red. Incluye encaminadores, cortafuegos, IDS, VPN, DMZ y subnetting.

Bastión: Servidor expuesto que publica servicios.

Router Frontera: El más externo de la red, en contacto directo con Internet, realiza filtrado de tráfico.

Cortafuegos: Aplica reglas de filtrado, se ubica entre dos o más redes, es el único punto de análisis y operación, similar a un router frontera.

IDS (Sistema de Detección de Intrusiones): Sensores en la red interna que detectan posibles ataques. Reconocimiento de patrones de información o secuencia de acciones. Tipos: NIDS (Network Intrusion Detection System) y HIDS (Host Intrusion Detection System).

VPN (Red Privada Virtual): Tecnología que permite sesiones de red protegidas. Dispositivos ubicados en el perímetro con sesiones cifradas.

DMZ (Zona Desmilitarizada): Porción de red que aloja servicios accesibles al exterior. Servidores de Internet. Se ubica delante del cortafuegos corporativo para evitar la desprotección con arquitecturas DMZ.

Screened Subnets: Detrás del cortafuegos corporativo. Modelo de host apantallado, un bastión centraliza comunicaciones y subred apantallada que añade cortafuegos entre bastión e interna.

Defensa en Profundidad en la Red Perimetral

Tres aspectos básicos:

  • Seguridad perimetral
  • Seguridad de la red interna: cortafuegos, antivirus, actualizaciones, etc.
  • Factor humano: política de seguridad corporativa, concienciación de seguridad, gestión de incidencias, etc.

El Cortafuegos: Componente Crítico

Basados en proxy-Aplicación, presentación. Con estado-Transporte. Red-Filtrado paquetes. Tunel/VPN-Enlace, físico.

Filtrado de Paquetes Estático (Sin Estado o Stateless)

Es el modo de filtrado más básico en un cortafuegos que rechaza o acepta los paquetes en función de algunos campos:

  • La dirección IP origen
  • El número de puerto al que se dirige
  • Los campos de la cabecera (TCP, UDP)
  • Los flags de la cabecera TCP (SYN, ACK)

Muy común en routers frontera. Los paquetes siguen las reglas de las ACL (Access Control List) o RACL (Router Access Control List). CISCO e ipchains son ejemplos.

Dos Modos de Configuración de Reglas:

  • Política restrictiva: Se deniega por defecto todo el tráfico salvo el que se acepta explícitamente. ACL de aceptación.
  • Política permisiva: Se acepta todo el tráfico salvo el que se deniega explícitamente. ACL de denegación.

Problemas del Filtrado Estático:

  • IPs fáciles de enmascarar
  • Servicios y aplicaciones usan puertos no estandarizados
  • El paquete IP admite fragmentación que se presta a ataques
  • Algunos servicios necesitan más que el filtrado de paquetes (FTP)
  • Una vez ganado el acceso, la red interna queda expuesta
  • No soporta nodos de autentificación de usuarios robustos

Entradas relacionadas: