Estrategias de Seguridad Perimetral: Elementos, Defensa y Cortafuegos

Seguridad Perimetral: Elementos Esenciales, Defensa en Profundidad y Cortafuegos

Elementos Básicos de la Seguridad Perimetral

Conjunto de sistemas que ofrecen servicios a la red externa. Si no se dispone de red perimetral, la red tendrá las siguientes características negativas:

• Red plana sin segmentación
• Publica al exterior servicios internos
• Sistemas de monitorización de red desactivados
• Sin políticas de filtrado de tráfico
• Malware y correo sin verificar
• Acceso directo a los servicios

La Seguridad Perimetral: Características Clave

Características:

• Rechazo de conexiones desde clientes externos
• Discrimina diferentes tipos de tráfico
• Selecciona el tráfico procedente hacia los nodos
• Único punto de conexión con el exterior
• Redirecciona tráfico de entrada
• Oculta servicios vulnerables
• Oculta información de características de la red interna

Componentes de la Seguridad Perimetral

Perímetro: Frontera fortificada de la red. Incluye encaminadores, cortafuegos, IDS, VPN, DMZ y subnetting.

Bastión: Servidor expuesto que publica servicios.

Router Frontera: El más externo de la red, en contacto directo con Internet, realiza filtrado de tráfico.

Cortafuegos: Aplica reglas de filtrado, se ubica entre dos o más redes, es el único punto de análisis y operación, similar a un router frontera.

IDS (Sistema de Detección de Intrusiones): Sensores en la red interna que detectan posibles ataques. Reconocimiento de patrones de información o secuencia de acciones. Tipos: NIDS (Network Intrusion Detection System) y HIDS (Host Intrusion Detection System).

VPN (Red Privada Virtual): Tecnología que permite sesiones de red protegidas. Dispositivos ubicados en el perímetro con sesiones cifradas.

DMZ (Zona Desmilitarizada): Porción de red que aloja servicios accesibles al exterior. Servidores de Internet. Se ubica delante del cortafuegos corporativo para evitar la desprotección con arquitecturas DMZ.

Screened Subnets: Detrás del cortafuegos corporativo. Modelo de host apantallado, un bastión centraliza comunicaciones y subred apantallada que añade cortafuegos entre bastión e interna.

Defensa en Profundidad en la Red Perimetral

Tres aspectos básicos:

• Seguridad perimetral
• Seguridad de la red interna: cortafuegos, antivirus, actualizaciones, etc.
• Factor humano: política de seguridad corporativa, concienciación de seguridad, gestión de incidencias, etc.

El Cortafuegos: Componente Crítico

Basados en proxy-Aplicación, presentación. Con estado-Transporte. Red-Filtrado paquetes. Tunel/VPN-Enlace, físico.

Filtrado de Paquetes Estático (Sin Estado o Stateless)

Es el modo de filtrado más básico en un cortafuegos que rechaza o acepta los paquetes en función de algunos campos:

• La dirección IP origen
• El número de puerto al que se dirige
• Los campos de la cabecera (TCP, UDP)
• Los flags de la cabecera TCP (SYN, ACK)

Muy común en routers frontera. Los paquetes siguen las reglas de las ACL (Access Control List) o RACL (Router Access Control List). CISCO e ipchains son ejemplos.

Dos Modos de Configuración de Reglas:

• Política restrictiva: Se deniega por defecto todo el tráfico salvo el que se acepta explícitamente. ACL de aceptación.
• Política permisiva: Se acepta todo el tráfico salvo el que se deniega explícitamente. ACL de denegación.

Problemas del Filtrado Estático:

• IPs fáciles de enmascarar
• Servicios y aplicaciones usan puertos no estandarizados
• El paquete IP admite fragmentación que se presta a ataques
• Algunos servicios necesitan más que el filtrado de paquetes (FTP)
• Una vez ganado el acceso, la red interna queda expuesta
• No soporta nodos de autentificación de usuarios robustos