Estrategias de Seguridad Perimetral: Elementos, Defensa y Cortafuegos
Clasificado en Informática
Escrito el en español con un tamaño de 4,21 KB
Seguridad Perimetral: Elementos Esenciales, Defensa en Profundidad y Cortafuegos
Elementos Básicos de la Seguridad Perimetral
Conjunto de sistemas que ofrecen servicios a la red externa. Si no se dispone de red perimetral, la red tendrá las siguientes características negativas:
- Red plana sin segmentación
- Publica al exterior servicios internos
- Sistemas de monitorización de red desactivados
- Sin políticas de filtrado de tráfico
- Malware y correo sin verificar
- Acceso directo a los servicios
La Seguridad Perimetral: Características Clave
Características:
- Rechazo de conexiones desde clientes externos
- Discrimina diferentes tipos de tráfico
- Selecciona el tráfico procedente hacia los nodos
- Único punto de conexión con el exterior
- Redirecciona tráfico de entrada
- Oculta servicios vulnerables
- Oculta información de características de la red interna
Componentes de la Seguridad Perimetral
Perímetro: Frontera fortificada de la red. Incluye encaminadores, cortafuegos, IDS, VPN, DMZ y subnetting.
Bastión: Servidor expuesto que publica servicios.
Router Frontera: El más externo de la red, en contacto directo con Internet, realiza filtrado de tráfico.
Cortafuegos: Aplica reglas de filtrado, se ubica entre dos o más redes, es el único punto de análisis y operación, similar a un router frontera.
IDS (Sistema de Detección de Intrusiones): Sensores en la red interna que detectan posibles ataques. Reconocimiento de patrones de información o secuencia de acciones. Tipos: NIDS (Network Intrusion Detection System) y HIDS (Host Intrusion Detection System).
VPN (Red Privada Virtual): Tecnología que permite sesiones de red protegidas. Dispositivos ubicados en el perímetro con sesiones cifradas.
DMZ (Zona Desmilitarizada): Porción de red que aloja servicios accesibles al exterior. Servidores de Internet. Se ubica delante del cortafuegos corporativo para evitar la desprotección con arquitecturas DMZ.
Screened Subnets: Detrás del cortafuegos corporativo. Modelo de host apantallado, un bastión centraliza comunicaciones y subred apantallada que añade cortafuegos entre bastión e interna.
Defensa en Profundidad en la Red Perimetral
Tres aspectos básicos:
- Seguridad perimetral
- Seguridad de la red interna: cortafuegos, antivirus, actualizaciones, etc.
- Factor humano: política de seguridad corporativa, concienciación de seguridad, gestión de incidencias, etc.
El Cortafuegos: Componente Crítico
Basados en proxy-Aplicación, presentación. Con estado-Transporte. Red-Filtrado paquetes. Tunel/VPN-Enlace, físico.
Filtrado de Paquetes Estático (Sin Estado o Stateless)
Es el modo de filtrado más básico en un cortafuegos que rechaza o acepta los paquetes en función de algunos campos:
- La dirección IP origen
- El número de puerto al que se dirige
- Los campos de la cabecera (TCP, UDP)
- Los flags de la cabecera TCP (SYN, ACK)
Muy común en routers frontera. Los paquetes siguen las reglas de las ACL (Access Control List) o RACL (Router Access Control List). CISCO e ipchains son ejemplos.
Dos Modos de Configuración de Reglas:
- Política restrictiva: Se deniega por defecto todo el tráfico salvo el que se acepta explícitamente. ACL de aceptación.
- Política permisiva: Se acepta todo el tráfico salvo el que se deniega explícitamente. ACL de denegación.
Problemas del Filtrado Estático:
- IPs fáciles de enmascarar
- Servicios y aplicaciones usan puertos no estandarizados
- El paquete IP admite fragmentación que se presta a ataques
- Algunos servicios necesitan más que el filtrado de paquetes (FTP)
- Una vez ganado el acceso, la red interna queda expuesta
- No soporta nodos de autentificación de usuarios robustos