Beruflich Dokumente
Kultur Dokumente
Introduccin
En todas las corporaciones existen redes de carcter privado que necesitan comunicarse con el
exterior. Cuando permitimos que los usuarios de una red privada accedan a servicios externos o
interacten con otros equipos localizados en redes pblicas debemos aplicar ciertas medidas de
seguridad.
La seguridad perimetral es la encargada de establecer la lnea de defensa entre las redes pblicas no
seguras del exterior y las redes privadas de confianza internas.
Filtrado de paquetes
Accin que toma un dispositivo para controlar de forma selectiva el flujo de datos desde y
hacia una red. Los filtros de paquetes permiten o bloquean paquetes, normalmente
mientras los encaminan entre una y otra red. Para llevar a cabo el filtrado de paquetes, se configura
un conjunto de reglas que especifican qu tipos de paquetes son permitidos y cules son
bloqueados.
Red perimetral
Red que se aade entre una red protegida y una red externa para proporcionar una capa
adicional de seguridad. A la red perimetral, en ocasiones, se le llama DMZ.
Proxy
Programa que se encarga de las conexiones con los servidores externos en representacin
de los clientes internos. Los clientes de proxy se dirigen a los servidores proxy, los cuales
retransmiten las solicitudes que son aprobadas hacia los servidores reales. Cuando el proxy
recibe la respuesta, se la devuelve a los clientes.
2. Arquitecturas de cortafuegos
2.1 Router de filtrado (screening router)
Es posible utilizar un sistema de filtrado de paquetes como cortafuegos simplemente utilizando un
router que haga de criba para proteger toda la red. Principalmente, los criterios de filtrado que se
pueden utilizar con este sistema seran:
Direcciones de origen y destino.
Puertos de origen y destino.
Tipo de paquete (TCP, UDP o ICMP).
Interfaces de entrada y salida de router.
Este tipo de cortafuegos no es muy flexible. Aunque puede permitir o bloquear ciertos protocolos
por el nmero de puerto, es complicado permitir ciertas operaciones a la vez que se bloquean otras
para un mismo protocolo. Esta arquitectura es apropiada en los siguientes casos:
La red a proteger ya tiene un alto nivel de seguridad en sus equipos.
Existe un nmero limitado de protocolos y stos son sencillos.
Los requisitos de rendimiento y redundancia son mximos.
La red perimetral
La red perimetral es otra capa de seguridad, una red adicional entre la red externa y la red interna
protegida. Si un atacante irrumpe con xito dentro de la red perimetral no podr, por ejemplo, espiar
el trfico que circula entre los equipos de la red privada.
El equipo bastin
Con la arquitectura de subred protegida, el bastin se conecta a la red perimetral. Este equipo es el
principal punto de contacto para las conexiones entrantes desde el mundo exterior. Por ejemplo:
Para aceptar correo electrnico entrante (SMTP).
Para las conexiones entrantes hacia el servidor FTP annimo del sitio.
Para las consultas DNS sobre el dominio de la organizacin.
El router interno
El router interior, a veces llamado router estrangulador (choke router), protege la red interna, tanto
de Internet como de la red perimetral. Realiza la mayor parte del filtrado de paquetes del
cortafuegos. Permite acceder desde la red interna a los servicios de Internet que se consideren
seguros.
Debemos limitar los servicios permitidos entre el host bastin y la red interna solamente a
aquellos que realmente se necesitan.
El router externo
El router exterior (tambin llamado router de acceso) protege tanto la red perimetral y la red interna
de Internet. Las reglas de filtrado de paquetes para proteger las mquinas internas tendran que ser
esencialmente las mismas tanto en el enrutador interior como en el enrutador exterior.
Una de las tareas de seguridad que el router exterior puede llevar a cabo de manera til es el
bloqueo de todos los paquetes entrantes de Internet que han falseado las direcciones de origen. Otra
tarea que el router exterior puede realizar es evitar que los paquetes IP que contienen direcciones de
origen inapropiadas abandonen su red.
Poltica restrictiva
Se deniega todo el trfico excepto el que est explcitamente permitido. El cortafuegos obstruye
todo el trfico y hay que habilitar expresamente el trfico de los servicios que se necesiten.
Poltica permisiva
Se permite todo el trfico excepto el que est explcitamente denegado. Cada servicio
potencialmente peligroso necesitar ser aislado bsicamente caso por caso, mientras que el resto del
trfico no ser filtrado.