Tema 2 Introduccin a

los sistemas de
seguridad de un CDP
Vlan
VPN
DMZ- Zona desmilitarizada

VLAN
Reduce Brodcasts/manejo preferible de ancho de
banda en el LAN.
Agrupa puertos lgicamante/ por departamento.
Controla
distribution
de virueses/trojanos
dentro del
Principales
Componentes
de Communications
LAN.
Principales Riesgos y Vulnerabilidades de las
Crear
redespor lo menos un VLAN para los usuarios y otro
servidores. y consideraciones de seguridad
para
Vulnerabilidades
para cada
componente
Cuando
un usuario
se cambia de departamento, es
suficiente con cambiar el Vlan en el switch y no
mover el usuario fsicamenete.
Para pasar trfico de Vlan a Vlan es necesario un
switch L3.
Red mas segura.
VLAN PRIVADO

VLAN

Principales Componentes de Communications

Principales Riesgos y Vulnerabilidades de las
redes
Vulnerabilidades y consideraciones de seguridad
para cada componente

VPN
(VIRTUAL PRIVATE NETWORK)

La VPN bsicamente es una red privada dentro de

una red pblica, la cual permite conectar diferentes
sedes o sucursales, usuarios mviles y oficinas
remotas entre si. Es una estructura de red
corporativa que utiliza sistemas de gestin y polticas
de acceso que permiten al usuario trabajar como si
estuviese conectado en su misma red local.

VPN
(VIRTUAL PRIVATE NETWORK)

VPN
(VIRTUAL PRIVATE NETWORK)

Por lo general la red pblica utilizada para crear las

VPN's es Internet, aunque tambin hay otras
alternativas
como
ATM
o
Frame
Relay.

ATM, FR,
INTERNET

VPN
(VIRTUAL PRIVATE NETWORK)

La VPN funciona basndose en una tecnologa llamada

tunneling, la cual es una tcnica que consiste en
encapsular un protocolo de red sobre otro permitiendo
as que los paquetes vayan encriptados de manera que
los datos enviados sean ilegibles para extraos.

VPN
(VIRTUAL PRIVATE NETWORK)

El tnel queda definido por los puntos extremos y el

protocolo de comunicacin empleado, que puede ser
entre otros IPsec (conjunto de protocolos cuya funcin
es asegurar las comunicaciones sobre el protocolo de
internet autenticando y/o cifrando cada paquete IP en
un flujo de datos, tambin ofrece protocolos para el
establecimiento
de
claves
de
cifrado).

VPN
(VIRTUAL PRIVATE NETWORK)
Tipos de VPNs

De acceso remoto: modelo ms usado actualmente y

como su nombre lo dice los usuarios o proveedores se
conectan a la empresa desde sitios remotos (desde su
casa, hotel, aviones, etc) usando internet como vnculo
de conexin, una vez autenticados tienen un nivel de
acceso muy similar al de la red local de la empresa

VPN
(VIRTUAL PRIVATE NETWORK)

Punto a Punto: se utiliza para conectar oficinas

remotas con la sede central de la organizacin.

Over Lan: es una variante del primer modelo expuesto

pero en lugar de usar internet como medio de conexin
se usa la misma LAN de la empresa y sirve para aislar
zonas y servicios de la red interna.

VPN
(VIRTUAL PRIVATE NETWORK)

VPN de conexin
Punto a Punto

VPN de Acceso
Remoto

Cortafuegos
Uncortafuegos(firewallen ingls) es una parte de
un sistema o una red que est diseada para
bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas.
Existen varias arquitecturas para garantizar el acceso
privado, como son

Cortafuegos de Filtrado de
Paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2
del stack de protocolos TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros segn los
distintos campos de los paquetes IP.
En este tipo de cortafuegos se permiten filtrados segn
campos de nivel de transporte (capa 3 TCP/IP, capa 4
Modelo OSI), como el puerto origen y destino, o a nivel
de enlace de datos (no existe en TCP/IP, capa 2 Modelo
OSI) como la direccin MAC.

Cortafuegos Screened
Subnet (DMZ)
Unazona desmilitarizada(DMZ, demilitarized zone)
ored perimetrales unaredlocal que se ubica entre
la red interna de una organizacin y una red externa,
generalmenteInternet.

Objetivos de la DMZ
El objetivo de una DMZ es que las conexiones desde la
red interna y la externa a la DMZ estn permitidas,
mientras que las conexiones desde la DMZ slo se
permitan a la red externa -- los equipos (hosts) en la
DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan
dar servicios a la red externa a la vez que protegen la
red interna en el caso de que intrusos comprometan la
seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona
desmilitarizada se convierte en un callejn sin salida.

Modelo Screened Subnet

En la Screened Subnet se utilizan dos routers que
protegen la zona desmilitarizada, cortando todo el
trfico en ambos sentidos y asegurando la DMZ.