Академический Документы
Профессиональный Документы
Культура Документы
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
• Permiten separar el problema en dos partes, política Host Bastión: computadora muy bien protegida
interna frente a política de interconexión. por ser constantemente atacada. Usualmente
expuesta a Internet siendo el principal punto de
contacto para los usuarios de la red interna.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Características Principales
• El tráfico entre las redes está completamente
Arquitectura del Host bloqueado.
• Los paquetes de una red no son directamente
Dual enrutados a otra.
• No hay comunicación directa entre los host
Homed protegidos y la red externa.
1
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Características Principales
• Otra variante es deshabilitar todas las
conexiones hacia el exterior de los hosts
Arquitectura del internos forzando el uso de proxies.
• Pueden mezclarse las variantes de proxy y
Host Bastion filtrado.
• Configuración riesgosa, permite el tráfico de
paquetes de la red externa en la interna.
Resumiendo......
Ventajas:
• Es mejor proteger a un router que a un host.
• Da más seguridad y facilidades de uso que la Arquitectura de una red
anterior.
Desventajas: apantallada
• No existe barrera de seguridad entre la red
interna y el host bastión.
1
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Router interior
Host Bastión • Llamado router choke. Protege la red interna del
• Punto principal de contacto para establecer acceso desde la red perimetral y desde Internet.
conexiones desde la red externa. • Establece el filtrado de paquetes para que los host
internos accesen a servicios externos, aunque esto
• Las conexiones salientes se manejan con las
puede ser sustituído por proxies o una combinación
reglas de filtrado de ambos routers.
de ambas.
• Se pueden usar como servidores proxy • Los servicios permitidos entre la red interna y el
haciendo indirecto el acceso desde la red HB no son los mismos que entre la red interna y la
interna a la externa. externa. Esto reduce el número de máquinas que
pueden ser atacadas desde el HB.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Router Exterior
• Llamado router de acceso. Protege a la red Variaciones
perimetral y a la interna de la red externa.
• Las reglas de filtrado para proteger la red interna
son, básicamente, las mismas en los dos routers.
en la
• Las únicas reglas de filtrado especiales son las que
protegen a los HB de la red perimetral y al router
Arquitectura
interno.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Variaciones permisibles
Variaciones permisibles
Unir HB y router externo:
• Se utiliza un Host Dual Homed.
• Muy usado cuando la conexión a la red
Múltiples routers externos.
externa es a través de SLIP PPP.
• No compromete el router interno. Múltiples redes perimetrales.
• Menos peligroso que el anterior aunque
compromete en gran medida el HB.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Variaciones no Variaciones no
recomendables recomendables
Múltiples routers internos:
Unir el router interno y el HB: • Los routers internos pueden decidir que la vía más
• Si se penetra el HB. Ya se tiene acceso al rápida para un paquete estrictamente interno es la
tráfico de la red interna. red perimetral. Esto normalmente es bloqueado
• Se pierde la función de resguardo del router por las reglas de filtrado.
interno. • Díficil configuración pues los routers internos son
los más complejos .
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Principios generales de
diseño
Simpleza
Hosts • Mientras más simple es más fácil de proteger.
• Los software de servicios pueden presentar “bugs” por lo
que debe implementarse con el mínimo de servicios y que
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Tipos de Bastiones
Tipos de Bastiones
Máquina Víctima
Dual Homed sin ruteo • Cumplen con la necesidad de dar servicios
• No encamina tráfico entre sus diferentes díficiles de asegurar completamente, por
conexiones de red. desconocimiento o por características propias.
• Puede ser parte de un firewall o él mismo • No tiene nada importante por lo que
constituir uno. preocuparse.
• Si constituye un firewall tener sumo • Si es posible soporta un solo servicio.
cuidado en su configuración. • Se debe eliminar totalmente el acceso de
usuarios.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Selección de la máquina, la
Tipos de Bastiones localización física y en la red.
• Se persigue lograr una alta confiabilidad y obtener
HB internos facilidades de configuració y uso.
• Máquinas con las que contacta el HB • El sistema operativo Unix es el más recomendado.
principal por lo que constituyen HB Posee un gran número de herramientas para
secundarios. construir el HB, es muy seguro y estable. Ha
• Su protección debe acercarse más a la de mostrado grades resultados.
un HB que a la de un host común. • No es necesaria una máquina con elevada
potencia. Generalmente se limita su velocidad
dada la conexión a Internet.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Características
• Un servidor proxy para uno o varios protocolos
corre en un HB o en un Host Dual Homed.
Secuencia de acciones:
Sistemas • El programa cliente conversa con el proxy
• Este evalúa la encuesta y decide si la gestiona o la
Proxy descarga.
• Si aprueba la encuesta conversa con el servidor
real. A partir de establecida la conexión el proxy
se encarga de enviar encuestas al servidor real y
respuestas al cliente.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Terminología Terminología
• Proxy de nivel de Aplicación: conoce acerca
del protocolo de aplicación, interpretando sus • Dedicado: brinda servicios de un solo
paquetes puede obtener información que protocolo.
necesita. • Genérico: brinda servicios de múltiples
• Proxy de Nivel de circuito: crea un circuito protocolos.
entre cliente y servidor sin interpretar Existen variantes que se mueven entre los
comandos. Tiene que obtener información extremos.
por otras vías por lo que requiere
modificación en los clientes.