MSc. Ing.

Gustavo Rodolfo Perez Flores Seguridad de Redes

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Universidad Privada Características

Domingo Savio Generales
Materia:
• Aparecen en políticas diferentes de seguridad de
Modalidad de Grado
red.
Modulo:
• Define zonas confiables por las que los datos
Gestión y Seguridad de Redes pueden distribuirse sin peligro de su seguridad.
Tema: • Los usuarios pueden viajar por ellas sin la
Firewalls necesidad de identificarse a cada momento.
Docente:
MSc. Ing. Gustavo R. Perez Flores
2010
Santa Cruz - Bolivia 1

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Características Definiciones Básicas

Generales Firewall: componente o grupo de estos que
restringen el acceso entre la red protegida e Internet
• Centralizan la política de control de acceso relativa o entre varias redes.
a terceras partes, entrada y salida.
Host: computadora conectada a la red.

• Permiten separar el problema en dos partes, política Host Bastión: computadora muy bien protegida
interna frente a política de interconexión. por ser constantemente atacada. Usualmente
expuesta a Internet siendo el principal punto de
contacto para los usuarios de la red interna.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Definiciones Básicas(Cont.) Definiciones Básicas(Cont.)

Host Dual Homed: computadora de propósito
general que tiene al menos dos interfaces. Servidor Proxy: programa que establece
conexiones entre clientes internos y servidores
Filtrado de Paquetes: control selectivo del flujo externos.
de paquetes hacia y desde una red.

Red Perimetral: red adicionada entre la red

protegida y la externa con el objetivo de añadir
otro nivel de seguridad. Llamada también DMZ.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Características Principales
• El tráfico entre las redes está completamente
Arquitectura del Host bloqueado.
• Los paquetes de una red no son directamente
Dual enrutados a otra.
• No hay comunicación directa entre los host
Homed protegidos y la red externa.

1
 MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Características Principales
• Otra variante es deshabilitar todas las
conexiones hacia el exterior de los hosts
Arquitectura del internos forzando el uso de proxies.
• Pueden mezclarse las variantes de proxy y
Host Bastion filtrado.
• Configuración riesgosa, permite el tráfico de
paquetes de la red externa en la interna.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Resumiendo......
Ventajas:
• Es mejor proteger a un router que a un host.
• Da más seguridad y facilidades de uso que la Arquitectura de una red
anterior.
Desventajas: apantallada
• No existe barrera de seguridad entre la red
interna y el host bastión.

1
MSc. Ing. Gustavo Rodolfo Perez Flores
Características Principales
• Añade un nivel extra de seguridad mediante
una red perimetral situada entre las redes
interna y externa.
• Se aisla la red interna y la externa.
• El HB se aisla en la red perimetral
disminuyendo el impacto de su ruptura.
• Existen dos routers conectados a la red
apantallada.
MSc. Ing. Gustavo Rodolfo Perez Flores
Host Bastión
• Punto principal de contacto para establecer
conexiones desde la red externa.
• Las conexiones salientes se manejan con las
reglas de filtrado de ambos routers.
• Se pueden usar como servidores proxy
haciendo indirecto el acceso desde la red
interna a la externa.
Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Red perimetral
• Nuevo nivel de seguridad entre la red interna y
la externa.
• Circula por ella tráfico de la red externa y de la
interna con destino al HB.
• No circula tráfico que sea estrictamente de la
red interna.
• Se protege el tráfico interno de quien penetre el
HB.
Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Router interior
• Llamado router choke. Protege la red interna del
acceso desde la red perimetral y desde Internet.
• Establece el filtrado de paquetes para que los host
internos accesen a servicios externos, aunque esto
puede ser sustituído por proxies o una combinación
de ambas.
• Los servicios permitidos entre la red interna y el
HB no son los mismos que entre la red interna y la
externa. Esto reduce el número de máquinas que
pueden ser atacadas desde el HB.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Router Exterior
• Llamado router de acceso. Protege a la red Variaciones
perimetral y a la interna de la red externa.
• Las reglas de filtrado para proteger la red interna
son, básicamente, las mismas en los dos routers.
en la
• Las únicas reglas de filtrado especiales son las que
protegen a los HB de la red perimetral y al router
Arquitectura
interno.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Variaciones permisibles Variaciones permisibles

Varios Hosts Bastiones:
• Divide servicios entre los HB para clientes Unir los routers externo e interno:
internos y externos. • Configurar los filtros pertinentes en cada
interfaz.
• Dividirlos por razones de prestaciones en los
servicios. • Solo hay que romper la seguridad de un router
pero este es más fácil de proteger que un host.
• En los servicios que lo permitan establecer
servidores de resguardo(DNS, SMTP).
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Variaciones permisibles
Variaciones permisibles
Unir HB y router externo:
• Se utiliza un Host Dual Homed.
• Muy usado cuando la conexión a la red
Múltiples routers externos.
externa es a través de SLIP PPP.
• No compromete el router interno. Múltiples redes perimetrales.
• Menos peligroso que el anterior aunque
compromete en gran medida el HB.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Variaciones no Variaciones no
recomendables recomendables
Múltiples routers internos:
Unir el router interno y el HB: • Los routers internos pueden decidir que la vía más
• Si se penetra el HB. Ya se tiene acceso al rápida para un paquete estrictamente interno es la
tráfico de la red interna. red perimetral. Esto normalmente es bloqueado
• Se pierde la función de resguardo del router por las reglas de filtrado.
interno. • Díficil configuración pues los routers internos son
los más complejos .
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Principios generales de
diseño
Simpleza
Hosts • Mientras más simple es más fácil de proteger.
• Los software de servicios pueden presentar “bugs” por lo
que debe implementarse con el mínimo de servicios y que

Bastiones estos tengan el mínimo de privilegios.

Prepararse para cuando el HB esté comprometido
• Establecer reglas de filtrado en los routers que protejan la
red interna.
• Instalar mecanismos de control de acceso a los host de la
red interna.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Tipos de Bastiones
Tipos de Bastiones
Máquina Víctima
Dual Homed sin ruteo • Cumplen con la necesidad de dar servicios
• No encamina tráfico entre sus diferentes díficiles de asegurar completamente, por
conexiones de red. desconocimiento o por características propias.
• Puede ser parte de un firewall o él mismo • No tiene nada importante por lo que
constituir uno. preocuparse.
• Si constituye un firewall tener sumo • Si es posible soporta un solo servicio.
cuidado en su configuración. • Se debe eliminar totalmente el acceso de
usuarios.
MSc. Ing. Gustavo Rodolfo Perez Flores
Tipos de Bastiones
HB internos
• Máquinas con las que contacta el HB
principal por lo que constituyen HB
secundarios.
• Su protección debe acercarse más a la de
un HB que a la de un host común.
MSc. Ing. Gustavo Rodolfo Perez Flores
Selección de los servicios que
brinda un BH
Se dividen en varios grupos:
• Seguros
Son protegidos por filtrado de paquetes.
• Inseguros que pueden asegurarse
Los que son provistos por el HB.
• Inseguros que no pueden protegerse
Si es imprescindible brindarlo se hace en una
máquina víctima.
• No utilizados
Deben ser deshabilitados.
Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
Selección de la máquina, la
localización física y en la red.
• Se persigue lograr una alta confiabilidad y obtener
facilidades de configuració y uso.
• El sistema operativo Unix es el más recomendado.
Posee un gran número de herramientas para
construir el HB, es muy seguro y estable. Ha
mostrado grades resultados.
• No es necesaria una máquina con elevada
potencia. Generalmente se limita su velocidad
dada la conexión a Internet.
Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes
No habilitarse cuentas de usuarios
• Vulnerabilidad de las cuentas de Usuarios.
• Vulnerabilidad de los servicios que soportan
las cuentas(impresión, email).
• Reduce la estabilidad y confiabilidad del
HB.
• No se advierte fácilmente la violación o
alteración de la seguridad en el HB por
parte de los usuarios.
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Características
• Un servidor proxy para uno o varios protocolos
corre en un HB o en un Host Dual Homed.
Secuencia de acciones:
Sistemas • El programa cliente conversa con el proxy
• Este evalúa la encuesta y decide si la gestiona o la

Proxy descarga.
• Si aprueba la encuesta conversa con el servidor
real. A partir de establecida la conexión el proxy
se encarga de enviar encuestas al servidor real y
respuestas al cliente.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Ventajas del proxy Desventajas.

• Permite a los usuarios acceder a • Hay servicios sin proxy. Son los servicios
Internet “directamente”. menos usados, los más nuevos y los mal
diseñados para tenerlo.
• Son buenos registrando el uso de los • Pueden requerir diferentes servidores para
servicios. cada servicio.
• Registran los comandos y las • Requieren modificación en los
respuestas a estos. clientes(servicios no diseñados para proxy).
MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Terminología Terminología
• Proxy de nivel de Aplicación: conoce acerca
del protocolo de aplicación, interpretando sus • Dedicado: brinda servicios de un solo
paquetes puede obtener información que protocolo.
necesita. • Genérico: brinda servicios de múltiples
• Proxy de Nivel de circuito: crea un circuito protocolos.
entre cliente y servidor sin interpretar Existen variantes que se mueven entre los
comandos. Tiene que obtener información extremos.
por otras vías por lo que requiere
modificación en los clientes.

MSc. Ing. Gustavo Rodolfo Perez Flores Seguridad de Redes

Servidores Proxy inteligentes

• No solo gestionan encuestas. Sirven de

caché de datos que son repetidamente
accesados desde la red interna para evitar Fin de la Presentación
tráfico innecesario por el canal de
comunicaciones.
• Se logra más fácil en proxies dedicados.