Clase 13
Descargar como PPTX, PDF0 recomendaciones213 vistas
Un firewall define zonas de red confiables y no confiables. Un diseño común involucra una interfaz externa, interna y DMZ, permitiendo tráfico libre entre la interna y DMZ, y de DMZ hacia externa, pero bloqueando tráfico externo salvo asociado con tráfico interno o DMZ como correo, DNS o HTTP. La defensa en capas usa varios firewalls para agregar profundidad a la seguridad.
Clase 13
- 1. Los Firewalls en el diseño de redes DMZ
- 2. • DMZ es una porción de red conectada con un firewall o grupo de firewalls. • El término proviene de una descripción militar de un área ubicada entre zonas militares en la que no se permite conflicto
- 3. • Las DMZs definen las porciones de la red que son confiables y las que no lo son. • El diseño de firewall principalmente se trata de interfaces de dispositivos que permiten o deniegan tráfico basándose en el origen, el destino y el tipo de tráfico. • Algunos diseños son tan simples como la designación de una red externa y una interna, determinadas por dos interfaces en un firewall. • La red externa (o red pública) no es confiable, mientras que la interna (o red privada) sí lo es.
- 4. • Al tráfico proveniente de la red interna, se le permite pasar a través del firewall hacia afuera con pocas o ninguna restricción. • El tráfico que se origina afuera generalmente es bloqueado o permitido muy selectivamente. • El tráfico de retorno que proviene de la red externa, asociado con tráfico de origen interno, se le permite pasar de la interfaz no confiable a la confiable.
- 5. • Un diseño más complicado puede involucrar tres o más interfaces en el firewall. • En este caso, generalmente se trata de una interfaz externa, una interna y una DMZ. • Se permite el tráfico libremente de la interfaz interna a la externa y la DMZ. • Se permite libremente el paso del tráfico que proviene de la DMZ por la interfaz externa. • El tráfico de la interfaz externa, sin embargo, generalmente se bloquea salvo que esté asociado con tráfico de origen interno o de la DMZ. • Con una DMZ, es común permitir tipos específicos de tráfico desde fuera, siempre que sea el tipo de tráfico correcto y que su destino sea la DMZ. • Este tipo de tráfico generalmente es correo electrónico, DNS, HTTP o HTTPS.
- 7. • En un escenario de defensa por capas, los firewalls proporcionan seguridad perimetral de toda la red y de los segmentos de red internos en el núcleo. • Por ejemplo, los profesionales de la seguridad en redes pueden usar un firewall para separar las redes de recursos humanos o de finanzas de una empresa de otras redes o segmentos de red dentro de la empresa. ¿Qué otra forma se conoce?
- 8. • La defensa por capas usa diferentes tipos de firewalls que se combinan en capas para agregar profundidad a la seguridad de la organización. • Por ejemplo, el tráfico que ingresa de la red no confiable se topa con un filtro de paquetes en el router más externo. • El tráfico se dirige al firewall "screened firewall" o "host bastión" que aplican más reglas al tráfico y descartan paquetes sospechosos. • Un host bastión es una computadora reforzada que se ubica típicamente dentro de la DMZ. • El tráfico va ahora a un screening router interior. • El tráfico se moverá al host de destino interno sólo si pasa con éxito a través del filtrado entre el router externo y la red interna. • Este tipo de configuración de DMZ se llama configuración screened subnet.
- 9. • Un error común es considerar que sólo se necesita una topología de firewall en capas para asegurar una red interna. • Este mito probablemente sea alimentado por el auge del negocio de los firewalls. • El administrador de redes debe considerar muchos factores para construir una defensa completa y profunda: • Un número importante de las intrusiones proviene de hosts dentro de la red. • Por ejemplo, los firewalls generalmente hacen muy poco para protegerse contra virus que se descargan a través del correo electrónico. • Los firewalls no ofrecen protección contra instalaciones de módems no autorizadas. Ahora imagínese con las conexiones móviles a internet • Además, y más importantemente, el firewall no puede reemplazar a los administradores y usuarios informados.
- 10. • Los firewalls no reemplazan mecanismos de resguardo y de recuperación de desastres que resulten de un ataque o falla en el hardware. • Una defensa profunda debe incluir almacenamiento externo y una topología de hardware redundante
- 11. • El profesional de la seguridad en redes es responsable de crear y mantener una política de seguridad, incluyendo una política de seguridad de firewall. • Esta es una lista parcialmente genérica que sirve como punto de inicio para la política de seguridad de firewall: • Ubique los firewalls en las fronteras de seguridad claves. • Los firewalls son el principal dispositivo de seguridad pero no es aconsejable depender exclusivamente de un firewall para la seguridad de una red. • Deniegue todo el tráfico por defecto y permita sólo los servicios necesarios. • Asegúrese de que el acceso físico al firewall esté controlado. • Monitoree regularmente los registros del firewall. El Sistema de Respuesta, Análisis y Monitoreo de Seguridad de Cisco(MARS) es especialmente útil para este propósito. • Practique la administración de cambios para cambios de configuración en el firewall. • Los firewalls protegen principalmente contra ataques técnicos que se originan fuera de la red. Los ataques internos tienden a no ser de naturaleza técnica.
- 12. • Un router de Cisco que ejecuta el firewall IOS de Cisco es tanto un router como un firewall. • Si hay dos firewalls, una opción de diseño viable es unirlos con una LAN que funcione como DMZ. • Esta opción proporciona a los hosts en la red pública no confiable acceso redundante a los recursos de la DMZ.