Ingeniera en

Telemtica

Seguridad II Alumno:
Mauricio Felix Cano Rosales
UNIVESIDAD ABIERTA Y A DISTANCIA

Matricula:
AL12504354

Facilitador:
RAUL OJEDA VILLAGOMEZ

Grupo
TM-KSG2-1401C-001

Generar una infra estructura segura utilizando polticas de seguridad.

Una DMZ (del ingls Demilitarized zone) o Zona DesMilitarizada. Una zona desmilitarizada (DMZ) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, es decir: los equipos locales (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ's puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.
UNIVESIDAD ABIERTA Y A DISTANCIA

La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. Esto se ve muchsimo ms claro en un esquema:

Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT).

Habitualmente una configuracin DMZ es usar dos cortafuegos, donde la DMZ se sita en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. Esta configuracin ayuda a prevenir configuraciones errneas accidentales que permitan el acceso desde la red

externa a la interna. Este tipo de configuracin tambin es llamado cortafuegos de subred monitoreada (screened-subnet firewall). Origen del trmino: El trmino zona desmilitarizada es tomado de la franja de terreno neutral que separa a ambas Coreas, y que es una reminiscencia de la Guerra de Corea, an vigente y en tregua desde 1953. Paradjicamente, a pesar de que esta zona desmilitarizada es terreno neutral, es una de las ms peligrosas del planeta, y por ello da nombre al sistema DMZ. Un trmino relacionado directamente con esta tecnloga es el llamado equipo bastin, ste, normalmente a travs de dos tarjetas de red (interfaces) mantiene aislada la red local de la red externa, es decir, la LAN de la WAN. En pocas palabras, un PC con dos patitas. :D Esta explicacin es una transcripcin de la wikipedia, con partes de mi cosecha. Per es perfecto para tener una nota rpida con un esquema claro.
UNIVESIDAD ABIERTA Y A DISTANCIA

Arquitectura DMZ
Cuando ciertas mquinas de la red interna tienen que ser accesibles desde el exterior (servidor web, un servidor de mensajera, un servidor FTP pblico, etc.), normalmente es necesario crear una nueva poltica para una nueva red, accesible tanto desde la red interna como desde el exterior, sin correr el riesgo de comprometer la seguridad de la empresa. Se habla entonces de una "zona desmilitarizada" (DMZ para DeMilitarized Zone) para designar esta zona aislada que aloja aplicaciones a disposicin del pblico. El DMZ sirve como una zona intermedia entre la red a proteger y la red hostil.

DMZ - Zona desmilitarizada

Los servidores situados en la DMZ se llaman "bastiones" debido a su posicin anterior en la red de la empresa. La poltica de seguridad aplicada en la DMZ, normalmente es la siguiente: - Trfico de la red externa hacia la DMZ autorizada; - Trfico de la red externa hacia la red interna prohibida; - Trfico de la red interna hacia la DMZ autorizada; - Trfico de la red interna hacia la red externa autorizada; - Trfico de la DMZ hacia la red interna prohibida; - Trfico de la DMZ hacia la red externa rechazada.

La DMZ tiene un nivel de proteccin intermedio. Su nivel de seguridad no es suficiente para almacenar datos crticos de la empresa. Es necesario notar que es posible instalar una DMZ internamente, para compartir la red interna de acuerdo a los diferentes niveles de proteccin y as evitar las intrusiones que vienen desde el interior.

Implementacin DMZ
Demilitarized Zone (DMZ) El diseo tiene al menos 2 segmentos internos (zonas), las cuales se conectan por lo regular de la siguiente forma: Interface a Area Pblica (internet) Interface a Zona de Servidores Interface a Usuarios
UNIVESIDAD ABIERTA Y A DISTANCIA

Las Caractersticas que nos ofrecer DMZ sern:

- Filtrado de paquetes a cualquier zona - NAT, Mapero Bidireccional - Colas de trco y Prioridad - Salidas redundantes / balanceo de carga - Balanceo de carga a servicios - Filtrado de contenido (web-cache) - Monitoreo de trfico en interfaces va netow

Filtrado de Paquetes
Nos permite denir la seguridad perimetral, el primer bloque de segmentos, rea de usuarios, internet y servidores (DMZ). Para eso utilizaremos el Packet Filter (al que en este documento nos referiremos como PF) es el sistema de OpenBSD para ltrar el trco TCP/IP y llevar a cabo la Traduccin de Direcciones de Red (a la que nos referiremos como NAT, Network Address Translation). Adems de estas funciones, PF tambin es capaz de normalizar y acondicionar el trco TCP/IP y de proveer control del ancho de banda y la priorizacin de paquetes TCP/IP

Listas
Una lista permite especificar mltiples criterios similares dentro de una misma regla, como puedan ser mltiples protocolos, nmeros de puertos, direcciones, etc. De este modo, en lugar de escribir una regla de filtrado para cada direccin IP que haya que bloquear, se puede escribir una sola regla e indicar las direcciones IP en una lista aparte. Las listas se definen especificando los componentes dentro de { } llaves.

Filtrado de Paquetes
La accin de filtrar paquetes es bloquear o permitir el paso a los paquetes de datos de forma selectiva, segn van llegando a una interfaz de red. Los criterios que usa pf para inspeccionar los paquetes los toma de la informacin existente en la capa Layer 3 (IPv4 y IPv6) y en la capa Layer 4 (TCP, UDP, ICMP, y ICMPv6) de las cabeceras de los paquetes. Los criterios que ms se utilizan son los de la direccin de origen y de destino, el puerto de origen y de destino, y el protocolo. Las reglas de filtrado especifican los criterios con los que debe concordar un paquete y la accin a seguir, bien sea bloquearlo o permitir que pase, que se toma cuando se encuentra una concordancia. Las reglas de filtrado se evalan por orden de secuencia, de la primera a la ltima. A menos que el paquete concuerde con una regla que contenga la clave quick, se evaluar el paquete comparndolo con todas las reglas de filtrado antes de decidir una accin final. La ltima regla que concuerde ser la ganadora y la que dictamine qu accin se tomar con el paquete. Al principio del grupo de reglas de filtrado hay un pass all implcito que indica que si algn paquete no concuerda con ninguna de las reglas de filtrado, la accin a seguir ser pass, o sea permitirle el paso.
UNIVESIDAD ABIERTA Y A DISTANCIA

Denegacin Predeterminada
La prctica recomendada para configurar un Firewall es la de tomar una aproximacin de denegacin predeterminada; es decir, denegar el paso a todo y a partir de ah ir permitiendo el paso a travs del Firewall de forma selectiva a cierto trafico. Esta aproximacin es la recomendada ya que los posibles fallos se cometeran a favor de la seguridad, y tambin porque hace ms fcil la creacin de grupos de reglas. Paso de Trafico Ahora hay que permitir de forma explcita y selectiva el paso del Trafico a travs del Firewall, o de lo contrario ser bloqueado por la poltica de denegacin predeterminada. Aqu es donde entran en juego los criterios del paquete, como son el puerto de origen/destino, la direccin de origen/destino, y el protocolo. Siempre que se permita el paso de cierto trafico a travs del Firewall hay que escribir las reglas de un modo tan restrictivo como sea posible. Esto es para asegurarse de que slo pasar el trafico que se permita, y ningn otro.

Bloqueo de Paquetes Falsicados (Spoofed Packets)

La falsificacin de direcciones (spoong) es cuando un usuario con malas intenciones falsifica la direccin IP de origen en los paquetes que se transmiten, con el objetivo de esconder su direccin real o de suplantar otro nodo en la red. Una vez que el usuario ha falsificado su direccin, puede lanzar un ataque a nivel de red sin revelar la direccin real de origen del ataque, o intentar obtener acceso a servicios de la red que estn restringidos para ciertas direcciones IP.

http://www.informatica-hoy.com.ar/aprender-informatica/Que-esDMZ.php#opinar http://es.kioskea.net/contents/589-dmz-zona-desmilitarizada

UNIVESIDAD ABIERTA Y A DISTANCIA