DEFENSA PERIMETRAL
SEGURIDAD PERIMETRAL
Es un concepto que implica la implementacin e integracin
de elementos electrnicos, mecnicos y software para la
proteccin perimetral fsica, deteccin de intrusin en
instalaciones sensibles sobre todo si son informticas.
En este caso, la Seguridad perimetral engloba reas como el
filtrado de paquetes ( Firewall, Proxi), Sistemas de deteccin
y prevencin de intrusiones y Redes Privadas Virtuales (VPN).
�SEGURIDAD PERIMETRAL
La seguridad perimetral no sera nada sin el establecimiento
de medidas de seguridad de red interna, como es el caso de la
implementacin de:
Cortafuegos personales
Antivirus
Sistemas operativos idneos
gestin de configuracin,
adems de la implementacin de procesos de auditora permanente.
�SEGURIDAD PERIMETRAL
Es la integracin de hardware, software y polticas para
proteger una red en la que se tiene confianza (intranet) de
otras redes en las que no se tiene confianza (extranet,
Internet).
�OBJETIVO DE LA SP
Centralizar el control de acceso para mantener a los intrusos
fuera, permitiendo que la empresa opere normalmente
�LA SP NO ES
Un componente aislado
ES
Una estrategia para proteger
organizacin conectada a la red
los recursos
de una
Corresponde tambin a la realizacin prctica de la poltica
de seguridad de una organizacin (sin una poltica de
seguridad, la SP no sirve para nada).
Adems, condiciona la credibilidad de una organizacin en
internet
�EJEMPLOS DE SEGURIDAD PERIMETRAL
Permitir slo ciertos tipos de trfico o en ciertos nodos
Proporcionar un nico punto de conexin con el exterior
Redirigir el trfico entrante a los sistemas adecuados dentro
de la intranet
Ocultar Sistemas o servicios vulnerables que no son fciles
de proteger desde internet
Auditar el trfico interior como exterior
Ocultar informacin, tales como: nombres de sistemas,
topologa de red , tipos de dispositivos de red , cuentas de
usuarios activos internos.
�ESTRUCTURA DEL PERMETRO
La frontera perimetral de una red
incluye:
Routers: Router frontera es el
ltimo Router que se controla
antes de internet , es la
primera y ltima lnea de
defensa, filtrado inicial y final
Cortafuegos FW (Firewalls)
Tienen un conjunto de reglas
que especifica qu trfico
acepta o deniega (bloquea
trfico, habilita trfico).
�TIPOS DE FIREWALL
TIPOS DE FIREWALL
Por Software
Funcin
Monitorear y bloquear el trafico
de Internet
Normalmente instalado en los
Routers utilizados para acceder a
internet.
Por Hardware
Caracterstica
Los equipos que estn con este
Router, significa que se
encuentran detrs de un firewall.
�SISTEMA DE DETECCIN DE INTRUSOS (IDS)
Formado por un conjunto de sensores
localizados
estratgicamente en la red interna para detectar ataques; se
basa en firmas conocidas de ataques .
Su misin es el anlisis del trafico de red lo cual compara con
firmas de ataques conocidos o algn comportamiento
sospechoso como paquetes mal formados o el escaneo de
puertos.
�TIPOS DE IDS-HIDS
HIDS (por host) (Host Intrusion Detection System) :
Analiza el trfico sobre un servidor o un pc se preocupan de lo
que est sucediendo en cada host.
Son capaces de detectar situaciones como los intentos fallidos
de acceso o modificaciones en archivos considerados crticos.
�TIPOS DE IDS-HIDS
Las ventajas que aporta el HIDS son:
Herramienta potente, registra comandos utilizados, ficheros
abiertos,...
Tiende a tener menor nmero de falsos-positivos que los NIDS,
entendiendo falsos-positivos a los paquetes etiquetados como
posibles ataques cuando no lo son.
Menor riesgo en las respuestas activas que los IDS de red.
�TIPOS DE IDS-HIDS
Los inconvenientes son:
Requiere instalacin en la mquina local que se quiere proteger, lo que
supone una carga adicional para el sistema.
Tienden a confiar en las capacidades de auditoria y logging de la
mquina en s.
�TIPOS DE IDS-NIDS
NIDS (por red) (Network Intrusion Detection System) : Detecta
posibles ataques en el segmento de red. Debe funcionar
constantemente capturando todo el trfico de red y as
detectar alguna irregularidad.
Se compone de:
Un sensor: situado en un segmento de la red, la monitoriza en busca
de trfico sospechoso
Una Consola: recibe las alarmas del sensor o sensores y dependiendo
de la configuracin reacciona a las alarmas recibidas.
�TIPOS DE IDS-NIDS
Las principales ventajas del NIDS son:
Detectan accesos no deseados a la red.
No necesitan instalar software adicional en los servidores en
produccin.
Fcil instalacin y actualizacin por que se ejecutan en un sistema
dedicado
�TIPOS DE IDS-NIDS
Como principales desventajas se encuentran:
Examinan el trfico de la red en el segmento en el cual se conecta,
pero no puede detectar un ataque en diferentes segmentos de la red.
La solucin ms sencilla es colocar diversos sensores.
Pueden generar trfico en la red.
Ataques con sesiones encriptadas son difciles de detectar.
�DMZ (Demilitarized Zone)
Es una red local que se ubica entre la red interna (LAN) de una
organizacin y una red externa (internet)
�Objetivo
Es que las conexiones desde la red interna y la externa a la
DMZ estn permitidas, mientras que las conexiones desde la
DMZ slo se permitan a la red externa.
�Funcin
Los equipos en la DMZ no se
pueden conectar con la red
interna, esto permite que
los equipos de la DMZ
puedan dar servicios a la
red externa a la vez que
protegen la red interna en
el caso de que intrusos
comprometan la seguridad
de los equipos situados en
la DMZ.
�Esquemas de implementacin
�USO DE LA DMZ
La DMZ se usa habitualmente para ubicar servidores que es
necesario que sean accedidos desde fuera, como servidores
de e-mail, Web y DNS.
�FILTRADO DE PAQUETES
Componente del firewall que se encarga de revisar las
cabeceras de los paquetes que pasan por el firewall y toman
decisiones dependiendo de la cabecera para el destino de
cada uno de los paquetes, el filtro puede aceptar, rechazar o
descartar el paquete.
La misin del filtro es regular y controlar el trfico de datos de
un computador o una red.
�PROXY
Servidor que sirve de
intermediario entre
un navegador web e
internet.
Filtra el contenido
WEB,
configuradas
previamente por el
administrador de red.
�VPN
Una VPN (Virtual Private Network) es una tecnologa de red
que se utiliza para conectar una o ms computadoras a una
red privada utilizando Internet.
Las empresas suelen utilizar una VPN para que sus empleados
desde sus casas, hoteles, etc., puedan acceder a recursos
corporativos que de otro modo, no podran.
�SEGURIDAD WIRELESS- RIESGOS
Errores de configuracin:
Solicitud de autenticacin va password deshabilitada.
SSID no requeridos o establecidos por defecto.
Llaves WEP establecidas por defecto.
�ALGUNOS MECANISMOS DE SEGURIDAD
Uso de WDMZ (Wireless DMZ )
Proteger este segmento con FW, IDS y mecanismos de autenticacin y control de
acceso a la red interna.
Configurar todos los mecanismos de seguridad disponibles
Cambio de configuracin por defecto
Control de acceso va password.
Habilitar control por MAC (si es soportado).
