Seguridad Perimetral

Viernes 4 de Marzo de 2005

Facultad Regional Concepcin del Uruguay

Universidad Tecnolgica Nacional

Gabriel Arellano
arellanog@frcu.utn.edu.ar

Introduccin
Seguridad informtica
La seguridad informtica se encarga de proteger
la informacin, ms especficamente, podemos
definir que lo lograr preservando su:
Confidencialidad.
Disponibilidad.
Integridad.
Autenticidad.

Introduccin
La mayora de las empresas sufren la problemtica de
seguridad debido a sus necesidades de acceso y
conectividad con:

Internet.
Conectividad mundial.
Red corporativa.
Acceso Remoto.
Proveedores.

Introduccin
Qu elementos deberan protegerse?
Se deberan proteger todos los elementos de la
red interna, incluyendo hardware, software e
informacin, no solo de cualquier intento de
acceso no autorizado desde el exterior sino
tambin de ciertos ataques desde el interior que
puedan preveerse y prevenirse.

Introduccin
Cmo protegerlos?
Paradigmas de seguridad:
Lo que no se prohibe expresamente est permitido.
Lo que no se permite expresamente est prohibido.

Mtodos de defensa:
En profundidad.
Perimetral.

Introduccin
Seguridad Perimetral
La seguridad perimetral es uno de los mtodos
posibles de defensa de una red, basado en el
establecimiento de recursos de segurizacin en el
permetro externo de la red y a diferentes
niveles.
Esto nos permite definir niveles de confianza,
permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y
denegando cualquier tipo de acceso a otros.

Introduccin

Infraestructura tpica

Introduccin

Ubicacin de los recursos pblicos

Introduccin

Centralizacin de los puntos de

administracin y control.

Introduccin

Centralizacin de los puntos de

administracin y control.

Zona Desmilitarizada (DMZ)

Construcciones de "Muro Doble"
Algunos firewalls se construyen con la tcnica de
"muro doble", en este caso el firewall consta de
dos sistemas separados fsicamente (muro
exterior e interior) conectados por una red semiprivada, si alguien es capaz de comprometer el
muro exterior, el muro interior protege la red
impidiendo el acceso desde la red semi-privada y
aislando la red interior.

Zona Desmilitarizada (DMZ)

Esquema de muro doble

Zona Desmilitarizada (DMZ)

El muro exterior slo permite el trfico hacia los
servidores semi-pblicos alojados en la DMZ.
El muro interior se rige por el "pesimismo", esto
es, solo acepta paquetes si responden a una
peticin originada en el interior de la red o que
provienen de uno de los servidores alojados en la
DMZ (por defecto guarda toda la informacin
sobre las transacciones).

Alternativas de Implantacin
Uso de routers apantallados
Un router es un dispositivo cuya misin es
conectar dos o ms redes. En una definicin ms
amplia se trata de cualquier dispositivo que
cuente con dos o ms interfaces conectadas a
redes diferentes y que controle el trfico de
paquetes entre las redes que conecta.
El "router apantallado", en cambio, analiza el
paquete de informacin al detalle y establece si
puede ser enviado a su destino en funcin de las
polticas de seguridad del sistema.

Alternativas de Implantacin

Implantacin usando routers apantallados

Alternativas de Implantacin

Implantacin usando un host

con varias interfaces

Alternativas de Implantacin
Uso de firewalls
Un firewall puede ser un sistema (software o
hardware), es decir, un dispositivo fsico que se
conecta entre la red y el cable de la conexin a
Internet, como en el caso del CISCO PIX, o bien
un programa que se instala en el sistema que
tiene la interface que conecta con Internet, como
el Firewall-1 de CheckPoint.
Incluso podemos encontrar PCs muy potentes y
con paquetes software especficos que lo nico
que hacen es monitorear en tiempo real las
comunicaciones entre redes.

Alternativas de Implantacin

Implantacin usando firewalls.

Alternativas de Implantacin
Uso de proxys
Adems del filtrado de paquetes, es habitual que
se utilicen aplicaciones (software) para reenviar o
bloquear conexiones a servicios como por
ejemplo telnet, HTTP o FTP. A tales aplicaciones
se les denomina "servicios proxy", mientras que
al sistema donde se ejecutan se le llama
"gateway de aplicacin".

Alternativas de Implantacin
Uso de proxys
Los servicios proxy poseen una serie de ventajas
tendientes a incrementar la seguridad; en primer
lugar, permiten nicamente la utilizacin de
servicios para los que existe un proxy, por lo que
si en la organizacin el "gateway de aplicacin"
contiene nicamente proxies para telnet, HTTP y
FTP, el resto de servicios no estarn disponibles
para nadie.

Alternativas de Implantacin

Implantacin usando un
servidor proxy.

Alternativas de Implantacin

Implantacin usando un
servidor proxy.

Otros aspectos a considerar

Conexin de Extranets.

Otros aspectos a considerar

Conexin de sucursales,
proveedores y usuarios remotos.

Otros aspectos a considerar

Mtodos alternativos (y en algunos

casos no autorizados) de acceso.

Preguntas?

Muchas Gracias.
Ing. Gabriel E. Arellano
arellanog@frcu.utn.edu.ar
MSN: aretche@hotmail.com

Esta presentacin est disponible en http://cisco.frcu.utn.edu.ar