Está en la página 1de 6

UNIVERSIDAD FACULTAD DE LA ENERGÍA, LAS

NACIONAL INDUSTRIAS Y LOS RECURSOS


NATURALES NO RENOVABLES
DE LOJA
Estudiante: Karla Condoy INGENIERÍA EN ELECTRÓNICA Y
Ciclo: Noveno Ciclo. TELECOMUNICACIONES
Fecha: 14 enero 2019 REDES LAN Y WAN

FIREWALLS O CORTAFUEGOS

Los firewalls o cortafuegos son dispositivos diseñados para bloquear el acceso no autorizado.

El cortafuego se inserta entre la red corporativa e Internet para establecer un enlace


controlado y levantar un muro de seguridad exterior o perímetro. El objetivo de este
perímetro es proteger la red corporativa de ataques procedentes de internet y proporcionar
un único punto de resistencia donde implantar la seguridad y la auditoria. El cortafuego puede
ser un único sistema o un conjunto de dos o más sistemas que cooperan para realizar la
función de cortafuegos.

Objetivos de diseño de cortafuegos

 Todo el tráfico desde el interior hacia el exterior, y viceversa, debe pasar a través del
cortafuego.
 Se permitirá pasar solamente el tráfico autorizado, definido por la política de
seguridad local. Se utilizan diferentes tipos de cortafuegos que implementan
diferentes tipos de políticas de seguridad.
 El propio cortafuegos es inmune a la penetración. Esto implica que utiliza un sistema
de confianza con un sistema operativo seguro.
Capacidades de los cortafuegos:
 Un cortafuegos define un punto único de resistencia que mantiene a los usuarios no
autorizados fuera de la red protegida, prohíbe la entrada o salida de la red de
servicios potencialmente vulnerables y proporciona protección frente a distintos
tipos de ataques de suplantación de IP (spoofing) y de enrutamiento.
 Un cortafuegos proporciona una ubicación para supervisar sucesos relacionados con
la seguridad. En los sistemas cortafuegos se pueden implementar auditorías y
alarmas.
 Un cortafuegos es una plataforma adecuada para distintas funciones de Internet que
no están relacionadas con la seguridad. Entre éstas se incluye un traductor de
direcciones de red, que hace corresponder direcciones locales con direcciones de
Internet, y una función de gestión de red que audita o registra el uso de Internet.
 Un cortafuegos puede servir como plataforma para IPSec. Utilizando la capacidad del
modo túnel, el cortafuegos puede utilizarse para implementar redes privadas
virtuales. [1]

Diseño e Implementación
La figura 1 muestra los 3 tipos de cortafuegos más comunes: filtradores de paquetes, pasarelas
del nivel de aplicación y pasarelas del nivel de circuito. A continuación, examinaremos cada
uno de ellos.

Fig. 1 Tipos de Cortafuegos


Router de filtrado de paquetes

Es la configuración más simple, consiste en el empleo de un Router de selección para filtrar el


tráfico de entrada y de salida a la red local. Se basa en la creación de ACL ( access control list),
que permiten o deniegan el tráfico. En la figura 1a se puede ver que el Router se sitúa en la
conexión con la red externa y se encarga de canalizar, además del filtrado, los paquetes entre
la red interna y externa, en este caso el trafico HTTP. Desde el punto de vista tecnológico es
la implementación más barata y simple, pero no es un diseño.

Pasarela a nivel de aplicación

Funciona del mismo modo que un servidor proxy. Esta implementación emplea un servidor
que proporciona servicios proxy. Este servidor intercepta el tráfico de usuario y responde
como si se tratase del servidor que provee el servicio. La seguridad radica en que las
conexiones nunca se establecen con el servidor situado en la red interna, sino que finalizan en
la DMZ (demilitarized zone). La figura 1b, representa un ejemplo de esta implementación.

Pasarela a nivel de circuito

Es la evolución del filtrado de paquetes tradicional. Al igual que este utiliza ACL (access control
list), pero además lleva un registro del estado de las conexiones establecidas. El firewall no

aceptará tráfico de entrada a no ser que ese tráfico corresponda a una conexión que se haya
establecido o a una conexión que se esté iniciando desde la red interna. Además, esta
tecnología permite realizar filtrados basándose en la capa 7 del modelo OSI. Sin embargo, en
conexiones UDP, al no establecer una sesión, no es posible llevar un registro y es necesario
utilizar el método de filtrado tradicional. [2]

Sistemas de confianza

Una manera de mejorar la habilidad de un sistema para defenderse de intrusos y programas


dañinos es implementar la tecnología de sistemas de confianza.
La mayor parte de lo discutido hasta el momento está relacionada con la protección de un
mensaje o elemento frente a un ataque pasivo o activo por parte de un usuario dado. Un
requisito ligeramente diferente pero muy aplicable es proteger datos o recursos en función
de niveles de seguridad.
Cuando se definen múltiples niveles de datos, el requisito se conoce como seguridad
multinivel. La regla general del requisito de seguridad multinivel consiste en que un sujeto de
un alto nivel no puede transmitir información a un sujeto de un nivel inferior o no comparable
a menos que ese flujo refleje con precisión la voluntad de un usuario autorizado. Para la
implementación, este requisito consta de dos partes y se expresa de manera sencilla. Un
sistema multinivel seguro debe imponer:
 No leer hacia arriba (no read up): un sujeto solamente puede leer un objeto de un
nivel de seguridad inferior o igual. A esto se le conoce como prioridad de seguridad
simple.
 No escribir hacia abajo (no write down): un sujeto solamente puede escribir en un
objeto de un nivel de seguridad superior o igual. A esto se le conoce como propiedad.

Para un sistema de procesamiento de datos, el enfoque que se ha adoptado, y que ha sido


objeto de investigación y desarrollo, se basa en el concepto de monitor de referencia. El
monitor de referencia es un elemento de control en el hardware y en el sistema operativo de
un computador que regula el acceso de sujetos a objetos en función de parámetros de
seguridad del sujeto y del objeto. El monitor de seguridad impone las reglas de seguridad (no
leer hacia arriba, no escribir hacia abajo) y tiene las siguientes propiedades:
 Mediación completa: las reglas de seguridad se aplican en cada acceso.
 Aislamiento: el monitor de referencia y la base de datos están protegidos de
modificaciones no autorizadas.
 Verificabilidad: el correcto funcionamiento del monitor de referencia debe ser
demostrable.
Estos requisitos son consistentes. El requisito de mediación completa significa que debe
mediarse para cada acceso a datos de memoria principal o de disco y de cinta magnética. Las
implementaciones puramente software imponen una penalización demasiado alta de las
prestaciones para que sea una opción práctica; la implementación debe ser, al menos
parcialmente, hardware. El requisito de aislamiento significa que debe ser imposible que un
atacante, no importa lo astuto que sea, cambie la lógica del monitor de referencia o los
contenidos de la base de datos fundamental de seguridad. Finalmente, el requisito de
demostración matemática es excelente para algo tan complejo como un computador de
propósito general. A un sistema que puede proporcionar estos requisitos se le denomina
sistema de confianza.
SEGURIDAD EN GESTIÓN DE REDES
Un sistema de gestión de redes es un conjunto de herramientas para supervisar y controlar
las redes.
Un sistema de gestión de red se compone de hardware y software adicionales implementados
entre los componentes de red existentes. El software que se emplea en las tareas de gestión
de red reside en los host y en los procesadores de comunicaciones (por ejemplo, procesadores
frontales (front-end), controladores de grupos de terminales). Un sistema de gestión de red
está diseñado para ver toda la red como una arquitectura unificada, con direcciones y
etiquetas asignadas a cada punto y los atributos específicos de cada elemento y enlace
conocidos por el sistema. Los elementos activos de la red proporcionan una retroalimentación
regular de la información de estado al centro de control de red.
El modelo de gestión de red que se usa para SNMP incluye los siguientes elementos
fundamentales:
 Estación de gestión
 Agente de gestión
 Base de información de gestión
 Protocolo de gestión de red
Las aplicaciones de gestión de redes utilizan el protocolo SNMP, y éste a su vez está apoyado
en el protocolo de la capa de trasporte UDP. Por lo tanto, SNMP es un protocolo no
orientado a la conexión. Utiliza los puertos 161 y 162. [3]
Arquitectura del protocolo de gestión de red.

En 1988 se publicó la especificación para SNMP y rápidamente se convirtió en el estándar


predominante de gestión de red. Una serie de distribuidores ofrecen estaciones de gestión de
red autónomas basadas en SNMP, y la mayoría de los vendedores de puentes, routers,
estaciones de trabajo y computadores personales ofrecen paquetes de agente SNMP que
permiten que sus productos sean gestionados por una estación de gestión SNMP.
Como e l nombre sugiere, SNMP es una herramienta sencilla para la gestión de red. Define
una base de información de gestión (MIB), limitada y de fácil implementación, de variables
escalares y tablas de dos dimensiones, y define un protocolo más eficiente para permitir que
un administrador obtenga y establezca variables de la MIB y que un agente emita
notificaciones no solicitadas, llamadas interceptaciones (traps). La robustez de SNMP se basa
en esta simplicidad. SNMP se implementa fácilmente y consume una cantidad moderada de
recursos de procesador y de red. Además, las estructuras del protocolo y de la MIB son lo
suficientemente sencillas para facilitar la interacción entre las estaciones de gestión y
software de agente de diversos vendedores.
Las tres especificaciones fundamentales son:
 Estructura e identificación de la información de gestión para redes basadas en TCP/IP
(RFC 1155): describe cómo se definen los objetos gestionados contenidos en la MIB
 MIB para la gestión de red de redes basadas en TCP/IP: M1B-II (RFC 1213): describe
los objetos gestionados contenidos en la M IB
 Protocolo simple de gestión de red (RFC 1157): define el protocolo empleado para
gestionar estos objetos.
SNMP se diseñó como protocolo del nivel de aplicación para formar parte de la suite de
protocolos TCP/IP. Fue pensado para operar sobre UDP (User Datagram Protocol), definido en
la RFC 768. Para una estación de gestión independiente, un proceso de administrador controla
el acceso a la MIB central en la estación de gestión y proporciona una interfaz al administrador
de red. El proceso de administrador consigue la gestión de la red usando SNMP, que se
implementa sobre UDP, IP y los protocolos dependientes de la red de que se trate.

REFERENCIAS BIBLIOGRÁFICAS

[1]W. Stallings, Fundamentos De Seguridad En Redes Aplicaciones y Estandares, 2nd ed.

Madrid: Pearson Educación SA, 2004.


[2]C. Valdivia Miranda, Redes telemáticas, 1st ed. Madrid: Ediciones Paraninfo, SA, 2015.
[3]Prácticas de redes. [S.l.]: Julián Verón Piquero, 2009.