c



c
 
 


Hay dos elementos imprescindibles que son los cortafuegos y los proxys.

La configuración de una red domestica como la que habitualmente tienes en casa es mucho
más simple donde el router ejerce como cortafuegos.

 
   

Un cortafuegos es un sistema que audita y evita los intentos de conexión no deseados tanto
desde los equipos hacia la red como de la red hacia los equipos.

Un cortafuegos puede ser tanto un dispositivo hardware como software, es decir, podemos
tener una maquina diseñada específicamente para esta función o utilizar una aplicación que se
instala es uno de los equipos conectados a la red.

Además del filtrado de paquetes, el uso de unos cortafuegos nos ofrece una serie de servicios
adicionales y muy útiles para proteger el buen uso de nuestra red y nuestros servidores.

   


Existen dos criterios de clasificación principales de los cortafuegos, uno basado en al

tecnología implementada y otro en su ubicación dentro del sistema.

-Según su ubicación

La ubicación de los cortafuegos va intrínsecamente relacionada con el sistema que se

requiere proteger. Podemos distinguir entre dos tipos de cortafuegos en función de donde se
localicen

.-cortafuegos de sistema o personales

.-cortafuegos de subredes

 
  


Este tipo de cortafuegos se instala en el equipo del usuario y proporciona cinco funciones
principales

-permite supervisar todas las conexiones con el exterior

-permite monitorizar los programas locales que tratan de acceder a internet para que
el usuario decida si si o si no

-Permite bloquear los posibles intentos de intrusión

-Realiza un registro de todas las conexiones realizadas

-Algunos de ellos incorporan filtro antiespam

 
   

Tienen como objetivo aplicar una política de seguridad a un grupo de sistemas desde un único
punto. Se agrupan los sistemas en zonas de modo que se aplican las mismas redes a cada zona

Sus principales funciones son.

.-Autorización de servicios (entrantes y salientes)

.-control de acceso basándose en la entidad del usuarios o equipo

.-registro y monitorización de acceso a la red

Ventajas-

-facilita su administración

-hace más sencilla la vigilancia

Desventajas-

-Si te equivocas expones a mas equipos

   

 



˜
  
     determina que paquetes ip deben pasar
mirando las direcciones de origen y de destino

˜
  
   
 Estos cortafuegos analizan todos los paquetes de
datos de un determinado servicio en su conjunto, no como paquetes independientes, por lo
que son exclusivos para un servicio.

º
    

Las reglas de filtrado de paquetes nos permitirán establecer políticas de seguridad para
nuestro sistema, evitando los accesos no autorizados sin crear inconvenientes a los accesos
que si queremos permitir.

Estas reglas se suelen expresar como una tabla de condiciones y acciones que se consulta
hasta que se encuentra con la regla que permita tomar una decisión la cual hace
especialmente importante que las reglas se establezcan en el orden de prioridad.

Autoprotección de los cortafuegos.- no se permitirá ningún datagrama dirigido directamente al

firewall

Reglas de salida.- que pueden ser permisivas o restrictivas

Reglas de entrada.- esta todo prohibido excepto aquellas excepciones que específicamente
hayan sido autorizadas.
   


˜riterios para escoger un firewall.

-política de seguridad del sistema o la empresa

-nivel de monitorización y control

-económico

-Localización

-Elementos físicos

-Sistema operativo

     


La arquitectura dual-home host se basa en el uso de equipos con dos o mas tarjetas de red.
Una de estas tarjetas se conecta a la red interna que se quiere proteger y la otra a una red
externa, normalmente a internet.

La arquitectura screened-host combian el uso de un router con un bastión, de modo que el

filtrado de paquetes se produce en primer lugar en el router. El bastioón es el único sistema al
que se puede acceder desde el exterior.

El bastión se aisla en una red perimétrica, de la zona DMZ, que se situa entre la red externa y la
red interna, limitada por dos routers, como se ve en la figura, que muestra un esquematipico
de una arquitectura con zona desmilitarizada.

  



Los sistemas incorporan logs donde registran información sobre que usuarios y en que
momento abren o cierran una sesión

Tipos de datos

Registros Windows- errores advertencias o información del sistema operativo

Registro de aplicaciones y servicios- incluyen información de programas

independientes

 !

Un proxy desde un punto de vista general es un equipo que hace de intermediario, es decir, se
encarga de realizar acciones en representación de otros. Recibe peticiones de recursos de red
de los equipos clientes y gestionarlas por ellos

Es un elemento de la red por el que pasa todo el trafico entre la red interna y la externa
(internet) . Realiza las peticiones externas en nombre de lo de la red interna descartando
aquellas que no cumplen las reglas.
 
 !

-Permite definir los permisos que tienes los usuarios de la red interna sobre los servicios,
dominios y direcciones ip externas.

-Todos los usuarios de la red interna comparten una única IP desde internet no se puede
diferenciar unos de otros

-Puesto que todo el tráfico circula de la red interna hacia internet y viceversa pasa por el
proxy, Se puede auditar el uso que se hace de internet

-permite almacenar las paginas recientemente consultadas en una cache posteriormente se

vuelve a consultar se puede servir más rápidamente

º  
 !

Para comprender un poco mas en detalle el funcionamiento de una red cuando utilizamos el
proxy vamos a centrarnos en una petición sencilla de un equipo de la red a google.com

˜uando un usuario solicita una pagina web, como por ejemplo www.google.es , se construye
un paquete en el que el origen es su dirección IP y el puerto es uno aleatorio y libre asignado
por el sistema operativo (por ejemplo ip 192.168.1.72 y puerto 5230) como destino puerto
que esta utilizando un proxy pone la dirección y el puerto del proxy 182.168.1.1 y puerto 80

c

Es uno de los proxys mas utilizados en Linux es muy sencillo de instalar

͞apt-get install squid

˜omo todas las aplicaciones de Linux tiene un fichero .conf donde se configuraran todos los
parámetros del mismo.

"
 

Iniciamos la instalación de wingate en el equipo que hará de proxy y lo primero que nos
preguntara es si queremos instalar el servidor o el cliente, seleccionamos instalar wingate
server

c
   

#$

Ventajas-

 
 nos permite conectarnos desde cualquier punto dentro del alcance

%

 podemos añadir equipos fácilmente y con un coste reducido

º
!
 permite colocar un equipo en cualquier punto no es necesario una toma
de red

Desventajas
    $  el ancho de banda es mucho menor

c
 cualquiera que esté en el alcance de la red puede aprovechar una

vulnerabilidad para colarse en la red y descifrar mensajes

&    la red es mucho más sensible a interferencias

 

"&º&

El estándar IEEE 802.11 define los dos primeros niveles de la capa OSi para las redes de area
local inalámbricas (WLAN).

Tecnologia ad-hoc lo más habitual es la tipología infraestructura en la que existe un punto de

acceso que es el encargado de gestionar el proceso de comunicación entre todas las
estaciones wifi

c
 

Lo que habitualmente queremos es controlar quien se conecta a nuestra red para ello
podemos aplicar varias medidas de seguridad, que se puedan agrupar según el nivel en que se
aplican

'
 En este nivel podemos intentar controlar la señal producida por los puntos
de acceso y las interferencias recibidas, a través de la utilización de diferentes antenas
podemos intentar conseguir que la señal salga lo menos posible de los límites deseados

'
  
 en el nivel de enlace hay mucha variedad de medidas que podemos
tomar para conseguir este objetivo

-controlar el acceso a través de una contraseña común para todos los clientes

c
"% (wire equvalent privacy) es el sistema de cifrado que se utilizo inicialmente

para cifrado del protocolo 802.11. Intenta dar a las redes inalámbricas la seguridad que se
tiene en las redes cableadas

-WEP utiliza un algoritmo llamado R˜ para a partir de la clave wep y de un vector de

inicialización de 2 bits generar una secuencia aleatoria llamada semilla la cual utilizará para
cifrar la comunicación con el punto de acceso

El resultado es una trama en al que la cabecera y el vector de inicialización van sin cifrar y
tanto los datos como el ˜R˜ van cifrados

c
" 

Los estándares WPA WPA2se centran en asegurar el proceso de autenticación y el cifrado de

las comunicaciones, en ambos estándares se proponen dos soluciones para la autenticación,
una empresarial y otra para pequeñas empresas y hogares

"  $ 

( requiera la utilización de servidores RADIUS
 "   
utiliza un método de autenticación que requiere compartir una clave
entre todas las estaciones de red. Es más apropiado para pequeñas empresas y hogares