100 likes | 281 Views
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral. Punto 2 – Arquitecturas de Cortafuegos. Juan Luis Cano. Cortafuegos.
E N D
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral Punto 2 – Arquitecturas de Cortafuegos Juan Luis Cano
Cortafuegos Uncortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Existen varias arquitecturas para garantizar el acceso privado, como son…
Cortafuegos de Filtrado de Paquetes Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del stack de protocolos TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP. En este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC.
Cortafuegos Dual Homed Host Básicamente es un servidor con dos tarjetas de red, una dirigida a Internet y otra dirigida a la red interna, que actúa como Host Bastion permitiendo o denegando todos los paquetes que entren y salgan de la red. También puede utilizarse entre redes internas.
Cortafuegos Screened Host En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se permiten un número reducido de servicios.
Cortafuegos ScreenedSubnet (DMZ) Una zona desmilitarizada (DMZ, demilitarizedzone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet.
Objetivos de la DMZ El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
Modelo ScreenedSubnet En la ScreenedSubnet se utilizan dos routers que protegen la zona desmilitarizada, cortando todo el tráfico en ambos sentidos y asegurando la DMZ.
ThreeLegged Firewall La comúnmente llamada DMZ de tres patas, es una DMZ que no es tan segura como la ScreenedSubnet descrita anteriormente. En vez de dos routers que aseguren la zona, se utilizará solo uno de los dichos para ese propósito.