1. 1EjercicioSEGURIDAD EN REDESSeguridad y Alta Disponibilidad

2. 2Planteamiento inicial Una empresa nos contrata para evaluar las medidas de seguridad de suarquitectura de red informtica. Segn el diagrama que nos hanfacilitado, vemos que todoslos equipos se conectandirectamente a Internet atravs de un router, lo cualpodra acarrear problemas. Qu alternativas propondramospara conseguir una red mssegura? 3. 3Anlisis de seguridad Red plana sin segmentar. No hay elementos demonitorizacin. No se filtra trfico de entradani salida. Publicacin de serviciosinternos: base de datos. No se verifica malware o spamen el correo electrnico. Cliente remoto accededirectamente a servicios 4. 4Propuestas de mejora 5. 5Cortafuegos (Firewalls) Elemento de red donde se define la poltica de accesos. Permite o deniegael trfico segn se definan sus reglas. Dos filosofas distintas de uso:Poltica permisiva (lista negra): Se acepta todo menos lo que se deniegaexplcitamente.Poltica restrictiva (lista blanca): Se deniega todo menos lo que se aceptaexplcitamente. 6. 6Cortafuegos - Tipos Clasificacin segn la ubicacin en la que se encuentra el firewall: Firewalls basados en servidores: consta de una aplicacin de firewall quese instala y ejecuta en un sistema operativo de red (NOS), junto a otra seriede servicios de enrutamiento, proxy, DNS, DHCP, etc Firewalls dedicados: equipos que tienen instalado una aplicacin especficade cortafuegos y que trabajan de forma autnoma como cortafuegos. Firewalls integrados: se integran en un dispositivo hardware para ofrecer lafuncionalidad de firewall. Ejemplos: switches o routers que integran funcionesde cortafuegos. Firewalls personales: se instalan en los distintos equipos de la red de formaque los proteja individualmente de amenazas externas. Ejemplo: el cortafuegospreinstalado en el sistema operativo Windows para un PC domstico. 7. 7Arquitecturas de cortafuegos Screening router Dual Homed-Host Un router, como frontera entre la red privada y laUn equipo servidor como frontera que realiza tareas red pblica, realiza tareas de filtrado.de filtrado y enrutamiento mediante al menos 2 tarjetas de red. Screened Host Screened Subnet Combina un router como equipo fronterizo y un Se crea una subred intermedia entre la red externa servidor proxy que filtrar y permitir aadir reglas y la red privada interna, denominada DMZ (o zona de filtrado.desmilitarizada) 8. 8Zona Desmilitarizada (DMZ) Red local intermedia, ubicadaentre la red interna y la redexterna (Internet). Utilizada para servicios pblicos:correo electrnico, web, DNS,FTP Estos servicios son los quems ataques reciben. Creada mediante uno o doscortafuegos que restringe eltrfico entre las tres redes. Desde la DMZ no se permitenconexiones a la red interna. 9. 9IDS / IDPS IDS: Sistemas de Deteccin de Intrusos.- HIDS: Host IDS.- NIDS: Network IDS. Instalacin de NIDS en las 3interfaces IDPS: Sistemas de Deteccin y Prevencin de Intrusos. Pueden bloquear ataques 10. 10Pasarela Antivirus y AntiSpam Sistemas intermedios que filtran contenido malicioso en canales deentrada a la red. Deteccin de malware en pasarelas web y servidores de correo. 11. 11Redes Virtuales Privadas (VPN) Es un tipo de red que utiliza unainfraestructura pblica (y por lotanto no segura) para acceder auna red privada de formaconfiable. Es comnmente utilizada paraconectarusuarios remotos,sucursales u oficinas con suintranet (punto a punto). 12. 12Ejemplo de arquitectura con seguridad Instalacin de cortafuegos. DMZ y Red Interna Poltica restrictiva Segmentacin de serviciospblicos: web y pasarelaantivirus/antispam. Instalacin de NIDS en lastres interfaces para conocertodos los ataques posibles. Servicios internos movidos:base de datos y correo. Instalacin de antispam yantivirus. Clientes remotos usan VPN