Seguridad Perimetral en Redes: DMZ, Proxies y Cortafuegos

Entrada publicada en Informática y etiquetada ciberseguridad Cortafuegos DMZ firewall Proxy Redes seguridad de red seguridad perimetral el por .

DMZ (Zona Desmilitarizada)

Una DMZ, o zona desmilitarizada, es una red de área local que se sitúa entre la red interna de una organización y una red externa. En ella se ubican los servidores que necesitan ser accesibles desde el exterior, como servidores HTTP, DNS, FTP, entre otros.

Habitualmente, se utilizan dos cortafuegos. La DMZ se encuentra conectada entre ambos: uno conectado a la red interna y otro a la red externa. La política de seguridad en estos casos suele ser la siguiente:

  • Desde la red externa hacia la DMZ: autorizado.
  • Desde la red externa hacia la red interna: prohibido.
  • Desde la red interna hacia la DMZ: autorizado.
  • Desde la red interna hacia la red externa: autorizado.

Imagen

Importante:

  • Los cortafuegos no deben instalarse a pares, ya que suelen bloquearse entre ellos.
  • Un cortafuego en cada equipo de la LAN ralentiza el funcionamiento.
  • Solución recomendada: Instalar el cortafuego en el servidor proxy.

Tipos de Cortafuegos

  • Firewalls basados en servidores: La aplicación de firewall se instala y ejecuta en un sistema operativo de red (NOS), junto a otros servicios como enrutamiento, proxy, DNS, DHCP, etc.
  • Firewalls dedicados: Equipos dedicados a trabajar de forma autónoma como cortafuegos.
  • Firewalls integrados: Se integran en un dispositivo hardware para ofrecer la funcionalidad de firewall.
  • Firewalls personales: Se instalan en los distintos equipos de la red para protegerlos individualmente de amenazas externas.

Tipos de Ataques

  • Interrupción: Un objeto, servicio o dato en una comunicación se pierde y queda no disponible.
  • Interceptación: Un elemento no autorizado consigue acceso a un objeto.
  • Modificación: Se consigue acceso a un objeto y se modifica o destruye.
  • Fabricación: Modificación destinada a conseguir un objeto similar al atacado para que no se pueda distinguir.
  • Man in the Middle (MitM): Se utiliza para suplantar una identidad en una red interceptando y modificando los paquetes de la persona a la que suplantamos.
  • Denegación de Servicio (DoS): Causa que un servicio o recurso sea inaccesible a los usuarios legítimos.
  • Spoofing: Técnica de suplantación de identidad realizando una copia, por ejemplo, de la IP, MAC, etc.
  • Pharming: Técnica mediante la cual, por alguna vulnerabilidad, se modifican las tablas DNS para redirigir un nombre de dominio a otra máquina distinta.
  • Sniffing: Técnica de interceptación que consiste en rastrear y monitorizar el tráfico de una red.

IDS (Sistema de Detección de Intrusos)

Un IDS es un sistema de detección de intrusos que busca intentos de comprometer la seguridad de un sistema. Tipos:

  • HIDS: Protegen un único servidor o host.
  • NIDS: Protegen una red entera.

Arquitectura: Está formada por una fuente de recogida de datos, reglas y filtros, y un dispositivo generador de informes y alarmas.

Comunicaciones Seguras

SSL y TLS: Protocolos criptográficos que proporcionan comunicaciones seguras en la red.

IPSEC: Conjunto de protocolos cuya función es asegurar las comunicaciones sobre el protocolo IP.

VPN (Red Privada Virtual)

Una VPN es una red virtual privada que proporciona seguridad, ya que controla la autenticación, autorización, integridad, confidencialidad y no repudio. Tipos:

  • VPN de acceso remoto.
  • VPN punto a punto.
  • VPN over LAN.

Cortafuegos Perimetrales

Ofrecen protección mediante un filtrado de puertos y conexiones hacia y desde el exterior de una red privada.

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *