arquitecturas de cortafuegos
Download
Skip this Video
Download Presentation
Arquitecturas de cortafuegos

Loading in 2 Seconds...

play fullscreen
1 / 6

Arquitecturas de cortafuegos - PowerPoint PPT Presentation


  • 123 Views
  • Uploaded on

Arquitecturas de cortafuegos . Gabriel Montañés León. Cortafuego de filtrado de paquetes.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Arquitecturas de cortafuegos ' - shalin


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
arquitecturas de cortafuegos

Arquitecturas de cortafuegos

Gabriel Montañés León

slide2

Cortafuego de filtrado de paquetes

Es un cortafuegos que consiste en filtrar paquetes de red, con el objetivo de que el router puede bloquear o permitir la comunicación mediante las listas de control de acceso (ACL) en función de las características de la tramas de los paquetes. Para determinar el filtrado se miran las direcciones origen y destino, el protocolo, los puertos origen y destino (en el caso de TCP y UDP), el tipo de mensaje y los interfaces de entrada y salida de la trama en el router. La desventaja de este cortafuegos es que no dispone de un sistema de monitorización sofisticado y el administrador no distingue entre si el router está siendo atacado o si su seguridad se ha visto comprometida.

slide3

Cortafuego Dual-Homed Host

Es un cortafuegos que se instala en un host con dos tarjetas de red que actúa como router entre dos redes. Tiene la función de permitir directamente la comunicación de una red a (red privada) a otra red B (red pública); pero la comunicación de la red B a la red A no se permite directamente. El sistema interno al Firewall puede comunicarse con el dual-homed host, y los sistemas fuera de Firewall también pueden comunicarse con él, pero los sistemas no pueden comunicarse directamente entre ellos. En la estructura se implementa entre la red interna y la externa junto a un host bastion.

slide4

Screened Host

En esta arquitectura se combina un screening router con un host bastión y el principal nivel de seguridad proviene del filtrado de paquetes. El screening router está situado entre el host bastión y la red externa, mientras que el host bastión está situado dentro de la red interna.

El filtrado de paquetes en el screening router está configurado de modo que el host bastión es el único sistema de la red interna accesible desde la red externa. Incluso, únicamente se permiten ciertos tipos de conexiones. Cualquier sistema externo que intente acceder a los sistemas internos tendrán que conectar con el host bastión. Por otra parte, el filtrado de paquetes permite al host establecer las conexiones permitidas, de acuerdo con la política de seguridad, a la red externa.

slide5

Screened Subnet (DMZ)

  • Se trata de la arquitectura de firewalls más segura, pero también más compleja. En este caso se emplean dos routers, exterior e interior, ambos conectados a la red perimétrica. En dicha red perimétrica, que constituye el sistema cortafuegos, se incluye el host bastión. También se podrían incluir sistemas que requieran un acceso controlado, como baterías de módems o el servidor de correo, que serán los únicos elementos visibles desde fuera de la red interna.
  • La misión del router exterior es bloquear el tráfico no deseado en ambos sentidos, es decir, tanto hacia la red perimétrica como hacia la red externa. En cambio, el router interior bloquea el tráfico no deseado tanto hacia la red perimétrica como hacia la red interna. De este modo, para atacar la red protegida se tendría que romper la seguridad de ambos routers.
slide6

Otras arquitecturas

Una manera de incrementar en gran medida el nivel de seguridad de la red interna y al mismo tiempo facilitar la administración de los cortafuegos consiste en emplear un host bastión distinto para cada protocolo o servicio en lugar de un único host bastión. Muchas organizaciones no pueden adoptar esta arquitectura porque presenta el inconveniente de la cantidad de máquinas necesarias para implementar el cortafuegos. Una alternativa la constituye el hecho de utilizar un único bastión pero distintos servidores proxy para cada uno de los servicios ofrecidos.

Otra posible arquitectura se da en el caso en que se divide la red interna en diferentes subredes, lo cual es especialmente aplicable en organizaciones que disponen de distintas entidades separadas. En esta situación es recomendable incrementar los niveles de seguridad de las zonas más comprometidas situando cortafuegos internos entre dichas zonas y la red exterior. Aparte de incrementar la seguridad, los firewalls internos son especialmente recomendables en zonas de la red desde la que no se permite a priori la conexión con Internet.

ad