Zonas dmz y_puertos

2,118 views
1,858 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,118
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
82
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Zonas dmz y_puertos

  1. 1. ZONAS DMZ SEGURIDAD DE SISTEMAS COMPUTACIONALES
  2. 2. ZONAS DMZ • En seguridad informática, una zona desmilitarizada (DMZ) o red perimetral es una red local (una subred) que se ubica entre la red interna de una organización y una red externa, generalmente Internet. •El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa -- los equipos (hosts) en la DMZ no pueden conectar con la red interna. •Esto permite que los equipos (hosts) de la DMZ's dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. •Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.
  3. 3. ZONAS DMZ • La DMZ se usa habitualmente para ubicar servidores que es necesario que sean accedidos desde fuera, como servidores de e-mail, Web y DNS. Las conexiones que se realizan desde la red externa hacia la DMZ se controlan generalmente utilizando port address translation (PAT). •Una DMZ se crea a menudo a través de las opciones de configuración del cortafuegos, donde cada red se conecta a un puerto distinto de éste - esta configuración se llama ¿cortafuegos de tres patas? (three-legged firewall). Un planteamiento más seguro es usar dos cortafuegos, donde la DMZ se sitúa en medio y se conecta a ambos cortafuegos, uno conectado a la red interna y el otro a la red externa. •Esta configuración ayuda a prevenir configuraciones erróneas accidentales que permitan el acceso desde la red externa a la interna.
  4. 4. ZONAS DMZ Ejemplo de DMZ en un Firewall de tres puertas
  5. 5. ZONAS DMZ Ejemplo de DMZ en un Firewall IPCOP de tres puertas
  6. 6. ZONAS DMZ Ejemplo de DMZ con dos firewalls
  7. 7. NAT- PAT • La Traducción de Direcciones de Red, o NAT (Network Address Translation), es un sistema que se utiliza para asignar una red completa (o varias redes) a una sola dirección IP. NAT es necesario cuando la cantidad de direcciones IP que nos haya asignado nuestro proveedor de Internet sea inferior a la cantidad de computadores que queramos que accedan a Internet. NAT se describe en el RFC 1631. Existen dos tipos de NAT: • Asignación dinámica de direcciones, en este caso, las direcciones externas son asignadas a las máquinas de la red privada, o viceversa, de manera dinámica, basándose en los requisitos de uso y el flujo de sesión que el NAT determine heurísticamente. •Asignación estática de direcciones, en el caso de asignación estática de direcciones, existe un mapeo uno a uno de direcciones para las máquinas entre una dirección privada de red y una dirección externa de red durante el tiempo en funcionamiento del NAT.
  8. 8. NAT- PAT • Port Address Translation (PAT) es una característica del estándar NAT, que traduce conexiones TCP y UDP hechas por un host y un puerto en una red externa a otra dirección y puerto de la red interna. PAT permite que una sola dirección IP sea utilizada por varias máquinas de la intranet. Con PAT, una IP externa puede responder hasta a ~64000 direcciones internas. •Éste método permite a varias máquinas de la intranet compartir una sola dirección en Internet, cualquier paquete ip contiene la dirección y el puerto tanto del origen como del destino. En el destino, el puerto le dice al receptor cómo procesar el paquete, un paquete con puerto 80 indica que contiene una página web, mientras que el puerto 25 es usado para transmitir correo electrónico entre servidores de correo. La traducción de los puertos, llamada PAT para distinguirla de la traducción de direcciones (NAT), se apoya en el hecho de que el puerto de origen carece de importancia para la mayoría de los protocolos. Igual que NAT, PAT se sitúa en la frontera entre la red interna y externa, y realiza cambios en la dirección del origen y del receptor en los paquetes de datos que pasan a través de ella.
  9. 9. Conclusiones • Para mantener aisladas las redes seguras (LAN) de las inseguras (WAN), (internet) es necesario segmentar las redes y generar una zona de intercambio (DMZ) que es donde se implementan los servicios que deben salir a internet, de esta forma si ellos son atacados, no pasan havia la red interna protegiendo la confidencialidad de la informacion. •También es importante considerar que para proteger los servicios, estos se ocultan del exterior configurándolos con ips no ruteables , pero para ser publicados necesitan una ip pública, para estos efectos generalmente es el firewall el que se presenta hacia internet con una direccion, la cual se redirecciona al servidor en cuestion mediante la tecnica del NAT y/o PAT.

×