Integración de sistemas y Firewalls

2,567 views

Published on

Integración de sistemas y Firewalls

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,567
On SlideShare
0
From Embeds
0
Number of Embeds
1,419
Actions
Shares
0
Downloads
40
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Integración de sistemas y Firewalls

  1. 1. Universidad Evangélica de El Salvador Facultad de Ingeniería Continuación de la Unidad III Objetivo específico: Conocer las tareas que realiza un administrador de sistemas, además del hardware y software utilizado en redes. Aprender los esquemas básicos de las redes. Conocer la importancia de los firewalls y proxys. Asignatura: Protocolos de Comunicación de RedViernes, 19 de abril de 2013 Docente: Ing. Oscar H. Díaz Jurado 1
  2. 2. Contenido para ésta semanaAspectos básicos de la administración del sistema.Hardware de servidores.Software de servidores.Integración de sistemas.Esquemas básicos de red.Supuesto práctico.-FirewallsTipos de firewallsServidores Proxy 2
  3. 3. 1. IntroducciónEn la actualidad es muy frecuentetener redes heterogéneas en lasque conviven diferentes sistemasoperativos tanto a nivel de clientecomo de servidor.Sistemas operativos:• SERVIDOR:• CLIENTE:
  4. 4. 2. Esquemas básicos de redArquitectura de red Diseño de la red en el que se emplean unos determinados componentes, cuya finalidad es la de canalizar, permitir o denegar el tráfico con los elementos apropiados.  Router Dispositivo hardware o software que permite comunicar varias redes.  Red interna Red interna de la empresa donde se encuentran los equipos y servidores internos.  Red perimetral o zona neutra Red añadida entre dos redes para proporcionar mayor protección a una de ellas.
  5. 5. 2. Esquemas básicos de redCortafuegos Elemento importante para hacer cumplir las políticas de seguridad (filtrado de puertos, filtrado por IP, filtrado por datos…) Un cortafuegos tiene diferentes propósitos: • Restringe el acceso a puntos cuidadosamente controlados. • Evita que los atacantes se acerquen a otras defensas • Restringe la salida de puntos cuidadosamente controlados Todo el tráfico que venga o salga de Internet pasa a través del cortafuegos. De esta forma, el cortafuegos es el que debe aceptar o rechazar los mensajes.
  6. 6. 2.1. Esquema de red básicoUn router comunica la red internade la empresa con Internet.El router será el encargado depermitir / denegar el tráficoVentaja:Es el esquema de red más sencilloDesventajas:Toda la seguridad reside en unúnico punto: el router.Si un atacante entra en un equipo,compromete toda la red
  7. 7. 2.2. Esquema de red con zona neutraDos routers para crear un perímetrode seguridad (red perimetral o zonaneutra), donde se ubican losservidores accesibles desde elexterior.Ventaja:Es el esquema de red más sencillocuando queremos tener servidores quepuedan ofrecer servicios a Internet.El router exterior permite el accesodesde Internet a los servidores de lazona neutra.El router interior permite el tráficosaliente de la red interna al exterior.
  8. 8. 2.2. Esquema de red con zona neutraMejoras: Mezclar el router interior y exterior En este caso se crea la red interna y la zona neutra con un único router. Siempre es mejor hacerlo con dos routers diferentes.
  9. 9. 2.2. Esquema de red con zona neutraMejoras: Varias zonas neutras Se pueden crear todas las zonas neutras que necesitemos
  10. 10. 2.2. Esquema de red con zona neutra Mejoras: Varias zonas neutras y conexión a InternetDos salidas diferentes a Internet y doszonas neutras: una para ubicar losservidores públicos (servidor web, ftp…)y otra para que los clientes se conectenpor VPN a la red interna de la empresa.
  11. 11. 2.2. Esquema de red con zona neutraMejoras: Utilizar varios host bastión Al utilizar varios servidores se mejora la seguridad del sistema
  12. 12. 2.2. Esquema de red con zona neutraMejoras: Utilizar varios routers exteriores / interiores
  13. 13. 3. Integración de SistemasEn una red es muy frecuente encontrar equipos cliente y servidor tanto enWindows como en GNU/LinuxPara que los diferentes equipos trabajencorrectamente entre sí, se deben cumplirlos siguientes niveles de integración: Red. Los equipos pueden comunicarse entre sí. Datos. Los equipos pueden compartir datos entre sí garantizando el acceso, la disponibilidad y la seguridad de la información. Servicios. Los equipos pueden acceder a los servicios que ofrecen otros equipos. P. ej: un equipo Windows puede acceder a un servidor Linux para poder administrarlos.
  14. 14. 3. Integración de Sistemas RED Para que una red funcione correctamente, como mínimo debe disponer de los siguientes servicios:  Enrutamiento. Permite a un servidor actuar como un router para permitir la comunicación entre dos o más redes.  Servidor DHCP (Dynamic Host Configuration Protocol) Permite asignar automáticamente la configuración IP de los equipos clientes de la red. Ejemplo: cuando un portátil se conecta a una red, obtiene su configuración IP a través de un servidor DHCP  Servidor DNS (Domain Name System) Permite realizar una relación entre un nombre y su dirección IP. Ejemplo: www.google.com = 209.85.148.106
  15. 15. 3. Integración de Sistemas DATOS Los datos son el recurso más importante de una empresa. Para garantizar una correcta integración de los sistemas, los equipos Windows y Linux deben poder compartir información entre sí. Los servicios más utilizados para compartir datos son:  Samba. Permite compartir archivos e impresoras entre sistemas Windows y GNU/Linux.  NFS (Network File System) . Servicio que permite compartir sistemas de ficheros por red.
  16. 16. 3. Integración de Sistemas DATOS Unidad NAS (Network Attached Storage) Dispositivo diseñado especialmente para compartir información y que permite la utilización de unidades RAID para mejorar el rendimiento y la seguridad de los datos. Servidor NAS HP LinkSys NAS-200 con 2 HD 750 Gb (uso empresarial) (uso doméstico)
  17. 17. 3. Integración de Sistemas SERVICIOS Los servicios más utilizados en el entorno empresarial son:  Acceso remoto.  En modo terminal (Telnet y SSH)  En modo gráfico (VNC y Escritorio remoto)  Directorio activo Permite centralizar todos los datos de los usuarios y su seguridad.  Active Directory (Microsoft)  LDAP (GNU/Linux)  Otros servicios Servidores de impresión, actualización centralizada de sistemas (Windows Update), monitorización centralizada de sistemas…
  18. 18. SSH
  19. 19. Escritorio Remoto
  20. 20. VNC
  21. 21. 4. Supuesto Práctico (Descripción)Una empresa de servicios ha solicitado el diseño y la puesta en marcha de unsistema informático que debe cumplir las siguientes características:1. Todos los equipos de la empresa estarán dentro de una red interna que tiene acceso a Internet y en la que se permite que los empleados conecten sus portátiles.2. Todos los usuarios de la empresa pueden utilizar cualquier ordenador de la empresa utilizando siempre su mismo nombre de usuario y contraseña.3. En la empresa existen 3 tipos de usuarios: jefes, empleados y contabilidad. Los jefes son los dueños de la empresa y por lo tanto, pueden acceder a todos los recursos del sistema. El personal de contabilidad es el encargado de realizar todas las tareas de administración y contabilidad de la empresa. Los empleados utilizan una aplicación que permite gestionar las compras/ventas de la empresa.
  22. 22. 4. Supuesto Práctico (Descripción)4. Los usuarios de la empresa tienen acceso a las carpetas compartidas con los siguientes permisos de acceso: Recurso Empleados Contabilidad Jefes /TPV R/W R/W R/W /proyectos R/W /presupuestos R/W R/W5. En las carpetas compartidas, los empleados sólo pueden almacenar un máximo de 500MB de datos.6. Hay que garantizar la seguridad del sistema. Especialmente, hay que evitar la pérdida de información (p.e. ante la rotura de un disco duro)7. La empresa tiene varias impresoras que pueden utilizar todos los usuarios de la empresa libremente.8. El administrador del sistema debe tener acceso remoto a todos los servicios de la empresa.
  23. 23. 4. Supuesto Práctico (Diseño) ¿Cuál es el esquema de red más apropiado? Opción 1 Opción 2
  24. 24. Definición FirewallDefinición:Sistema o grupo de sistemas cuya finalidad es hacercumplir una política de control de acceso entre dos redesinterconectadas.Mecanismo que permite proteger a una red confiable delas redes no confiables con las que esta se encuentraconectada, permitiendo a´un el tr´afico entre ambas. 3
  25. 25. Propiedades básicasTodo el tráfico que sale y entra de una red debe pasara través del firewall. Cuando decimos esto, nosreferimos a los datos transportados según la suite deprotocolos TCP/IP.Solo el tráfico autorizado, según lo definido en lapolítica de seguridad implementada, debe pasar através del firewall.El sistema por si mismo es altamente resistente a lasintrusiones. 4
  26. 26. FirewallUn firewall estpa compuesto de diferentes componentes,incluyendo filtros, que bloquean la transmisión de cierta clasede tráfico y un gateway, el cual se puede definir como unamáquina o conjunto de m+aquinas que transmiten serviciosentre las redes internas y externas (típicamente la red internade una organización e internet). 5
  27. 27. Firewall como filtroLos firewalls pueden actuar como filtros que determinanque datos pasan de una red a otra y cuales no.Los routers toman las decisiones de ruteo basados en lainformación contenida en sus tablas de ruteo. Es posibleentonces modificar dichas tablas de manera que, porejemplo, puedan pasar a través del router datos queprovienen de ciertas direcciones. De esta forma unrouter se convierte en un dispositivo de control deacceso que puede filtrar paquetes 6
  28. 28. Firewalls que actúan como gatewaysGateway:Computadora que provee servicios entre dos redesinterconectadas.Un firewall, además de filtrar paquetes puede actuarcomo un gateway. De esta forma, el tráfico pasa a travésdel gateway, el cual se encarga de pasar los datos, deacuerdo a lo especificado en la política de de control deacceso implementada, a un filtro, a una red o incluso aotro gateway. 7
  29. 29. Tipos de políticasExisten dos tipos de políticas de red que influyendirectamente en la implementación, configuración y usode un firewall: La política de acceso a servicios de red La política de diseño de un firewall.Política de acceso a servicios de redDefine los servicios que serán permitidos o denegadosexplicitamente desde las redes restringidas, además deespecificar la manera en la que los servicios seránusados.Éstas deben de existir antes de que se implemente eluso del firewall. 8
  30. 30. Tipos de políticasDebe ser realista, en el sentido de que debe mantenerun balance entre la protección de una red y los serviciosa los que se podrán acceder.Política de diseño de firewallEspecifica como un firewall restringirá el acceso a unared y como se implementará el filtrado de paquetessegún lo especificado en la política de acceso aservicios.Primero se define la política de acceso a servicios yluego la política de diseño de firewalls. 9
  31. 31. Políticas de diseño de FirewallLos firewalls implementan basicamente dos políticas dediseño: Permitir el acceso a cualquier servicio, a menos que se especifique explicitamente lo contrario. Esta alternativa es conocida como permisiva. Denegar cualquier servicio, a menos que se especifique explicitamente lo contrario. Esta alternativa es conocida como restrictiva. 10
  32. 32. Tipos de FirewallA partir de las políticas de diseño de firewall surgen losdiferentes tipos que pueden implementarse: Firewall de filtrado de paquetes. Servidores Proxy. Firewall de inspección de paquetes. Firewall híbrido. 11
  33. 33. Firewall de filtrado de paquetesConsiste en impedir que ciertos paquetes de informaciónpuedan acceder a la red que se está protegiendo o quepuedan salir de la red en cuestion.Mecanismo que permite impedir que ciertos paquetesaccedan o salgan de una determinada red.Ejemplo:Los routers pueden filtrar paquetes IP basados en ciertasreglas, como lo son: • Dirección IP fuente. • Dirección IP destino. • Puerto TCP/UDP fuente. • Puerto TCP/UDP destino. 12
  34. 34. Firewall de filtrado de paquetesLas técnicas de filtrado permiten bloquear conecciones desdeo hacia ciertos host o redes y puden bloquear conecciones apuertos específicos.El filtrado de paquetes puede ser: Estático: En este caso el firewall permite el acceso del tráfico autorizado, según lo especificado en la política de acceso a servicios, a través de ‘puertas’ que están siempre abiertas. Dinámicos: El firewall permite el acceso de paquetes según la información contenida en la cabecera de los mismos. 13
  35. 35. Ventajas/Desventajas del filtradoVentajas: Permitir mayor protección. Soporta la mayoría de los servicios. Se tiene un mayor control de lo que entra a una red que se considera confiable.Desventajas: Reduce el riesgo de ataques pero no los impide, ya que una vez que se tiene acceso a la red se pueden explotar las vulnerabilidades de los host internos. No posee autenticación de usuarios. 14
  36. 36. Servidores ProxyPara solucionar los problemas que tienen los firewalls defiltrado de paquetes y superar sus desventajas, se handesarrollado aplicaciones de software que pueden filtrarconecciones relacionadas con ciertos sevicios (porejemplo: TELNET, FTP, etc.). Estas aplicaciones sonconocidas como servidores proxy o gateways deaplicación.El objetivo de los servidores proxy es actuar como unaespecie de ‘intermediario’ entre dos redesinterconectadas, permitiendo que los host quepertenecen a una red, que se considera confiable, secomuniquen de manera indirecta con host de otras redeso servidores externos. 15
  37. 37. Ventajas el uso de servidores ProxyOcultamiento de información:los host externos solo deben conocer la identidad del servidorproxy para poder comunicarse indirectamente con los hostinternos a través del proxy.Mecanismos de autenticación y login robustos:El proxy puede implementar un mecanismo de autenticación ylogin para que los host externos tengan acceso a la red queestá siendo protegida por el servidor proxy.Menor complejidad en las reglas de filtrado:Las reglas de filtrado de paquetes que utiliza un router setornan menos complejas, debido a que el router no tiene quecontrolar si los paquetes están dirigidos a los hostindividuales, simplemente controla que los paquetes esténdirigidos al servidor proxy. 16
  38. 38. Firewall de inspección de paquetesCombinación de las dos técnicas anteriores: filtrado depaquetes y servidores proxy. Puede permitir un altogrado de control de acceso, pero pone límites en cuantoa la flexibilidad y transparencia de la conectividad;además de hacer más difícil y compleja la configuraciónde los firewalls que implementan ambos mecanismos.Este tipo de firewalls utiliza un m´odulo de inspecci´on depaquetes para los diferentes protocolos utilizados encada una de las capas de la arquitectura de red (modeloOSI). 18
  39. 39. CaracterísticasConsiste en inspeccionar los paquetes en lugar de solofiltrarlos de acuerdo a sus direcciones o números depuerto, es decir, considerar el contenido de los paquetes.Utiliza un módulo de inspección de paquetes para losdiferentes protocolos utilizados en cada una de las capasde la arquitectura de red (modelo OSI).Tienen la capacidad de integrar la información obtenidadesde todas las capas en un solo punto de inspección.Este tipo de filtrado inteligente puede combinarse con laabilidad de poder ‘escanear’ sesiones de red. 19
  40. 40. Ventajas y desventajasVentajas: Un módulo de inspección puede manipular paquetes de forma más rápida que un servidor proxy, lo que permite reducir costos. Los firewalls de inspección pueden proveer traducción de direcciones, escaneo del contenido de los paquetes para la búsqueda de virus, entre otros servicios. La principal desventaja de este tipo de firewall es que el nivel de procesamiento requerido en comparación con el filtrado de paquetes común, es mayor. 20

×