Arquitectura de Seguridad
Manuel Casal Peteiro
Indice



Introducción
Fundamentos de seguridad perimetral
Fundamentos de diseño
Introducción
El objetivo de este trabajo es el diseño, utilización y
mantenimiento de una arquitectura de red confiable
Proteger una red no es una tarea fácil; esta requiere
del conocimiento de distintas tecnologías y como se
relacionan unas con otras. Es por ello que comenzaremos la exposición breve de los diferentes componentes que configuran una arquitectura de red luego
veremos como integrar estos dispositivos uno con
otro para proporcionar un todo unificado.
Fundamentos Seguridad Perimetral

El perimetro
Es la frontera fortificada de nuestra red e incluye:






Routers
Firewalls
IDS
VPN
Arquitectura Software
DMZ y screened subnets
Border router
Los routers son los policías de tráfico. Ellos dirigen el
trafico hacia dentro hacia fuera o en el interior de
nuestras propias redes. El border router es el último
router que tu controlas antes de internet. Debido a
que todo el tráfico interno va a través de este router
este funciona como el principio de una red y la
ultima linea de defensa a través del filtro inicial y
final.
Firewall
Es un dispositivo que tiene un conjunto de reglas
especificas que determina cual tráfico se permite y
cual se deniega. Un firewall recoge todo lo que el
border router abandona y hace una pasada mas
minuciosa para filtrar el tráfico. Existen diferentes
tipos de firewall tales como: static packet filter,
stateful firewalls y Proxy firewalls
IDS
Un IDS es como un sistema de alarmas de ladrones
para tu red que es usado para detectar una alerta
sobre eventos maliciosos. El sistema puede estar
compuesto de muchos y diferentes sensores
posicionados en puntos estratégicos en tu red.
Existen dos tipos de sensores: basados en red
(NIDS ) y basados en hosts (HIDS). Frecuentemente
residen
en
subredes
que
esta
conectadas
directamente al firewall, así como en puntos críticos
de la red interna.
VPN
Una VPN ( Red Privada Virtual ) es una sesión de red
protegida formada a través de canales no
protegidos, tale como Internet. Frecuentemente nos
referimos a un VPN en términos del dispositivo sobre
el perímetro que permite la sesión encriptada. Una
VPN permite a un usuario participar en la red interna
como si estuviera conectado directamente a esta.
Muchas organizaciones, tienen un falso sentido de la
seguridad en cuanto a su acceso remoto debido a
que ellos tiene una VPN. Si un agresor compromete
la máquina de un usuario legitimo una VPN puede
dar a este agresor un canal encriptado dentro de la
red.
DMZ y Screened Subnets
Nosotros usamos los términos DMZ y screened
subnet en referencia a una red pequeña conteniendo
servicios públicos que son conectados directamente
a y desde la protección ofrecida por el firewall u otro
dispositivo de filtrado. Una DMZ y una screened
subnet son diferentes aunque mucha gente utiliza
estos términos intercambiablemente
DMZ y Screened Subnets
El término DMZ se origino en la guerra de corea
cuando una franja de tierra en el paralelo 38 esta
fuera de los limites militarmente hablando. Una DMZ
es un area insegura entre areas seguras. Justo como
la DMZ en Corea estaba enfrente de cualesquiera
defensas, la DMZ cuando es aplicada a redes esta
fuera del firewall
DMZ y Screened Subnets
Un firewall o un dispositivo comparable protegido
del tráfico protege a una screened subnet que es
conectada directamente a este. Recuerde: Una DMZ
esta enfrente de un firewall, mientras una screened
subnet esta detrás de un firewall. Note la diferencia
en la siguiente figura
Una screened subnet es un red aislada que esta
conectada a un interface dedicado de un firewall u
otro dispositivo de filtrado. La screened subnet es
frecuentemente usada para segregar servidores que
necesitan ser accesibles desde internet de sistemas
que son usados unícamente por usuarios de la
organización.
DMZ y Screened subnets
DMZ y Screened Subnets
En la Screened subnet tipícamente residen servicios
públicos incluyendo DNS, mail y la web. A nosotros
nos gustaría pensar estos servidores como bastion
Hosts Una bastion es una posición bien fortificada.
Cuando es aplicada a hosts dentro de la red,
fortificación envuelve fortalecer el sistema operativo
y las aplicaciones de acuerdo a buenas practicas.
Defensa en profundidad
La seguridad de la red es como una cebolla. Cuando
tu desconchas la capa superior algo permanece bajo
esta. La defensa en profundidad ayuda a proteger
recursos de la red aun si una de las capas esta
protegida.
Nosotros operamos en un mundo real de
desconfiguraciones, software bugs, empleados
disgustados y sobrecarga de administradores de
sistemas. Además cualquier diseño de seguridad
practico necesita acomodarse a las necesidades del
negocio.
Defensa en profundidad
Esto quizá requiera de nosotros abrir
ciertos puertos firewall, dejar servicios
adicionales ejecutandose en el servidor o
prevenirnos de aplicar el último parche de
seguridad
Que
exactamente
una
defensa
en
profundidad supone? La repuesta es:



El perimetro
La red Interna
El factor humano
Proxy firewall
Un servidor proxy se ejecuta sobre un dual-homed
bastion host y soporta uno a mas protocolos de
internet ( ver figura en pagina siguiente ). Bastion
hosts son sistemas fortalecidos que son configurados
para funciones de accesabilidad en Internet. Una
compuerta dual-homed consiste de un sistema de
hosts con dos interfaces de red una para la red
interna protegida y otra para la red externa.
Estos hosts no permiten el tráfico directo entre
redes y pueden ser usados para realizar logging y
funciones de auditoría sobre el tráfico.
Proxy Firewall
Proxy Firewalls
Este
tipo
de
servicios/servidores
proveen
funcionalidad para usuarios internos y externos
mientras están fuera del perímetro de la red Interna.
La figura de la página siguiente provee una
ilustración de servidores múltiples fuera de una red
protegida.
Idealmente un bastion host sería usado para
direccionar un servicio proxy, el principio de
separación de la seguridad. Ninguna cuenta de
usuario compilador o programas deben estar en los
bastion host. Ademas cualquier servicio no usado
debe ser deshabilitado.
Proxy firewalls
Fundamentos de diseño
El diseño consiste en a partir de una red desde cero
valorando la resistencia de una infraestructura
existente, determinando donde pones un dispositivo
de seguridad o decidir si emplear uno despues de
todo. Esta parte se concentra en los pros y contras
del diseño del perimetro de seguridad.
Para cumplir tal objetivo tu necesitas determinar:




Que recursos deben ser protegidos
Contra quien tu te estas protegiendo
Cuales son las necesidades de tu negocio
Cuales son tus necesidades politicas
Fundamentos de diseño
Decidirnos por una arquitectura de defensa en
particular es una tarea complicada y gratificante que
requiere tomar decisiones difíciles donde la
funcionalidad y la seguridad tienden a estar reñidas
una con la otra.
Tomar decisiones de diseño de seguridad envuelve
resolver conflictos que incorporan aspectos de la red
y de la infraestructura de aplicaciones tales como
utilidad, confiabilidad, manejabilidad y coste.
Firewall y Router
El firewall y el router son dos de los componentes de
seguridad perimetral mas comunes. A continuación
nos concentraremos sobre la relación entre el router
y el firewall y veremos varias configuraciones.
En la página siguiente ilustra una de las formas mas
comunes de emplear un router y un firewall juntos.
La subnet corporativa hosts “Sistemas Privados”
usados por los usuarios internos y la Screened
Subnet “Servidores publicos” que necesitan ser
accesibles desde internet
Firewall y router
Firewall y VPN
Firewalls son generalmente responsables de
controlar el acceso a los recursos y dispositivos VPN
son
responsables
de
asegurar
enlaces
de
comunicación entre hosts o redes.
Examinar como VPNs interactuan con firewall es
importante por varias razones:

Traducción de direcciones de red NAT podría ser
incompatible con algunas implementaciones VPN
dependiendo de la arquitectura de red.
Firewall y VPN



VPNs podrían crear tuneles a través de tu
perimetro lo que haría dificil para el firewall
asegurar restricciones de acceso sobre trafico
encriptado
Puntos finales VPN tienen acceso a datos con
texto claro debido a que dispositivos VPN son los
unicos que decriptan o autentican este
VPNs protegiendo la confidencialidad de datos
encriptados pueden ser usados para pasar por
IDS sin ser detectados.
Firewalls Multiples
Algunos diseños reclaman el uso de múltiples
firewalls para proteger la red. Esto tiene sentido
cuando tu quieres proveer diferentes niveles de
protección para recursos con diferentes necesidades
de seguridad. Tales escenarios podrían ser firewalls
en línea, uno de tras de otro para segmentar
recursos con diferentes requerimientos de seguridad
o en paralelo una al lado del otro y equidistantes de
Internet.
Los costos de configurar y mantener la red
aumentan dramáticamente cuando se añaden mas
firewalls
Firewalls en linea
Este tipo de arquitectura no es poco común en una
configuración. Considere la arquitectura típica en la
cual un simple firewall esta situado detrás del border
router. Si tu utilizas la funcionalidad de las listas de
acceso del router para controlar el acceso a los
recursos en lugar del filtrado de paquetes básico, el
router esta actuando de forma parecida a un
firewall.
Si la localización de un dispositivo parecido a un
firewall parece un desperdicio. Otra configuración en
línea presentada en la figura de la pagina siguiente
tiene mas sentido.
Firewalls en linea
Firewalls en paralelo
Muchas veces se podría estar obligado a configurar
firewalls en paralelo uno con el otro. En esta
configuración, los firewalls protegen recursos con
diferentes necesidades de seguridad. Cuando los
firewalls son configurados en linea los paquetes que
son destinados a los hosts dentro de la organización
podrían ser retrasados debido a que necesitan ir a
través de varios dispositivos de control de acceso.
Con firewalls paralelos, esto no es un asunto
significante debido a que los firewalls estan
equidistantes de Internet.
Firewalls en paralelo
En una configuración paralela nosotros podemos
emplear firewalls que son tuneados cada uno
especifícamente para recursos que ellos estan
protegiendo. Uno de tales escenarios se muestra en
la página siguiente. Aquí mostramos una compuerta
de aplicación y un stateful firewall cada uno
protegiendo un conjunto diferente de sistemas.
Firewalls en paralelo
Firewalls en paralelo
En este ejemplo nosotros asumimos que nuestro
negocio requiere el uso de robustas capacidades a
nivel proxy de una compuerta de aplicación para
proteger sistemas accesibles a Internet tales como
servidores web, SMTP y DNS. Al mismo tiempo
nosotros necesitamos la flexibilidad de un stateful
firewall para la red corporativa, constituida por
estaciones de trabajo y servidores.
Descargar

Arquitectura de Seguridad