2. • DMZ es una porción de red conectada con un firewall o grupo
de firewalls.
• El término proviene de una descripción militar de un área
ubicada entre zonas militares en la que no se permite conflicto
3. • Las DMZs definen las porciones de la red que son confiables y
las que no lo son.
• El diseño de firewall principalmente se trata de interfaces de
dispositivos que permiten o deniegan tráfico basándose en el
origen, el destino y el tipo de tráfico.
• Algunos diseños son tan simples como la designación de una
red externa y una interna, determinadas por dos interfaces en
un firewall.
• La red externa (o red pública) no es confiable, mientras que la
interna (o red privada) sí lo es.
4. • Al tráfico proveniente de la red interna, se le permite pasar a
través del firewall hacia afuera con pocas o ninguna
restricción.
• El tráfico que se origina afuera generalmente es bloqueado o
permitido muy selectivamente.
• El tráfico de retorno que proviene de la red externa, asociado
con tráfico de origen interno, se le permite pasar de la interfaz
no confiable a la confiable.
5. • Un diseño más complicado puede involucrar tres o más
interfaces en el firewall.
• En este caso, generalmente se trata de una interfaz externa,
una interna y una DMZ.
• Se permite el tráfico libremente de la interfaz interna a la
externa y la DMZ.
• Se permite libremente el paso del tráfico que proviene de la
DMZ por la interfaz externa.
• El tráfico de la interfaz externa, sin embargo, generalmente se
bloquea salvo que esté asociado con tráfico de origen interno
o de la DMZ.
• Con una DMZ, es común permitir tipos específicos de tráfico
desde fuera, siempre que sea el tipo de tráfico correcto y que
su destino sea la DMZ.
• Este tipo de tráfico generalmente es correo electrónico, DNS,
HTTP o HTTPS.
6.
7. • En un escenario de defensa por capas, los firewalls
proporcionan seguridad perimetral de toda la red y de los
segmentos de red internos en el núcleo.
• Por ejemplo, los profesionales de la seguridad en redes
pueden usar un firewall para separar las redes de recursos
humanos o de finanzas de una empresa de otras redes o
segmentos de red dentro de la empresa. ¿Qué otra forma se
conoce?
8. • La defensa por capas usa diferentes tipos de firewalls que se
combinan en capas para agregar profundidad a la seguridad
de la organización.
• Por ejemplo, el tráfico que ingresa de la red no confiable se
topa con un filtro de paquetes en el router más externo.
• El tráfico se dirige al firewall "screened firewall" o "host
bastión" que aplican más reglas al tráfico y descartan
paquetes sospechosos.
• Un host bastión es una computadora reforzada que se ubica
típicamente dentro de la DMZ.
• El tráfico va ahora a un screening router interior.
• El tráfico se moverá al host de destino interno sólo si pasa con
éxito a través del filtrado entre el router externo y la red
interna.
• Este tipo de configuración de DMZ se llama configuración
screened subnet.
9. • Un error común es considerar que sólo se necesita una
topología de firewall en capas para asegurar una red interna.
• Este mito probablemente sea alimentado por el auge del
negocio de los firewalls.
• El administrador de redes debe considerar muchos factores
para construir una defensa completa y profunda:
• Un número importante de las intrusiones proviene de hosts
dentro de la red.
• Por ejemplo, los firewalls generalmente hacen muy poco para
protegerse contra virus que se descargan a través del correo
electrónico.
• Los firewalls no ofrecen protección contra instalaciones de
módems no autorizadas. Ahora imagínese con las conexiones
móviles a internet
• Además, y más importantemente, el firewall no puede
reemplazar a los administradores y usuarios informados.
10. • Los firewalls no reemplazan mecanismos de resguardo y de
recuperación de desastres que resulten de un ataque o falla
en el hardware.
• Una defensa profunda debe incluir almacenamiento externo y
una topología de hardware redundante
11. • El profesional de la seguridad en redes es responsable de crear y
mantener una política de seguridad, incluyendo una política de
seguridad de firewall.
• Esta es una lista parcialmente genérica que sirve como punto de
inicio para la política de seguridad de firewall:
• Ubique los firewalls en las fronteras de seguridad claves.
• Los firewalls son el principal dispositivo de seguridad pero no es
aconsejable depender exclusivamente de un firewall para la
seguridad de una red.
• Deniegue todo el tráfico por defecto y permita sólo los servicios
necesarios.
• Asegúrese de que el acceso físico al firewall esté controlado.
• Monitoree regularmente los registros del firewall. El Sistema de
Respuesta, Análisis y Monitoreo de Seguridad de Cisco(MARS) es
especialmente útil para este propósito.
• Practique la administración de cambios para cambios de
configuración en el firewall.
• Los firewalls protegen principalmente contra ataques técnicos que se
originan fuera de la red. Los ataques internos tienden a no ser de
naturaleza técnica.
12. • Un router de Cisco que ejecuta el firewall IOS de Cisco es tanto
un router como un firewall.
• Si hay dos firewalls, una opción de diseño viable es unirlos con
una LAN que funcione como DMZ.
• Esta opción proporciona a los hosts en la red pública no
confiable acceso redundante a los recursos de la DMZ.