SlideShare una empresa de Scribd logo

dmz definicion

Nicolas Notempus
Nicolas Notempus

El documento describe la configuración de una arquitectura de seguridad para una red corporativa. Se implementa un cortafuegos con una política restrictiva para segmentar los servicios de web y correo electrónico en una zona DMZ. También se configura un sistema de detección y prevención de intrusos para monitorear tres interfaces y detectar posibles ataques. Los servidores de base de datos y correo se sitúan en la red interna detrás del cortafuegos e inaccesibles desde internet, mientras que los empleados y sucursales se conectan

Tecnología
1 de 4
Descargar para leer sin conexión
2º ASIR UD3-SAD SEGURIDAD PERIMETRAL: 3. DMZ: a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas. b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas. Se deben separar servicios accesibles a través de internet, como puede ser la página Web de una empresa o su correo del funcionamiento de su red interna o intranet. En este sentido las DMZ son de gran utilidad. Las DMZ generalmente se crean con un dispositivo llamado cortafuegos o firewall. Esta tecnología está diseñada para filtrar tráfico tanto de entrada como de salida. Vamos a implantar este elemento y separar los servicios públicos de la red interna, el mapa de una nueva arquitectura podría quedar así: El tráfico desde la red interna y la DMZ hacia internet está permitido. En cambio el cortafuegos bloqueará todas las peticiones hacia la red interna, sea cual sea su origen, y sólo aceptará el tráfico hacia la DMZ de aquellos servicios para los que esté configurado. De esta forma si existiera algún problema quedaría aislado en la zona DMZ Un cortafuegos, funciona en base a reglas. Existen dos grandes filosofías para definirlas: por un lado está la política permisiva, que acepta todo el tráfico menos el que sea denegado expresamente y, por otro lado, la política restrictiva, que deniega todo el tráfico menos lo que 1 VICEN MORALES
2º ASIR UD3-SAD se acepte expresamente. Esta última política es más difícil de mantener pero más segura y es la que se debería utilizar siempre. En general se puede hablar de cuatro tipos de cortafuegos, según sus características y la capa OSI en la que funciona. En primer lugar tenemos los denominados cortafuegos de pasarela, que funcionan para aplicaciones específicas como telnet, ftp o web; en segundo lugar los cortafuegos de capa de red que permiten una configuración en base a dirección IP y puerto de origen y destino. Luego están los cortafuegos de aplicación que entienden y analizan protocolos concretos como HTTP y filtran peticiones según patrones o comportamientos determinados y, por último, los cortafuegos personales que se usan en equipos de escritorio, como por ejemplo, ZoneAlarm, Comodo Pro, etc. Para entender mejor cómo funcionan estos dispositivos basados en reglas voy a poner un ejemplo con unos cortafuegos de capa de red. Por ejemplo podríamos tener un cortafuegos con una regla que indicase que el rango de red 172.16.0.0/16 puede acceder al servidor SMTP (puerto 25) con dirección 192.168.0.4 y al servidor Web (puerto 80) con dirección 192.168.0.2. Otra regla podría establecer que cualquier dirección podría tener acceso a otro servicio Web en la dirección 192.168.10.8. Lógicamente el resto de conexiones serían denegadas. INSTALAR UN SISTEMA DE DETECCIÓN DE INTRUSOS IDS que se utiliza para identificas ataques en tiempo real, almacenar los registros y reportar al personal de administración y seguridad para que puedan tomar medidas adicionales. Los IDS tienen mucho valor como cuaderno de bitácora y pueden ser el punto de partida para identificar el origen de un ataque Además los IDS han evolucionado a los Sistemas de Detección y Prevención de intrusos (IDPS), unos elementos más complejos que también son capaces de bloquear la conexión si detectan que el evento es peligroso, al igual que hacen los cortafuegos de aplicación. ¿Dónde tengo que conectarlo y cómo es capaz de identificar lo que es un ataque de lo que no lo es? La arquitectura típica de un sistema de detección y prevención de intrusos (IDPS) consiste en la instalación de sondas (sensores) que informarán sobre las anomalías en los elementos b ajo estudio. Un ejemplo de estas sondas son las sondas de sistema (HIDS) que monitorizan los cambios en un ordenador, por ejemplo, en el sistema operativo, en su configuración, en el registro del equipo y sus aplicaciones, etc. Otro tipo de IDS son los basados en sondas de red (NIDS), que se basan en instalar una sonda en cada segmento de la red que se quiera monitorizar. 2 VICEN MORALES
2º ASIR UD3-SAD Los NIDS pueden funcionar de dos formas distintas. El método más común es comprobar el tráfico contra una base de datos de firmas y si hay coincidencias, generar la alarma. La otra opción consiste en registrar tráfico durante un tiempo y crear un patrón de comportamiento, posteriormente todos los paquetes recibidos son comprobados contra el patrón inicial, causando una alerta si no hubiese coincidencias. Estos sistemas y la configuración general de seguridad han de mantenerse siempre actualizados. Las firmas son muy efectivas para detectar ataques rápidamente, pero además existen otras tecnologías para conocer nuevas tendencias y técnicas utilizadas por los intru sos; en este sentido son muy útiles las honeypots. Se denomina honeypot al software o conjunto de ordenadores cuya intención es atraer a atacantes, para ello se instalan y configuran con fallos graves precisamente para que sean vulnerados. Cuando los intrusos entren, todas sus acciones serán controladas y monitorizadas para mejorar la arquitectura de seguridad. Esto parece un poco peligroso, ¿Dónde se definen las vulnerabilidades, en el sistema operativo o en las aplicaciones? ¿Qué vulnerabilidades se utilizan? Hay dos clases: de baja interacción, en las que se simula el sistema operativo y las aplicaciones, o bien las de alta interacción en las que los fallos se encuentran en los servicios. Un ejemplo puede ser algo tan sencillo como establecer una contraseña fácilmente adivinable como 1234 para el usuario root de un tfp o ssh. Además del correspondiente antivirus en cada uno de los ordenadores, deberíamos disponer de una pasarela Antivirus y antiSpam que sea la que reciba todo el correo electrónico, lo procese y posteriormente lo entregue al servidor de correo tradicional si considera que está limpio; de ahí los usuarios lo descargarán con normalidad. Es muy bueno proteger la información cuando se utiliza una infraestructura pública como internet utilizar una red privada virtual (VPN) con la que se encapsule y cifre todo el tráfico en 3 VICEN MORALES
2º ASIR UD3-SAD una nueva red “virtual”. Las redes privadas virtuales garantizan la autenticación e integridad de los datos y la autorización de cada uno de los usuarios. Además estas redes minimizan que se expongan servicios internos al exterior y que éstos puedan ser vulnerados. UTM.-Sistema de Gestión Unificada de Amenazas. Un único equipo que incluye múltiples características de seguridad: cortafuegos, sistemas de detección y prevención de intrusos, pasarelas antivirus y antispam y redes privadas virtuales. 1º Configurar el cortafuegos, segmentando los servicios de Web y la pasarela de correo en la DMZ con una política restrictiva. Luego hemos configurado el sistema de detección y prevención de intrusos, escuchando en las tres interfaces para conocer todos los ataques posibles. El servidor de base de datos está junto al servidor de correo en la red interna inaccesible desde internet. Todos los trabajadores y sucursales se conectan usando una VPN 4 VICEN MORALES

Recomendados

Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
Aula Campus
 
Ug firewall & dmz
Ug firewall & dmzUg firewall & dmz
Ug firewall & dmz
Juan Barahona
 
Zonas dmz y_puertos
Zonas dmz y_puertosZonas dmz y_puertos
Zonas dmz y_puertosKarina Gutiérrez
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)
Supra Networks
 
Firewall
FirewallFirewall
Firewall
IngeSistemas Redes
 
Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1
Miguel Haddad
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
MISION BOGOTA
 
Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7
memelovsky
 

Recomendados

Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
Aula Campus
 
Ug firewall & dmz
Ug firewall & dmzUg firewall & dmz
Ug firewall & dmz
Juan Barahona
 
Zonas dmz y_puertos
Zonas dmz y_puertosZonas dmz y_puertos
Zonas dmz y_puertosKarina Gutiérrez
 
Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)Conoce todo sobre la zona desmilitarizada (DMZ)
Conoce todo sobre la zona desmilitarizada (DMZ)
Supra Networks
 
Firewall
FirewallFirewall
Firewall
IngeSistemas Redes
 
Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1Conceptos básicos auditoria de redes 1
Conceptos básicos auditoria de redes 1
Miguel Haddad
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
MISION BOGOTA
 
Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7Protocolos de seguridad ITTG-ECA7
Protocolos de seguridad ITTG-ECA7
memelovsky
 
Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2Nelson Samaniego
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosJuana Rotted
 
Blanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezBlanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezblayean
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
Escuela Politécnica del Ejército, Quito - Ecuador
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
SHARITO21
 
Firewall
FirewallFirewall
Firewallmalejazapata
 
Protocolo De Seguridad Y De Red
Protocolo De Seguridad Y De RedProtocolo De Seguridad Y De Red
Protocolo De Seguridad Y De Red
guest3fa6c7
 
U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.Luis Francisco Amores Tapia
 
BLUETOOTH
BLUETOOTHBLUETOOTH
BLUETOOTHEsteban Ocando
 
Expo firewall
Expo firewallExpo firewall
Expo firewallJean Cobos Hernandez
 
Criterio45cortafuegos
Criterio45cortafuegosCriterio45cortafuegos
Criterio45cortafuegosRaquel Carretero
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Café maria
Café mariaCafé maria
Café mariadecimoredes2013
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Firewall
FirewallFirewall
Firewallguest881aa9
 
Snort
SnortSnort
Snort
Tensor
 
Firewall diapositivas
Firewall diapositivasFirewall diapositivas
Firewall diapositivas
Stephanie Alejandra Hernández Morales
 
Firewall
FirewallFirewall
Firewall
Sara Luz Pérez Escobar
 
Bluetooth
BluetoothBluetooth
Bluetooth
Nicolás Loaiza
 
ANTISPAM (Español)
ANTISPAM (Español)ANTISPAM (Español)
ANTISPAM (Español)
mmeixide
 
VPN o Red privada virtual
VPN o Red privada virtualVPN o Red privada virtual
VPN o Red privada virtualEyder Rodriguez
 
Resumen Capitulo 6.3.1
Resumen Capitulo 6.3.1Resumen Capitulo 6.3.1
Resumen Capitulo 6.3.1
Isabel Yepes
 

Más contenido relacionado

La actualidad más candente

Blanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezBlanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezblayean
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
Escuela Politécnica del Ejército, Quito - Ecuador
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
SHARITO21
 
Protocolo De Seguridad Y De Red
Protocolo De Seguridad Y De RedProtocolo De Seguridad Y De Red
Protocolo De Seguridad Y De Red
guest3fa6c7
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridadguestc0218e
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Snort
SnortSnort
Snort
Tensor
 
Firewall diapositivas
Firewall diapositivasFirewall diapositivas
Firewall diapositivas
Stephanie Alejandra Hernández Morales
 
Firewall
FirewallFirewall
Firewall
Sara Luz Pérez Escobar
 
Bluetooth
BluetoothBluetooth
Bluetooth
Nicolás Loaiza
 

La actualidad más candente (19)

Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
Blanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezBlanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarez
 
Comercio elec y seguridad informatica
Comercio elec y seguridad informaticaComercio elec y seguridad informatica
Comercio elec y seguridad informatica
 
Protocolos De Seguridad En Redes
Protocolos De Seguridad En RedesProtocolos De Seguridad En Redes
Protocolos De Seguridad En Redes
 
Firewall
FirewallFirewall
Firewall
 
Protocolo De Seguridad Y De Red
Protocolo De Seguridad Y De RedProtocolo De Seguridad Y De Red
Protocolo De Seguridad Y De Red
 
U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.U.3 .- Seguridad en redes de comunicación.
U.3 .- Seguridad en redes de comunicación.
 
BLUETOOTH
BLUETOOTHBLUETOOTH
BLUETOOTH
 
Expo firewall
Expo firewallExpo firewall
Expo firewall
 
Criterio45cortafuegos
Criterio45cortafuegosCriterio45cortafuegos
Criterio45cortafuegos
 
Protocolos De Seguridad
Protocolos De SeguridadProtocolos De Seguridad
Protocolos De Seguridad
 
Café maria
Café mariaCafé maria
Café maria
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckberto
 
Firewall
FirewallFirewall
Firewall
 
Snort
SnortSnort
Snort
 
Firewall diapositivas
Firewall diapositivasFirewall diapositivas
Firewall diapositivas
 
Firewall
FirewallFirewall
Firewall
 
Bluetooth
BluetoothBluetooth
Bluetooth
 

Destacado

ANTISPAM (Español)
ANTISPAM (Español)ANTISPAM (Español)
ANTISPAM (Español)
mmeixide
 
VPN o Red privada virtual
VPN o Red privada virtualVPN o Red privada virtual
VPN o Red privada virtualEyder Rodriguez
 
Resumen Capitulo 6.3.1
Resumen Capitulo 6.3.1Resumen Capitulo 6.3.1
Resumen Capitulo 6.3.1
Isabel Yepes
 
Zona DMZ
Zona DMZZona DMZ
Zona DMZ
Roger Casadejús Pérez
 
Que es un vpn y como crear
Que es un vpn y como crearQue es un vpn y como crear
Que es un vpn y como crearNoemiCoronel
 
Vpn virtual private network
Vpn virtual private networkVpn virtual private network
Vpn virtual private networkjossephcallalle
 
Firewall
FirewallFirewall
Firewall
Darwin Carchi
 
Vpn (virtual private network)
Vpn (virtual private network)Vpn (virtual private network)
Vpn (virtual private network)
Ivonne Huaygua Fulguera
 
Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...
Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...
Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...
Universidad Nacional Autonoma de Mexico
 
Antispyware, antispam
Antispyware, antispamAntispyware, antispam
Antispyware, antispam
Cristy Ponciano
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
vverdu
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalware
vverdu
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
tecnodelainfo
 
Unidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad PasivaUnidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad Pasiva
vverdu
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Redes 09-comandos básicos para diagnóstico de red
Redes 09-comandos básicos para diagnóstico de redRedes 09-comandos básicos para diagnóstico de red
Redes 09-comandos básicos para diagnóstico de redKoldo Parra
 
¿Que es Excel ?
¿Que es Excel ?¿Que es Excel ?
¿Que es Excel ?
monolo16
 

Destacado (20)

ANTISPAM (Español)
ANTISPAM (Español)ANTISPAM (Español)
ANTISPAM (Español)
 
VPN o Red privada virtual
VPN o Red privada virtualVPN o Red privada virtual
VPN o Red privada virtual
 
Resumen Capitulo 6.3.1
Resumen Capitulo 6.3.1Resumen Capitulo 6.3.1
Resumen Capitulo 6.3.1
 
Zona DMZ
Zona DMZZona DMZ
Zona DMZ
 
Que es un vpn y como crear
Que es un vpn y como crearQue es un vpn y como crear
Que es un vpn y como crear
 
Clase 13
Clase 13Clase 13
Clase 13
 
Vpn virtual private network
Vpn virtual private networkVpn virtual private network
Vpn virtual private network
 
Firewall
FirewallFirewall
Firewall
 
Vpn (virtual private network)
Vpn (virtual private network)Vpn (virtual private network)
Vpn (virtual private network)
 
Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...
Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...
Cómo configurar una red wi fi segura y protegerla ante posibles ataques de re...
 
Antispyware, antispam
Antispyware, antispamAntispyware, antispam
Antispyware, antispam
 
Firewall y VPN
Firewall y VPNFirewall y VPN
Firewall y VPN
 
VPN
VPNVPN
VPN
 
Ejercicio seguridad en redes
Ejercicio seguridad en redesEjercicio seguridad en redes
Ejercicio seguridad en redes
 
Unidad 4 - Software antimalware
Unidad 4 - Software antimalwareUnidad 4 - Software antimalware
Unidad 4 - Software antimalware
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
 
Unidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad PasivaUnidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad Pasiva
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
Redes 09-comandos básicos para diagnóstico de red
Redes 09-comandos básicos para diagnóstico de redRedes 09-comandos básicos para diagnóstico de red
Redes 09-comandos básicos para diagnóstico de red
 
¿Que es Excel ?
¿Que es Excel ?¿Que es Excel ?
¿Que es Excel ?
 

Similar a dmz definicion

Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
FIREWALL
FIREWALLFIREWALL
FIREWALL
auraparada
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
Nenita HemoZa
 
Desarrollo fii s3
Desarrollo fii s3Desarrollo fii s3
Desarrollo fii s3svaclaro
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informatica
ysabel moreno
 
Firewall
FirewallFirewall
Firewall
camilapedraza1619
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03svaclaro
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informaticaFlaa Sheando
 
Trabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaTrabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad Informática
Flaa Sheando
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewall
Jorge Martínez Cerón
 
Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2DUBANTKDX
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redes
magyta_aleja
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
PPMC26
 

Similar a dmz definicion (20)

Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Firewall's
Firewall'sFirewall's
Firewall's
 
FIREWALL
FIREWALLFIREWALL
FIREWALL
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Desarrollo fii s3
Desarrollo fii s3Desarrollo fii s3
Desarrollo fii s3
 
Cortafuego
CortafuegoCortafuego
Cortafuego
 
Historia de los cortafuegos
Historia de los cortafuegosHistoria de los cortafuegos
Historia de los cortafuegos
 
Firewall
FirewallFirewall
Firewall
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informatica
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewall
FirewallFirewall
Firewall
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informatica
 
Trabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaTrabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad Informática
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewall
 
Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2Copia de cuestionario_de_concepto_de_seguridad 2
Copia de cuestionario_de_concepto_de_seguridad 2
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redes
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 

Último

Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
ManuelCampos464987
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
rafaelsalazar0615
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
Luis Enrique Zafra Haro
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
44652726
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
cdraco
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
cristianrb0324
 

Último (20)

Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
Diagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdfDiagrama de flujo basada en la reparacion de automoviles.pdf
Diagrama de flujo basada en la reparacion de automoviles.pdf
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
Diagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestreDiagrama de flujo soporte técnico 5to semestre
Diagrama de flujo soporte técnico 5to semestre
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
biogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectosbiogas industrial para guiarse en proyectos
biogas industrial para guiarse en proyectos
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
Robótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptxRobótica educativa para la eduacion primaria .pptx
Robótica educativa para la eduacion primaria .pptx
 
3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto3Redu: Responsabilidad, Resiliencia y Respeto
3Redu: Responsabilidad, Resiliencia y Respeto
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
Estructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdfEstructuras Básicas_Tecnología_Grado10-7.pdf
Estructuras Básicas_Tecnología_Grado10-7.pdf
 

dmz definicion

  • 1. 2º ASIR UD3-SAD SEGURIDAD PERIMETRAL: 3. DMZ: a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas. b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas. Se deben separar servicios accesibles a través de internet, como puede ser la página Web de una empresa o su correo del funcionamiento de su red interna o intranet. En este sentido las DMZ son de gran utilidad. Las DMZ generalmente se crean con un dispositivo llamado cortafuegos o firewall. Esta tecnología está diseñada para filtrar tráfico tanto de entrada como de salida. Vamos a implantar este elemento y separar los servicios públicos de la red interna, el mapa de una nueva arquitectura podría quedar así: El tráfico desde la red interna y la DMZ hacia internet está permitido. En cambio el cortafuegos bloqueará todas las peticiones hacia la red interna, sea cual sea su origen, y sólo aceptará el tráfico hacia la DMZ de aquellos servicios para los que esté configurado. De esta forma si existiera algún problema quedaría aislado en la zona DMZ Un cortafuegos, funciona en base a reglas. Existen dos grandes filosofías para definirlas: por un lado está la política permisiva, que acepta todo el tráfico menos el que sea denegado expresamente y, por otro lado, la política restrictiva, que deniega todo el tráfico menos lo que 1 VICEN MORALES
  • 2. 2º ASIR UD3-SAD se acepte expresamente. Esta última política es más difícil de mantener pero más segura y es la que se debería utilizar siempre. En general se puede hablar de cuatro tipos de cortafuegos, según sus características y la capa OSI en la que funciona. En primer lugar tenemos los denominados cortafuegos de pasarela, que funcionan para aplicaciones específicas como telnet, ftp o web; en segundo lugar los cortafuegos de capa de red que permiten una configuración en base a dirección IP y puerto de origen y destino. Luego están los cortafuegos de aplicación que entienden y analizan protocolos concretos como HTTP y filtran peticiones según patrones o comportamientos determinados y, por último, los cortafuegos personales que se usan en equipos de escritorio, como por ejemplo, ZoneAlarm, Comodo Pro, etc. Para entender mejor cómo funcionan estos dispositivos basados en reglas voy a poner un ejemplo con unos cortafuegos de capa de red. Por ejemplo podríamos tener un cortafuegos con una regla que indicase que el rango de red 172.16.0.0/16 puede acceder al servidor SMTP (puerto 25) con dirección 192.168.0.4 y al servidor Web (puerto 80) con dirección 192.168.0.2. Otra regla podría establecer que cualquier dirección podría tener acceso a otro servicio Web en la dirección 192.168.10.8. Lógicamente el resto de conexiones serían denegadas. INSTALAR UN SISTEMA DE DETECCIÓN DE INTRUSOS IDS que se utiliza para identificas ataques en tiempo real, almacenar los registros y reportar al personal de administración y seguridad para que puedan tomar medidas adicionales. Los IDS tienen mucho valor como cuaderno de bitácora y pueden ser el punto de partida para identificar el origen de un ataque Además los IDS han evolucionado a los Sistemas de Detección y Prevención de intrusos (IDPS), unos elementos más complejos que también son capaces de bloquear la conexión si detectan que el evento es peligroso, al igual que hacen los cortafuegos de aplicación. ¿Dónde tengo que conectarlo y cómo es capaz de identificar lo que es un ataque de lo que no lo es? La arquitectura típica de un sistema de detección y prevención de intrusos (IDPS) consiste en la instalación de sondas (sensores) que informarán sobre las anomalías en los elementos b ajo estudio. Un ejemplo de estas sondas son las sondas de sistema (HIDS) que monitorizan los cambios en un ordenador, por ejemplo, en el sistema operativo, en su configuración, en el registro del equipo y sus aplicaciones, etc. Otro tipo de IDS son los basados en sondas de red (NIDS), que se basan en instalar una sonda en cada segmento de la red que se quiera monitorizar. 2 VICEN MORALES
  • 3. 2º ASIR UD3-SAD Los NIDS pueden funcionar de dos formas distintas. El método más común es comprobar el tráfico contra una base de datos de firmas y si hay coincidencias, generar la alarma. La otra opción consiste en registrar tráfico durante un tiempo y crear un patrón de comportamiento, posteriormente todos los paquetes recibidos son comprobados contra el patrón inicial, causando una alerta si no hubiese coincidencias. Estos sistemas y la configuración general de seguridad han de mantenerse siempre actualizados. Las firmas son muy efectivas para detectar ataques rápidamente, pero además existen otras tecnologías para conocer nuevas tendencias y técnicas utilizadas por los intru sos; en este sentido son muy útiles las honeypots. Se denomina honeypot al software o conjunto de ordenadores cuya intención es atraer a atacantes, para ello se instalan y configuran con fallos graves precisamente para que sean vulnerados. Cuando los intrusos entren, todas sus acciones serán controladas y monitorizadas para mejorar la arquitectura de seguridad. Esto parece un poco peligroso, ¿Dónde se definen las vulnerabilidades, en el sistema operativo o en las aplicaciones? ¿Qué vulnerabilidades se utilizan? Hay dos clases: de baja interacción, en las que se simula el sistema operativo y las aplicaciones, o bien las de alta interacción en las que los fallos se encuentran en los servicios. Un ejemplo puede ser algo tan sencillo como establecer una contraseña fácilmente adivinable como 1234 para el usuario root de un tfp o ssh. Además del correspondiente antivirus en cada uno de los ordenadores, deberíamos disponer de una pasarela Antivirus y antiSpam que sea la que reciba todo el correo electrónico, lo procese y posteriormente lo entregue al servidor de correo tradicional si considera que está limpio; de ahí los usuarios lo descargarán con normalidad. Es muy bueno proteger la información cuando se utiliza una infraestructura pública como internet utilizar una red privada virtual (VPN) con la que se encapsule y cifre todo el tráfico en 3 VICEN MORALES
  • 4. 2º ASIR UD3-SAD una nueva red “virtual”. Las redes privadas virtuales garantizan la autenticación e integridad de los datos y la autorización de cada uno de los usuarios. Además estas redes minimizan que se expongan servicios internos al exterior y que éstos puedan ser vulnerados. UTM.-Sistema de Gestión Unificada de Amenazas. Un único equipo que incluye múltiples características de seguridad: cortafuegos, sistemas de detección y prevención de intrusos, pasarelas antivirus y antispam y redes privadas virtuales. 1º Configurar el cortafuegos, segmentando los servicios de Web y la pasarela de correo en la DMZ con una política restrictiva. Luego hemos configurado el sistema de detección y prevención de intrusos, escuchando en las tres interfaces para conocer todos los ataques posibles. El servidor de base de datos está junto al servidor de correo en la red interna inaccesible desde internet. Todos los trabajadores y sucursales se conectan usando una VPN 4 VICEN MORALES