1
Ejercicio
SEGURIDAD EN REDES
Seguridad y Alta Disponibilidad

2
Planteamiento inicial
 Una empresa nos contrata para evaluar las medidas de seguridad de su
arquitectura de red informática.
 Según el diagrama que nos han
facilitado, vemos que todos
los equipos se conectan
directamente a Internet a
través de un router, lo cual
podría acarrear problemas.
 ¿Qué alternativas propondríamos
para conseguir una red más
segura?

3
Análisis de seguridad
 Red plana sin segmentar.
 No hay elementos de
monitorización.
 No se filtra tráfico de entrada
ni salida.
 Publicación de servicios
internos: base de datos.
 No se verifica malware o spam
en el correo electrónico.
 Cliente remoto accede
directamente a servicios

4
Propuestas de mejora

5
Cortafuegos (Firewalls)
 Elemento de red donde se define la política de accesos. Permite o deniega
el tráfico según se definan sus reglas.
 Dos filosofías distintas de uso:
Política permisiva (lista negra): Se acepta todo menos lo que se deniega
explícitamente.
Política restrictiva (lista blanca): Se deniega todo menos lo que se acepta
explícitamente.

6
Cortafuegos - Tipos
 Clasificación según la ubicación en la que se encuentra el firewall:
 Firewalls basados en servidores: consta de una aplicación de firewall que
se instala y ejecuta en un sistema operativo de red (NOS), junto a otra serie
de servicios de enrutamiento, proxy, DNS, DHCP, etc…
 Firewalls dedicados: equipos que tienen instalado una aplicación específica
de cortafuegos y que trabajan de forma autónoma como cortafuegos.
 Firewalls integrados: se integran en un dispositivo hardware para ofrecer la
funcionalidad de firewall. Ejemplos: switches o routers que integran funciones
de cortafuegos.
 Firewalls personales: se instalan en los distintos equipos de la red de forma
que los proteja individualmente de amenazas externas. Ejemplo: el cortafuegos
preinstalado en el sistema operativo Windows para un PC doméstico.

7
Arquitecturas de cortafuegos
 Screening router  Dual Homed-Host
Un router, como frontera entre la red privada y la Un equipo servidor como frontera que realiza tareas
red pública, realiza tareas de filtrado. de filtrado y enrutamiento mediante al menos 2
tarjetas de red.
 Screened Host  Screened Subnet
Combina un router como equipo fronterizo y un Se crea una subred intermedia entre la red externa
servidor proxy que filtrará y permitirá añadir reglas y la red privada interna, denominada DMZ (o zona
de filtrado. desmilitarizada)

8
Zona Desmilitarizada (DMZ)
 Red local intermedia, ubicada
entre la red interna y la red
externa (Internet).
 Utilizada para servicios públicos:
correo electrónico, web, DNS,
FTP… Estos servicios son los que
más ataques reciben.
 Creada mediante uno o dos
cortafuegos que restringe el
tráfico entre las tres redes.
 Desde la DMZ no se permiten
conexiones a la red interna.

9
IDS / IDPS
 IDS: Sistemas de Detección de
Intrusos.
- HIDS: Host IDS.
- NIDS: Network IDS.
 Instalación de NIDS en las 3interfaces
 IDPS: Sistemas de Detección y
Prevención de Intrusos.
 Pueden bloquear ataques

10
Pasarela Antivirus y AntiSpam
 Sistemas intermedios que filtran contenido malicioso en canales de
entrada a la red.
 Detección de malware en pasarelas web y servidores de correo.

11
Redes Virtuales Privadas (VPN)
 Es un tipo de red que utiliza una
infraestructura pública (y por lo
tanto no segura) para acceder a
una red privada de forma
confiable.
 Es comúnmente utilizada para
conectar usuarios remotos,
sucursales u oficinas con su
intranet (punto a punto).

12
Ejemplo de arquitectura con seguridad
 Instalación de cortafuegos.
 DMZ y Red Interna
 Política restrictiva
 Segmentación de servicios
públicos: web y pasarela
antivirus/antispam.
 Instalación de NIDS en las
tres interfaces para conocer
todos los ataques posibles.
 Servicios internos movidos:
base de datos y correo.
 Instalación de antispam y
antivirus.
 Clientes remotos usan VPN