Defensa en profundidad La seguridad de la red es como una cebolla. Cuando tu desconchas la capa superior algo permanece bajo esta. La defensa en profundidad ayuda a proteger recursos de la red aun si una de las capas esta protegida. Nosotros operamos en un mundo real de desconfiguraciones, software bugs, empleados disgustados y sobrecarga de administradores de sistemas. Además cualquier diseño de seguridad practico necesita acomodarse a las necesidades del negocio.
Defensa en profundidad Esto quizá requiera de nosotros abrir ciertos puertos firewall, dejar servicios adicionales ejecutandose en el servidor o prevenirnos de aplicar el último parche de seguridad Que exactamente una defensa en profundidad supone? La repuesta es:
El perimetro La red Interna El factor humano
Proxy firewall
Un servidor proxy se ejecuta sobre un dual-homed bastion host y soporta uno a mas protocolos de internet ( ver figura en pagina siguiente ). Bastion hosts son sistemas fortalecidos que son configurados para funciones de accesabilidad en Internet. Una compuerta dual-homed consiste de un sistema de hosts con dos interfaces de red una para la red interna protegida y otra para la red externa. Estos hosts no permiten el tráfico directo entre redes y pueden ser usados para realizar logging y funciones de auditoría sobre el tráfico.
Proxy Firewall
Proxy Firewalls Este tipo de servicios/servidores proveen funcionalidad para usuarios internos y externos mientras están fuera del perímetro de la red Interna. La figura de la página siguiente provee una ilustración de servidores múltiples fuera de una red protegida.
Idealmente un bastion host sería usado para direccionar un servicio proxy, el principio de separación de la seguridad. Ninguna cuenta de usuario compilador o programas deben estar en los bastion host. Ademas cualquier servicio no usado debe ser deshabilitado.
Proxy firewalls
Fundamentos de diseño El diseño consiste en a partir de una red desde cero valorando la resistencia de una infraestructura existente, determinando donde pones un dispositivo de seguridad o decidir si emplear uno despues de todo. Esta parte se concentra en los pros y contras del diseño del perimetro de seguridad.
Para cumplir tal objetivo tu necesitas determinar: Que recursos deben ser protegidos Contra quien tu te estas protegiendo Cuales son las necesidades de tu negocio Cuales son tus necesidades politicas
Fundamentos de diseño
Decidirnos por una arquitectura de defensa en particular es una tarea complicada y gratificante que requiere tomar decisiones difíciles donde la funcionalidad y la seguridad tienden a estar reñidas una con la otra.
Tomar decisiones de diseño de seguridad envuelve resolver conflictos que incorporan aspectos de la red y de la infraestructura de aplicaciones tales como utilidad, confiabilidad, manejabilidad y coste.
Firewall y Router
El firewall y el router son dos de los componentes de seguridad perimetral mas comunes. A continuación nos concentraremos sobre la relación entre el router y el firewall y veremos varias configuraciones.
En la página siguiente ilustra una de las formas mas comunes de emplear un router y un firewall juntos. La subnet corporativa hosts “Sistemas Privados” usados por los usuarios internos y la Screened Subnet “Servidores publicos” que necesitan ser accesibles desde internet
Firewall y router
Firewall y VPN
Firewalls son generalmente responsables de controlar el acceso a los recursos y dispositivos VPN son responsables de asegurar enlaces de comunicación entre hosts o redes.
Examinar como VPNs interactuan con firewall es importante por varias razones:
Traducción de direcciones de red NAT podría ser incompatible con algunas implementaciones VPN dependiendo de la arquitectura de red.
Firewall y VPN
VPNs podrían crear tuneles a través de tu perimetro lo que haría dificil para el firewall asegurar restricciones de acceso sobre trafico encriptado
Puntos finales VPN tienen acceso a datos con texto claro debido a que dispositivos VPN son los unicos que decriptan o autentican este
VPNs protegiendo la confidencialidad de datos encriptados pueden ser usados para pasar por IDS sin ser detectados.
Firewalls Multiples
Algunos diseños reclaman el uso de múltiples firewalls para proteger la red. Esto tiene sentido cuando tu quieres proveer diferentes niveles de protección para recursos con diferentes necesidades de seguridad. Tales escenarios podrían ser firewalls en línea, uno de tras de otro para segmentar recursos con diferentes requerimientos de seguridad o en paralelo una al lado del otro y equidistantes de Internet. Los costos de configurar y mantener la red aumentan dramáticamente cuando se añaden mas firewalls
Firewalls en linea Este tipo de arquitectura no es poco común en una configuración. Considere la arquitectura típica en la cual un simple firewall esta situado detrás del border router. Si tu utilizas la funcionalidad de las listas de acceso del router para controlar el acceso a los recursos en lugar del filtrado de paquetes básico, el router esta actuando de forma parecida a un firewall. Si la localización de un dispositivo parecido a un firewall parece un desperdicio. Otra configuración en línea presentada en la figura de la pagina siguiente tiene mas sentido.
Firewalls en linea
Firewalls en paralelo
Muchas veces se podría estar obligado a configurar firewalls en paralelo uno con el otro. En esta configuración, los firewalls protegen recursos con diferentes necesidades de seguridad. Cuando los firewalls son configurados en linea los paquetes que son destinados a los hosts dentro de la organización podrían ser retrasados debido a que necesitan ir a través de varios dispositivos de control de acceso. Con firewalls paralelos, esto no es un asunto significante debido a que los firewalls estan equidistantes de Internet.
Firewalls en paralelo
En una configuración paralela nosotros podemos emplear firewalls que son tuneados cada uno especifícamente para recursos que ellos estan protegiendo. Uno de tales escenarios se muestra en la página siguiente. Aquí mostramos una compuerta de aplicación y un stateful firewall cada uno protegiendo un conjunto diferente de sistemas.
Firewalls en paralelo
Firewalls en paralelo
En este ejemplo nosotros asumimos que nuestro negocio requiere el uso de robustas capacidades a nivel proxy de una compuerta de aplicación para proteger sistemas accesibles a Internet tales como servidores web, SMTP y DNS. Al mismo tiempo nosotros necesitamos la flexibilidad de un stateful firewall para la red corporativa, constituida por estaciones de trabajo y servidores.
| Página siguiente |