Implementacion dmz

Solo disponible en BuenasTareas
  • Páginas : 36 (8788 palabras )
  • Descarga(s) : 0
  • Publicado : 28 de febrero de 2012
Leer documento completo
Vista previa del texto
Implementación de una DMZ


Junio 2006

DMZ
¿Que es un Firewall ? Hablando de manera generica, un firewall es un método de protección de servidores o redes, que estan conectados a otros servidores o redes, existen diferentes maneras de “colocar” un firewall en la red, de manera muy concreta un firewall es un packet filter (filtrado de paquetes) entre los dispositivos anteriores, este filtrado depaquetes puede ser en varios niveles del modelo OSI. El firewall define un conjunto de reglas y politicas para filtrar los paquetes que pasan por el. ¿Que no es un firewall ? No es una bala de plata que provea una protección total a la red o servidores.

Introducción
Hardware vs Software Muchas veces hablamos de firewall entre un firewall basado en software y los que estan en hardware, ladiferencia si se analiza es que los firewalls que estan basados en hardware tiene un “software” en la EPROM... y por la naturaleza cambiante de las reglas de estos no es viable tener un circuito virtual fijo, la diferencia mas bien esta en la “caja” que viene con un manual y un conjunto de cursos para operarlo, y un respaldo de soporte “incondicional”. ¿Como son ? Los sabores que podemos tener de firewalls demanera general serian los siguientes:

Screened Host: Es un equipo que proteje una maquina de ataques externos, através de un filtrado de paquetes. Este filtrado es básico, en esencia no acepta paquetes del exterior que no sean respuesta de una petición de una máquina interna.

Screened LAN: Es similar al anterior, excepto que no protejemos una sola maquina, si no dos o mas equipos (una red),este modelo no ofrece seguridad si el ataque es generado desde el interior a un equipo de la misma red.

Bastion Host: Este tiene características del screened host, con la diferencia que se permiten accesos desde afuera a ciertos servicios (SMTP, HTTP, DNS....) en la red interna.

Demilitarized Zone (DMZ) Este diseño parecido al anterior, con la diferencia que tiene al menos 2 segmentosinternos (zonas), las cuales se conectan por lo regular de la siguiente forma:

1.- Interface a Area Pública (internet) 2.- Interface a Zona de Servidores 3.- Interface a Usuarios

Las Características que nos ofrecerá nuesto DMZ serán:

- Filtrado de paquetes a cualquier zona - NAT, Mapero Bidireccional - Colas de tráfico y Prioridad - Salidas redundantes / balanceo de carga - Balanceo de cargaa servicios - Filtrado de contenido (web-cache) - Monitoreo de tráfico en interfaces via netflow

Que necesitamos?

Hardware - Una PC (Preferentemente servidor) HD 20 GB, P2 300 Mhz, 64 MB RAM, 3 NICs 10/100. - 2 Switches Software - OpenBSD 3.9 http://www.openbsd.org/ - Squid cache http://www.squid-cache.org/ - Softflowd http://www2.mindrot.org/files/softflowd/

NOTA: Se recomienda diseñar yprobar el modelo en una maqueta antes de poner en producción

Práctica 1 Instalación

Filtrado de Paquetes Nos permite definir la seguridad perimetral, el primer bloque de segmentos, área de usuarios, internet y servidores (DMZ). Para eso utilizaremos el Packet Filter (al que en este documento nos referiremos como PF) es el sistema de OpenBSD para filtrar el tráfico TCP/IP y llevar a cabo laTraducción de Direcciones de Red (a la que nos referiremos como NAT, Network Address Translation). Además de estas funciones, PF también es capaz de normalizar y acondicionar el tráfico TCP/IP y de proveer control del ancho de banda y la priorización de paquetes TCP/IP. PF ha formado parte del núcleo GENERIC del sistema OpenBSD desde la versión 3.0 del sistema. Para activar PF y que lea archivo deconfiguración correspondiente durante el arranque, hay que modificar el archivo /etc/rc.conf de tal modo que la línea de PF quede como sigue: pf=YES También se puede activar y desactivar PF con el programa pfctl(8), mediante los siguientes comandos: # pfctl -e # pfctl -d

Configuración PF lee las reglas de configuración desde el archivo /etc/pf.conf durante el arranque; este archivo se encargan de...
tracking img