WIRELES MARIO FARIAS
Páginas: 37 (9053 palabras)
Publicado: 9 de julio de 2013
Implementación de
una DMZ
Reunion CUDI
Primavera 2006
Jorge A. Zárate Pérez / Mario Farias Elinos
DMZ
¿Que es un Firewall ?
Hablando de manera generica, un firewall es un método de protección de servidores o
redes, que estan conectados a otros servidores o redes, existen diferentes maneras de
“colocar” un firewall en la red, de manera muy concreta un firewall es un packet filter(filtrado de paquetes) entre los dispositivos anteriores, este filtrado de paquetes puede
ser en varios niveles del modelo OSI.
El firewall define un conjunto de reglas y politicas para filtrar los paquetes que pasan por
el.
¿Que no es un firewall ?
No es una bala de plata que proveea una protección total a la red o servidores.
Introducción
Hardware vs Software
Muchas veces hablamos de firewall entreun firewall basado en software y los que estan
en hardware, la diferencia si se analiza es que los firewalls que estan basados en
hardware tiene un “software” en la EPROM... y por la naturaleza cambiante de las reglas
de estos no es viable tener un circuito virtual fijo, la diferencia mas bien esta en la “caja”
que viene con un manual y un conjunto de cursos para operarlo, y un respaldo desoporte
“incondicional”.
¿Como son ?
Los sabores que podemos tener de firewalls de manera general serian los siguientes:
Screened Host:
Es un equipo que proteje una maquina de ataques externos, através de un filtrado de
paquetes. Este filtrado es básico, en esencia no acepta paquetes del exterior que no
sean respuesta de una petición de una máquina interna.
Screened LAN:
Es similar alanterior, excepto que no protejemos una sola maquina, si no dos o mas
equipos (una red), este modelo no ofrece seguridad si el ataque es generado desde el
interior a un equipo de la misma red.
Bastion Host:
Este tiene características del screened host, con la diferencia que se permiten accesos
desde afuera a ciertos servicios (SMTP, HTTP, DNS....) en la red interna.
Demilitarized Zone (DMZ)Este diseño parecido al anterior, con la diferencia que tiene al menos 2 segmentos
internos (zonas), las cuales se conectan por lo regular de la siguiente forma:
1.- Interface a Area Pública (internet)
2.- Interface a Zona de Servidores
3.- Interface a Usuarios
Las Características que nos ofrecerá nuesto DMZ serán:
- Filtrado de paquetes a cualquier zona
- NAT, Mapero Bidireccional- Colas de tráfico y Prioridad
- Salidas redundantes / balanceo de carga
- Balanceo de carga a servicios
- Filtrado de contenido (web-cache)
- Monitoreo de tráfico en interfaces via netflow
Que necesitamos?
Hardware
- Una PC (Preferentemente servidor)
HD 20 GB, P2 300 Mhz, 64 MB RAM, 3 NICs 10/100.
- 2 Switches
Software
- OpenBSD 3.8 http://www.openbsd.org/
- Squid cachehttp://www.squid-cache.org/
- Softflowd http://www2.mindrot.org/files/softflowd/
NOTA:
Se recomienda diseñar y probar el modelo en una maqueta antes de poner en producción
Filtrado de Paquetes
Nos permite definir la seguridad perimetral, el primer bloque de segmentos, área de
usuarios, internet y servidores (DMZ). Para eso utilizaremos el Packet Filter (al que en
este documento nos referiremos comoPF) es el sistema de OpenBSD para filtrar el
tráfico TCP/IP y llevar a cabo la Traducción de Direcciones de Red (a la que nos
referiremos como NAT, Network Address Translation). Además de estas funciones, PF
también es capaz de normalizar y acondicionar el tráfico TCP/IP y de proveer control del
ancho de banda y la priorización de paquetes TCP/IP. PF ha formado parte del núcleo
GENERIC delsistema OpenBSD desde la versión 3.0 del sistema.
Para activar PF y que lea archivo de configuración correspondiente durante el arranque,
hay que modificar el archivo /etc/rc.conf de tal modo que la línea de PF quede como
sigue:
pf=YES
También se puede activar y desactivar PF con el programa pfctl(8), mediante los
siguientes comandos:
# pfctl -e
# pfctl -d
Configuración
PF lee las reglas...
una DMZ
Reunion CUDI
Primavera 2006
Jorge A. Zárate Pérez / Mario Farias Elinos
DMZ
¿Que es un Firewall ?
Hablando de manera generica, un firewall es un método de protección de servidores o
redes, que estan conectados a otros servidores o redes, existen diferentes maneras de
“colocar” un firewall en la red, de manera muy concreta un firewall es un packet filter(filtrado de paquetes) entre los dispositivos anteriores, este filtrado de paquetes puede
ser en varios niveles del modelo OSI.
El firewall define un conjunto de reglas y politicas para filtrar los paquetes que pasan por
el.
¿Que no es un firewall ?
No es una bala de plata que proveea una protección total a la red o servidores.
Introducción
Hardware vs Software
Muchas veces hablamos de firewall entreun firewall basado en software y los que estan
en hardware, la diferencia si se analiza es que los firewalls que estan basados en
hardware tiene un “software” en la EPROM... y por la naturaleza cambiante de las reglas
de estos no es viable tener un circuito virtual fijo, la diferencia mas bien esta en la “caja”
que viene con un manual y un conjunto de cursos para operarlo, y un respaldo desoporte
“incondicional”.
¿Como son ?
Los sabores que podemos tener de firewalls de manera general serian los siguientes:
Screened Host:
Es un equipo que proteje una maquina de ataques externos, através de un filtrado de
paquetes. Este filtrado es básico, en esencia no acepta paquetes del exterior que no
sean respuesta de una petición de una máquina interna.
Screened LAN:
Es similar alanterior, excepto que no protejemos una sola maquina, si no dos o mas
equipos (una red), este modelo no ofrece seguridad si el ataque es generado desde el
interior a un equipo de la misma red.
Bastion Host:
Este tiene características del screened host, con la diferencia que se permiten accesos
desde afuera a ciertos servicios (SMTP, HTTP, DNS....) en la red interna.
Demilitarized Zone (DMZ)Este diseño parecido al anterior, con la diferencia que tiene al menos 2 segmentos
internos (zonas), las cuales se conectan por lo regular de la siguiente forma:
1.- Interface a Area Pública (internet)
2.- Interface a Zona de Servidores
3.- Interface a Usuarios
Las Características que nos ofrecerá nuesto DMZ serán:
- Filtrado de paquetes a cualquier zona
- NAT, Mapero Bidireccional- Colas de tráfico y Prioridad
- Salidas redundantes / balanceo de carga
- Balanceo de carga a servicios
- Filtrado de contenido (web-cache)
- Monitoreo de tráfico en interfaces via netflow
Que necesitamos?
Hardware
- Una PC (Preferentemente servidor)
HD 20 GB, P2 300 Mhz, 64 MB RAM, 3 NICs 10/100.
- 2 Switches
Software
- OpenBSD 3.8 http://www.openbsd.org/
- Squid cachehttp://www.squid-cache.org/
- Softflowd http://www2.mindrot.org/files/softflowd/
NOTA:
Se recomienda diseñar y probar el modelo en una maqueta antes de poner en producción
Filtrado de Paquetes
Nos permite definir la seguridad perimetral, el primer bloque de segmentos, área de
usuarios, internet y servidores (DMZ). Para eso utilizaremos el Packet Filter (al que en
este documento nos referiremos comoPF) es el sistema de OpenBSD para filtrar el
tráfico TCP/IP y llevar a cabo la Traducción de Direcciones de Red (a la que nos
referiremos como NAT, Network Address Translation). Además de estas funciones, PF
también es capaz de normalizar y acondicionar el tráfico TCP/IP y de proveer control del
ancho de banda y la priorización de paquetes TCP/IP. PF ha formado parte del núcleo
GENERIC delsistema OpenBSD desde la versión 3.0 del sistema.
Para activar PF y que lea archivo de configuración correspondiente durante el arranque,
hay que modificar el archivo /etc/rc.conf de tal modo que la línea de PF quede como
sigue:
pf=YES
También se puede activar y desactivar PF con el programa pfctl(8), mediante los
siguientes comandos:
# pfctl -e
# pfctl -d
Configuración
PF lee las reglas...
Leer documento completo
Regístrate para leer el documento completo.