Diferència entre revisions de la pàgina «UF2-NF2. Seguretat perimètrica»
(→Elements bàsics de la seguretat perimètrica) |
(→Elements bàsics de la seguretat perimètrica) |
||
| Línia 15: | Línia 15: | ||
Xarxes públiques <--> Xarxes Internes. Separades per un perímetre. | Xarxes públiques <--> Xarxes Internes. Separades per un perímetre. | ||
| + | |||
| + | Per coherència amb la documentació existent cal fer algunes definicions: | ||
| + | * Un gate (porta, passarel·la), fa referència a un host fortament protegit que connecta als usuaris de les xarxes internes amb l'exterior. | ||
| + | * Filtrar (screening), significa denegar o acceptar el flux de paquets entre dues xarxes. | ||
| + | * Un choke (verb estrangular), fa referència a un host que implementa el filtrat. Pot ser el mateix ''gate''. | ||
| + | |||
[[Fitxer: perimetre.png]] | [[Fitxer: perimetre.png]] | ||
| Línia 20: | Línia 26: | ||
Els elements que cal tenir en compte | Els elements que cal tenir en compte | ||
*Xarxa Externa (No segura). | *Xarxa Externa (No segura). | ||
| − | *Dispositius de filtre: Routers, Firewalls, | + | *Dispositius de filtre: Routers, Firewalls, Proxys, Gateways (passarel·les). |
*Xarxa Interna (Confiança). | *Xarxa Interna (Confiança). | ||
*Sistemes de detecció i prevenció (IDS, IPS). | *Sistemes de detecció i prevenció (IDS, IPS). | ||
*Xarxes privades Virtuals. | *Xarxes privades Virtuals. | ||
*DMZ (zones desmilitaritzades) o subxarxes controlades. | *DMZ (zones desmilitaritzades) o subxarxes controlades. | ||
| + | |||
| + | |||
| + | Violacions del perímetre | ||
| + | * Realitzar una connexió a Internet (personal) des de la xarxa Interna | ||
| + | * Moure un host entre diferents zones | ||
== Perímetres de xarxa. Zones desmilitaritzades == | == Perímetres de xarxa. Zones desmilitaritzades == | ||
Revisió del 08:43, 20 ago 2011
tornar M11 - UF2 Seguretat activa i accés remot
Contingut
Elements bàsics de la seguretat perimètrica
La seguretat perimètrica és el conjunt de maquinari, programari o protocols (normes) destinades a protegir una xarxa de confiança (Interna) d'altres que no són de confiança (Internet). Es tracta d'establir recursos de seguretat al perímetre de la xarxa de confiança.
- Mantenir els intrusos a l'exterior.
- Permetre la transparència per als usuaris a l'interior.
- Oferir uns serveis fiables a l'exterior.
En general la seguretat perimètrica s'encarrega d'accions ocultar els dispositius de a xarxa interna, redireccionar peticions als dispositius corresponents, rebutjar connexions no permeses.
Xarxes públiques <--> Xarxes Internes. Separades per un perímetre.
Per coherència amb la documentació existent cal fer algunes definicions:
- Un gate (porta, passarel·la), fa referència a un host fortament protegit que connecta als usuaris de les xarxes internes amb l'exterior.
- Filtrar (screening), significa denegar o acceptar el flux de paquets entre dues xarxes.
- Un choke (verb estrangular), fa referència a un host que implementa el filtrat. Pot ser el mateix gate.
Els elements que cal tenir en compte
- Xarxa Externa (No segura).
- Dispositius de filtre: Routers, Firewalls, Proxys, Gateways (passarel·les).
- Xarxa Interna (Confiança).
- Sistemes de detecció i prevenció (IDS, IPS).
- Xarxes privades Virtuals.
- DMZ (zones desmilitaritzades) o subxarxes controlades.
Violacions del perímetre
- Realitzar una connexió a Internet (personal) des de la xarxa Interna
- Moure un host entre diferents zones
Perímetres de xarxa. Zones desmilitaritzades
Part de la xarxa interna amb serveis accessibles des de l'exterior.
- DMZ (Zones desmilitaritzades De-Militarized Zone o Screened Subnet), els serveis es troben separades de la xarxa interna normal pel firewall
- Subxarxes controlades (Sceened Host??), els serveis es troben integrades dins la xarxa interna.
La separació a la DMZ entre la xarxa interna i els serveis, permet fer una divisió molt més estricte (més segura) de les regles (restriccions) que s'apliquen al tràfec des de i cap a fora. Si la seguretat d'una de les zones es veu compromesa, l'amenaça no es propaga a la resta.
Possibles implementacions:
- Un dispositiu vàries interfases (3 mínim)
- Dos dispositius (Extern i Intern)
Els dispositius poden ser
- Router implementa tècniques de seguretat i adreçament (Per exemple ACL's, NAT)
- Host amb programari específic (iptables, IP Cop, Zentyal, ISA Server)
- Host amb maquinari específic (Firewall físic, CISCO PIX per exemple)
