UF2-NF2. Seguretat perimètrica

De Wiki IES Marianao. Departament Informàtica
La revisió el 08:43, 20 ago 2011 per Alex (Discussió | contribucions) (Elements bàsics de la seguretat perimètrica)

Dreceres ràpides: navegació, cerca

tornar M11 - UF2 Seguretat activa i accés remot


Elements bàsics de la seguretat perimètrica

La seguretat perimètrica és el conjunt de maquinari, programari o protocols (normes) destinades a protegir una xarxa de confiança (Interna) d'altres que no són de confiança (Internet). Es tracta d'establir recursos de seguretat al perímetre de la xarxa de confiança.

  • Mantenir els intrusos a l'exterior.
  • Permetre la transparència per als usuaris a l'interior.
  • Oferir uns serveis fiables a l'exterior.


En general la seguretat perimètrica s'encarrega d'accions ocultar els dispositius de a xarxa interna, redireccionar peticions als dispositius corresponents, rebutjar connexions no permeses.

Xarxes públiques <--> Xarxes Internes. Separades per un perímetre.

Per coherència amb la documentació existent cal fer algunes definicions:

  • Un gate (porta, passarel·la), fa referència a un host fortament protegit que connecta als usuaris de les xarxes internes amb l'exterior.
  • Filtrar (screening), significa denegar o acceptar el flux de paquets entre dues xarxes.
  • Un choke (verb estrangular), fa referència a un host que implementa el filtrat. Pot ser el mateix gate.


Perimetre.png

Els elements que cal tenir en compte

  • Xarxa Externa (No segura).
  • Dispositius de filtre: Routers, Firewalls, Proxys, Gateways (passarel·les).
  • Xarxa Interna (Confiança).
  • Sistemes de detecció i prevenció (IDS, IPS).
  • Xarxes privades Virtuals.
  • DMZ (zones desmilitaritzades) o subxarxes controlades.


Violacions del perímetre

  • Realitzar una connexió a Internet (personal) des de la xarxa Interna
  • Moure un host entre diferents zones

Perímetres de xarxa. Zones desmilitaritzades

Part de la xarxa interna amb serveis accessibles des de l'exterior.

  • DMZ (Zones desmilitaritzades De-Militarized Zone o Screened Subnet), els serveis es troben separades de la xarxa interna normal pel firewall
  • Subxarxes controlades (Sceened Host??), els serveis es troben integrades dins la xarxa interna.

Dmz.png

La separació a la DMZ entre la xarxa interna i els serveis, permet fer una divisió molt més estricte (més segura) de les regles (restriccions) que s'apliquen al tràfec des de i cap a fora. Si la seguretat d'una de les zones es veu compromesa, l'amenaça no es propaga a la resta.

Possibles implementacions:

  • Un dispositiu vàries interfases (3 mínim)
  • Dos dispositius (Extern i Intern)

Dmz2.png

Els dispositius poden ser

  • Router implementa tècniques de seguretat i adreçament (Per exemple ACL's, NAT)
  • Host amb programari específic (iptables, IP Cop, Zentyal, ISA Server)
  • Host amb maquinari específic (Firewall físic, CISCO PIX per exemple)

Arquitectures

Arquitectura feble de subxarxa protegida

Arquitectura forta de subxarxa protegida

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF2-NF2._Seguretat_perimètrica&oldid=736»