1. Universidad Evangélica de El Salvador
Facultad de Ingeniería
Continuación de la Unidad III
Objetivo específico:
Conocer las tareas que realiza un administrador de
sistemas, además del hardware y software utilizado en
redes.
Aprender los esquemas básicos de las redes.
Conocer la importancia de los firewalls y proxys.
Asignatura: Protocolos de Comunicación de Red
Viernes, 19 de abril de 2013 Docente: Ing. Oscar H. Díaz Jurado
1
2. Contenido para ésta semana
Aspectos básicos de la administración del sistema.
Hardware de servidores.
Software de servidores.
Integración de sistemas.
Esquemas básicos de red.
Supuesto práctico.-
FirewallsTipos de firewalls
Servidores Proxy
2
3. 1. Introducción
En la actualidad es muy frecuente
tener redes heterogéneas en las
que conviven diferentes sistemas
operativos tanto a nivel de cliente
como de servidor.
Sistemas operativos:
• SERVIDOR:
• CLIENTE:
4. 2. Esquemas básicos de red
Arquitectura de red
Diseño de la red en el que se emplean unos determinados componentes, cuya
finalidad es la de canalizar, permitir o denegar el tráfico con los elementos
apropiados.
Router
Dispositivo hardware o software que permite comunicar varias redes.
Red interna
Red interna de la empresa donde se encuentran los equipos y servidores internos.
Red perimetral o zona neutra
Red añadida entre dos redes para proporcionar mayor protección a una de ellas.
5. 2. Esquemas básicos de red
Cortafuegos
Elemento importante para hacer cumplir las políticas de seguridad (filtrado de
puertos, filtrado por IP, filtrado por datos…)
Un cortafuegos tiene diferentes propósitos:
• Restringe el acceso a puntos cuidadosamente controlados.
• Evita que los atacantes se acerquen a otras defensas
• Restringe la salida de puntos cuidadosamente controlados
Todo el tráfico que venga o salga de Internet pasa a través del cortafuegos.
De esta forma, el cortafuegos es el que debe aceptar o rechazar los mensajes.
6. 2.1. Esquema de red básico
Un router comunica la red interna
de la empresa con Internet.
El router será el encargado de
permitir / denegar el tráfico
Ventaja:
Es el esquema de red más sencillo
Desventajas:
Toda la seguridad reside en un
único punto: el router.
Si un atacante entra en un equipo,
compromete toda la red
7. 2.2. Esquema de red con zona neutra
Dos routers para crear un perímetro
de seguridad (red perimetral o zona
neutra), donde se ubican los
servidores accesibles desde el
exterior.
Ventaja:
Es el esquema de red más sencillo
cuando queremos tener servidores que
puedan ofrecer servicios a Internet.
El router exterior permite el acceso
desde Internet a los servidores de la
zona neutra.
El router interior permite el tráfico
saliente de la red interna al exterior.
8. 2.2. Esquema de red con zona neutra
Mejoras: Mezclar el router interior y exterior
En este caso se crea la red interna y la zona neutra con un único router.
Siempre es mejor hacerlo con dos routers diferentes.
9. 2.2. Esquema de red con zona neutra
Mejoras: Varias zonas neutras
Se pueden crear todas las zonas neutras que necesitemos
10. 2.2. Esquema de red con zona neutra
Mejoras: Varias zonas neutras y conexión a Internet
Dos salidas diferentes a Internet y dos
zonas neutras: una para ubicar los
servidores públicos (servidor web, ftp…)
y otra para que los clientes se conecten
por VPN a la red interna de la empresa.
11. 2.2. Esquema de red con zona neutra
Mejoras: Utilizar varios host bastión
Al utilizar varios
servidores se
mejora la seguridad
del sistema
12. 2.2. Esquema de red con zona neutra
Mejoras: Utilizar varios routers exteriores / interiores
13. 3. Integración de Sistemas
En una red es muy frecuente encontrar equipos cliente y servidor tanto en
Windows como en GNU/Linux
Para que los diferentes equipos trabajen
correctamente entre sí, se deben cumplir
los siguientes niveles de integración:
Red. Los equipos pueden comunicarse entre sí.
Datos. Los equipos pueden compartir datos
entre sí garantizando el acceso, la disponibilidad
y la seguridad de la información.
Servicios. Los equipos pueden acceder a los
servicios que ofrecen otros equipos. P. ej: un
equipo Windows puede acceder a un servidor
Linux para poder administrarlos.
14. 3. Integración de Sistemas
RED
Para que una red funcione correctamente, como mínimo debe disponer
de los siguientes servicios:
Enrutamiento. Permite a un servidor actuar como un router para
permitir la comunicación entre dos o más redes.
Servidor DHCP (Dynamic Host Configuration Protocol)
Permite asignar automáticamente la configuración IP de los equipos
clientes de la red. Ejemplo: cuando un portátil se conecta a una red,
obtiene su configuración IP a través de un servidor DHCP
Servidor DNS (Domain Name System)
Permite realizar una relación entre un nombre y su dirección IP.
Ejemplo: www.google.com = 209.85.148.106
15. 3. Integración de Sistemas
DATOS
Los datos son el recurso más importante de una empresa. Para garantizar
una correcta integración de los sistemas, los equipos Windows y Linux
deben poder compartir información entre sí.
Los servicios más utilizados para compartir datos son:
Samba. Permite compartir archivos e impresoras entre sistemas
Windows y GNU/Linux.
NFS (Network File System) . Servicio que permite compartir sistemas de
ficheros por red.
16. 3. Integración de Sistemas
DATOS
Unidad NAS (Network Attached Storage)
Dispositivo diseñado especialmente para compartir información y que
permite la utilización de unidades RAID para mejorar el rendimiento y
la seguridad de los datos.
Servidor NAS HP
LinkSys NAS-200 con 2 HD 750 Gb (uso empresarial)
(uso doméstico)
17. 3. Integración de Sistemas
SERVICIOS
Los servicios más utilizados en el entorno empresarial son:
Acceso remoto.
En modo terminal (Telnet y SSH)
En modo gráfico (VNC y Escritorio remoto)
Directorio activo
Permite centralizar todos los datos de los usuarios y su seguridad.
Active Directory (Microsoft)
LDAP (GNU/Linux)
Otros servicios
Servidores de impresión, actualización centralizada de sistemas
(Windows Update), monitorización centralizada de sistemas…
21. 4. Supuesto Práctico (Descripción)
Una empresa de servicios ha solicitado el diseño y la puesta en marcha de un
sistema informático que debe cumplir las siguientes características:
1. Todos los equipos de la empresa estarán dentro de una red interna que
tiene acceso a Internet y en la que se permite que los empleados
conecten sus portátiles.
2. Todos los usuarios de la empresa pueden utilizar cualquier ordenador de
la empresa utilizando siempre su mismo nombre de usuario y
contraseña.
3. En la empresa existen 3 tipos de usuarios: jefes, empleados y
contabilidad. Los jefes son los dueños de la empresa y por lo tanto,
pueden acceder a todos los recursos del sistema. El personal de
contabilidad es el encargado de realizar todas las tareas de
administración y contabilidad de la empresa. Los empleados utilizan una
aplicación que permite gestionar las compras/ventas de la empresa.
22. 4. Supuesto Práctico (Descripción)
4. Los usuarios de la empresa tienen acceso a las carpetas compartidas con
los siguientes permisos de acceso:
Recurso Empleados Contabilidad Jefes
/TPV R/W R/W R/W
/proyectos R/W
/presupuestos R/W R/W
5. En las carpetas compartidas, los empleados sólo pueden almacenar un
máximo de 500MB de datos.
6. Hay que garantizar la seguridad del sistema. Especialmente, hay que
evitar la pérdida de información (p.e. ante la rotura de un disco duro)
7. La empresa tiene varias impresoras que pueden utilizar todos los usuarios
de la empresa libremente.
8. El administrador del sistema debe tener acceso remoto a todos los
servicios de la empresa.
23. 4. Supuesto Práctico (Diseño)
¿Cuál es el esquema de red más apropiado?
Opción 1 Opción 2
24. Definición Firewall
Definición:
Sistema o grupo de sistemas cuya finalidad es hacer
cumplir una política de control de acceso entre dos redes
interconectadas.
Mecanismo que permite proteger a una red confiable de
las redes no confiables con las que esta se encuentra
conectada, permitiendo a´un el tr´afico entre ambas.
3
25. Propiedades básicas
Todo el tráfico que sale y entra de una red debe pasar
a través del firewall. Cuando decimos esto, nos
referimos a los datos transportados según la suite de
protocolos TCP/IP.
Solo el tráfico autorizado, según lo definido en la
política de seguridad implementada, debe pasar a
través del firewall.
El sistema por si mismo es altamente resistente a las
intrusiones.
4
26. Firewall
Un firewall estpa compuesto de diferentes componentes,
incluyendo filtros, que bloquean la transmisión de cierta clase
de tráfico y un gateway, el cual se puede definir como una
máquina o conjunto de m+aquinas que transmiten servicios
entre las redes internas y externas (típicamente la red interna
de una organización e internet).
5
27. Firewall como filtro
Los firewalls pueden actuar como filtros que determinan
que datos pasan de una red a otra y cuales no.
Los routers toman las decisiones de ruteo basados en la
información contenida en sus tablas de ruteo. Es posible
entonces modificar dichas tablas de manera que, por
ejemplo, puedan pasar a través del router datos que
provienen de ciertas direcciones. De esta forma un
router se convierte en un dispositivo de control de
acceso que puede filtrar paquetes
6
28. Firewalls que actúan como gateways
Gateway:
Computadora que provee servicios entre dos redes
interconectadas.
Un firewall, además de filtrar paquetes puede actuar
como un gateway. De esta forma, el tráfico pasa a través
del gateway, el cual se encarga de pasar los datos, de
acuerdo a lo especificado en la política de de control de
acceso implementada, a un filtro, a una red o incluso a
otro gateway.
7
29. Tipos de políticas
Existen dos tipos de políticas de red que influyen
directamente en la implementación, configuración y uso
de un firewall:
La política de acceso a servicios de red
La política de diseño de un firewall.
Política de acceso a servicios de red
Define los servicios que serán permitidos o denegados
explicitamente desde las redes restringidas, además de
especificar la manera en la que los servicios serán
usados.
Éstas deben de existir antes de que se implemente el
uso del firewall.
8
30. Tipos de políticas
Debe ser realista, en el sentido de que debe mantener
un balance entre la protección de una red y los servicios
a los que se podrán acceder.
Política de diseño de firewall
Especifica como un firewall restringirá el acceso a una
red y como se implementará el filtrado de paquetes
según lo especificado en la política de acceso a
servicios.
Primero se define la política de acceso a servicios y
luego la política de diseño de firewalls.
9
31. Políticas de diseño de Firewall
Los firewalls implementan basicamente dos políticas de
diseño:
Permitir el acceso a cualquier servicio, a menos que
se especifique explicitamente lo contrario. Esta
alternativa es conocida como permisiva.
Denegar cualquier servicio, a menos que se
especifique explicitamente lo contrario. Esta
alternativa es conocida como restrictiva.
10
32. Tipos de Firewall
A partir de las políticas de diseño de firewall surgen los
diferentes tipos que pueden implementarse:
Firewall de filtrado de paquetes.
Servidores Proxy.
Firewall de inspección de paquetes.
Firewall híbrido.
11
33. Firewall de filtrado de paquetes
Consiste en impedir que ciertos paquetes de información
puedan acceder a la red que se está protegiendo o que
puedan salir de la red en cuestion.
Mecanismo que permite impedir que ciertos paquetes
accedan o salgan de una determinada red.
Ejemplo:
Los routers pueden filtrar paquetes IP basados en ciertas
reglas, como lo son:
• Dirección IP fuente.
• Dirección IP destino.
• Puerto TCP/UDP fuente.
• Puerto TCP/UDP destino.
12
34. Firewall de filtrado de paquetes
Las técnicas de filtrado permiten bloquear conecciones desde
o hacia ciertos host o redes y puden bloquear conecciones a
puertos específicos.
El filtrado de paquetes puede ser:
Estático:
En este caso el firewall permite el acceso del tráfico
autorizado, según lo especificado en la política de acceso
a servicios, a través de ‘puertas’ que están siempre
abiertas.
Dinámicos:
El firewall permite el acceso de paquetes según la
información contenida en la cabecera de los mismos.
13
35. Ventajas/Desventajas del filtrado
Ventajas:
Permitir mayor protección.
Soporta la mayoría de los servicios.
Se tiene un mayor control de lo que entra a una red que se
considera confiable.
Desventajas:
Reduce el riesgo de ataques pero no los impide, ya que
una vez que se tiene acceso a la red se pueden explotar
las vulnerabilidades de los host internos.
No posee autenticación de usuarios.
14
36. Servidores Proxy
Para solucionar los problemas que tienen los firewalls de
filtrado de paquetes y superar sus desventajas, se han
desarrollado aplicaciones de software que pueden filtrar
conecciones relacionadas con ciertos sevicios (por
ejemplo: TELNET, FTP, etc.). Estas aplicaciones son
conocidas como servidores proxy o gateways de
aplicación.
El objetivo de los servidores proxy es actuar como una
especie de ‘intermediario’ entre dos redes
interconectadas, permitiendo que los host que
pertenecen a una red, que se considera confiable, se
comuniquen de manera indirecta con host de otras redes
o servidores externos.
15
37. Ventajas el uso de servidores Proxy
Ocultamiento de información:
los host externos solo deben conocer la identidad del servidor
proxy para poder comunicarse indirectamente con los host
internos a través del proxy.
Mecanismos de autenticación y login robustos:
El proxy puede implementar un mecanismo de autenticación y
login para que los host externos tengan acceso a la red que
está siendo protegida por el servidor proxy.
Menor complejidad en las reglas de filtrado:
Las reglas de filtrado de paquetes que utiliza un router se
tornan menos complejas, debido a que el router no tiene que
controlar si los paquetes están dirigidos a los host
individuales, simplemente controla que los paquetes estén
dirigidos al servidor proxy.
16
38. Firewall de inspección de paquetes
Combinación de las dos técnicas anteriores: filtrado de
paquetes y servidores proxy. Puede permitir un alto
grado de control de acceso, pero pone límites en cuanto
a la flexibilidad y transparencia de la conectividad;
además de hacer más difícil y compleja la configuración
de los firewalls que implementan ambos mecanismos.
Este tipo de firewalls utiliza un m´odulo de inspecci´on de
paquetes para los diferentes protocolos utilizados en
cada una de las capas de la arquitectura de red (modelo
OSI).
18
39. Características
Consiste en inspeccionar los paquetes en lugar de solo
filtrarlos de acuerdo a sus direcciones o números de
puerto, es decir, considerar el contenido de los paquetes.
Utiliza un módulo de inspección de paquetes para los
diferentes protocolos utilizados en cada una de las capas
de la arquitectura de red (modelo OSI).
Tienen la capacidad de integrar la información obtenida
desde todas las capas en un solo punto de inspección.
Este tipo de filtrado inteligente puede combinarse con la
abilidad de poder ‘escanear’ sesiones de red.
19
40. Ventajas y desventajas
Ventajas:
Un módulo de inspección puede manipular paquetes de
forma más rápida que un servidor proxy, lo que permite
reducir costos.
Los firewalls de inspección pueden proveer traducción de
direcciones, escaneo del contenido
de los paquetes para la búsqueda de virus, entre otros
servicios.
La principal desventaja de este tipo de firewall es que el
nivel de procesamiento requerido en comparación con el
filtrado de paquetes común, es mayor.
20