Data Center
Content
Tema 2 – Introducción a
los sistemas de
seguridad de un CDP
Vlan
VPN
DMZ- Zona desmilitarizada
VLAN
• Reduce Brodcasts/manejo preferible de ancho de
banda en el LAN.
• Agrupa puertos lógicamante/ por departamento.
• • Controla
distribution
de virueses/trojanos
dentro del
Principales
Componentes
de Communications
• LAN.
Principales Riesgos y Vulnerabilidades de las
• Crear
redespor lo menos un VLAN para los usuarios y otro
servidores. y consideraciones de seguridad
• para
Vulnerabilidades
para cada
componente
• Cuando
un usuario
se cambia de departamento, es
suficiente con cambiar el Vlan en el switch y no
mover el usuario físicamenete.
• Para pasar tráfico de Vlan a Vlan es necesario un
switch L3.
• Red mas segura.
• VLAN PRIVADO
VLAN
•
•
•
Principales Componentes de Communications
Principales Riesgos y Vulnerabilidades de las
redes
Vulnerabilidades y consideraciones de seguridad
para cada componente
VPN
(VIRTUAL PRIVATE NETWORK)
La VPN básicamente es una red privada dentro de
una red pública, la cual permite conectar diferentes
sedes o sucursales, usuarios móviles y oficinas
remotas entre si. Es una estructura de red
corporativa que utiliza sistemas de gestión y políticas
de acceso que permiten al usuario trabajar como si
estuviese conectado en su misma red local.
VPN
(VIRTUAL PRIVATE NETWORK)
VPN
(VIRTUAL PRIVATE NETWORK)
Por lo general la red pública utilizada para crear las
VPN's es Internet, aunque también hay otras
alternativas
como
ATM
o
Frame
Relay.
ATM, FR,
INTERNET
VPN
(VIRTUAL PRIVATE NETWORK)
La VPN funciona basándose en una tecnología llamada
tunneling, la cual es una técnica que consiste en
encapsular un protocolo de red sobre otro permitiendo
así que los paquetes vayan encriptados de manera que
los datos enviados sean ilegibles para extraños.
VPN
(VIRTUAL PRIVATE NETWORK)
El túnel queda definido por los puntos extremos y el
protocolo de comunicación empleado, que puede ser
entre otros IPsec (conjunto de protocolos cuya función
es asegurar las comunicaciones sobre el protocolo de
internet autenticando y/o cifrando cada paquete IP en
un flujo de datos, también ofrece protocolos para el
establecimiento
de
claves
de
cifrado).
VPN
(VIRTUAL PRIVATE NETWORK)
Tipos de VPN’s
De acceso remoto: modelo más usado actualmente y
como su nombre lo dice los usuarios o proveedores se
conectan a la empresa desde sitios remotos (desde su
casa, hotel, aviones, etc) usando internet como vínculo
de conexión, una vez autenticados tienen un nivel de
acceso muy similar al de la red local de la empresa
VPN
(VIRTUAL PRIVATE NETWORK)
Punto a Punto: se utiliza para conectar oficinas
remotas con la sede central de la organización.
Over Lan: es una variante del primer modelo expuesto
pero en lugar de usar internet como medio de conexión
se usa la misma LAN de la empresa y sirve para aislar
zonas y servicios de la red interna.
VPN
(VIRTUAL PRIVATE NETWORK)
VPN de conexión
Punto a Punto
VPN de Acceso
Remoto
Cortafuegos
Un cortafuegos (firewall en inglés) es una parte de
un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas.
Existen varias arquitecturas para garantizar el acceso
privado, como son…
Cortafuegos de Filtrado de
Paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2
del stack de protocolos TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP.
En este tipo de cortafuegos se permiten filtrados según
campos de nivel de transporte (capa 3 TCP/IP, capa 4
Modelo OSI), como el puerto origen y destino, o a nivel
de enlace de datos (no existe en TCP/IP, capa 2 Modelo
OSI) como la dirección MAC.
Cortafuegos Screened
Subnet (DMZ)
Una zona desmilitarizada (DMZ, demilitarized zone)
o red perimetral es una red local que se ubica entre
la red interna de una organización y una red externa,
generalmente Internet.
Objetivos de la DMZ
El objetivo de una DMZ es que las conexiones desde la
red interna y la externa a la DMZ estén permitidas,
mientras que las conexiones desde la DMZ sólo se
permitan a la red externa -- los equipos (hosts) en la
DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan
dar servicios a la red externa a la vez que protegen la
red interna en el caso de que intrusos comprometan la
seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona
desmilitarizada se convierte en un callejón sin salida.
Modelo Screened Subnet
En la Screened Subnet se utilizan dos routers que
protegen la zona desmilitarizada, cortando todo el
tráfico en ambos sentidos y asegurando la DMZ.
los sistemas de
seguridad de un CDP
Vlan
VPN
DMZ- Zona desmilitarizada
VLAN
• Reduce Brodcasts/manejo preferible de ancho de
banda en el LAN.
• Agrupa puertos lógicamante/ por departamento.
• • Controla
distribution
de virueses/trojanos
dentro del
Principales
Componentes
de Communications
• LAN.
Principales Riesgos y Vulnerabilidades de las
• Crear
redespor lo menos un VLAN para los usuarios y otro
servidores. y consideraciones de seguridad
• para
Vulnerabilidades
para cada
componente
• Cuando
un usuario
se cambia de departamento, es
suficiente con cambiar el Vlan en el switch y no
mover el usuario físicamenete.
• Para pasar tráfico de Vlan a Vlan es necesario un
switch L3.
• Red mas segura.
• VLAN PRIVADO
VLAN
•
•
•
Principales Componentes de Communications
Principales Riesgos y Vulnerabilidades de las
redes
Vulnerabilidades y consideraciones de seguridad
para cada componente
VPN
(VIRTUAL PRIVATE NETWORK)
La VPN básicamente es una red privada dentro de
una red pública, la cual permite conectar diferentes
sedes o sucursales, usuarios móviles y oficinas
remotas entre si. Es una estructura de red
corporativa que utiliza sistemas de gestión y políticas
de acceso que permiten al usuario trabajar como si
estuviese conectado en su misma red local.
VPN
(VIRTUAL PRIVATE NETWORK)
VPN
(VIRTUAL PRIVATE NETWORK)
Por lo general la red pública utilizada para crear las
VPN's es Internet, aunque también hay otras
alternativas
como
ATM
o
Frame
Relay.
ATM, FR,
INTERNET
VPN
(VIRTUAL PRIVATE NETWORK)
La VPN funciona basándose en una tecnología llamada
tunneling, la cual es una técnica que consiste en
encapsular un protocolo de red sobre otro permitiendo
así que los paquetes vayan encriptados de manera que
los datos enviados sean ilegibles para extraños.
VPN
(VIRTUAL PRIVATE NETWORK)
El túnel queda definido por los puntos extremos y el
protocolo de comunicación empleado, que puede ser
entre otros IPsec (conjunto de protocolos cuya función
es asegurar las comunicaciones sobre el protocolo de
internet autenticando y/o cifrando cada paquete IP en
un flujo de datos, también ofrece protocolos para el
establecimiento
de
claves
de
cifrado).
VPN
(VIRTUAL PRIVATE NETWORK)
Tipos de VPN’s
De acceso remoto: modelo más usado actualmente y
como su nombre lo dice los usuarios o proveedores se
conectan a la empresa desde sitios remotos (desde su
casa, hotel, aviones, etc) usando internet como vínculo
de conexión, una vez autenticados tienen un nivel de
acceso muy similar al de la red local de la empresa
VPN
(VIRTUAL PRIVATE NETWORK)
Punto a Punto: se utiliza para conectar oficinas
remotas con la sede central de la organización.
Over Lan: es una variante del primer modelo expuesto
pero en lugar de usar internet como medio de conexión
se usa la misma LAN de la empresa y sirve para aislar
zonas y servicios de la red interna.
VPN
(VIRTUAL PRIVATE NETWORK)
VPN de conexión
Punto a Punto
VPN de Acceso
Remoto
Cortafuegos
Un cortafuegos (firewall en inglés) es una parte de
un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas.
Existen varias arquitecturas para garantizar el acceso
privado, como son…
Cortafuegos de Filtrado de
Paquetes
Funciona a nivel de red (capa 3 del modelo OSI, capa 2
del stack de protocolos TCP/IP) como filtro de paquetes
IP. A este nivel se pueden realizar filtros según los
distintos campos de los paquetes IP.
En este tipo de cortafuegos se permiten filtrados según
campos de nivel de transporte (capa 3 TCP/IP, capa 4
Modelo OSI), como el puerto origen y destino, o a nivel
de enlace de datos (no existe en TCP/IP, capa 2 Modelo
OSI) como la dirección MAC.
Cortafuegos Screened
Subnet (DMZ)
Una zona desmilitarizada (DMZ, demilitarized zone)
o red perimetral es una red local que se ubica entre
la red interna de una organización y una red externa,
generalmente Internet.
Objetivos de la DMZ
El objetivo de una DMZ es que las conexiones desde la
red interna y la externa a la DMZ estén permitidas,
mientras que las conexiones desde la DMZ sólo se
permitan a la red externa -- los equipos (hosts) en la
DMZ no pueden conectar con la red interna.
Esto permite que los equipos (hosts) de la DMZ puedan
dar servicios a la red externa a la vez que protegen la
red interna en el caso de que intrusos comprometan la
seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que
quiera conectarse ilegalmente a la red interna, la zona
desmilitarizada se convierte en un callejón sin salida.
Modelo Screened Subnet
En la Screened Subnet se utilizan dos routers que
protegen la zona desmilitarizada, cortando todo el
tráfico en ambos sentidos y asegurando la DMZ.
