JONATHAN PAREDES IBARRA

Arquitectura de Firewall

ndice
Cortafuegoofirewall.
Tiposdearquitectura
o ArquitecturaDualHomedHost
o ArquitecturaScreenedHost
o ArquitecturaScreenedSubnet(DMZ).
Bibliografa

Cortafuegoofirewall
Estbasadoenaprovecharlacapacidadquetienenlosroutersparabloquearofiltrar
paquetesenfuncindesuprotocolo,oservicio.
Paraconfigurarunfirewallsetomaencuentalossiguientesparmetros:

DireccionesIporigenydestino

Protocolosautilizarseenlared

Puertosdeserviciosorigenydestino(TCPyUDP)

Tipodemensaje(ICMP,etc)

Interfacesdeentradaysalidadelospaquetes.

Tiposdearquitectura
Existen3tiposdeArquitecturadeCortafuegosoFirewall:

ArquitecturaDualHomedHost

ArquitecturaScreenedHost

ArquitecturaScreenedSubnet(DMZ).

ArquitecturaDualHomedHost
EnestaarquitecturaseutilizauncortafuegoqueseinstalaenunhostoPC,lacual
contaracondostarjetasderedqueactaracomorouterentredosredes.

Sufuncionamientoconsisteen

permitir

directamente

comunicacin

la

deunaredA(intratedoredprivada)aotraredB(internetoredpblica);perodeforma
inversamentenopermitedirectamente.
El Firewall puede comunicarse con el dualhomed host , y los sistemas externos
tambin pueden comunicarse con l, pero los sistemas no pueden comunicarse
directamenteentreellos.

ArquitecturaScreenedHost
EnestaarquitecturaseutilizauncortafuegosquesecombinaconunhostoPCbastion,
situadoentrelaredexternayelhostoPCbastionsituadoenintranet.
Elprincipalniveldeseguridadestdadaporelfiltradodepaquetes;porlocualelhost
Bastionnecesitaunaltoniveldeseguridad.
Lamaneradefuncionarestaarquitecutaconsisteenfiltralospaquetes,detalmodoque
elhostbastionseelnicoquepuedaaccederdesdelaredexterna,asuvezsepermite
aloshostdelaredinternaestablecerconexionesconlaredexterna.
Laspolticasdeseguridaddeberealizarsededosmaneras:
1. Permitiraloshostsinternosestablecerconexionesahostsdelaredexterior.
2. Denegartodaslasconexionesdesdeloshostsdeintranet,forzandoaloshostsa
utilizarlosserviciosproxydelhostbastion.

 ArquitecturaScreenedSubnet(DMZ).
Eslaarquitecturamspopular.Agregaunnivelextradeseguridadquelaarquitectura
"screenedhost",queaslafuertementelaredinternadeInternet.
EnestaarquitecturasediseaconunaestructuraDMZdondeseutilizadosrouters
exterioreinterior,entreellosseincluyeelhostbastin.Alaislarelhostbastionenun
permetro,sepuedereducirelimpactodeatacaralhostbastion.
Elrouterexteriorrechazaeltrficonodeseadoenambossentidos,porotroladoel
routerinteriorrechazaeltrficonodeseadotantohacialaredDMZcomohacialared
interna,obteniendocomoresultadosialatacarlaredprotegidasetendraqueromperla
seguridaddeambosrouters.

1.

Permetro: Es un

nivel

deseguridad.
2. Host bastion: Situado en permetro, es el punto de
establecercomunicacindesdeelmundoexterior.

contacto para

3. Router exterior: Situado entre el mundo externo y el permetro. Aplica un

filtradodepaqueteslascualessonlasqueprotegenlasmquinasdelpermetro.
4. RouterInterior:Ubicadoentrelaintranetyelpermetro.Norealizaelprincipal
filtradodepaquetes.Elpermiteseleccionarserviciosdelaredinterna.

Bibliografia
https://www.rediris.es/cert/doc/unixsec/node23.html
http://penta.ufrgs.br/gereseg/unlp/12tema5.htm
http://spi1.nisu.org/recop/al01/rmoreno/arquitecturas.html
http://www.seguinfo.com.ar/firewall/dualhomed.htm