Professional Documents
Culture Documents
Arquitectura de Firewall
ndice
Cortafuegoofirewall.
Tiposdearquitectura
o ArquitecturaDualHomedHost
o ArquitecturaScreenedHost
o ArquitecturaScreenedSubnet(DMZ).
Bibliografa
Cortafuegoofirewall
Estbasadoenaprovecharlacapacidadquetienenlosroutersparabloquearofiltrar
paquetesenfuncindesuprotocolo,oservicio.
Paraconfigurarunfirewallsetomaencuentalossiguientesparmetros:
DireccionesIporigenydestino
Protocolosautilizarseenlared
Puertosdeserviciosorigenydestino(TCPyUDP)
Tipodemensaje(ICMP,etc)
Interfacesdeentradaysalidadelospaquetes.
Tiposdearquitectura
Existen3tiposdeArquitecturadeCortafuegosoFirewall:
ArquitecturaDualHomedHost
ArquitecturaScreenedHost
ArquitecturaScreenedSubnet(DMZ).
ArquitecturaDualHomedHost
EnestaarquitecturaseutilizauncortafuegoqueseinstalaenunhostoPC,lacual
contaracondostarjetasderedqueactaracomorouterentredosredes.
Sufuncionamientoconsisteen
permitir
directamente
comunicacin
la
deunaredA(intratedoredprivada)aotraredB(internetoredpblica);perodeforma
inversamentenopermitedirectamente.
El Firewall puede comunicarse con el dualhomed host , y los sistemas externos
tambin pueden comunicarse con l, pero los sistemas no pueden comunicarse
directamenteentreellos.
ArquitecturaScreenedHost
EnestaarquitecturaseutilizauncortafuegosquesecombinaconunhostoPCbastion,
situadoentrelaredexternayelhostoPCbastionsituadoenintranet.
Elprincipalniveldeseguridadestdadaporelfiltradodepaquetes;porlocualelhost
Bastionnecesitaunaltoniveldeseguridad.
Lamaneradefuncionarestaarquitecutaconsisteenfiltralospaquetes,detalmodoque
elhostbastionseelnicoquepuedaaccederdesdelaredexterna,asuvezsepermite
aloshostdelaredinternaestablecerconexionesconlaredexterna.
Laspolticasdeseguridaddeberealizarsededosmaneras:
1. Permitiraloshostsinternosestablecerconexionesahostsdelaredexterior.
2. Denegartodaslasconexionesdesdeloshostsdeintranet,forzandoaloshostsa
utilizarlosserviciosproxydelhostbastion.
ArquitecturaScreenedSubnet(DMZ).
Eslaarquitecturamspopular.Agregaunnivelextradeseguridadquelaarquitectura
"screenedhost",queaslafuertementelaredinternadeInternet.
EnestaarquitecturasediseaconunaestructuraDMZdondeseutilizadosrouters
exterioreinterior,entreellosseincluyeelhostbastin.Alaislarelhostbastionenun
permetro,sepuedereducirelimpactodeatacaralhostbastion.
Elrouterexteriorrechazaeltrficonodeseadoenambossentidos,porotroladoel
routerinteriorrechazaeltrficonodeseadotantohacialaredDMZcomohacialared
interna,obteniendocomoresultadosialatacarlaredprotegidasetendraqueromperla
seguridaddeambosrouters.
1.
Permetro: Es un
nivel
deseguridad.
2. Host bastion: Situado en permetro, es el punto de
establecercomunicacindesdeelmundoexterior.
contacto para
Bibliografia
https://www.rediris.es/cert/doc/unixsec/node23.html
http://penta.ufrgs.br/gereseg/unlp/12tema5.htm
http://spi1.nisu.org/recop/al01/rmoreno/arquitecturas.html
http://www.seguinfo.com.ar/firewall/dualhomed.htm