Seguridad Informática Parte 2

Diseñando Redes Seguras

|| Author: ÇonfusedMind. || Web: confused.vndv.com
|| Martes 14 de Abril de 2009.



_______________________________________________
# [-] Conceptos: Internet, Intranet, Extranet.
# [-] ¿Que es una DMZ?.
# [-] Uso de VLANs - (Virtual LAN).
# [-] ¿Que es una VPN? y ¿Porque Usarlas?.
# [-] Tipos de VPN.
# [-] Seguridad en las VPN.
_______________________________________________


Que tal, continuamos con el segundo capitulo y en este paper vamos a intentar ayudar a que nuestro admin novato, ahora no tanto ya que en el capitulo uno, entendimos varios conceptos de seguridad, de como planificar una politica de seguridad y demas medidas a implementar.
En este capitulo nuestro admin ya tiene todo listo para implementar una red, pero de que modo?, de que forma? y como implementar una red sino tiene conceptos de las diferentes formas que puede adoptar una red. Pues Veamoslo..

# Conceptos: Internet, Intranet, Extranet.

Estos conceptos basicos son necesarios saberlos y son requeridos a la hora de armar una red.

Como bien sabemos, no es lo mismo una pc conectada en red a otra que esta al lado en el mismo espacio fisico, en la misma habitacion, que una pc que se comunica mediante red a otra pc en otra provincia, pais u otro continente. Las diferencias y distancias son abismales.
En cuanto a distancias geografias se refiere, podemos decir que existen dos areas importantes.
la LAN y la WAN.

LAN: Es una red de area corta ("Local Area Network", es decir, "Red de Area Local")
WAN: Es una red de area extensa (Wide Area Network o WAN, del inglés, "Red de Area Amplia") y permite una distancia de entre 100km a 1000km

Bien era una aclaracion que queria hacer para dar pie a los siguientes conceptos.



INTERNET: Creo que a esta altura todos los que se interesan por seguridad informatica tendrian que saber cual es el concepto de internet, pero por si algun dormilon o despistado no sabe diriamos que INTERNET es una gran red que une muchas redes.

INTRANET:
Es como una INTERNET pero en una red privada, LAN mayormente, aunque WAN tambien puede ser. Cuya funcion es detallar documentos, instrucciones y servicios a los empleados de una empresa. Depende la importancia de la empresa la intranet sera mas grande o mas chica.


EXTRANET: Son redes de acceso externo, aplicadas por proveedores o asociados a la empresa.

!# Me he salteado las topologias de red porque ya las he profundizado en la seccion Redes Informaticas y no seria comodo repetir todo y hacerlo tan extenso porque hay que hablar demasiado. Link directo a tres capitulos de redes http://confused.vndv.com/redinfo.html.

# ¿Que es una DMZ?.

Creo que muchos de los que leen este paper han oido hablar sobre la DMZ, es un importante concepto de seguridad a nivel diseño de red.
Significa la ZONA DESMILITARIZADA y es una zona aparte en la cual colocaremos nuestros servidores los cuales se acceden mediante la Extranet.
Los firewalls (que por cierto mas adelante hablaremos) incluyen una interfaz ademas de sus internas y externas, extra para ubicar nuestra DMZ.

Como ya dijimos el papel de nuestro querido Administrador novato va a ser proteger la informacion ¿verdád? que se encuentra en nuestra LAN.
Entonces explicare el porque aislamos la red, en realidad no es que protegemos la DMZ por los intrusos en si, sino para que nuestra LAN no se vea afectada.

Ya que sino la aislamos podrian usarla de puente para ingresar a la LAN que es donde tenemos nuestra informacion valiosa.
En caso de no aislarla, esto provocaria que si se llega vulnerar nuestros servicios, tienen acceso directo a la LAN, por eso se creo la DMZ para poder separarla de nuestra red LAN mediantes interfaces fisicas o subredes, restringiendo que si ingresan a nuestra Extranet/Internet no entran en nuestra LAN.



# Uso de VLANs (Virtual LAN).

Al momento de crear una red los administradores planifican segun el potencial de la empresa y sus dimensiones que seria mas conveniente. Y muchos eligen aplicar el uso de Vlans.
Esta es una forma mas compleja y mas segura sin duda para casi cualquier tipo de topologia.

Esto se debe al uso de routers y switchs de capa nivel 3. Lo positivo es que mediante los routers se puede nivelar el trafico de banda ancha, por lo tanto se puede configurar una restriccion de maximo de velocidad especifica usada y asi mejorar el rendimiento de la banda ancha para la LAN.
Otra de las caracteristicas de los Switch y Routers es el poder armar una VLAN.

Las Virtual LAN son algo asi como segmentos logicos de la misma LAN. Su funcionamiento sirve para mejorar la seguridad y el poder de filtrar trafico entre segmentos.

# ¿Que es una VPN? y ¿Porque Usarlas?.


Las VPN significan Redes Privadas Virtuales.
Que es eso de virtuales? bien.. digamos que existe dicha virtualidad porque a veces las distancias geograficas impiden que las redes sean de forma FISICA, entonces mediante la tecnologia logramos virtualizarlas y hacer que se conecten remotamente.
La informacion como vemos en la imagen.. que va desde por ejemplo MI OFICINA claramente vemos como para llegar a destino pasa por internet, y en internet hay de todo, gente husmeando, espias por demas, pero gracias a una tunelizacion que realizan las VPN se envia encriptada la informacion hasta llegar a destino como podria ser a los SERVIDORES.

Para utilizar una VPN solo basta tener una conexion de banda ancha. Nos ahorramos cablerios, debido a que no podemos conectar una pc punto a punto si la otra pc esta en la china y nosotros en argentina.
Como dije los datos pueden cifrarse de varias formas y nos conectamos a la red de una manera muy facil como si estuvieramos en la misma red fisica. Sin duda es una solucion mas en el mundo de Internet.

Para resumir el concepto si lo que necesitamos es que nuestra empresa se comunique con otras sucursales, o nuestros proveedores con nosotros, la VPN es una excelente metodologia de comunicacion.

# Tipos de VPN

Bien nuestro administrador novato de a poco se va profundizando mas en el tema de las VPN, y necesita un poco mas de informacion acerca de como trabajan, veremos que hay dos tipos de VPN. Las Site-to-site y las Client-to-site.

Site-to-site [ sitio a sitio ]: Generalmente las pcs que se van a interconectar dependen de una IP fija, esto se debe a que los cortafuegos trabajan mediante IP y no por host.
Las redes se conectan entre si mediante firewalls, routers u otro dispositivo especifico.
No esta de mas aclarar que sea cual fuese el dispositivo usado, necesitaremos la IP del otro.
Abajo dejo un diagrama muy malo pero es para ejemplificar mejor esto... [no se rian soy malo en diseño grafico Sad. ]




Client-to-site [ Cliente a sitio ]: Bien como el nombre lo dice es de cliente a sitio, porque logicamente deducimos que solo con un software que trabaje como cliente, autentificando nuestro user & password, practicamente estariamos conectados.
Y asi es, generalmente es usado para empleados de las empresas que estan lejos de la oficina e incluso es muy comun y lo he visto por conocidos, Administrar la Seguridad Informatica de una red en otro lugar del continente.

Otra cosa a tener en cuenta, el software es quien se encarga a la hora de conectarnos al sitio mediante la creacion de un tunel vpn, el cual encapsula toda la informacion y la encripta.

NOTA A TENER EN CUENTA: Algo interesante lei en un libro sobre VPNs, y era que en caso de que no se posea una IP FIJA y se requiere hacer un Tunel Continuo al estilo site-to-site, se podria improvisar de forma "media bruta" un constante trafico mediante "ping" para que el time out no haga caer el tunel.
Interesante... aunque no lo he probado.


# Seguridad en las VPN
La seguridad en las VPN es algo relativo dependiendo que tipo de vpn es.
Con respecto al Cifrado que hay cuando se concreta la conexion, podemos decir que hay disponibles varios algoritmos, como el AES, 3DES, DES comun, y no se si otros... pero estos son los principales.

En el caso de site-to-site el Protocolo usado es el IPSec, que tiene varios mecanismos de seguridad, demostrando que posee la suficiente confianza con respecto a confidencialidad, integridad y autenticidad.
El protocolo IPSec posee una IKE -Internet Key Exchange- que permite intercambiar informacion entre los dispositivos como los firewalls routers etc, tambien estos son conocidos como -peer- (negociadores).
La cabecera de los datagramas esta compuesta por:

* AH (Authentication Header): Protege parte de la cabecera IP, como las direcciones de origen y destino.
* ESP (Encapsulating Security Payload): Este elemento se ocupa de la confidencialidad de los datos, osea protegiendo al paquete que sigue a la cabecera.

En el caso de client-to-site no hay un protocolo default o alguno que sea muy frecuente, hay varios como el L2TP (Layer 2 Tunneling Protocol) usado generalmente en Windows XP y creo que 2000. Es muy superior el L2TP a diferencia del PPTP (Point to Point Tunneling Protocol) que se encuentra en todas las versiones de Windows.

0 comentarios:

Publicar un comentario