Servidor OSI

Perímetro: frontera fortificada de la red
Bastión:
servidor expuesto que publica algún servicio a la red lo que le cataloga como de alto riesgo FORITIFICACION conjunto ordenado y organizado de procedimientos por el que convertimos un servidor en un bastión suficientemente fortificado ROUTER DE FRONTERA router mas externo de la red que esta en contacto con Internet CORTAFIEGOS se configuran las reglas de filtrado que especifican que trafico se aceptara y cual no. IDS despliega un conjuto de sensores estratégicamente situados en la red interna con objeto de detectar ataques. DMZ porción de la red que aloja servicios que se hacen accesibles al exterior. Se  sitúan delante del cortafuegos corporativo. REDES CONTROOLADAS redes que se sitúan detrás del cortafuegos corporativo. Los bastiones no están en contaco directo con la red interna y se protegen de la red externa mediante un firewall o router con capacidad de filtrado

La carácterística principal es conectar dos o mas redes. La selección de trafico dependerá de las reglas establecidas por una persona para que pueda proteger la red interna

Estático es el modo mas básico en un cortafuegos. Consiste en aceptar o rechazar paquetes en función de algunos o varios  de los campos del paquete
IP. Dos modos: 1 lista blanca: deniega por defecto todo el trafico menos lo que se acepta explícitamente. 2 lista negra: acepta todo el trafico excepto lo que se deniegue.

Problemas: ip fáciles de enmascarar. Los servicios y apps pueden usar puertos no estandarizados. Desfragmentar los paquetes ip. Algunos servicios tienen comportamientos especiales. No gestiona modos  de identificación de usuarios robustos.

Dinámico DE PAQUETES  las reglas se crean y se destruyen dinámicamente, según aparezcan o desaparezcan las conexiones. Se almacenan en una lista reflexiva, así los paquetes de  salida permitidos crean automáticamente reglas para aceptar la respuesta de la salida. Por lo que nos permite la entrada al os paquetes que no tengan una respuesta de conexión previamente hecha desde la red interna. FIREWALL DE ISPECCION DE ESTADO mantiene una trabla en la que registra el estado de las concesiones activadas en cada momento. Las entradas en la tabla se borran cuando se acaba la conexión o se haga un timeout. BASADOS EN PROXY pasarela nivel de circuito: 1 los servicios se solicitan por un puerto del proxy 2.Se pide identificación al cliente. 3 se realiza la conexión entre proxy y sistema remoto. 4 realizada la conexión no se inspeccionan los paquetes. DMZ MODELO DE SEGUIRIDAD MULTIHOMED el bastión dispone de varias interfaces de red, cada una conectada a una red física, lo que las separa en diferentes redes. SCREENED HOST todas las conexiones van a un bastión que se conecta a una red interna. El router frontera deriva todas las conexiones al bastión evitando una conexión entre router frontera y cualquier nodo de la red interna. La seguridad de este modelo reside en el router, que no debe permitir conexiones que tenga origen o destino en el bastión. SCREENED SUBNET  = host pero añade un router entre el bastión y la red interna. En esta red están los servidores que publican servicios o actúan como modems. Desde esta red se prohíben los accesos tanto a la red interna como a Internet. 

IDS examinan el trafico de red para detectar ataques, el examen se concentra en el rastreo de a red, sondas y otros tipos de ataques fases: identificación dela taque, registro de eventos, bloqueo de ataque, reporte a los administradores. La diferencia con los cortafuegos es que los ids no interfieren en la red, son pasivos, solo escuchan la red media sniffers. Van recogiendo trafico y comparando con unos patrones de ataques específicos entonces si el trafico actúa como los patrones se generan alertas para ser  detectadas por el administrador PASIVO detecta los ataques y crea avisos ACTIVOS atenuar o rechazar el ataque. 

HONEYPOT sistema configurado con el fin de ser atacado por un agente externo y conseguir inforamcion acerca de como se realizo el ataque, vulnerabilidades con el fin de alertar al administrador. VENTAJAS: menos falsos positivos que los ids. Una pocos recursos y capturan pocos datos por lo que el análisis es rápido. Sistema ssimples DESVENTAJAS ven ataques que les lelgan. Sensibles a taques fingerprinting. Pueden ser utilizados como plataforma para un ataque

PERSONAL es un componente de software que implementa la funcionalidad de firewall y que protege exclusivamente  al sistema en el que se instala mediante técnica de filtrado de la conexiones locales ocn el exterior. Gestiona reglas de trafico de entrada y salida. Otras funciones como antispam antivirus y es configurable por el administrador del sistema

Domésticos O SOHO es un dispositivo de red que filtra las conexiones de una red domestica con el exterior. Es un elemento común y externo que actúa como router de frontera de bajo rendimiento que separa Internet de la lan Small Office Home Office  redes pequeñas . Suele venir integrado el los routers de borde de la red

CORPORATIVOS dispositivo o sistema integrado que protege mediante diversas técnicas de filtrado a toda una red o varios de sus segmentos  (por hardware o por software)  garantiza el acceso utilizando técnicas de alta disponibilidad para lo que los cortafuegos tienen que comunicarse sus configuraciones entre si conformando un sistema integrado de protección HARDWARE tienen como ventaja que se pueden proteger toda una red o un segmento de ella. Disponen de su propia cpu y ram por lo que no consumen los recursos de estacione so servidores, el malware no les desconecta, la protección perdura incluso sufriendo un system crash. Como inconvenientes son caros y difíciles de configurar y requieren un espacio físico adicional para alojarnos a donde tiene que llegar todo el cableado. Un fallo de seguridad afectara a toda la red. SOFTWARE sencillos de utilizar, baratos y fáciles de configurar, el filtrado de aplicación que realizan les hace muy flexibles. Consumen mas recursos y no suelen llegar a tener las capacidades de configuración de filtrado de paquetes que tienen los de hardware

WAF dispositivo físico que investiga en el trafico  web entre el servidor web interno, publicado al exterior, e Internet para analizar los datos recibidos en el servidor web procedentes de la actividad del usuario y proteger al servidor de diferentes ataques de software. Proteger de los ataques dirigidos al servido web y que los IDS o IPS no pueden defender. Pueden detectar un posible ataque de buffer overflow. Un factor negativo es que si la aplicación protegida utiliza caracteres que el waf tenga en su lista negra, denegara las peticiones de los usuarios.

UTM cada funcionalidad de una UTM se llama área de gestión. La mayor parte de estas arreas de gestión seimplementean mediante pasarelas de aplicación es decir mediante  servicios  proxy de alto nivel cada uno de los cuales proveerá un servicio de valor añadido. En la configuración de una utm caben dos posibles modos de configuración para el consumo de usus servicios de los clientes: MODO PROXY hace uso de servidores proxy para cada servicio de acceso capturando el trafico que se redirige desde cada cliente, procesándolo. MODO TRANSPARENTE   simplemente procesa los paquetes que le llegan sin necesidad  de ninguna redirección del cliente para dirigir los paquetes allí sin embargo necesita que el sistema operativo cliente haga pasar todo el trafico por la utm.