Miki TCS - http://www.miki.cat
 

Seguridad

 

    o Seguridad externa: Doble firewall.

Para asegurar la seguridad en el acceso a internet, y no permitir las conexiones no autorizadas hacia las escuelas desde fuera del distrito deberemos implementar una arquitectura de doble firewall, mediante un routers y un servidor proxy como se muestra en el dibujo. Para esta parte supondremos que la direccion ip de red pública que nos han asignado es: 120.130.10.0 /24. Aunque parezca que disponemos de un número escaso de direcciones (252 hosts) para realizar NAT y para los servidores, los motivos para la elección son los siguientes:
- En todo el distrito he contado 36 escuelas, que se conectan a la WAN mediante una línea T1 cada una, con lo que la conexión a internet es un enorme cuello de botella, por eso si se hace un uso eficiente de la caché del proxy, nos ahorramos que muchas de las conexiones lleguen a salir. Por otro lado, es muy improvable que en cada escuela los usuarios se conecten simultaneamente a internet, usualmente seran accesos esporádicos para hacer algún tipo de consulta o acceder a algún servicio.
- Así con estas direcciones haremos la distribución siguiente:
- De 120.130.10.1 - 120.130.10.6 para el segmento de backbone público (ver dibujo).
- De 120.130.10.253 - 120.130.10.246 realizaremos PAT para la escuela 1. (6 ips)
- De 120.130.10.245 - 120.130.10.240 realizaremos PAT para la escuela 2 . (6 ips)
- Y así sucesivamente para todas las escuelas.
- De 120.130.10.7 - 120.130.10.42 libres para futuras asignaciones.
.

ACLs del router frame relay

- Permitimos el acceso DNS, SMTP y HTTP hacia los servidores públicos.
- Permitimos el tráfico TCP con el bit ACK o RST establecido a 1, és decir, a las conexiones TCP establecidas desde nuestra red.
- Denegamos todo lo demás.

FRRouter(config)# access-list 101 permit TCP any host 120.130.10.4 eq 53
FRRouter(config)# access-list 101 permit UDP any host 120.130.10.4 eq 53
FRRouter(config)# access-list 101 permit TCP any host 120.130.10.4 eq SMTP
FRRouter(config)# access-list 101 permit TCP any host 120.130.10.5 eq HTTP
FRRouter(config)# access-list 101 permit TCP any 120.130.10.0 0.0.0.255 established
FRRouter(config)# access-list 101 deny ip any any

- Colocamos la ACL en la interface serie para tráfico entrante:

FRRouter(config)# interface serial 0
FRRouter(config-if)# ip access-group 101 IN
FRRouter(config-if)# exit

El tipo de NAT escogido, como se ha visto antes, es PAT, y este será implementado en el proxy.
El proxy también será el encargado de verificar que todas las conexiones a nivel de aplicación sean correctas, esten permitidas y detectar por ejemplo tramas TCP manipuladas maliciosamente, o intentos de acceso a partes restinguidas del servidor HTTP.
Según las decisiones que tome el proxy tanto para el tráfico de la WAN como el tráfico de internet, enrutará los paquetes por una de sus 3 interfaces de red.

  
anterior
(Seguridad interna: ACL)
home
siguiente
(Tipo y cantidad de cableado necesario)