presetacion redes ip
Post on 08-Jul-2015
70 Views
Preview:
TRANSCRIPT
Diseño de una
arquitectura de
seguridad
Medina Vega José Alberto
Guerrero Márquez Marisela
Villa Osornio Marco Antonio
Reséndiz Vásquez Antonio Adolfo
• Definición
• Casos reales y Aplicaciones
• Conclusiones
Diseño de una arquitectura de seguridad
Conjunto de controles de infraestructura de TI
recomendados para brindar, un ambiente que minimice
los riesgos asociados a la utilización de tecnologías de
información y apoye las estrategias de negocio.
Arquitectura de seguridad :
un nuevo enfoque a la protección por capas
pasos en el diseño de una arquitectura
de seguridad
Fase 1: Realización de Evaluaciones de Seguridad
Fase 2: Formulación del objetivo del diseño de la arquitectura de seguridad
Fase 3: construcción de políticas y procedimientos
Fase 4: Implementación del diseño de la arquitectura de seguridad
Fase 5: Integración de prácticas de seguridad
para mantener el estado seguro
Fase 1: Realización de Evaluaciones de
Seguridad
1. Personal clave para ser entrevistado.
2. Componentes críticos y no críticos de seguridad que deben evaluarse. (F)
3. Diseñar una plantilla para las evaluaciones de seguridad, incluir (BIA)
4. Identificación Amenazas, vulnerabilidades y problemas de seguridad.
5. Realización análisis de riesgos. Como parte de la valoración de seguridad
Plantilla para la evaluación de seguridad
Fase 2: Formulación del objetivo del diseño
de la arquitectura de seguridad
Se basa en los resultados y recomendaciones según lo determinado en la fase
1.
Para rediseñar la infraestructura existente o hacer nuevas implementaciones
Es importante desarrollar dos tipos de
diseño de arquitectura de seguridad
1.- Se necesita una arquitectura lógica de los componentes de seguridad
(procesos, tecnología y personas)
Consiste en:
Seguridad perimetral, un equipo de respuesta a incidentes informáticos, política
de antivirus, DRP(Plan de Recuperación de Desastres), riesgo y análisis de
amenazas.
Segundo tipo
Los diseños de arquitectura físicos incluyen diagramas de red ilustrando:
Firewall
Servidores Proxy
VLANs
DMZ
Dispositivos utilizados
Fase 3: Construcción de Políticas y
procedimientos
se construye un método de acción seleccionado de entre las alternativas,
para guiar y determinar las decisiones presentes y futuras un plan general de
alto nivel que abarque objetivos generales y procedimientos aceptables.
Fase 4: Implementación del diseño de la
arquitectura de seguridad
Los proyectos que implementan los cambios deben tener un plan que defina los
plazos, la financiación de los recursos necesarios para implementar estos
cambios.
Fase 5: Integración de las practicas de
seguridad para mantener el estado seguro.
La seguridad es un estado mental y un proceso
Se debe definir el papel del personal de seguridad en la evaluación de todos
los cambios en la arquitectura, diseño de sistemas, y la estructura de la red;
Actualmente una buena arquitectura de red
debe cumplir 4 características básicas:
Tolerancia a fallos
Escalabilidad
calidad del servicio
Seguridad
REQUERIMIENTOS
• Esquema de Autenticación, Autorización
y Auditoria
• Seguridad perimetral
• Conectividad segura
• Esquema de Monitoreo
Definición del esquema de Autenticación,
Autorización y Auditoria
• Control de acceso.
• Revisión de normas y estándares.
La seguridad perimetral es un conjunto de sistemas de detección
electrónica diseñado para proteger perímetros internos y externos.
Esta seguridad detecta, disuade y frena al intruso con mucha mas
antelación.
SEGURIDAD PERIMETRAL
Ejemplos de Soluciones para la
Seguridad Perimetral
Podemos encontrar distintos tipos de acciones de
Seguridad Perimetral:
Detectores de rotura de vidrios.
Detectores de movimiento para exteriores.
Detectores de movimiento zonas interiores
sensibles.
Detectores magnéticos de apertura (para
ventanas y puertas).
Barreras infrarrojas para exteriores de largo y de
corto alcance
Sistemas DEA:
Serir: Recintos con vallas metálicas
Sisma CA: Sistema anti-intrusión para zonas
pavimentadas
Sisma CP: Tipo enterrado (ej. Jardín)
En qué casos es más recomendable la
seguridad perimetral
La Seguridad Perimetral es mas recomendable en todos aquellos casos que existe un espacio entre la vía pública y el lugar donde están los bienes a proteger:
Aeropuertos, prisiones,
Propiedades con jardines públicas o privadas
Instalaciones con materias peligrosas
Empresas en general
Empresas de transportes
Instalaciones militares
Conectividad segura
Confidencialidad.
Integridad.
Disponibilidad.
Esquemas de monitoreoEjercicio destinado a identificar de manera sistemática la calidad del
desempeño de un sistema, subsistema.
Beneficios Operativos
• Identificar opciones de mejora para la
infraestructura existente.
• Incorporar gradualmente tecnologías de
seguridad para proteger la información.
• Enfocar el esfuerzo tecnológico en controles
necesarios según el análisis de riesgos.
Casos reales y Aplicaciones
La Oficina Federal de Investigación (FBI, Federal Bureau of
Investigation) de los Estados Unidos calcula que las empresas
pierden aproximadamente 67 200 millones de dólares por año
como consecuencia de los delitos relacionados con la
informática.
Seguridad de la información. En la actualidad preservar, mantener, disponer y
custodiar la información de una organización se ha convertido en una tarea
primordial de las organizaciones y por ende de quienes la administran y gestionan
la tecnología para hacerlo.
ISO 27001, consiste en la preservación de su confidencialidad, integridad
y disponibilidad, así como de los sistemas implicados en su tratamiento,
dentro de una organización.
ISO 17799:2005 hace referencia algo a lo que una organización directamente le
asigna un valor y por lo tanto la organización debe proteger
En el área tecnológica, han surgido diferentes modelos y propuestas
que hacen referencia a lo que se debe realizar y tener en cuenta a
la hora de proporcionar seguridad a la información de una
organización.
Jan Killmeyer Tudor
Una vez definidos la política, estándares, procedimientos bajo lineamientos institucionales y
técnicos, se procede a la divulgación y expansión de conocimiento de dicha arquitectura a todos los
actores de la organización por medio de la concientización y capacitación de usuarios, para lograr
obtener los resultados esperados y mitigar los riesgos que presentan los activos de información de la
institución.
Propuesta de Implementación de una Arquitectura de Seguridad para
activos de información de la Universidad de Boyacá
Objetivo general: Propuesta de Implementación de una Arquitectura de Seguridad
para activos de información de la Universidad de Boyacá.
Objetivos específicos
• Realizar el levantamiento de información referente al estado actual de la seguridad en la
Universidad de Boyacá, con el fin de reconocer las necesidades organizacionales de
seguridad.
• Identificar los activos de información de la Institución junto con sus vulnerabilidades con el
fin de definir su arquitectura de seguridad basada en el modelo propuesto.
• Definir un modelo de arquitectura de seguridad institucional basado en las necesidades de
seguridad la organización y estándares del área con el fin aplicarlo en la gestión de los
activos de información de la Institución.
• Desarrollar las actividades, definidas en el modelo de arquitectura de seguridad de
información con el fin de implementar la arquitectura segura de los activos de información.
Qué aspectos se deben evaluar para dar seguridad a un activo de
información?
• Los ataques a la seguridad a los que se exponen los
activos de información.
• De qué manera se contrarrestan los ataques de seguridad.
• Cuáles servicios de seguridad/tecnológicos se pueden generar.
Fase 1: Análisis de Riesgos de la Universidad
Fase 2: Identificación de activos de información de la Universidad
Fase 3. Análisis de vulnerabilidades de activos de información de la Universidad
Fase 4. Modelo de implementación de arquitectura de seguridad de activos de
información de la Universidad
Seguridad en la implementación de redes.
La seguridad de los dispositivos comienza con la protección de
ellos contra el acceso no autorizado.
Es posible llevar a cabo todas las opciones de configuración
mediante los puertos de terminal vty.
El Modo EXEC privilegiado permite a cualquier usuario que
habilite ese modo en un switch de Cisco configurar cualquier
opción disponible en el switch. También puede ver todos los
parámetros de la configuración en curso del switch e incluso
algunas de las contraseñas encriptadas.
Seguridad del puerto
Un switch que no cuenta con seguridad de puerto permite
que un atacante conecte el sistema a un puerto habilitado
en desuso, que recopile información o que genere
ataques.
• Especificar un grupo de direcciones MAC validas
permitidas en el puerto.
• Permitir que solo una dirección MAC acceda al
puerto.
• Configurar para que el puerto se desactive de
manera automática.
Arquitectura del nuevo Centro de Proceso de
Datos
de la Dirección General del Catastro
La Dirección General del Catastro (dgc)
ha consolidado recientemente sus sistemas
de servicios centrales en un único Centro
de Proceso de Datos (cpd) en modalidad
de “housing”.
ESCABILIDAD
SEGURIDAD
ROBUSTES
DISEÑO FISICO
Sistemas estructura con normas como tia-942.
Refrigeración
Seguridad física de los equipos(se estructura por plantas dedicadas al
alojamiento de sistemas y permite dividir espacios donde van los nodos.
Zonas de seguridad y defesas perimetrales..
Externa
Interna
Gestión
DISEÑO DE LA RED
• Rendimiento: La electrónica de red debía de ser capaz
de conmutar un muy alto volumen de tráfico
• Aislamiento : Las redes que daban servicios al exterior
debían de estar separadas físicamente de las redes
internas.
• Soporte de filtrado multicast: para conseguir la alta
disponibilidad. La electrónica de red debía permitir que el
uso de este protocolo no degenerase en “tormentas” que
disminuyeran el rendimiento de la red.
• Enrutamiento en los cortafuegos
DISEÑO DE
ARQUITECTURA DE
SEGURIDAD DE RED
Con el propósito de incrementar Ia seguridad se realizó un análisis de su
actual arquitectura de red principalmente en el control de conexiones con
redes externas.
Producto de dicho análisis se diseño una nueva arquitectura de red
La cual posee controles de acceso para Ias conexiones y la ubicación
recomendada para los detectores de intrusos.
Para lograr implementar esta arquitectura de red, se deben realizar un
conjunto de cambios los cuales se detallan a continuación:
1. Creación de la Extranet: Controlar mediante un firewall la
comunicación para evitar actividad no autorizada hacia los equipos.
2. Implementar una red DMZ para evitar el ingreso de conexiones desde
Internet hacia la red interna de datos. Adicionalmente implementar un
sistema de inspección de contenido con el propósito de monitorear la
información que es transmitida vía correo electrónico
3. Para controlar el ingreso de virus informáticos desde Internet, así como
para prevenir el envío de mensajes electrónicos conteniendo virus
informático, se recomienda implementar un primer nivel de protección
antivirus mediante un sistema de inspección de servicios de Internet.
4. Luego de implementados los cambios previamente detallados, el
Firewall se torna en un punto crítico para las comunicaciones por lo cual
se requiere implementar un sistema de Alta Disponibilidad de Firewalls
5. Con el propósito de prevenir Ia realización de actividad no autorizada
desde redes externas hacia una redse debe implementar un sistema de
detección de intrusos que inspeccione el tráfico que circula por segmentos
de red estratégicos tales como:
Internet, para detectar la actividad sospechosa proveniente desde
Internet.
Red DMZ, para detectar la actividad dirigida contra los servidores públicos
que logró atravesar el Firewall.
Extranet, para detectar actividad realizada desde Ias redes externas con
las que se posee conexión.
Puntos estratégicos de la red interna, los cuales permitan detectar la
actividad realizada contra los equipos críticos del Banco.
Caso Practico
introducción
Este caso de estudio se mostrará el enfoque descrito anteriormente que se
siguió para desarrollar
arquitectura de seguridad en ACME. Está escrito desde la perspectiva de un
arquitecto de seguridad de sistemas de información y practicante de la
seguridad que también es un administrador del sistema.
FASE 1
El primer paso en mi enfoque era reunir la información necesaria para
completar la seguridad
evaluaciones para derivar los requisitos para la arquitectura. Llevé a cabo
entrevistas en sitio con personal técnico y no técnico clave identificado y
elaborado una lista de preguntas para hacerle a (ver Apéndice E). La Figura 1
representa la Internet existente y la conectividad externa.
Fase 2: Formulación del objetivo del
diseño de la arquitectura de seguridad
introducción
La fundación para la nueva arquitectura de seguridad se estableció sobre la
base de los resultados de evaluación de seguridad y recomendaciones. Se
desarrollaron dos diseños:
1. perímetro objetivo y diseño de la arquitectura de Internet
2. Marco de Arquitectura de Seguridad de los Sistemas de Información
Empresarial define cada componente de seguridad de la arquitectura de TI de
ACME. Libros que contienen ISC2 cuerpo común de conocimientos, materiales
GSEC, y el marco de ISO17799 proporcionado ayuda en el diseño de la base.
La estructura integra tres elementos: personas, procesos y tecnología. Las
políticas y procedimientos que regulan la interacción de estos elementos se
describen en el modelo.
El nuevo diseño del perímetro se formó sobre la base de las siguientes
recomendaciones en Fase 1:
La creación de un nuevo proxy de MS ISA es necesario para proporcionar los
servicios de Internet y de puerta de enlace de correo.
Fase 3: Construcción de Políticas y
Procedimientos
Durante esta fase las políticas y los procedimientos fueron escritos y
actualizados para regular los anteriores componentes de la arquitectura de
seguridad para empresas. Esta tarea se puede realizar el desarrollo i bien el
propio marco de la arquitectura. Algunas políticas pueden desarrollarse en o
cerca de la conclusión de una cierta evaluación. A continuación se ofrece una
muestra de políticas que apoyen el marco.
1. Local Area Network Security (LAN)
2. Manejo de Incidentes y Equipo de Respuesta
3. Nueva política antivirus
Fase 4: Implementación de los diseños
de destino
Mi papel consistió en lo siguiente:
1. Proporcionar las configuraciones de seguridad deseadas de sistemas y software necesarios
para la instalación de todo el hardware y el software de nuevo.
2. Proporcionar a todos los de seguridad las políticas, normas y procedimientos para su aplicación, los datos,
y arquitecturas de infraestructura.
La implementación de arquitecturas de destino comenzó una vez que todos los cambios en la arquitectura eran
definido. Se iniciaron nuevos proyectos con el administrador de la infraestructura para obtener la
aprobaciones necesarias y la asignación de presupuesto. Los planes y los plazos para el proyecto
implementación fueron desarrollados con el administrador de infraestructuras. Implementación involucrados
la siguiente:
1. La presentación de las nuevas arquitecturas físicas y lógicas a la alta dirección a obtener la aprobación de los cambios requeridos, involucrarlos en la toma de decisiones proceso, y discutir las necesidades presupuestarias.
2. La implementación de la arquitectura de red involucrados consulta que desee con el administrador de la infraestructura técnica y personal acerca de las configuraciones del sistema necesarios.
3. Proporcionar los nuevos documentos de seguridad del servidor ISA que contienen las configuraciones de nuevo servidor, antivirus y antispamsoftware de MS ISA.
4. Escritura políticas, normas y procedimientos necesarios para la empresa objetivo los sistemas de información de la arquitectura de seguridad.
Fase 5: Integración de las prácticas de
seguridad para mantener el estado seguro
A fin de mantener la seguridad e integridad de todas las arquitecturas de TI e
IS, se hace necesaria la revisión de todos los cambios en los sistemas, la red,
la arquitectura proyectos, nuevos proyectos, y las cuestiones relacionadas
con la privacidad se convirtieron en parte de la función del arquitecto de
seguridad
top related