arquitectura de seguridad iicursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión...
TRANSCRIPT
Arquitectura de Seguridad II
Jorge Luis Ojeda
RealNet, S.A. de C.V.
Módulo III 2009
Arquitectura de Seguridad II 1
Infraestructura
Correo: [email protected]
Temario (Infraestrutura de seguridad)
• Firewall y VPN -IP Sec y SSL- (Teoría y demo)
• IDS, IPS, UTM, Correlación de eventos (Teoría, demo)
• Mecanismos de autenticación y Biométricos. (Teoría, sesión plática)
• Asegurando Redes Inalámbricas (WLAN) (Teoría y demo)
• Administracion de Vulnerabilidades y usuarios moviles.
• Arquitecturas emergentes de seguridad –NAC, VOIP-(Teoría)
• DLP, NBA y Nuevas tecnologías de seguridad (Teoría)
• Ultima sesión proyecto de seguridad.
Arquitectura de Seguridad II 2
Evaluación del módulo III:
• Lecturas.
• Participación
• Desarrollo de mini proyecto integral
Arquitectura de Seguridad II 3
Conceptos y principios de
seguridad• Necesidades
• Los ataques informáticos han incrementado tanto en
número como en complejidad.
• Día a día son descubiertas nuevas vulnerabilidades
en los sistemas de informáticos.
• Las redes corporativas son el principal objetivo y en
cualquier momento pueden ser motivo de algún tipo
de ataque.
Arquitectura de Seguridad II 4
Conceptos y principios de seguridad
• Internas
– Empleados mal intencionados
– Acceso a información privilegiada indebida
– ¿Eliminación accidental de información?
– Abuso de servicios de internet
• Externas
– Ataque al servidor de Web, correo, FTP, BD,
DNS, etc.
– Acceso a información privilegiada por la
competencia
– Negación de ServicioArquitectura de Seguridad II 5
Conceptos y principios de seguridad
• Algunos tipos de ataques.
– Back door (Activo)
– SYN Attack (Activo)
– Spoofing (Pasivo, Activo)
– Port Scanning (Pasivo)
– Login Failure (Activo, Pasivo)
– Land Attack (Activo)
– Múltiples conexiones sucesivas (DDoS, Zombies, smurf) (Activo)
– Alertas sucesivas, gusanos, virus,
(((Activos)))
Arquitectura de Seguridad II 6
Conceptos y principios de seguridad
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
Arquitectura de Seguridad II 7
Red insegura
Firewalls
• Primer esquema de protección “externa”
• Sirve para protegernos de ataques o
acceso indebidos de usuarios “externos”
• Hardware o software de protección con al
menos 2 tarjetas de red.
• Dispositivos cuya finalidad principal es
brindar seguridad.
Arquitectura de Seguridad II 8
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
Arquitectura de Seguridad II 9
Red seguridad Externa (Perimetral)
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
DMZ
Arquitectura de Seguridad II 10
Red con DMZ (Divide y vencerás)
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
DMZ
Arquitectura de Seguridad II 11
Red con doble seguridad y DMZ
FirewallsTipos: Filtro de paquetes
• Los paquetes son examinados a nivel red
• Util como “primera línea” de defensa-
comúnmente utilizado en los routers
• Modelo de decisión simple: acepta o
rechaza
Arquitectura de Seguridad II 12
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
FirewallsTipos: Filtro de paquetes
• No hay conocimiento de las capas superiores
• No mantienen el estado de las comunicaciones.
• Relativamente fácil de violar
• Utiliza lista de accesos para examinar.
• - Dirección IP origen/destino
• - Numero de protocolo
• - Puerto origen/destino
• - Etiqueta de comprobación
Arquitectura de Seguridad II 13
Firewalls Tipos: Filtro de
paquetes• Ejemplo: Cisco Pix, o Linux ip chains o TCP
wrappers.
Arquitectura de Seguridad II 14
Cisco Pix
Cisco Router
ipfwadm
Firewalls Tipos: Filtro de
paquetes• Cisco Router • access-list 101 deny ip 127.0.0.0 0.255.255.255 any
• access-list 101 deny ip 10.0.0.0 0.255.255.255 any
• access-list 101 deny ip 172.16.0.0 0.15.255.255 any
• access-list 101 deny ip 192.168.0.0 0.0.255.255 any
• access-list 101 deny ip any 0.0.0.255 255.255.255.0
• access-list 101 deny ip any 0.0.0.0 255.255.255.0
• access-list 101 deny ip 195.55.55.0 0.0.0.255
• access-list 101 permit tcp any any established
• access-list 101 permit tcp any host 195.55.55.10 eq smtp
• access-list 101 permit tcp any host 195.55.55.10 eq dns
Arquitectura de Seguridad II 15
Firewalls- Application
Gateway o Proxy• Los paquetes se examinan en la capa de aplicación
• Es posible filtraje de Aplicación/Contenido – prevenir
comandos “put” de FTP, por ejemplo.
• Performance muy pobre
• Escalabilidad limitada
Arquitectura de Seguridad II 16
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Firewalls- Stateful
Inspection• Los paquetes se inspeccionan entre la capa de enlace y de red, en el Kernel del Sistema Operativo
• Se crean tablas de estados para mantener información de contexto
• Tecnología desarrollada y patentada por Check Point
Arquitectura de Seguridad II 17
INSPECT Engine Dynamic State TablesDynamic
State TablesTablas Dinámicas de
Estado
Enlace
Física
Red
Presentación
Sesión
Transporte
Aplicación
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Firewalls- Stateful
Inspection
Opcional:
Registro/alerta
Paquete recibido
¿El pkt
coincide
con
regla?
¿Hay
mas
reglas?La regla
permite pasar
el pktRechazar
pkt
Enviar NACK
SI
NOSI
NONO
Arquitectura de Seguridad II 18
Enlace
Física
Red
Presentación
Sesión
Transporte
Aplicación
¿Cómo funciona el Stateful Inspection?
Análisis Inbound (entrada)
Firewalls- Stateful
Inspection
Opcional:
Registro/alerta
Paquete recibido
¿El pkt
coincide
con
regla?
¿Hay
mas
reglas?La regla
permite pasar
el pktRechazar
pkt
Enviar NACK
SI
NOSI
NONO
Arquitectura de Seguridad II 19
Enlace
Física
Red
Presentación
Sesión
Transporte
Aplicación
¿Cómo funciona el Stateful Inspection?
Análisis Outbound (salida)
Firewalls- Stateful
Inspection• Ejemplo de sistemas de Stateful Inspection
• Check Point
• Sonic Wall
• Netscreen
• Stonegate
• Symantec
• Fortinet
• Secure Point Arquitectura de Seguridad II 20
FW - Stateful Inspection• Sonic Wall
Arquitectura de Seguridad II 21
FW - Stateful Inspection
Arquitectura de Seguridad II 22
Check Point Software
FW - Stateful Inspection
• Netscreen
Arquitectura de Seguridad II 23
FW - NAT
• NAT - Traducción de direcciones de red
(Network Address Translation)
• Existen 2 tipos de NAT mas un PAT ( Port
Address Translation)
• Sirve para esconder las direcciones ip
internas al exterior.
• Redes comunes internas no ruteables:• 192.168.X.X
• 10.X.X.X
• 172.16.X.XArquitectura de Seguridad II 24
FW - NAT
¿Por qué se requiere el NAT?
• Seguridad
– Ocultamiento de topología de red
– Restricciones de acceso
– Control de acceso a servicios desde afuera
• Administración
– Ocultamiento de topología de la red
– Con un pequeño número de direcciones, podemos hacer uso de
varios servicios en una red pública (Internet)
– Administración interna más sencilla
– Conexión con otras redes
Arquitectura de Seguridad II 25
Tipos de NAT
• NAT Static
– Relación uno a uno
– Los puertos se conservan, pero se traducen las direcciones
– Usualmente sirve para dar acceso desde “afuera” hacia servicios
ofrecidos internamente.
– Para cierto tipo de servicios que requieren una dirección válida
inclusive para “salir”, es útil tener este tipo de esquemas
Arquitectura de Seguridad II 26
FW- Tipos de NAT
• NAT Static
Arquitectura de Seguridad II 27
Uno a uno
FW- Tipos de NAT
• Check Point NAT Static
Arquitectura de Seguridad II 28
FW- Tipos de NAT
• Sonic Wall Nat Static
Arquitectura de Seguridad II 29
FW- Tipos de NAT• Cisco Pix Nat Static
• **********
• NAT static para 3 servidores
• **********
• static (inside,outside) 200.200.200.252 192.9.200.73 netmask
255.255.255.255 1000 1000
• static (inside,outside) 200.200.200.253 192.9.200.75 netmask
255.255.255.255 1000 1000
• static (inside,outside) 200.200.200.254 192.9.200.56 netmask
255.255.255.255 1000 1000
Arquitectura de Seguridad II 30
FW- Tipos de NAT
• Hide
– También conocido como “NAT dinámico”
– Relación muchos a uno
– En realidad es una traducción de puertos
– Usualmente sirve para dar acceso a
navegación a redes enteras
– Permite “Salir” de la red, pero no “Entrar” a la
red privada
Arquitectura de Seguridad II 31
FW - NAT
• NAT - Hide
Arquitectura de Seguridad II 32
Muchos a uno Comúnmente PAT
FW- Tipos de NAT
• Sonic Wall Nat Hide
Arquitectura de Seguridad II 33
FW- Tipos de NAT
• Check Point NAT Hide
Arquitectura de Seguridad II 34
FW- Tipos de NAT
• Cisco router Nat Hide• interface Ethernet0
• ip address 172.16.1.1 255.255.255.0 secondary
• ip address 200.200.200.169 255.255.255.248
• no ip directed-broadcast
• ip nat inside
• ip nat pool net-20 200.200.200.170 200.56.232.170 netmask 255.255.255.248
• ip nat inside source list 1 pool net-20 overload
Arquitectura de Seguridad II 35
FW- ¿Cómo funciona NAT?• Filtro de paquetes
– Modificación del paquete, cambiando las direcciones/puertos fuente o destino. La conexión es la misma antes y después del NAT
• Proxy– La conexión se hace al proxy. El proxy a su vez, abre una nueva
conexión hacia el destino, originada desde el proxy.
• Stateful Inspection– Modificación del paquete, cambiando las direcciones/puertos
fuente o destino. La conexión es la misma antes y después del NAT
Arquitectura de Seguridad II 36
FW – Seguridad Interna
• La mayoría de las organizaciones tienen solo seguridad perimetral
• Firewalls a nivel de Red asegurando el control de acceso
• Protección sobre entendida contra ataques a nivel de red
• Resultado Los ataques se han vuelto más sofisticados: Los Hackers estan dirigiéndose a las Aplicaciones
• Más cercano a la información de la empresa/usuario (el objetivo final)
• Múltiples aplicaciones generan múltiples vectores de ataques
• Muchas vulnerabilidades conocidas en aplicaciones
Arquitectura de Seguridad II 37
FW - Seguridad Interna …
• Ataques internos
Arquitectura de Seguridad II 38
Gusanos, troyanos, vulnerabilidades.
Usuarios con iniciativa
Epidemias
Accesos no autorizados a servidoreso aplicaciones
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 39
Red con DMZ y FW interno
FW - Seguridad Interna …
• La mayoría de los firewalls perimetrales no pueden
proteger contra ataques en aplicaciones
• Diseñados para control de acceso a nivel red
• Políticas de seguridad permiten tráfico a
aplicaciones vulnerables (HTTP, FTP, etc)
• Las necesidades estan orientando los gastos en
productos puntuales
• Prevención de Intrusos basados en red
• Firewalls específicos para aplicaciones
– Web, web seguro, comercio,
– Mail , ftp, dns, aplicaciones externas
Arquitectura de Seguridad II 40
Firewalls
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 41
Seguridad mayor a nivel de servidores
Firewalls
Servidores
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 42
Alta Disponibilidad
FW - HA
Servidores
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 43
HA y Load balancing en ISP
FW - HA
• Aplicaciones
• Bancos
• Financiero
• Comercio electrónico
• ISP
• Cuando el acceso se vuelve crítico, y evitar
pérdidas en las organizacionesArquitectura de Seguridad II 44
Firewalls• Mas datos estadísticos
• El incremento de las amenazas combinadas fue del 20%.
• Se incrementaron las amenazas a los datos confidenciales.
• Aumentó la velocidad de propagación.
• Los sistemas Linux pueden ser el objetivo futuro de los ataques.
• Windows 32: códigos maliciosos más sofisticados.
• Nuevos vectores de infección:– Mensajerías instantáneas – Servicios punto a punto
Arquitectura de Seguridad II 45
Firewalls
• Mas informes estadísticos
• En agosto de 2003, el gusano Blaster
explotó una vulnerabilidad 26 días después
de descubierta.
• El costo de ocho días de ataques masivos
del gusano en agosto puede alcanzar los
2.000 millones de dólares.
• Los sistemas corporativos y los usuarios
domésticos de PC continúan estando en
peligro. Arquitectura de Seguridad II 46
Firewalls
• Comunicación dial-up
• Conexión de usuarios móviles ( oficinas
remotas,
• Casa, visita a clientes, proveedores, etc)
• Usuarios dentro de una organización
• Vulnerabilidades, gusanos, Nimda, código
rojo
• Sasser, blaster, infecciones masivas, etc.
Arquitectura de Seguridad II 47
Como asegurar los siguientes puntos
Firewall en Desktop
• Macfee Personal Firewall
• Microsoft – Internet Conection firewall XP
• Symantec – Norton Personal Firewall
Arquitectura de Seguridad II 48
Firewall desktop
Arquitectura de Seguridad II 49
Trend Micro – PC-cillinCheck point – Secure ClientStonegate – Personal clientISS- Desktop protector
Firewall a nivel de estación de trabajo
Firewall desktop
• Ventajas de firewall en desktop
• Protección granular (hasta la estación de
trabajo)
• Políticas de seguridad
• Revisión de puertos, y se evitan contagios
masivos o encadenados
Arquitectura de Seguridad II 50
Firewall desktop
• Desventajas
• Mayor administración y mas coordinada
• Se requiere administración centralizada
• Si son los fw de ws aislados, se requiere
mucho tiempo la implantación de políticas
uno a uno.
• Si es central, se evita contagios masivos en
menor tiempo, y disminuye la propagación
(Blaster, Sasser, Sircam y otros)Arquitectura de Seguridad II 51
Firewall desktop
• Fabricantes que cuentan con FW desktop y
Administración centralizada
• Check point
• ISS
• Stonegate
Arquitectura de Seguridad II 52
Firewalls
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW InternoConsola
seguridad
Arquitectura de Seguridad II 53
Seguridad firewall robusta
Firewalls (Selección de
seguridad)• Evaluar el grado de implementación de las políticas de
seguridad de la organización con el nodo seleccionado en
base a lo siguiente:
Arquitectura de Seguridad II 54
Funcionalidad de seguridad
Funcionalidad de Implantación
Funcionalidad de usuario
Firewalls (Selección de
seguridad)Funcionalidad de seguridad
Se enfocan a la habilidad del producto para implementar las políticas de seguridad de la organización. Los elementos a evaluar son:
• Aseguramiento externo.- Evaluación de organismos independientes que aseguren el cumplimiento, por parte del nodo, de las especificaciones de seguridad.
• Control de privilegios.- El grado en el que el producto puede imponer restricciones de acceso a los usuarios.
• Autentificación.- La manera en que el producto soporta o provee técnicas de autentificación, tales como la autentificación de direcciones fuente/destino de computadoras.
• Capacidades de auditoria.- La habilidad del producto de monitorear el tráfico de red que incluya: intentos de acceso no autorizado, generación de registros (logs), así como proveer reportes y alarmas
Arquitectura de Seguridad II 55
Firewalls (Selección de
seguridad)FW: Funcionalidad de Implantación
Se enfocan en la habilidad del producto para satisfacer las necesidades de administración de red, los elementos que se evalúan son:
• Flexibilidad.- Las facilidades provistas por el producto para soportar políticas de seguridad de la organización, así como soporte a las aplicaciones de Internet actuales y futuras.
• Desempeño.- Capacidad de transmisión y procesamiento de información asociado con el producto.
• Escalabilidad.- Habilidad del producto de poder configurarse en instancias múltiples, diferentes equipos de cómputo y especificaciones de seguridad. Soporte de estándares IPsec u Opsec.
Arquitectura de Seguridad II 56
Firewalls (Selección de
seguridad)Funcionalidad de usuario
Se enfocan en la habilidad del producto para desempeñar los requerimientos de administradores y usuarios; los elementos a evaluar son:
• Facilidad de uso.- Esta característica implica uso de una interfase gráfica (GUI), la cual simplifica las labores de administración para instalar y configurar el producto.
• Transparencia.- Habilidad que tiene el producto para ser transparente al usuario. Mientras menos transparente sea para el usuario, será más difícil la implementación de las políticas de seguridad.
• Soporte al cliente.- Capacidad del vendedor del producto de proveer experiencia técnica para la instalación, uso, mantenimiento y cursos de su producto.
Arquitectura de Seguridad II 57
Firewall … Limitaciones…
• ¿Qué no puede hacer un firewall?
• ¡Proteger contra ataques que no pasan por el firewall!
• Los Insiders son insiders
• Reemplazar el sentido de seguridad de los usuarios
• Proteger contra amenazas completamente nuevas
• Proteger de los virus * (IDS, IPS, AV svr, AVws, Avgwy)
• En general, un firewall debe ser parte de la estrategia de
seguridad a nivel organización. No puede ser toda la
seguridad
Arquitectura de Seguridad II 58
Firewall … Limitaciones…
• ¿Qué no puede hacer un firewall?
• Problemas físicos
• fuente de poder
• Robo o daño físico malicioso
• Ingeniería SocialHabilidad que utiliza la gente para engañar y obtener
Información mediante los mismos individuos.
• Configuración impropia
• Falta de personal capacitado para operarArquitectura de Seguridad II 59
VPN
• ¿Qué es una VPN?
Arquitectura de Seguridad II 60
Es un mecanismo de comunicación entre dosO mas redes, que utilizan una red pública.
La comunicación debe ser encriptada (Tunel)para evitar Robo de información y así asegurar laConfidencialidad de la misma
La información es segura
VPN
• ¿Qué es un tunel?
Arquitectura de Seguridad II 61
Un tunel es creado cuando un servidor de VPN o gatewayDe VPN, encapsula la información, en un medioPúblico, y sedesencapsula cuando se alcanza elGateway o cliente VPN.
VPN
PortalesServer 2
Server 1
Ruteador
central
SS7
SS7SS7
H3.23
UDP
servers
Red MTYRed Guatemala
10.200.19.x
13,14, -15,16 - 21,22 -
23,24
Iseo
10.200.2.X
Guatemala
10.200.14.X
Gateway
L. ISEO
QoS
Frame Relay
Arquitectura de Seguridad II 62
Comunicación Típica Frame-Relay
VPN
5 U
4 U
9 U
Servidores de Exchange
4 U
4 U
4 U
FRAME RELAY
INTERNET
CISCO
LAN ETHERNET
TCP/IP
NAUCALPAN
EXCHANGE
SERVER
MAIL SECURITY
MAIL ESENTIAL
WEBSENSE
DSO
128 K
E1
256 Kbps
PBX
4 E&M
OPTIC FIBER
RAISER 100Pairs
4 E&M
4 E&M
CISCO
DSO
128 K
DSO
128 K
ADSL
ADSL
FIREWALL
4 U
VPN gateway
NETSCREEN
5GT
NETSCREEN
5GT
ACCESS POINT
ENGINE
ENGINE
ENGINE
ENGINE
FW en ADSL
Arquitectura de Seguridad II 63
Ejemplo 2 : Comunicación Frame Relay
VPN
• Comunicación típica Internacional
Arquitectura de Seguridad II 64
Regional
Corporativo
VPN
Arquitectura de Seguridad II 65
Regional
Corporativo
Internet
Migración internacional a VPN
VPN
Beneficios de las VPN.• Aprovechamiento de redes públicas.
• Se estima que una solución de VPN puede disminuir sus
costos entre 20 y 40 por ciento, en comparación con las
conexiones punto a punto.
• Reducen el número de líneas de acceso en un sitio
corporativo
• No requiere inversiones en infraestructura.
• El usuario tiene la posibilidad de conectarse desde
cualquier lugar.
Arquitectura de Seguridad II 66
VPN
• Beneficios de las VPN.• Se puede extender la red de comunicaciones privadas a
sitios donde la infraestructura dedicada no está posible.
• Proporciona la posibilidad de que los usuarios remotos se
conecten a través de tecnologías de banda ancha, como
cable módems o ADSL, cable modem, etc.
• Cambio de tecnología Frame-Relay por VPN.
• Seguridad en los túneles de comunicación.
Arquitectura de Seguridad II 67
VPN
Arquitectura de Seguridad II 68
Source:NetworkWorld
Ahorros en integración
0
10
20
30
40
50
60
70
80
90
100
Usuarios Móviles Oficinas remotas
VP
NVP
N
Dia
l-up
Dia
l-up
Lín
ea
s p
riva
da
s
Lín
ea
s p
riva
da
s
VPN
2.1
5.2
9
13
17
0
2
4
6
8
10
12
14
16
18
US$ Billion
2000 2001 2002 2003 2004
Year
Arquitectura de Seguridad II 69
Tendencias del mercado mundial
5 U
4 U
9 U
Servidores de Exchange
4 U
4 U
4 U
INTERNET
CISCO
LAN ETHERNET
TCP/IP
NAUCALPAN
EXCHANGE
SERVER
MAIL SECURITY
MAIL ESENTIAL
WEBSENSE
DSO
128 K
E1
256 Kbps
PBX
4 E&M
OPTIC FIBER
RAISER 100Pairs
4 E&M
4 E&M
CISCO
DSO
128 K
DSO
128 K
ADSL
ADSL
ADSL
FIREWALL
4 U
VPN gateway
NETSCREEN
5GT
NETSCREEN
5GT
ACCESS POINT
ENGINE
ENGINE
ENGINE
ENGINE
Arquitectura de Seguridad II 70
VPN
• ¿Que se requiere para una VPN?
Arquitectura de Seguridad II 71
Servidor o gateway de VPNMedio de comunicación (público o privado)Mecanismo de certificaciónMétodo de encripción (simétrico o asimétrico)Cliente o gateway de VPN
VPN
• Modelo en base a túneles
• IPsec
• PPTP ( Point to Point Tunneling Protocol)
• L2TP ( Layer 2 Tunneling Protocol)
• A capas superiores
• SSL
• SSH
Arquitectura de Seguridad II 72
Arquitectura de Seguridad II 73
Comunicación IP
*Los datos son encapsulados en tramas, para asegurar unacomunicación eficiente y segura.
*Los equipos que tienen TCP/IP conocen los formatos de las tramas,mejorando la comunicación.
VPN
VPN
• VPN Sitio a sitio
Arquitectura de Seguridad II 74
VPN sitio a sitio
Oficina Central
México D.F.
VPN Sitio a Sitio
Check Point R55 con Application Inteligence
Firewall-1
Firewall-1
Cluster
Global System
Arquitectura de Seguridad II 75
VPN
Arquitectura de Seguridad II 76
Sitio - cliente
VPN
• VPN híbrida
Arquitectura de Seguridad II 77
VPN ejemplos
• SonicWall 1
Arquitectura de Seguridad II 78
• Sonic Wall 2
Arquitectura de Seguridad II 79
VPN ejemplos
• Checkpoint VPN
Arquitectura de Seguridad II 80
VPN
• Check Point definición de VPN
Arquitectura de Seguridad II 81
VPN - Aplicaciones
• Aplicaciones dónde se pueden utilizar:
• Intranet, Extranet
• Intercambio de información en tiempo real.
• Correo electrónico corporativo.
• Acceso remoto a la información corporativa
sin importar la ubicación geográfica.
Arquitectura de Seguridad II 82
VPN - Aplicaciones
• Aplicaciones dónde se pueden utilizar:
• Contratación de servicios por outsourcing.
• Impresión remota
• Transmisión encriptada de la información a
través de internet.
• Acceso mediante distintos tipos de
autentificación
Arquitectura de Seguridad II 83
Oficina
Pachuca
Oficina Central
Servidor DNS, WINS,
Terminal Services
Oficina
Monterrey
Frame Relay
Oficina
NL
256 Kbps
256 Kbps
256 Kbps
256 Kbps
Firewall VPN-1 Edge
Firewall-1 Check Point
Arquitectura de Seguridad II 84
VPN vs Frame Relay
INFINITUM
ADSL
MODEM
5200
MODEM
5200
MODEM
5200
1MB
4 VPN
1.-Datos
Joya
2.-Voz
Joya
3.-Voz
Noria
4.-Voz
Ixtlahuaca
512 MB
4 VPN
1.-Datos
Joya
2.-Voz
Joya
3.-Voz
Noria
4.-Voz
Ixtlahuaca
512 MB
4 VPN
1.-Datos
Joya
2.-Voz
Joya
3.-Voz
Noria
4.-Voz
Ixtlahuaca
512 MB
CD
MONTERREY
HUB 8
PTOS
Phone IP 3COM
Extension
3150
Red local
192.168.3.0
CD
GUADALAJARA
HUB 8
PUERTOS
PHONE IP 3COM
EXTENSION
3030
HUB 8PTOSRED LOCAL
192.168.4.0
VPN-1 EDGE 510
VPN-1 EDGE 510
VPN-1 EDGE 510
Switch
VPN Pro
25 IP
Phone
50 estciones de
trabajo
Arquitectura de Seguridad II 85
VPN vs Frame Relay
VPN- Híbrido
Arquitectura de Seguridad II 86
VPN- Híbrido para
redundanciaGUADALAJARA
MINATITLAN
SALAMANCA
NICOLAS ROMERO
172.16.9.XXX
INFINITUM
512 Kbps
SG 200
172.16.8.251
GENESIS 172.16.8.2
172.16.8.XXX
172.16.10.XXX
172.16.7.XXXGENESIS
172.16.7.2
INFINITUM
512 KbpsSG 200
172.16.7.251
INFINITUM
512 Kbps
SG 200
172.16.9.251
EGAS
172.16.9.6
SRVDLTNR
172.16.9.6
EGAS
172.16.6.6
SG 200
172.16.6.250
INFINITUM
512 Kbps
PEDREGAL
172.16.6.XXX
INFINITUM
512 Kbps
INFINITUM
512 Kbps
INFINITUM
512 Kbps
INFINITUM
512 Kbps
SG 200
172.16.X.X
EGAS
172.16.5.6
SOR JUANA
172.16.5.XXX
SG 200
SG 200
172.16.4.251
EGAS
172.16.4.6
SRVDLTAT
172.16.4.8
ATIZAPAN
172.16.4.XXX
GENESIS
172.16.4.2
TOLUCA
172.16.3.XXX
EGAS
172.16.3.6
GENESIS
172.16.3.2
SG 200
CONEJOS
172.16.2.XXX
SRVDLTAT
172.16.2.8
GENESIS
172.16.2.2
SG 200
PD
C
17
2.1
6.1
.8
SR
VD
CD
IAF
A
WE
B
17
2.1
6.1
.6
SR
VP
RO
DU
CC
ION
GE
NE
SIS
17
2.1
6.1
.2
LIN
UX
17
2.1
6.1
.10
0
NTU ENLACE
3600
172.16.1.250
SG 1100
INT 172.16.1.254INFINITUM
512 Kbps
NTU INTERNET
512 Kbps
1700
ETH 148.233.167.173
WAN 148.223.149.101
VPN
FRAME RELAY
WEBSENSE
Arquitectura de Seguridad II 87
VPN problemas
• Administración
• Accesos restringidos (abuso de Internet)
• Desempeño (selección de herramientas)
• Personal mas capacitado
• Cambios de password
• Operación
Arquitectura de Seguridad II 88
Conclusiones
Pese a lo anterior...
• No hay seguridad al 100%
• La seguridad es un ciclo
• La seguridad descansa en políticas...
• El eslabón mas débil: la gente...Arquitectura de Seguridad II 89
Conclusiones
• Situación Ideal
• Los criterios de seguridad varían de una organización a otra, desde proteger la información que circula por la red, la integridad de los datos, hasta proteger la inversión en equipos e infraestructura tecnológica.
• Los administradores de red deben de prevenir y planificar los lineamientos de seguridad.
• Actuar antes que lamentar
• Complementar Seguridad con una buena Administración.
Arquitectura de Seguridad II 90