arquitectura de seguridad iicursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión...

Arquitectura de Seguridad II

Jorge Luis Ojeda

RealNet, S.A. de C.V.

Módulo III 2009

Arquitectura de Seguridad II 1

Infraestructura

Correo: [email protected]

Temario (Infraestrutura de seguridad)

• Firewall y VPN -IP Sec y SSL- (Teoría y demo)

• IDS, IPS, UTM, Correlación de eventos (Teoría, demo)

• Mecanismos de autenticación y Biométricos. (Teoría, sesión plática)

• Asegurando Redes Inalámbricas (WLAN) (Teoría y demo)

• Administracion de Vulnerabilidades y usuarios moviles.

• Arquitecturas emergentes de seguridad –NAC, VOIP-(Teoría)

• DLP, NBA y Nuevas tecnologías de seguridad (Teoría)

• Ultima sesión proyecto de seguridad.


Evaluación del módulo III:

• Lecturas.

• Participación

• Desarrollo de mini proyecto integral


Conceptos y principios de

seguridad• Necesidades

• Los ataques informáticos han incrementado tanto en

número como en complejidad.

• Día a día son descubiertas nuevas vulnerabilidades

en los sistemas de informáticos.

• Las redes corporativas son el principal objetivo y en

cualquier momento pueden ser motivo de algún tipo

de ataque.


Conceptos y principios de seguridad

• Internas

– Empleados mal intencionados

– Acceso a información privilegiada indebida

– ¿Eliminación accidental de información?

– Abuso de servicios de internet

• Externas

– Ataque al servidor de Web, correo, FTP, BD,

DNS, etc.

– Acceso a información privilegiada por la

competencia

– Negación de ServicioArquitectura de Seguridad II 5


• Algunos tipos de ataques.

– Back door (Activo)

– SYN Attack (Activo)

– Spoofing (Pasivo, Activo)

– Port Scanning (Pasivo)

– Login Failure (Activo, Pasivo)

– Land Attack (Activo)

– Múltiples conexiones sucesivas (DDoS, Zombies, smurf) (Activo)

– Alertas sucesivas, gusanos, virus,

(((Activos)))



Usuarios

Servidores

Internet

Ruteador

ADSL o AD


Red insegura

Firewalls

• Primer esquema de protección “externa”

• Sirve para protegernos de ataques o

acceso indebidos de usuarios “externos”

• Hardware o software de protección con al

menos 2 tarjetas de red.

• Dispositivos cuya finalidad principal es

brindar seguridad.


Firewalls

Usuarios

Servidores

Internet

Ruteador

ADSL o AD


Red seguridad Externa (Perimetral)

Firewalls

Usuarios

Servidores

Internet

Ruteador

ADSL o AD

DMZ


Red con DMZ (Divide y vencerás)

Firewalls

Usuarios

Servidores

Internet

Ruteador

ADSL o AD

DMZ


Red con doble seguridad y DMZ

FirewallsTipos: Filtro de paquetes

• Los paquetes son examinados a nivel red

• Util como “primera línea” de defensa-

comúnmente utilizado en los routers

• Modelo de decisión simple: acepta o

rechaza


Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

FirewallsTipos: Filtro de paquetes

• No hay conocimiento de las capas superiores

• No mantienen el estado de las comunicaciones.

• Relativamente fácil de violar

• Utiliza lista de accesos para examinar.

• - Dirección IP origen/destino

• - Numero de protocolo

• - Puerto origen/destino

• - Etiqueta de comprobación


Firewalls Tipos: Filtro de

paquetes• Ejemplo: Cisco Pix, o Linux ip chains o TCP

wrappers.


Cisco Pix

Cisco Router

ipfwadm

Firewalls Tipos: Filtro de

paquetes• Cisco Router • access-list 101 deny ip 127.0.0.0 0.255.255.255 any

• access-list 101 deny ip 10.0.0.0 0.255.255.255 any



• access-list 101 deny ip any 0.0.0.255 255.255.255.0

• access-list 101 deny ip any 0.0.0.0 255.255.255.0

• access-list 101 deny ip 195.55.55.0 0.0.0.255

• access-list 101 permit tcp any any established

• access-list 101 permit tcp any host 195.55.55.10 eq smtp

• access-list 101 permit tcp any host 195.55.55.10 eq dns


Firewalls- Application

Gateway o Proxy• Los paquetes se examinan en la capa de aplicación

• Es posible filtraje de Aplicación/Contenido – prevenir

comandos “put” de FTP, por ejemplo.

• Performance muy pobre

• Escalabilidad limitada


Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Firewalls- Stateful

Inspection• Los paquetes se inspeccionan entre la capa de enlace y de red, en el Kernel del Sistema Operativo

• Se crean tablas de estados para mantener información de contexto

• Tecnología desarrollada y patentada por Check Point


INSPECT Engine Dynamic State TablesDynamic

State TablesTablas Dinámicas de

Estado

Enlace

Física

Red

Presentación

Sesión

Transporte

Aplicación

Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Aplicación

Presentación

Sesión

Transporte

Enlace

Física

Red

Firewalls- Stateful

Inspection

Opcional:

Registro/alerta

Paquete recibido

¿El pkt

coincide

con

regla?

¿Hay

mas

reglas?La regla

permite pasar

el pktRechazar

pkt

Enviar NACK

SI

NOSI

NONO


Enlace

Física

Red

Presentación

Sesión

Transporte

Aplicación

¿Cómo funciona el Stateful Inspection?

Análisis Inbound (entrada)

Firewalls- Stateful

Inspection

Opcional:

Registro/alerta

Paquete recibido

¿El pkt

coincide

con

regla?

¿Hay

mas

reglas?La regla

permite pasar

el pktRechazar

pkt

Enviar NACK

SI

NOSI

NONO


Enlace

Física

Red

Presentación

Sesión

Transporte

Aplicación

¿Cómo funciona el Stateful Inspection?

Análisis Outbound (salida)

Firewalls- Stateful

Inspection• Ejemplo de sistemas de Stateful Inspection

• Check Point

• Sonic Wall

• Netscreen

• Stonegate

• Symantec

• Fortinet

• Secure Point Arquitectura de Seguridad II 20

http://www.sonicwall.com/products/demo/index.html

FW - Stateful Inspection• Sonic Wall


FW - Stateful Inspection


Check Point Software

FW - Stateful Inspection

• Netscreen


FW - NAT

• NAT - Traducción de direcciones de red

(Network Address Translation)

• Existen 2 tipos de NAT mas un PAT ( Port

Address Translation)

• Sirve para esconder las direcciones ip

internas al exterior.

• Redes comunes internas no ruteables:• 192.168.X.X

• 10.X.X.X

• 172.16.X.XArquitectura de Seguridad II 24

FW - NAT

¿Por qué se requiere el NAT?

• Seguridad

– Ocultamiento de topología de red

– Restricciones de acceso

– Control de acceso a servicios desde afuera

• Administración

– Ocultamiento de topología de la red

– Con un pequeño número de direcciones, podemos hacer uso de

varios servicios en una red pública (Internet)

– Administración interna más sencilla

– Conexión con otras redes


Tipos de NAT

• NAT Static

– Relación uno a uno

– Los puertos se conservan, pero se traducen las direcciones

– Usualmente sirve para dar acceso desde “afuera” hacia servicios

ofrecidos internamente.

– Para cierto tipo de servicios que requieren una dirección válida

inclusive para “salir”, es útil tener este tipo de esquemas


FW- Tipos de NAT

• NAT Static


Uno a uno

FW- Tipos de NAT

• Check Point NAT Static


FW- Tipos de NAT

• Sonic Wall Nat Static


FW- Tipos de NAT• Cisco Pix Nat Static

• **********

• NAT static para 3 servidores

• **********

• static (inside,outside) 200.200.200.252 192.9.200.73 netmask

255.255.255.255 1000 1000


255.255.255.255 1000 1000


255.255.255.255 1000 1000


FW- Tipos de NAT

• Hide

– También conocido como “NAT dinámico”

– Relación muchos a uno

– En realidad es una traducción de puertos

– Usualmente sirve para dar acceso a

navegación a redes enteras

– Permite “Salir” de la red, pero no “Entrar” a la

red privada


FW - NAT

• NAT - Hide


Muchos a uno Comúnmente PAT

FW- Tipos de NAT

• Sonic Wall Nat Hide


FW- Tipos de NAT

• Check Point NAT Hide


FW- Tipos de NAT

• Cisco router Nat Hide• interface Ethernet0

• ip address 172.16.1.1 255.255.255.0 secondary

• ip address 200.200.200.169 255.255.255.248

• no ip directed-broadcast

• ip nat inside

• ip nat pool net-20 200.200.200.170 200.56.232.170 netmask 255.255.255.248

• ip nat inside source list 1 pool net-20 overload


FW- ¿Cómo funciona NAT?• Filtro de paquetes

– Modificación del paquete, cambiando las direcciones/puertos fuente o destino. La conexión es la misma antes y después del NAT

• Proxy– La conexión se hace al proxy. El proxy a su vez, abre una nueva

conexión hacia el destino, originada desde el proxy.

• Stateful Inspection– Modificación del paquete, cambiando las direcciones/puertos

fuente o destino. La conexión es la misma antes y después del NAT


FW – Seguridad Interna

• La mayoría de las organizaciones tienen solo seguridad perimetral

• Firewalls a nivel de Red asegurando el control de acceso

• Protección sobre entendida contra ataques a nivel de red

• Resultado Los ataques se han vuelto más sofisticados: Los Hackers estan dirigiéndose a las Aplicaciones

• Más cercano a la información de la empresa/usuario (el objetivo final)

• Múltiples aplicaciones generan múltiples vectores de ataques

• Muchas vulnerabilidades conocidas en aplicaciones


FW - Seguridad Interna …

• Ataques internos


Gusanos, troyanos, vulnerabilidades.

Usuarios con iniciativa

Epidemias

Accesos no autorizados a servidoreso aplicaciones

Firewalls

Usuarios

Servidores

Internet

Ruteador

ADSL o AD

DMZ

FW Interno


Red con DMZ y FW interno

FW - Seguridad Interna …

• La mayoría de los firewalls perimetrales no pueden

proteger contra ataques en aplicaciones

• Diseñados para control de acceso a nivel red

• Políticas de seguridad permiten tráfico a

aplicaciones vulnerables (HTTP, FTP, etc)

• Las necesidades estan orientando los gastos en

productos puntuales

• Prevención de Intrusos basados en red

• Firewalls específicos para aplicaciones

– Web, web seguro, comercio,

– Mail , ftp, dns, aplicaciones externas


Firewalls

Usuarios

Internet

Ruteador

ADSL o AD

DMZ

FW Interno


Seguridad mayor a nivel de servidores

Firewalls

Servidores

Usuarios

Internet

Ruteador

ADSL o AD

DMZ

FW Interno


Alta Disponibilidad

FW - HA

Servidores

Usuarios

Internet

Ruteador

ADSL o AD

DMZ

FW Interno


HA y Load balancing en ISP

FW - HA

• Aplicaciones

• Bancos

• Financiero

• Comercio electrónico

• ISP

• Cuando el acceso se vuelve crítico, y evitar

pérdidas en las organizacionesArquitectura de Seguridad II 44

Firewalls• Mas datos estadísticos

• El incremento de las amenazas combinadas fue del 20%.

• Se incrementaron las amenazas a los datos confidenciales.

• Aumentó la velocidad de propagación.

• Los sistemas Linux pueden ser el objetivo futuro de los ataques.

• Windows 32: códigos maliciosos más sofisticados.

• Nuevos vectores de infección:– Mensajerías instantáneas – Servicios punto a punto


Firewalls

• Mas informes estadísticos

• En agosto de 2003, el gusano Blaster

explotó una vulnerabilidad 26 días después

de descubierta.

• El costo de ocho días de ataques masivos

del gusano en agosto puede alcanzar los

2.000 millones de dólares.

• Los sistemas corporativos y los usuarios

domésticos de PC continúan estando en

peligro. Arquitectura de Seguridad II 46

Firewalls

• Comunicación dial-up

• Conexión de usuarios móviles ( oficinas

remotas,

• Casa, visita a clientes, proveedores, etc)

• Usuarios dentro de una organización

• Vulnerabilidades, gusanos, Nimda, código

rojo

• Sasser, blaster, infecciones masivas, etc.


Como asegurar los siguientes puntos

Firewall en Desktop

• Macfee Personal Firewall

• Microsoft – Internet Conection firewall XP

• Symantec – Norton Personal Firewall


http://www.microsoft.com/windowsxp/pro/using/howto/networking/icf.asp

http://us.mcafee.com/root/package.asp?pkgid=103

Firewall desktop


Trend Micro – PC-cillinCheck point – Secure ClientStonegate – Personal clientISS- Desktop protector

Firewall a nivel de estación de trabajo

Firewall desktop

• Ventajas de firewall en desktop

• Protección granular (hasta la estación de

trabajo)

• Políticas de seguridad

• Revisión de puertos, y se evitan contagios

masivos o encadenados


Firewall desktop

• Desventajas

• Mayor administración y mas coordinada

• Se requiere administración centralizada

• Si son los fw de ws aislados, se requiere

mucho tiempo la implantación de políticas

uno a uno.

• Si es central, se evita contagios masivos en

menor tiempo, y disminuye la propagación

(Blaster, Sasser, Sircam y otros)Arquitectura de Seguridad II 51

Firewall desktop

• Fabricantes que cuentan con FW desktop y

Administración centralizada

• Check point

• ISS

• Stonegate


Firewalls

Usuarios

Internet

Ruteador

ADSL o AD

DMZ

FW InternoConsola

seguridad


Seguridad firewall robusta

Firewalls (Selección de

seguridad)• Evaluar el grado de implementación de las políticas de

seguridad de la organización con el nodo seleccionado en

base a lo siguiente:


Funcionalidad de seguridad

Funcionalidad de Implantación

Funcionalidad de usuario


seguridad)Funcionalidad de seguridad

Se enfocan a la habilidad del producto para implementar las políticas de seguridad de la organización. Los elementos a evaluar son:

• Aseguramiento externo.- Evaluación de organismos independientes que aseguren el cumplimiento, por parte del nodo, de las especificaciones de seguridad.

• Control de privilegios.- El grado en el que el producto puede imponer restricciones de acceso a los usuarios.

• Autentificación.- La manera en que el producto soporta o provee técnicas de autentificación, tales como la autentificación de direcciones fuente/destino de computadoras.

• Capacidades de auditoria.- La habilidad del producto de monitorear el tráfico de red que incluya: intentos de acceso no autorizado, generación de registros (logs), así como proveer reportes y alarmas



seguridad)FW: Funcionalidad de Implantación

Se enfocan en la habilidad del producto para satisfacer las necesidades de administración de red, los elementos que se evalúan son:

• Flexibilidad.- Las facilidades provistas por el producto para soportar políticas de seguridad de la organización, así como soporte a las aplicaciones de Internet actuales y futuras.

• Desempeño.- Capacidad de transmisión y procesamiento de información asociado con el producto.

• Escalabilidad.- Habilidad del producto de poder configurarse en instancias múltiples, diferentes equipos de cómputo y especificaciones de seguridad. Soporte de estándares IPsec u Opsec.



seguridad)Funcionalidad de usuario

Se enfocan en la habilidad del producto para desempeñar los requerimientos de administradores y usuarios; los elementos a evaluar son:

• Facilidad de uso.- Esta característica implica uso de una interfase gráfica (GUI), la cual simplifica las labores de administración para instalar y configurar el producto.

• Transparencia.- Habilidad que tiene el producto para ser transparente al usuario. Mientras menos transparente sea para el usuario, será más difícil la implementación de las políticas de seguridad.

• Soporte al cliente.- Capacidad del vendedor del producto de proveer experiencia técnica para la instalación, uso, mantenimiento y cursos de su producto.


Firewall … Limitaciones…

• ¿Qué no puede hacer un firewall?

• ¡Proteger contra ataques que no pasan por el firewall!

• Los Insiders son insiders

• Reemplazar el sentido de seguridad de los usuarios

• Proteger contra amenazas completamente nuevas

• Proteger de los virus * (IDS, IPS, AV svr, AVws, Avgwy)

• En general, un firewall debe ser parte de la estrategia de

seguridad a nivel organización. No puede ser toda la

seguridad


Firewall … Limitaciones…

• ¿Qué no puede hacer un firewall?

• Problemas físicos

• fuente de poder

• Robo o daño físico malicioso

• Ingeniería SocialHabilidad que utiliza la gente para engañar y obtener

Información mediante los mismos individuos.

• Configuración impropia

• Falta de personal capacitado para operarArquitectura de Seguridad II 59

VPN

• ¿Qué es una VPN?


Es un mecanismo de comunicación entre dosO mas redes, que utilizan una red pública.

La comunicación debe ser encriptada (Tunel)para evitar Robo de información y así asegurar laConfidencialidad de la misma

La información es segura

VPN

• ¿Qué es un tunel?


Un tunel es creado cuando un servidor de VPN o gatewayDe VPN, encapsula la información, en un medioPúblico, y sedesencapsula cuando se alcanza elGateway o cliente VPN.

VPN

PortalesServer 2

Server 1

Ruteador

central

SS7

SS7SS7

H3.23

UDP

servers

Red MTYRed Guatemala

10.200.19.x

13,14, -15,16 - 21,22 -

23,24

Iseo

10.200.2.X

Guatemala

10.200.14.X

Gateway

L. ISEO

QoS

Frame Relay


Comunicación Típica Frame-Relay

VPN

5 U

4 U

9 U

Servidores de Exchange

4 U

4 U

4 U

FRAME RELAY

INTERNET

CISCO

LAN ETHERNET

TCP/IP

NAUCALPAN

EXCHANGE

SERVER

MAIL SECURITY

MAIL ESENTIAL

WEBSENSE

DSO

128 K

E1

256 Kbps

PBX

4 E&M

OPTIC FIBER

RAISER 100Pairs

4 E&M

4 E&M

CISCO

DSO

128 K

DSO

128 K

ADSL

ADSL

FIREWALL

4 U

VPN gateway

NETSCREEN

5GT

NETSCREEN

5GT

ACCESS POINT

ENGINE

ENGINE

ENGINE

ENGINE

FW en ADSL


Ejemplo 2 : Comunicación Frame Relay

VPN

• Comunicación típica Internacional


Regional

Corporativo

VPN


Regional

Corporativo

Internet

Migración internacional a VPN

VPN

Beneficios de las VPN.• Aprovechamiento de redes públicas.

• Se estima que una solución de VPN puede disminuir sus

costos entre 20 y 40 por ciento, en comparación con las

conexiones punto a punto.

• Reducen el número de líneas de acceso en un sitio

corporativo

• No requiere inversiones en infraestructura.

• El usuario tiene la posibilidad de conectarse desde

cualquier lugar.


VPN

• Beneficios de las VPN.• Se puede extender la red de comunicaciones privadas a

sitios donde la infraestructura dedicada no está posible.

• Proporciona la posibilidad de que los usuarios remotos se

conecten a través de tecnologías de banda ancha, como

cable módems o ADSL, cable modem, etc.

• Cambio de tecnología Frame-Relay por VPN.

• Seguridad en los túneles de comunicación.


VPN


Source:NetworkWorld

Ahorros en integración

0

10

20

30

40

50

60

70

80

90

100

Usuarios Móviles Oficinas remotas

VP

NVP

N

Dia

l-up

Dia

l-up

Lín

ea

s p

riva

da

s

Lín

ea

s p

riva

da

s

VPN

2.1

5.2

9

13

17

0

2

4

6

8

10

12

14

16

18

US$ Billion

2000 2001 2002 2003 2004

Year


Tendencias del mercado mundial

5 U

4 U

9 U

Servidores de Exchange

4 U

4 U

4 U

INTERNET

CISCO

LAN ETHERNET

TCP/IP

NAUCALPAN

EXCHANGE

SERVER

MAIL SECURITY

MAIL ESENTIAL

WEBSENSE

DSO

128 K

E1

256 Kbps

PBX

4 E&M

OPTIC FIBER

RAISER 100Pairs

4 E&M

4 E&M

CISCO

DSO

128 K

DSO

128 K

ADSL

ADSL

ADSL

FIREWALL

4 U

VPN gateway

NETSCREEN

5GT

NETSCREEN

5GT

ACCESS POINT

ENGINE

ENGINE

ENGINE

ENGINE


VPN

• ¿Que se requiere para una VPN?


Servidor o gateway de VPNMedio de comunicación (público o privado)Mecanismo de certificaciónMétodo de encripción (simétrico o asimétrico)Cliente o gateway de VPN

VPN

• Modelo en base a túneles

• IPsec

• PPTP ( Point to Point Tunneling Protocol)

• L2TP ( Layer 2 Tunneling Protocol)

• A capas superiores

• SSL

• SSH



Comunicación IP

*Los datos son encapsulados en tramas, para asegurar unacomunicación eficiente y segura.

*Los equipos que tienen TCP/IP conocen los formatos de las tramas,mejorando la comunicación.

VPN

VPN

• VPN Sitio a sitio


VPN sitio a sitio

Oficina Central

México D.F.

VPN Sitio a Sitio

Check Point R55 con Application Inteligence

Firewall-1

Firewall-1

Cluster

Global System


VPN


Sitio - cliente

VPN

• VPN híbrida


VPN ejemplos

• SonicWall 1


• Sonic Wall 2


VPN ejemplos

• Checkpoint VPN


VPN

• Check Point definición de VPN


VPN - Aplicaciones

• Aplicaciones dónde se pueden utilizar:

• Intranet, Extranet

• Intercambio de información en tiempo real.

• Correo electrónico corporativo.

• Acceso remoto a la información corporativa

sin importar la ubicación geográfica.


VPN - Aplicaciones

• Aplicaciones dónde se pueden utilizar:

• Contratación de servicios por outsourcing.

• Impresión remota

• Transmisión encriptada de la información a

través de internet.

• Acceso mediante distintos tipos de

autentificación


Oficina

Pachuca

Oficina Central

Servidor DNS, WINS,

Terminal Services

Oficina

Monterrey

Frame Relay

Oficina

NL

256 Kbps

256 Kbps

256 Kbps

256 Kbps

Firewall VPN-1 Edge

Firewall-1 Check Point


VPN vs Frame Relay

INFINITUM

ADSL

MODEM

5200

MODEM

5200

MODEM

5200

1MB

4 VPN

1.-Datos

Joya

2.-Voz

Joya

3.-Voz

Noria

4.-Voz

Ixtlahuaca

512 MB

4 VPN

1.-Datos

Joya

2.-Voz

Joya

3.-Voz

Noria

4.-Voz

Ixtlahuaca

512 MB

4 VPN

1.-Datos

Joya

2.-Voz

Joya

3.-Voz

Noria

4.-Voz

Ixtlahuaca

512 MB

CD

MONTERREY

HUB 8

PTOS

Phone IP 3COM

Extension

3150

Red local

192.168.3.0

CD

GUADALAJARA

HUB 8

PUERTOS

PHONE IP 3COM

EXTENSION

3030

HUB 8PTOSRED LOCAL

192.168.4.0

VPN-1 EDGE 510

VPN-1 EDGE 510

VPN-1 EDGE 510

Switch

VPN Pro

25 IP

Phone

50 estciones de

trabajo


VPN vs Frame Relay

VPN- Híbrido


VPN- Híbrido para

redundanciaGUADALAJARA

MINATITLAN

SALAMANCA

NICOLAS ROMERO

172.16.9.XXX

INFINITUM

512 Kbps

SG 200

172.16.8.251

GENESIS 172.16.8.2

172.16.8.XXX

172.16.10.XXX

172.16.7.XXXGENESIS

172.16.7.2

INFINITUM

512 KbpsSG 200

172.16.7.251

INFINITUM

512 Kbps

SG 200

172.16.9.251

EGAS

172.16.9.6

SRVDLTNR

172.16.9.6

EGAS

172.16.6.6

SG 200

172.16.6.250

INFINITUM

512 Kbps

PEDREGAL

172.16.6.XXX

INFINITUM

512 Kbps

INFINITUM

512 Kbps

INFINITUM

512 Kbps

INFINITUM

512 Kbps

SG 200

172.16.X.X

EGAS

172.16.5.6

SOR JUANA

172.16.5.XXX

SG 200

SG 200

172.16.4.251

EGAS

172.16.4.6

SRVDLTAT

172.16.4.8

ATIZAPAN

172.16.4.XXX

GENESIS

172.16.4.2

TOLUCA

172.16.3.XXX

EGAS

172.16.3.6

GENESIS

172.16.3.2

SG 200

CONEJOS

172.16.2.XXX

SRVDLTAT

172.16.2.8

GENESIS

172.16.2.2

SG 200

PD

C

17

2.1

6.1

.8

SR

VD

CD

IAF

A

WE

B

17

2.1

6.1

.6

SR

VP

RO

DU

CC

ION

GE

NE

SIS

17

2.1

6.1

.2

LIN

UX

17

2.1

6.1

.10

0

NTU ENLACE

3600

172.16.1.250

SG 1100

INT 172.16.1.254INFINITUM

512 Kbps

NTU INTERNET

512 Kbps

1700

ETH 148.233.167.173

WAN 148.223.149.101

VPN

FRAME RELAY

WEBSENSE


VPN problemas

• Administración

• Accesos restringidos (abuso de Internet)

• Desempeño (selección de herramientas)

• Personal mas capacitado

• Cambios de password

• Operación


Conclusiones

Pese a lo anterior...

• No hay seguridad al 100%

• La seguridad es un ciclo

• La seguridad descansa en políticas...

• El eslabón mas débil: la gente...Arquitectura de Seguridad II 89

Conclusiones

• Situación Ideal

• Los criterios de seguridad varían de una organización a otra, desde proteger la información que circula por la red, la integridad de los datos, hasta proteger la inversión en equipos e infraestructura tecnológica.

• Los administradores de red deben de prevenir y planificar los lineamientos de seguridad.

• Actuar antes que lamentar

• Complementar Seguridad con una buena Administración.


arquitectura de seguridad iicursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión...

Documents