Download Seguridad Perimetral

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
Document related concepts
no text concepts found
Transcript 
Seguridad Perimetral
Juan Manuel Espinoza Marquez
[email protected]
CFT San Agustín – Linares -2012
Introducción
La mayoría de las empresas sufren la
problemática de seguridad debido a sus
necesidades de acceso y conectividad con:
➲
➲
➲
➲
➲
Internet.
Conectividad mundial.
Red corporativa.
Acceso Remoto.
Proveedores.
Introducción
¿Qué elementos deberían protegerse?
Se deberían proteger todos los elementos
de la red interna, incluyendo hardware,
software e información, no solo de cualquier
intento de acceso no autorizado desde el
exterior sino también de ciertos ataques
desde el interior que puedan preveerse y
prevenirse.
¿Cómo protegerlos?
Paradigmas de seguridad:
➲
➲
Lo que no se prohíbe expresamente está
permitido.
Lo que no se permite expresamente está
prohibido.
Métodos de defensa:
➲ En profundidad.
➲ Perimetral.
Seguridad Perimetral
La seguridad perimetral es uno de los métodos
posibles de defensa de una red, basado en el
establecimiento de recursos de securización en el
perímetro externo de la red y a diferentes niveles.
Esto nos permite definir niveles de confianza,
permitiendo el acceso de determinados usuarios
internos o externos a determinados servicios, y
denegando cualquier tipo de acceso a otros.
Infraestructura típica
Infraestructura típica
➲
Red plana sin segmentar.
➲
Publicación de servicio internos: base de datos.
➲
No hay elementos de monitorización.
➲
No se filtra tráfico de entrada ni salida.
➲
No se verifica malware o spam en el correo
electrónico.
➲
Cliente
servicios.
remoto
accede
directamente
a
los
Alternativas de Implantación
Uso de Firewalls
Un Firewall puede ser un sistema (software o
hardware), es decir, un dispositivo físico que se
conecta entre la red y el cable de la conexión a
Internet, como en el caso del CISCO PIX, o bien un
programa que se instala en el sistema que tiene la
interfase que conecta con Internet, como el Firewall-1
de CheckPoint.
Incluso podemos encontrar PCs muy potentes y con
paquetes software específicos que lo único que
hacen es monitorear en tiempo real las
comunicaciones entre redes.
Tipos de Cortafuegos
Circuito a nivel de pasarela
Funciona para aplicaciones específicas.
Cortafuegos de capa de red
Filtra en capa de red (IP origen/destino) o de
transporte (puerto origen/destino).
Cortafuegos de capa de aplicación
Funciona según el protocolo a filtrar, por ejemplo
HTTP o SQL.
Cortafuegos personal
Aplicación para sistemas como PC o móviles.
Ubicación de los recursos públicos
Zona Desmilitarizada (DMZ)
Diseño de una red local ubicada entre red interna y
red externa (p. ej. Internet).
Utilizada para servicios públicos: correo electrónico,
DNS, web, ftp, que serán expuestos a los riesgos
de seguridad.
Creada mediante uno o dos cortafuegos que
restringe el tráfico entre las tres redes.
Desde la DMZ no se permiten conexiones a la red
interna.
Zona Desmilitarizada (DMZ)
Zona Desmilitarizada (DMZ)
Construcciones de "Muro Doble"
Algunos firewalls se construyen con la técnica de
"muro doble", en este caso el firewall consta de
dos sistemas separados físicamente (muro exterior
e interior) conectados por una red semi-privada, si
alguien es capaz de comprometer el muro exterior,
el muro interior protege la red impidiendo el acceso
desde la red semi-privada y aislando la red interior.
Zona Desmilitarizada (DMZ)
El muro exterior sólo permite el tráfico hacia
los servidores semi-públicos alojados en la
DMZ.
El muro interior se rige por el "pesimismo",
esto es, solo acepta paquetes si responden
a una petición originada en el interior de la
red o que provienen de uno de los
servidores alojados en la DMZ (por defecto
guarda toda la información sobre las
transacciones).
Esquema de “muro doble”
Alternativas de Implantación
Uso de proxys
Los servicios proxy poseen una serie de
ventajas tendientes a incrementar la
seguridad; en primer lugar, permiten
únicamente la utilización de servicios para
los que existe un proxy, por lo que si en la
organización el "gateway de aplicación"
contiene únicamente proxies para telnet,
HTTP y FTP, el resto de servicios no estarán
disponibles para nadie.
Uso de Proxy
Sistemas de Detección y Prevención de Intrusos
(IDS/IDPS) (Intrusion Detection System)
Dispositivo que monitoriza y genera alarmas si se
producen alertas de seguridad.
Los IDPS (Intrusion Detection and Prevention
Systems) bloquean el ataque evitando que tenga
Efecto.
Sus principales funciones:
1.
2.
3.
4.
Identificación de posibles ataques
Registro de Eventos
Bloqueo del Ataque
Reporte a administradores y
Seguridad.
personal
de
Sistemas de Detección y Prevención de Intrusos
(IDS/IDPS) (Intrusion Detection System)
1. Dos tipos de IDS:
HIDS: Host IDS, monitoriza cambios en el sistema
operativo y aplicaciones.
NIDS: Network IDS, monitoriza el tráfico de la red.
1. Dos métodos de detección:
Firmas.
Patrones de comportamiento.
Honeypots




Sistema configurado con vulnerabilidades usado
para recoger ataques y estudiar nuevas técnicas.

Dos tipos principales de honeypots:

De baja interacción: aplicación que simula
vulnerabilidad y sistema operativo.
De alta interacción: el sistema operativo no es
simulado.
También se usan para recoger muestras de virus
o spam.
Han de permanecer especialmente controlados y
desconectados de cualquier red.
Pasarelas Antivirus y AntiSpam
Sistemas intermedios que filtran Contenido malicioso en
canales de entrada a la red.
Detección de Malware en pasarelas web y servidores de
correo.
Ej: Ironport
Redes Virtuales Privadas (VPN)


Es un tipo de red que utiliza una infraestructura
pública (y por lo tanto no segura) para acceder a
una red privada de forma confiable.
Es comúnmente utilizada para conectar usuarios
remotos, sucursales u oficinas con su intranet
(punto a punto).
Redes Virtuales Privadas (VPN)
Autenticación y autorización: Mediante gestión de
usuarios y roles y permisos.
Integridad: Con el uso de funciones hash.
Confidencialidad: La información es cifrada con
DES (Data Encryption Estándar), 3DES ( triple
cifrado del DES), AES (Advanced Encryption
Standard), etc.
No repudio: Los datos transmiten firmados.
Conclusiones - Gestión Unificada de Amenazas / UTM
(Unified Threat Management)
Equipos que integran en un único dispositivo
un conjunto de soluciones de seguridad
perimetral:
1. Cortafuegos.
2. Sistemas de detección y prevención de
intrusos.
3. Pasarelas antivirus/antispam.
4. Redes privadas virtuales.
Conclusiones - Ejemplo de arquitectura con seguridad
perimetral
Instalación de cortafuegos. DMZ y Red Interna
• Política restrictiva.
• Instalación de antispam y antivirus.
• Instalación de NIDS (Sistema de
detección de intrusos en una Red)
en las tres interfaces.
• Segmentación de servicios públicos:
web y pasarela antivirus/antispam.
• Servicios internos movidos: base de
datos y correo.
• Clientes remotos usan VPN.
Related documents
Acceso a la VPN de HTSI
Acceso a la VPN de HTSI
Defenderse de todo - Diplomado en Tecnologías de la Información
Defenderse de todo - Diplomado en Tecnologías de la Información
2.4. Tipos de Sistemas de detección de intrusos
2.4. Tipos de Sistemas de detección de intrusos
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
HONEY POT
HONEY POT
implementación de un sistema de protección y
implementación de un sistema de protección y
capitulo iv - Repositorio UTN
capitulo iv - Repositorio UTN
Presentación
Presentación
El sistema operativo GNU/Linux y sus herramientas libres en
El sistema operativo GNU/Linux y sus herramientas libres en
ISP_Capitulo3
ISP_Capitulo3
Protecciones complementarias contra infecciones de virus
Protecciones complementarias contra infecciones de virus
Seguridad Informática en una Empresa
Seguridad Informática en una Empresa
El mail seguro...Subiendo el Nivel.
El mail seguro...Subiendo el Nivel.