arquitectura de seguridad n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Arquitectura de Seguridad PowerPoint Presentation
Download Presentation
Arquitectura de Seguridad

Loading in 2 Seconds...

play fullscreen
1 / 32

Arquitectura de Seguridad - PowerPoint PPT Presentation


  • 109 Views
  • Uploaded on

Arquitectura de Seguridad. Manuel Casal Peteiro. Indice. Introducción Fundamentos de seguridad perimetral Fundamentos de diseño. Introducción. El objetivo de este trabajo es el diseño, utilización y mantenimiento de una arquitectura de red confiable

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Arquitectura de Seguridad' - khuyen


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
arquitectura de seguridad

Arquitectura de Seguridad

Manuel Casal Peteiro

indice
Indice
  • Introducción
  • Fundamentos de seguridad perimetral
  • Fundamentos de diseño
introducci n
Introducción

El objetivo de este trabajo es el diseño, utilización y mantenimiento de una arquitectura de red confiable

Proteger una red no es una tarea fácil; esta requiere del conocimiento de distintas tecnologías y como se relacionan unas con otras. Es por ello que comenza-

remos la exposición breve de los diferentes compo-nentes que configuran una arquitectura de red luego veremos como integrar estos dispositivos uno con otro para proporcionar un todo unificado.

fundamentos seguridad perimetral
Fundamentos Seguridad Perimetral
  • El perimetro

Es la frontera fortificada de nuestra red e incluye:

    • Routers
    • Firewalls
    • IDS
    • VPN
    • Arquitectura Software
    • DMZ y screened subnets
border router
Border router

Los routers son los policías de tráfico. Ellos dirigen el trafico hacia dentro hacia fuera o en el interior de nuestras propias redes. El border router es el último router que tu controlas antes de internet. Debido a que todo el tráfico interno va a través de este router este funciona como el principio de una red y la ultima linea de defensa a través del filtro inicial y final.

firewall
Firewall

Es un dispositivo que tiene un conjunto de reglas especificas que determina cual tráfico se permite y cual se deniega. Un firewall recoge todo lo que el border router abandona y hace una pasada mas minuciosa para filtrar el tráfico. Existen diferentes tipos de firewall tales como: static packet filter, stateful firewalls y Proxy firewalls

slide7
IDS

Un IDS es como un sistema de alarmas de ladrones para tu red que es usado para detectar una alerta sobre eventos maliciosos. El sistema puede estar compuesto de muchos y diferentes sensores posicionados en puntos estratégicos en tu red. Existen dos tipos de sensores: basados en red (NIDS ) y basados en hosts (HIDS). Frecuentemente residen en subredes que esta conectadas directamente al firewall, así como en puntos críticos de la red interna.

slide8
VPN

Una VPN ( Red Privada Virtual ) es una sesión de red protegida formada a través de canales no protegidos, tale como Internet. Frecuentemente nos referimos a un VPN en términos del dispositivo sobre el perímetro que permite la sesión encriptada. Una VPN permite a un usuario participar en la red interna como si estuviera conectado directamente a esta. Muchas organizaciones, tienen un falso sentido de la seguridad en cuanto a su acceso remoto debido a que ellos tiene una VPN. Si un agresor compromete la máquina de un usuario legitimo una VPN puede dar a este agresor un canal encriptado dentro de la red.

dmz y screened subnets
DMZ y Screened Subnets

Nosotros usamos los términos DMZ y screened subnet en referencia a una red pequeña conteniendo servicios públicos que son conectados directamente a y desde la protección ofrecida por el firewall u otro dispositivo de filtrado. Una DMZ y una screened subnet son diferentes aunque mucha gente utiliza estos términos intercambiablemente

dmz y screened subnets1
DMZ y Screened Subnets

El término DMZ se origino en la guerra de corea cuando una franja de tierra en el paralelo 38 esta fuera de los limites militarmente hablando. Una DMZ es un area insegura entre areas seguras. Justo como la DMZ en Corea estaba enfrente de cualesquiera defensas, la DMZ cuando es aplicada a redes esta fuera del firewall

dmz y screened subnets2
DMZ y Screened Subnets

Un firewall o un dispositivo comparable protegido del tráfico protege a una screened subnet que es conectada directamente a este. Recuerde: Una DMZ esta enfrente de un firewall, mientras una screened subnet esta detrás de un firewall. Note la diferencia en la siguiente figura

Una screened subnet es un red aislada que esta conectada a un interface dedicado de un firewall u otro dispositivo de filtrado. La screened subnet es frecuentemente usada para segregar servidores que necesitan ser accesibles desde internet de sistemas que son usados unícamente por usuarios de la organización.

dmz y screened subnets4
DMZ y Screened Subnets

En la Screened subnet tipícamente residen servicios públicos incluyendo DNS, mail y la web. A nosotros nos gustaría pensar estos servidores como bastion Hosts Una bastion es una posición bien fortificada.

Cuando es aplicada a hosts dentro de la red, fortificación envuelve fortalecer el sistema operativo y las aplicaciones de acuerdo a buenas practicas.

defensa en profundidad
Defensa en profundidad

La seguridad de la red es como una cebolla. Cuando tu desconchas la capa superior algo permanece bajo esta. La defensa en profundidad ayuda a proteger recursos de la red aun si una de las capas esta protegida.

Nosotros operamos en un mundo real de desconfiguraciones, software bugs, empleados disgustados y sobrecarga de administradores de sistemas. Además cualquier diseño de seguridad practico necesita acomodarse a las necesidades del negocio.

defensa en profundidad1
Defensa en profundidad

Esto quizá requiera de nosotros abrir ciertos puertos firewall, dejar servicios adicionales ejecutandose en el servidor o prevenirnos de aplicar el último parche de seguridad

Que exactamente una defensa en profundidad supone? La repuesta es:

  • El perimetro
  • La red Interna
  • El factor humano
proxy firewall
Proxy firewall

Un servidor proxy se ejecuta sobre un dual-homed bastion host y soporta uno a mas protocolos de internet ( ver figura en pagina siguiente ). Bastion hosts son sistemas fortalecidos que son configurados para funciones de accesabilidad en Internet. Una compuerta dual-homed consiste de un sistema de hosts con dos interfaces de red una para la red interna protegida y otra para la red externa.

Estos hosts no permiten el tráfico directo entre redes y pueden ser usados para realizar logging y funciones de auditoría sobre el tráfico.

proxy firewalls
Proxy Firewalls

Este tipo de servicios/servidores proveen funcionalidad para usuarios internos y externos mientras están fuera del perímetro de la red Interna. La figura de la página siguiente provee una ilustración de servidores múltiples fuera de una red protegida.

Idealmente un bastion host sería usado para direccionar un servicio proxy, el principio de separación de la seguridad. Ninguna cuenta de usuario compilador o programas deben estar en los bastion host. Ademas cualquier servicio no usado debe ser deshabilitado.

fundamentos de dise o
Fundamentos de diseño

El diseño consiste en a partir de una red desde cero valorando la resistencia de una infraestructura existente, determinando donde pones un dispositivo de seguridad o decidir si emplear uno despues de todo. Esta parte se concentra en los pros y contras del diseño del perimetro de seguridad.

Para cumplir tal objetivo tu necesitas determinar:

  • Que recursos deben ser protegidos
  • Contra quien tu te estas protegiendo
  • Cuales son las necesidades de tu negocio
  • Cuales son tus necesidades politicas
fundamentos de dise o1
Fundamentos de diseño

Decidirnos por una arquitectura de defensa en particular es una tarea complicada y gratificante que requiere tomar decisiones difíciles donde la funcionalidad y la seguridad tienden a estar reñidas una con la otra.

Tomar decisiones de diseño de seguridad envuelve resolver conflictos que incorporan aspectos de la red y de la infraestructura de aplicaciones tales como utilidad, confiabilidad, manejabilidad y coste.

firewall y router
Firewall y Router

El firewall y el router son dos de los componentes de seguridad perimetral mas comunes. A continuación nos concentraremos sobre la relación entre el router y el firewall y veremos varias configuraciones.

En la página siguiente ilustra una de las formas mas comunes de emplear un router y un firewall juntos. La subnet corporativa hosts “Sistemas Privados” usados por los usuarios internos y la Screened Subnet “Servidores publicos” que necesitan ser accesibles desde internet

firewall y vpn
Firewall y VPN

Firewalls son generalmente responsables de controlar el acceso a los recursos y dispositivos VPN son responsables de asegurar enlaces de comunicación entre hosts o redes.

Examinar como VPNs interactuan con firewall es importante por varias razones:

  • Traducción de direcciones de red NAT podría ser incompatible con algunas implementaciones VPN dependiendo de la arquitectura de red.
firewall y vpn1
Firewall y VPN
  • VPNs podrían crear tuneles a través de tu perimetro lo que haría dificil para el firewall asegurar restricciones de acceso sobre trafico encriptado
  • Puntos finales VPN tienen acceso a datos con texto claro debido a que dispositivos VPN son los unicos que decriptan o autentican este
  • VPNs protegiendo la confidencialidad de datos encriptados pueden ser usados para pasar por IDS sin ser detectados.
firewalls multiples
Firewalls Multiples

Algunos diseños reclaman el uso de múltiples firewalls para proteger la red. Esto tiene sentido cuando tu quieres proveer diferentes niveles de protección para recursos con diferentes necesidades de seguridad. Tales escenarios podrían ser firewalls en línea, uno de tras de otro para segmentar recursos con diferentes requerimientos de seguridad o en paralelo una al lado del otro y equidistantes de Internet.

Los costos de configurar y mantener la red aumentan dramáticamente cuando se añaden mas firewalls

firewalls en linea
Firewalls en linea

Este tipo de arquitectura no es poco común en una configuración. Considere la arquitectura típica en la cual un simple firewall esta situado detrás del border router. Si tu utilizas la funcionalidad de las listas de acceso del router para controlar el acceso a los recursos en lugar del filtrado de paquetes básico, el router esta actuando de forma parecida a un firewall.

Si la localización de un dispositivo parecido a un firewall parece un desperdicio. Otra configuración en línea presentada en la figura de la pagina siguiente tiene mas sentido.

firewalls en paralelo
Firewalls en paralelo

Muchas veces se podría estar obligado a configurar firewalls en paralelo uno con el otro. En esta configuración, los firewalls protegen recursos con diferentes necesidades de seguridad. Cuando los firewalls son configurados en linea los paquetes que son destinados a los hosts dentro de la organización podrían ser retrasados debido a que necesitan ir a través de varios dispositivos de control de acceso. Con firewalls paralelos, esto no es un asunto significante debido a que los firewalls estan equidistantes de Internet.

firewalls en paralelo1
Firewalls en paralelo

En una configuración paralela nosotros podemos emplear firewalls que son tuneados cada uno especifícamente para recursos que ellos estan protegiendo. Uno de tales escenarios se muestra en la página siguiente. Aquí mostramos una compuerta de aplicación y un stateful firewall cada uno protegiendo un conjunto diferente de sistemas.

firewalls en paralelo3
Firewalls en paralelo

En este ejemplo nosotros asumimos que nuestro negocio requiere el uso de robustas capacidades a nivel proxy de una compuerta de aplicación para proteger sistemas accesibles a Internet tales como servidores web, SMTP y DNS. Al mismo tiempo nosotros necesitamos la flexibilidad de un stateful firewall para la red corporativa, constituida por estaciones de trabajo y servidores.