1

Cmo desarrollar una

Arquitectura de Red segura?

Lic. Julio C. Ardita

jardita@cybsec.com

26 de Septiembre de 2001
Buenos Aires - ARGENTINA

2
2001 CYBSEC
 Cmo desarrollar una Arquitectura de Red segura?

Temario

- Desarrollo de una red segura.

- Pasos para desarrollar e implementar una red segura.
- Seguridad en redes internas.
- Seguridad en redes externas.

3
2001 CYBSEC
 Desarrollo de una red segura

El desarrollo de una arquitectura de red segura tiene

como objetivo final la definicin de un esquema
de red aplicando medidas de seguridad informtica,
que una vez implementadas, minimizan los riesgos
de una intrusin.

4
2001 CYBSEC
 Desarrollo de una red segura

Qu arquitectura de red podemos desarrollar?

- Seguridad de la red interna.

- Seguridad de un sector de la red interna.
- Seguridad en el vnculo con Internet.
- Seguridad en el Sistema de Comercio Electrnico.
- Seguridad en la comunicacin con proveedores.

5
2001 CYBSEC
 Desarrollo de una red segura

Por qu debo pensar en una arquitectura de red segura?

Hasta hace pocos aos, cuando se diseaba una arquitectura de

red, se pensaba en los protocolos de comunicaciones a utilizar,
el ancho de banda, se evaluaba la saturacin de la red, se definan
la ubicacin de los switches, se determinaba la segmentacin de
la red y muchas otras tareas, pero prcticamente no se le brindaba
mayor importancia a la seguridad, se pensaba en funcin de la
operatividad y funcionalidad de la red.

6
2001 CYBSEC
 Desarrollo de una red segura

Por qu debo pensar en una arquitectura de red segura?

Debido al gran avance que hoy estn teniendo la informtica y las

telecomunicaciones, es imprescindible aplicar tcnicas para el
desarrollo de arquitecturas de red seguras.

La interconectividad de Empresas y Organismos ya exige un nivel

de seguridad informtica para la proteccin de la informacin.

7
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

Los pasos para desarrollar e implementar una red segura son:

1. Diseo de la arquitectura de red.

2. Evaluacin de flujos de informacin.

3. Desarrollo del Plan de Implementacin.

4. Implementacin de la arquitectura de red segura.

5. Evaluacin final de la red.

8
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

1. Diseo de la arquitectura de red

En esta etapa se define la arquitectura de red a utilizar teniendo en

cuenta todos los aspectos de seguridad de los componentes.

Se trabaja sobre un esquema de red base

pre-diseado o se comienza a disear el
esquema de red desde el comienzo.

9
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

1. Diseo de la arquitectura de red

Durante la etapa de diseo, se deber definir lo siguiente:

- El esquema de red base a utilizar.

- Los mecanismos de seguridad a nivel de red (routers, Firewalls,

Sistemas de deteccin de intrusiones, Switches, VPNs, etc).

- Los protocolos de comunicaciones (TCP/IP, NetBios, IPX, etc).

10
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

1. Diseo de la arquitectura de red

Durante la etapa de diseo, se deber definir lo siguiente:

- Los sistemas operativos a utilizar (Windows NT/2000, UNIX,

AS/400, Novell, etc).

- Las aplicaciones a utilizar (Bases de Datos, Web Servers, Mail

Servers, DNS Server, etc).

11
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

2. Evaluacin de flujos de informacin

Una vez que se encuentra definido la arquitectura de red, se deben

detectar y describir TODOS los flujos de informacin entre los
componentes del esquema de red.

Los flujos de informacin nos permiten visualizar grficamente cual

es el origen y el destino de los datos que viajan por la red y nos
permite luego clasificarlos para determinar si son crticos o no.

12
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

2. Evaluacin de flujos de informacin

A modo de ejemplo,
se puede visualizar
un grfico donde se
describen los flujos
de informacin entre
los componentes.

13
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

3. Desarrollo del Plan de Implementacin

Como siguiente paso se deber desarrollar el Plan de Implementacin

donde se definir cuales son los pasos a seguir para realizar la correcta
implementacin de los componentes de la red.

Se deber incluir:
- Los mecanismos de seguridad a implementar (Firewalls, Switches,
Sistemas de Deteccin de Intrusiones, etc ) y su configuracin final.

14
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

3. Desarrollo del Plan de Implementacin

Se deber incluir:

- La seguridad a nivel de sistema operativo de todos los equipos a

instalar, incluyendo guas de instalacin seguras para sistemas
operativos, patches de seguridad a instalar y ajustes a realizar.

- La seguridad a nivel de aplicaciones, incluyendo configuraciones

de seguridad a realizar, patches a implementar y ajustes a realizar.

15
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

4. Implementacin de la arquitectura de red segura

Esta etapa es una de las ms crticas, ya que se debe llevar a cabo la

implementacin real de los componentes de la arquitectura de red.

Tomando como base el Plan de Implementacin, se comenzar a

seguirlo paso a paso.

Es muy importante que el equipo de personas que trabaje en esta

etapa tenga conocimientos sobre los equipos con los que se trabaja y
haya participado en las otras etapas del desarrollo de la red segura.

16
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

5. Evaluacin final de la red

Una vez que la implementacin ha finalizado, es conveniente

realizar una evaluacin de la seguridad de la red que se conoce
como Penetration Test.

Nos permite detectar vulnerabilidades en la red Informtica

y corregirlas en forma muy rpida y eficaz.

17
2001 CYBSEC
 Pasos para desarrollar e implementar una red segura

5. Evaluacin final de la red

En un Penetration Test se trata de emular y simular

comportamientos y tcnicas que pueden ser utilizadas por
los intrusos con el objetivo de analizar el nivel de seguridad
y la exposicin de los sistemas ante posibles ataques.

18
2001 CYBSEC
 Seguridad en redes internas

La tendencia para la proteccin de redes internas

se basa en dos esquemas:

Proteccin de los Servers.

Monitoreo y vigilancia de la red.

19
2001 CYBSEC
 Seguridad en redes internas

Proteccin de los Servers

La Empresa debe proteger sus Servers y equipos crticos, su
informacin de los posibles ataques que provengan de la red
interna.

La forma de cumplir esta tarea es la utilizacin de Firewalls

internos, donde se definen las polticas de seguridad a
implementar.

20
2001 CYBSEC
 Seguridad en redes internas

Proteccin de los Servers

Este es un ejemplo
de la proteccin de
Servers crticos en
una red interna.

21
2001 CYBSEC
 Seguridad en redes internas

Monitoreo y vigilancia de la red

Se debe utilizar un Sistema de Deteccin de Intrusiones para detectar

los intentos de intrusin en tiempo real dentro de la red interna de la
Empresa.

Los IDS funcionan como programas agentes que monitorean la red

(Sniffers) en busca de actividades no autorizadas. En algunos
casos se basan sobre los logs que producen los sistemas, pero
tambin se basan sobre la informacin que estos agentes recaudan.

22
2001 CYBSEC
 Seguridad en redes internas

Monitoreo y vigilancia de la red

23
2001 CYBSEC
 Seguridad en redes externas

La tendencia para la proteccin de redes externas

se basa en cuatro esquemas:

Consolidacin de conexiones externas.

Seguridad en el vnculo de Internet.

Acceso a aplicaciones seguras.

Autenticacin remota.
24
2001 CYBSEC
 Seguridad en redes externas

Consolidacin de conexiones externas

La tendencia actual es a realizar una consolidacin de todos los
puntos de acceso externos de la Empresa para poder brindar una
mayor proteccin.

Una Empresa normalmente posee vnculos de comunicaciones

con proveedores, con sucursales, con grandes clientes, etc.
Todos estos vnculos deben juntarse en un solo punto de acceso
y colocar medidas de seguridad para controlarlos.

25
2001 CYBSEC
 Seguridad en redes externas

Consolidacin de conexiones externas

26
2001 CYBSEC
 Seguridad en redes externas

Seguridad en el vnculo de Internet

Internet es el riesgo nmero uno de seguridad. Hoy en da es casi
una obligacin para una Empresa estar conectado a Internet y cada
vez ms se exige una mayor apertura de servicios.

En la conexin a Internet se deben aplicar tcnicas para disear

la arquitectura de red de forma segura, incluyendo en el diseo
zonas de DMZ, zonas internas, zonas de Internet, etc.

27
2001 CYBSEC
 Seguridad en redes externas

WEB Firewall
SERVER

Internet
Router

Firewall Sistema de
Deteccin
de Intrusos

RED Server de
INTERNA Base de Datos

28
2001 CYBSEC
 Seguridad en redes externas

Acceso a aplicaciones seguras

La tendencia futura es a brindar un mecanismo para que los
empleados puedan acceder en forma remota y va Internet a
las aplicaciones internas de la Empresa.

Para el desarrollo de la arquitectura de red para un proyecto

de este tipo se deben tener en cuenta Firewalls, IDSs, Sistemas
de validacin por hardware (SecurID), Certificados digitales, etc.

29
2001 CYBSEC
 Seguridad en redes externas

Autenticacin remota
Los mecanismos de autenticacin remota cambiaron de ser
solamente el USUARIO y PASSWORD a utilizar tecnologas
de seguridad informticas como ser:

Certificados Digitales Personales.

Autenticacin biomtrica.
Tarjeta de autenticacin.

30
2001 CYBSEC
 Conclusiones

- El grado de avance de las tecnologas de la informacin hace

necesario disear las redes informticas en un entorno seguro.

- Se deben tomar medidas preventivas con el fin de proteger la

informacin sensible de una Empresa y luego aplicar tcnicas
de deteccin de intrusiones para poder frenar intentos de
intrusin en tiempo real.

- El permetro de la red externo debe ser protegido de forma activa,

logrando un elevado nivel de seguridad.

31
2001 CYBSEC
Muchas gracias
por acompaarnos . . .

www.cybsec.com
32