Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Fiedoruk Segurinfo2012

    Cargado por

    Gabriel Vega
    8 vistas26 páginas

    Título original

    Fiedoruk_Segurinfo2012

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    8 vistas26 páginas

    Fiedoruk Segurinfo2012

    Cargado por

    Gabriel Vega

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 26

    Presentada por:

    FIEDORUK, IVÁN DANIEL


    Consultor
    CYBSEC
    Aclaración:

    © Todos los derechos reservados. No está permitida la


    reproducción parcial o total del material de esta sesión,
    ni su tratamiento informático, ni la transmisión de ninguna
    forma o por cualquier medio, ya sea electrónico,
    mecánico, por fotocopia, por registro u otros métodos, sin
    el permiso previo y por escrito de los titulares de los
    derechos. Si bien este Congreso ha sido concebido para
    difusión y promoción en el ámbito de la profesión a nivel
    internacional, previamente deberá solicitarse una
    autorización por escrito y mediar la debida aprobación
    para su uso.
    Agenda

    • Riesgos de la virtualización
    • Topologías convencionales
    • Anatomía de la red virtual
    • Seguridad en switches
    • Seguridad en vMotion
    • Firewalls virtuales
    • Conclusiones
    Riesgos de la virtualización

    • Problemas de disponibilidad causados por errores


    en el dimensionamiento de recursos de Hardware.

    • Ataques de red por falta de controles de seguridad


    en el entorno virtual (Switch, FW, IPS)

    • Ataques contra los servicios de la plataforma de


    virtualización debido a la implementación de una
    topología de red insegura.
    Riesgos de la virtualización

    • Errores de configuración que pueden impactar en


    la seguridad, ya que la tecnología de virtualización
    es compleja.

    • Si se vulnera la administración del hypervisor,


    podría afectar a todo el entorno de virtualización
    Topologías convencionales

    ¿Cómo mantenemos la seguridad en entornos virtualizados?


    Anatomía de la red virtual

    Consola
    Consola de
    de servidor
    servidor
    Host
    (puerto de gestión)
    (puerto de gestión)
    MV0 MV1 MV2 MV3

    Máquina
    Máquina
    virtual
    virtual (MV)
    (MV) ADM vmkernel Vmkernel
    Vmkernel
    ADM vmkernel
    (puerto
    (puerto para
    para IP
    IP Storage
    Storage yy
    NIC VMotion)
    VMotion)
    NIC virtual
    virtual
    (vnic)
    (vnic)

    Grupo
    Grupo de
    de
    puertos
    puertos
    vSwitch
    Switch
    Switch virtual
    virtual
    (vSwitch)
    (vSwitch)

    NIC
    NIC física
    física
    (vmnic
    (vmnic oo pnic)
    pnic)

    Switch
    Switch físico
    físico
    LAN
    Virtualización de servicios
    Virtualización de servicios

    ¿Y si tengo muchas zonas de seguridad?


    ¿Como aprovecho la tecnología de virtualización?
    MV0 MV1

    Consola de vmkernel
    servidor

    vSwitch

    MV0 MV1 MV0 MV1

    Consola de vmkernel Consola de vmkernel


    servidor servidor

    vSwitch vSwitch

    MV0 MV1 MV0 MV1

    Consola de vmkernel Consola de vmkernel


    servidor servidor

    vSwitch vSwitch

    MV0 MV1 MV0 MV1

    Consola de vmkernel Consola de vmkernel


    servidor servidor

    vSwitch vSwitch
    Virtualizando redes

    MV0 MV1 MV2 MV3 MV0 MV1 MV2 MV3

    DMZ1 DMZ2 Proveedores Entidades


    Externas
    Seguridad switch estandar

    MV MV MV MV MV MV MV MV
    0 1 2 3 2 3 2 3

    ADM

    DMZ 1 DMZ 2 Proveedores Ent. Externas


    Soporte
    802.1Q vSwitch ADM

    VLAN trunk

    LAN
    Internet
    Entornos con vCenter - VDS

    vCenter
    LAN
    Host 1 Host 2

    MV MV MV MV MV MV
    0 1 2 STD STD 3 4 5

    ADM
    ADM vmkernel
    vmkernel vmkernel
    vmkernel ADM
    ADM

    VLAN X VLAN Y
    vSwitch vSwitch VLAN Y VLAN X
    vNetwork
    SRV Distributed Switch
    SRV

    VLAN trunks

    vSwitch con
    capacidad de
    VLAN privada
    (PVLAN)
    ¿Qué seguridad agrega el VDS?
    Switches de terceros

    Cisco Nexus 1000V


    Switches de terceros

    M M M M M M M M M M M M
    V V V V V V V V V V V V

    Nexus Nexus Nexus


    1000V 1000V 1000V
    VEM VEM VEM
    vSphere vSphere vSphere

    Nexus 1000V VSM

    vCenter

    15
    Consideraciones para switches Nexus

    • Autenticación centralizada para el acceso


    administrativo.
    • Seguridad del entorno de administración.
    • Implementar ACLs para restringir el acceso de
    administración.
    • Monitoreo de la administración (Syslog).
    • Implementar DHCP Snooping (Necesario para IPGuard).
    Consideraciones para switches Nexus

    • IP Guard: Evita una denegación de servicio mediante


    duplicación de IPs.
    • Port Security: Permite restringir la MAC Address que se
    conecta a un puerto del switch.
    • PVLANs: Impide que los hosts que están en una misma
    VLAN tengan visibilidad en Layer 2.
    • SPAN Session: Para monitorear el tráfico de red o
    instalar un IDS.
    Seguridad en vMotion

    config.version = "8"
    virtualHW.version = "7"
    pciBridge0.present = "true"
    pciBridge4.present = "true"
    pciBridge4.virtualDev = "pcieRootPort"
    pciBridge4.functions = "8" LAN
    pciBridge5.present = "true"
    pciBridge5.virtualDev = "pcieRootPort"
    pciBridge5.functions = "8"
    pciBridge6.present = "true"
    pciBridge6.virtualDev = "pcieRootPort" vmkernel
    vmkernel
    vmkernel
    vmkernel

    pciBridge6.functions = "8"
    pciBridge7.present = "true"
    pciBridge7.virtualDev = "pcieRootPort" Vmotion Vmotion
    ADM
    ADM
    ADM pciBridge7.functions = "8" ADM
    MV0 MV1 MV2 MV3 MV0 MV1 MV2 MV3
    vmci0.present = "true"
    nvram = "Windows 2008 AD.nvram"
    virtualHW.productCompatibility = "hosted"
    ADM
    ADM powerType.powerOff = "soft"
    powerType.powerOn = "hard"
    powerType.suspend = "hard"
    powerType.reset = "soft" VDS
    displayName = "Windows 2008 AD"
    extendedConfigFile = "Windows 2008 AD.vmxf"
    scsi0.present = "true"
    scsi0.sharedBus = "none"
    scsi0.virtualDev = "lsilogic"
    memsize = "512"
    scsi0:0.present = "true"
    scsi0:0.fileName = "Windows 2008 AD.vmdk"
    scsi0:0.deviceType = "scsi-hardDisk"
    sched.scsi0:0.shares = "normal"
    sched.scsi0:0.throughputCap = "off"
    Seguridad en vMotion

    LAN

    vmkernel vmkernel
    vmkernel vmkernel

    Vmotion Vmotion
    ADM
    ADM ADM
    ADM
    MV0 MV1 MV2 MV3 MV0 MV1 MV2 MV3

    ADM
    ADM

    DMZ 1 DMZ 2 DMZ 1 DMZ 2


    VDS
    Firewalls virtuales

    MV0 MV1 MV2 MV3 MV2 MV3 MV2 MV3

    SRV
    SRV
    ADM
    ADM

    DMZ 1 DMZ 2 Proveedores Ent. Externas ADM


    vSwitch

    LAN
    Firewalls virtuales

    MV MV MV MV MV MV MV MV
    0 1 2 3 2 3 2 3

    DMZ 1 DMZ 2 Proveedores Ent. Externas

    ADM
    ADM

    Internet LAN ADM

    LAN
    Esquema de red virtual

    LAN

    vmkernel vmkernel
    vmkernel vmkernel

    Vmotion Vmotion
    ADM
    ADM ADM
    ADM

    LAN VDS
    MV MV MV MV MV MV MV MV ADM
    ADM 0 1 2 3 0 1 2 3

    DMZ 1 DMZ 2 DMZ 1 DMZ 2


    DMZ VDS
    Algunas consideraciones

    • Utilizar roles para segregar las tareas de


    administración.

    • Documentar adecuadamente todo el entorno

    • Implementar monitoréo de logs


    Conclusiones

    • La virtualización de redes agrega nuevos expuestos


    de seguridad, los cuales deben ser analizados.
    • Existen soluciones para implementar en entornos
    virtuales los mismos controles de seguridad de red
    que en entornos físicos.
    • La complejidad de los entornos virtuales podría
    atentar contra la seguridad del ambiente.
    • Es importante contar con buena documentación y
    personal capacitado para administrar la
    infraestructura de red virtual.
    Gracias por asistir
    a esta sesión…
    Para mayor información:

    Iván Daniel Fiedoruk

    ifiedoruk@cybsec.com

    Para descargar esta presentación visite


    www.segurinfo.org
    Los invitamos a sumarse al grupo “Segurinfo” en

    También podría gustarte