Seguridad Perimetral en Infraestructuras de Red

Ing. Marco Antonio Sotelo Monge

Temas
Introduccin Defensa en profundidad Uso del cortafuegos para proteger a los clientes Proteccin de redes inalmbricas Proteccin de comunicaciones mediante IPSec Alineamiento a estndares de seguridad y gestin de TI

Defensa en profundidad

El uso de una solucin en niveles:

Aumenta la posibilidad de que se detecten los

intrusos

Datos Aplicacin Host Red interna Perimetral Seguridad fsica Directivas, procedimientos y concienciacin

ACL, cifrado Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administracin de actualizaciones, autenticacin, HIDS Segmentos de red

Servidores de seguridad
Guardias de seguridad, bloqueos Programas de aprendizaje para los usuarios

Propsito y limitaciones de las defensas de permetro

Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del permetro
Internet

Servidor de seguridad

Propsito y limitaciones de las defensas de permetro

Los servidores de seguridad tradicionales con filtrado de paquetes slo bloquean los puertos de red y las direcciones de los equipos
Las redes VPN han debilitado el permetro y, junto con las redes inalmbricas, han ocasionado, esencialmente, la desaparicin del concepto tradicional de permetro de red

Las defensas de los clientes bloquean los ataques que omiten las defensas del permetro o que se originan en la red interna

Propsito y limitaciones de las defensas de los clientes

Las defensas de los clientes incluyen, entre otras:

Refuerzo de la seguridad del sistema operativo Programas antivirus Servidores de seguridad personales

Las defensas de los clientes requieren que se configuren muchos equipos

Informacin general sobre las conexiones de permetro

Socio comercial Oficina principal
LAN LAN

Internet
Los permetros de red incluyen conexiones a: Internet Sucursales Socios comerciales Usuarios remotos Redes inalmbricas Aplicaciones de Internet
Sucursal Usuario remoto
Red inalmbrica LAN

Diseo del servidor de seguridad: de triple interfaz

Internet Subred protegida

Servidor de seguridad

LAN

Diseo del servidor de seguridad: de tipo opuesto con opuesto

Internet Subred protegida

Externa Servidor de seguridad Interna Servidor de seguridad

LAN

Contra qu NO protegen los servidores de seguridad

Trfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicacin por el servidor de seguridad Trfico que atraviesa un tnel o sesin cifrados Ataques que se producen una vez que se ha entrado en una red Trfico que parece legtimo Usuarios y administradores que intencionada o accidentalmente instalan virus Administradores que utilizan contraseas poco seguras

Servidores de seguridad de software y de hardware

Factores de decisin Flexibilidad Descripcin La actualizacin de las vulnerabilidades y revisiones ms recientes suele ser ms fcil con servidores de seguridad basados en software.

Extensibilidad
Eleccin de proveedores

Muchos servidores de seguridad de hardware slo permiten una capacidad de personalizacin limitada.
Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un nico proveedor para obtener hardware adicional. El precio de compra inicial para los servidores de seguridad de hardware podra ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fcilmente y el hardware antiguo se puede reutilizar. Los servidores de seguridad de hardware suelen ser menos complejos. El factor de decisin ms importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.

Costo

Complejidad Disponibilidad global

Tipos de funciones de los servidores de seguridad

Filtrado de paquetes Enrutamiento NAT Inspeccin de estado Inspeccin del nivel de aplicacin
Internet

Inspeccin multinivel (Incluido el filtrado del nivel de aplicacin)

Proteccin de los servidores Web

Reglas de publicacin en Web

Para proteger de ataques externos a los servidores Web que se encuentran detrs de los servidores de seguridad, inspeccione el trfico HTTP y compruebe que su formato es apropiado y cumple los estndares

Inspeccin del trfico SSL

Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estndares Si se desea, volver a cifrar el trfico antes de enviarlo al servidor Web

Trfico que omite la inspeccin de los servidores de seguridad

Los tneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de trfico est cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos El trfico VPN se cifra y no se puede inspeccionar El trfico de Instant Messenger (IM) no se suele inspeccionar y podra utilizarse para transferir archivos

Inspeccin de todo el trfico

Utilice sistemas de deteccin de intrusos y otros mecanismos para inspeccionar el trfico VPN una vez descifrado
Recuerde: defensa en profundidad

Utilice un servidor de seguridad que pueda inspeccionar el trfico SSL Expanda las capacidades de inspeccin del servidor de seguridad

Utilice complementos para el servidor de seguridad que

permitan inspeccionar el trfico de IM

Recomendaciones

Utilice reglas de acceso que nicamente permitan las solicitudes que se admitan de forma especfica Configure reglas de publicacin en Web para conjuntos de destinos especficos Utilice la inspeccin de SSL para inspeccionar los datos cifrados que entren en la red

Recomendaciones

Utilice reglas de acceso que nicamente permitan las solicitudes que se admitan de forma especfica Configure reglas de publicacin en Web para conjuntos de destinos especficos Utilice la inspeccin de SSL para inspeccionar los datos cifrados que entren en la red

Seguridad en redes inalmbricas

Esquemas avanzados de autenticacin: EAPTLS, EAP-TTLS, PEAP

Gracias