Segmentación de la redProtección frente a amenazasJuan Luis García RamblaConsultor seguridad y sistemasjlrambla@informatic...
Una visión de la realidad<br />
Introducción<br />Las redes internas de una organización están sujetas a múltiples ataques.<br />Cuanto mayor sea su tamañ...
Amenazas<br />Ataque en redes de datos.<br />Equipos inseguros y accesos no controlados.<br />Gusanos de red.<br />Ataques...
Ataques en redes de datos<br />Técnicas de Sniffing, Spoofing y Hijacking.<br />Una de las técnicas principales el Man in ...
Equipos inseguros<br />¿Se sabe realmente si quien está en la red es realmente quien debería estar?<br />Los equipos conec...
Ataques de Malware.<br />Blaster, Sasser, Slammer, Conficker… de que me suenan.<br />Aprovechan la comunicación a través d...
Divide et vinces<br />
Introducción<br />Segmentar permitirá garantizar una mejora en la seguridad y dimensionamiento para mejor velocidad.<br />...
Mecanismos de segmentación<br />División de la arquitectura en Capa 2.<br />División de la arquitectura en Capa 3.<br />Ap...
Virtual LAN<br />Las VLan vienen a proporcionar una respuesta a las planteadas anteriormente.<br />Segmentan físicamente l...
VLAN entre dispositivos<br />Las VLAN fueron ideadas originalmente para la segmentación de un dispositivo<br />La evolució...
VLAN estática<br />La configuración y pertenencia a una VLAN viene determinada por la configuración manual del administrad...
VLAN dinámicas<br />El puerto y los parámetros de la conexión, determinarán a que VLAN pertenecen<br />Existen diversos pr...
Interconexión entre Vlan<br />La conexión entre las Vlan a través de capa 3 permitirá la comunicación de las mismas.<br />...
Configuración de ACL<br />
VLAN dinámicas y el acceso a la red<br />La utilización de VLAN dinámicas permiten la extensión para garantizar el control...
Integración NAP<br />Dentro de las arquitecturas de seguridad actuales de las organizaciones, la protección de acceso a re...
Arquitectura NAP<br />System Health <br />Servers <br />Remediation <br />Servers <br />Health policy<br />Updates<br />Ne...
Autenticación 802.1x<br />Nace con la premisa de que un dispositivo de red, pueda solicitar un proceso de autenticación pa...
Not Compliant<br />Remediation<br />Servers<br />Policy Compliant<br />Como trabaja NAP <br />Active<br />Directory<br />N...
DEMO<br />ASEGURANDO UNA RED<br />GENERACION DE VLAN <br />NETWORK ACCESS PROTECTION<br />
Garantizando la seguridad en la red<br />
Protección contra ataques de MITM<br />La protección contra ataques de spoofing en capa 2 se pueden minimizar mediante la ...
Filtrado de direcciones MAC<br />Los dispositivos permiten especificar un filtro de direcciones MAC que impidan que puedan...
Vinculación Puerto-IP-MAC<br />Prevenir contra técnicas de ataques en redes de datos es uno de los objetivos en las comuni...
Vinculación Puerto-IP-MAC dinámica<br />Para reducir el esfuerzo de administración los dispositivos admiten la vinculación...
Portal Cautivo<br />Es una página Web que obliga a establecer una autenticación previa, antes de poder seguir utilizando l...
DEMO<br />PROTECCIÓN DINÁMICA DE UNA RED CONTRA MITM<br />
¿PREGUNTAS?<br />
FORMACIÓN DLINK<br />
Upcoming SlideShare
Loading in …5
×

Virtual lans segmentación segura de redes

5,541 views

Published on

Charla impartida por la empresa D-Link durante el III Curso de verano de Seguridad Informática de la UEM en Valencia.

Published in: Technology

Virtual lans segmentación segura de redes

  1. 1. Segmentación de la redProtección frente a amenazasJuan Luis García RamblaConsultor seguridad y sistemasjlrambla@informatica64.com<br />
  2. 2. Una visión de la realidad<br />
  3. 3. Introducción<br />Las redes internas de una organización están sujetas a múltiples ataques.<br />Cuanto mayor sea su tamaño, mayor será la exposición y más complejo determinar que ha podido pasar.<br />Aumentar la superficie de la red, disminuye el control que de la misma se tuviera lugar.<br />
  4. 4. Amenazas<br />Ataque en redes de datos.<br />Equipos inseguros y accesos no controlados.<br />Gusanos de red.<br />Ataques adicionales como los de impersonalización.<br />
  5. 5. Ataques en redes de datos<br />Técnicas de Sniffing, Spoofing y Hijacking.<br />Una de las técnicas principales el Man in the Middle.<br />El ataque se realiza en capa 2.<br />Permite la realización de otros ataques adicionales.<br />El sniffing en una red conmutada solo es factible mediante una técnica adicional de MITM.<br />
  6. 6. Equipos inseguros<br />¿Se sabe realmente si quien está en la red es realmente quien debería estar?<br />Los equipos conectados a la red son realmente seguros.<br />Siguen la política de seguridad de la organización.<br />El riesgo normalmente lo representan los equipos externos de la organización.<br />
  7. 7. Ataques de Malware.<br />Blaster, Sasser, Slammer, Conficker… de que me suenan.<br />Aprovechan la comunicación a través de la red de los sistemas (principalmente inseguros), para dispersarse.<br />Pueden inundar un segmento físicos, provocando la denegación de servicio.<br />Los últimos ataques de gusanos han sido programados para su cambio de comportamiento dinámico.<br />
  8. 8. Divide et vinces<br />
  9. 9. Introducción<br />Segmentar permitirá garantizar una mejora en la seguridad y dimensionamiento para mejor velocidad.<br />La segmentación de las redes pueden producirse a dos niveles:<br />Lógicas.<br />Fisicas.<br />La segmentación lógica no garantiza totalmente la seguridad.<br />
  10. 10. Mecanismos de segmentación<br />División de la arquitectura en Capa 2.<br />División de la arquitectura en Capa 3.<br />Aplicación de listas de control.<br />Controlar el acceso a redes.<br />
  11. 11. Virtual LAN<br />Las VLan vienen a proporcionar una respuesta a las planteadas anteriormente.<br />Segmentan físicamente los puertos de un dispositivos para evitar la comunicación entre ellos.<br />La generación y gestión de las VLan vendrá determinada por las necesidades de implementación de las organizaciones.<br />
  12. 12.
  13. 13. VLAN entre dispositivos<br />Las VLAN fueron ideadas originalmente para la segmentación de un dispositivo<br />La evolución y el número de dispositivos tipo Switch en las empresas requerían tecnologías mejoradas que permitieran la compartición de VLAN, entre los diferentes dispositivos<br />De esta forma una VLAN 1 y 2 podría contener puertos de un dispositivos Switch 1 y 2, independientemente de sus características<br />Esto permite una mayor flexibilidad para la generación y configuración de este tipo de redes<br />
  14. 14. VLAN estática<br />La configuración y pertenencia a una VLAN viene determinada por la configuración manual del administrador del dispositivo<br />La asignación puede darse por:<br />Puerto<br />MAC<br />Protocolo<br />Valido para entornos pequeños o de sistemas de control específicos<br />
  15. 15. VLAN dinámicas<br />El puerto y los parámetros de la conexión, determinarán a que VLAN pertenecen<br />Existen diversos protocolos para el establecimiento de VLan dinámicas<br />GVRP<br />Doble VLAN Q in Q<br />802.1Q Tagged VLAN<br />802.1V<br />La configuración de VLan vendrá precedido por el tipo de dispositivo<br />
  16. 16. Interconexión entre Vlan<br />La conexión entre las Vlan a través de capa 3 permitirá la comunicación de las mismas.<br />La aplicación de listas de control de acceso permitirá limitar el intercambio de datos bien entre equipos o por protocolos.<br />La funcionalidad de capa 2 y 3 en los dispositivos de conmutación permite el control de flujo del tráfico.<br />
  17. 17. Configuración de ACL<br />
  18. 18. VLAN dinámicas y el acceso a la red<br />La utilización de VLAN dinámicas permiten la extensión para garantizar el control de acceso a las redes.<br />El acceso a red extensible a múltiples dispositivos de red permitirá o denegará una acción a un cliente de red.<br />En el caso de los dispositivos de conmutación, el sistema permitirá determinar la pertenencia a una u otra Vlan dependiendo de la configuración de seguridad del cliente.<br />
  19. 19. Integración NAP<br />Dentro de las arquitecturas de seguridad actuales de las organizaciones, la protección de acceso a redes, constituirá un pilar básico de control.<br />Dispositivos Switch de D-LINK, permiten la integración en topologías NAP de Microsoft.<br />El Switch solicitará vía 802.1x un procedimiento de autenticación y solicitud de estado de salud.<br />Una vez revisado dicho estado, el equipo entrara en una VLAN u otra en función del mismo.<br />
  20. 20. Arquitectura NAP<br />System Health <br />Servers <br />Remediation <br />Servers <br />Health policy<br />Updates<br />Network<br />Access<br />Requests<br />Client<br />Health<br />Statements<br />Network <br />Policy Server<br />System Health Agent (SHA)<br />MS and 3rd Parties<br />Health<br />Certificate<br />System Health Validator<br />Quarantine Agent (QA)<br />Network Access Devices <br />and Servers<br />Enforcement Client (EC)<br />(DHCP, IPSec, 802.1X, VPN)<br />Quarantine Server (QS)<br />
  21. 21. Autenticación 802.1x<br />Nace con la premisa de que un dispositivo de red, pueda solicitar un proceso de autenticación para las conexiones<br />Implementa el sistema EAPOL (EAP OverLan)<br />Aunque es ampliamente conocido en las topologías de redes seguras WIFI introduce una variante de uso en las tecnologías de seguridad de acceso a redes<br />
  22. 22. Not Compliant<br />Remediation<br />Servers<br />Policy Compliant<br />Como trabaja NAP <br />Active<br />Directory<br />Network<br />Access<br />Requests<br />Windows<br />Client<br />Health<br />Statements<br />NPS<br />SHA<br />Restricted Network<br />SHV<br />QA<br />Network<br />Access<br />Devices<br />QS<br />EC<br />
  23. 23. DEMO<br />ASEGURANDO UNA RED<br />GENERACION DE VLAN <br />NETWORK ACCESS PROTECTION<br />
  24. 24. Garantizando la seguridad en la red<br />
  25. 25. Protección contra ataques de MITM<br />La protección contra ataques de spoofing en capa 2 se pueden minimizar mediante la segmentación en Vlan.<br />Sin embargo esta segmentación reduce el ataque pero no lo mitiga totalmente. Sería factible el ataque dentro de la Vlan.<br />Existen medidas alternativas:<br />Implementación Software.<br />Control en dispositivos.<br />
  26. 26. Filtrado de direcciones MAC<br />Los dispositivos permiten especificar un filtro de direcciones MAC que impidan que puedan comunicarse a través de un puerto estaciones no autorizadas<br />Aunque supone una medida preventiva no puede evaluarse como una de tipo definitiva sino como accesorias de otras para el control del acceso al medio<br />
  27. 27. Vinculación Puerto-IP-MAC<br />Prevenir contra técnicas de ataques en redes de datos es uno de los objetivos en las comunicaciones<br />Este sistema identifica IP con MAC y Puertos<br />Cualquier transmisión que no cumpla con los requisitos establecidos será descartadas<br />Mecanismo preventivo contra las técnicas de ataque tipo ARP Spoofing<br />
  28. 28.
  29. 29. Vinculación Puerto-IP-MAC dinámica<br />Para reducir el esfuerzo de administración los dispositivos admiten la vinculación IP-MAC por aprendizaje a través de DHCP.<br />
  30. 30. Portal Cautivo<br />Es una página Web que obliga a establecer una autenticación previa, antes de poder seguir utilizando la red<br />Es un paso ineludible por el usuario<br />Garantiza que la información y los servicios sean solo accesibles por usuarios autenticados<br />Permite autenticación local y RADIUS<br />
  31. 31. DEMO<br />PROTECCIÓN DINÁMICA DE UNA RED CONTRA MITM<br />
  32. 32. ¿PREGUNTAS?<br />
  33. 33. FORMACIÓN DLINK<br />

×