Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad en redes corporativas II (PRAXITEC)

Seguridad en redes corporativas II (PRAXITEC)
II Simposio en informática, redes y comunicaciones de datos

  • Be the first to comment

  • Be the first to like this

Seguridad en redes corporativas II (PRAXITEC)

  1. 1. SEGURIDAD EN REDES CORPORATIVAS Ing. Jack Daniel Cáceres Meza jcaceres@rcp.net.pe Julio 2007 II Simposio en Informática, Redes y Comunicaciones de Datos
  2. 2. Terminales de datos conectados a computadoras centrales -mainframes, estaciones para entrada de datos, protocolos y cableado definido por el proveedor 1960’s 1970’s Mini-computadoras, estaciones especializadas para la automatización de oficinas, sistemas para control de procesos 1980’s Trabajo individual, computadoras personales, comunicaciones dial–up, demanda por redes que compartan recursos 1990’s Mensajería local, flujo de trabajo coordinado, comercio electrónico, procesos de negocio integrados, empresas necesitan interconectarse 2000’s Redes privadas virtuales, Internet , voz por Internet CARACTERÍSTICAS EVOLUCIÓN DE LAS REDES
  3. 3. Fuente: Ericsson CINTEL – Centro de Investigación de las Telecomunicaciones TRANSFORMACIÓN DE LAS INDUSTRIAS
  4. 4. CONVERGENCIA DE SOLUCIONES
  5. 5. PREPARADOS CONTRA ATAQUES DE INTRUSOS • Una vez identificadas las vulnerabilidades se deben tratar y minimizar los ___________ • Acciones: Detección, Escalamiento, Recuperación, Valoración, Prevención
  6. 6. ISO/IEC.AS/NZS 17799:2001
  7. 7. ISO/IEC.AS/NZS 17799:2001
  8. 8. Límite técnico Límite funcional Escalamiento Escalamiento ÁMBITO DE SOLUCIÓN
  9. 9. DICHOS SOBRE LA SEGURIDAD • Lo único seguro es que, con el tiempo, la seguridad informática se vuelve _____________ • Hay dos clases de ataques, el que _____________ sucedió y el que _______________ por suceder
  10. 10. PROBLEMAS EN LA SEGURIDAD 1. Login efectuado, pero PC sin atención (blanqueo, bloqueo de teclado) 2. Carga de disquete (impedir la carga) 3. Acceso a la red (Identificación, control de contraseñas) 4. Virus (software detector) 5. Capturar paquetes de datos (cifrado) 6. Datos sensibles (control de acceso, cifrado) 7. Impresoras (revisar puertos) 8. Línea remota (modems de retro– llamada, control de acceso remoto, autentificar la llamada) 9. Conexiones de red (SW de control) 10.S.O. (deshabilitar comandos peligrosos) 1 2 3 4 10 5 7 4 6 9 8
  11. 11. • La detección de fallas y el control deben ser: – Continuos – Manejados por fuentes con conocimiento – Ejecutados en el “background” – Una interrupción de prioridad cuando se requiera Alerta! ¿Help Desk? Consola de administración de la red DETECCIÓN
  12. 12. SEGURIDAD BÁSICA DE REDES • Diagnóstico • Herramientas (ping, nslookup, tracert, arp) • Método (diagrama de flujo, checklist, orden, experiencia) • Algunas formas de protección: • Segmentación de la red • L3 switching/routing • IEEE802.1Q: VLAN Seguridad de infraestructura Seguridad lógica Seguridad física ¿Qué protege?Concepto
  13. 13. Internet Análisis de tráfico Gestión Estándares Router Anti-Virus Anti-Spam Filtro de Contenido Firewall VPN Conexión VPN segura Oficina Remota Router LAN del Cliente Usuario Remoto Conexión VPN segura OTROS REQUERIMIENTOS DE SEGURIDAD
  14. 14. BENEFICIOS DE LA SEGMENTACIÓN • Ordenamiento de la red • Reducción de riesgos de seguridad • Proteger computadoras, servidores y servicios • Aislamiento del tráfico entre segmentos • Reducir dominios de colisión • Diferenciación de servicios o servidores • Correo, intranet, dominio • Personalización o asignación de servicios • Proxy (filtro), internet (canal de salida, ancho de banda), correo (SMTP)
  15. 15. AYUDAS PARA LA SEGMENTACIÓN • Ámbito = f(netmask –máscara de red) • Dirección de red = dirección IP inicial • Dirección de broadcast = dirección IP final • Número de redes = 2 número de 1’s en netmask • Número de hosts = 2 número de 0’s en netmask • Control = f(DHCP –Dynamic Host Control Protocol)
  16. 16. CLASES • División por clases (primer octeto) • A = 1-126 0xxx Máscara = 255.0.0.0 • B = 128-191 10xx Máscara = 255.255.0.0 • C = 192-223 110x Máscara = 255.255.255.0 • D = 1110 • E = 1111 • Reservas • Pruebas internas: • 127.0.0.1 • Direcciones privadas: • 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
  17. 17. EJEMPLOS • Escenario 1 • Segmentos requeridos: 5 • Número máximo de hosts x segmento: 5,000 • Dirección de red: 152.77.0.0 • Máscara de red propuesta: 255.255.224.0 • Número de subnets soportadas: 6 • Número máximo de hosts x subnet: 8,190
  18. 18. EJEMPLO DE UNA RED
  19. 19. SUPERNETTING • CIDR (Classless InterDomain Routing) • VLSM (Variable Length Subnet Masking) • Unir clases consecutivas (Clases C) • Dividir ahorrando direcciones IP • Primera clase debe ser divisible por dos • /13 = 2048 clases C a /27 = 1/8 de clase C
  20. 20. EJEMPLO
  21. 21. VIRTUAL LAN -VLAN • Red de computadores que se comportan como si estuviesen conectados al mismo cable, aunque pueden estar en realidad conectados físicamente a diferentes segmentos de una LAN • Algunos tipos: • VLAN basada en puerto • VLAN basada en MAC • VLAN basada en protocolo • VLAN ATM –utiliza el protocolo LAN Emulation (LANE) • VLAN por subredes de IP • VLAN definida por el usuario
  22. 22. EJEMPLO
  23. 23. Fuente: Microsoft
  24. 24. ADMINISTRADOR DE ANCHO DE BANDA  Gestión del ancho de banda  Clasifica y prioriza el tráfico de Internet  Atención a requerimientos del usuario
  25. 25. FILTRO DE CONTENIDO  ¿Quién navega en mi red, cuándo y a qué hora navega, desde qué computadora y hacia dónde navega?  ¿Quién efectúa descargas en mi red, qué descarga, cuándo y a qué hora efectúa las descargas, desde qué computadora efectúa las descargas, de qué tamaño son las descargas?  ¿Cuál es el nivel de concurrencia y de consumo en el servicio Internet?
  26. 26. FILTRO DE CONTENIDO  Operación transparente para el usuario  Gestión y control: ❐ Para el acceso a ciertas páginas Web ❐ Para la descarga de ciertos archivos  Atención a políticas autorizadas por la empresa
  27. 27.  ¿Por qué experimento lentitud en mi red?  ¿Necesito invertir en mayor ancho de banda?  ¿Cómo puedo identificar amenazas a la seguridad de mi red?  ¿Quién genera tráfico en Internet, cuándo y a qué hora se genera el tráfico, desde qué computadora se genera el tráfico?  ¿Cuál es el nivel de concurrencia en el servicio Internet? ANÁLISIS DEL TRÁFICO DE LA RED CONTENIDO
  28. 28. ANÁLISIS DEL TRÁFICO DE LA RED CONTENIDO  Operación transparente para el usuario  Gestión y control: ❐ Captura de datos ❐ Análisis  Atención a políticas autorizadas por la empresa  Herramientas: ❐ Ethereal/tethereal ❐ Tcpdump/Windump ❐ Ntop
  29. 29. FACTORES CRÍTICOS PARA SEGURIDAD DE LAS REDES • Contar con la tecnología correcta • Ser paranoicos es bueno pero ... control, criterio, flexibilidad • Ser adaptable: dividir, segmentar, conmutar • Utilizar el protocolo apropiado para el tráfico pensado • Diseñar servicios para el monitoreo y mantenimiento -SNMP • Asegurar la adecuada expansión -TCO/CTP • Capacitar a los usuarios -capacitar, capacitar ... • Proveer soporte inmediato -ISO 20000_2 (ITIL) • Gestión -ISO 27002 (ISO17799:2001) • Mantener en alto la confiabilidad de la red -SLA/ANS • Proveer un servicio de soporte que realmente responda a las necesidades del negocio -SLA/ANS
  30. 30. BIBLIOGRAFÍA • http://www.redbooks.ibm.com/redbooks/pdfs/sg244986.pdf • http://www.oreilly.com/catalog/wintcp/chapter/ch11.html • http://www.mis.ntpu.edu.tw/academe/91_2/IS/security01.ppt • http://www.itu.int/ITU-T/worksem/hnhs/conclusions/S5_KN_conclusion.ppt • http://www.iso-17799.com/ • http://www.tcpipguide.com/free/t_IPVariableLengthSubnetMaskingVLSM-3.htm • http://public.pacbell.net/dedicated/cidr.html • http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/switc • http://www.ietf.org/

×