1 ¿Cómo desarrollar una Arquitectura de Red segura? Lic. Julio C. Ardita jardita@cybsec.com 26 de Septiembre de 2001 Buenos Aires - ARGENTINA 2 © 2001 CYBSEC ¿Cómo desarrollar una Arquitectura de Red segura? Temario - Desarrollo de una red segura. - Pasos para desarrollar e implementar una red segura. - Seguridad en redes internas. - Seguridad en redes externas. 3 © 2001 CYBSEC Desarrollo de una red segura El desarrollo de una arquitectura de red segura tiene como objetivo final la definición de un esquema de red aplicando medidas de seguridad informática, que una vez implementadas, minimizan los riesgos de una intrusión. 4 © 2001 CYBSEC Desarrollo de una red segura ¿Qué arquitectura de red podemos desarrollar? - Seguridad de la red interna. - Seguridad de un sector de la red interna. - Seguridad en el vínculo con Internet. - Seguridad en el Sistema de Comercio Electrónico. - Seguridad en la comunicación con proveedores. 5 © 2001 CYBSEC Desarrollo de una red segura ¿Por qué debo pensar en una arquitectura de red segura? Hasta hace pocos años, cuando se diseñaba una arquitectura de red, se pensaba en los protocolos de comunicaciones a utilizar, el ancho de banda, se evaluaba la saturación de la red, se definían la ubicación de los switches, se determinaba la segmentación de la red y muchas otras tareas, pero prácticamente no se le brindaba mayor importancia a la seguridad, se pensaba en función de la operatividad y funcionalidad de la red. 6 © 2001 CYBSEC Desarrollo de una red segura ¿Por qué debo pensar en una arquitectura de red segura? Debido al gran avance que hoy están teniendo la informática y las telecomunicaciones, es imprescindible aplicar técnicas para el desarrollo de arquitecturas de red seguras. La interconectividad de Empresas y Organismos ya exige un nivel de seguridad informática para la protección de la información. 7 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura Los pasos para desarrollar e implementar una red segura son: 1. Diseño de la arquitectura de red. 2. Evaluación de flujos de información. 3. Desarrollo del Plan de Implementación. 4. Implementación de la arquitectura de red segura. 5. Evaluación final de la red. 8 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 1. Diseño de la arquitectura de red En esta etapa se define la arquitectura de red a utilizar teniendo en cuenta todos los aspectos de seguridad de los componentes. Se trabaja sobre un esquema de red base pre-diseñado o se comienza a diseñar el esquema de red desde el comienzo. 9 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 1. Diseño de la arquitectura de red Durante la etapa de diseño, se deberá definir lo siguiente: - El esquema de red base a utilizar. - Los mecanismos de seguridad a nivel de red (routers, Firewalls, Sistemas de detección de intrusiones, Switches, VPN’s, etc). - Los protocolos de comunicaciones (TCP/IP, NetBios, IPX, etc). 10 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 1. Diseño de la arquitectura de red Durante la etapa de diseño, se deberá definir lo siguiente: - Los sistemas operativos a utilizar (Windows NT/2000, UNIX, AS/400, Novell, etc). - Las aplicaciones a utilizar (Bases de Datos, Web Servers, Mail Servers, DNS Server, etc). 11 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 2. Evaluación de flujos de información Una vez que se encuentra definido la arquitectura de red, se deben detectar y describir TODOS los flujos de información entre los componentes del esquema de red. Los flujos de información nos permiten visualizar gráficamente cual es el origen y el destino de los datos que viajan por la red y nos permite luego clasificarlos para determinar si son críticos o no. 12 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 2. Evaluación de flujos de información A modo de ejemplo, se puede visualizar un gráfico donde se describen los flujos de información entre los componentes. 13 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 3. Desarrollo del Plan de Implementación Como siguiente paso se deberá desarrollar el Plan de Implementación donde se definirá cuales son los pasos a seguir para realizar la correcta implementación de los componentes de la red. Se deberá incluir: - Los mecanismos de seguridad a implementar (Firewalls, Switches, Sistemas de Detección de Intrusiones, etc ) y su configuración final. 14 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 3. Desarrollo del Plan de Implementación Se deberá incluir: - La seguridad a nivel de sistema operativo de todos los equipos a instalar, incluyendo guías de instalación seguras para sistemas operativos, patches de seguridad a instalar y ajustes a realizar. - La seguridad a nivel de aplicaciones, incluyendo configuraciones de seguridad a realizar, patches a implementar y ajustes a realizar. 15 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 4. Implementación de la arquitectura de red segura Esta etapa es una de las más críticas, ya que se debe llevar a cabo la implementación real de los componentes de la arquitectura de red. Tomando como base el Plan de Implementación, se comenzará a seguirlo paso a paso. Es muy importante que el equipo de personas que trabaje en esta etapa tenga conocimientos sobre los equipos con los que se trabaja y haya participado en las otras etapas del desarrollo de la red segura. 16 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 5. Evaluación final de la red Una vez que la implementación ha finalizado, es conveniente realizar una evaluación de la seguridad de la red que se conoce como Penetration Test. Nos permite detectar vulnerabilidades en la red Informática y corregirlas en forma muy rápida y eficaz. 17 © 2001 CYBSEC Pasos para desarrollar e implementar una red segura 5. Evaluación final de la red En un Penetration Test se trata de emular y simular comportamientos y técnicas que pueden ser utilizadas por los intrusos con el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante posibles ataques. 18 © 2001 CYBSEC Seguridad en redes internas La tendencia para la protección de redes internas se basa en dos esquemas: Protección de los Servers. Monitoreo y vigilancia de la red. 19 © 2001 CYBSEC Seguridad en redes internas Protección de los Servers La Empresa debe proteger sus Servers y equipos críticos, su información de los posibles ataques que provengan de la red interna. La forma de cumplir esta tarea es la utilización de Firewalls internos, donde se definen las políticas de seguridad a implementar. 20 © 2001 CYBSEC Seguridad en redes internas Protección de los Servers Este es un ejemplo de la protección de Servers críticos en una red interna. 21 © 2001 CYBSEC Seguridad en redes internas Monitoreo y vigilancia de la red Se debe utilizar un Sistema de Detección de Intrusiones para detectar los intentos de intrusión en tiempo real dentro de la red interna de la Empresa. Los IDS funcionan como programas agentes que monitorean la red (Sniffers) en busca de actividades no autorizadas. En algunos casos se basan sobre los logs que producen los sistemas, pero también se basan sobre la información que estos agentes recaudan. 22 © 2001 CYBSEC Seguridad en redes internas Monitoreo y vigilancia de la red 23 © 2001 CYBSEC Seguridad en redes externas La tendencia para la protección de redes externas se basa en cuatro esquemas: Consolidación de conexiones externas. Seguridad en el vínculo de Internet. Acceso a aplicaciones seguras. Autenticación remota. 24 © 2001 CYBSEC Seguridad en redes externas Consolidación de conexiones externas La tendencia actual es a realizar una consolidación de todos los puntos de acceso externos de la Empresa para poder brindar una mayor protección. Una Empresa normalmente posee vínculos de comunicaciones con proveedores, con sucursales, con grandes clientes, etc. Todos estos vínculos deben juntarse en un solo punto de acceso y colocar medidas de seguridad para controlarlos. 25 © 2001 CYBSEC Seguridad en redes externas Consolidación de conexiones externas 26 © 2001 CYBSEC Seguridad en redes externas Seguridad en el vínculo de Internet Internet es el riesgo número uno de seguridad. Hoy en día es casi una obligación para una Empresa estar conectado a Internet y cada vez más se exige una mayor apertura de servicios. En la conexión a Internet se deben aplicar técnicas para diseñar la arquitectura de red de forma segura, incluyendo en el diseño zonas de DMZ, zonas internas, zonas de Internet, etc. 27 © 2001 CYBSEC Seguridad en redes externas WEB SERVER Firewall Internet Router Firewall RED INTERNA Sistema de Detección de Intrusos Server de Base de Datos 28 © 2001 CYBSEC Seguridad en redes externas Acceso a aplicaciones seguras La tendencia futura es a brindar un mecanismo para que los empleados puedan acceder en forma remota y vía Internet a las aplicaciones internas de la Empresa. Para el desarrollo de la arquitectura de red para un proyecto de este tipo se deben tener en cuenta Firewalls, IDS’s, Sistemas de validación por hardware (SecurID), Certificados digitales, etc. 29 © 2001 CYBSEC Seguridad en redes externas Autenticación remota Los mecanismos de autenticación remota cambiaron de ser solamente el USUARIO y PASSWORD a utilizar tecnologías de seguridad informáticas como ser: Certificados Digitales Personales. Autenticación biométrica. Tarjeta de autenticación. 30 © 2001 CYBSEC Conclusiones - El grado de avance de las tecnologías de la información hace necesario diseñar las redes informáticas en un entorno seguro. - Se deben tomar medidas preventivas con el fin de proteger la información sensible de una Empresa y luego aplicar técnicas de detección de intrusiones para poder frenar intentos de intrusión en tiempo real. - El perímetro de la red externo debe ser protegido de forma activa, logrando un elevado nivel de seguridad. 31 © 2001 CYBSEC Muchas gracias por acompañarnos . . . www.cybsec.com 32