¿Cómo desarrollar una Arquitectura de Red segura?

Anuncio
1
¿Cómo desarrollar una
Arquitectura de Red segura?
Lic. Julio C. Ardita
jardita@cybsec.com
26 de Septiembre de 2001
Buenos Aires - ARGENTINA
2
© 2001 CYBSEC
¿Cómo desarrollar una Arquitectura de Red segura?
Temario
- Desarrollo de una red segura.
- Pasos para desarrollar e implementar una red segura.
- Seguridad en redes internas.
- Seguridad en redes externas.
3
© 2001 CYBSEC
Desarrollo de una red segura
El desarrollo de una arquitectura de red segura tiene
como objetivo final la definición de un esquema
de red aplicando medidas de seguridad informática,
que una vez implementadas, minimizan los riesgos
de una intrusión.
4
© 2001 CYBSEC
Desarrollo de una red segura
¿Qué arquitectura de red podemos desarrollar?
- Seguridad de la red interna.
- Seguridad de un sector de la red interna.
- Seguridad en el vínculo con Internet.
- Seguridad en el Sistema de Comercio Electrónico.
- Seguridad en la comunicación con proveedores.
5
© 2001 CYBSEC
Desarrollo de una red segura
¿Por qué debo pensar en una arquitectura de red segura?
Hasta hace pocos años, cuando se diseñaba una arquitectura de
red, se pensaba en los protocolos de comunicaciones a utilizar,
el ancho de banda, se evaluaba la saturación de la red, se definían
la ubicación de los switches, se determinaba la segmentación de
la red y muchas otras tareas, pero prácticamente no se le brindaba
mayor importancia a la seguridad, se pensaba en función de la
operatividad y funcionalidad de la red.
6
© 2001 CYBSEC
Desarrollo de una red segura
¿Por qué debo pensar en una arquitectura de red segura?
Debido al gran avance que hoy están teniendo la informática y las
telecomunicaciones, es imprescindible aplicar técnicas para el
desarrollo de arquitecturas de red seguras.
La interconectividad de Empresas y Organismos ya exige un nivel
de seguridad informática para la protección de la información.
7
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
Los pasos para desarrollar e implementar una red segura son:
1. Diseño de la arquitectura de red.
2. Evaluación de flujos de información.
3. Desarrollo del Plan de Implementación.
4. Implementación de la arquitectura de red segura.
5. Evaluación final de la red.
8
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
1. Diseño de la arquitectura de red
En esta etapa se define la arquitectura de red a utilizar teniendo en
cuenta todos los aspectos de seguridad de los componentes.
Se trabaja sobre un esquema de red base
pre-diseñado o se comienza a diseñar el
esquema de red desde el comienzo.
9
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
1. Diseño de la arquitectura de red
Durante la etapa de diseño, se deberá definir lo siguiente:
- El esquema de red base a utilizar.
- Los mecanismos de seguridad a nivel de red (routers, Firewalls,
Sistemas de detección de intrusiones, Switches, VPN’s, etc).
- Los protocolos de comunicaciones (TCP/IP, NetBios, IPX, etc).
10
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
1. Diseño de la arquitectura de red
Durante la etapa de diseño, se deberá definir lo siguiente:
- Los sistemas operativos a utilizar (Windows NT/2000, UNIX,
AS/400, Novell, etc).
- Las aplicaciones a utilizar (Bases de Datos, Web Servers, Mail
Servers, DNS Server, etc).
11
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
2. Evaluación de flujos de información
Una vez que se encuentra definido la arquitectura de red, se deben
detectar y describir TODOS los flujos de información entre los
componentes del esquema de red.
Los flujos de información nos permiten visualizar gráficamente cual
es el origen y el destino de los datos que viajan por la red y nos
permite luego clasificarlos para determinar si son críticos o no.
12
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
2. Evaluación de flujos de información
A modo de ejemplo,
se puede visualizar
un gráfico donde se
describen los flujos
de información entre
los componentes.
13
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
3. Desarrollo del Plan de Implementación
Como siguiente paso se deberá desarrollar el Plan de Implementación
donde se definirá cuales son los pasos a seguir para realizar la correcta
implementación de los componentes de la red.
Se deberá incluir:
- Los mecanismos de seguridad a implementar (Firewalls, Switches,
Sistemas de Detección de Intrusiones, etc ) y su configuración final.
14
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
3. Desarrollo del Plan de Implementación
Se deberá incluir:
- La seguridad a nivel de sistema operativo de todos los equipos a
instalar, incluyendo guías de instalación seguras para sistemas
operativos, patches de seguridad a instalar y ajustes a realizar.
- La seguridad a nivel de aplicaciones, incluyendo configuraciones
de seguridad a realizar, patches a implementar y ajustes a realizar.
15
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
4. Implementación de la arquitectura de red segura
Esta etapa es una de las más críticas, ya que se debe llevar a cabo la
implementación real de los componentes de la arquitectura de red.
Tomando como base el Plan de Implementación, se comenzará a
seguirlo paso a paso.
Es muy importante que el equipo de personas que trabaje en esta
etapa tenga conocimientos sobre los equipos con los que se trabaja y
haya participado en las otras etapas del desarrollo de la red segura.
16
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
5. Evaluación final de la red
Una vez que la implementación ha finalizado, es conveniente
realizar una evaluación de la seguridad de la red que se conoce
como Penetration Test.
Nos permite detectar vulnerabilidades en la red Informática
y corregirlas en forma muy rápida y eficaz.
17
© 2001 CYBSEC
Pasos para desarrollar e implementar una red segura
5. Evaluación final de la red
En un Penetration Test se trata de emular y simular
comportamientos y técnicas que pueden ser utilizadas por
los intrusos con el objetivo de analizar el nivel de seguridad
y la exposición de los sistemas ante posibles ataques.
18
© 2001 CYBSEC
Seguridad en redes internas
La tendencia para la protección de redes internas
se basa en dos esquemas:
Protección de los Servers.
Monitoreo y vigilancia de la red.
19
© 2001 CYBSEC
Seguridad en redes internas
Protección de los Servers
La Empresa debe proteger sus Servers y equipos críticos, su
información de los posibles ataques que provengan de la red
interna.
La forma de cumplir esta tarea es la utilización de Firewalls
internos, donde se definen las políticas de seguridad a
implementar.
20
© 2001 CYBSEC
Seguridad en redes internas
Protección de los Servers
Este es un ejemplo
de la protección de
Servers críticos en
una red interna.
21
© 2001 CYBSEC
Seguridad en redes internas
Monitoreo y vigilancia de la red
Se debe utilizar un Sistema de Detección de Intrusiones para detectar
los intentos de intrusión en tiempo real dentro de la red interna de la
Empresa.
Los IDS funcionan como programas agentes que monitorean la red
(Sniffers) en busca de actividades no autorizadas. En algunos
casos se basan sobre los logs que producen los sistemas, pero
también se basan sobre la información que estos agentes recaudan.
22
© 2001 CYBSEC
Seguridad en redes internas
Monitoreo y vigilancia de la red
23
© 2001 CYBSEC
Seguridad en redes externas
La tendencia para la protección de redes externas
se basa en cuatro esquemas:
Consolidación de conexiones externas.
Seguridad en el vínculo de Internet.
Acceso a aplicaciones seguras.
Autenticación remota.
24
© 2001 CYBSEC
Seguridad en redes externas
Consolidación de conexiones externas
La tendencia actual es a realizar una consolidación de todos los
puntos de acceso externos de la Empresa para poder brindar una
mayor protección.
Una Empresa normalmente posee vínculos de comunicaciones
con proveedores, con sucursales, con grandes clientes, etc.
Todos estos vínculos deben juntarse en un solo punto de acceso
y colocar medidas de seguridad para controlarlos.
25
© 2001 CYBSEC
Seguridad en redes externas
Consolidación de conexiones externas
26
© 2001 CYBSEC
Seguridad en redes externas
Seguridad en el vínculo de Internet
Internet es el riesgo número uno de seguridad. Hoy en día es casi
una obligación para una Empresa estar conectado a Internet y cada
vez más se exige una mayor apertura de servicios.
En la conexión a Internet se deben aplicar técnicas para diseñar
la arquitectura de red de forma segura, incluyendo en el diseño
zonas de DMZ, zonas internas, zonas de Internet, etc.
27
© 2001 CYBSEC
Seguridad en redes externas
WEB
SERVER
Firewall
Internet
Router
Firewall
RED
INTERNA
Sistema de
Detección
de Intrusos
Server de
Base de Datos
28
© 2001 CYBSEC
Seguridad en redes externas
Acceso a aplicaciones seguras
La tendencia futura es a brindar un mecanismo para que los
empleados puedan acceder en forma remota y vía Internet a
las aplicaciones internas de la Empresa.
Para el desarrollo de la arquitectura de red para un proyecto
de este tipo se deben tener en cuenta Firewalls, IDS’s, Sistemas
de validación por hardware (SecurID), Certificados digitales, etc.
29
© 2001 CYBSEC
Seguridad en redes externas
Autenticación remota
Los mecanismos de autenticación remota cambiaron de ser
solamente el USUARIO y PASSWORD a utilizar tecnologías
de seguridad informáticas como ser:
Certificados Digitales Personales.
Autenticación biométrica.
Tarjeta de autenticación.
30
© 2001 CYBSEC
Conclusiones
- El grado de avance de las tecnologías de la información hace
necesario diseñar las redes informáticas en un entorno seguro.
- Se deben tomar medidas preventivas con el fin de proteger la
información sensible de una Empresa y luego aplicar técnicas
de detección de intrusiones para poder frenar intentos de
intrusión en tiempo real.
- El perímetro de la red externo debe ser protegido de forma activa,
logrando un elevado nivel de seguridad.
31
© 2001 CYBSEC
Muchas gracias
por acompañarnos . . .
www.cybsec.com
32
Descargar