Seguridad Perimetral en Infraestructuras de Red Ing. Marco Antonio Sotelo Monge Temas Introducción Defensa en profu
Views 44 Downloads 0 File size 1MB
Seguridad Perimetral en Infraestructuras de Red
Ing. Marco Antonio Sotelo Monge
Temas Introducción Defensa en profundidad Uso del cortafuegos para proteger a los clientes Protección de redes inalámbricas Protección de comunicaciones mediante IPSec Alineamiento a estándares de seguridad y gestión de TI
Defensa en profundidad
El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los
intrusos
Datos
Red interna
ACL, cifrado Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Segmentos de red
Perimetral
Servidores de seguridad
Aplicación Host
Seguridad física Directivas, procedimientos y concienciación
Guardias de seguridad, bloqueos Programas de aprendizaje para los usuarios
Propósito y limitaciones de las defensas de perímetro
Los servidores de seguridad y enrutadores de borde configurados correctamente constituyen la piedra angular de la seguridad del perímetro Internet
Servidor de seguridad
Propósito y limitaciones de las defensas de perímetro
Los servidores de seguridad tradicionales con filtrado de paquetes sólo bloquean los puertos de red y las direcciones de los equipos
Las redes VPN han debilitado el perímetro y, junto con las redes inalámbricas, han ocasionado, esencialmente, la desaparición del concepto tradicional de perímetro de red
Las defensas de los clientes bloquean los ataques que omiten las defensas del perímetro o que se originan en la red interna
Propósito y limitaciones de las defensas de los clientes
Las defensas de los clientes incluyen, entre otras: Refuerzo de la seguridad del sistema operativo Programas antivirus Servidores de seguridad personales
Las defensas de los clientes requieren que se configuren muchos equipos
Información general sobre las conexiones de perímetro Socio comercial
Oficina principal
LAN
LAN
Internet Los perímetros de red incluyen conexiones a: Internet Sucursales Socios comerciales Usuarios remotos Redes inalámbricas Aplicaciones de Internet
Sucursal Usuario remoto
Red inalámbrica LAN
Diseño del servidor de seguridad: de triple interfaz Internet
Subred protegida
Servidor de seguridad
LAN
Diseño del servidor de seguridad: de tipo opuesto con opuesto Internet
Subred protegida
Externa Servidor de seguridad Interna Servidor de seguridad
LAN
Contra qué NO protegen los servidores de seguridad
Tráfico peligroso que atraviesa los puertos abiertos y no es inspeccionado en el nivel de aplicación por el servidor de seguridad Tráfico que atraviesa un túnel o sesión cifrados Ataques que se producen una vez que se ha entrado en una red Tráfico que parece legítimo Usuarios y administradores que intencionada o accidentalmente instalan virus Administradores que utilizan contraseñas poco seguras
Servidores de seguridad de software y de hardware Factores de decisión
Descripción
Flexibilidad
La actualización de las vulnerabilidades y revisiones más recientes suele ser más fácil con servidores de seguridad basados en software.
Extensibilidad
Muchos servidores de seguridad de hardware sólo permiten una capacidad de personalización limitada.
Elección de proveedores
Los servidores de seguridad de software permiten elegir entre hardware para una amplia variedad de necesidades y no se depende de un único proveedor para obtener hardware adicional.
Costo
El precio de compra inicial para los servidores de seguridad de hardware podría ser inferior. Los servidores de seguridad de software se benefician del menor costo de las CPU. El hardware se puede actualizar fácilmente y el hardware antiguo se puede reutilizar.
Complejidad
Los servidores de seguridad de hardware suelen ser menos complejos.
Disponibilidad global
El factor de decisión más importante es si un servidor de seguridad puede realizar las tareas necesarias. Con frecuencia, la diferencia entre los servidores de hardware y de software no resulta clara.
Tipos de funciones de los servidores de seguridad
Filtrado de paquetes Enrutamiento NAT Inspección de estado Inspección del nivel de aplicación Internet
Inspección multinivel (Incluido el filtrado del nivel de aplicación)
Protección de los servidores Web
Reglas de publicación en Web
Para proteger de ataques externos a los servidores Web que se encuentran detrás de los servidores de seguridad, inspeccione el tráfico HTTP y compruebe que su formato es apropiado y cumple los estándares
Inspección del tráfico SSL
Descifra e inspecciona las solicitudes Web entrantes cifradas para comprobar que su formato es apropiado y que cumple los estándares Si se desea, volverá a cifrar el tráfico antes de enviarlo al servidor Web
Tráfico que omite la inspección de los servidores de seguridad Los túneles SSL atraviesan los servidores de seguridad tradicionales porque este tipo de tráfico está cifrado, lo que permite a los virus y gusanos pasar sin ser detectados e infectar los servidores internos El tráfico VPN se cifra y no se puede inspeccionar El tráfico de Instant Messenger (IM) no se suele inspeccionar y podría utilizarse para transferir archivos
Inspección de todo el tráfico
Utilice sistemas de detección de intrusos y otros mecanismos para inspeccionar el tráfico VPN una vez descifrado Recuerde: defensa en profundidad
Utilice un servidor de seguridad que pueda inspeccionar el tráfico SSL Expanda las capacidades de inspección del servidor de seguridad
Utilice complementos para el servidor de seguridad que
permitan inspeccionar el tráfico de IM
Recomendaciones
Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica
Configure reglas de publicación en Web para conjuntos de destinos específicos
Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red
Recomendaciones
Utilice reglas de acceso que únicamente permitan las solicitudes que se admitan de forma específica
Configure reglas de publicación en Web para conjuntos de destinos específicos
Utilice la inspección de SSL para inspeccionar los datos cifrados que entren en la red
Seguridad en redes inalámbricas
Esquemas avanzados de autenticación: EAPTLS, EAP-TTLS, PEAP
Gracias