Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión...
Transcript of Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión...
![Page 1: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/1.jpg)
Arquitectura de Seguridad II
Jorge Luis Ojeda
RealNet, S.A. de C.V.
Módulo III 2009
Arquitectura de Seguridad II 1
Infraestructura
Correo: [email protected]
![Page 2: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/2.jpg)
Temario (Infraestrutura de seguridad)
• Firewall y VPN -IP Sec y SSL- (Teoría y demo)
• IDS, IPS, UTM, Correlación de eventos (Teoría, demo)
• Mecanismos de autenticación y Biométricos. (Teoría, sesión plática)
• Asegurando Redes Inalámbricas (WLAN) (Teoría y demo)
• Administracion de Vulnerabilidades y usuarios moviles.
• Arquitecturas emergentes de seguridad –NAC, VOIP-(Teoría)
• DLP, NBA y Nuevas tecnologías de seguridad (Teoría)
• Ultima sesión proyecto de seguridad.
Arquitectura de Seguridad II 2
![Page 3: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/3.jpg)
Evaluación del módulo III:
• Lecturas.
• Participación
• Desarrollo de mini proyecto integral
Arquitectura de Seguridad II 3
![Page 4: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/4.jpg)
Conceptos y principios de
seguridad• Necesidades
• Los ataques informáticos han incrementado tanto en
número como en complejidad.
• Día a día son descubiertas nuevas vulnerabilidades
en los sistemas de informáticos.
• Las redes corporativas son el principal objetivo y en
cualquier momento pueden ser motivo de algún tipo
de ataque.
Arquitectura de Seguridad II 4
![Page 5: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/5.jpg)
Conceptos y principios de seguridad
• Internas
– Empleados mal intencionados
– Acceso a información privilegiada indebida
– ¿Eliminación accidental de información?
– Abuso de servicios de internet
• Externas
– Ataque al servidor de Web, correo, FTP, BD,
DNS, etc.
– Acceso a información privilegiada por la
competencia
– Negación de ServicioArquitectura de Seguridad II 5
![Page 6: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/6.jpg)
Conceptos y principios de seguridad
• Algunos tipos de ataques.
– Back door (Activo)
– SYN Attack (Activo)
– Spoofing (Pasivo, Activo)
– Port Scanning (Pasivo)
– Login Failure (Activo, Pasivo)
– Land Attack (Activo)
– Múltiples conexiones sucesivas (DDoS, Zombies, smurf) (Activo)
– Alertas sucesivas, gusanos, virus,
(((Activos)))
Arquitectura de Seguridad II 6
![Page 7: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/7.jpg)
Conceptos y principios de seguridad
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
Arquitectura de Seguridad II 7
Red insegura
![Page 8: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/8.jpg)
Firewalls
• Primer esquema de protección “externa”
• Sirve para protegernos de ataques o
acceso indebidos de usuarios “externos”
• Hardware o software de protección con al
menos 2 tarjetas de red.
• Dispositivos cuya finalidad principal es
brindar seguridad.
Arquitectura de Seguridad II 8
![Page 9: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/9.jpg)
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
Arquitectura de Seguridad II 9
Red seguridad Externa (Perimetral)
![Page 10: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/10.jpg)
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
DMZ
Arquitectura de Seguridad II 10
Red con DMZ (Divide y vencerás)
![Page 11: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/11.jpg)
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
DMZ
Arquitectura de Seguridad II 11
Red con doble seguridad y DMZ
![Page 12: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/12.jpg)
FirewallsTipos: Filtro de paquetes
• Los paquetes son examinados a nivel red
• Util como “primera línea” de defensa-
comúnmente utilizado en los routers
• Modelo de decisión simple: acepta o
rechaza
Arquitectura de Seguridad II 12
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
![Page 13: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/13.jpg)
FirewallsTipos: Filtro de paquetes
• No hay conocimiento de las capas superiores
• No mantienen el estado de las comunicaciones.
• Relativamente fácil de violar
• Utiliza lista de accesos para examinar.
• - Dirección IP origen/destino
• - Numero de protocolo
• - Puerto origen/destino
• - Etiqueta de comprobación
Arquitectura de Seguridad II 13
![Page 14: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/14.jpg)
Firewalls Tipos: Filtro de
paquetes• Ejemplo: Cisco Pix, o Linux ip chains o TCP
wrappers.
Arquitectura de Seguridad II 14
Cisco Pix
Cisco Router
ipfwadm
![Page 15: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/15.jpg)
Firewalls Tipos: Filtro de
paquetes• Cisco Router • access-list 101 deny ip 127.0.0.0 0.255.255.255 any
• access-list 101 deny ip 10.0.0.0 0.255.255.255 any
• access-list 101 deny ip 172.16.0.0 0.15.255.255 any
• access-list 101 deny ip 192.168.0.0 0.0.255.255 any
• access-list 101 deny ip any 0.0.0.255 255.255.255.0
• access-list 101 deny ip any 0.0.0.0 255.255.255.0
• access-list 101 deny ip 195.55.55.0 0.0.0.255
• access-list 101 permit tcp any any established
• access-list 101 permit tcp any host 195.55.55.10 eq smtp
• access-list 101 permit tcp any host 195.55.55.10 eq dns
Arquitectura de Seguridad II 15
![Page 16: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/16.jpg)
Firewalls- Application
Gateway o Proxy• Los paquetes se examinan en la capa de aplicación
• Es posible filtraje de Aplicación/Contenido – prevenir
comandos “put” de FTP, por ejemplo.
• Performance muy pobre
• Escalabilidad limitada
Arquitectura de Seguridad II 16
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
![Page 17: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/17.jpg)
Firewalls- Stateful
Inspection• Los paquetes se inspeccionan entre la capa de enlace y de red, en el Kernel del Sistema Operativo
• Se crean tablas de estados para mantener información de contexto
• Tecnología desarrollada y patentada por Check Point
Arquitectura de Seguridad II 17
INSPECT Engine Dynamic State TablesDynamic
State TablesTablas Dinámicas de
Estado
Enlace
Física
Red
Presentación
Sesión
Transporte
Aplicación
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
Aplicación
Presentación
Sesión
Transporte
Enlace
Física
Red
![Page 18: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/18.jpg)
Firewalls- Stateful
Inspection
Opcional:
Registro/alerta
Paquete recibido
¿El pkt
coincide
con
regla?
¿Hay
mas
reglas?La regla
permite pasar
el pktRechazar
pkt
Enviar NACK
SI
NOSI
NONO
Arquitectura de Seguridad II 18
Enlace
Física
Red
Presentación
Sesión
Transporte
Aplicación
¿Cómo funciona el Stateful Inspection?
Análisis Inbound (entrada)
![Page 19: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/19.jpg)
Firewalls- Stateful
Inspection
Opcional:
Registro/alerta
Paquete recibido
¿El pkt
coincide
con
regla?
¿Hay
mas
reglas?La regla
permite pasar
el pktRechazar
pkt
Enviar NACK
SI
NOSI
NONO
Arquitectura de Seguridad II 19
Enlace
Física
Red
Presentación
Sesión
Transporte
Aplicación
¿Cómo funciona el Stateful Inspection?
Análisis Outbound (salida)
![Page 20: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/20.jpg)
Firewalls- Stateful
Inspection• Ejemplo de sistemas de Stateful Inspection
• Check Point
• Sonic Wall
• Netscreen
• Stonegate
• Symantec
• Fortinet
• Secure Point Arquitectura de Seguridad II 20
![Page 21: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/21.jpg)
FW - Stateful Inspection• Sonic Wall
Arquitectura de Seguridad II 21
![Page 22: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/22.jpg)
FW - Stateful Inspection
Arquitectura de Seguridad II 22
Check Point Software
![Page 23: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/23.jpg)
FW - Stateful Inspection
• Netscreen
Arquitectura de Seguridad II 23
![Page 24: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/24.jpg)
FW - NAT
• NAT - Traducción de direcciones de red
(Network Address Translation)
• Existen 2 tipos de NAT mas un PAT ( Port
Address Translation)
• Sirve para esconder las direcciones ip
internas al exterior.
• Redes comunes internas no ruteables:• 192.168.X.X
• 10.X.X.X
• 172.16.X.XArquitectura de Seguridad II 24
![Page 25: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/25.jpg)
FW - NAT
¿Por qué se requiere el NAT?
• Seguridad
– Ocultamiento de topología de red
– Restricciones de acceso
– Control de acceso a servicios desde afuera
• Administración
– Ocultamiento de topología de la red
– Con un pequeño número de direcciones, podemos hacer uso de
varios servicios en una red pública (Internet)
– Administración interna más sencilla
– Conexión con otras redes
Arquitectura de Seguridad II 25
![Page 26: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/26.jpg)
Tipos de NAT
• NAT Static
– Relación uno a uno
– Los puertos se conservan, pero se traducen las direcciones
– Usualmente sirve para dar acceso desde “afuera” hacia servicios
ofrecidos internamente.
– Para cierto tipo de servicios que requieren una dirección válida
inclusive para “salir”, es útil tener este tipo de esquemas
Arquitectura de Seguridad II 26
![Page 27: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/27.jpg)
FW- Tipos de NAT
• NAT Static
Arquitectura de Seguridad II 27
Uno a uno
![Page 28: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/28.jpg)
FW- Tipos de NAT
• Check Point NAT Static
Arquitectura de Seguridad II 28
![Page 29: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/29.jpg)
FW- Tipos de NAT
• Sonic Wall Nat Static
Arquitectura de Seguridad II 29
![Page 30: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/30.jpg)
FW- Tipos de NAT• Cisco Pix Nat Static
• **********
• NAT static para 3 servidores
• **********
• static (inside,outside) 200.200.200.252 192.9.200.73 netmask
255.255.255.255 1000 1000
• static (inside,outside) 200.200.200.253 192.9.200.75 netmask
255.255.255.255 1000 1000
• static (inside,outside) 200.200.200.254 192.9.200.56 netmask
255.255.255.255 1000 1000
Arquitectura de Seguridad II 30
![Page 31: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/31.jpg)
FW- Tipos de NAT
• Hide
– También conocido como “NAT dinámico”
– Relación muchos a uno
– En realidad es una traducción de puertos
– Usualmente sirve para dar acceso a
navegación a redes enteras
– Permite “Salir” de la red, pero no “Entrar” a la
red privada
Arquitectura de Seguridad II 31
![Page 32: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/32.jpg)
FW - NAT
• NAT - Hide
Arquitectura de Seguridad II 32
Muchos a uno Comúnmente PAT
![Page 33: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/33.jpg)
FW- Tipos de NAT
• Sonic Wall Nat Hide
Arquitectura de Seguridad II 33
![Page 34: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/34.jpg)
FW- Tipos de NAT
• Check Point NAT Hide
Arquitectura de Seguridad II 34
![Page 35: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/35.jpg)
FW- Tipos de NAT
• Cisco router Nat Hide• interface Ethernet0
• ip address 172.16.1.1 255.255.255.0 secondary
• ip address 200.200.200.169 255.255.255.248
• no ip directed-broadcast
• ip nat inside
• ip nat pool net-20 200.200.200.170 200.56.232.170 netmask 255.255.255.248
• ip nat inside source list 1 pool net-20 overload
Arquitectura de Seguridad II 35
![Page 36: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/36.jpg)
FW- ¿Cómo funciona NAT?• Filtro de paquetes
– Modificación del paquete, cambiando las direcciones/puertos fuente o destino. La conexión es la misma antes y después del NAT
• Proxy– La conexión se hace al proxy. El proxy a su vez, abre una nueva
conexión hacia el destino, originada desde el proxy.
• Stateful Inspection– Modificación del paquete, cambiando las direcciones/puertos
fuente o destino. La conexión es la misma antes y después del NAT
Arquitectura de Seguridad II 36
![Page 37: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/37.jpg)
FW – Seguridad Interna
• La mayoría de las organizaciones tienen solo seguridad perimetral
• Firewalls a nivel de Red asegurando el control de acceso
• Protección sobre entendida contra ataques a nivel de red
• Resultado Los ataques se han vuelto más sofisticados: Los Hackers estan dirigiéndose a las Aplicaciones
• Más cercano a la información de la empresa/usuario (el objetivo final)
• Múltiples aplicaciones generan múltiples vectores de ataques
• Muchas vulnerabilidades conocidas en aplicaciones
Arquitectura de Seguridad II 37
![Page 38: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/38.jpg)
FW - Seguridad Interna …
• Ataques internos
Arquitectura de Seguridad II 38
Gusanos, troyanos, vulnerabilidades.
Usuarios con iniciativa
Epidemias
Accesos no autorizados a servidoreso aplicaciones
![Page 39: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/39.jpg)
Firewalls
Usuarios
Servidores
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 39
Red con DMZ y FW interno
![Page 40: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/40.jpg)
FW - Seguridad Interna …
• La mayoría de los firewalls perimetrales no pueden
proteger contra ataques en aplicaciones
• Diseñados para control de acceso a nivel red
• Políticas de seguridad permiten tráfico a
aplicaciones vulnerables (HTTP, FTP, etc)
• Las necesidades estan orientando los gastos en
productos puntuales
• Prevención de Intrusos basados en red
• Firewalls específicos para aplicaciones
– Web, web seguro, comercio,
– Mail , ftp, dns, aplicaciones externas
Arquitectura de Seguridad II 40
![Page 41: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/41.jpg)
Firewalls
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 41
Seguridad mayor a nivel de servidores
![Page 42: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/42.jpg)
Firewalls
Servidores
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 42
Alta Disponibilidad
![Page 43: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/43.jpg)
FW - HA
Servidores
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW Interno
Arquitectura de Seguridad II 43
HA y Load balancing en ISP
![Page 44: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/44.jpg)
FW - HA
• Aplicaciones
• Bancos
• Financiero
• Comercio electrónico
• ISP
• Cuando el acceso se vuelve crítico, y evitar
pérdidas en las organizacionesArquitectura de Seguridad II 44
![Page 45: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/45.jpg)
Firewalls• Mas datos estadísticos
• El incremento de las amenazas combinadas fue del 20%.
• Se incrementaron las amenazas a los datos confidenciales.
• Aumentó la velocidad de propagación.
• Los sistemas Linux pueden ser el objetivo futuro de los ataques.
• Windows 32: códigos maliciosos más sofisticados.
• Nuevos vectores de infección:– Mensajerías instantáneas – Servicios punto a punto
Arquitectura de Seguridad II 45
![Page 46: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/46.jpg)
Firewalls
• Mas informes estadísticos
• En agosto de 2003, el gusano Blaster
explotó una vulnerabilidad 26 días después
de descubierta.
• El costo de ocho días de ataques masivos
del gusano en agosto puede alcanzar los
2.000 millones de dólares.
• Los sistemas corporativos y los usuarios
domésticos de PC continúan estando en
peligro. Arquitectura de Seguridad II 46
![Page 47: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/47.jpg)
Firewalls
• Comunicación dial-up
• Conexión de usuarios móviles ( oficinas
remotas,
• Casa, visita a clientes, proveedores, etc)
• Usuarios dentro de una organización
• Vulnerabilidades, gusanos, Nimda, código
rojo
• Sasser, blaster, infecciones masivas, etc.
Arquitectura de Seguridad II 47
Como asegurar los siguientes puntos
![Page 48: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/48.jpg)
Firewall en Desktop
• Macfee Personal Firewall
• Microsoft – Internet Conection firewall XP
• Symantec – Norton Personal Firewall
Arquitectura de Seguridad II 48
![Page 49: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/49.jpg)
Firewall desktop
Arquitectura de Seguridad II 49
Trend Micro – PC-cillinCheck point – Secure ClientStonegate – Personal clientISS- Desktop protector
Firewall a nivel de estación de trabajo
![Page 50: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/50.jpg)
Firewall desktop
• Ventajas de firewall en desktop
• Protección granular (hasta la estación de
trabajo)
• Políticas de seguridad
• Revisión de puertos, y se evitan contagios
masivos o encadenados
Arquitectura de Seguridad II 50
![Page 51: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/51.jpg)
Firewall desktop
• Desventajas
• Mayor administración y mas coordinada
• Se requiere administración centralizada
• Si son los fw de ws aislados, se requiere
mucho tiempo la implantación de políticas
uno a uno.
• Si es central, se evita contagios masivos en
menor tiempo, y disminuye la propagación
(Blaster, Sasser, Sircam y otros)Arquitectura de Seguridad II 51
![Page 52: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/52.jpg)
Firewall desktop
• Fabricantes que cuentan con FW desktop y
Administración centralizada
• Check point
• ISS
• Stonegate
Arquitectura de Seguridad II 52
![Page 53: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/53.jpg)
Firewalls
Usuarios
Internet
Ruteador
ADSL o AD
DMZ
FW InternoConsola
seguridad
Arquitectura de Seguridad II 53
Seguridad firewall robusta
![Page 54: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/54.jpg)
Firewalls (Selección de
seguridad)• Evaluar el grado de implementación de las políticas de
seguridad de la organización con el nodo seleccionado en
base a lo siguiente:
Arquitectura de Seguridad II 54
Funcionalidad de seguridad
Funcionalidad de Implantación
Funcionalidad de usuario
![Page 55: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/55.jpg)
Firewalls (Selección de
seguridad)Funcionalidad de seguridad
Se enfocan a la habilidad del producto para implementar las políticas de seguridad de la organización. Los elementos a evaluar son:
• Aseguramiento externo.- Evaluación de organismos independientes que aseguren el cumplimiento, por parte del nodo, de las especificaciones de seguridad.
• Control de privilegios.- El grado en el que el producto puede imponer restricciones de acceso a los usuarios.
• Autentificación.- La manera en que el producto soporta o provee técnicas de autentificación, tales como la autentificación de direcciones fuente/destino de computadoras.
• Capacidades de auditoria.- La habilidad del producto de monitorear el tráfico de red que incluya: intentos de acceso no autorizado, generación de registros (logs), así como proveer reportes y alarmas
Arquitectura de Seguridad II 55
![Page 56: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/56.jpg)
Firewalls (Selección de
seguridad)FW: Funcionalidad de Implantación
Se enfocan en la habilidad del producto para satisfacer las necesidades de administración de red, los elementos que se evalúan son:
• Flexibilidad.- Las facilidades provistas por el producto para soportar políticas de seguridad de la organización, así como soporte a las aplicaciones de Internet actuales y futuras.
• Desempeño.- Capacidad de transmisión y procesamiento de información asociado con el producto.
• Escalabilidad.- Habilidad del producto de poder configurarse en instancias múltiples, diferentes equipos de cómputo y especificaciones de seguridad. Soporte de estándares IPsec u Opsec.
Arquitectura de Seguridad II 56
![Page 57: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/57.jpg)
Firewalls (Selección de
seguridad)Funcionalidad de usuario
Se enfocan en la habilidad del producto para desempeñar los requerimientos de administradores y usuarios; los elementos a evaluar son:
• Facilidad de uso.- Esta característica implica uso de una interfase gráfica (GUI), la cual simplifica las labores de administración para instalar y configurar el producto.
• Transparencia.- Habilidad que tiene el producto para ser transparente al usuario. Mientras menos transparente sea para el usuario, será más difícil la implementación de las políticas de seguridad.
• Soporte al cliente.- Capacidad del vendedor del producto de proveer experiencia técnica para la instalación, uso, mantenimiento y cursos de su producto.
Arquitectura de Seguridad II 57
![Page 58: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/58.jpg)
Firewall … Limitaciones…
• ¿Qué no puede hacer un firewall?
• ¡Proteger contra ataques que no pasan por el firewall!
• Los Insiders son insiders
• Reemplazar el sentido de seguridad de los usuarios
• Proteger contra amenazas completamente nuevas
• Proteger de los virus * (IDS, IPS, AV svr, AVws, Avgwy)
• En general, un firewall debe ser parte de la estrategia de
seguridad a nivel organización. No puede ser toda la
seguridad
Arquitectura de Seguridad II 58
![Page 59: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/59.jpg)
Firewall … Limitaciones…
• ¿Qué no puede hacer un firewall?
• Problemas físicos
• fuente de poder
• Robo o daño físico malicioso
• Ingeniería SocialHabilidad que utiliza la gente para engañar y obtener
Información mediante los mismos individuos.
• Configuración impropia
• Falta de personal capacitado para operarArquitectura de Seguridad II 59
![Page 60: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/60.jpg)
VPN
• ¿Qué es una VPN?
Arquitectura de Seguridad II 60
Es un mecanismo de comunicación entre dosO mas redes, que utilizan una red pública.
La comunicación debe ser encriptada (Tunel)para evitar Robo de información y así asegurar laConfidencialidad de la misma
La información es segura
![Page 61: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/61.jpg)
VPN
• ¿Qué es un tunel?
Arquitectura de Seguridad II 61
Un tunel es creado cuando un servidor de VPN o gatewayDe VPN, encapsula la información, en un medioPúblico, y sedesencapsula cuando se alcanza elGateway o cliente VPN.
![Page 62: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/62.jpg)
VPN
PortalesServer 2
Server 1
Ruteador
central
SS7
SS7SS7
H3.23
UDP
servers
Red MTYRed Guatemala
10.200.19.x
13,14, -15,16 - 21,22 -
23,24
Iseo
10.200.2.X
Guatemala
10.200.14.X
Gateway
L. ISEO
QoS
Frame Relay
Arquitectura de Seguridad II 62
Comunicación Típica Frame-Relay
![Page 63: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/63.jpg)
VPN
5 U
4 U
9 U
Servidores de Exchange
4 U
4 U
4 U
FRAME RELAY
INTERNET
CISCO
LAN ETHERNET
TCP/IP
NAUCALPAN
EXCHANGE
SERVER
MAIL SECURITY
MAIL ESENTIAL
WEBSENSE
DSO
128 K
E1
256 Kbps
PBX
4 E&M
OPTIC FIBER
RAISER 100Pairs
4 E&M
4 E&M
CISCO
DSO
128 K
DSO
128 K
ADSL
ADSL
FIREWALL
4 U
VPN gateway
NETSCREEN
5GT
NETSCREEN
5GT
ACCESS POINT
ENGINE
ENGINE
ENGINE
ENGINE
FW en ADSL
Arquitectura de Seguridad II 63
Ejemplo 2 : Comunicación Frame Relay
![Page 64: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/64.jpg)
VPN
• Comunicación típica Internacional
Arquitectura de Seguridad II 64
Regional
Corporativo
![Page 65: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/65.jpg)
VPN
Arquitectura de Seguridad II 65
Regional
Corporativo
Internet
Migración internacional a VPN
![Page 66: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/66.jpg)
VPN
Beneficios de las VPN.• Aprovechamiento de redes públicas.
• Se estima que una solución de VPN puede disminuir sus
costos entre 20 y 40 por ciento, en comparación con las
conexiones punto a punto.
• Reducen el número de líneas de acceso en un sitio
corporativo
• No requiere inversiones en infraestructura.
• El usuario tiene la posibilidad de conectarse desde
cualquier lugar.
Arquitectura de Seguridad II 66
![Page 67: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/67.jpg)
VPN
• Beneficios de las VPN.• Se puede extender la red de comunicaciones privadas a
sitios donde la infraestructura dedicada no está posible.
• Proporciona la posibilidad de que los usuarios remotos se
conecten a través de tecnologías de banda ancha, como
cable módems o ADSL, cable modem, etc.
• Cambio de tecnología Frame-Relay por VPN.
• Seguridad en los túneles de comunicación.
Arquitectura de Seguridad II 67
![Page 68: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/68.jpg)
VPN
Arquitectura de Seguridad II 68
Source:NetworkWorld
Ahorros en integración
0
10
20
30
40
50
60
70
80
90
100
Usuarios Móviles Oficinas remotas
VP
NVP
N
Dia
l-up
Dia
l-up
Lín
ea
s p
riva
da
s
Lín
ea
s p
riva
da
s
![Page 69: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/69.jpg)
VPN
2.1
5.2
9
13
17
0
2
4
6
8
10
12
14
16
18
US$ Billion
2000 2001 2002 2003 2004
Year
Arquitectura de Seguridad II 69
Tendencias del mercado mundial
![Page 70: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/70.jpg)
5 U
4 U
9 U
Servidores de Exchange
4 U
4 U
4 U
INTERNET
CISCO
LAN ETHERNET
TCP/IP
NAUCALPAN
EXCHANGE
SERVER
MAIL SECURITY
MAIL ESENTIAL
WEBSENSE
DSO
128 K
E1
256 Kbps
PBX
4 E&M
OPTIC FIBER
RAISER 100Pairs
4 E&M
4 E&M
CISCO
DSO
128 K
DSO
128 K
ADSL
ADSL
ADSL
FIREWALL
4 U
VPN gateway
NETSCREEN
5GT
NETSCREEN
5GT
ACCESS POINT
ENGINE
ENGINE
ENGINE
ENGINE
Arquitectura de Seguridad II 70
![Page 71: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/71.jpg)
VPN
• ¿Que se requiere para una VPN?
Arquitectura de Seguridad II 71
Servidor o gateway de VPNMedio de comunicación (público o privado)Mecanismo de certificaciónMétodo de encripción (simétrico o asimétrico)Cliente o gateway de VPN
![Page 72: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/72.jpg)
VPN
• Modelo en base a túneles
• IPsec
• PPTP ( Point to Point Tunneling Protocol)
• L2TP ( Layer 2 Tunneling Protocol)
• A capas superiores
• SSL
• SSH
Arquitectura de Seguridad II 72
![Page 73: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/73.jpg)
Arquitectura de Seguridad II 73
Comunicación IP
*Los datos son encapsulados en tramas, para asegurar unacomunicación eficiente y segura.
*Los equipos que tienen TCP/IP conocen los formatos de las tramas,mejorando la comunicación.
VPN
![Page 74: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/74.jpg)
VPN
• VPN Sitio a sitio
Arquitectura de Seguridad II 74
![Page 75: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/75.jpg)
VPN sitio a sitio
Oficina Central
México D.F.
VPN Sitio a Sitio
Check Point R55 con Application Inteligence
Firewall-1
Firewall-1
Cluster
Global System
Arquitectura de Seguridad II 75
![Page 76: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/76.jpg)
VPN
Arquitectura de Seguridad II 76
Sitio - cliente
![Page 77: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/77.jpg)
VPN
• VPN híbrida
Arquitectura de Seguridad II 77
![Page 78: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/78.jpg)
VPN ejemplos
• SonicWall 1
Arquitectura de Seguridad II 78
![Page 79: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/79.jpg)
• Sonic Wall 2
Arquitectura de Seguridad II 79
![Page 80: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/80.jpg)
VPN ejemplos
• Checkpoint VPN
Arquitectura de Seguridad II 80
![Page 81: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/81.jpg)
VPN
• Check Point definición de VPN
Arquitectura de Seguridad II 81
![Page 82: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/82.jpg)
VPN - Aplicaciones
• Aplicaciones dónde se pueden utilizar:
• Intranet, Extranet
• Intercambio de información en tiempo real.
• Correo electrónico corporativo.
• Acceso remoto a la información corporativa
sin importar la ubicación geográfica.
Arquitectura de Seguridad II 82
![Page 83: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/83.jpg)
VPN - Aplicaciones
• Aplicaciones dónde se pueden utilizar:
• Contratación de servicios por outsourcing.
• Impresión remota
• Transmisión encriptada de la información a
través de internet.
• Acceso mediante distintos tipos de
autentificación
Arquitectura de Seguridad II 83
![Page 84: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/84.jpg)
Oficina
Pachuca
Oficina Central
Servidor DNS, WINS,
Terminal Services
Oficina
Monterrey
Frame Relay
Oficina
NL
256 Kbps
256 Kbps
256 Kbps
256 Kbps
Firewall VPN-1 Edge
Firewall-1 Check Point
Arquitectura de Seguridad II 84
VPN vs Frame Relay
![Page 85: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/85.jpg)
INFINITUM
ADSL
MODEM
5200
MODEM
5200
MODEM
5200
1MB
4 VPN
1.-Datos
Joya
2.-Voz
Joya
3.-Voz
Noria
4.-Voz
Ixtlahuaca
512 MB
4 VPN
1.-Datos
Joya
2.-Voz
Joya
3.-Voz
Noria
4.-Voz
Ixtlahuaca
512 MB
4 VPN
1.-Datos
Joya
2.-Voz
Joya
3.-Voz
Noria
4.-Voz
Ixtlahuaca
512 MB
CD
MONTERREY
HUB 8
PTOS
Phone IP 3COM
Extension
3150
Red local
192.168.3.0
CD
GUADALAJARA
HUB 8
PUERTOS
PHONE IP 3COM
EXTENSION
3030
HUB 8PTOSRED LOCAL
192.168.4.0
VPN-1 EDGE 510
VPN-1 EDGE 510
VPN-1 EDGE 510
Switch
VPN Pro
25 IP
Phone
50 estciones de
trabajo
Arquitectura de Seguridad II 85
VPN vs Frame Relay
![Page 86: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/86.jpg)
VPN- Híbrido
Arquitectura de Seguridad II 86
![Page 87: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/87.jpg)
VPN- Híbrido para
redundanciaGUADALAJARA
MINATITLAN
SALAMANCA
NICOLAS ROMERO
172.16.9.XXX
INFINITUM
512 Kbps
SG 200
172.16.8.251
GENESIS 172.16.8.2
172.16.8.XXX
172.16.10.XXX
172.16.7.XXXGENESIS
172.16.7.2
INFINITUM
512 KbpsSG 200
172.16.7.251
INFINITUM
512 Kbps
SG 200
172.16.9.251
EGAS
172.16.9.6
SRVDLTNR
172.16.9.6
EGAS
172.16.6.6
SG 200
172.16.6.250
INFINITUM
512 Kbps
PEDREGAL
172.16.6.XXX
INFINITUM
512 Kbps
INFINITUM
512 Kbps
INFINITUM
512 Kbps
INFINITUM
512 Kbps
SG 200
172.16.X.X
EGAS
172.16.5.6
SOR JUANA
172.16.5.XXX
SG 200
SG 200
172.16.4.251
EGAS
172.16.4.6
SRVDLTAT
172.16.4.8
ATIZAPAN
172.16.4.XXX
GENESIS
172.16.4.2
TOLUCA
172.16.3.XXX
EGAS
172.16.3.6
GENESIS
172.16.3.2
SG 200
CONEJOS
172.16.2.XXX
SRVDLTAT
172.16.2.8
GENESIS
172.16.2.2
SG 200
PD
C
17
2.1
6.1
.8
SR
VD
CD
IAF
A
WE
B
17
2.1
6.1
.6
SR
VP
RO
DU
CC
ION
GE
NE
SIS
17
2.1
6.1
.2
LIN
UX
17
2.1
6.1
.10
0
NTU ENLACE
3600
172.16.1.250
SG 1100
INT 172.16.1.254INFINITUM
512 Kbps
NTU INTERNET
512 Kbps
1700
ETH 148.233.167.173
WAN 148.223.149.101
VPN
FRAME RELAY
WEBSENSE
Arquitectura de Seguridad II 87
![Page 88: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/88.jpg)
VPN problemas
• Administración
• Accesos restringidos (abuso de Internet)
• Desempeño (selección de herramientas)
• Personal mas capacitado
• Cambios de password
• Operación
Arquitectura de Seguridad II 88
![Page 89: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/89.jpg)
Conclusiones
Pese a lo anterior...
• No hay seguridad al 100%
• La seguridad es un ciclo
• La seguridad descansa en políticas...
• El eslabón mas débil: la gente...Arquitectura de Seguridad II 89
![Page 90: Arquitectura de Seguridad IIcursos.itam.mx/seguridad/generacion7/modulo3/sesion... · sesión plática) • Asegurando Redes Inalámbricas (WLAN) (Teoría y demo) • Administracion](https://reader035.fdocuments.es/reader035/viewer/2022070110/6048369262b9356bb60deadf/html5/thumbnails/90.jpg)
Conclusiones
• Situación Ideal
• Los criterios de seguridad varían de una organización a otra, desde proteger la información que circula por la red, la integridad de los datos, hasta proteger la inversión en equipos e infraestructura tecnológica.
• Los administradores de red deben de prevenir y planificar los lineamientos de seguridad.
• Actuar antes que lamentar
• Complementar Seguridad con una buena Administración.
Arquitectura de Seguridad II 90