Seguridad Aplicada a un Carrier Transaccional

Seguridad Aplicada a un Carrier TransaccionalSeguridad Aplicada a un Carrier Transaccional

Objetivo

• Conocer la infraestructura de los participantes• Evidenciar las fallas de seguridad comúnmente

heredadas• Plantear las posibles soluciones a eventos de

seguridad• Conocer herramientas para la protección de los

sistemas de información

Agenda

• Situación actual del cliente• Evaluación de la red cliente• Soluciones para la red cliente• Evaluaciones tecnológicas y alternativas• Equipos para seguridad• Hardware• Routers• Switch• Servidores

• Software• Check Point

Agenda

• Implementación• Instalación de Firewall en Server cliente• Instalación de Software de administración Firewall

en cliente y en carrier• Configuración de políticas de seguridad y

Verificación de reglas• Análisis Económico• Demostración

Situación Actual del Cliente.


• Posee 3 Oficinas:•1 matriz en Gye•1 Suc.Mayor en Uio y •1 Ventanilla U.Agraria Gye

• Servicios que brinda:•ATM BANRED•SERVIPAGOS•BANCO CENTRAL•SITA•VISA OPTAR•MULTISERVICE

Situación Actual del Cliente.Universidad

Agraria

Internet

Ventanilla Usuario

ServersPRODUCCION

ServersDesarrollo-BackUp

ClienteMatriz Guayaquil

Ventanilla

Usuario deInternet

OPTAR

BCE

ClienteSuc.Quito

BanredCajeros

Matriculación

SITA

Ventanilla Usuario

Ventanilla Usuario

Ventanilla Usuario

128 Kbps IMPSAT

Ventanilla Usuario

Servipagos

Ventanilla Usuario

Open Door

Ventanilla

Usuario deE-Mail

Otros Usuarios(Navegación)

ISA Server

Usuario deE-Mail

Situación Actual del Cliente.EnlaceEnlace ProveedorProveedor VelocidadVelocidad Protocolo Protocolo

Transp.Transp.ClienteCliente

Gye-Uio Porta 256 Kbps Frame-Relay Banco Amazonas

Gye-Gye Suratel 32 Kbps Frame-Relay Banred

Gye-Uio Impsat 32 Kbps Frame-Relay Visa Optar

Gye-Uio Línea Dedicada 9.6 Kbps PPP Multiservice

Gye-Gye Improline 11 Mbps Clear Channel

Banco Central

Gye-Gye Sita 19.2 Kbps X.25 SITA

Gye-Gye Impsat 64 Kbps Clear Channel

U.Agraria

Gye-Gye Porta 128 Kbps Frame-Relay Internet

Gye-Uio Impsat 128 Kbps Frame-Relay ServiPagos

Gye-Uio Teleholding 64 Kbps Clear Channel

E.Respaldo

SW011004IP: 10.1.251.104

Vlan 1, Vlan 4, Vlan 100, Vlan 209, Vlan 215

SW011003IP: 10.1.251.103Vlan 1, Vlan 100: 1-24

SW011002IP: 10.1.251.102Vlan 1Vlan 101: 1-5Vlan 209: 19,20Vlan 215: 6-18Vlan 217: 22-24Vlan 218: 21

SW011029IP: 10.1.251.29Vlan 1: 1Vlan 210: 2-24

SW011025IP: 10.1.251.25Vlan 210: 1-7,9Vlan 215: 8,10-24

SW011001IP: 10.1.251.101Vlan 210: 1-13,15,17-24Vlan 215: 14 Vlan 216: 16

SROOT1IP: 10.1.251.1

SROOT2IP: 10.1.251.2

DESAR-MATFas 0 10.1.239.24Fas 1 10.1.213.20

G4/6

G0/1

G0/2

G0/1

G0/1

G0/2

G4/6

G0/2

G3/17G3/17

G0/1G0/2

G4/17G4/17

G0/1 G0/2

F0/24

F0/23

Fas 0

Fas 1

G2/17G2/17

G0/2

G0/1



• Backbone Lan:• 2 Switch Cisco Catalyst 4506 (Core)• 1 Switch 2950T Giga Ethernet por piso• Esquema de red basado en VLAN• Calidad de servicio (QoS)• Spanning Tree

• Backbone Wan:• Enlace microonda entre Uio y Gye FR 256 Kbps • 2 CISCO 2621

Evaluación Red Cliente


• Vulnerabilidades:• No Firewall• No Listas de Acceso en Routers• No VPN´s• Hardware y Software obsoletos• Passwords fácilmente violables• Políticas de Respaldo insuficientes• No políticas de Seguridad• Seguridad Física deficiente• Software sin suscripciones, actualizaciones ó parches• Roles mal definidos• Personal descontento


UniversidadAgraria

Internet

Ventanilla Usuario

ServersPRODUCCION

ServersDesarrollo-BackUp

ClienteMatriz Guayaquil

Ventanilla

Usuario deInternet

OPTAR

BCE

ClienteSuc.Quito

BanredCajeros

Matriculación

SITA

Ventanilla Usuario

Ventanilla Usuario

Ventanilla Usuario

128 Kbps IMPSAT

Ventanilla Usuario

Servipagos

Ventanilla Usuario

Open Door

Ventanilla

Usuario deE-Mail

Otros Usuarios(Navegación)

ISA Server

Usuario deE-Mail

HACKER

Soluciones para la Red Cliente


• Soluciones:• Firewall-1 CheckPoint• Listas de Acceso en Routers Cisco• VPN´s site to site – remote access• Hardware y Software de última generación• Passwords que cumplan estándares de seguridad• Políticas de Respaldo eficientes• Políticas de Seguridad Centralizada• Seguridad Física 24 x 7 x 365• Software con suscripciones, actualizaciones y parches• Roles eficientes• Direccionamiento IP que cumpla estándares• Redes segmentadas física y lógicamente• Personal contento = 100% Productividad


Internet

Universidad Agraria

Ventanilla Usuario

OPTAR

BCE

Suc.Mayor Quito

Banred

ServiPagos

SITA

Ventanilla Usuario

Ventanilla Usuario

Ventanilla Usuario

Ventanilla Usuario

Ventanilla Usuario

Producción - BCK

Producción

Desarrollo

WWW - Email

Bono

Usuario

Usuario

Ventanilla

Ventanilla

IntranetSegura deServidores

IntranetSegura deUsuarios

Extranet

Fire - Wall

Internet

Bco.Amazonas Sucursal Gye

Hacker

Ventanilla Usuario

Multiservice


• Firewall-1 CheckPoint• Protección contra ataques con conocimiento de las

aplicaciones.• Control de acceso basado en Stateful Inspection.• Impide el acceso no autorizado a la red.• Elimina los ataques contra las aplicaciones de la

compañía.• Protección contra amenazas ya conocidas o nuevas.• Seguridad de contenido.• Autenticación flexible.• Traducción integrada de direcciones de red.• Administración de VPN´s.


• Listas de Acceso en Routers Cisco• Control de direcciones origen/destino.• Permitir acceso controlado a aplicaciones por

dirección y puerto.• Registrar logeos.

• VPN´s site to site – remote access• Administrar y crear VPN´s entre redes corporativas.• Administrar y crear VPn´s para usuarios mòviles por

internet/RAS/Dial-up.• Encripción de todo el tráfico de punta a punta.• Autenticación de usuarios.• Evitar el robo de información.


• Hardware y Software de última generación• Switches-Routers (OSPF, HSRP, VLAN)• Servers inteligentes.• Alta disponibilidad.• Escalabilidad.

• Passwords que cumplan estándares de seguridad• No usar palabras de diccionario.• No usar nombres, fechas.• Password deben tener como mínimo 13 caracteres

combinando números-letras-símbolos.• Usar algoritmos para generar claves aleatorias.• Cambiar passwords por períodos de tiempo.• Usar tokens de seguridad.


• Políticas de Respaldo eficientes• Centralizar respaldos.• Documentar procesos de respaldos.• Automatizar respaldos (robots).• Calendarizar respaldos.

• Políticas de Seguridad Centralizadas• Crear un área de seguridad lógica.• Documentar procesos de seguridad.• Automatizar la seguridad (accesos, passwords).

• Seguridad Física 24 x 7 x 365• Accesos controlados por guardias de seguridad.


• Software con suscripciones, actualizaciones y parches.

• Administrar las actualizaciones de software.• Mantener up-to-date el software crítico.• Suscribirse a newsletter y advisories de los

fabricantes.

• Roles eficientes• “Zapatero a tus zapatos”.• Administrar eficientemente al personal.• Concentizar al personal de la importancia de la

seguridad.


• Direccionamiento IP que cumpla estándares• No usar direccionamiento público en redes privadas.• Reforzar el uso de NAT.• Aplicar el uso de subnetting.

• Redes segmentadas física y lógicamente• Separar física y lógicamente los elementos activos de

la red.• Crear Vlan´s.• Aislar los equipos de computación críticos.

• Personal contento = 100% Productividad• El 99% de los ataques provienen de adentro.

Evaluaciones Tecnológicas y Alternativas

Equipos para Seguridad (Hardware)


• Router Cisco 2621

• 2 Lan 10/100/1000• 2 Wan WIC2T• 1 AIM


• Switch Cisco Catalyst WS-4506

7 81 2 3 4 5 6 23 2417 18 19 20 21 2215 169 10 11 12 13 14

7 81 2 3 4 5 6 23 2417 18 19 20 21 2215 169 10 11 12 13 14

7 81 2 3 4 5 6 23 2417 18 19 20 21 2215 169 10 11 12 13 14

Console MNT

STATUS

• 24 10/100/1000/Gigabit Ports

• Fuentes Redundantes• FO Ports• QoS• VLan


• IBM Xseries 206• Pentium IV 2.8 Ghz• 1 GB Ram• 36.4 GB SCSI Hard Disk• 4 NIC´s 10/100/1000

Equipos para Seguridad (Software)

Equipos para Seguridad (Software)• Check Point Express SC3-250-NG

• Incluye: SmartCenter Express Management, one VPN-1 Express Gateway protecting 250 users, SmartDefense and VPN-1 SecuRemote users

• Provee seguridad corporativa completa para organizaciones de hasta 250 usuarios.- Incluye SmartCenter para gestión de la política de seguridad para 3 sitios o puntos de reforzamiento; y un gateway VPN-1 Express. Este último comprende a su vez el módulo de protección Firewall-1.

• SS-CPXP-SC3-250• Suscripción de Software1 Check Point Express, 250

usuarios• Suscripción de Software de Check Point es un programa

de soporte que brinda al usuario derecho de obtención en forma gratuita de upgrades de versión, paquetes de servicio (service packs) y mejoras parciales del software adquirido

• VPN-1 CLIENT• 25 VPN-1 SecuRemote

Implementación

Instalación de Firewall en Server Cliente

Instalación de Software de administración Firewall en cliente y en carrier

Configuración de Políticas de Seguridad y Verificación de Reglas

Análisis Económico

Análisis Económico (Hardware y Software)Descripción de Equipos (Hardware) CANTIDAD PRECIO PRECIO

Unit Dolls Tot. Dolls

Servidor IBM Xseries Modelo 206 2 1700,00 3400,00

SERVICIOS (Capacitación, Instalación y Configuración) 2 1500,00 3000,00

TOTAL GASTOS 6400,00

IVA 768,00

TOTAL INVERSION HARDWARE 7168,00

Descripción de Programa de Aplicación CANTIDAD PRECIO PRECIO


CPXP-SC3-250-NG 1 9500,00 9500.00

SS-CPXP-SC3-250 1 1600,00 1600,00

TOTAL GASTOS 11100,00

IVA 1332,00

TOTAL INVERSION SOFTWARE 12432,00

Análisis Económico (Resumen)

Descripción de Programa de Aplicación CANTIDAD PRECIO PRECIO


TOTAL INVERSION HARDWARE 1 7168,00 7168,00

TOTAL INVERSION SOFTWARE 1 12432,00 12432,00

TOTAL GENERAL 19600,00

Demostración

Demostración

Firewall CARRIERCLIENTE

20.1.4.920.1.4.10 10.1.4.9 10.1.4.8

FTP SERVERFTP CLIENTE

EXTRANETINTRANET

Internet

Seguridad Aplicada a un Carrier TransaccionalSeguridad Aplicada a un Carrier Transaccional

Seguridad Aplicada a un Carrier Transaccional

Documents

Transcript of Seguridad Aplicada a un Carrier Transaccional