1. SEGURIDAD EN REDES CORPORATIVAS
Ing. CIP Jack Daniel Cáceres Meza
jcaceres@rcp.net.pe
Setiembre 2007
2. Terminales de datos conectados a computadoras centrales -
mainframes, estaciones para entrada de datos, protocolos y
cableado definido por el proveedor
1960’s
1970’s Mini-computadoras, estaciones especializadas para la
automatización de oficinas, sistemas para control de
procesos
1980’s
Trabajo individual, computadoras personales,
comunicaciones dial–up, demanda por redes que
compartan recursos
1990’s
Mensajería local, flujo de trabajo coordinado,
comercio electrónico, procesos de negocio
integrados, empresas necesitan
interconectarse
2000’s Redes privadas virtuales, Internet ,
voz por Internet
CARACTERÍSTICAS
EVOLUCIÓN DE LAS REDES
5. PREPARADOS CONTRA ATAQUES DE INTRUSOS
• Una vez identificadas las vulnerabilidades se deben tratar y minimizar los
___________
• Acciones: Detección, Escalamiento, Recuperación, Valoración, Prevención
10. DICHOS SOBRE LA SEGURIDAD
• Lo único seguro es que, con el tiempo, la seguridad informática se
vuelve _____________
• Hay dos clases de ataques, el que _____________ sucedió y el que
_______________ por suceder
11. PROBLEMAS EN LA SEGURIDAD
1. Login efectuado, pero PC sin atención (blanqueo,
bloqueo de teclado)
2. Carga de disquete (impedir la carga)
3. Acceso a la red (Identificación, control de
contraseñas)
4. Virus (software detector)
5. Capturar paquetes de datos (cifrado)
6. Datos sensibles (control de acceso, cifrado)
7. Impresoras (revisar puertos)
8. Línea remota (modems de retro–llamada, control de
acceso remoto, autentificar la llamada)
9. Conexiones de red (SW de control)
10. S.O. (deshabilitar comandos peligrosos)
1
2
3
4
10
5
7
4 6
9 8
12. • La detección de fallas y el control deben ser:
– Continuos
– Manejados por fuentes con conocimiento
– Ejecutados en el “background”
– Una interrupción de prioridad cuando se requiera
Alerta!
¿Help Desk?
Consola de
administración de la
red
DETECCIÓN
13. BENEFICIOS DE LA SEGMENTACIÓN
• Ordenamiento de la red
• Reducción de riesgos de seguridad
• Proteger computadoras, servidores y servicios
• Aislamiento del tráfico entre segmentos
• Reducir dominios de colisión
• Diferenciación de servicios o servidores
• Correo, intranet, dominio
• Personalización o asignación de servicios
• Proxy (filtro), internet (canal de salida, ancho de banda), correo (SMTP)
14. CLASES
• División por clases (primer octeto)
• A = 1-126 0xxx Máscara = 255.0.0.0
• B = 128-191 10xx Máscara = 255.255.0.0
• C = 192-223 110x Máscara = 255.255.255.0
• D = 1110
• E = 1111
• Reservas
• Pruebas internas:
• 127.0.0.1
• Direcciones privadas:
• 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
15. AYUDAS PARA LA SEGMENTACIÓN
• Ámbito = f(netmask –máscara de red)
• Dirección de red = dirección IP inicial
• Dirección de broadcast = dirección IP final
• Número de redes = 2 número de 1’s en netmask
• Número de hosts = 2 número de 0’s en netmask
• Control = f(DHCP –Dynamic Host Control Protocol)
16. EJEMPLOS
• Escenario:
• Segmentos requeridos: 5
• Número máximo de hosts x segmento: 5,000
• Dirección de red: 152.77.0.0
• Máscara de red propuesta: 255.255.224.0
• Número de subnets soportadas: 6
• Número máximo de hosts x subnet: 8,190
18. SUPERNETTING
• CIDR (Classless InterDomain Routing)
• VLSM (Variable Length Subnet Masking)
• Unir clases consecutivas (Clases C)
• Dividir ahorrando direcciones IP
• Primera clase debe ser divisible por dos
• /13 = 2048 clases C a /27 = 1/8 de clase C
20. VIRTUAL LAN -VLAN
• Red de computadores que se comportan como si estuviesen
conectados al mismo cable, aunque pueden estar en realidad
conectados físicamente a diferentes segmentos de una LAN
• Algunos tipos:
• VLAN basada en puerto
• VLAN basada en MAC
• VLAN basada en protocolo
• VLAN ATM –utiliza el protocolo LAN Emulation (LANE)
• VLAN por subredes de IP
• VLAN definida por el usuario
23. ADMINISTRADOR DE ANCHO DE BANDA
Gestión del ancho de banda
Clasifica y prioriza el tráfico de Internet
Atención a requerimientos del usuario
Rate limit
QoS
26. FILTRO DE CONTENIDO
¿Quién navega en mi red, cuándo y a qué hora navega, desde
qué computadora y hacia dónde navega?
¿Quién efectúa descargas en mi red, qué descarga, cuándo y
a qué hora efectúa las descargas, desde qué computadora
efectúa las descargas, de qué tamaño son las descargas?
¿Cuál es el nivel de concurrencia y de consumo en el servicio
Internet?
27. FILTRO DE CONTENIDO
Operación transparente para el usuario
Gestión y control:
❐ Para el acceso a ciertas páginas Web
❐ Para la descarga de ciertos archivos
Atención a políticas autorizadas por la empresa
28. ¿Por qué experimento lentitud en mi red?
¿Necesito invertir en mayor ancho de banda?
¿Cómo puedo identificar amenazas a la seguridad de mi red?
¿Quién genera tráfico en Internet, cuándo y a qué hora se
genera el tráfico, desde qué computadora se genera el tráfico?
¿Cuál es el nivel de concurrencia en el servicio Internet?
ANÁLISIS DEL TRÁFICO DE LA RED
29. ANÁLISIS DEL TRÁFICO DE LA RED
Operación transparente para el usuario
Gestión y control:
❐ Captura de datos
❐ Análisis
Atención a políticas autorizadas por la empresa
Herramientas:
❐ Ethereal/tethereal
❐ Tcpdump/Windump
❐ Ntop
31. RESOLUCIÓN DNS
• Resolución inversa para correo (PTR).
• Envenenamiento del caché (DNS cache poisoning - pharming).
• Intercambio de datos sólo con servicios confiables (primario/secundario).
• Cifrado para el intercambio (MD5).
• Aseguramiento con nuevos tipos de registros: RRSIG, DNSKEY, NSEC, DS
32. FACTORES CRÍTICOS PARA SEGURIDAD DE LAS REDES
• Contar con la tecnología correcta.
• Ser paranoicos es bueno pero ... control, criterio, flexibilidad.
• Ser adaptable: dividir, segmentar, conmutar.
• Utilizar el protocolo apropiado para el tráfico pensado.
• Diseñar servicios para el monitoreo y mantenimiento -SNMP
• Asegurar la adecuada expansión -TCO/CTP
• Capacitar a los usuarios -capacitar, capacitar ...
• Proveer soporte inmediato -ISO 20000_2 (ITIL).
• Gestión -ISO 27002 (ISO17799:2001).
• Mantener en alto la confiabilidad de la red -SLA/ANS
• Proveer un servicio de soporte que realmente responda a las
necesidades del negocio -SLA/ANS