Seguridad en redes corporativas I
•
1 recomendación•444 vistas
Seguridad en redes corporativas I, una introducción
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Similar a Seguridad en redes corporativas I
Similar a Seguridad en redes corporativas I (20)
Más de Jack Daniel Cáceres Meza
Más de Jack Daniel Cáceres Meza (20)
Último
Último (18)
Seguridad en redes corporativas I
- 1. SEGURIDAD EN REDES CORPORATIVAS Ing. CIP Jack Daniel Cáceres Meza jcaceres@rcp.net.pe Setiembre 2007
- 2. Terminales de datos conectados a computadoras centrales - mainframes, estaciones para entrada de datos, protocolos y cableado definido por el proveedor 1960’s 1970’s Mini-computadoras, estaciones especializadas para la automatización de oficinas, sistemas para control de procesos 1980’s Trabajo individual, computadoras personales, comunicaciones dial–up, demanda por redes que compartan recursos 1990’s Mensajería local, flujo de trabajo coordinado, comercio electrónico, procesos de negocio integrados, empresas necesitan interconectarse 2000’s Redes privadas virtuales, Internet , voz por Internet CARACTERÍSTICAS EVOLUCIÓN DE LAS REDES
- 3. Fuente: Ericsson CINTEL – Centro de Investigación de las Telecomunicaciones TRANSFORMACIÓN DE LAS INDUSTRIAS
- 5. PREPARADOS CONTRA ATAQUES DE INTRUSOS • Una vez identificadas las vulnerabilidades se deben tratar y minimizar los ___________ • Acciones: Detección, Escalamiento, Recuperación, Valoración, Prevención
- 9. SOPORTE ITIL: MEJORES PRÁCTICAS PARAADMINISTRAR SERVICIOS DE TITareasdiarias Planeamientoy mejoraalargo plazo
- 10. DICHOS SOBRE LA SEGURIDAD • Lo único seguro es que, con el tiempo, la seguridad informática se vuelve _____________ • Hay dos clases de ataques, el que _____________ sucedió y el que _______________ por suceder
- 11. PROBLEMAS EN LA SEGURIDAD 1. Login efectuado, pero PC sin atención (blanqueo, bloqueo de teclado) 2. Carga de disquete (impedir la carga) 3. Acceso a la red (Identificación, control de contraseñas) 4. Virus (software detector) 5. Capturar paquetes de datos (cifrado) 6. Datos sensibles (control de acceso, cifrado) 7. Impresoras (revisar puertos) 8. Línea remota (modems de retro–llamada, control de acceso remoto, autentificar la llamada) 9. Conexiones de red (SW de control) 10. S.O. (deshabilitar comandos peligrosos) 1 2 3 4 10 5 7 4 6 9 8
- 12. • La detección de fallas y el control deben ser: – Continuos – Manejados por fuentes con conocimiento – Ejecutados en el “background” – Una interrupción de prioridad cuando se requiera Alerta! ¿Help Desk? Consola de administración de la red DETECCIÓN
- 13. BENEFICIOS DE LA SEGMENTACIÓN • Ordenamiento de la red • Reducción de riesgos de seguridad • Proteger computadoras, servidores y servicios • Aislamiento del tráfico entre segmentos • Reducir dominios de colisión • Diferenciación de servicios o servidores • Correo, intranet, dominio • Personalización o asignación de servicios • Proxy (filtro), internet (canal de salida, ancho de banda), correo (SMTP)
- 14. CLASES • División por clases (primer octeto) • A = 1-126 0xxx Máscara = 255.0.0.0 • B = 128-191 10xx Máscara = 255.255.0.0 • C = 192-223 110x Máscara = 255.255.255.0 • D = 1110 • E = 1111 • Reservas • Pruebas internas: • 127.0.0.1 • Direcciones privadas: • 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
- 15. AYUDAS PARA LA SEGMENTACIÓN • Ámbito = f(netmask –máscara de red) • Dirección de red = dirección IP inicial • Dirección de broadcast = dirección IP final • Número de redes = 2 número de 1’s en netmask • Número de hosts = 2 número de 0’s en netmask • Control = f(DHCP –Dynamic Host Control Protocol)
- 16. EJEMPLOS • Escenario: • Segmentos requeridos: 5 • Número máximo de hosts x segmento: 5,000 • Dirección de red: 152.77.0.0 • Máscara de red propuesta: 255.255.224.0 • Número de subnets soportadas: 6 • Número máximo de hosts x subnet: 8,190
- 17. EJEMPLO DE UNA RED
- 18. SUPERNETTING • CIDR (Classless InterDomain Routing) • VLSM (Variable Length Subnet Masking) • Unir clases consecutivas (Clases C) • Dividir ahorrando direcciones IP • Primera clase debe ser divisible por dos • /13 = 2048 clases C a /27 = 1/8 de clase C
- 19. EJEMPLO
- 20. VIRTUAL LAN -VLAN • Red de computadores que se comportan como si estuviesen conectados al mismo cable, aunque pueden estar en realidad conectados físicamente a diferentes segmentos de una LAN • Algunos tipos: • VLAN basada en puerto • VLAN basada en MAC • VLAN basada en protocolo • VLAN ATM –utiliza el protocolo LAN Emulation (LANE) • VLAN por subredes de IP • VLAN definida por el usuario
- 21. EJEMPLO
- 23. ADMINISTRADOR DE ANCHO DE BANDA Gestión del ancho de banda Clasifica y prioriza el tráfico de Internet Atención a requerimientos del usuario Rate limit QoS
- 24. ADMINISTRADOR DE ANCHO DE BANDA
- 26. FILTRO DE CONTENIDO ¿Quién navega en mi red, cuándo y a qué hora navega, desde qué computadora y hacia dónde navega? ¿Quién efectúa descargas en mi red, qué descarga, cuándo y a qué hora efectúa las descargas, desde qué computadora efectúa las descargas, de qué tamaño son las descargas? ¿Cuál es el nivel de concurrencia y de consumo en el servicio Internet?
- 27. FILTRO DE CONTENIDO Operación transparente para el usuario Gestión y control: ❐ Para el acceso a ciertas páginas Web ❐ Para la descarga de ciertos archivos Atención a políticas autorizadas por la empresa
- 28. ¿Por qué experimento lentitud en mi red? ¿Necesito invertir en mayor ancho de banda? ¿Cómo puedo identificar amenazas a la seguridad de mi red? ¿Quién genera tráfico en Internet, cuándo y a qué hora se genera el tráfico, desde qué computadora se genera el tráfico? ¿Cuál es el nivel de concurrencia en el servicio Internet? ANÁLISIS DEL TRÁFICO DE LA RED
- 29. ANÁLISIS DEL TRÁFICO DE LA RED Operación transparente para el usuario Gestión y control: ❐ Captura de datos ❐ Análisis Atención a políticas autorizadas por la empresa Herramientas: ❐ Ethereal/tethereal ❐ Tcpdump/Windump ❐ Ntop
- 30. ANÁLISIS DEL TRÁFICO DE LA RED: resultados
- 31. RESOLUCIÓN DNS • Resolución inversa para correo (PTR). • Envenenamiento del caché (DNS cache poisoning - pharming). • Intercambio de datos sólo con servicios confiables (primario/secundario). • Cifrado para el intercambio (MD5). • Aseguramiento con nuevos tipos de registros: RRSIG, DNSKEY, NSEC, DS
- 32. FACTORES CRÍTICOS PARA SEGURIDAD DE LAS REDES • Contar con la tecnología correcta. • Ser paranoicos es bueno pero ... control, criterio, flexibilidad. • Ser adaptable: dividir, segmentar, conmutar. • Utilizar el protocolo apropiado para el tráfico pensado. • Diseñar servicios para el monitoreo y mantenimiento -SNMP • Asegurar la adecuada expansión -TCO/CTP • Capacitar a los usuarios -capacitar, capacitar ... • Proveer soporte inmediato -ISO 20000_2 (ITIL). • Gestión -ISO 27002 (ISO17799:2001). • Mantener en alto la confiabilidad de la red -SLA/ANS • Proveer un servicio de soporte que realmente responda a las necesidades del negocio -SLA/ANS
- 33. BIBLIOGRAFÍA • http://www.redbooks.ibm.com/redbooks/pdfs/sg244986.pdf • http://www.oreilly.com/catalog/wintcp/chapter/ch11.html • http://www.mis.ntpu.edu.tw/academe/91_2/IS/security01.ppt • http://www.itu.int/ITU- T/worksem/hnhs/conclusions/S5_KN_conclusion.ppt • http://www.iso-17799.com/ • http://www.tcpipguide.com/free/t_IPVariableLengthSubnetMaskingVLS M-3.htm • http://public.pacbell.net/dedicated/cidr.html • http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/11 3ed_cr/switch_c/xcvlan.htm#xtocid157791 • http://www.ietf.org/