1. SEGURIDAD EN REDES CORPORATIVAS
Ing. Jack Daniel Cáceres Meza
jcaceres@rcp.net.pe
Julio 2007
II Simposio en Informática,
Redes y Comunicaciones de
Datos
2. Terminales de datos conectados a computadoras centrales
-mainframes, estaciones para entrada de datos, protocolos y
cableado definido por el proveedor
1960’s
1970’s Mini-computadoras, estaciones especializadas para la
automatización de oficinas, sistemas para control de
procesos
1980’s
Trabajo individual, computadoras personales,
comunicaciones dial–up, demanda por redes que
compartan recursos
1990’s
Mensajería local, flujo de trabajo coordinado,
comercio electrónico, procesos de negocio
integrados, empresas necesitan
interconectarse
2000’s Redes privadas virtuales, Internet ,
voz por Internet
CARACTERÍSTICAS
EVOLUCIÓN DE LAS REDES
5. PREPARADOS CONTRA ATAQUES DE INTRUSOS
• Una vez identificadas las vulnerabilidades se deben tratar y
minimizar los ___________
• Acciones: Detección, Escalamiento, Recuperación,
Valoración, Prevención
9. DICHOS SOBRE LA SEGURIDAD
• Lo único seguro es que, con el tiempo, la seguridad
informática se vuelve _____________
• Hay dos clases de ataques, el que _____________
sucedió y el que _______________ por suceder
10. PROBLEMAS EN LA SEGURIDAD
1. Login efectuado, pero PC sin atención
(blanqueo, bloqueo de teclado)
2. Carga de disquete (impedir la carga)
3. Acceso a la red (Identificación,
control de contraseñas)
4. Virus (software detector)
5. Capturar paquetes de datos (cifrado)
6. Datos sensibles (control de acceso,
cifrado)
7. Impresoras (revisar puertos)
8. Línea remota (modems de retro–
llamada, control de acceso remoto,
autentificar la llamada)
9. Conexiones de red (SW de control)
10.S.O. (deshabilitar comandos
peligrosos)
1
2
3
4
10
5
7
4 6
9 8
11. • La detección de fallas y el control deben ser:
– Continuos
– Manejados por fuentes con conocimiento
– Ejecutados en el “background”
– Una interrupción de prioridad cuando se
requiera
Alerta!
¿Help
Desk?
Consola de
administración
de la red
DETECCIÓN
12. SEGURIDAD BÁSICA DE REDES
• Diagnóstico
• Herramientas (ping, nslookup, tracert, arp)
• Método (diagrama de flujo, checklist, orden,
experiencia)
• Algunas formas de protección:
• Segmentación de la red
• L3 switching/routing
• IEEE802.1Q: VLAN
Seguridad de infraestructura
Seguridad lógica
Seguridad física
¿Qué protege?Concepto
14. BENEFICIOS DE LA SEGMENTACIÓN
• Ordenamiento de la red
• Reducción de riesgos de seguridad
• Proteger computadoras, servidores y servicios
• Aislamiento del tráfico entre segmentos
• Reducir dominios de colisión
• Diferenciación de servicios o servidores
• Correo, intranet, dominio
• Personalización o asignación de servicios
• Proxy (filtro), internet (canal de salida, ancho de
banda), correo (SMTP)
15. AYUDAS PARA LA SEGMENTACIÓN
• Ámbito = f(netmask –máscara de red)
• Dirección de red = dirección IP inicial
• Dirección de broadcast = dirección IP
final
• Número de redes = 2 número de 1’s en netmask
• Número de hosts = 2 número de 0’s en netmask
• Control = f(DHCP –Dynamic Host Control Protocol)
16. CLASES
• División por clases (primer octeto)
• A = 1-126 0xxx Máscara = 255.0.0.0
• B = 128-191 10xx Máscara = 255.255.0.0
• C = 192-223 110x Máscara = 255.255.255.0
• D = 1110
• E = 1111
• Reservas
• Pruebas internas:
• 127.0.0.1
• Direcciones privadas:
• 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
17. EJEMPLOS
• Escenario 1
• Segmentos requeridos: 5
• Número máximo de hosts x segmento: 5,000
• Dirección de red: 152.77.0.0
• Máscara de red propuesta: 255.255.224.0
• Número de subnets soportadas: 6
• Número máximo de hosts x subnet: 8,190
19. SUPERNETTING
• CIDR (Classless InterDomain Routing)
• VLSM (Variable Length Subnet Masking)
• Unir clases consecutivas (Clases C)
• Dividir ahorrando direcciones IP
• Primera clase debe ser divisible por dos
• /13 = 2048 clases C a /27 = 1/8 de clase C
21. VIRTUAL LAN
-VLAN
• Red de computadores que se comportan como si
estuviesen conectados al mismo cable, aunque
pueden estar en realidad conectados físicamente a
diferentes segmentos de una LAN
• Algunos tipos:
• VLAN basada en puerto
• VLAN basada en MAC
• VLAN basada en protocolo
• VLAN ATM –utiliza el protocolo LAN Emulation
(LANE)
• VLAN por subredes de IP
• VLAN definida por el usuario
24. ADMINISTRADOR DE ANCHO DE BANDA
Gestión del ancho de
banda
Clasifica y prioriza
el tráfico de Internet
Atención a
requerimientos del
usuario
25.
26. FILTRO DE CONTENIDO
¿Quién navega en mi red, cuándo y a qué
hora navega, desde qué computadora y
hacia dónde navega?
¿Quién efectúa descargas en mi red, qué
descarga, cuándo y a qué hora efectúa las
descargas, desde qué computadora efectúa
las descargas, de qué tamaño son las
descargas?
¿Cuál es el nivel de concurrencia y de
consumo en el servicio Internet?
27. FILTRO DE CONTENIDO
Operación transparente para el usuario
Gestión y control:
❐ Para el acceso a ciertas páginas Web
❐ Para la descarga de ciertos archivos
Atención a políticas autorizadas por la
empresa
28.
29.
¿Por qué experimento lentitud en mi red?
¿Necesito invertir en mayor ancho de banda?
¿Cómo puedo identificar amenazas a la
seguridad de mi red?
¿Quién genera tráfico en Internet, cuándo y
a qué hora se genera el tráfico, desde qué
computadora se genera el tráfico?
¿Cuál es el nivel de concurrencia en el
servicio Internet?
ANÁLISIS DEL TRÁFICO DE LA RED CONTENIDO
30. ANÁLISIS DEL TRÁFICO DE LA RED CONTENIDO
Operación transparente para el usuario
Gestión y control:
❐ Captura de datos
❐ Análisis
Atención a políticas autorizadas por la
empresa
Herramientas:
❐ Ethereal/tethereal
❐ Tcpdump/Windump
❐ Ntop
31.
32.
33. FACTORES CRÍTICOS PARA SEGURIDAD DE LAS REDES
• Contar con la tecnología correcta
• Ser paranoicos es bueno pero ... control, criterio, flexibilidad
• Ser adaptable: dividir, segmentar, conmutar
• Utilizar el protocolo apropiado para el tráfico pensado
• Diseñar servicios para el monitoreo y mantenimiento -SNMP
• Asegurar la adecuada expansión -TCO/CTP
• Capacitar a los usuarios -capacitar, capacitar ...
• Proveer soporte inmediato -ISO 20000_2 (ITIL)
• Gestión -ISO 27002 (ISO17799:2001)
• Mantener en alto la confiabilidad de la red -SLA/ANS
• Proveer un servicio de soporte que realmente responda a las
necesidades del negocio -SLA/ANS