Post on 23-Jan-2016
Seguridad Aplicada a un Carrier TransaccionalSeguridad Aplicada a un Carrier Transaccional
Objetivo
• Conocer la infraestructura de los participantes• Evidenciar las fallas de seguridad comúnmente
heredadas• Plantear las posibles soluciones a eventos de
seguridad• Conocer herramientas para la protección de los
sistemas de información
Agenda
• Situación actual del cliente• Evaluación de la red cliente• Soluciones para la red cliente• Evaluaciones tecnológicas y alternativas• Equipos para seguridad• Hardware• Routers• Switch• Servidores
• Software• Check Point
Agenda
• Implementación• Instalación de Firewall en Server cliente• Instalación de Software de administración Firewall
en cliente y en carrier• Configuración de políticas de seguridad y
Verificación de reglas• Análisis Económico• Demostración
Situación Actual del Cliente.
Situación Actual del Cliente.
• Posee 3 Oficinas:•1 matriz en Gye•1 Suc.Mayor en Uio y •1 Ventanilla U.Agraria Gye
• Servicios que brinda:•ATM BANRED•SERVIPAGOS•BANCO CENTRAL•SITA•VISA OPTAR•MULTISERVICE
Situación Actual del Cliente.Universidad
Agraria
Internet
Ventanilla Usuario
ServersPRODUCCION
ServersDesarrollo-BackUp
ClienteMatriz Guayaquil
Ventanilla
Usuario deInternet
OPTAR
BCE
ClienteSuc.Quito
BanredCajeros
Matriculación
SITA
Ventanilla Usuario
Ventanilla Usuario
Ventanilla Usuario
128 Kbps IMPSAT
Ventanilla Usuario
Servipagos
Ventanilla Usuario
Open Door
Ventanilla
Usuario deE-Mail
Otros Usuarios(Navegación)
ISA Server
Usuario deE-Mail
Situación Actual del Cliente.EnlaceEnlace ProveedorProveedor VelocidadVelocidad Protocolo Protocolo
Transp.Transp.ClienteCliente
Gye-Uio Porta 256 Kbps Frame-Relay Banco Amazonas
Gye-Gye Suratel 32 Kbps Frame-Relay Banred
Gye-Uio Impsat 32 Kbps Frame-Relay Visa Optar
Gye-Uio Línea Dedicada 9.6 Kbps PPP Multiservice
Gye-Gye Improline 11 Mbps Clear Channel
Banco Central
Gye-Gye Sita 19.2 Kbps X.25 SITA
Gye-Gye Impsat 64 Kbps Clear Channel
U.Agraria
Gye-Gye Porta 128 Kbps Frame-Relay Internet
Gye-Uio Impsat 128 Kbps Frame-Relay ServiPagos
Gye-Uio Teleholding 64 Kbps Clear Channel
E.Respaldo
SW011004IP: 10.1.251.104
Vlan 1, Vlan 4, Vlan 100, Vlan 209, Vlan 215
SW011003IP: 10.1.251.103Vlan 1, Vlan 100: 1-24
SW011002IP: 10.1.251.102Vlan 1Vlan 101: 1-5Vlan 209: 19,20Vlan 215: 6-18Vlan 217: 22-24Vlan 218: 21
SW011029IP: 10.1.251.29Vlan 1: 1Vlan 210: 2-24
SW011025IP: 10.1.251.25Vlan 210: 1-7,9Vlan 215: 8,10-24
SW011001IP: 10.1.251.101Vlan 210: 1-13,15,17-24Vlan 215: 14 Vlan 216: 16
SROOT1IP: 10.1.251.1
SROOT2IP: 10.1.251.2
DESAR-MATFas 0 10.1.239.24Fas 1 10.1.213.20
G4/6
G0/1
G0/2
G0/1
G0/1
G0/2
G4/6
G0/2
G3/17G3/17
G0/1G0/2
G4/17G4/17
G0/1 G0/2
F0/24
F0/23
Fas 0
Fas 1
G2/17G2/17
G0/2
G0/1
Situación Actual del Cliente.
Situación Actual del Cliente.
• Backbone Lan:• 2 Switch Cisco Catalyst 4506 (Core)• 1 Switch 2950T Giga Ethernet por piso• Esquema de red basado en VLAN• Calidad de servicio (QoS)• Spanning Tree
• Backbone Wan:• Enlace microonda entre Uio y Gye FR 256 Kbps • 2 CISCO 2621
Evaluación Red Cliente
Evaluación Red Cliente
• Vulnerabilidades:• No Firewall• No Listas de Acceso en Routers• No VPN´s• Hardware y Software obsoletos• Passwords fácilmente violables• Políticas de Respaldo insuficientes• No políticas de Seguridad• Seguridad Física deficiente• Software sin suscripciones, actualizaciones ó parches• Roles mal definidos• Personal descontento
Evaluación Red Cliente
UniversidadAgraria
Internet
Ventanilla Usuario
ServersPRODUCCION
ServersDesarrollo-BackUp
ClienteMatriz Guayaquil
Ventanilla
Usuario deInternet
OPTAR
BCE
ClienteSuc.Quito
BanredCajeros
Matriculación
SITA
Ventanilla Usuario
Ventanilla Usuario
Ventanilla Usuario
128 Kbps IMPSAT
Ventanilla Usuario
Servipagos
Ventanilla Usuario
Open Door
Ventanilla
Usuario deE-Mail
Otros Usuarios(Navegación)
ISA Server
Usuario deE-Mail
HACKER
Soluciones para la Red Cliente
Soluciones para la Red Cliente
• Soluciones:• Firewall-1 CheckPoint• Listas de Acceso en Routers Cisco• VPN´s site to site – remote access• Hardware y Software de última generación• Passwords que cumplan estándares de seguridad• Políticas de Respaldo eficientes• Políticas de Seguridad Centralizada• Seguridad Física 24 x 7 x 365• Software con suscripciones, actualizaciones y parches• Roles eficientes• Direccionamiento IP que cumpla estándares• Redes segmentadas física y lógicamente• Personal contento = 100% Productividad
Soluciones para la Red Cliente
Internet
Universidad Agraria
Ventanilla Usuario
OPTAR
BCE
Suc.Mayor Quito
Banred
ServiPagos
SITA
Ventanilla Usuario
Ventanilla Usuario
Ventanilla Usuario
Ventanilla Usuario
Ventanilla Usuario
Producción - BCK
Producción
Desarrollo
WWW - Email
Bono
Usuario
Usuario
Ventanilla
Ventanilla
IntranetSegura deServidores
IntranetSegura deUsuarios
Extranet
Fire - Wall
Internet
Bco.Amazonas Sucursal Gye
Hacker
Ventanilla Usuario
Multiservice
Soluciones para la Red Cliente
• Firewall-1 CheckPoint• Protección contra ataques con conocimiento de las
aplicaciones.• Control de acceso basado en Stateful Inspection.• Impide el acceso no autorizado a la red.• Elimina los ataques contra las aplicaciones de la
compañía.• Protección contra amenazas ya conocidas o nuevas.• Seguridad de contenido.• Autenticación flexible.• Traducción integrada de direcciones de red.• Administración de VPN´s.
Soluciones para la Red Cliente
• Listas de Acceso en Routers Cisco• Control de direcciones origen/destino.• Permitir acceso controlado a aplicaciones por
dirección y puerto.• Registrar logeos.
• VPN´s site to site – remote access• Administrar y crear VPN´s entre redes corporativas.• Administrar y crear VPn´s para usuarios mòviles por
internet/RAS/Dial-up.• Encripción de todo el tráfico de punta a punta.• Autenticación de usuarios.• Evitar el robo de información.
Soluciones para la Red Cliente
• Hardware y Software de última generación• Switches-Routers (OSPF, HSRP, VLAN)• Servers inteligentes.• Alta disponibilidad.• Escalabilidad.
• Passwords que cumplan estándares de seguridad• No usar palabras de diccionario.• No usar nombres, fechas.• Password deben tener como mínimo 13 caracteres
combinando números-letras-símbolos.• Usar algoritmos para generar claves aleatorias.• Cambiar passwords por períodos de tiempo.• Usar tokens de seguridad.
Soluciones para la Red Cliente
• Políticas de Respaldo eficientes• Centralizar respaldos.• Documentar procesos de respaldos.• Automatizar respaldos (robots).• Calendarizar respaldos.
• Políticas de Seguridad Centralizadas• Crear un área de seguridad lógica.• Documentar procesos de seguridad.• Automatizar la seguridad (accesos, passwords).
• Seguridad Física 24 x 7 x 365• Accesos controlados por guardias de seguridad.
Soluciones para la Red Cliente
• Software con suscripciones, actualizaciones y parches.
• Administrar las actualizaciones de software.• Mantener up-to-date el software crítico.• Suscribirse a newsletter y advisories de los
fabricantes.
• Roles eficientes• “Zapatero a tus zapatos”.• Administrar eficientemente al personal.• Concentizar al personal de la importancia de la
seguridad.
Soluciones para la Red Cliente
• Direccionamiento IP que cumpla estándares• No usar direccionamiento público en redes privadas.• Reforzar el uso de NAT.• Aplicar el uso de subnetting.
• Redes segmentadas física y lógicamente• Separar física y lógicamente los elementos activos de
la red.• Crear Vlan´s.• Aislar los equipos de computación críticos.
• Personal contento = 100% Productividad• El 99% de los ataques provienen de adentro.
Evaluaciones Tecnológicas y Alternativas
Evaluaciones Tecnológicas y Alternativas
Equipos para Seguridad (Hardware)
Equipos para Seguridad (Hardware)
• Router Cisco 2621
• 2 Lan 10/100/1000• 2 Wan WIC2T• 1 AIM
Equipos para Seguridad (Hardware)
• Switch Cisco Catalyst WS-4506
7 81 2 3 4 5 6 23 2417 18 19 20 21 2215 169 10 11 12 13 14
7 81 2 3 4 5 6 23 2417 18 19 20 21 2215 169 10 11 12 13 14
7 81 2 3 4 5 6 23 2417 18 19 20 21 2215 169 10 11 12 13 14
Console MNT
STATUS
• 24 10/100/1000/Gigabit Ports
• Fuentes Redundantes• FO Ports• QoS• VLan
Equipos para Seguridad (Hardware)
• IBM Xseries 206• Pentium IV 2.8 Ghz• 1 GB Ram• 36.4 GB SCSI Hard Disk• 4 NIC´s 10/100/1000
Equipos para Seguridad (Software)
Equipos para Seguridad (Software)• Check Point Express SC3-250-NG
• Incluye: SmartCenter Express Management, one VPN-1 Express Gateway protecting 250 users, SmartDefense and VPN-1 SecuRemote users
• Provee seguridad corporativa completa para organizaciones de hasta 250 usuarios.- Incluye SmartCenter para gestión de la política de seguridad para 3 sitios o puntos de reforzamiento; y un gateway VPN-1 Express. Este último comprende a su vez el módulo de protección Firewall-1.
• SS-CPXP-SC3-250• Suscripción de Software1 Check Point Express, 250
usuarios• Suscripción de Software de Check Point es un programa
de soporte que brinda al usuario derecho de obtención en forma gratuita de upgrades de versión, paquetes de servicio (service packs) y mejoras parciales del software adquirido
• VPN-1 CLIENT• 25 VPN-1 SecuRemote
Implementación
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Firewall en Server Cliente
Instalación de Software de administración Firewall en cliente y en carrier
Instalación de Software de administración Firewall en cliente y en carrier
Instalación de Software de administración Firewall en cliente y en carrier
Instalación de Software de administración Firewall en cliente y en carrier
Instalación de Software de administración Firewall en cliente y en carrier
Configuración de Políticas de Seguridad y Verificación de Reglas
Configuración de Políticas de Seguridad y Verificación de Reglas
Análisis Económico
Análisis Económico (Hardware y Software)Descripción de Equipos (Hardware) CANTIDAD PRECIO PRECIO
Unit Dolls Tot. Dolls
Servidor IBM Xseries Modelo 206 2 1700,00 3400,00
SERVICIOS (Capacitación, Instalación y Configuración) 2 1500,00 3000,00
TOTAL GASTOS 6400,00
IVA 768,00
TOTAL INVERSION HARDWARE 7168,00
Descripción de Programa de Aplicación CANTIDAD PRECIO PRECIO
Unit Dolls Tot. Dolls
CPXP-SC3-250-NG 1 9500,00 9500.00
SS-CPXP-SC3-250 1 1600,00 1600,00
TOTAL GASTOS 11100,00
IVA 1332,00
TOTAL INVERSION SOFTWARE 12432,00
Análisis Económico (Resumen)
Descripción de Programa de Aplicación CANTIDAD PRECIO PRECIO
Unit Dolls Tot. Dolls
TOTAL INVERSION HARDWARE 1 7168,00 7168,00
TOTAL INVERSION SOFTWARE 1 12432,00 12432,00
TOTAL GENERAL 19600,00
Demostración
Demostración
Firewall CARRIERCLIENTE
20.1.4.920.1.4.10 10.1.4.9 10.1.4.8
FTP SERVERFTP CLIENTE
EXTRANETINTRANET
Internet
Seguridad Aplicada a un Carrier TransaccionalSeguridad Aplicada a un Carrier Transaccional