Академический Документы
Профессиональный Документы
Культура Документы
Documentacin
Modificaciones al Documento Elaboracin del documento Se agrega la segunda parte del documento Actualizacin de Fabricantes Se agrega Puerto Seguro, VPNs, Filtrado correo, Clean pipe, Regulaciones. Se actualizan temas anteriores
INDICE
1 2 3 4 5 OBJETIVOS............................................................................................. 5 AUDIENCIA ............................................................................................. 5 INTRODUCCIN ..................................................................................... 6 TENDENCIAS DE SEGURIDAD ............................................................. 6 QU ES LA SEGURIDAD? ................................................................... 9 5.1 Riesgos, Amenazas y Vulnerabilidades. ..................................... 10 5.2 Anlisis de riesgos....................................................................... 11 5.3 Principios Fundamentales de la Seguridad ................................. 13 5.4 Marcos de Referencia o modelos de la Seguridad ...................... 13 5.5 Ataques ....................................................................................... 14 5.6 Controles de Seguridad ............................................................... 21 5.7 Mejores Prcticas de Seguridad Empresarial en General ........... 23 5.8 Framework de Seguridad Telmex................................................ 23 SOLUCIONES DE SEGURIDAD PERIMETRAL ................................... 25 6.1 Permetro ..................................................................................... 25 6.2 Qu es un Firewall? .................................................................. 26 6.3 Tecnologas de Firewalls ............................................................. 27 6.1 Qu puede hacer un Firewall? .................................................. 28 6.2 Qu no puede hacer un Firewall? ............................................. 28 6.3 Esquemas de alta disponibilidad ................................................. 29 6.2 Recomendaciones de Diseo ...................................................... 35 DIMENSIONAMIENTO DE FIREWALLS ............................................... 39 7.2 Parmetros que proporciona el fabricante ................................... 39 7.3 Diseo y Dimensionamiento del equipo ...................................... 42 7.2 Lderes en la industria ................................................................. 46 UTM ....................................................................................................... 46 8.1 Qu es UTM? ............................................................................ 46 8.2 Que funciones desempea el UTM ............................................. 47 8.3 Capas donde operan las soluciones del UTM ............................. 48 8.4 Mercado objetivo del UTM ........................................................... 48 8.5 Caractersticas al evaluar una solucin UTM .............................. 48 8.6 Dimensionamiento del UTM ........................................................ 49 8.7 Pruebas de evaluacin sugeridas en un UTM ............................. 52 8.8 Posicionamiento en el mercado del UTM .................................... 53 8.9 Puerto Seguro ............................................................................. 53 IPS ......................................................................................................... 55 9.1 9.2 Qu es IPS? .............................................................................. 56 Por qu se requiere un IPS? ..................................................... 58
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
10
9.3 Tipos de IPS ................................................................................ 58 9.4 Cualidades que debe tener el IPS ............................................... 58 9.5 Escenarios de implementacin de IPS ........................................ 59 9.6 Ubicacin de IPSs ....................................................................... 61 9.7 Dimensionamiento de IPS ........................................................... 63 CLEAN PIPE (Trfico SEGURO) ........................................................... 66 10.2 Descripcin del Servicio .............................................................. 66 10.3 Componentes del servicio ........................................................... 66 VPNs y Encriptacin ............................................................................. 69 11.1 Qu es la Criptografa? ............................................................. 69 11.2 VPNs ........................................................................................... 70 11.3 Posicionamiento en el mercado................................................... 72 FILTRADO DE CONTENIDO WEB........................................................ 74 12.2 Que es el filtrado de contenido WEB ........................................... 74 12.3 Justificacin del filtrado de contenido .......................................... 75 12.4 Que puede hacer el filtrado de contenido Web? ....................... 75 12.5 Escenarios de implementacin .................................................... 76 12.6 Dimensionamiento del Filtrado de Contenido WEB ..................... 80 12.7 Posicionamiento en el mercado................................................... 82 FILTRADO DE CORREO ELECTRNICO............................................ 83 13.2 Lderes en el mercado ................................................................. 85 Seguridad en voz ip ............................................................................... 85 Regulaciones ......................................................................................... 86
11
12
13
14 15
1 OBJETIVOS
Definir los conceptos bsicos que usamos en Diseo de Seguridad en Redes. Proveer los lineamientos bsicos para el Diseo de Soluciones de Seguridad. Proveer la documentacin e informacin bsica de Seguridad a los interesados. Especificar los procedimientos para dimensionar las soluciones hacia nuestros Clientes. Alimentar la Base de Datos de Conocimiento de la empresa.
2 AUDIENCIA
Este documento est dirigido a: El rea de Diseo de Soluciones (Especficamente Consultores que desarrollan las propuestas de Seguridad) Todo aquel que tenga contacto con soluciones de seguridad del cliente. Todas las reas internas de Consultora y Diseo de Soluciones. Este documento no est dirigido a reas de Ingeniera de Campo u Operaciones.
Para entender este documento se requiere conocimiento y experiencia en: LAN, WAN (Capa 2 y 3, IP,ICMP, ARP, RARP etc.) Protocolos de transporte TCP, UDP. Modelo OSI Experiencia en diseo de redes WAN Conocimientos bsicos de Seguridad Perimetral Entendimiento de protocolos de aplicacin (HTTP, SMTP, DNS, POP3 etc)
3 INTRODUCCIN
La informacin es el activo intangible ms valioso de una organizacin Actualmente Telmex ofrecen Servicios y Soluciones de Seguridad que no estn acotadas ms que a la parte de Seguridad Perimetral, lo que nos deja una amplia gama de soluciones que debemos disear como trajes a la medida para los clientes. Si a lo anterior se suma el hecho que dentro de las tecnologas que est empujando el mercado estn los servicios de seguridad implcitos en la nube del carrier, como Clean Pipes y SecaaS, estamos frente a un buen reto. En la mayora de los proyectos que involucran soluciones que no son estndar nos topamos con que requerimos ayuda de fabricantes y proveedores especializados para poder Disear e Implementar este tipo de Soluciones. Este documento tiene como objetivo entre otras cosas, alinear los parmetros de diseo que debemos tomar en cuenta para su desarrollo. Hoy en da cada quien disea como su entendimiento se lo indica, y no existe ninguna manera estndar de dimensionar, interconectar o especificar las distintas soluciones que podemos ofrecer. Aun cuando Telmex ha adquirido a la empresa Scitum, las soluciones de seguridad perimetral, en su mayora son diseadas por C&D de Red Uno, adems de que la familia de productos y servicios de Scitum an no estn integrada al catlogo de soluciones Telmex.
4 TENDENCIAS DE SEGURIDAD
En la siguiente grafica se muestra la sofisticacin de los ataques contra el conocimiento requerido para atacar sistemas a lo largo del tiempo.
La grafica anterior muestra que a lo largo del tiempo las herramientas de ataque informtico van siendo ms sofisticadas, mientras que al mismo tiempo requieres menos conocimiento o especializacin para usar estas herramientas de ataque. Esto no deja lugar a duda de que al paso del tiempo la seguridad se vuelve un insumo cada vez ms importante.
El costo de la implementacin de medidas de seguridad no es trivial; sin embargo, slo es una fraccin del costo que supone mitigar un incidente de seguridad. La encuesta sobre seguridad y delitos informticos del Instituto de seguridad de equipos y de la Oficina Federal de Investigacin (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las prdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren. La encuesta demuestra que los ataques de denegacin de servicio (DoS, Denial Of Service) y de robo de informacin son los responsables de las mayores prdidas.
Top 10 amenazas a la seguridad de la Informacin (2010) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Software Malicioso (Malware) (DoS, gusanos, trojanos, etc.) Empleados maliciosos Explotacin de vulnerabilidades Empleados descuidados Ataques a los dispositivos mviles Ataques va las redes sociales Ingeniera social Ataques nuevos o de da cero Amenazas a la seguridad en el cmputo en la nube Cyber espionaje
spam zombies rank, phishing web site hosts rank, bot rank and attack origin, to substantiate its cybercrime ranking.)
QU ES LA SEGURIDAD?
La realidad es que la filosofa de la seguridad dice que los datos ms importantes del cliente son..los suyos..todos. El cliente difcilmente distingue por si mismo cuales son los datos ms relevantes. Para esto existen los procedimientos clasificacin de la informacin y anlisis de riesgos.
10
La alteracin de datos implica su modificacin. Un ejemplo sera alterar el contenido del cookie de un cliente. El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sera que un usuario cargue datos dainos en el sistema cuando en ste no se puede realizar un seguimiento de la operacin. La divulgacin de informacin implica la exposicin de informacin ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgacin de informacin es la capacidad de un intruso para leer archivos mdicos confidenciales a los que no se le ha otorgado acceso. Los ataques de denegacin de servicio privan a los usuarios del servicio normal. Un ejemplo de denegacin de servicio consistira en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP. La elevacin de privilegios es el proceso que siguen los intrusos para realizar una funcin que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegtima.
Amenzas-vulnerabilidades-riesgos-bienes-exposicion-control
11
4. Calcular la posible prdida anualmente 5. Tomar una decisin (Aceptar, Transferir, Terminar, Reducir) Ejemplo: 1. Tenemos un Centro de Datos de 1,000,000 de pesos 2. Una inundacin puede ocurrir y se puede daar un 25% (Equipos de la PB) = 250, 000 sera mi perdida si realizamos la multiplicacin. 3. Qu tan frecuente es? si considero que los ltimos aos ha habido 1 inundacin cada 10 aos. 4. Si realizo el clculo 250,000 * .1 = 250,000 = 25000 = prdida anual 5. Tomo una decisin: Acepto el riesgo, me arriesgo y no invierto en mas Transfiero el riesgo a un seguro por los equipos Dejo de utilizar la PB Implemento algn tipo de control que me implique un costo menor de 25000 anuales Anlisis de riesgo cualitativo: Est basado en escenarios y opiniones. No Asigna nmeros ni valores monetarios a los elementos en el proceso de anlisis, lo que realiza es proponer escenarios, donde se ponderan la posibilidad y el impacto.
12
Confidencialidad: Es la propiedad de la informacin, por la que se garantiza que est accesible nicamente a personal y sistemas autorizados a acceder a dicha informacin Integridad: Es la propiedad de la informacin que garantiza que los datos que provee los sistemas son correctos y confiables. La informacin solo puede ser cambiada por las personas o entes autorizados a hacerlo. Disponibilidad: Quiere decir que los recursos de red y los sistemas de informacin deben estar siempre disponibles para los usuarios autorizados. Los principales ataques en Internet estn dirigidos a vulnerar este rubro.
Lo anterior nos deja claro qu es lo que debemos proteger de la informacin. Y de esto parte todo lo que debemos implementar para protegerla. (Se conoce como la Triada CIA)
13
informacin. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.Cmo lo podemos hacer? ISO: ISO/IEC 27001: Basado en el estndar britnico BS7799 parte 2, est enfocado a establecer, implementar, controlar y mejorar el Sistema de Administracin de Seguridad de la Informacin (ISMS). (Certifican empresas) Lo que deberamos ser? ISO/IEC 27002: Cdigo de consejos y buenas prcticas para el ISMS, basado en el estndar britnico BS7799 parte 1, tambin conocido como el ISO 17799. (Certifican individuos) Qu debemos hacer? ISO/IEC 27004: Un estndar para mtricas en la administracin de la seguridad ISO/IEC 27005: Implementar seguridad de la informacin basado en un esquema de administracin del riesgo ISO/IEC 27006: Una gua para certificarse ISO/IEC 27799: Gua para proteger informacin personal relacionada a al salud Marco de referencia de riesgo: Risk IT Framework: Define, de manera fundamentada, una serie de guas para la gestin eficaz de los riesgos. Dichas guas son generalmente aceptadas sobre la base de los principios de la gestin del riesgo, que se han aplicado en el campo de las TI. El modelo de proceso de RISK IT est diseado y estructurado para que las organizaciones puedan aplicar los principios en la prctica y comparar sus resultados.
5.5 Ataques
Conocer aprender a perspectiva comprender las diferentes etapas que conforman un ataque informtico brinda la ventaja de pensar como los atacantes y a jams subestimar su mentalidad. Desde la del profesional de seguridad, se debe aprovechar esas habilidades para y analizar la forma en que los atacantes llevan a cabo un ataque.
14
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de informacin (Information Gathering) con respecto a una potencial vctima que puede ser una Npersona u organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster Diving, el sniffing. Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP, nombres de host, datos de autenticacin, entre otros. Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a travs de la explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploracin. lgunas de las tcnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Dnial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).
No existe en el mundo un elemento invulnerable Existen diferentes ataques dirigidos a vulnerar los diferentes Objetivos de la seguridad de la informacin, en este contexto existen ataques para vulnerar: La disponibilidad de la informacin o de los servicios que la proveen, entre los ataques ms conocidos para vulnerar la disponibilidad son los DoS, DDoS La confidencialidad de la informacin, por ejemplo las tcnicas de Suplantacin de Identidad, como IP Spoofing y Phishing. La Integridad de la informacin, como Salami Attacks o Session Hijacking.
Ataques a la Disponibilidad de la Informacin. No podemos evitar las amenazas, lo ms que podemos hacer es tomar las medidas necesarias para protegernos de ellas En general podemos mencionar DoS, DDoS, Botnets, TCP SYN Floods, ICMP floods, Ataques fsicos al ambiente de computo. DoS (Denial of Service) Intenta tirar o dejar inaccesible un servicio de Internet o de datos como paginas WEB, Correo electrnico, FTP, etc. Se requiere poco esfuerzo para hacer el ataque, y esto lo convierte en uno de los ataques favoritos de los Crackers. No se intenta obtener informacin ni invadir un sistema, simplemente se trata de dejar fuera de alcance los servicios de tu objetivo. Lo tpico es enviar cantidades muy grandes de solicitudes del servicio al servidor, esto hace que se vuelva extremadamente lento el procesador, adems de que tiene una capacidad limitada para atender solicitudes, lo que consecuentemente puede provocar alguno de dos problemas: El procesador del servidos se satura por la cantidad de interrupciones, y hace que el equipo se apague, o bien, el servidor se ve tan lleno de solicitudes del
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
15
atacante, que ay no puede atender a los usuarios validos. Ejemplos de este tipo de ataques: o TCP SYN Flooding: Explota una vulnerabilidad del mecanismo de funcionamiento de TCP, el llamado Three-Way Handsake. Para completar una sesin de TPC se necesita enviar un SYN, el destino contestara un SYN y pedir un ACK, el origen responde con otro ACK y entonces la sesin queda establecida. Este ataque se basa en nunca contestar al destino el ltimo ACK, de manera que la sesin nunca termina de establecerse, y el Server se queda esperando. Si esto lo haces 10,000 veces, se acaba la capacidad del servidor de abrir sesiones, y ya no se puede accesar a ese servidor.
16
ICMP echo-request floods: El los firewalls es muy tpico permitir el uso de los ICMPs como Pings y Traceroutes para darle troubleshooting a las redes, por esta misma razn se usan para crear ataques, por ejemplo: Ping de la muerte: Usa paquetes muy grandes y muy numerosos para saturar, alentar y eliminar una mquina. ICMP Fragments: Se usan para llenar el buffer de reensamble de un dispositivo, obligndole a ya no recibir peticiones IP
17
DDoS (Distributed DoS) El objetivo es el mismo que en un DoS, pero el ataque se genera de mltiples puntos, que atacan un objetivo comn. Esto hace que haya mucho mayor flujo de trfico y solicitudes al servidor atacado, y lo inutiliza ms rpidamente. Para hacer este tipo de ataques el cracker instala un programa llamado Zombie, a un grupo de maquinas en el Internet, esto le permite al cracker tener control sobre recursos de esta computadora. Un control maestro centralizado le permite al cracker iniciar el ataque distribuido, al indicarle al grupo de mquinas que manden trfico malicioso hacia la misma victima. BotNets.- Es una coleccin de computadoras comprometidas corriendo programas bajo una infraestructura de control y comando comn. Un canal cubierto es usado para controlar la BotNet (tpicamente un IRC). A las mquinas o programas controlados (o para control) se les llama zombies. Las BotNets se usan para atacar simultneamente un objetivo comn y ponerlo fuera de servicio. (DDoS)
Ataques a la Confidencialidad de la informacin. Estas ocurren cuando un atacante tiene acceso a informacin sensible, y se dan por fallan en los sistemas de Control de Acceso, o por intercepcin de datos en transito en una red. Estos ataques incluyen: Port Scan y Ping Sweeps: Estos son ataques muy comunes en para el primer paso de un proceso de ataque (Reconocimiento). Buscan identificar los servicios o puertos abiertos que existen en una red, identificar los host y dispositivos, identificar los sistemas operativos, y finalmente identificar las vulnerabilidades de una red, sistema o servidor. Casa con dos puertas, mala es de guardar Sniffers: Equipo o programa destinado a monitorear una red. Steganografa: Tcnica para ocultar informacin en otros objetos, como imgenes, para pasar mensajes, spywares o virus en los sistemas o computadoras. Phishing: Tcnica que se usa para adquirir de forma ilegal o por engaos informacin sensible de usuarios, como usernames y passwords, o detalles de cuentas bancarias o tarjetas de crdito. Para esto el ataque se disfraza de una entidad muy confiable (como un banco o institucin gubernamental, o amigo de confianza). Tipicamente se usa e-mail o Messenger para este tipo de ataques. Este se considera un ataque de Ingeniera Social. Pharming: Es un ataque dirigido a redireccionar el trfico de un sitio Web a otro. Esto se hace cambiando el archivo de Host en una mquina, o bien atacando vulnerabilidades en un servidor de DNS. Su uso va dirigido principalmente al sector financiero, y busca lograr robos de identidad, para posteriormente hacer fraudes.
Ataques a la Integridad de la informacin. Un ataque a la integridad de la informacin ocurre cuando el atacante logra cambiar, modificar o substituir informacin sensible. Ataques Salami: Es una serie de pequeos ataques que juntos logran ser un ataque muy grande. Para que esto ocurra, los ataques pequeos deben pasar desapercibidos. Trust Exploits: Es tomar ventaja de una maquina o servicio que tiene una relacin de confianza con un sistema, y aprovecharse de esta situacin. Por ejemplo en vez de atacar un servidor donde se encuentra la informacin que queremos, atacamos el Active Directory, que nos puede dar acceso a un servidor que probablemente sea ms difcil atacar directamente. Ataques de Password: Ataques dirigidos a obtener, adivinar o robar los passwords de un usuario. Por ejemplo:
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
18
Las contraseas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraos o Ataques de fuerza Bruta: Se usa un programa que inserta passwords de manera aleatoria en un sistema, o bien intenta probar todas las combinaciones posibles. Programas de Caballo de Troya: Es un programa que aparenta ser una aplicacin comn o de amplio uso, que captura un password, y lo pone a disponibilidad del atacante. Keyloggers: Son programas, y hasta dispositivos fsicos como USBs que capturan todos los caracteres que el usuario teclea en su teclado, de manera que todo se guarda en archivos de texto locales en un principio, y luego pueden ser enviados de forma remota automticamente por e-mail o Web para su anlisis. Ataques de Diccionario: Es similar a un ataque de fuerza bruta, sin embargo este est basado en un diccionario de palabras comnmente usadas para crear passwords.
Ataques en General que son muy comunes. Ataques de IP Spoofing: Es la tcnica que permite suplantar la direccin IP origen de un sistema con el fin de introducirse en otro. Se suplanta la IP de un sistema confiable (esto se hace en el campo del paquete que es la Source Address), para que el sistema que estoy atacando crea que los paquetes vienen de una fuente segura o con privilegios. Los ataques de IP Spoofin se usan para introducir otro tipo de ataques a los sistemas como pueden ser: o o o Ataques de MAN IN THE MIDLE Ataques de DoS Ataques de DDoS
Man-in-the-Middle: Es la tcnica de escuchar los paquetes que cruzan a travs de una red, existen varias maneras de hacer esto: o La primera es mandar los conocidos GARP (Gratuite ARPs) al sistema para convencerlo de que la MAC de mi mquina es la MAC del Next-hop- router o del Default Gateway. Si el sistema acepta mis ARP, empezar a enviar todos los paquetes a mi mquina, lo que yo hago es reenviarlos al destino valido o next-hop-router, as estar viendo todo el Trfico de la red, sin que los usuarios de la red se den cuenta. Otra tcnica es conectar un hub a la red o segmente que quiero capturar, o bien a un puerto Mirror o SPAN de un switch. De est manera el atacante puede escuchar el trfico, y si los sistemas internos no estn bien protegidos puede capturar usernames y passwords.
19
20
Controles Administrativos: Es la instauracin y el manejo de Polticas, Procedimientos, estndares y guas de seguridad hacia empleados, instalaciones, uso de recursosetc. Por ejemplo, Polticas de uso de aplicaciones por parte de los empleados (como SAP), quien puede usarlo, quien no, y como debe usarse. Controles Fsicos: Involucra controles de proteccin de las instalaciones como vigilancia, CCTV, deteccin de intrusos, accesos a reas restringidas, controles de incendio y del ambiente, etc. Controles Tcnicos: Involucran hardware, software y tecnologa de la informacin como Firewalls, Antivirus, IPSs, NAC, AAA,.etc.
La desconfianza es la madre de la seguridad Si en mi empresa implemento todos estos controles, puedo hablar de que tengo un esquema completo de seguridad. Si vemos el siguiente grfico, nos daremos cuenta de que la seguridad no solo son datos, si no que la seguridad de los datos descansa sobre la seguridad fsica, y est sobre la seguridad administrativa. Por lo tanto, la seguridad se debe de implementar en capas.
21
22
los ataques a sistemas informticos de seguridad se hacen desde dentro de las redes de los clientes, no desde afuera, de este 85% el 50% son empleados, o sea, los ataques los realizan empleados de las propias empresas, de manera intencional, accidental o por errores de procedimiento. Lo anterior ocurre sobre todo en el sector financiero, educativo y gobierno. En la cadena de la seguridad el eslabn ms dbil es el ser humano
23
24
6.1 Permetro
Definimos como permetro a la frontera entre dos o ms zonas, una interior que es segura, y una exterior en donde no tenemos ingerencia de la seguridad, por lo tanto se considera zona no segura. Los mecanismos que implementemos en esta frontera para protegernos de las amenazas de la zona exterior o no segura, se conocen como Seguridad Perimetral, y es un concepto que conlleva el uso de mltiples tcnicas y equipos. El concepto de Seguridad Perimetral viene del desarrollo de la Seguridad Fsica como tal, y se usaba para proteger instalaciones militares, policacas o bancos. Para protegerlas se implementaban tcnicas como muros, bardas electrificadas, cmaras de circuito cerrado, etc. Entonces nuestro primer problema es definir como tal el permetro de nuestra red, o bien, definir como tal las zonas que queremos proteger. Tpicamente el equipo que nos da la salida hacia fuera de nuestra red Privada es un Gateway, mejor conocido como Ruteador. Es tpico que este sea el equipo que nos transporta de una red privada hacia una red pblica (en el esquema ms sencillo). Es por esta razn que muchas veces se implementa la seguridad perimetral en el Enrutador, sin aadir mucho equipo adicional. Esto ltimo es barato pero dependemos de las capacidades de seguridad del ruteador, recordemos adems que el fin de este equipo es la traslacin de medios, y el enrutamiento de datos a su destino.
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
25
Como podemos ver la seguridad se implementa en capas o niveles, lo primero son Directivas y Procedimientos, despus viene la Seguridad Fsica, y despus empieza la parte informtica, de la cual debe implementarse primero la Seguridad Perimetral.
6.2 Qu es un Firewall?
Es un sistema grupo de sistemas que refuerzan las polticas de control de acceso entre dos redes. Entindase reforzar como el permitir aplicarlas. En otras palabras, es un equipo que nos permite aplicar polticas de acceso para el trfico que cursa entre dos redes. En principio provee dos servicios bsicos: Bloquea trfico indeseado Permite trfico deseable
Al mismo tiempo un Firewall permite dividir la red en distintas zonas, tpicamente una zona Trust (confiable o interna), una Untrust (Externa o no confiable), y otras reas con polticas ms especficamente definidas, como puede ser una zona DMZ (desmilitarizada), que permite una zona de trnsito para cierto tipo de trfico que puede pasar a ciertos equipos de la red, pero no a la zona Trust.
26
DMZ
Servers
X
sesin sesin
sesin
Inside
X
6.3 Tecnologas de Firewalls
sesin
Client Network
Los Firewalls usan varias tecnologas para realizar las siguientes funciones: Packet Filtering: Filtra paquetes o tramas, basado en informacin solo del encabezado de IP (direcciones) o TCP/UDP (puertos). Proxy Server: Opera en la capa de sesin y acta como intermediario entre los dos extremos de la comunicacin, solicitando las conexiones en nombre del cliente, de manera que el administra las conexiones entre los dos equipos terminales. El Proxy funciona como cara de la red hacia el exterior, evitando que el interior de la red pueda ser visible, esto ofrece un gran nivel de seguridad y control. Stateful Packet Filtering: Opera en la capa de red y mantiene un estado de las conexiones que pasan por el firewall. Es utilizado tpicamente por Cisco, este mantiene el estado completo de todas las conexiones. Cada vez que una conexin TCP o UDP se establece entra en una tabla que se llama Tabla de estado de flujo de sesiones (o tabla de estado en general). Todo el trfico que entra y sale del equipo es comparado con esta tabla, el regreso del trfico es permitido solo si una conexin valida y apropiada existe en la tabla de estado y es permitida. En general est tecnologa trabaja con packet filtering inspeccionando el header de los paquetes, adems de mantener las conexiones TCP/UDP en una tabla, y usarla para aplicar polticas de seguridad.
Ya con anterioridad vimos como el algoritmo evita que un equipo en la zona Untrust pueda abrir una sesin con un equipo en la zona Trust, y de igual manera un equipo en la DMZ o cualquier otra zona, no podr abrir sesiones con equipos de la zona Trust (Inside). La regla es: Nada debe pasar de una zona de menor nivel seguridad, hacia una zona de mayor nivel de seguridad, y cualquier cosa puede pasar de una zona de mayor nivel de seguridad, hacia una zona con menor nivel" Adems de lo anterior el algoritmo de Stateful Packet Inspection hacer lo siguiente: Mantiene actualizada la tabla de estado. Permite conexiones de una zona de mayor a una zona de menor nivel de seguridad Tira las conexiones de una zona de menor a una zona de mayor nivel de seguridad
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
27
Para cada nueva conexin el algoritmo lanza un nmero de secuencia aleatorio, esto evita que un hacker pueda predecirlo y atacar va esta conexin.
Otro modo en el que puede funcionar el Firewall es en Modo Transparente, donde el equipo no lleva direccin IP en las interfases, funciona a nivel de capa 2 (hablando de conectividad), tambin se conoce como modo bridging, y puede dar proteccin de capa 2 a capa 7. En este modo el Firewall es invisible a los usuarios en ambos lados de la red protegida. Tiene algunas desventajas manejar el Firewall en modo transparente, la primera es que el ruteo no esta disponible en este modo, ya que el direccionamiento de capa 3 tampoco. Otro problema es que solo se pueden manejar dos zonas, la inside y la outside, no se puede manejar una DMZ u otras reas. La ventaja es que como no hay direccionamiento, el default Gateway de las mquinas de los usuarios se conserva en el router, el cliente no tiene que hacer cambios en el direccionamiento de su red. Desventajas de usar el Firewall en modo Transparente: No se soporta DNS Dinmico No se soportal los protocolos de ruteo dinmico No se soporta IPv6 No se soporta QoS No se soporta Multicast No se soportan VPNs
Ahora hablemos de los parmetros que tpicamente nos proveen los fabricantes de Firewalls sobre el hardware, que son los elementos que nos van a permitir dimensionar el modelo del equipo que necesitamos.
28
Cuando un equipo adems de desempear funciones de Firewall puede proteger contra ataques activos (IPS), virus, SPAM, contenido malicioso o paginas prohibidas, estamos hablando no de un Firewall, si no de un equipo multifuncional conocido como UTM (Unified Threat Management), que corresponde a otra tecnologa que se vera ms adelante.
Activo
Trfico
X
Trfico
En falla
Pasivo
Activo
29
Activo
Trfico
X
Trfico
En falla
Trfico
Activo
Activo
Activo
Trfico
X
En Falla
Figura 21.- Esquema de HA Activo-Activo
Debemos aclarar que para Cisco en particular, se requiere que ambos equipos que formaran la configuracin de HA sean idnticos en modelo y caractersticas; lo mismo ocurre para Juniper, sin embargo hay marcas como Check Point que permiten hacer un respaldo con equipos de diferentes capacidades, pues el software es el mismo. En casos como Sonic Wall, efectivamente se requiere que ambos equipos sean idnticos en hardware, sin embargo pueden compartir el esquema de licenciamiento, lo que hace ms econmico al segundo equipo. En casos como Alteon de Nortel, solo se soportan esquemas Activo-Activo para HA. Tambin cabe mencionar que el cable que une los dos Firewalls para Stateful-Failover es un cable cruzado, de otra manera deberamos usar un switch para mantener unidos los Firewalls. Tambin deben tomar en cuenta que en el link de Fail-over se debe configurar en una red o subred distinta. Otra gran desventaja de usar Firewalls de Cisco en modo Activo-Activo es que en este modo se necesitan firewalls virtuales, esto hace que no se pueda usar en este tipo de configuracin tneles IPSec, SSL y protocolos de ruteo dinmico como RIP u OSPF. En ambos esquemas (Activo-Activo Activo-Pasivo) se puede configurar la redundancia para Stateful-Failover, lo que quiere decir que el cable que une los dos Firewalls sincroniza entre ellos la informacin de todas las conexiones activas, de manera que cuando ocurra el Failover, no se pierdan las conexiones activas y los usuarios no noten cuando el respaldo entra. Todo lo anterior aplica siempre y cuando el elemento de falla en el flujo de trfico sea el Firewall, sin embargo en topologas ms complejas lo que puede fallar son los elementos de inter conectividad alrededor del Firewall, lo que nos puede obligar a hacer aun ms complejas nuestras topologas. El mercado pone como ejemplo est configuracin:
30
Internet
Pasivo
MDF
IDF
31
Activo
Core Acceso
Users
Internet
Pasivo
MDF
IDF
Internet
Pasivo
MDF
IDF
Users
Internet
Pasivo
MDF
IDF
32
Recordando que estamos aun analizando los esquemas de Seguridad Perimetral, agreguemos un elemento que es fundamental en la proteccin del permetro, un IPS,
pero en HA.
DMZ
Outside
Activo
Inside IPS
Core Acceso
Users
Internet
Outside
Activo
Inside IPS
Core Acceso
Users
Internet
En cuanto a los servidores, podemos tenerlos de dos tipos, servidores pblicos, donde gente desde afuera de la red pude hacer consultas a ellos, como pueden ser servidores WEB, mail, FTP, o e-commerce; estos servidores, se colocan tpicamente en la DMZ, lo cual le permite a
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
33
usuarios en el outside, que es mi zona untrust, accesar a los servicios sin que mi red interna se vea vulnerada o comprometida. Los servidores no pblicos, conocidos como servidores de aplicacin interna, se deben colocar en una VLAN de la zona trust, y no en la DMZ, si no se van a hacer consultas desde el Internet. Esto protege ms a estos servidores que a los que estn en la DMZ, pues por definicin la zona Trust es ms segura que la DMZ.
DMZ Servidores Internos Servidores pblicos
Outside
Activo
Inside IPS
Core Acceso
Users
Internet
34
35
o o o o o o
Accesos a Internet no identificados Accesos inalmbricos no autorizados Puertos abiertos en los firewalls Accesos a equipo fsico (puertos de red y de consola) no protegidos. Proteger todos los accesos remotos a los sistemas de administracin de los equipos con SSH, SSL, SNMP. Proteger en la LAN todos los puertos de switches que no se estn usando, lo mejor es que estn en shutdown.
LAN
CPE
LAN FW
CPE
21 sitios
DMZ
CONACULTA
IP-MPLS
LAN
CPE CONEXIN DE VOZ 2 FXS CPE
INTERNET
LAN
CONEXIN DE VOZ 2 FXS
DMZ
FW
Alta Direccin
Un diseo puede ser tan complicado, como el alcance que tenga nuestra solucin de seguridad, y por supuesto por lo grande que sea la red a proteger, para poner un ejemplo veamos el diagrama de la siguiente pgina, que es la red propuesta para el IMSS, donde intervienen esquemas de alta disponibilidad Activo-Activo, IPSs en lnea, ninguna funcionalidad adicional el Firewall, ms que el firewall mismo. Las funcionalidades de VPN estn separadas, de igual manera el filtrado de contenidos es completamente separado. Existen varias zonas, incluyendo dos DMZs. Ntese el manejo de los IPSs en las DMZ.
36
37
38
Cisco
39
Juniper
40
Check Point
Estas serian las mejores prcticas para el diseo. La situacin aqu es que estos servicios, aun cuando nosotros los ofrecemos son muy caros, y muy dirigidos a Gran Empresa, una PYME difcilmente nos comprara este servicio. Es por esto que el consultor puede, en base a la informacin mnima del cliente hacer un dimensionamiento del equipo que este requiere. Para el caso ms tpico, donde el acceso a Internet es centralizado, o bien vamos a dimensionar el nodo central, debemos obtener la siguiente informacin. Si lo tiene, el nmero de sesiones TCP/UDP totales que requiere. Nmero de usuarios totales que pasaran informacin por el firewall. Si requiere tneles VPN, cuantos y si son IPSec o SSL. Si usara encriptacin, y que tipo de encriptacin requiere (DES,3DES, AES) El tipo de trfico y aplicaciones que pasaran por el firewall. S no tiene el trfico, el giro de la empresa nos da una muy buena idea del uso que har de los recursos de red, como el Internet.
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
41
Cuantas zonas distintas requiere, si requiere ms de una DMZ. Cuantos servidores pblicos tiene, y cuantos servidores de aplicacin interna tiene. El diagrama de su red.
Una vez obtenidos estos datos procedemos a ubicar y delimitar el permetro de la red del cliente, y el lugar donde va a ser colocado el Firewall. Para soluciones a nivel PYME (menos de 500 usuarios) lo tpico es que se tenga un nodo central y pequeas sucursales. Es tpico que se tenga una sola salida a Internet en el central, as que colocamos el equipo entre el router y la red LAN, para proteger el permetro. Todo esto ya se trat en los esquemas de Seguridad Perimetral, ahora veamos como dimensionamos el equipo.
42
de archivos y dependiendo de la pagina) Navegacin + mail + transferencia de archivos. Navegacin+mail+trasferencia de Arch.+p2p+Messenger Todo lo anterior + aplicaciones externas + VPN+ voz
De acuerdo a lo observado actualmente el promedio de sesiones concurrentes de usuario son 500. Si vemos en nuestra mquina la cantidad de sesiones TCP/UDP abiertas, con una cantidad normal de aplicaciones abiertas, digamos, el correo, el chat con algunas ventanas abiertas, un par de ventanas de navegacin, y nuestras aplicaciones internas como el SAP, nos daremos cuenta que la cantidad de conexiones es inmensa, pueden ser desde 50 hasta 80 en un momento dado, y en casos graves hasta ms de 150. En la siguiente figura se pueden ver las conexiones abiertas por un usuario.
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
43
44
Pensaramos que simplemente tomando esa cantidad y multiplicndola por el nmero de usuarios tendramos la cantidad total de sesiones que deber soportar nuestro Firewall; esto es parcialmente cierto, sin embargo recordemos que las capacidades del hardware estn medidas en condiciones ideales, e indican lo que sopota el equipo al mximoo seaantes de fallar. Lo recomendable a nivel de hardware es no llevar al equipo ms all del 80% de sus capacidades, esto si no queremos ver que el equipo se resetea continuamente, aunado a sus problemas de energa y disponibilidad. Esto es una de las llamadas mejores practicas. Por lo anterior lo que debemos hacer es dimensionar el equipo de manera que no superemos el 80% de su capacidad (Mejores practicas). Esto lo podremos lograr agregando un factor a la formula general de sesiones concurrentes. # Sesiones Totales = (150 x # usuarios) x 1.25 Por lo tanto # Sesiones Totales = 187.5 x # usuarios Por supuesto que si lo que quieres saber es el nmero de usuarios que soporta un equipo (sin sobrepasar el 80% de su capacidad), tericamente lo puedes obtener de la siguiente forma. # usuarios que soporta un firewall = # Sesiones Totales / 187.5 Hasta aqu todo lo anterior es cierto si el equipo solo hace funciones de Firewall. Si adems el equipo va a manejar VPNs, lo lgico es que usemos algn tipo de encriptacin para darle confidencialidad a la informacin que transportemos por las VPNs. Como sabemos los algoritmos de encripcin son muy demandantes en procesador, sobre todo AES, que es un algoritmo mucho ms complejo, en menor medida 3DES, y en mucho menor medida DES. El resultado de encriptar informacin con el Firewall va a ser una degradacin del Throughput del equipo. De por si tomamos el 80% del valor total del equipo para dimensionarlo, ahora, si vamos a usar AES y un numero de tneles considerable, el desempeo del equipo se degrada aun ms. Es prcticamente imposible calcular el porcentaje de degradacin, y depende mucho del tipo de hardware, lo que si debemos hacer como Mejore Practicas es por lo menos considerarlo en nuestro diseo.
45
UTM
(UTM) Unified threat Management (Administrador de de amenazas unificado), tambin conocido como (ISR) Integrated Service Router (Router de servicios integrados) o bien (SSG) Secure service gateway (gateway de servicios seguros) son los nombres mas conocidos para este tipo de equipos que rpidamente se han convertido en el mas importante equipo de seguridad de red para muchas empresas, principalmente para pequeas y medianas.
8.1 Qu es UTM?
El dispositivo UTM tiene varios significados ya que existen varios equipos en el mercado que cumplen con esa etiqueta y en esencia busca cumplir con 3 ideas principales: Contar con mltiples caractersticas para mitigar amenazas Integrar las funcionalidades sobre una plataforma madura de firewall
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
46
Desarrollarlo sobre un solo dispositivo En otras palabras es; un dispositivo de seguridad de red que integra distintas funcionalidades que se encuentran en diferentes dispositivos de red. A continuacin se muestra un diagrama que ilustra la propuesta de valor del UTM:
En muchos casos la diferencia entre un firewall normal y el termino UTM se ha reducido al grado de que muchos equipos que aaden algo adems de hacer bloqueo de trafico sean llamados as
47
48
La solucin sea capaz de manejar cientos de reglas con decenas de dispositivos. o El sistema cuente con logs y herramientas de troubleshooting para ayudar da a da. o Como puede el personal de TI obtener beneficios de cada funcin del equipo, para su trabajo. o El sistema permite tener un sistema de auditoria (reportes) o archivo de logs, lo cual es muy importante para un anlisis forense. Que tenga un sistema de reglas intuitivo para el administrador Que cuente con capacidades adecuadas de alertas Que las caractersticas de mitigacin tengan sentido para un nivel Enterprise, no solo tiren conexiones. Contar con una estrategia del producto para la escalabilidad Modo de actualizacin de las firmas de IPS, recurre a un tercero? Que sea fcil habilitar funcionalidades Que tenga un modo practico en los up-grades o Debemos continuar con la observacin que solo se recomienda para un posible nivel Enterprise solo utilizar FW e IPS. A nivel Enterprise no se sugiere agregar anti-malware, anti-spam, o filtrado de contenido. Algunos clientes solo utilizaran ciertas funciones del UTM, mientras que otras funciones se seguirn delegando en otros equipos dedicados
49
Como se mencion anteriormente las mejores prcticas nos sugieren realizar un anlisis de la red para identificar las condiciones actuales y las necesidades en la red de una empresa, para los proyectos donde esto no sea posible, al menos debemos saber: Tamao de la compaa? R= Usuarios actuales Que tanto ser el crecimiento? R= Usuarios futuros, dependiendo sitios remotos Cuales son las necesidades? R= Si requiere IPS, AV, Filtrado URL etc.,y dar prioridad a las mismas Ejemplo: Donde el numero 5 es lo mas importante Dependable firewall (5) IDS/IPS (4) Solid, stable VPN (5) Content filtering-HTTP (4) Content filtering-SMTP (3) AD integration-VPN & HTTP content filtering (4) Segmentacin de interfaces de red (4) Reporteo bsico embebido (3) Antivirus/Antispyware-HTTP (3) Antivirus/Antispyware/Antispam-SMTP (2) Estas preguntas podrn reducir el rango de equipos a considerar y posteriormente algunos fabricantes se enfocaran a equipos PYMES y otros a posible nivel Enterprise, lo que permitir poner otro punto de decisin. Es importante saber que en promedio se reduce hasta un 70% de performance al prender el IPS y otro punto importante es que el escaneo de antivirus utiliza aproximadamente 100 veces ms en procesamiento intensivo que una tpica inspeccin de paquetes de firewall.
Sonicwall
2Metodologas de prueba: rendimiento mximo basado en RFC 2544 (para cortafuegos). El rendimiento real puede variar dependiendo de las condiciones de la red y de los servicios activados. 3 DPI completo/Rendimiento de AV/Anti-Spyware/IPS en UTM/pasarela medido a travs de la prueba de rendimiento 4Rendimiento de VPN medido sobre la base de trfico UDP y con paquetes de 1280 bytes segn RFC 2544. 5El nmero mximo real de conexiones es menor cuando estn habilitados los servicios UTM.
Figura 50.- Tabla comparativa entre performance de equipos UTM de un mismo proveedor
50
Fortinet
Watchguard
51
Tratar de distribuir la carga en varios equipos en lugar de uno solo Validar cuanto caer el performance al habilitar cada funcionalidad Tener un equipo o servidor que administre los logs Contar con escalabilidad y alta disponibilidad en el Firewall Al habilitar alguna funcionalidad dejar un periodo de prueba.
Intentar contar con un buen servidor que administre logs, no por horas o das, si no por meses, es muy importante el monitoreo de trafico para identificar de donde vienen los ataques, anlisis forense
Al finalizar el diseo es importante preguntarse y combinar la siguiente informacin. En funcin de la informacin que se tiene del proyecto: Que queremos proteger? Cuales son las amenazas? Cuales son los requerimientos del negocio? Deberamos validar que nuestro diseo cumple con: El diseo propuesto realmente protege los recursos ms importantes de la organizacin El diseo esta enfocado y hace nfasis en proteger los recursos correctos El diseo sustenta los distintos modos que podra ser atacado El diseo cumple con las metas del negocio, no impactara con las operaciones del mismo El riesgo en una empresa jams ser eliminado en su totalidad, simplemente es importante encontrar el punto de riesgo aceptable y seguro para la operacin
Es una buena practica y prueba realizar ataques falsos en tu sistema para identificar sus debilidades
52
8.9
Puerto Seguro
Puerto Seguro es el servicio de Uninet que proporciona la infraestructura de seguridad necesaria, sobre el permetro de la red del cliente, para disminuir en gran medida los ataques provenientes de los usuarios de la red.
Alcance
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
53
El soporte que se dar al CPE (equipo de seguridad del cliente) ser nicamente para atender la instalacin y fallas al equipo, no a la configuracin. El cliente ser responsable de la administracin del equipo de seguridad instalado para puerto seguro. Solo existirn dos tipos de plantillas para la configuracin de los equipos de puerto seguro: Redes con servidores y redes sin servidores Si el cliente requiere de una configuracin especial fuera de las plantillas ya preestablecidas, se cobrar un pago por evento programado bajo las polticas y tarifas comerciales vigentes.
Contratacin: No existe un cargo de contratacin. Renta: Cargo mensual (36 mensualidades) dependiendo el paquete contratado Paquete Paquete 1 Paquete 2 Paquete 3 Paquete 4 Modelo SSG 5 SSG 140M SSG 520 SSG 550M Usuarios 50 100 250 500 RM $ 1,601.00 $ 5,660.00 $10,884.00 $17,740.00
Usuarios Numero de Parte SSG-5-SH NS-SMB2-CSSSG5-3 1 - 99 PAR-SD-SSG5 SSG-140-SH NS-SMB2-CSSSG140-3 100 - 249 PAR-SD-SSG140 SSG-520M-SH NS-SMB2-CSSSG520-3
Descripcin Secure Services Gateway 5 with RS-232 Aux backup, 256 MB memory Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG5 J-Partner SameDay Support for SSG-5 SSG 140 System, 512 MB memory, 0 PIM cards, AC power Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG140 J-Partner SameDay Support for SSG-140
SSG 520M System, 1GB DRAM, 1 AC Power Supply Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG520 250 - 499 PAR-SD-SSG520M J-Partner SameDay Support for SSG520M SSG 550M System, 1GB DRAM, 1 AC Power 500 - 999 SSG-550M-SH Supply
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
54
NS-SMB2-CSSSG550-3
Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG550 PAR-SD-SSG550M J-Partner SameDay Support for SSG550M
SSG 5
SSG 5 160 Mbps FW / 40 Mbps VPN SSG 140 350+ Mbps FW / 100 Mbps VPN SSG 520M 650+ Mbps FW / 300 Mbps VPN SSG 550M 1+ Gbps FW / 500 Mbps VPN
SSG 140
SSG 520M
SSG 550M
9 IPS
El IPS no es un producto, es una funcin y una tecnologa
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
55
9.1 Qu es IPS?
IPS (Intrusion Prevention System), es una tecnologa de seguridad de red que monitorea la red y la actividad de los sistemas para detectar comportamientos maliciosos, indeseados o anmalos con la capacidad de reaccionar en tiempo real, para prevenirlos o bloquearlos. El IPS permite brindar ms opciones en nuestra proteccin hacia la red externa as como en la red interna. El IPS llega para resolver algunas ambigedades del monitoreo pasivo, inicialmente los IPS eran IDS (intrusin Detection System) que detectaban un tipo de ataque, generaban alguna alarma y solo algunos podan ejecutaban comandos hacia los routers o los firewalls para prevenirlos, pronto se detecto que operacionalmente no era lo mejor, actualmente los IPS pueden realizar control de acceso basado en decisiones o contenido de aplicaciones.
Un sistema de prevencin de intrusos tiene como necesidad primordial ser muy acertado para la deteccin de ataques con la finalidad de reducir la tasa de falsos positivos.
56
Compara una base de datos de firmas para identificar posibles incidentes, es efectivo con ataques conocidos pero no tan efectivo con ataques nuevos, adems de que no puede dar un seguimiento de entender varios eventos a la vez. Es importante mencionar la caracterstica de las firmas de IPS, las cuales suelen requerir cierto conocimiento avanzado para definir. F-SBID( --name "Block.WMP.Get"; --default_action drop_session; --protocol tcp; --service HTTP; --flow from_client; --pattern "Pragma: xPlayStrm=1"; ) Deteccin basada en anomalas: Compara definiciones que se consideran normales contra eventos que sean desviaciones de lo establecido, Es necesario que observen la actividad por un periodo del tiempo de la red o los dispositivos, son eficientes para detectar nuevos ataques, pero son susceptibles a generar una mayor cantidad de falsos positivos. Anlisis de estado de protocolo: Compara distintos perfiles de definiciones aceptadas de las actividades de un protocolo, la diferencia con el anterior es que este se enfoca a protocolos, mientras que el anterior se enfoca a hosts y perfiles especficos de red, es capaz de comprender el seguimiento de un protocolo, su debilidad es que, muchas veces es muy difcil ser tan acertado en la configuracin del comportamiento de un protocolo y que utiliza muchos recursos del dispositivo. Componentes tpicos de un IPS: Sensor o agente: Monitorean y analizan la actividad, sensor normalmente es usado para NIPS, mientras agentes es utilizado para HIPS. Servidor de Administracin: Dispositivo central que puede ser un appliance o bien un software, que recibe informacin de los sensores, analiza la informacin y puede relacionar eventos. Base de datos: Un repositorio de informacin de eventos de los agentes, o bien de los servers. Consola: Una interface de administracin de los equipos.
57
Es ms comn que un IPS opere internamente, principalmente en el Core que de manera externa, esto tambin provoca el considerar y buscar que el IPS cumpla con:
58
Las velocidades en el Core son mayores por lo que se requieren equipos que vayan de los 100 Mbps hasta los Gbps. Se requiere calidad de servicio para controlar la latencia para las aplicaciones crticas. Poder manejar muchos protocolos y aplicaciones. Debe permitir la customizacin de firmas, para las aplicaciones internas y muchas veces elaboradas en casa. De preferencia un puerto dedicado de HA, capacidades de clustering y failover nativo. Redundancia elctrica y en discos duros Capacidad de bypass en falla de hardware Capacidad de separar el control de los datos, Debe permitir centralizar y administrar dispositivos por grupos Debe tener roles de administradores Polticas predefinidas Permitir polticas, por usuarios, vlans, recursos. Un set comprensible de deteccin de amenazas, que incluya deteccin de firmas, deteccin de trfico anmalo, mtodos heursticas, y reduccin de falsos negativos. Poder relacionar eventos. Flujos. Y capacidad de reporteo Mecanismos de respuesta automticos, para su intervencin en tiempo real Actualizaciones de contenido, firmas que sean conocidas en tiempo real El IPS nos ayuda a ganar tiempo y es un dispositivo que requiere mucho mantenimiento y monitoreo con esto mencionamos que ganar tiempo se refiera a: Sabemos que da a da surgen nuevos ataques y realmente muchas veces no es posible parchar todos los sistemas. Sabemos que algunos vendedores no crean parches para sistemas anteriores Difcil identificar todos los equipos a proteger A veces es necesario dar de baja para parchar un equipo Contar con los recursos para parchar los sistemas
59
NIPS Pasivo: Monitorea una copia del trafico actual, son desarrollados para que puedan monitorear en puntos especficos de la red, tales como DMZ, este tipo de escenario es menos comn, el IPS se apoya de Spanning, mirror ports, network tap o bien de balanceadores de IPS, como se muestra en el siguiente diagrama.
60
NBA: Cuando nos referimos a este tipo de IPS que examina el trafico de red y estadsticas, tambin nos enfocamos a una tecnologa de prevencin de intrusos, esta tecnologa en particular es similar a la utilizada en clean pipes.
En la segunda imagen se muestra en funcin de identificar los puntos ms importantes donde ubicar los IPS
61
En la tercera imagen se agrega la solucin de administracin de los IPS, como se observa separada de los datos.
62
63
En muchos escenarios es posible tener el nmero de sesiones, lo que no llevara a retomar los clculos que se realizaron con el firewall. En algunos otros ser necesario en caso de existir un firewall existente en el punto a ubicar el IPS, ajustar el IPS el troughput que tenga el firewall.
Hp TippingPoint
Performance footnotes: Throughput de red representa el mximo nmero que puede ser alcanzado en reenvio de trfico Latencia medida en paquetes de 1518 bytes. Contextos de seguridad son el mximo nmero de sesiones manteniendo el estado de seguridad
Mcafee
Figura 81.- Tablas con informacin del proveedor NIPS
64
Sourcefire
Figura 83.- Tablas con informacin del proveedor NIPS
65
Peakflow SP Portal Interface (PI) Este equipo centraliza la administracin, permite manejar cuentas de usuario de los distintos clientes para su acceso a la UI (User Interface), o bien a configuraciones. Funge
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
66
como lder en el manejo de la informacin, la administracin y el acceso a otros dispositivos. Hace Sincronizacin de datos entre los CP y los PI. Habilita alta disponibilidad al realizar el failover del lder de respaldo. Mejora la escalabilidad y el performance.
Peakflow SP Threat Management System (TMS) Equipo de Mitigacin de capa de aplicacin (Filtrado inteligente), soporta DPI (Deep Packet Inspection). Soporta mitigar ataques DDoS y Zombies, y permite aplicar filtros de anomalas para remover hosts individuales comprometidos. Todo el trfico malicioso debe hacerse pasar por este equipo, el cual entregar a la salida trfico limpio.
Objetos a monitorear en Trfico Seguro Para el protocolo IP ICMP Paquetes IP fragmentados Paquetes IP NULL Paquetes IP con direcciones privadas Para el protocolo TCP Segmentos TCP NULL Segmentos TCP RST Segmentos SYN Trfico total
Se detectan los siguientes tipos de ataques activos informticos protegidos del cliente: ACK Flood SYN Flood Hogging CPU Chargen (Character generator) FIN Flood ToS Flood DNS Malformed HTTP Flood
67
ICMP Flood UDP Flood Non- UDP/TCP/ICMP Protocol Flood PPS Flood Attack Zombie attack Land Attack
Reportes El cliente recibir los siguientes reportes mensuales en PDF Reporte sobre Toptalkers externos, principales visitantes Reporte Alert Dashboard reporte de alertas y mitigaciones Reporte Geo IP Ubicacin geogrfica de visitantes Reporte Peak Flow Resumen de ataques y mitigaciones
68
Qu servicios nos proveen los criptosistemas? Confidencialidad: Ilegible para cualquier otro que no sea el usuario autorizado Integridad: Que lo datos no hayan sido alterados de una manera no autorizada desde su creacin, transmisin y almacenamiento Autenticacin: Verifica la identidad del usuario o el sistema que creo la informacin Autorizacin: Provee una llave o password para acceder a algn recurso No repudiacin: Quien enva el mensaje no puede negar que lo envi
Algoritmos: Simtricos: El emisor y el receptor tienen la misma llave secreta y protegidapara encriptar y desencriptar la informacin. Estos algoritmos proveen confidencialidad, pero no proveen autenticacin ni repudiacin.
69
Asimtricos: El emisor y el receptor tienen 2 llaves distintas (pblica y privada), que se relaciona matemticamente, una llave para encriptar y otra para desencriptar. Proveen todos los servicios de los criptosistemas
11.2 VPNs
Que son las VPNs IPSec? Suite de protocolos que provee un mtodo para establecer un canal seguro para proteger el intercambio de informacin entre 2 dispositivos, estos dispositivos pueden ser equipos de trabajo, servidores, gateways, routers. Opera en la capa de red. Operan en modo tnel: la informacin del mensaje, los encabezados y el ruteo va protegido Operan en modo transporte: Informacin del mensaje va protegida
Encabezados IPSec:
70
Para qu son los tneles IPSec? Nos permite enlazar sitios a travs de Internet de manera segura, son comnmente implementados por PYMES que no pueden pagar enlaces dedicados y donde se puede ahorrar en las llamadas de larga distancia. Son mayormente recomendado para conexin entre redes Gateway-Gateway. Requieren de configuracin en ambos puntos
Consideracin: El total de sesiones concurrentes SSL + VPN no debe sobrepasar el numero indicado en la tabla. Las sesiones de SSL no deben de sobrepasar las licencias adquiridas Que son las VPNs SSL? SSL opera en la capa de transporte, utiliza encriptacin de llave pblica (asimtrica) y provee encriptacin de los datos, autenticacin del servidor, integridad del mensaje y opcionalmente autenticacin del lado del cliente Nota: HTTPS es HTTP (capa 7) corriendo en SSL (capa 4) Cookies: Archivos de texto utilizados que se almacenan en el disco duro del usuario para fines estadsticos y promocionales. En seguridad son utilizados para evitar ataques de man in the middle y mantener viva una sesin de SSL con una marca de tiempo, la cookies con informacin sensible solo son almacenadas en memoria, no en el disco duro. Para que las VPNs SSL? Son ms recomendables para las conexiones de usuarios mviles por su fcil configuracin y escalamiento. IPsec de usuarios mviles forzosamente requieren de un cliente. A continuacin se muestra un comparativo de ambas VPNs:
71
Caractersticas que nos da el fabricante: Tomaremos el ejemplo de los equipos de SSL de Juniper que tienen 2 familias las Secure Access y los equipos MAG. Los equipos SSL estn homologados por Telmex en el producto Negocio Seguro que a continuacin se detalla: El ao pasado Juniper libero la Familia de productos MAG, donde hay productos de SSL enfocado al mercado PYMES y agregando funcionalidades de NAC para soluciones Enterprise. Este servicio est acompaado del cliente Junos Pulse para optimizar el acceso.
Cuadrante magico de Gartner VPNs de SSL Que es Get-VPN?: Ciscos Group Encrypted Transport, es una tecnologa patentada por Cisco que provee de encriptacin a las redes MPLS/IP, a continuacin se mencionas las ventajas de GET-VPN:
72
Comnmente se utiliza la infraestructura actual por lo que no es necesario la adquisicin de ms equipamiento. Solucin distinta a los tneles tradicionales de IPSec, la cual es una tecnologa de VPNs "sin tneles", que provee de manera nativa seguridad (encriptacin) punto a punto al trafico de red, manteniendo una topologa mallada, la calidad de servicio y el ruteo original. Permite diferenciar el trfico interesante a ser encriptado, lo que permite un control mas granular. Utiliza tecnologa basada en estndares, integra enrutamiento, seguridad en la red y elimina la necesidad de configurar tneles punto-a-punto por lo que simplifica la distribucin de polticas de seguridad. Los mdulos de administracin de llaves cumplen con estndares internacionales (FIPS 140 2, Nivel 2)
Key Server Valida a los Group members
Administra polticas de seguridad Crea llaves de grupo Distribuye Polticas / Keys
Group Member
Key Server
Routing Members
Group Member
MPLS
Group Member
Diagrama ejemplo de Get-VPN Consideraciones: La encriptacin en capa 3 agrega un encabezado (Campo de ESP (Encapsulating Security Payload) y una copia del encabezado IP original). El proceso de cifrado incrementar en un 30% promedio el consumo del trfico que se considere como interesante.
Mencionaremos el protocolo L2TP (Protocolo de encapsulamiento) para realizar una distincin de la diferencia de encapsulamiento y cifrado: En el portal Web de Telmex, se menciona claramente que L2TP no est cifrado: Seguridad.- La informacin viaja a travs del tnel L2TP, sin acceder a Internet, razn por la cual ninguna persona ajena a la VPN puede entrar por ello que la informacin no requiere de encriptacin.
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
73
Los 3 pilares actuales del filtrado de contenido Web son: Filtrado basado en reputacin Filtrado predictivo de malware en tiempo real Filtrado basado en contenido
74
75
76
Fabricantes de servicios filtrado Web en la nube Otras implementaciones: Microsoft ISA (Internet Security and Acceleration) Server Muchas organizaciones, usan o planean usar Microsoft ISA Server como el servidor proxy de conexin hacia Internet, se puede desarrollar como un plugin del ISA Server.
Proxy con cliente ICAP (Internet Content Adaptation Protocol) En una red utilizando un servidor proxy ICAP, se puede implementar el filtrado de contenido utilizando el cliente ICAP. Existe un gran nmero de proxies que soportan ICAP, como ICAP es una plataforma independiente
77
78
79
Blue Coat
Figura 112.- Datos por parte del proveedor para ejemplo de dimensionamiento
Barracuda Figura 113.- Datos por parte del proveedor para ejemplo de dimensionamiento
Zscaler Figura 114.- Datos por parte del proveedor para ejemplo de dimensionamiento
80
Figura 115.- Datos por parte del proveedor para ejemplo de dimensionamiento
Recordemos que la base datos que va directamente relacionado con: La cantidad de trafico que los empleados generan La cantidad de trafico Web que se monitorea El numero de protocolos Web que se monitorean El numero de usuarios que se monitorean La base de datos ser local o remota Como sugerencia debiera contar con el doble de disco duro que el tamao de la base de datos Un ejemplo de la base de datos:
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
81
En algunas ocasiones solo se pueden logear las visitas, en este caso para calcular el espacio del log de la base de datos se utiliza una formula: (#de Urls) * (# de bytes) * (# de usuarios) = En un clculo aproximado: Un usuario comnmente navega unas 100 urls al da Cada registro de URL es aproximadamente de 500 bytes En una oficina de 500 usuarios = 500 MB por mes del logeo de las visitas (20 das) En otro escenario quiz se logean todos los hits en una pagina. Los hits son cada uno de los gets en una pagina Web si tiene 11 imgenes gif tendr 12 hits en total 11 por las imgenes y 1 por la pagina En la formula cambiaran por hits (#de Urls) * (# de hits) * (# de usuarios) = 100 urls visitas * 5 gets *500 bytes * usuarios= 2.5 GB
Se tiene contemplado que el mercado de seguridad de Web crezca notablemente durante los prximos 4 aos, al igual debido a la evolucin de la Web 2.o o sus futuras versiones.
82
Qu es el filtrado de correo? Solucin de Seguridad que brinda proteccin al correo electrnico de una empresa con la finalidad de obtener una mayor disponibilidad y confiabilidad del servicio, as como tambin minimizar los riesgos de las organizaciones de sufrir afectaciones por software maliciosos distribuido por este medio.
Flujo del correo electronico entrante Qu soluciones provee? Antispam: Aplicacin o herramienta informtica que se encarga de detectar y eliminar el Spam (todo aquel correo electrnico que contiene publicidad o es malicioso y que no ha sido solicitado por el propietario de la cuenta de e-mail). Antivirus: Herramienta cuyo objetivo es detectar y eliminar software malicioso. Prevencin de fuga de informacin (DLP): Consiste en un conjunto de tecnologas dirigidas a detener la prdida de informacin sensitiva que ocurre en las empresas. Se enfoca en la ubicacin, clasificacin y monitoreo de informacin en reposo, en uso y en movimiento. Encriptacin: Proceso para volver ilegible la informacin considera confidencial y donde dicha informacin una vez encriptada slo puede leerse aplicndole una llave. Reportes: Solucin que provee a los administradores de visibilidad de la actividad en el correo y amenazas.
83
Soluciones concentradas en un nico dispositivo En las soluciones de filtrado de correo los proveedores no nos dan mucha informacin, simplemente se limitan a enlistar las funcionalidades y ajustar los equipos por tamao de empresa.
84
14 SEGURIDAD EN VOZ IP
Qu es? Controles de seguridad que pueden ser aplicados para mantener la confidencialidad, integridad y disponibilidad de las tecnologas de voz que permiten realizar llamadas sobre redes de cmputo y que utilizan el protocolo IP. De qu nos protege? Ataques dirigidos a la infraestructura Ataques a las aplicaciones Intercepcin de llamada Ataques de negacin de servicio Secuestro de sesin o impersonar Pharming (DNS) Fraude de llamadas Spoofing del id de llamada Ataques a los protocolos Gusanos Ataques de dia cero
85
A continuacin se presenta una tabla con una ponderacin de funcionalidades a nivel de hojas de especificaciones, sin realizar pruebas de laboratorio y a manera de destacar la diversidad de opciones que existen para proveer de seguridad a la voz IP:
15 REGULACIONES
PCI DSS: Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y para facilitar la adopcin de medidas de seguridad consistentes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos tcnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en los procesos de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios, as como tambin todas las dems entidades que almacenan, procesan o transmiten datos de titulares de tarjetas.
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
86
Mientras que existen casi 478 organizaciones participantes en Norteamrica, 93 en Europa Occidental, 33 en Asia Pacfico y 17 en Europa Oriental, el Medio Oriente y frica, Latinoamrica termina en ltimo lugar con 11 instituciones (1 en Mexico). Esto significa que [empresas como] Visa y MasterCard no estn prestando mucha atencin a CALA en trminos de aplicacin. Si empiezas a ver algunas multas y aplicaciones, la gente empezar a prestar ms atencin. Pero eso no ha ocurrido".
Ley Federal de proteccin de datos personales en posesin de particulares LFPDPPP Es una legislacin que protege la informacin personal que pueda encontrarse en las bases de datos de cualquier persona fsica, o empresa como, aseguradoras, bancos, tiendas departamentales, telefnicas, hospitales, laboratorios, universidades. La Ley regula la forma y condiciones en que las empresas deben utilizar tus datos personales
Clasificacion de datos Artculo 61. El responsable determinar las medidas de seguridad aplicables a los datos personales que trate, tomando en cuenta los siguientes factores: I. La naturaleza de los datos personales, II. El riesgo inherente por tipo de dato personal, III. La sensibilidad de los datos personales tratados IV. El nmero de titulares V. El desarrollo tecnolgico VI. Las posibles consecuencias de una vulneracin para los titulares VII. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
87
VIII. El valor que podran tener los datos para un tercero no autorizado, y IX. Dems factores que puedan incidir en el nivel de riesgo. Para tales efectos el Instituto emitir recomendaciones para identificar las medidas de seguridad adecuadas, con base en las fracciones anteriores.
CNBV: A travs de las DISPOSICIONES DE CARACTER GENERAL APLICABLES A LAS INSTITUCIONES DE CREDITO La CNBV menciona: Que resulta oportuno compilar en un solo instrumento jurdico las disposiciones aplicables a las Instituciones de Crdito expedidas por esta Comisin, sistematizando su integracin y homologando la terminologa utilizada, a fin de brindar con ello certeza jurdica en cuanto al marco normativo al que las mencionadas entidades financieras debern sujetarse en el desarrollo de sus operaciones, lo que tambin habr de facilitar la consulta, cumplimiento y observancia de las disposiciones que les resultan ser aplicables
Extracto del documento de la CNBV Este documento es un documento vivo, conforme la tecnologa avanza esta documentacin debe ser actualizado para reflejar esos cambios
88