Documentación Diseño en Seguridad en redes Ver 2.1

1

Innovación de Soluciones Elaborado por: SXT, VMOM Confidencial

Consorcio Red Uno, S.A. de C.V.

Documentación

Diseño de Seguridad en Redes

INNOVACIÓN DE SOLUCIONES Consultoría y Diseño de Soluciones

2


Fecha Versión Modificaciones al Documento Autor

14 / Agosto / 2009 1.0 Elaboración del documento SXT y VMOM 9/Septiembre/2009 1.1 Se agrega la segunda parte del documento SXT y VMOM 03/Diciembre/2010 1.15 Actualización de Fabricantes SXT y VMOM

30/Agosto/2011 2 Se agrega Puerto Seguro, VPN’s, Filtrado correo, Clean pipe, Regulaciones. Se actualizan temas anteriores

SXT y VMOM

3


INDICE 1 OBJETIVOS ............................................................................................. 5

2 AUDIENCIA ............................................................................................. 5

3 INTRODUCCIÓN ..................................................................................... 6

4 TENDENCIAS DE SEGURIDAD ............................................................. 6

5 ¿QUÉ ES LA SEGURIDAD? ................................................................... 9

5.1 Riesgos, Amenazas y Vulnerabilidades. ..................................... 10

5.2 Análisis de riesgos ....................................................................... 11

5.3 Principios Fundamentales de la Seguridad ................................. 13

5.4 Marcos de Referencia o modelos de la Seguridad ...................... 13

5.5 Ataques ....................................................................................... 14

5.6 Controles de Seguridad ............................................................... 21

5.7 Mejores Prácticas de Seguridad Empresarial en General ........... 23

5.8 Framework de Seguridad Telmex ................................................ 23

6 SOLUCIONES DE SEGURIDAD PERIMETRAL ................................... 25

6.1 Perímetro ..................................................................................... 25

6.2 ¿Qué es un Firewall? .................................................................. 26

6.3 Tecnologías de Firewalls ............................................................. 27

6.1 ¿Qué puede hacer un Firewall? .................................................. 28

6.2 ¿Qué no puede hacer un Firewall? ............................................. 28

6.3 Esquemas de alta disponibilidad ................................................. 29

6.2 Recomendaciones de Diseño ...................................................... 35

7 DIMENSIONAMIENTO DE FIREWALLS ............................................... 39

7.2 Parámetros que proporciona el fabricante ................................... 39

7.3 Diseño y Dimensionamiento del equipo ...................................... 42

7.2 Líderes en la industria ................................................................. 46

8 UTM ....................................................................................................... 46

8.1 ¿Qué es UTM? ............................................................................ 46

8.2 Que funciones desempeña el UTM ............................................. 47

8.3 Capas donde operan las soluciones del UTM ............................. 48

8.4 Mercado objetivo del UTM ........................................................... 48

8.5 Características al evaluar una solución UTM .............................. 48

8.6 Dimensionamiento del UTM ........................................................ 49

8.7 Pruebas de evaluación sugeridas en un UTM ............................. 52

8.8 Posicionamiento en el mercado del UTM .................................... 53

8.9 Puerto Seguro ............................................................................. 53

9 IPS ......................................................................................................... 55

9.1 ¿Qué es IPS? .............................................................................. 56

9.2 ¿Por qué se requiere un IPS? ..................................................... 58

4


9.3 Tipos de IPS ................................................................................ 58

9.4 Cualidades que debe tener el IPS ............................................... 58

9.5 Escenarios de implementación de IPS ........................................ 59

9.6 Ubicación de IPSs ....................................................................... 61

9.7 Dimensionamiento de IPS ........................................................... 63

10 CLEAN PIPE (Tráfico SEGURO) ........................................................... 66

10.2 Descripción del Servicio .............................................................. 66

10.3 Componentes del servicio ........................................................... 66

11 VPN’s y Encriptación ............................................................................. 69

11.1 ¿Qué es la Criptografía? ............................................................. 69

11.2 VPNs ........................................................................................... 70

11.3 Posicionamiento en el mercado ................................................... 72

12 FILTRADO DE CONTENIDO WEB........................................................ 74

12.2 Que es el filtrado de contenido WEB ........................................... 74

12.3 Justificación del filtrado de contenido .......................................... 75

12.4 ¿Que puede hacer el filtrado de contenido Web? ....................... 75

12.5 Escenarios de implementación .................................................... 76

12.6 Dimensionamiento del Filtrado de Contenido WEB ..................... 80

12.7 Posicionamiento en el mercado ................................................... 82

13 FILTRADO DE CORREO ELECTRÓNICO ............................................ 83

13.2 Líderes en el mercado ................................................................. 85

14 Seguridad en voz ip ............................................................................... 85

15 Regulaciones ......................................................................................... 86

5


1 OBJETIVOS � Definir los conceptos básicos que usamos en Diseño de Seguridad en Redes. � Proveer los lineamientos básicos para el Diseño de Soluciones de Seguridad. � Proveer la documentación e información básica de Seguridad a los interesados. � Especificar los procedimientos para dimensionar las soluciones hacia nuestros

Clientes. � Alimentar la Base de Datos de Conocimiento de la empresa.

2 AUDIENCIA Este documento está dirigido a: � El área de Diseño de Soluciones (Específicamente Consultores que desarrollan las

propuestas de Seguridad) � Todo aquel que tenga contacto con soluciones de seguridad del cliente. � Todas las áreas internas de Consultoría y Diseño de Soluciones.

� Este documento no está dirigido a Áreas de Ingeniería de Campo u Operaciones. Para entender este documento se requiere conocimiento y experiencia en:

� LAN, WAN (Capa 2 y 3, IP,ICMP, ARP, RARP etc.) � Protocolos de transporte TCP, UDP. � Modelo OSI � Experiencia en diseño de redes WAN � Conocimientos básicos de Seguridad Perimetral � Entendimiento de protocolos de aplicación (HTTP, SMTP, DNS, POP3

etc)

6


3 INTRODUCCIÓN “La información es el activo intangible más valioso de una organización” Actualmente Telmex ofrecen Servicios y Soluciones de Seguridad que no están acotadas más que a la parte de Seguridad Perimetral, lo que nos deja una amplia gama de soluciones que debemos diseñar como trajes a la medida para los clientes. Si a lo anterior se suma el hecho que dentro de las tecnologías que está empujando el mercado están los servicios de seguridad implícitos en la nube del carrier, como Clean Pipes y SecaaS, estamos frente a un buen reto. En la mayoría de los proyectos que involucran soluciones que no son estándar nos topamos con que requerimos ayuda de fabricantes y proveedores especializados para poder Diseñar e Implementar este tipo de Soluciones. Este documento tiene como objetivo entre otras cosas, alinear los parámetros de diseño que debemos tomar en cuenta para su desarrollo. Hoy en día cada quien diseña como su entendimiento se lo indica, y no existe ninguna manera estándar de dimensionar, interconectar o especificar las distintas soluciones que podemos ofrecer. Aun cuando Telmex ha adquirido a la empresa Scitum, las soluciones de seguridad perimetral, en su mayoría son diseñadas por C&D de Red Uno, además de que la familia de productos y servicios de Scitum aún no están integrada al catálogo de soluciones Telmex.

4 TENDENCIAS DE SEGURIDAD

En la siguiente grafica se muestra la sofisticación de los ataques contra el conocimiento requerido para atacar sistemas a lo largo del tiempo.

Figura 3. Sofisticación de los ataques de red

“Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva”. Stephen Hawking

7


La grafica anterior muestra que a lo largo del tiempo las herramientas de ataque informático van siendo más sofisticadas, mientras que al mismo tiempo requieres menos conocimiento o especialización para usar estas herramientas de ataque. Esto no deja lugar a duda de que al paso del tiempo la seguridad se vuelve un insumo cada vez más importante.

� El costo de la implementación de medidas de seguridad no es trivial; sin embargo, sólo

es una fracción del costo que supone mitigar un incidente de seguridad. � La encuesta sobre seguridad y delitos informáticos del Instituto de seguridad de

equipos y de la Oficina Federal de Investigación (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las pérdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren.

� La encuesta demuestra que los ataques de denegación de servicio (DoS, Denial Of Service) y de robo de información son los responsables de las mayores pérdidas.

Top 10 amenazas a la seguridad de la Información (2010)

1. Software Malicioso (Malware) (DoS, gusanos, trojanos, etc.) 2. Empleados maliciosos 3. Explotación de vulnerabilidades 4. Empleados descuidados 5. Ataques a los dispositivos móviles 6. Ataques vía las redes sociales 7. Ingeniería social 8. Ataques nuevos o de día cero 9. Amenazas a la seguridad en el cómputo en la nube 10. Cyber espionaje

8


Figura 6.- Sistemas con más vulnerabilidades

Figura 7.- Tendencias actuales

� Posición de México entre los países que tienen más Cybercrimen a nivel mundial. (Each

country lists 6 contributing factors, share of malicious computer activity, malicious code rank,

9


spam zombies rank, phishing web site hosts rank, bot rank and attack origin, to substantiate its cybercrime ranking.)

Cybercrime (Botnets as a Service)

Fuente: Reporte amenazas de McAfee 2011 5 ¿QUÉ ES LA SEGURIDAD? “La Seguridad es un proceso de administración de riesgos” Lo primero que debemos de tener presente es el valor que le damos a algo, y nuestra necesidad de que ese algo (sea tu familia, tu información, tus instalaciones) esté protegido, para conservar su valor en el tiempo. Por el simple hecho de que algo tenga valor para nosotros es por lo que nace nuestra necesidad de asegurarlo. Por supuesto hay varias formas de proveer seguridad a un bien que es valioso. Sin embargo el primer paso es determinar claramente el objeto de nuestra preocupación (Definir nuestro valor y sus alcances), Por ejemplo, si son datos, que tipo de datos nos preocupa asegurar, si son personas específicamente quienes son, y quienes no son valiosas, y hasta podemos determinar una jerarquía. El segundo paso es determinar los riesgos que corre nuestro valor, o sea, de qué o quién lo debemos proteger. Si no tenemos claras estas dos premisas, no podemos arrancar con nuestro diseño e implementación de seguridad. “La desconfianza es la madre de la seguridad” En un contexto general, esto podría arrojar que no requiero protección realmente, o que requiero un nivel muy complejo de protección. Todo depende del valor que le demos a las cosas.

10


La realidad es que la filosofía de la seguridad dice que “ los datos más importantes del cliente son…..los suyos..…todos” . El cliente difícilmente distingue por si mismo cuales son los datos más relevantes. Para esto existen los procedimientos clasificación de la información y análisis de riesgos.

5.1 Riesgos, Amenazas y Vulnerabilidades. “Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla.” - Sun Tzu Definiciones:

• Amenaza: Es una circunstancia o evento externo que potencialmente puede causar daño a un valor.

• Vulnerabilidad: Es una debilidad en un software, hardware, procedimiento o persona que puede ser explotada directamente por una amenaza.

• Riesgo: La probabilidad de que una vulnerabilidad o un grupo de ellas puedan ser explotadas por un atacante. Algo que te expone a una amenaza.

Conceptualmente se puede decir que:

Riesgo = Amenazas + Vulnerabilidades

Figura 2. Amenazas y Vulnerabilidades

� La identificación de los riesgos de seguridad permite a los miembros de los grupos de

trabajo del proyecto aclarar las ideas e identificar posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.

� La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.

11


� La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.

� El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sería que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.

� La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se le ha otorgado acceso.

� Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consistiría en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP.

� La elevación de privilegios es el proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegítima.

Relación entre los conceptos:

Amenzas-vulnerabilidades-riesgos-bienes-exposicion-control

5.2 Análisis de riesgos Es una herramienta para la administración de riesgos que nos permite identificar vulnerabilidades y amenazas, evaluar los posibles impactos y determinar cuándo implementar un control. ¿Cuánto y en que debo gastar en seguridad? El análisis de riesgos debe ser “efectivo en costos”, debe permitir priorizar y demostrar donde se debe invertir para proteger la información. Análisis de riesgo cuantitativo: Asigna valores monetarios a los elementos en el proceso de análisis. Pasos:

1. Asignar valor a los bienes 2. Estimar la perdida por amenaza 3. Realizar un análisis de la amenaza

12


4. Calcular la posible pérdida anualmente 5. Tomar una decisión (Aceptar, Transferir, Terminar, Reducir)

Ejemplo:

1. Tenemos un Centro de Datos de 1,000,000 de pesos 2. Una inundación puede ocurrir y se puede dañar un 25% (Equipos de la PB) = 250, 000

sería mi perdida si realizamos la multiplicación. 3. ¿Qué tan frecuente es? si considero que los últimos años ha habido 1 inundación cada

10 años. 4. Si realizo el cálculo 250,000 * .1 = 250,000 = 25000 = pérdida anual 5. Tomo una decisión:

• Acepto el riesgo, me arriesgo y no invierto en mas • Transfiero el riesgo a un seguro por los equipos • Dejo de utilizar la PB • Implemento algún tipo de control que me implique un costo menor de 25000

anuales Análisis de riesgo cualitativo: Está basado en escenarios y opiniones. No Asigna números ni valores monetarios a los elementos en el proceso de análisis, lo que realiza es proponer escenarios, donde se ponderan la posibilidad y el impacto.

Figura.- Tabla análisis de riesgo cualitativo

Tabla comparativa entre el análisis de riesgos cuantitativo y cualitativo

13


5.3 Principios Fundamentales de la Seguridad “En la cadena de la seguridad el eslabón más débil es el ser humano” Ya nos hicimos las preguntas de ¿Qué deseo Proteger?, y ¿Por que lo deseo Proteger?, pero seamos más específicos, hablando ahora de Sistemas de la informción. Los principios de la seguridad de la información son los siguientes:

• Integridad

• Disponibilidad

• Confidencialidad

Figura 8.-Principios de la seguridad .

• Confidencialidad : Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal y sistemas autorizados a acceder a dicha información

• Integridad: Es la propiedad de la información que garantiza que los datos que provee los sistemas son correctos y confiables. La información solo puede ser cambiada por las personas o entes autorizados a hacerlo.

• Disponibilidad: Quiere decir que los recursos de red y los sistemas de información deben estar siempre disponibles para los usuarios autorizados. Los principales ataques en Internet están dirigidos a vulnerar este rubro.

Lo anterior nos deja claro qué es lo que debemos proteger de la información. Y de esto parte todo lo que debemos implementar para protegerla. (Se conoce como la Triada CIA)

5.4 Marcos de Referencia o modelos de la Seguridad Existen diversos frameworks o modelos que nos ayudan a orientarnos en las metas que debe cumplir la seguridad organizacional: Committee for Sponsoring Organizations (COSO) Framework (1985): Es un modelo de gobierno corporativo y está enfocado a lidiar con las actividades financieras fraudulentas. (No enfocado a IT), Responsabilidades de los directivos y asuntos financieros son parte de su enfoque. Control Objectives for Information and Related Technology (COBIT) Framework : Desarrollado por la ISACA (Asociación de control y auditoria para sistemas de la información) y el ITGI (Instituto de Gobierno de IT). Es un modelo de Gobierno de IT, el cual, define Metas para los controles que debieran ser utilizados para asegurar la apropiada administración de IT y el alineamiento con las necesidades del negocio. Este Framework les proporciona a las empresas metas y guías formales para la adquisición, instalación, pruebas, certificación y acreditación de productos de IT. ¿Qué debemos hacer? ITIL: La Biblioteca de Infraestructura de Tecnologías de Información, es un conjunto de conceptos y prácticas para la gestión, desarrollo y operación de servicios de tecnologías de la

14


información. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.¿Cómo lo podemos hacer? ISO: ISO/IEC 27001: Basado en el estándar británico BS7799 parte 2, está enfocado a establecer, implementar, controlar y mejorar el Sistema de Administración de Seguridad de la Información (ISMS). (Certifican empresas) ¿Lo que deberíamos ser? ISO/IEC 27002: Código de consejos y buenas prácticas para el ISMS, basado en el estándar británico BS7799 parte 1, también conocido como el ISO 17799. (Certifican individuos) ¿Qué debemos hacer? ISO/IEC 27004: Un estándar para métricas en la administración de la seguridad ISO/IEC 27005: Implementar seguridad de la información basado en un esquema de administración del riesgo ISO/IEC 27006: Una guía para certificarse ISO/IEC 27799: Guía para proteger información personal relacionada a al salud Marco de referencia de riesgo: Risk IT Framework: Define, de manera fundamentada, una serie de guías para la gestión eficaz de los riesgos. Dichas guías son generalmente aceptadas sobre la base de los principios de la gestión del riesgo, que se han aplicado en el campo de las TI. El modelo de proceso de RISK IT está diseñado y estructurado para que las organizaciones puedan aplicar los principios en la práctica y comparar sus resultados.

5.5 Ataques Conocer las diferentes etapas que conforman un ataque informático brinda la ventaja de

aprender a pensar como los atacantes y a jamás subestimar su mentalidad. Desde la perspectiva del profesional de seguridad, se debe aprovechar esas habilidades para comprender y analizar la forma en que los atacantes llevan a cabo un ataque.

15


Fase 1: Reconnaissance (Reconocimiento) . Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una Npersona u organización. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing. Fase 2: Scanning (Exploración) . En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Fase 3: Gaining Access (Obtener acceso) . En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploración. lgunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Dnial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Maintaining Access (Mantener el acceso) . Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Covering Tracks (Borrar huellas) . Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS). “No existe en el mundo un elemento invulnerable” Existen diferentes ataques dirigidos a vulnerar los diferentes Objetivos de la seguridad de la información, en este contexto existen ataques para vulnerar:

• La disponibilidad de la información o de los servicios que la proveen, entre los ataques más conocidos para vulnerar la disponibilidad son los DoS, DDoS

• La confidencialidad de la información, por ejemplo las técnicas de Suplantación de Identidad, como IP Spoofing y Phishing.

• La Integridad de la información, como Salami Attacks o Session Hijacking. Ataques a la Disponibilidad de la Información. “No podemos evitar las amenazas, lo más que podemos hacer es tomar las medidas necesarias para protegernos de ellas” En general podemos mencionar DoS, DDoS, Botnets, TCP SYN Floods, ICMP floods, Ataques físicos al ambiente de computo.

• DoS (Denial of Service) – Intenta tirar o dejar inaccesible un servicio de Internet o de datos como paginas WEB, Correo electrónico, FTP, etc. Se requiere poco esfuerzo para hacer el ataque, y esto lo convierte en uno de los ataques favoritos de los Crackers. No se intenta obtener información ni invadir un sistema, simplemente se trata de dejar fuera de alcance los servicios de tu objetivo. Lo típico es enviar cantidades muy grandes de solicitudes del servicio al servidor, esto hace que se vuelva extremadamente lento el procesador, además de que tiene una capacidad limitada para atender solicitudes, lo que consecuentemente puede provocar alguno de dos problemas: El procesador del servidos se satura por la cantidad de interrupciones, y hace que el equipo se apague, o bien, el servidor se ve tan lleno de solicitudes del

16


atacante, que ay no puede atender a los usuarios validos. Ejemplos de este tipo de ataques:

o TCP SYN Flooding : Explota una vulnerabilidad del mecanismo de

funcionamiento de TCP, el llamado Three-Way Handsake. Para completar una sesión de TPC se necesita enviar un SYN, el destino contestara un SYN y pedirá un ACK, el origen responde con otro ACK y entonces la sesión queda establecida. Este ataque se basa en nunca contestar al destino el último ACK, de manera que la sesión nunca termina de establecerse, y el Server se queda esperando. Si esto lo haces 10,000 veces, se acaba la capacidad del servidor de abrir sesiones, y ya no se puede accesar a ese servidor.

Figura 9.- Ataque TCP SYN Flood

17


o ICMP echo-request floods : El los firewalls es muy típico permitir el uso de los ICMP’s como Pings y Traceroutes para darle troubleshooting a las redes, por esta misma razón se usan para crear ataques, por ejemplo:

� Ping de la muerte: Usa paquetes muy grandes y muy numerosos para

saturar, alentar y eliminar una máquina. � ICMP Fragments: Se usan para llenar el buffer de reensamble de un

dispositivo, obligándole a ya no recibir peticiones IP

Figura 10.- Ataque de negación de servicio

o ICMP directed broadcast (smurf attacks): Para este ataque se necesitan un

grupo de máquina en una subred, donde el router o Firewall no hayan bloqueado en su configuración tráfico de ICMP a direcciones IP de Broadcast. El atacante envía un ICMP echo-request a la dirección de broadcast de la subred con la ip del objetivo a atacar como el source. Cuando las máquinas de la subred reciben el ICMP, todas responden con los paquetes de regreso, pero como el origen del ICMP era la IP del objetivo, todas la maquinas responden al mismo tiempo hacia el objetivo, saturándolo. Podría considerarse un DDoS, pero no hay zombies.

Figura 11.- Ataque Smurf

18


• DDoS (Distributed DoS)– El objetivo es el mismo que en un DoS, pero el ataque se

genera de múltiples puntos, que atacan un objetivo común. Esto hace que haya mucho mayor flujo de tráfico y solicitudes al servidor atacado, y lo inutiliza más rápidamente. Para hacer este tipo de ataques el cracker instala un programa llamado Zombie, a un grupo de maquinas en el Internet, esto le permite al cracker tener control sobre recursos de esta computadora. Un control maestro centralizado le permite al cracker iniciar el ataque distribuido, al indicarle al grupo de máquinas que manden tráfico malicioso hacia la misma victima.

• BotNets.- Es una colección de computadoras comprometidas corriendo programas

bajo una infraestructura de control y comando común. Un canal cubierto es usado para controlar la BotNet (típicamente un IRC). A las máquinas o programas controlados (o para control) se les llama zombies. Las BotNets se usan para atacar simultáneamente un objetivo común y ponerlo fuera de servicio. (DDoS)

Ataques a la Confidencialidad de la información. Estas ocurren cuando un atacante tiene acceso a información sensible, y se dan por fallan en los sistemas de Control de Acceso, o por intercepción de datos en transito en una red. Estos ataques incluyen:

• Port Scan y Ping Sweeps : Estos son ataques muy comunes en para el primer paso de un proceso de ataque (Reconocimiento). Buscan identificar los servicios o puertos abiertos que existen en una red, identificar los host y dispositivos, identificar los sistemas operativos, y finalmente identificar las vulnerabilidades de una red, sistema o servidor.

“Casa con dos puertas, mala es de guardar”

• Sniffers : Equipo o programa destinado a monitorear una red. • Steganografía : Técnica para ocultar información en otros objetos, como imágenes,

para pasar mensajes, spywares o virus en los sistemas o computadoras. • Phishing : Técnica que se usa para adquirir de forma ilegal o por engaños información

sensible de usuarios, como usernames y passwords, o detalles de cuentas bancarias o tarjetas de crédito. Para esto el ataque se disfraza de una entidad muy confiable (como un banco o institución gubernamental, o amigo de confianza). Tipicamente se usa e-mail o Messenger para este tipo de ataques. Este se considera un ataque de Ingeniería Social.

• Pharming : Es un ataque dirigido a redireccionar el tráfico de un sitio Web a otro. Esto se hace cambiando el archivo de Host en una máquina, o bien atacando vulnerabilidades en un servidor de DNS. Su uso va dirigido principalmente al sector financiero, y busca lograr robos de identidad, para posteriormente hacer fraudes.

Ataques a la Integridad de la información. Un ataque a la integridad de la información ocurre cuando el atacante logra cambiar, modificar o substituir información sensible.

• Ataques Salami : Es una serie de pequeños ataques que juntos logran ser un ataque muy grande. Para que esto ocurra, los ataques pequeños deben pasar desapercibidos.

• Trust Exploits : Es tomar ventaja de una maquina o servicio que tiene una relación de confianza con un sistema, y aprovecharse de esta situación. Por ejemplo en vez de atacar un servidor donde se encuentra la información que queremos, atacamos el Active Directory, que nos puede dar acceso a un servidor que probablemente sea más difícil atacar directamente.

• Ataques de Password : Ataques dirigidos a obtener, adivinar o robar los passwords de un usuario. Por ejemplo:

19


“Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños”

o Ataques de fuerza Bruta: Se usa un programa que inserta passwords de manera aleatoria en un sistema, o bien intenta probar todas las combinaciones posibles.

o Programas de Caballo de Troya: Es un programa que aparenta ser una aplicación común o de amplio uso, que captura un password, y lo pone a disponibilidad del atacante.

o Keyloggers : Son programas, y hasta dispositivos físicos como USB’s que capturan todos los caracteres que el usuario teclea en su teclado, de manera que todo se guarda en archivos de texto locales en un principio, y luego pueden ser enviados de forma remota automáticamente por e-mail o Web para su análisis.

o Ataques de Diccionario : Es similar a un ataque de fuerza bruta, sin embargo este está basado en un diccionario de palabras comúnmente usadas para crear passwords.

Ataques en General que son muy comunes.

• Ataques de IP Spoofing : Es la técnica que permite suplantar la dirección IP origen de un sistema con el fin de introducirse en otro. Se suplanta la IP de un sistema confiable (esto se hace en el campo del paquete que es la “Source Address”), para que el sistema que estoy atacando crea que los paquetes vienen de una fuente segura o con privilegios. Los ataques de IP Spoofin se usan para introducir otro tipo de ataques a los sistemas como pueden ser:

o Ataques de MAN IN THE MIDLE o Ataques de DoS o Ataques de DDoS

• Man-in-the-Middle: Es la técnica de escuchar los paquetes que cruzan a través de una

red, existen varias maneras de hacer esto:

o La primera es mandar los conocidos GARP (Gratuite ARP’s) al sistema para convencerlo de que la MAC de mi máquina es la MAC del Next-hop- router o del Default Gateway. Si el sistema acepta mis ARP, empezará a enviar todos los paquetes a mi máquina, lo que yo hago es reenviarlos al destino valido o next-hop-router, así estaré viendo todo el Tráfico de la red, sin que los usuarios de la red se den cuenta.

o Otra técnica es conectar un hub a la red o segmente que quiero capturar, o bien a un puerto Mirror o SPAN de un switch. De está manera el atacante puede escuchar el tráfico, y si los sistemas internos no están bien protegidos puede capturar usernames y passwords.

20


Figura 12.- Ataque Man in the middle

21


5.6 Controles de Seguridad “Nuestra seguridad es tan fuerte como nuestro eslabón más débil” Un programa de administración de la seguridad, debe poner atención en los tres tipos de controles de seguridad que existen, cubriendo estos, puedo decir que tengo implementado un esquema de seguridad completo, si solo le pongo atención a uno de estos rubros, la seguridad es vulnerable, y puedo perder o dañar algún bien o valor determinado. Los controles de Seguridad son elementos que se deben implementar en conjunto para cumplir con un esquema completo de Seguridad. Estos Controles son los siguientes:

• Administrativos

• Técnicos

• Físicos

Figura 13.- Controles de Seguridad .

• Controles Administrativos: Es la instauración y el manejo de Políticas, Procedimientos, estándares y guías de seguridad hacia empleados, instalaciones, uso de recursos…etc. Por ejemplo, Políticas de uso de aplicaciones por parte de los empleados (como SAP), quien puede usarlo, quien no, y como debe usarse.

• Controles Físicos: Involucra controles de protección de las instalaciones como

vigilancia, CCTV, detección de intrusos, accesos a áreas restringidas, controles de incendio y del ambiente, etc.

• Controles Técnicos: Involucran hardware, software y tecnología de la información como Firewalls, Antivirus, IPS’s, NAC, AAA,….etc.

“La desconfianza es la madre de la seguridad” Si en mi empresa implemento todos estos controles, puedo hablar de que tengo un esquema completo de seguridad. Si vemos el siguiente gráfico, nos daremos cuenta de que la seguridad no solo son datos, si no que la seguridad de los datos descansa sobre la seguridad física, y está sobre la seguridad administrativa. Por lo tanto, la seguridad se debe de implementar en capas.

22


Figura 30.- Modelo de seguridad por núcleos o capas de envoltura

*PTS- Plan Táctico de Seguridad

Figura 14.- Diseño de Seguridad por capas

“La Seguridad es un tema de todas las capas del modelo OSI, y adicionalmente el factor humano y el ambiente” Sin Procedimientos y Seguridad Física no tienen sentido los controles técnicos como los Firewall e IPS’s. Los Consultores de Diseño son los encargados de concientizar al cliente de que debe implementarlos. Antes de pensar en la seguridad de sus datos, debería tener por lo menos consientes a sus empleados en el hecho de que ellos deben ser partícipes activos de la seguridad de la empresa. “Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología” Bruce Schneier El no involucrar a los empleados de la empresa en nuestro esquema de Seguridad nos hace demasiado vulnerables, y esto lo digo basado en el hecho de que aproximadamente el 85% de

23


los ataques a sistemas informáticos de seguridad se hacen desde dentro de las redes de los clientes, no desde afuera, de este 85% el 50% son empleados, o sea, los ataques los realizan empleados de las propias empresas, de manera intencional, accidental o por errores de procedimiento. Lo anterior ocurre sobre todo en el sector financiero, educativo y gobierno. “En la cadena de la seguridad el eslabón más débil es el ser humano”

5.7 Mejores Prácticas de Seguridad Empresarial en G eneral Esto describe en algunos pasos, las medidas que se recomienda a las empresas tomar para hacer el manejo de su seguridad:

1. Crear Políticas de Seguridad para la empresa, documentarlas y hacerlas publicas y obligatorias para nuestros empleados. Debemos fomentar la conciencia y la formación en seguridad corporativa.

2. Entrenar a los usuarios en mejores prácticas de seguridad, y ponerlos al tanto sobre las tácticas de ingeniería social y otros ataques.

3. Aplicar Parches de manera rutinaria a Sistemas Operativos y Aplicaciones. 4. Deshabilitar en todos los servidores y host los servicios y puertos no necesarios. 5. Exigir a nuestro usuarios passwords seguros (largos, que no tengan nada que ver con

familiares, mascotas o fechas, que combinen números letras, mayúsculas y minúsculas…). Además deben habilitarse la actualización periódica de passwords.

6. Proteger con controles de acceso los sitios físicos donde tengamos servidores y equipo de red.

7. Hacer copias de respaldo periódicas de la información importante y verificar la integridad de los respaldos periódicamente.

8. Usar siempre encriptación de datos para información sensible de la empresa. 9. Implementar equipo y software de seguridad para proteger la red y los servidores

(Firewall, IPS’s, Antivirus). Instalar en todos los host de la empresa un agente Antivirus recomendablemente Firewall, e IPS personal.

10. Se debe tener un plan de continuidad y recuperación de desastres (DRP). Elaborar un mapa de riesgos.

11. Es recomendable tener en toda empresa un comité de seguridad y un equipo que le de seguimiento a las contingencias.

12. Cumplir con los estándares internacionales de seguridad recomendados por terceros. “La seguridad se ve distinta desde dentro, que desde afuera de la empresa”

5.8 Framework de Seguridad Telmex A continuación se muestra el marco de referencia de soluciones de seguridad existentes en la Industría, donde se identifican las soluciones de seguridad que ofrece Telmex-Scitum, y con las que no se cuentan actualmente.

24


25


6 SOLUCIONES DE SEGURIDAD PERIMETRAL “El equipo de seguridad debe colocarse lo más cerca posible del o los equipos a proteger”

6.1 Perímetro Definimos como perímetro a la frontera entre dos o más zonas, una interior que es segura, y una exterior en donde no tenemos ingerencia de la seguridad, por lo tanto se considera zona no segura. Los mecanismos que implementemos en esta frontera para protegernos de las amenazas de la zona exterior o no segura, se conocen como Seguridad Perimetral, y es un concepto que conlleva el uso de múltiples técnicas y equipos. El concepto de Seguridad Perimetral viene del desarrollo de la Seguridad Física como tal, y se usaba para proteger instalaciones militares, policíacas o bancos. Para protegerlas se implementaban técnicas como muros, bardas electrificadas, cámaras de circuito cerrado, etc. Entonces nuestro primer problema es definir como tal el perímetro de nuestra red, o bien, definir como tal las zonas que queremos proteger. Típicamente el equipo que nos da la salida hacia fuera de nuestra red Privada es un Gateway, mejor conocido como Ruteador. Es típico que este sea el equipo que nos transporta de una red privada hacia una red pública (en el esquema más sencillo). Es por esta razón que muchas veces se implementa la seguridad perimetral en el Enrutador, sin añadir mucho equipo adicional. Esto último es barato pero dependemos de las capacidades de seguridad del ruteador, recordemos además que el fin de este equipo es la traslación de medios, y el enrutamiento de datos a su destino.

26


Como podemos ver la seguridad se implementa en capas o niveles, lo primero son Directivas y Procedimientos, después viene la Seguridad Física, y después empieza la parte informática, de la cual debe implementarse primero la Seguridad Perimetral.

6.2 ¿Qué es un Firewall? Es un sistema ó grupo de sistemas que refuerzan las políticas de control de acceso entre dos redes. Entiéndase reforzar como el permitir aplicarlas. En otras palabras, es un equipo que nos permite aplicar políticas de acceso para el tráfico que cursa entre dos redes. En principio provee dos servicios básicos:

• Bloquea tráfico indeseado • Permite tráfico deseable

Al mismo tiempo un Firewall permite dividir la red en distintas zonas, típicamente una zona Trust (confiable o interna), una Untrust (Externa o no confiable), y otras áreas con políticas más específicamente definidas, como puede ser una zona DMZ (desmilitarizada), que permite una zona de tránsito para cierto tipo de tráfico que puede pasar a ciertos equipos de la red, pero no a la zona Trust.

Figura 17.- Perímetro simple y perimetro con zona d esmilitarizada (DMZ)

Debemos entender el manejo que hace un firewall de las zonas, una vez que han sido creadas las zonas Trust, Untrust y DMZ, el tráfico (o más bien el inicio de las sesiones TCP/UDP) entre ellas ocurre de la siguiente forma:

• Tráfico de la zona Inside a la Outside es permitido (Nos referimos a la apertura de las conexiones TCP/UDP)

• Tráfico de la zona Outside a la zona Inside es bloqueado • Tráfico de la zona Outside a la DMZ normalmente es permitido

27


• Tráfico de la zona DMZ a la zona Inside es bloqueado

Xsesión

Network Cloud

DMZ

OutsideInside

ClientNetwork

Servers

sesiónX

sesión sesión

sesión

Xsesión

Xsesión

Network Cloud

DMZ

OutsideInside

ClientNetwork

Servers

sesiónsesiónX

sesión sesión

sesiónsesión

Figura 18.- Tráfico entre zonas

6.3 Tecnologías de Firewalls Los Firewalls usan varias tecnologías para realizar las siguientes funciones:

• Packet Filtering : Filtra paquetes o tramas, basado en información solo del encabezado de IP (direcciones) o TCP/UDP (puertos).

• Proxy Server : Opera en la capa de sesión y actúa como intermediario entre los dos extremos de la comunicación, solicitando las conexiones en nombre del cliente, de manera que el administra las conexiones entre los dos equipos terminales. El Proxy funciona como cara de la red hacia el exterior, evitando que el interior de la red pueda ser visible, esto ofrece un gran nivel de seguridad y control.

• Stateful Packet Filtering: Opera en la capa de red y mantiene un estado de las conexiones que pasan por el firewall. Es utilizado típicamente por Cisco, este mantiene el estado completo de todas las conexiones. Cada vez que una conexión TCP o UDP se establece entra en una tabla que se llama Tabla de estado de flujo de sesiones (o tabla de estado en general). Todo el tráfico que entra y sale del equipo es comparado con esta tabla, el regreso del tráfico es permitido solo si una conexión valida y apropiada existe en la tabla de estado y es permitida. En general está tecnología trabaja con packet filtering inspeccionando el header de los paquetes, además de mantener las conexiones TCP/UDP en una tabla, y usarla para aplicar políticas de seguridad.

Ya con anterioridad vimos como el algoritmo evita que un equipo en la zona Untrust pueda abrir una sesión con un equipo en la zona Trust, y de igual manera un equipo en la DMZ o cualquier otra zona, no podrá abrir sesiones con equipos de la zona Trust (Inside). La regla es:

“Nada debe pasar de una zona de menor nivel seguridad, hacia una zona de mayor nivel de seguridad, y cualquier cosa puede pasar de una zona de mayor nivel de seguridad, hacia una zona con menor nivel" Además de lo anterior el algoritmo de Stateful Packet Inspection hacer lo siguiente:

• Mantiene actualizada la tabla de estado. • Permite conexiones de una zona de mayor a una zona de menor nivel de seguridad • Tira las conexiones de una zona de menor a una zona de mayor nivel de seguridad

28


• Para cada nueva conexión el algoritmo lanza un número de secuencia aleatorio, esto evita que un hacker pueda predecirlo y atacar vía esta conexión.

Otro modo en el que puede funcionar el Firewall es en Modo Transparente , donde el equipo no lleva dirección IP en las interfases, funciona a nivel de capa 2 (hablando de conectividad), también se conoce como modo bridging, y puede dar protección de capa 2 a capa 7. En este modo el Firewall es invisible a los usuarios en ambos lados de la red protegida. Tiene algunas desventajas manejar el Firewall en modo transparente, la primera es que el ruteo no esta disponible en este modo, ya que el direccionamiento de capa 3 tampoco. Otro problema es que solo se pueden manejar dos zonas, la inside y la outside, no se puede manejar una DMZ u otras áreas. La ventaja es que como no hay direccionamiento, el default Gateway de las máquinas de los usuarios se conserva en el router, el cliente no tiene que hacer cambios en el direccionamiento de su red. Desventajas de usar el Firewall en modo Transparente:

• No se soporta DNS Dinámico • No se soportal los protocolos de ruteo dinámico • No se soporta IPv6 • No se soporta QoS • No se soporta Multicast • No se soportan VPN’s

Ahora hablemos de los parámetros que típicamente nos proveen los fabricantes de Firewalls sobre el hardware, que son los elementos que nos van a permitir dimensionar el modelo del equipo que necesitamos.

6.1 ¿Qué puede hacer un Firewall?

• Puede conectar dos redes a nivel LAN. • Puede definir varias zonas distintas en base a sus interfases, y aplicar políticas de

seguridad distintas a cada zona. • Puede permitir o bloquear tráfico que pasa a través de él, basado en políticas

preconfiguradas. • Puede filtrar paquetes basándose en direcciones IP, Puertos TCP/UDP o usuarios • Detecta y reporta intentos de “entrada no autorizados”. • Puede autenticar usuarios. • Puede hacer NAT o PAT • Puede en ciertos casos enrutar paquetes entre sus interfases. • En algunos casos puede encriptar la información.

6.2 ¿Qué no puede hacer un Firewall?

• No puede proteger o aplicar políticas a tráfico que no pasa por él. • Si no están configurados adecuadamente no protegen o hasta pueden causar

problemas con el tráfico. • No provee confidencialidad a los datos • No pueden en principio proteger de ataques activos (hijaking, Port scan, DDoS,

man in the middle…) esa es tarea de un IPS • No es un Antivirus • Proteger de ataques del interior de la red, como virus, robo de información,

integridad de información, confidencialidad, manejo de dispositivos móviles de almacenamiento como USB, o CD’s.

• No protege de SPAM, P2P, Instant Messenger etc.

29


• Cuando un equipo además de desempeñar funciones de Firewall puede proteger contra ataques activos (IPS), virus, SPAM, contenido malicioso o paginas prohibidas, estamos hablando no de un Firewall, si no de un equipo multifuncional conocido como UTM (Unified Threat Management), que corresponde a otra tecnología que se vera más adelante.

6.3 Esquemas de alta disponibilidad Cuando hablamos de alta disponibilidad, en una zona perimetral tenemos dos casos. Esquemas de conectividad en Activo–Pasivo, o bien esquemas en Activo-Activo. En el esquema Activo-Pasivo entendemos por default que uno de los dos equipos se encuentra en Standby, esperando a que el otro equipo falle, y poder tomar su lugar en caso de falla, en este caso solo esta fluyendo tráfico por uno de los dos equipos al mismo tiempo. Esto se conoce como respaldo.

Activo

Pasivo

Tráfico

Activo

Tráfico

XEn fallaActivo

Pasivo

Tráfico

Activo

Pasivo

TráficoTráfico

Activo

TráficoTráfico

XEn falla

Figura 20.- Esquema de HA Activo-Pasivo

En el segundo caso, donde tenemos un esquema de Activo-Activo, presuponemos que por ambos enlaces esta fluyendo tráfico, lo que podría ser en la mayoría de los casos un balaceo de carga, donde el elemento que balancea no es propiamente el firewall.

30


Activo

Activo

Tráfico

Activo

Tráfico

XEn falla

Tráfico

Activo

En Falla

Tráfico

X

Activo

Activo

TráficoTráfico

Activo

TráficoTráfico

XEn falla

TráficoTráfico

Activo

En Falla

TráficoTráfico

X

Figura 21.- Esquema de HA Activo-Activo Debemos aclarar que para Cisco en particular, se requiere que ambos equipos que formaran la configuración de HA sean idénticos en modelo y características; lo mismo ocurre para Juniper , sin embargo hay marcas como Check Point que permiten hacer un respaldo con equipos de diferentes capacidades, pues el software es el mismo. En casos como Sonic Wall , efectivamente se requiere que ambos equipos sean idénticos en hardware, sin embargo pueden compartir el esquema de licenciamiento, lo que hace más económico al segundo equipo. En casos como Alteon de Nortel , solo se soportan esquemas Activo-Activo para HA. También cabe mencionar que el cable que une los dos Firewalls para Stateful-Failover es un cable cruzado, de otra manera deberíamos usar un switch para mantener unidos los Firewalls. También deben tomar en cuenta que en el link de Fail-over se debe configurar en una red o subred distinta. Otra gran desventaja de usar Firewalls de Cisco en modo Activo-Activo es que en este modo se necesitan firewalls virtuales, esto hace que no se pueda usar en este tipo de configuración túneles IPSec, SSL y protocolos de ruteo dinámico como RIP u OSPF. En ambos esquemas (Activo-Activo ó Activo-Pasivo) se puede configurar la redundancia para Stateful-Failover, lo que quiere decir que el cable que une los dos Firewalls sincroniza entre ellos la información de todas las conexiones activas, de manera que cuando ocurra el Failover, no se pierdan las conexiones activas y los usuarios no noten cuando el respaldo entra. Todo lo anterior aplica siempre y cuando el elemento de falla en el flujo de tráfico sea el Firewall, sin embargo en topologías más complejas lo que puede fallar son los elementos de inter conectividad alrededor del Firewall, lo que nos puede obligar a hacer aun más complejas nuestras topologías. El mercado pone como ejemplo está configuración:

31


Figura 22.- Esquema de HA típico

Como pueden notar a la entrada hay un cruce de conexiones entre el Firewall Master y el Firewall Backup. Nótese también la doble conexión a la DMZ, una a cada Firewall. Basándonos en este esquema podemos definir un esquema básico de la siguiente manera:

Internet

Activo CoreAcceso

Users

Pasivo MDF IDF

Figura 23.- Esquema de HA básico Como se puede ver en este esquema, si falla un firewall, entra el otro, de igual manera si falla un router, el firewall detectara la perdida de una de sus interfases y conmutara al Fail Over automáticamente, en estos dos casos los usuraos no detectan la falla….pero ¿que pasa si lo que falla es lo que tiene más posibilidades de fallar?, el enlace de ultima milla. Cualquiera diría: Pues entra el enlace de respaldo. Efectivamente, sin embargo el Firewall que estaba en Activo jamás se entera de la falla, pues el router sigue arriba, y la interfase Ethernet no se ha caído. Esto nos obliga a hacer cruces para evitar esta contingencia:

32


Internet

Activo CoreUsers

Pasivo MDF IDF

Acceso

Figura 24.- Esquema de HA con cruces de entrada

La desventaja con que nos topamos ahora es que requiero más interfases para el Firewall, que comúnmente son costosas (una practica que se recomienda en diseño es sobrarse un poco en interfases, y no quedar demasiado justo), además de que requiero más puertos Ethernet en los routers, que siempre son escasas, para resolver esta problemática podemos poner dos switches entre los routers y los firewalls, de la siguiente forma:

Internet

Activo

Pasivo

Core

MDF IDF

Users

Acceso

Figura 25.- Esquema de HA con switches entrada

Esto resuelve la problemática de la perdida del enlace sin que el Firewall activo pierda conectividad. Ahora pensemos si añadimos una DMZ al esquema:

Internet

Activo CoreUsers

Pasivo MDF IDF

Acceso

DMZ

OutsideInside

Figura 26.- Esquema de HA con DMZ en HA

Como podemos ver ahora, para tener una DMZ en un esquema de HA tenemos que conectar ambos Firewalls a esta zona, y los servidores o equipos deben también poder ver ambos firewalls, de otra manera no serviría nuestro esquema de HA. Esto lo resolvemos poniendo dos switches en HA en la DMZ. El esquema LAN de la DMZ puede complicarse tanto como equipos y VLAN`s se tengan en estas zonas. Inclusive se admite un esquema de Private VLAN’s en la DMZ, que es muy usado.

33


Recordando que estamos aun analizando los esquemas de Seguridad Perimetral, agreguemos un elemento que es fundamental en la protección del perímetro, un IPS, pero en HA.

Internet

Activo CoreUsers

Pasivo MDF IDF

Acceso

DMZ

Outside Inside

IPS

IPS

Figura 27.- Esquema de HA con IPS en línea

Ahora tenemos protección contra intrusos en línea dentro de nuestra zona Inside protegiendo solo el perímetro. Sin embargo hemos dejado desprotegida de ataques de intrusos una parte fundamental de la red, los servidores (la DMZ), el IPS solo está protegiendo el tráfico que pasa hacia la red interna de usuarios. Hay muchas maneras de proteger los servidores, pero lo mejor es el uso de otro par de IPS’s.

Internet

Activo CoreUsers

Pasivo MDF IDF

Acceso

DMZ

Outside Inside

IPS

IPS

Figura 28.- Esquema de HA con IPS’s en DMZ

No necesariamente los equipos IPS pueden tener un enlace de sincronía entre ellos, pues pueden funcionar de forma independiente uno de otro, dependiendo del fabricante que elijamos para estos equipos. Esto se discutirá a profundidad más adelante. En cuanto a los servidores, podemos tenerlos de dos tipos, servidores públicos, donde gente desde afuera de la red pude hacer consultas a ellos, como pueden ser servidores WEB, mail, FTP, o e-commerce; estos servidores, se colocan típicamente en la DMZ, lo cual le permite a

34


usuarios en el outside, que es mi zona untrust, accesar a los servicios sin que mi red interna se vea vulnerada o comprometida. Los servidores no públicos, conocidos como servidores de aplicación interna, se deben colocar en una VLAN de la zona trust, y no en la DMZ, si no se van a hacer consultas desde el Internet. Esto protege más a estos servidores que a los que están en la DMZ, pues por definición la zona Trust es más segura que la DMZ.

Internet

Activo CoreUsers

Pasivo MDF IDF

Acceso

DMZ

Outside Inside

IPS

IPS

Servidores públicos

Servidores Internos

Figura 29.- Esquema de HA con servidores de aplicac ión internos

De igual manera podemos ir añadiendo más equipo para proteger el perímetro, como puede ser un Antivirus Gateway, sin embargo lo importante es que nuestra seguridad sea diseñada en capas, siguiendo siempre las reglas y las mejores practicas ya expuestas en este documento.

35


6.2 Recomendaciones de Diseño En redes grandes, conocidas como Large Enterprise, con más de 500 usuarios aproximadamente, no es conveniente hacer que el mismo equipo realice múltiples funciones, pues al agregar funcionalidades al equipo, el throughput de este se decrementa, pudiendo llegar a apagarse el equipo, por lo que las Mejores Practicas dicen que en redes muy grandes, separemos el Firewall, del equipo que hará VPN’s (sobre todo si encriptamos con 3DES o AES); separemos también la funcionalidad de IPS, pues demanda también mucho procesador, el Filtrado de contenidos se recomienda que también este separado, y lo más cerca de la salida a Internet. La funcionalidad de Antispam se recomienda más cerca de los servidores de correo, y el Antivirus Gateway cerca también de la salida a Internet. En orden sería: Inmediatamente después del Router conectar el Firewall, inmediatamente después el IPS, a continuación el Antivirus Gateway. El filtrado de URL’s debe ponerse en un punto donde confluya todo el tráfico WEB, por ejemplo en un puerto mirror del Core. El Antispam justo antes del ó de los servidores SMTP. Después de estos elementos, lo correcto es blindar los host, con un software de antivirus en cada maquina de los usuarios, y de forma recomendable un Firewall personal y un IPS de host. Finalmente deberíamos blindar Servidores y Aplicaciones. En soluciones PYME (menos de 500 usuarios) si es permitido el uso de UTM, con el dimensionamiento adecuado. En México, las PYMES están definidas por el número de empleados con los que cuenta la empresa. En el artículo 3 de la Ley para el Desarrollo de la Competitividad de la Micro, Pequeña y Mediana Empresa del año 2002, se establecieron los siguientes parámetros

Figura 32.- Clasificación de PYME en México

Nota: En los EU considera-menos de 500 una PYME Hablando de topologías de red, podemos tener esquemas aun más complejos donde la principal problemática podría estar representada por múltiples salidas a Internet, en diferentes sitios del cliente. Una de las mejores prácticas en seguridad es tener centralizado en un punto el servicio de Internet, de manera que protegiendo este punto y tomándolo como entrada al perímetro es más fácil definir y proteger el perímetro. Cuando se usan múltiples salidas a Internet se deben proteger todas ellas con equipo separado, lo que implica extender el perímetro a cada uno de estos puntos donde haya salidas a Internet. Si dejamos de proteger alguna de las salidas a Internet, dejamos abiertas las entradas conocidas como Puertas Traseras, por donde los ataques pueden entrar. Una de las técnicas comunes para atacar una red, es buscando sus puertas traseras, que pueden ser a nivel de acceso físico a la red, o a nivel de acceso lógico. Entonces definamos dos puntos de mejores prácticas:

• Protege con equipo de seguridad todos tus accesos a Internet o a redes externas o inseguras.

• Trata de bloquear todas tus puertas traseras, lógicas o físicas, que pueden ser:

36


o Accesos a Internet no identificados o Accesos inalámbricos no autorizados o Puertos abiertos en los firewalls o Accesos a equipo físico (puertos de red y de consola) no protegidos. o Proteger todos los accesos remotos a los sistemas de administración de los

equipos con SSH, SSL, SNMP. o Proteger en la LAN todos los puertos de switches que no se estén usando, lo

mejor es que estén en shutdown. LANLAN

CPE

CONEXIÓN DE VOZ 2 FXS

LANLAN

CPE

CONACULTA

LANLAN

CPE


INTERNET

LANLAN

CPECONEXIÓN DE VOZ 2 FXS

IP-MPLS

21 sitios

Alta Dirección

FWFW

FWFW

DMZDMZ

DMZDMZ

LANLAN

CPE


LANLAN

CPE


LANLAN

CPE

CONACULTA

LANLAN

CPE


LANLAN

CPE


INTERNET

LANLAN

CPECONEXIÓN DE VOZ 2 FXS

IP-MPLSIP-MPLS

21 sitios

Alta Dirección

FWFW

FWFW

DMZDMZ

DMZDMZ

Figura 33.- Múltiples salidas de Internet

Un diseño puede ser tan complicado, como el alcance que tenga nuestra solución de seguridad, y por supuesto por lo grande que sea la red a proteger, para poner un ejemplo veamos el diagrama de la siguiente página, que es la red propuesta para el IMSS, donde intervienen esquemas de alta disponibilidad Activo-Activo, IPS’s en línea, ninguna funcionalidad adicional el Firewall, más que el firewall mismo. Las funcionalidades de VPN están separadas, de igual manera el filtrado de contenidos es completamente separado. Existen varias zonas, incluyendo dos DMZ’s. Nótese el manejo de los IPS’s en las DMZ.

37


38


39


7 DIMENSIONAMIENTO DE FIREWALLS

7.2 Parámetros que proporciona el fabricante Los elementos que siempre nos va a dar cualquier fabricante de hardware de Firewall son los siguientes:

• Firewall Throughput : Está dado en Mbps o Gbps, y representa la máxima cantidad de datos que puede pasar el equipo en un momento dado, cuando esta configurado solo como Firewall.

• Concurrent connections o Max Sessions : Son la máxima cantidad de sesiones TCP soportadas por el equipo, y por supuesto depende de la cantidad de sesiones que abren los usuarios de la red.

• New sessions/second o New Connections/Second : Es la capacidad que tiene el Firewall de inspeccionar en un segundo nuevas sesiones que están siendo abiertas. Es su escalada de cambio. Muchos ataques de DoS vulneran esta capacidad.

• Network Interfaces o Network Ports : Son los puertos físicos con los que cuenta el equipo, y típicamente nos indica los que trae integrados de fabrica, debemos tomar en cuenta si se refiere a la configuración máxima con los spots instalados. Típicamente 10/100, 10/100/1000 (GE), o Fibra en SX o SR. En algunos casos se requiere licenciamiento.

• Expansión Slots o Interfase slots: Se refiere a las ranuras de expansión para tarjetas de interfases adicionales a las que tiene integradas. Es importante verificar que el equipo cuenta con la suficiente cantidad de interfases que se requieren.

• High Availability : Indica si soporta o no Alta disponibilidad o redundancia en equipos, y si se soporta en activo-Activo, o Activo-Pasivo. En algunos casos se requiere licenciamiento adicional para soportar estas funcionalidades

La mayoría de los Firewalls hoy en día soportan la creación de túneles para VPN sobre Internet, e incluyen el desempeño o Throughput cuando requieren encriptar la información sobre los túneles. Algunos algoritmos de encriptación como 3DES o AES demandan mucha cantidad de procesador, por lo que el desempeño del Firewall disminuye si activamos la encriptación de datos. Es por esto que como dato adicional los firewall nos dan otros desempeños, como 3DES/AES VPN Throughput. Cisco

40


Figura 35.- Hoja de datos de Cisco

Juniper

Figura 36.- Hoja de datos de Juniper

41


Check Point

Figura 37.- Hoja de datos de Check Point

Típicamente el cliente nos tiene que proveer de la información mínima necesaria para dimensionar el equipo que debemos proponerle. La mayoría de las veces (sobre todo en las PYMES), el cliente no tiene ni idea de lo que requiere. Lo correcto sería llevar a cabo algún análisis para tener información confiable sobre el cliente:

• Análisis de red • Análisis de riesgos • Análisis de vulnerabilidades • Pruebas de penetración

Estas serian las mejores prácticas para el diseño. La situación aquí es que estos servicios, aun cuando nosotros los ofrecemos son muy caros, y muy dirigidos a Gran Empresa, una PYME difícilmente nos compraría este servicio. Es por esto que el consultor puede, en base a la información mínima del cliente hacer un dimensionamiento del equipo que este requiere. Para el caso más típico, donde el acceso a Internet es centralizado, o bien vamos a dimensionar el nodo central, debemos obtener la siguiente información.

• Si lo tiene, el número de sesiones TCP/UDP totales que requiere. • Número de usuarios totales que pasaran información por el firewall. • Si requiere túneles VPN, cuantos y si son IPSec o SSL. • Si usara encriptación, y que tipo de encriptación requiere (DES,3DES, AES) • El tipo de tráfico y aplicaciones que pasaran por el firewall. • Sí no tiene el tráfico, el giro de la empresa nos da una muy buena idea del uso que

hará de los recursos de red, como el Internet.

42


• Cuantas zonas distintas requiere, si requiere más de una DMZ. • Cuantos servidores públicos tiene, y cuantos servidores de aplicación interna tiene. • El diagrama de su red.

Una vez obtenidos estos datos procedemos a ubicar y delimitar el perímetro de la red del cliente, y el lugar donde va a ser colocado el Firewall. Para soluciones a nivel PYME (menos de 500 usuarios) lo típico es que se tenga un nodo central y pequeñas sucursales. Es típico que se tenga una sola salida a Internet en el central, así que colocamos el equipo entre el router y la red LAN, para proteger el perímetro. Todo esto ya se trató en los esquemas de Seguridad Perimetral, ahora veamos como dimensionamos el equipo.

7.3 Diseño y Dimensionamiento del equipo El parámetro más confiable de la hoja de datos del fabricante de Firewalls, es la cantidad máxima de sesiones TCP o conexiones TCP/UDP que puede soportar el equipo. Está es un medición (al igual que todos los parámetros que nos da el fabricante) que se hace en condiciones ideales. Como ya lo comentamos con anterioridad, el número de sesiones nos indica en realidad cuantas conexiones TCP podemos tener abiertas al mismo tiempo en el equipo, antes de que este se sature a nivel de procesador. Teóricamente, si rebasamos este limite, el equipo se bloquea, o en el mejor de los casos se resetea. Por lo tanto la cantidad de sesiones TCP que soporta un equipo dependen de su capacidad de procesamiento, de la memoria, y de la capacidad de sus interfases…en otras palabras, es dependiente del hardware. De igual manera el throughput es dependiente del hardware, sin embargo este valor depende mucho más de las condiciones en que haya sido medido, muchas veces el fabricante expresa un throughput que no refleja la realidad de su producto. Es más confiable el uso de las conexiones simultáneas, además de que es más sensible el equipo a este parámetro que al throughput Tenemos entonces que conocer el número de conexiones TCP que se abrirán en el lugar donde coloquemos el equipo, para poder dimensionarlo a nivel de procesador. La pregunta es: ¿Cómo sabemos el número de sesiones TCP que está abriendo un cliente hacia el exterior de su red? Podemos preguntárselo directamente, si el cliente es alguien técnico que conoce perfectamente su tráfico lo podrá determinar. La realidad es que esto difícilmente ocurre así. Por otro lado podemos hacer un análisis del tráfico, el cual deberá ser mínimo de una semana para considerarlo confiable. Esto se puede hacer con un sniffer, y es un servicio que se le cobrará al cliente. Esta es la manera más confiable de conocer el tráfico del cliente, pero la más cara. La tercera forma de conocer el número de conexiones TCP en la sida de la red es combinar algo de ingeniería social con el número de usuarios, el giro de la empresa y el tipo de aplicaciones que son externas a la red del cliente. En base a el giro de la empresa, las preguntas a los usuarios de lo que hacen en Internet, y las aplicaciones hacia el exterior podemos estimar el número de sesiones por usuario que se abrirán. Esta es una técnica que usan los fabricantes de Firewalls para dimensionar sus soluciones. Podemos aplicar la siguiente formula:

# Sesiones Totales = # Sesiones por usuario x # usu arios Para determinar las sesiones por usuario podemos tomar esta referencia:

Tráfico Sesiones por usuario (aprox.) Navegación WEB Internet (sin trasferencias 70

43


de archivos y dependiendo de la pagina) Navegación + mail + transferencia de

archivos. 100

Navegación+mail+trasferencia de Arch.+p2p+Messenger

150

Todo lo anterior + aplicaciones externas + VPN+ voz

200

Tabla 1.- Sesiones estimadas por usuario “El hardware es lo que hace a una máquina rápida; el software es lo que hace que una máquina rápida se vuelva lenta” Toma en cuenta por ejemplo que cada ventana de Messenger que abres puede generar múltiples sesiones, no importa si es UDP, el firewall la guardara en su tabla de sesiones, y le costara trabajo de procesador mantenerla abierta. Por ejemplo, aquí tenemos un estudio que se hizo a la tarjeta de firewall FWSM de cisco.

Figura 40.- Hoja de datos de Cisco

De acuerdo a lo observado actualmente el promedio de sesiones concurrentes de usuario son 500.

Si vemos en nuestra máquina la cantidad de sesiones TCP/UDP abiertas, con una cantidad normal de aplicaciones abiertas, digamos, el correo, el chat con algunas ventanas abiertas, un par de ventanas de navegación, y nuestras aplicaciones internas como el SAP, nos daremos cuenta que la cantidad de conexiones es inmensa, pueden ser desde 50 hasta 80 en un momento dado, y en casos graves hasta más de 150. En la siguiente figura se pueden ver las conexiones abiertas por un usuario.

44


Figura 41.- ejemplo de sesiones abiertas por un usu ario

Por lo tanto sería lógico tomar un número mayor a 100 como referencia para calcular el caso más grave que podrá manejar un Firewall, pues recordemos que una regla de diseño básico es: “No diseñes o propongas considerando el caso más simple o común, toma el caso más grave en el que puede caer tu sistema, de esta manera estarás protegido cuando ocurra el peor caso…que seguramente ocurrirá” Esto ultimo basados en la primera ley de Murphy: “Si algo puede salir mal, saldrá mal” Tomando en cuenta esto podemos fijar las conexiones por usuario en aproximadamente 150 sesiones por usuario . Con base en esto y en la formula:

# Sesiones Totales = 150 x # usuarios

45


Pensaríamos que simplemente tomando esa cantidad y multiplicándola por el número de usuarios tendríamos la cantidad total de sesiones que deberá soportar nuestro Firewall; esto es parcialmente cierto, sin embargo recordemos que las capacidades del hardware están medidas en condiciones ideales, e indican lo que sopota el equipo al máximo…o sea…antes de fallar. Lo recomendable a nivel de hardware es no llevar al equipo más allá del 80% de sus capacidades, esto si no queremos ver que el equipo se resetea continuamente, aunado a sus problemas de energía y disponibilidad. Esto es una de las llamadas mejores practicas. Por lo anterior lo que debemos hacer es dimensionar el equipo de manera que no superemos el 80% de su capacidad (Mejores practicas). Esto lo podremos lograr agregando un factor a la formula general de sesiones concurrentes.

# Sesiones Totales = (150 x # usuarios) x 1.25

Por lo tanto

# Sesiones Totales = 187.5 x # usuarios Por supuesto que si lo que quieres saber es el número de usuarios que soporta un equipo (sin sobrepasar el 80% de su capacidad), teóricamente lo puedes obtener de la siguiente forma.

# usuarios que soporta un firewall = # Sesiones Tot ales / 187.5

Hasta aquí todo lo anterior es cierto si el equipo solo hace funciones de Firewall. Si además el equipo va a manejar VPN’s, lo lógico es que usemos algún tipo de encriptación para darle confidencialidad a la información que transportemos por las VPN’s. Como sabemos los algoritmos de encripción son muy demandantes en procesador, sobre todo AES, que es un algoritmo mucho más complejo, en menor medida 3DES, y en mucho menor medida DES. El resultado de encriptar información con el Firewall va a ser una degradación del Throughput del equipo. De por si tomamos el 80% del valor total del equipo para dimensionarlo, ahora, si vamos a usar AES y un numero de túneles considerable, el desempeño del equipo se degrada aun más. Es prácticamente imposible calcular el porcentaje de degradación, y depende mucho del tipo de hardware, lo que si debemos hacer como Mejore Practicas es por lo menos considerarlo en nuestro diseño.

46


7.2 Líderes en la industria Añadimos el cuadrante mágico de Gartner para visualizar los líderes en el mercado de Firewalls (A nivel Large Enterprise) y tomarlo en cuenta en nuestros deployments.

Figura 42.- Cuadrante de Gartner Firewalls en merca do Enterprise

8 UTM

(UTM) Unified threat Management (Administrador de de amenazas unificado), también conocido como (ISR) Integrated Service Router (Router de servicios integrados) o bien (SSG) Secure service gateway (gateway de servicios seguros) son los nombres mas conocidos para este tipo de equipos que rápidamente se han convertido en el mas importante equipo de seguridad de red para muchas empresas, principalmente para pequeñas y medianas.

8.1 ¿Qué es UTM?

El dispositivo UTM tiene varios significados ya que existen varios equipos en el mercado que cumplen con esa etiqueta y en esencia busca cumplir con 3 ideas principales:

� Contar con múltiples características para mitigar amenazas � Integrar las funcionalidades sobre una plataforma madura de firewall

47


� Desarrollarlo sobre un solo dispositivo En otras palabras es; un dispositivo de seguridad de red que integra distintas funcionalidades que se encuentran en diferentes dispositivos de red. A continuación se muestra un diagrama que ilustra la propuesta de valor del UTM:

Figura 44.- Esquema común de equipos dedicados de s eguridad en la red

Figura 45.- Esquema UTM integrando funcionalidades

“En muchos casos la diferencia entre un firewall normal y el termino UTM se ha reducido al grado de que muchos equipos que añaden “algo” además de hacer bloqueo de trafico sean llamados así”

8.2 Que funciones desempeña el UTM Entre los procesos que debe atender el equipo se encuentran: • Ruteo • Stateful Inspection Firewall • VPNs IPSec • IDS/IPS • Anti-virus • Anti-spam • Filtrado de contenido Algunas nuevas y más avanzadas tecnologías de UTM intentan agregar DLP (Data leak prevention), administración de identidad, gateways de voz, comunicaciones unificadas y control de acceso de red, actualmente son funcionalidades no contempladas en este documento.

48


8.3 Capas donde operan las soluciones del UTM El UTM a través de sus tecnologías logra operar en distintas capas del modelo OSI, en el siguiente diagrama se ejemplifica donde se ubica su operación a distintos niveles:

Figura 46.- Seguridad por capas del dispositivo UTM

8.4 Mercado objetivo del UTM La necesidad que cubre el UTM son empresas que tienen un presupuesto limitado en seguridad, y que están dispuestas a sacrificar las mejores soluciones de seguridad y performance por equipos simples, multiusos y a un bajo costo. El UTM esta enfocado a empresas pequeñas (10 -50) y medianas (50 – 500), a este nicho de mercado le permite un nivel similar de seguridad al de una empresa mas grande (Enterprise), con las ventajas de contar con un costo mas bajo operativo y en capital, ya que en su propuesta, beneficia el hecho de contar con menos equipos para comprar y administrar. “Hacia el 2009, el mercado de UTM ha crecido un 47.9%”

8.5 Características al evaluar una solución UTM

Los proveedores de UTM han intentado llevar el UTM a un nivel de Enterprise (+500 usuarios), donde podemos observar que la idea de consolidación no es mala, pero consolidación sin performance ha sido el talón de Aquiles de muchos equipos, como se menciono antes, actualmente no se recomienda utilizar un equipo de este tipo a nivel Enterprise con todas sus funcionalidades. En general un equipo para PYMES necesitará menos funcionalidades, pero un equipo UTM competitivo que pudiera crecer a empresas de mayor tamaño debiéramos revisar si cuenta al menos con:

� Firewall con múltiples zonas � Distintos tipos de NAT � Permita realizar VPNs por Ipsec � Capacidad de IPS o DPI � Alta disponibilidad � Soporte de ruteo dinámico (Inter marca) � Un performance de firewall aceptable � Escalación de puertos � Capacidad de vlans � Una Filosofía de administración:

o La interfaz de administración sea tan unificada como el equipo

49


o La solución sea capaz de manejar cientos de reglas con decenas de dispositivos.

o El sistema cuente con logs y herramientas de troubleshooting para ayudar día a día.

o Como puede el personal de TI obtener beneficios de cada función del equipo, para su trabajo.

o El sistema permite tener un sistema de auditoria (reportes) o archivo de logs, lo cual es muy importante para un análisis forense.

� Que tenga un sistema de reglas intuitivo para el administrador � Que cuente con capacidades adecuadas de alertas � Que las características de mitigación tengan sentido para un nivel “Enterprise”, no solo

tiren conexiones. � Contar con una estrategia del producto para la escalabilidad � Modo de actualización de las firmas de IPS, ¿recurre a un tercero? � Que sea fácil habilitar funcionalidades � Que tenga un modo practico en los up-grades

Debemos continuar con la observación que solo se recomienda para un posible nivel Enterprise solo utilizar FW e IPS. A nivel Enterprise no se sugiere agregar anti-malware, anti-spam, o filtrado de contenido. “Algunos clientes solo utilizaran ciertas funciones del UTM, mientras que otras funciones se seguirán delegando en otros equipos dedicados”

Figura 48.- Comparación de Performance entre FW y D PI de un mismo equipo

. “Muchos UTMs realizan un trabajo pobre en algún área, antispam y antivirus son los mejores ejemplos”

8.6 Dimensionamiento del UTM El dispositivo UTM comúnmente esta contemplado para el nodo central de oficinas PYMES y en definitiva esta creciendo su implementación en este punto, sin embargo su implementación en las oficinas remotas también ha ido en aumento, en el caso de las Enterprise se ha utilizado en mayor numero para manejar la seguridad centralizada de las oficinas remotas. Estadísticamente se contempla que para mitades del 2009, la mitad de las oficinas remotas tendrán su propia salida de Internet, lo que lleva a que no tendrán que viajar por la WAN a sus oficinas centrales para accesar a Internet y muy probablemente requerirán un UTM.

50


Como se mencionó anteriormente las mejores prácticas nos sugieren realizar un análisis de la red para identificar las condiciones actuales y las necesidades en la red de una empresa, para los proyectos donde esto no sea posible, al menos debemos saber:

¿Tamaño de la compañía? R= Usuarios actuales ¿Que tanto será el crecimiento? R= Usuarios futuros, dependiendo sitios remotos ¿Cuales son las necesidades? R= Si requiere IPS, AV, Filtrado URL etc.,y dar prioridad a las mismas Ejemplo: Donde el numero 5 es lo mas importante

� Dependable firewall (5) � IDS/IPS (4) � Solid, stable VPN (5) � Content filtering-HTTP (4) � Content filtering-SMTP (3) � AD integration-VPN & HTTP content filtering (4) � Segmentación de interfaces de red (4) � Reporteo básico embebido (3) � Antivirus/Antispyware-HTTP (3) � Antivirus/Antispyware/Antispam-SMTP (2)

Estas preguntas podrán reducir el rango de equipos a considerar y posteriormente algunos fabricantes se enfocaran a equipos PYMES y otros a posible nivel Enterprise, lo que permitirá poner otro punto de decisión. Es importante saber que en promedio se reduce hasta un 70% de performance al prender el IPS y otro punto importante es que el escaneo de antivirus utiliza aproximadamente 100 veces más en procesamiento intensivo que una típica inspección de paquetes de firewall.

Sonicwall

2Metodologías de prueba: rendimiento máximo basado en RFC 2544 (para cortafuegos). El rendimiento real puede variar dependiendo de las condiciones de la red y de los servicios activados. 3 DPI completo/Rendimiento de AV/Anti-Spyware/IPS en UTM/pasarela medido a través de la prueba de rendimiento 4Rendimiento de VPN medido sobre la base de tráfico UDP y con paquetes de 1280 bytes según RFC 2544. 5El número máximo real de conexiones es menor cuando están habilitados los servicios UTM.

Figura 50.- Tabla comparativa entre performance de equipos UTM de un mismo proveedor

51


Figura 51.- Tabla comparativa de performance de UTM agregando

funcionalidades

Fortinet

Figura 53.- Características de un UTM que muestra e l proveedor

Watchguard

Figura 55.- Características de un UTM que muestra e l proveedor

Lo anterior corresponde a segmentos de usuarios entre 50-120, 120-250, 250-500, considera 400 sesiones por usuario, debido a las reglas Proxy, diferentes a las de packet filter.(en este caso ya el fabricante considera esas sesiones). Como recomendación utilizaremos la formula que se menciono anteriormente, en el ejemplo anterior nos indica el proveedor como al prender todas las funcionalidades se redujo el performance hasta en un 75%. # Sesiones Totales con UTM = <250> x # usuarios Otras mejores practicas:

52


� Tratar de distribuir la carga en varios equipos en lugar de uno solo � Validar cuanto caerá el performance al habilitar cada funcionalidad � Tener un equipo o servidor que administre los logs � Contar con escalabilidad y alta disponibilidad en el Firewall � Al habilitar alguna funcionalidad dejar un periodo de prueba.

“Intentar contar con un buen servidor que administre logs, no por horas o días, si no por meses, es muy importante el monitoreo de trafico para identificar de donde vienen los ataques, análisis forense”

Al finalizar el diseño es importante preguntarse y combinar la siguiente información. En función de la información que se tiene del proyecto:

� ¿Que queremos proteger? � ¿Cuales son las amenazas? � ¿Cuales son los requerimientos del negocio?

Deberíamos validar que nuestro diseño cumple con:

� El diseño propuesto realmente protege los recursos más importantes de la organización

� El diseño esta enfocado y hace énfasis en proteger los recursos correctos � El diseño sustenta los distintos modos que podría ser atacado � El diseño cumple con las metas del negocio, no impactara con las operaciones del

mismo “El riesgo en una empresa jamás será eliminado en su totalidad, simplemente es importante encontrar el punto de riesgo aceptable y seguro para la operación”

8.7 Pruebas de evaluación sugeridas en un UTM Normalmente el fabricante al presentar un equipo busca condiciones favorables donde su esquema de pruebas sea poco susceptible a fallas, pero deberíamos considerar las siguientes pruebas, que mostrarían un desempeño mas real del equipo.

� Generar amenazas hacia el tráfico valido como VoIP, P2P, CIFS, MPEG4 (desde el mismo puerto al mismo tiempo).

� Pruebas de capacidades como por ejemplo: o Amenazas por segundo o Sesiones por segundo o SSL sesiones por segundo o Sesiones concurrentes

� Verificar que pueda ser controlado desde una plataforma sencilla, rápida y acertadamente y en caso de ser necesario que la generación de script sea que de la misma manera.

� Probar performance con las funcionalidades que requiere � Probar funcionalidades con todas las funciones prendidas

“Es una buena practica y prueba realizar ataques falsos en tu sistema para identificar sus debilidades”

53


8.8 Posicionamiento en el mercado del UTM

Figura 56.- Cuadrantes de Gartner (UTM)

8.9 Puerto Seguro

Puerto Seguro es el servicio de Uninet que proporciona la infraestructura de seguridad necesaria, sobre el perímetro de la red del cliente, para disminuir en gran medida los ataques provenientes de los usuarios de la red.

Zona Perimetral

Red Interna del Cliente

Zona Perimetral


Firewall

IPS

Encriptación

Gateway antivirus

Antispam

Filtrado de contenido

Zona Perimetral


Zona Perimetral


Firewall

IPS

Encriptación

Gateway antivirus

Antispam

Filtrado de contenido

Alcance

54


• El soporte que se dará al CPE (equipo de seguridad del cliente) será únicamente para

atender la instalación y fallas al equipo, no a la configuración. • El cliente será responsable de la administración del equipo de seguridad instalado para

puerto seguro. • Solo existirán dos tipos de plantillas para la configuración de los equipos de puerto

seguro: Redes con servidores y redes sin servidores • Si el cliente requiere de una configuración especial fuera de las plantillas ya

preestablecidas, se cobrará un pago por evento programado bajo las políticas y tarifas comerciales vigentes.

Contratación: No existe un cargo de contratación.

Renta: Cargo mensual (36 mensualidades) dependiendo el paquete contratado

Paquete Modelo Usuarios RM

Paquete 1 SSG 5 50 $ 1,601.00

Paquete 2 SSG 140M 100 $ 5,660.00

Paquete 3 SSG 520 250 $10,884.00

Paquete 4 SSG 550M 500 $17,740.00

Usuarios Numero de Parte Descripción

1 - 99

SSG-5-SH Secure Services Gateway 5 with RS-232 Aux backup, 256 MB memory

NS-SMB2-CS-SSG5-3

Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG5

PAR-SD-SSG5 J-Partner SameDay Support for SSG-5

100 - 249

SSG-140-SH SSG 140 System, 512 MB memory, 0 PIM cards, AC power

NS-SMB2-CS-SSG140-3


PAR-SD-SSG140 J-Partner SameDay Support for SSG-140

250 - 499

SSG-520M-SH SSG 520M System, 1GB DRAM, 1 AC Power Supply

NS-SMB2-CS-SSG520-3


PAR-SD-SSG520M J-Partner SameDay Support for SSG520M

500 - 999 SSG-550M-SH SSG 550M System, 1GB DRAM, 1 AC Power Supply

55


SSG 5

SSG 140

SSG 550M

SSG 520M

NS-SMB2-CS-SSG550-3


PAR-SD-SSG550M J-Partner SameDay Support for SSG550M

SSG 5 � 160 Mbps FW / 40 Mbps VPN

SSG 140 � 350+ Mbps FW / 100 Mbps VPN

SSG 520M � 650+ Mbps FW / 300 Mbps VPN

SSG 550M � 1+ Gbps FW / 500 Mbps VPN

9 IPS

“El IPS no es un producto, es una función y una tecnología”

56


9.1 ¿Qué es IPS? IPS (Intrusion Prevention System), es una tecnología de seguridad de red que monitorea la red y la actividad de los sistemas para detectar comportamientos maliciosos, indeseados o anómalos con la capacidad de reaccionar en tiempo real, para prevenirlos o bloquearlos. El IPS permite brindar más opciones en nuestra protección hacia la red externa así como en la red interna. El IPS llega para resolver algunas ambigüedades del monitoreo pasivo, inicialmente los IPS eran IDS (intrusión Detection System) que detectaban un tipo de ataque, generaban alguna alarma y solo algunos podían ejecutaban comandos hacia los routers o los firewalls para prevenirlos, pronto se detecto que operacionalmente no era lo mejor, actualmente los IPS pueden realizar control de acceso basado en decisiones o contenido de aplicaciones.

Figura 60.- Respuesta a un ataque entre un IDS y un IPS

Un sistema de prevención de intrusos tiene como necesidad primordial ser muy acertado para la detección de ataques con la finalidad de reducir la tasa de falsos positivos.

Figura 61.- Tabla de respuesta de un IDS

Las principales tecnologias que utilizan los IPS son: Basados en firmas:

57


Compara una base de datos de firmas para identificar posibles incidentes, es efectivo con ataques conocidos pero no tan efectivo con ataques nuevos, además de que no puede dar un seguimiento de entender varios eventos a la vez. Es importante mencionar la característica de las firmas de IPS, las cuales suelen requerir cierto conocimiento avanzado para definir. F-SBID( --name "Block.WMP.Get"; --default_action drop_session; --protocol tcp; --service HTTP; --flow from_client; --pattern "Pragma: xPlayStrm=1"; ) Detección basada en anomalías: Compara definiciones que se consideran normales contra eventos que sean desviaciones de lo establecido, Es necesario que observen la actividad por un periodo del tiempo de la red o los dispositivos, son eficientes para detectar nuevos ataques, pero son susceptibles a generar una mayor cantidad de falsos positivos. Análisis de estado de protocolo: Compara distintos perfiles de definiciones aceptadas de las actividades de un protocolo, la diferencia con el anterior es que este se enfoca a protocolos, mientras que el anterior se enfoca a hosts y perfiles específicos de red, es capaz de comprender el seguimiento de un protocolo, su debilidad es que, muchas veces es muy difícil ser tan acertado en la configuración del comportamiento de un protocolo y que utiliza muchos recursos del dispositivo. Componentes típicos de un IPS: Sensor o agente: Monitorean y analizan la actividad, sensor normalmente es usado para NIPS, mientras agentes es utilizado para HIPS. Servidor de Administración: Dispositivo central que puede ser un appliance o bien un software, que recibe información de los sensores, analiza la información y puede relacionar eventos. Base de datos: Un repositorio de información de eventos de los agentes, o bien de los servers. Consola: Una interface de administración de los equipos.

Figura 62.- Elementos de una solución IPS

58


9.2 ¿Por qué se requiere un IPS? Un IPS me ayuda para buscar cubrir esos huecos, y nos ayudara en:

� Detener ataques activos � Alertar a los administradores de posibles eventos de seguridad � Cumplir con regulaciones � Fortalecer las políticas de seguridad � Limitar aplicaciones de IM y streaming de video � Mejor entendimiento de la actividad de red (como fue un ataque) que tráfico esta

llegando a mi red. � Mejora tiempos de respuesta en caso de ataque � Aprender de las aplicaciones que utilizan los usuarios � Fortalecer la confianza con los socios de negoció � Es mayor el costo de un ataque, que invertir en seguridad

9.3 Tipos de IPS Los IPS’s suelen ubicarse en distintos puntos de la red, a continuación se mencionan los tipos de IPS identificados normalmente: NIPS (Network IPS): Dispositivos que viven en la red y monitorean el tráfico en segmentos particulares, generalmente se desarrollan en la frontera entre redes, también en las fronteras junto a firewalls y routers, cerca de los equipos concentradores de VPNs, también en redes inalámbricas y en los puntos de servidores que son accedidos remotamente. WIPS (Wireless IPS): Dispositivos que se desarrollan en un punto de la red wireless, como protección para detectar actividades sospechosas. Network Behaivour Analisys (NBA): Son utilizados para detectar flujos de tráfico inusuales, como DDoS distribuidos, generalmente son utilizados internamente aunque algunas veces se desarrollan también hacia redes externas, tal como es el caso de Clean Pipes (a nivel de Carrier). HIPS (Host IPS): Software que se ejecuta en un host o servidor y ayuda a prevenir intrusos, monitorean la actividad de red, los logs del sistema, procesos, aplicaciones en el mismo equipo, no sirven para redes o grupos de equipos, solo para maquinas individuales.

“Los IPS pueden ser equipos dedicados o software, donde en caso de ser software es mas tardada su implementación”

9.4 Cualidades que debe tener el IPS Existen ciertas necesidades que debe contar un IPS entre los puntos principales que debe cumplir son: Es más común que un IPS opere internamente, principalmente en el Core que de manera externa, esto también provoca el considerar y buscar que el IPS cumpla con:

59


� Las velocidades en el Core son mayores por lo que se requieren equipos que vayan de los 100 Mbps hasta los Gbps.

� Se requiere calidad de servicio para controlar la latencia para las aplicaciones críticas. � Poder manejar muchos protocolos y aplicaciones. � Debe permitir la customización de firmas, para las aplicaciones internas y muchas

veces elaboradas en casa. � De preferencia un puerto dedicado de HA, capacidades de clustering y failover nativo. � Redundancia eléctrica y en discos duros � Capacidad de bypass en falla de hardware � Capacidad de separar el control de los datos, � Debe permitir centralizar y administrar dispositivos por grupos � Debe tener roles de administradores � Políticas predefinidas � Permitir políticas, por usuarios, vlans, recursos. � Un set comprensible de detección de amenazas, que incluya detección de firmas,

detección de tráfico anómalo, métodos heurísticas, y reducción de falsos negativos. � Poder relacionar eventos. Flujos. Y capacidad de reporteo � Mecanismos de respuesta automáticos, para su intervención en tiempo real � Actualizaciones de contenido, firmas que sean conocidas en tiempo real

“El IPS nos ayuda a ganar tiempo” y “es un dispositivo que requiere mucho mantenimiento y monitoreo” con esto mencionamos que ganar tiempo se refiera a:

� Sabemos que día a día surgen nuevos ataques y realmente muchas veces no es posible parchar todos los sistemas.

� Sabemos que algunos vendedores no crean parches para sistemas anteriores � Difícil identificar todos los equipos a proteger � A veces es necesario dar de baja para parchar un equipo � Contar con los recursos para parchar los sistemas

9.5 Escenarios de implementación de IPS

“Algunos IDS o IPS son implementados en redes falsas llamadas honeypots para atraer atacantes y estudiar su comportamiento”

NIPS En línea: Bajo este escenario todo el trafico que monitorea debe pasar a través de el IPS, su principal función es el bloqueo, y muchas veces se instalan donde deban procesar menos trafico, o bien para reducir la carga de un equipo.

Figura 65.- NIPS en línea/

60


NIPS Pasivo : Monitorea una copia del trafico actual, son desarrollados para que puedan monitorear en puntos específicos de la red, tales como DMZ, este tipo de escenario es menos común, el IPS se apoya de Spanning, mirror ports, network tap o bien de balanceadores de IPS, como se muestra en el siguiente diagrama.

Figura 66.- NIPS en modo pasivo

WIPS: En este nivel el IPS no realiza revisión de paquetes en capa de aplicación se limita hasta la capa 4, para la protección de redes inalámbricas, son mas acertados debidos a su corto alcance que tienen (solo protocolos de red inalámbrico), aun así no son del todo un avanzado sistema de protección.

Figura 67.- WIPS en la red inalámbrica

61


NBA: Cuando nos referimos a este tipo de IPS que examina el trafico de red y estadísticas, también nos enfocamos a una tecnología de prevención de intrusos, esta tecnología en particular es similar a la utilizada en clean pipes.

Figura 68.- IPS NBA en la red

9.6 Ubicación de IPSs En el siguiente ejemplo se muestra la necesidad de identificar distintas aplicaciones, flujos que nos permitan realizar el mejor diseño posible. En la primera imagen se muestra como se identifican los servicios a proteger, los puntos donde podría originarse un ataque y los flujos posibles.

Figura 72.- Identificar recursos y amenazas

En la segunda imagen se muestra en función de identificar los puntos más importantes donde ubicar los IPS

62


Figura 73.- Ubicar IPS

En la tercera imagen se agrega la solución de administración de los IPS, como se observa separada de los datos.

Figura 74.- Administración de los IPS

63


Alta Disponibilidad y failover en IPS´s: En el caso de fail-over (falla del equipo) los equipos pueden reaccionar de distinta forma, ya sea un switch, firewall, etc. En el caso del IPS tiene 2 opciones: Fail-open: Que al momento de la falla permita pasar todo Fail-close: Que al momento de la falla bloque todo Nota: Es distinto al término eléctrico fail-open, que es el estado cuando no pasa corriente En ese punto ha existido una discusión, pero el IPS tiene como base en caso de falla (eléctrica/reinicio) permitir todo (actuar como un cable) en algún otro tipo de falla (recursos) es configurable, al contrario del firewall que bloquea todas las conexiones, por lo que como se menciono antes debe incluir hardware y software que permita esta función.

Figura 75.- fail-open y fail-close soportado

Al igual que los firewalls los IPS permiten arreglos activo-pasivo, activo-activo, (statefull o non-statefull), para realizar clustering, bajo estos arreglos fortalecemos el performance y la confiabilidad. Una configuración típica de cluster de IPS similar a los firewalls es que operen en capa 3, cuando se trabaja de este modo se debe asegurar que los switches soporten multicast Mac-address, esto debido a que el switch envía el trafico a todos los dispositivos en cluster de HA, los IPS se comunican entre ellos mismos y vía protocolo de heartbeat deciden quien manejara las sesiones, su link del cluster debe asegurarse vía una comunicación en capa 2.

9.7 Dimensionamiento de IPS Que es importante conocer antes de poner un IPS o proponer un IPS: 1.- ¿Cual es la arquitectura de la red (Diagrama)? 2.- ¿Cuales son lo sistemas operativos, dispositivos de red y aplicaciones que necesitan protección del IPS? 3.- ¿Existen sistemas especiales que deban integrarse, como el monitoreo de la red que pueda ser un sistemas no seguro? 4.- ¿Existen riesgos específicos de lo que desea proteger la organización? 6.- ¿Cual es el proceso específico para manejar una violación a la seguridad, y cuales requieren respuesta inmediata? 7.- ¿Es necesario el monitoreo de el uso de la red por políticas de seguridad de la empresa? 8.- ¿Cuenta con requerimientos de auditoria específicos? 9.- ¿Necesita cumplir con algún tipo de regulación? 10.- ¿Es necesario cumplir con requerimientos de investigación (relacionado con los logs)? 11.- ¿Se debe cumplir con algunas consideraciones de encriptación?

64


En muchos escenarios es posible tener el número de sesiones, lo que no llevaría a retomar los cálculos que se realizaron con el firewall. En algunos otros será necesario en caso de existir un firewall existente en el punto a ubicar el IPS, ajustar el IPS el troughput que tenga el firewall.

Hp TippingPoint

Performance footnotes: • Throughput de red representa el máximo número que puede ser alcanzado en reenvio de tráfico • Latencia medida en paquetes de 1518 bytes. • Contextos de seguridad son el máximo número de sesiones manteniendo el estado de seguridad

Figura 80.- Tablas con información del proveedor N IPS

Mcafee



65


Sourcefire


Figura 84.- Cuadrantes de Gartner NIPS

Figura 89.- Cuadrantes de Gartner WIPS

66


10 CLEAN PIPE (TRÁFICO SEGURO)

10.2 Descripción del Servicio El servicio “Clean Pipe” ofrece una solución de protección para la red del cliente, que garantiza que el tráfico de Internet es filtrado y limpiado de ataques de DoS/DDoS, utilizando funcionalidades de seguridad avanzadas sobre los accesos contratados de Internet Directo Empresarial. La solución permiteofrece al cliente reportes del tráfico monitoreado, así como de los eventos de seguridad que lo afecten. La infraestructura para este servicio no requiere equipo para monitoreo y detección dentro de la red del cliente. Todo el equipo para este fin, estará ubicada en un sitio previamente definido (Triara), con el que se deberá establecer conectividad. Monitoreo La detección de un ataque de DoS se consigue al monitorear el tráfico en los enrutadores que tienen directamente conectados los clientes a los que se les ofrecerá el servicio, es decir los enrutadores PE de Internet. La detección está basado en el protocolo Netflow, por lo cual, cada enrutador PE reporta los flujos de datos a una serie de componentes capaz de identificar uando existe una anomalía en el flujo de tráfico que pudiera tratarse de un ataque Mitigación

Una vez detectado el ataque e identificado por el operador, este ejecutará una acción para atraer el tráfico al Nodo de Limpiado de Tráfico y aplicar una serie de contramedidas elegidas por el mismo que eliminen el tráfico referente al ataque para nuevamente regresar el tráfico legitimo del cliente a su destino original.

10.3 Componentes del servicio Peakflow SP Collector Platform (CP): Equipo encargado de recolectar los flujos de las interfases y equipos de la red, para esto, los flujos tuvieron que ser configurados en cada equipo que se quiere monitorear. También se encarga de visualizar la información de ruteo en BGP, y maneja SNMP para visualizar el nombre de las interfases y las estadísticas de tráfico.

Peakflow SP Business Intelligence (BI) Este equipo incrementa el número de Objetos Administrados en la Solución de Arbor.

Cuando sólo tenemos los Collectors, estos equipos son los encargados de administrar la base de datos de Objetos (MO- Managed Objects), cuando la solución crece, y por ende el número de objetos también, se requiere de este dispositivo para centralizar, administrar y escalar la base de datos de Objetos. Los MO son “Recursos de red configurados por el usuario” como:

� Rangos de direcciones de red o sumarizadas. � Clientes o direcciones IP como tal � Recursos estratégicos como DNS, Gateways de VoIP, etc. � Pueden ser definidos por bloques estáticos de CIDR, o expresiones dinámicas de

BGP. Peakflow SP Portal Interface (PI) Este equipo centraliza la administración, permite manejar cuentas de usuario de los distintos clientes para su acceso a la UI (User Interface), o bien a configuraciones. Funge

67


como líder en el manejo de la información, la administración y el acceso a otros dispositivos. Hace Sincronización de datos entre los CP y los PI. Habilita alta disponibilidad al realizar el failover del líder de respaldo. Mejora la escalabilidad y el performance.

Peakflow SP Threat Management System (TMS) Equipo de Mitigación de capa de aplicación (Filtrado inteligente), soporta DPI (Deep Packet Inspection). Soporta mitigar ataques DDoS y Zombies, y permite aplicar filtros de anomalías para remover hosts individuales comprometidos. Todo el tráfico malicioso debe hacerse pasar por este equipo, el cual entregará a la salida tráfico limpio.

Objetos a monitorear en Tráfico Seguro

• Para el protocolo IP • ICMP • Paquetes IP fragmentados • Paquetes IP NULL • Paquetes IP con direcciones privadas • Para el protocolo TCP • Segmentos TCP NULL • Segmentos TCP RST • Segmentos SYN • Tráfico total

Se detectan los siguientes tipos de ataques DoS/DDoS sobre las interfaces, subredes y activos informáticos protegidos del cliente:

• ACK Flood • SYN Flood • Hogging CPU • Chargen (Character generator) • FIN Flood • ToS Flood • DNS Malformed • HTTP Flood

68


• ICMP Flood • UDP Flood • Non- UDP/TCP/ICMP Protocol Flood • PPS Flood Attack • Zombie attack • Land Attack

Reportes El cliente recibirá los siguientes reportes mensuales en PDF

• Reporte sobre “Toptalkers” externos, principales visitantes • Reporte Alert Dashboard reporte de alertas y mitigaciones • Reporte Geo IP Ubicación geográfica de visitantes • Reporte Peak Flow Resumen de ataques y mitigaciones

69


11 VPN’s y Encriptación

11.1 ¿Qué es la Criptografía? Se define como el método para almacenar y transmitir datos a modo de que solo las personas a quien está dirigido puedan leerlos y procesarlos. Términos relacionados:

• Encriptación: Acto de transformar los datos a un formato que no puedan ser leídos • Algoritmo o Cifrado: Conjunto de reglas matemáticas utilizadas en la encriptación y

des-encriptación • Llave: Secuencia de bits e instrucciones utilizadas en los procesos de encriptación y

des-encriptación • Criptosistema: Sistema o producto que provee encriptación y des encriptación

¿Qué servicios nos proveen los criptosistemas?

• Confidencialidad: Ilegible para cualquier otro que no sea el usuario autorizado • Integridad: Que lo datos no hayan sido alterados de una manera no autorizada desde

su creación, transmisión y almacenamiento • Autenticación: Verifica la identidad del usuario o el sistema que creo la información • Autorización: Provee una llave o password para acceder a algún recurso • No repudiación: Quien envía el mensaje no puede negar que lo envió

Algoritmos: Simétricos: El emisor y el receptor tienen la misma llave “secreta” y “protegida”para encriptar y desencriptar la información. Estos algoritmos proveen confidencialidad, pero no proveen autenticación ni repudiación.

70


Asimétricos: El emisor y el receptor tienen 2 llaves distintas (pública y privada), que se relaciona matemáticamente, una llave para encriptar y otra para desencriptar. Proveen todos los servicios de los criptosistemas

A continuación se muestra un resumen de algoritmos y su uso

11.2 VPNs ¿Que son las VPNs IPSec? Suite de protocolos que provee un método para establecer un canal seguro para proteger el intercambio de información entre 2 dispositivos, estos dispositivos pueden ser equipos de trabajo, servidores, gateways, routers. Opera en la capa de red.

• Operan en modo túnel: la información del mensaje, los encabezados y el ruteo va protegido

• Operan en modo transporte: Información del mensaje va protegida Encabezados IPSec:

71


¿Para qué son los túneles IPSec? Nos permite enlazar sitios a través de Internet de manera segura, son comúnmente implementados por PYMES que no pueden pagar enlaces dedicados y donde se puede ahorrar en las llamadas de larga distancia. Son mayormente recomendado para conexión entre redes Gateway-Gateway. Requieren de configuración en ambos puntos

Familia FW ASA con VPNs incluidas

Características que nos da el fabricante:

Consideración: El total de sesiones concurrentes SSL + VPN no debe sobrepasar el numero indicado en la tabla. Las sesiones de SSL no deben de sobrepasar las licencias adquiridas

¿Que son las VPNs SSL? SSL opera en la capa de transporte, utiliza encriptación de llave pública (asimétrica) y provee encriptación de los datos, autenticación del servidor, integridad del mensaje y opcionalmente autenticación del lado del cliente Nota: HTTPS es HTTP (capa 7) corriendo en SSL (capa 4) Cookies: Archivos de texto utilizados que se almacenan en el disco duro del usuario para fines estadísticos y promocionales. En seguridad son utilizados para evitar ataques de “man in the middle” y mantener viva una sesión de SSL con una marca de tiempo, la cookies con información sensible solo son almacenadas en memoria, no en el disco duro. ¿Para que las VPNs SSL? Son más recomendables para las conexiones de usuarios móviles por su fácil configuración y escalamiento. IPsec de usuarios móviles forzosamente requieren de un cliente. A continuación se muestra un comparativo de ambas VPNs:

72


Características que nos da el fabricante: Tomaremos el ejemplo de los equipos de SSL de Juniper que tienen 2 familias las Secure Access y los equipos MAG. Los equipos SSL están homologados por Telmex en el producto Negocio Seguro que a continuación se detalla: El año pasado Juniper libero la Familia de productos MAG, donde hay productos de SSL enfocado al mercado PYMES y agregando funcionalidades de NAC para soluciones Enterprise. Este servicio está acompañado del cliente Junos Pulse para optimizar el acceso.

11.3 Posicionamiento en el mercado

Cuadrante magico de Gartner VPNs de SSL

¿Que es Get-VPN?: Cisco´s Group Encrypted Transport, es una tecnología patentada por Cisco que provee de encriptación a las redes MPLS/IP, a continuación se mencionas las ventajas de GET-VPN:

73


• Comúnmente se utiliza la infraestructura actual por lo que no es necesario la adquisición de más equipamiento.

• Solución distinta a los túneles tradicionales de IPSec, la cual es una tecnología de VPNs "sin túneles", que provee de manera nativa seguridad (encriptación) punto a punto al trafico de red, manteniendo una topología mallada, la calidad de servicio y el ruteo original.

• Permite diferenciar el tráfico interesante a ser encriptado, lo que permite un control mas granular.

• Utiliza tecnología basada en estándares, integra enrutamiento, seguridad en la red y elimina la necesidad de configurar túneles punto-a-punto por lo que simplifica la distribución de políticas de seguridad.

• Los módulos de administración de llaves cumplen con estándares internacionales (FIPS 140 – 2, Nivel 2)

GroupMember

GroupMember

GroupMember

GroupMember

Key Server

RoutingMembers

Group Member• Dispositivos de encripción• Rutas entre regiones seguras

Key Server• Valida a los Group members• Administra políticas de seguridad • Crea llaves de grupo• Distribuye Políticas / Keys

MPLSGroupMember

GroupMember

GroupMember

GroupMember

Key Server

RoutingMembers

Group Member• Dispositivos de encripción• Rutas entre regiones seguras

Key Server• Valida a los Group members• Administra políticas de seguridad • Crea llaves de grupo• Distribuye Políticas / Keys

MPLS

Diagrama ejemplo de Get-VPN

Consideraciones:

• La encriptación en capa 3 agrega un encabezado (Campo de ESP (Encapsulating Security Payload) y una copia del encabezado IP original). El proceso de cifrado incrementará en un 30% promedio el consumo del tráfico que se considere como interesante.

• Los equipos ruteadores no cuenta con mecanismos físicos a prueba de intrusión.

Mencionaremos el protocolo L2TP (Protocolo de encapsulamiento) para realizar una distinción de la diferencia de encapsulamiento y cifrado: En el portal Web de Telmex, se menciona claramente que L2TP no está cifrado: Seguridad.- La información viaja a través del túnel L2TP, sin acceder a Internet, razón por la cual ninguna persona ajena a la VPN puede entrar por ello que la información no requiere de encriptación.

74


12 FILTRADO DE CONTENIDO WEB

12.2 Que es el filtrado de contenido WEB

Es una solución de seguridad y administración de red que ayuda a las empresas a lograr el equilibrio entre el acceso a Internet por parte de los empleados y la implementación de políticas de uso de Internet con la finalidad de tener mayor productividad de los empleados. La primera generación de filtrado de contenido que apareció alrededor de lo 90s, utilizaba un tipo de filtrado que bloqueaba la página completa, en función de palabras que contenía, por consecuencia bloqueaba muchas páginas que no tenían sentido. Actualmente cubren distintas funcionalidades como:

• Filtrado de URL : Es la administración del acceso a los recursos URL (Uniform resource locator) o direcciones en la World Wide Web, que permite o deniega su uso en base a categorías.

• Control de acceso WEB : Son mecanismos de seguridad que controlan el uso de los recursos Web a los usuarios de una organización, como son la autenticación, autorización y registro de actividades.

• Anti-Malware : Es la detección y protección contra la descarga de software malicioso. • Administración de ancho de banda : Técnicas utilizadas para priorizar el tráfico en la

red. • Antivirus : Herramienta cuyo objetivo es detectar y eliminar software malicioso. • Reportes de uso y eventos: Solución que provee a los administradores de visibilidad

de la actividad Web de los usuarios Los 3 pilares actuales del filtrado de contenido Web son:

• Filtrado basado en reputación • Filtrado predictivo de malware en tiempo real • Filtrado basado en contenido

Figura 90.- Estructura actual del filtrado WEB

Reputación del filtrado Web: actualmente te existen muchos laboratorios de distintas compañías clasificando y calificando las páginas Web, entre las características que revisan están:

� Categorizar los datos de la URL � Presencia de descargas � Certificados � Cambio de volumen de consultas � Dueño de la pagina � Historia de la pagina � Edad de la pagina

75


� Información de la IP � Dominio � Presencia previa de vírus, spam, phishing

12.3 Justificación del filtrado de contenido Porque la necesidad del filtrado Web:

� Empresas que desean aumentar la productividad y minimizar el tiempo perdido en Internet, esto reduce costos operativos.

� Evitar que los empleados realicen actividades inapropiadas en Internet que comprometan a la empresa.

� Limitar el acceso para el uso eficiente de ancho de banda

12.4 ¿Que puede hacer el filtrado de contenido Web ? Entre las respuestas de porque un cliente debiera tener una solución de filtrado Web es debido a las siguiente funcionalidades que ayudan a proteger. Spyware:

• Bloquear urls no autorizadas (no se encuentre en el White list) • Bloquear exploits comunes • Bloquear ejecutables con extensiones cambiadas • Una segmentación de paginas, permite ver una pagina pero quizá no permite ver los

ejecutables • Opcionalmente escanear por virus

Phishing:

• Bloquear sitios conocidos de phishing • Previene al usuario de ingresar datos de posibles sitios phishing • Enviar mensajes a los usuarios del posible uso indebido • Bloquear sitios con certificados inválidos

Control de IM:

• Monitorea la sesión de logeo para cumplir con regulaciones • Permite bloquear vía palabras clave cualquier información sensible • Bloquear archivos adjuntos • Bloqueo por completo de los IM

Control P2P:

• Bloquear P2P • Solo permitir el puerto 443 y bloquear los demás de más alto rango, como el skype.

Botnets:

• Bloquea descargas de sitios malware Control de streaming:

• Algunos pueden bloquear o ajusta el ancho de banda, como asignar 128 Kbps para noticias, basado por hora, bloquear trailers de películas

• Cache de Proxy en descargas.

76


12.5 Escenarios de implementación

El Web filter se puede implementar de distintas maneras:

� En un servidor con la base de datos (Software) � Un Appliance con conexión a bases de datos interna y externas (realice consultas) � Como servicio en la nube

En este primer escenario se menciona un equipo Gateway con su integración a Web filter.

Opciones de implementación:

� Despliegue integrado en un servidor separado que está perfectamente integrado con la plataforma Gateway de la red a fin de ofrecer un filtro de paso que maximice la estabilidad, la escalabilidad y el rendimiento.

Figura 97.- Escenario con base de datos independien te

� Despliegue incorporado en un producto Gateway o aplicación para reducir los gastos

de hardware y mejorar la facilidad de uso, especialmente en ubicaciones remotas.

Figura 98.- Escenario con base de datos en el gatew ay

� Todo el filtrado se realiza en la nube

Figura 98.- Escenario filtrado como servicio

77


Fabricantes de servicios filtrado Web en la nube

Otras implementaciones: Microsoft ISA (Internet Security and Acceleration) Server Muchas organizaciones, usan o planean usar Microsoft ISA Server como el servidor proxy de conexión hacia Internet, se puede desarrollar como un plugin del ISA Server.

Figura 100.- Web filter con conexiona a ISA Server

Proxy con cliente ICAP (Internet Content Adaptation Protocol) En una red utilizando un servidor proxy ICAP, se puede implementar el filtrado de contenido utilizando el cliente ICAP. Existe un gran número de proxies que soportan ICAP, como ICAP es una plataforma independiente

Figura 101.- Web filter con conexiona a ICAP

78


Figura 104.- Escenarios de implementación vía WCCP

Fuera de Banda: Solamente filtrado de contenido, utilizando un puerto mirror y únicamente filtrando urls

Figura 107.- Escenarios fuera de banda vía SPAN

Escalamiento con balanceadores Actualmente los balanceadores son utilizados en muchas aplicaciones y se les ha dado gran uso en el uso de seguridad para cumplir con las limitaciones actuales. Actualmente estos equipos realizan balanceo de distinto puertos como por ejemplo: http, HTTPS, SSL, POP3, DNS, TFTP, etc. y otros puertos TCP y UDP.

Figura 108.- Escenario de balanceo

Es posible escalar una solución de IPS o de Web security gateways utilizando balanceadores como los f5 big-ip o bien los netscaler de citrix, entre otras marcas, este escenario permite balancear el trafico de entrada o salida, en un ambiente de múltiples firewalls (HALB), donde se utiliza el estado de las conexiones, incluyendo de vpn para que no se pierdan en caso de un failover.

79


Figura 109.- Balanceo en equipos a gran escala

Figura 110.- Balanceo en equipos a gran escala

80


12.6 Dimensionamiento del Filtrado de Contenido WEB Algunas preguntas necesarias para evaluar que equipo asignar son:

� Como los empleados utilizan sus computadoras para uso personal (que tanto pueden utilizar el Internet, que filtros debo utilizar)

� Cuantos empleados necesitan utilizarlo (Cuantos usuarios) � Aplican regulaciones, es necesario la recopilación de logs o e-mails (existe alguna

regulación a cumplir, es necesario el análisis forense) � Que procedimientos existen para disciplinar la acción de documentación (existen

normas o políticas a aplicar en caso de violación) � Que tan flexible debe ser la solución (protocolos, aplicaciones, etc.) � Cuantos departamentos o locaciones (los usuarios están en la misma oficina o en

distintas) Cuando seleccionamos un equipo se deben identificar los siguientes puntos:

� Primero debe de coincidir el ancho de banda del enlace, con el troughput del equipo. � Contar con el máximo número de usuarios simultáneos que saldrán por este equipo � Conexiones TCP activas – sesiones concurrentes x usuario

Blue Coat

Figura 112.- Datos por parte del proveedor para eje mplo de dimensionamiento

Barracuda


Zscaler


81



Figura 117.- Datos por parte del proveedor

• Algunos fabricantes consideran que crece el número de sesiones por segundo en función del crecimiento de la empresa, en los cálculos mas extremos consideran:

� 1 – 500 = 1 – 100 sesiones por segundo � 500 – 2500 = 100 – 500 sesiones por segundo � 2500 – 10000 = 500 – 2500 sesiones por segundo

• Base de datos de logs:

Recordemos que la base datos que va directamente relacionado con:

� La cantidad de trafico que los empleados generan � La cantidad de trafico Web que se monitorea � El numero de protocolos Web que se monitorean � El numero de usuarios que se monitorean � La base de datos será local o remota � Como sugerencia debiera contar con el doble de disco duro que el tamaño de la base

de datos Un ejemplo de la base de datos:

82


En algunas ocasiones solo se pueden logear las visitas, en este caso para calcular el espacio del log de la base de datos se utiliza una formula: (#de Urls) * (# de bytes) * (# de usuarios) = En un cálculo aproximado: Un usuario comúnmente navega unas 100 urls al día Cada registro de URL es aproximadamente de 500 bytes En una oficina de 500 usuarios = 500 MB por mes del logeo de las visitas (20 días) En otro escenario quizá se logean todos los hits en una pagina. Los hits son cada uno de los gets en una pagina Web si tiene 11 imágenes gif tendrá 12 hits en total 11 por las imágenes y 1 por la pagina En la formula cambiarían por hits (#de Urls) * (# de hits) * (# de usuarios) = 100 urls visitas * 5 gets *500 bytes * usuarios= 2.5 GB

12.7 Posicionamiento en el mercado

Se tiene contemplado que el mercado de seguridad de Web crezca notablemente durante los próximos 4 años, al igual debido a la evolución de la Web 2.o o sus futuras versiones.

Figura 124.- Estimado IDC crecimiento Web Security

83


13 FILTRADO DE CORREO ELECTRÓNICO El correo es sin duda la principal forma de comunicación en los negocios ¿Qué es el filtrado de correo? Solución de Seguridad que brinda protección al correo electrónico de una empresa con la finalidad de obtener una mayor disponibilidad y confiabilidad del servicio, así como también minimizar los riesgos de las organizaciones de sufrir afectaciones por software maliciosos distribuido por este medio.

Flujo del correo electronico entrante

¿Qué soluciones provee?

• Antispam: Aplicación o herramienta informática que se encarga de detectar y eliminar el Spam (todo aquel correo electrónico que contiene publicidad o es malicioso y que no ha sido solicitado por el propietario de la cuenta de e-mail).

• Antivirus: Herramienta cuyo objetivo es detectar y eliminar software malicioso. • Prevención de fuga de información (DLP): Consiste en un conjunto de tecnologías

dirigidas a detener la pérdida de información sensitiva que ocurre en las empresas. Se enfoca en la ubicación, clasificación y monitoreo de información en reposo, en uso y en movimiento.

• Encriptación: Proceso para volver ilegible la información considera confidencial y donde dicha información una vez encriptada sólo puede leerse aplicándole una “llave”.

• Reportes: Solución que provee a los administradores de visibilidad de la actividad en el correo y amenazas.

84


Soluciones concentradas en un único dispositivo

En las soluciones de filtrado de correo los proveedores no nos dan mucha información, simplemente se limitan a enlistar las funcionalidades y ajustar los equipos por tamaño de empresa.

85


13.2 Líderes en el mercado

14 SEGURIDAD EN VOZ IP ¿Qué es? Controles de seguridad que pueden ser aplicados para mantener la confidencialidad, integridad y disponibilidad de las tecnologías de voz que permiten realizar llamadas sobre redes de cómputo y que utilizan el protocolo IP. ¿De qué nos protege?

• Ataques dirigidos a la infraestructura • Ataques a las aplicaciones • Intercepción de llamada • Ataques de negación de servicio • Secuestro de sesión o impersonar • Pharming (DNS) • Fraude de llamadas • Spoofing del id de llamada • Ataques a los protocolos • Gusanos • Ataques de dia cero

Familias de soluciones: Podemos clasificar las soluciones en la siguiente tabla:

86


Mapa de tipo de soluciones para VoIP existentes en el mercado

A continuación se presenta una tabla con una ponderación de funcionalidades a nivel de hojas de especificaciones, sin realizar pruebas de laboratorio y a manera de destacar la diversidad de opciones que existen para proveer de seguridad a la voz IP:

15 REGULACIONES PCI DSS: Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y para facilitar la adopción de medidas de seguridad consistentes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en los procesos de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios, así como también todas las demás entidades que almacenan, procesan o transmiten datos de titulares de tarjetas.

87


Mientras que existen casi 478 organizaciones participantes en Norteamérica, 93 en Europa Occidental, 33 en Asia Pacífico y 17 en Europa Oriental, el Medio Oriente y África, Latinoamérica termina en último lugar con 11 instituciones (1 en Mexico). Esto significa que [empresas como] Visa y MasterCard no están prestando mucha atención a CALA en términos de aplicación. Si empiezas a ver algunas multas y aplicaciones, la gente empezará a prestar más atención. Pero eso no ha ocurrido".

Ley Federal de protección de datos personales en posesión de particulares LFPDPPP Es una legislación que protege la información personal que pueda encontrarse en las bases de datos de cualquier persona física, o empresa como, aseguradoras, bancos, tiendas departamentales, telefónicas, hospitales, laboratorios, universidades. La Ley regula la forma y condiciones en que las empresas deben utilizar tus datos personales

Clasificacion de datos

Artículo 61. El responsable determinará las medidas de seguridad aplicables a los datos personales que trate, tomando en cuenta los siguientes factores:

I. La naturaleza de los datos personales, II. El riesgo inherente por tipo de dato personal, III. La sensibilidad de los datos personales tratados IV. El número de titulares V. El desarrollo tecnológico VI. Las posibles consecuencias de una vulneración para los titulares VII. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento

88


VIII. El valor que podrían tener los datos para un tercero no autorizado, y IX. Demás factores que puedan incidir en el nivel de riesgo.

Para tales efectos el Instituto emitirá recomendaciones para identificar las medidas de seguridad adecuadas, con base en las fracciones anteriores. CNBV: A través de las “DISPOSICIONES DE CARACTER GENERAL APLICABLES A LAS INSTITUCIONES DE CREDITO” La CNBV menciona: Que resulta oportuno compilar en un solo instrumento jurídico las disposiciones aplicables a las Instituciones de Crédito expedidas por esta Comisión, sistematizando su integración y homologando la terminología utilizada, a fin de brindar con ello certeza jurídica en cuanto al marco normativo al que las mencionadas entidades financieras deberán sujetarse en el desarrollo de sus operaciones, lo que también habrá de facilitar la consulta, cumplimiento y observancia de las disposiciones que les resultan ser aplicables

Extracto del documento de la CNBV

“Este documento es un documento vivo, conforme la tecnología avanza esta documentación debe ser actualizado para reflejar esos cambios”

Documents

Documentación Diseño en Seguridad en redes Ver 2.1