Documentación Diseño en Seguridad en Redes Ver 2.1

Consorcio Red Uno, S.A. de C.V.
Documentacin
Diseo de Seguridad en Redes
INNOVACIN DE SOLUCIONES Consultora y Diseo de Soluciones
Innovacin de Soluciones Confidencial
Elaborado por: SXT, VMOM
Fecha 14 / Agosto / 2009 9/Septiembre/2009 03/Diciembre/2010 30/Agosto/2011
Versin 1.0 1.1 1.15 2
Modificaciones al Documento Elaboracin del documento Se agrega la segunda parte del documento Actualizacin de Fabricantes Se agrega Puerto Seguro, VPNs, Filtrado correo, Clean pipe, Regulaciones. Se actualizan temas anteriores
Autor SXT y VMOM SXT y VMOM SXT y VMOM SXT y VMOM
INDICE
1 2 3 4 5 OBJETIVOS............................................................................................. 5 AUDIENCIA ............................................................................................. 5 INTRODUCCIN ..................................................................................... 6 TENDENCIAS DE SEGURIDAD ............................................................. 6 QU ES LA SEGURIDAD? ................................................................... 9 5.1 Riesgos, Amenazas y Vulnerabilidades. ..................................... 10 5.2 Anlisis de riesgos....................................................................... 11 5.3 Principios Fundamentales de la Seguridad ................................. 13 5.4 Marcos de Referencia o modelos de la Seguridad ...................... 13 5.5 Ataques ....................................................................................... 14 5.6 Controles de Seguridad ............................................................... 21 5.7 Mejores Prcticas de Seguridad Empresarial en General ........... 23 5.8 Framework de Seguridad Telmex................................................ 23 SOLUCIONES DE SEGURIDAD PERIMETRAL ................................... 25 6.1 Permetro ..................................................................................... 25 6.2 Qu es un Firewall? .................................................................. 26 6.3 Tecnologas de Firewalls ............................................................. 27 6.1 Qu puede hacer un Firewall? .................................................. 28 6.2 Qu no puede hacer un Firewall? ............................................. 28 6.3 Esquemas de alta disponibilidad ................................................. 29 6.2 Recomendaciones de Diseo ...................................................... 35 DIMENSIONAMIENTO DE FIREWALLS ............................................... 39 7.2 Parmetros que proporciona el fabricante ................................... 39 7.3 Diseo y Dimensionamiento del equipo ...................................... 42 7.2 Lderes en la industria ................................................................. 46 UTM ....................................................................................................... 46 8.1 Qu es UTM? ............................................................................ 46 8.2 Que funciones desempea el UTM ............................................. 47 8.3 Capas donde operan las soluciones del UTM ............................. 48 8.4 Mercado objetivo del UTM ........................................................... 48 8.5 Caractersticas al evaluar una solucin UTM .............................. 48 8.6 Dimensionamiento del UTM ........................................................ 49 8.7 Pruebas de evaluacin sugeridas en un UTM ............................. 52 8.8 Posicionamiento en el mercado del UTM .................................... 53 8.9 Puerto Seguro ............................................................................. 53 IPS ......................................................................................................... 55 9.1 9.2 Qu es IPS? .............................................................................. 56 Por qu se requiere un IPS? ..................................................... 58
Innovacin de Soluciones Confidencial Elaborado por: SXT, VMOM
10
9.3 Tipos de IPS ................................................................................ 58 9.4 Cualidades que debe tener el IPS ............................................... 58 9.5 Escenarios de implementacin de IPS ........................................ 59 9.6 Ubicacin de IPSs ....................................................................... 61 9.7 Dimensionamiento de IPS ........................................................... 63 CLEAN PIPE (Trfico SEGURO) ........................................................... 66 10.2 Descripcin del Servicio .............................................................. 66 10.3 Componentes del servicio ........................................................... 66 VPNs y Encriptacin ............................................................................. 69 11.1 Qu es la Criptografa? ............................................................. 69 11.2 VPNs ........................................................................................... 70 11.3 Posicionamiento en el mercado................................................... 72 FILTRADO DE CONTENIDO WEB........................................................ 74 12.2 Que es el filtrado de contenido WEB ........................................... 74 12.3 Justificacin del filtrado de contenido .......................................... 75 12.4 Que puede hacer el filtrado de contenido Web? ....................... 75 12.5 Escenarios de implementacin .................................................... 76 12.6 Dimensionamiento del Filtrado de Contenido WEB ..................... 80 12.7 Posicionamiento en el mercado................................................... 82 FILTRADO DE CORREO ELECTRNICO............................................ 83 13.2 Lderes en el mercado ................................................................. 85 Seguridad en voz ip ............................................................................... 85 Regulaciones ......................................................................................... 86
11
12
13
14 15
1 OBJETIVOS
Definir los conceptos bsicos que usamos en Diseo de Seguridad en Redes. Proveer los lineamientos bsicos para el Diseo de Soluciones de Seguridad. Proveer la documentacin e informacin bsica de Seguridad a los interesados. Especificar los procedimientos para dimensionar las soluciones hacia nuestros Clientes. Alimentar la Base de Datos de Conocimiento de la empresa.
2 AUDIENCIA
Este documento est dirigido a: El rea de Diseo de Soluciones (Especficamente Consultores que desarrollan las propuestas de Seguridad) Todo aquel que tenga contacto con soluciones de seguridad del cliente. Todas las reas internas de Consultora y Diseo de Soluciones. Este documento no est dirigido a reas de Ingeniera de Campo u Operaciones.
Para entender este documento se requiere conocimiento y experiencia en: LAN, WAN (Capa 2 y 3, IP,ICMP, ARP, RARP etc.) Protocolos de transporte TCP, UDP. Modelo OSI Experiencia en diseo de redes WAN Conocimientos bsicos de Seguridad Perimetral Entendimiento de protocolos de aplicacin (HTTP, SMTP, DNS, POP3 etc)
3 INTRODUCCIN
La informacin es el activo intangible ms valioso de una organizacin Actualmente Telmex ofrecen Servicios y Soluciones de Seguridad que no estn acotadas ms que a la parte de Seguridad Perimetral, lo que nos deja una amplia gama de soluciones que debemos disear como trajes a la medida para los clientes. Si a lo anterior se suma el hecho que dentro de las tecnologas que est empujando el mercado estn los servicios de seguridad implcitos en la nube del carrier, como Clean Pipes y SecaaS, estamos frente a un buen reto. En la mayora de los proyectos que involucran soluciones que no son estndar nos topamos con que requerimos ayuda de fabricantes y proveedores especializados para poder Disear e Implementar este tipo de Soluciones. Este documento tiene como objetivo entre otras cosas, alinear los parmetros de diseo que debemos tomar en cuenta para su desarrollo. Hoy en da cada quien disea como su entendimiento se lo indica, y no existe ninguna manera estndar de dimensionar, interconectar o especificar las distintas soluciones que podemos ofrecer. Aun cuando Telmex ha adquirido a la empresa Scitum, las soluciones de seguridad perimetral, en su mayora son diseadas por C&D de Red Uno, adems de que la familia de productos y servicios de Scitum an no estn integrada al catlogo de soluciones Telmex.
4 TENDENCIAS DE SEGURIDAD
En la siguiente grafica se muestra la sofisticacin de los ataques contra el conocimiento requerido para atacar sistemas a lo largo del tiempo.
Figura 3. Sofisticacin de los ataques de red

Pienso que los virus informticos muestran la naturaleza humana: la nica forma de vida que hemos creado hasta el momento es puramente destructiva. Stephen Hawking
La grafica anterior muestra que a lo largo del tiempo las herramientas de ataque informtico van siendo ms sofisticadas, mientras que al mismo tiempo requieres menos conocimiento o especializacin para usar estas herramientas de ataque. Esto no deja lugar a duda de que al paso del tiempo la seguridad se vuelve un insumo cada vez ms importante.
El costo de la implementacin de medidas de seguridad no es trivial; sin embargo, slo es una fraccin del costo que supone mitigar un incidente de seguridad. La encuesta sobre seguridad y delitos informticos del Instituto de seguridad de equipos y de la Oficina Federal de Investigacin (CSI/FBI, Computer Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras interesantes relativas a las prdidas financieras que suponen los ataques a equipos para las organizaciones que los sufren. La encuesta demuestra que los ataques de denegacin de servicio (DoS, Denial Of Service) y de robo de informacin son los responsables de las mayores prdidas.
Top 10 amenazas a la seguridad de la Informacin (2010) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Software Malicioso (Malware) (DoS, gusanos, trojanos, etc.) Empleados maliciosos Explotacin de vulnerabilidades Empleados descuidados Ataques a los dispositivos mviles Ataques va las redes sociales Ingeniera social Ataques nuevos o de da cero Amenazas a la seguridad en el cmputo en la nube Cyber espionaje
Figura 6.- Sistemas con ms vulnerabilidades
Figura 7.- Tendencias actuales

Posicin de Mxico entre los pases que tienen ms Cybercrimen a nivel mundial. (Each country lists 6 contributing factors, share of malicious computer activity, malicious code rank,
spam zombies rank, phishing web site hosts rank, bot rank and attack origin, to substantiate its cybercrime ranking.)
Cybercrime (Botnets as a Service)
Fuente: Reporte amenazas de McAfee 2011
QU ES LA SEGURIDAD?
La Seguridad es un proceso de administracin de riesgos

Lo primero que debemos de tener presente es el valor que le damos a algo, y nuestra necesidad de que ese algo (sea tu familia, tu informacin, tus instalaciones) est protegido, para conservar su valor en el tiempo. Por el simple hecho de que algo tenga valor para nosotros es por lo que nace nuestra necesidad de asegurarlo. Por supuesto hay varias formas de proveer seguridad a un bien que es valioso. Sin embargo el primer paso es determinar claramente el objeto de nuestra preocupacin (Definir nuestro valor y sus alcances), Por ejemplo, si son datos, que tipo de datos nos preocupa asegurar, si son personas especficamente quienes son, y quienes no son valiosas, y hasta podemos determinar una jerarqua. El segundo paso es determinar los riesgos que corre nuestro valor, o sea, de qu o quin lo debemos proteger. Si no tenemos claras estas dos premisas, no podemos arrancar con nuestro diseo e implementacin de seguridad. La desconfianza es la madre de la seguridad En un contexto general, esto podra arrojar que no requiero proteccin realmente, o que requiero un nivel muy complejo de proteccin. Todo depende del valor que le demos a las cosas.
La realidad es que la filosofa de la seguridad dice que los datos ms importantes del cliente son..los suyos..todos. El cliente difcilmente distingue por si mismo cuales son los datos ms relevantes. Para esto existen los procedimientos clasificacin de la informacin y anlisis de riesgos.
5.1 Riesgos, Amenazas y Vulnerabilidades.

Si conoces a los dems y te conoces a ti mismo, ni en cien batallas corrers peligro; si no conoces a los dems, pero te conoces a ti mismo, perders una batalla y ganars otra; si no conoces a los dems ni te conoces a ti mismo, corrers peligro en cada batalla. - Sun Tzu Definiciones: Amenaza: Es una circunstancia o evento externo que potencialmente puede causar dao a un valor. Vulnerabilidad: Es una debilidad en un software, hardware, procedimiento o persona que puede ser explotada directamente por una amenaza. Riesgo: La probabilidad de que una vulnerabilidad o un grupo de ellas puedan ser explotadas por un atacante. Algo que te expone a una amenaza.
Conceptualmente se puede decir que:
Riesgo = Amenazas + Vulnerabilidades
Figura 2. Amenazas y Vulnerabilidades

La identificacin de los riesgos de seguridad permite a los miembros de los grupos de trabajo del proyecto aclarar las ideas e identificar posibles riesgos para la seguridad. La informacin se recopila en forma de amenazas, vulnerabilidades, puntos dbiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fcil de recordar para identificar las amenazas y los posibles puntos dbiles. La suplantacin de identidades es la capacidad de obtener y usar la informacin de autenticacin de otro usuario. Un ejemplo de suplantacin de identidad es la utilizacin del nombre y la contrasea de otro usuario.
10
La alteracin de datos implica su modificacin. Un ejemplo sera alterar el contenido del cookie de un cliente. El repudio es la capacidad de negar que algo ha ocurrido. Un ejemplo de repudio sera que un usuario cargue datos dainos en el sistema cuando en ste no se puede realizar un seguimiento de la operacin. La divulgacin de informacin implica la exposicin de informacin ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgacin de informacin es la capacidad de un intruso para leer archivos mdicos confidenciales a los que no se le ha otorgado acceso. Los ataques de denegacin de servicio privan a los usuarios del servicio normal. Un ejemplo de denegacin de servicio consistira en dejar un sitio Web inaccesible al inundarlo con una cantidad masiva de solicitudes HTTP. La elevacin de privilegios es el proceso que siguen los intrusos para realizar una funcin que no tienen derecho a efectuar. Para ello, puede explotarse una debilidad del software o usar las credenciales de forma ilegtima.
Relacin entre los conceptos:
Amenzas-vulnerabilidades-riesgos-bienes-exposicion-control
5.2 Anlisis de riesgos

Es una herramienta para la administracin de riesgos que nos permite identificar vulnerabilidades y amenazas, evaluar los posibles impactos y determinar cundo implementar un control. Cunto y en que debo gastar en seguridad? El anlisis de riesgos debe ser efectivo en costos, debe permitir priorizar y demostrar donde se debe invertir para proteger la informacin. Anlisis de riesgo cuantitativo: Asigna valores monetarios a los elementos en el proceso de anlisis. Pasos: 1. Asignar valor a los bienes 2. Estimar la perdida por amenaza 3. Realizar un anlisis de la amenaza
11
4. Calcular la posible prdida anualmente 5. Tomar una decisin (Aceptar, Transferir, Terminar, Reducir) Ejemplo: 1. Tenemos un Centro de Datos de 1,000,000 de pesos 2. Una inundacin puede ocurrir y se puede daar un 25% (Equipos de la PB) = 250, 000 sera mi perdida si realizamos la multiplicacin. 3. Qu tan frecuente es? si considero que los ltimos aos ha habido 1 inundacin cada 10 aos. 4. Si realizo el clculo 250,000 * .1 = 250,000 = 25000 = prdida anual 5. Tomo una decisin: Acepto el riesgo, me arriesgo y no invierto en mas Transfiero el riesgo a un seguro por los equipos Dejo de utilizar la PB Implemento algn tipo de control que me implique un costo menor de 25000 anuales Anlisis de riesgo cualitativo: Est basado en escenarios y opiniones. No Asigna nmeros ni valores monetarios a los elementos en el proceso de anlisis, lo que realiza es proponer escenarios, donde se ponderan la posibilidad y el impacto.
Figura.- Tabla anlisis de riesgo cualitativo

Tabla comparativa entre el anlisis de riesgos cuantitativo y cualitativo
12
5.3 Principios Fundamentales de la Seguridad

En la cadena de la seguridad el eslabn ms dbil es el ser humano Ya nos hicimos las preguntas de Qu deseo Proteger?, y Por que lo deseo Proteger?, pero seamos ms especficos, hablando ahora de Sistemas de la informcin. Los principios de la seguridad de la informacin son los siguientes:
Integridad Disponibilidad Confidencialidad
Figura 8.-Principios de la seguridad

Confidencialidad: Es la propiedad de la informacin, por la que se garantiza que est accesible nicamente a personal y sistemas autorizados a acceder a dicha informacin Integridad: Es la propiedad de la informacin que garantiza que los datos que provee los sistemas son correctos y confiables. La informacin solo puede ser cambiada por las personas o entes autorizados a hacerlo. Disponibilidad: Quiere decir que los recursos de red y los sistemas de informacin deben estar siempre disponibles para los usuarios autorizados. Los principales ataques en Internet estn dirigidos a vulnerar este rubro.
Lo anterior nos deja claro qu es lo que debemos proteger de la informacin. Y de esto parte todo lo que debemos implementar para protegerla. (Se conoce como la Triada CIA)
5.4 Marcos de Referencia o modelos de la Seguridad

Existen diversos frameworks o modelos que nos ayudan a orientarnos en las metas que debe cumplir la seguridad organizacional: Committee for Sponsoring Organizations (COSO) Framework (1985): Es un modelo de gobierno corporativo y est enfocado a lidiar con las actividades financieras fraudulentas. (No enfocado a IT), Responsabilidades de los directivos y asuntos financieros son parte de su enfoque. Control Objectives for Information and Related Technology (COBIT) Framework : Desarrollado por la ISACA (Asociacin de control y auditoria para sistemas de la informacin) y el ITGI (Instituto de Gobierno de IT). Es un modelo de Gobierno de IT, el cual, define Metas para los controles que debieran ser utilizados para asegurar la apropiada administracin de IT y el alineamiento con las necesidades del negocio. Este Framework les proporciona a las empresas metas y guas formales para la adquisicin, instalacin, pruebas, certificacin y acreditacin de productos de IT. Qu debemos hacer? ITIL: La Biblioteca de Infraestructura de Tecnologas de Informacin, es un conjunto de conceptos y prcticas para la gestin, desarrollo y operacin de servicios de tecnologas de la
13
informacin. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestin ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI.Cmo lo podemos hacer? ISO: ISO/IEC 27001: Basado en el estndar britnico BS7799 parte 2, est enfocado a establecer, implementar, controlar y mejorar el Sistema de Administracin de Seguridad de la Informacin (ISMS). (Certifican empresas) Lo que deberamos ser? ISO/IEC 27002: Cdigo de consejos y buenas prcticas para el ISMS, basado en el estndar britnico BS7799 parte 1, tambin conocido como el ISO 17799. (Certifican individuos) Qu debemos hacer? ISO/IEC 27004: Un estndar para mtricas en la administracin de la seguridad ISO/IEC 27005: Implementar seguridad de la informacin basado en un esquema de administracin del riesgo ISO/IEC 27006: Una gua para certificarse ISO/IEC 27799: Gua para proteger informacin personal relacionada a al salud Marco de referencia de riesgo: Risk IT Framework: Define, de manera fundamentada, una serie de guas para la gestin eficaz de los riesgos. Dichas guas son generalmente aceptadas sobre la base de los principios de la gestin del riesgo, que se han aplicado en el campo de las TI. El modelo de proceso de RISK IT est diseado y estructurado para que las organizaciones puedan aplicar los principios en la prctica y comparar sus resultados.
5.5 Ataques
Conocer aprender a perspectiva comprender las diferentes etapas que conforman un ataque informtico brinda la ventaja de pensar como los atacantes y a jams subestimar su mentalidad. Desde la del profesional de seguridad, se debe aprovechar esas habilidades para y analizar la forma en que los atacantes llevan a cabo un ataque.
14
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtencin de informacin (Information Gathering) con respecto a una potencial vctima que puede ser una Npersona u organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las tcnicas utilizadas en este primer paso son la Ingeniera Social, el Dumpster Diving, el sniffing. Fase 2: Scanning (Exploracin). En esta segunda etapa se utiliza la informacin obtenida en la fase 1 para sondear el blanco y tratar de obtener informacin sobre el sistema vctima como direcciones IP, nombres de host, datos de autenticacin, entre otros. Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a travs de la explotacin de las vulnerabilidades y defectos del sistema (Flaw exploitation) descubiertos durante las fases de reconocimiento y exploracin. lgunas de las tcnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Dnial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscar implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logr obtener y mantener el acceso al sistema, intentar borrar todas las huellas que fue dejando durante la intrusin para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscar eliminar los archivos de registro (log) o alarmas del Sistema de Deteccin de Intrusos (IDS).
No existe en el mundo un elemento invulnerable Existen diferentes ataques dirigidos a vulnerar los diferentes Objetivos de la seguridad de la informacin, en este contexto existen ataques para vulnerar: La disponibilidad de la informacin o de los servicios que la proveen, entre los ataques ms conocidos para vulnerar la disponibilidad son los DoS, DDoS La confidencialidad de la informacin, por ejemplo las tcnicas de Suplantacin de Identidad, como IP Spoofing y Phishing. La Integridad de la informacin, como Salami Attacks o Session Hijacking.
Ataques a la Disponibilidad de la Informacin. No podemos evitar las amenazas, lo ms que podemos hacer es tomar las medidas necesarias para protegernos de ellas En general podemos mencionar DoS, DDoS, Botnets, TCP SYN Floods, ICMP floods, Ataques fsicos al ambiente de computo. DoS (Denial of Service) Intenta tirar o dejar inaccesible un servicio de Internet o de datos como paginas WEB, Correo electrnico, FTP, etc. Se requiere poco esfuerzo para hacer el ataque, y esto lo convierte en uno de los ataques favoritos de los Crackers. No se intenta obtener informacin ni invadir un sistema, simplemente se trata de dejar fuera de alcance los servicios de tu objetivo. Lo tpico es enviar cantidades muy grandes de solicitudes del servicio al servidor, esto hace que se vuelva extremadamente lento el procesador, adems de que tiene una capacidad limitada para atender solicitudes, lo que consecuentemente puede provocar alguno de dos problemas: El procesador del servidos se satura por la cantidad de interrupciones, y hace que el equipo se apague, o bien, el servidor se ve tan lleno de solicitudes del
15
atacante, que ay no puede atender a los usuarios validos. Ejemplos de este tipo de ataques: o TCP SYN Flooding: Explota una vulnerabilidad del mecanismo de funcionamiento de TCP, el llamado Three-Way Handsake. Para completar una sesin de TPC se necesita enviar un SYN, el destino contestara un SYN y pedir un ACK, el origen responde con otro ACK y entonces la sesin queda establecida. Este ataque se basa en nunca contestar al destino el ltimo ACK, de manera que la sesin nunca termina de establecerse, y el Server se queda esperando. Si esto lo haces 10,000 veces, se acaba la capacidad del servidor de abrir sesiones, y ya no se puede accesar a ese servidor.
Figura 9.- Ataque TCP SYN Flood
16
ICMP echo-request floods: El los firewalls es muy tpico permitir el uso de los ICMPs como Pings y Traceroutes para darle troubleshooting a las redes, por esta misma razn se usan para crear ataques, por ejemplo: Ping de la muerte: Usa paquetes muy grandes y muy numerosos para saturar, alentar y eliminar una mquina. ICMP Fragments: Se usan para llenar el buffer de reensamble de un dispositivo, obligndole a ya no recibir peticiones IP
Figura 10.- Ataque de negacin de servicio

o ICMP directed broadcast (smurf attacks): Para este ataque se necesitan un grupo de mquina en una subred, donde el router o Firewall no hayan bloqueado en su configuracin trfico de ICMP a direcciones IP de Broadcast. El atacante enva un ICMP echo-request a la direccin de broadcast de la subred con la ip del objetivo a atacar como el source. Cuando las mquinas de la subred reciben el ICMP, todas responden con los paquetes de regreso, pero como el origen del ICMP era la IP del objetivo, todas la maquinas responden al mismo tiempo hacia el objetivo, saturndolo. Podra considerarse un DDoS, pero no hay zombies.
Figura 11.- Ataque Smurf

17
DDoS (Distributed DoS) El objetivo es el mismo que en un DoS, pero el ataque se genera de mltiples puntos, que atacan un objetivo comn. Esto hace que haya mucho mayor flujo de trfico y solicitudes al servidor atacado, y lo inutiliza ms rpidamente. Para hacer este tipo de ataques el cracker instala un programa llamado Zombie, a un grupo de maquinas en el Internet, esto le permite al cracker tener control sobre recursos de esta computadora. Un control maestro centralizado le permite al cracker iniciar el ataque distribuido, al indicarle al grupo de mquinas que manden trfico malicioso hacia la misma victima. BotNets.- Es una coleccin de computadoras comprometidas corriendo programas bajo una infraestructura de control y comando comn. Un canal cubierto es usado para controlar la BotNet (tpicamente un IRC). A las mquinas o programas controlados (o para control) se les llama zombies. Las BotNets se usan para atacar simultneamente un objetivo comn y ponerlo fuera de servicio. (DDoS)
Ataques a la Confidencialidad de la informacin. Estas ocurren cuando un atacante tiene acceso a informacin sensible, y se dan por fallan en los sistemas de Control de Acceso, o por intercepcin de datos en transito en una red. Estos ataques incluyen: Port Scan y Ping Sweeps: Estos son ataques muy comunes en para el primer paso de un proceso de ataque (Reconocimiento). Buscan identificar los servicios o puertos abiertos que existen en una red, identificar los host y dispositivos, identificar los sistemas operativos, y finalmente identificar las vulnerabilidades de una red, sistema o servidor. Casa con dos puertas, mala es de guardar Sniffers: Equipo o programa destinado a monitorear una red. Steganografa: Tcnica para ocultar informacin en otros objetos, como imgenes, para pasar mensajes, spywares o virus en los sistemas o computadoras. Phishing: Tcnica que se usa para adquirir de forma ilegal o por engaos informacin sensible de usuarios, como usernames y passwords, o detalles de cuentas bancarias o tarjetas de crdito. Para esto el ataque se disfraza de una entidad muy confiable (como un banco o institucin gubernamental, o amigo de confianza). Tipicamente se usa e-mail o Messenger para este tipo de ataques. Este se considera un ataque de Ingeniera Social. Pharming: Es un ataque dirigido a redireccionar el trfico de un sitio Web a otro. Esto se hace cambiando el archivo de Host en una mquina, o bien atacando vulnerabilidades en un servidor de DNS. Su uso va dirigido principalmente al sector financiero, y busca lograr robos de identidad, para posteriormente hacer fraudes.
Ataques a la Integridad de la informacin. Un ataque a la integridad de la informacin ocurre cuando el atacante logra cambiar, modificar o substituir informacin sensible. Ataques Salami: Es una serie de pequeos ataques que juntos logran ser un ataque muy grande. Para que esto ocurra, los ataques pequeos deben pasar desapercibidos. Trust Exploits: Es tomar ventaja de una maquina o servicio que tiene una relacin de confianza con un sistema, y aprovecharse de esta situacin. Por ejemplo en vez de atacar un servidor donde se encuentra la informacin que queremos, atacamos el Active Directory, que nos puede dar acceso a un servidor que probablemente sea ms difcil atacar directamente. Ataques de Password: Ataques dirigidos a obtener, adivinar o robar los passwords de un usuario. Por ejemplo:
18
Las contraseas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraos o Ataques de fuerza Bruta: Se usa un programa que inserta passwords de manera aleatoria en un sistema, o bien intenta probar todas las combinaciones posibles. Programas de Caballo de Troya: Es un programa que aparenta ser una aplicacin comn o de amplio uso, que captura un password, y lo pone a disponibilidad del atacante. Keyloggers: Son programas, y hasta dispositivos fsicos como USBs que capturan todos los caracteres que el usuario teclea en su teclado, de manera que todo se guarda en archivos de texto locales en un principio, y luego pueden ser enviados de forma remota automticamente por e-mail o Web para su anlisis. Ataques de Diccionario: Es similar a un ataque de fuerza bruta, sin embargo este est basado en un diccionario de palabras comnmente usadas para crear passwords.
Ataques en General que son muy comunes. Ataques de IP Spoofing: Es la tcnica que permite suplantar la direccin IP origen de un sistema con el fin de introducirse en otro. Se suplanta la IP de un sistema confiable (esto se hace en el campo del paquete que es la Source Address), para que el sistema que estoy atacando crea que los paquetes vienen de una fuente segura o con privilegios. Los ataques de IP Spoofin se usan para introducir otro tipo de ataques a los sistemas como pueden ser: o o o Ataques de MAN IN THE MIDLE Ataques de DoS Ataques de DDoS
Man-in-the-Middle: Es la tcnica de escuchar los paquetes que cruzan a travs de una red, existen varias maneras de hacer esto: o La primera es mandar los conocidos GARP (Gratuite ARPs) al sistema para convencerlo de que la MAC de mi mquina es la MAC del Next-hop- router o del Default Gateway. Si el sistema acepta mis ARP, empezar a enviar todos los paquetes a mi mquina, lo que yo hago es reenviarlos al destino valido o next-hop-router, as estar viendo todo el Trfico de la red, sin que los usuarios de la red se den cuenta. Otra tcnica es conectar un hub a la red o segmente que quiero capturar, o bien a un puerto Mirror o SPAN de un switch. De est manera el atacante puede escuchar el trfico, y si los sistemas internos no estn bien protegidos puede capturar usernames y passwords.
19
Figura 12.- Ataque Man in the middle
20
5.6 Controles de Seguridad

Nuestra seguridad es tan fuerte como nuestro eslabn ms dbil Un programa de administracin de la seguridad, debe poner atencin en los tres tipos de controles de seguridad que existen, cubriendo estos, puedo decir que tengo implementado un esquema de seguridad completo, si solo le pongo atencin a uno de estos rubros, la seguridad es vulnerable, y puedo perder o daar algn bien o valor determinado. Los controles de Seguridad son elementos que se deben implementar en conjunto para cumplir con un esquema completo de Seguridad. Estos Controles son los siguientes:
Administrativos Tcnicos Fsicos
Figura 13.- Controles de Seguridad
Controles Administrativos: Es la instauracin y el manejo de Polticas, Procedimientos, estndares y guas de seguridad hacia empleados, instalaciones, uso de recursosetc. Por ejemplo, Polticas de uso de aplicaciones por parte de los empleados (como SAP), quien puede usarlo, quien no, y como debe usarse. Controles Fsicos: Involucra controles de proteccin de las instalaciones como vigilancia, CCTV, deteccin de intrusos, accesos a reas restringidas, controles de incendio y del ambiente, etc. Controles Tcnicos: Involucran hardware, software y tecnologa de la informacin como Firewalls, Antivirus, IPSs, NAC, AAA,.etc.
La desconfianza es la madre de la seguridad Si en mi empresa implemento todos estos controles, puedo hablar de que tengo un esquema completo de seguridad. Si vemos el siguiente grfico, nos daremos cuenta de que la seguridad no solo son datos, si no que la seguridad de los datos descansa sobre la seguridad fsica, y est sobre la seguridad administrativa. Por lo tanto, la seguridad se debe de implementar en capas.
21
Figura 30.- Modelo de seguridad por ncleos o capas de envoltura
*PTS- Plan Tctico de Seguridad
Figura 14.- Diseo de Seguridad por capas

La Seguridad es un tema de todas las capas del modelo OSI, y adicionalmente el factor humano y el ambiente Sin Procedimientos y Seguridad Fsica no tienen sentido los controles tcnicos como los Firewall e IPSs. Los Consultores de Diseo son los encargados de concientizar al cliente de que debe implementarlos. Antes de pensar en la seguridad de sus datos, debera tener por lo menos consientes a sus empleados en el hecho de que ellos deben ser partcipes activos de la seguridad de la empresa. Si piensas que la tecnologa puede solucionar tus problemas de seguridad, est claro que ni entiendes los problemas ni entiendes la tecnologa Bruce Schneier El no involucrar a los empleados de la empresa en nuestro esquema de Seguridad nos hace demasiado vulnerables, y esto lo digo basado en el hecho de que aproximadamente el 85% de
22
los ataques a sistemas informticos de seguridad se hacen desde dentro de las redes de los clientes, no desde afuera, de este 85% el 50% son empleados, o sea, los ataques los realizan empleados de las propias empresas, de manera intencional, accidental o por errores de procedimiento. Lo anterior ocurre sobre todo en el sector financiero, educativo y gobierno. En la cadena de la seguridad el eslabn ms dbil es el ser humano
5.7 Mejores Prcticas de Seguridad Empresarial en General

Esto describe en algunos pasos, las medidas que se recomienda a las empresas tomar para hacer el manejo de su seguridad: 1. Crear Polticas de Seguridad para la empresa, documentarlas y hacerlas publicas y obligatorias para nuestros empleados. Debemos fomentar la conciencia y la formacin en seguridad corporativa. 2. Entrenar a los usuarios en mejores prcticas de seguridad, y ponerlos al tanto sobre las tcticas de ingeniera social y otros ataques. 3. Aplicar Parches de manera rutinaria a Sistemas Operativos y Aplicaciones. 4. Deshabilitar en todos los servidores y host los servicios y puertos no necesarios. 5. Exigir a nuestro usuarios passwords seguros (largos, que no tengan nada que ver con familiares, mascotas o fechas, que combinen nmeros letras, maysculas y minsculas). Adems deben habilitarse la actualizacin peridica de passwords. 6. Proteger con controles de acceso los sitios fsicos donde tengamos servidores y equipo de red. 7. Hacer copias de respaldo peridicas de la informacin importante y verificar la integridad de los respaldos peridicamente. 8. Usar siempre encriptacin de datos para informacin sensible de la empresa. 9. Implementar equipo y software de seguridad para proteger la red y los servidores (Firewall, IPSs, Antivirus). Instalar en todos los host de la empresa un agente Antivirus recomendablemente Firewall, e IPS personal. 10. Se debe tener un plan de continuidad y recuperacin de desastres (DRP). Elaborar un mapa de riesgos. 11. Es recomendable tener en toda empresa un comit de seguridad y un equipo que le de seguimiento a las contingencias. 12. Cumplir con los estndares internacionales de seguridad recomendados por terceros. La seguridad se ve distinta desde dentro, que desde afuera de la empresa
5.8 Framework de Seguridad Telmex

A continuacin se muestra el marco de referencia de soluciones de seguridad existentes en la Industra, donde se identifican las soluciones de seguridad que ofrece Telmex-Scitum, y con las que no se cuentan actualmente.
23
24
6 SOLUCIONES DE SEGURIDAD PERIMETRAL

El equipo de seguridad debe colocarse lo ms cerca posible del o los equipos a proteger
6.1 Permetro
Definimos como permetro a la frontera entre dos o ms zonas, una interior que es segura, y una exterior en donde no tenemos ingerencia de la seguridad, por lo tanto se considera zona no segura. Los mecanismos que implementemos en esta frontera para protegernos de las amenazas de la zona exterior o no segura, se conocen como Seguridad Perimetral, y es un concepto que conlleva el uso de mltiples tcnicas y equipos. El concepto de Seguridad Perimetral viene del desarrollo de la Seguridad Fsica como tal, y se usaba para proteger instalaciones militares, policacas o bancos. Para protegerlas se implementaban tcnicas como muros, bardas electrificadas, cmaras de circuito cerrado, etc. Entonces nuestro primer problema es definir como tal el permetro de nuestra red, o bien, definir como tal las zonas que queremos proteger. Tpicamente el equipo que nos da la salida hacia fuera de nuestra red Privada es un Gateway, mejor conocido como Ruteador. Es tpico que este sea el equipo que nos transporta de una red privada hacia una red pblica (en el esquema ms sencillo). Es por esta razn que muchas veces se implementa la seguridad perimetral en el Enrutador, sin aadir mucho equipo adicional. Esto ltimo es barato pero dependemos de las capacidades de seguridad del ruteador, recordemos adems que el fin de este equipo es la traslacin de medios, y el enrutamiento de datos a su destino.
25
Como podemos ver la seguridad se implementa en capas o niveles, lo primero son Directivas y Procedimientos, despus viene la Seguridad Fsica, y despus empieza la parte informtica, de la cual debe implementarse primero la Seguridad Perimetral.
6.2 Qu es un Firewall?
Es un sistema grupo de sistemas que refuerzan las polticas de control de acceso entre dos redes. Entindase reforzar como el permitir aplicarlas. En otras palabras, es un equipo que nos permite aplicar polticas de acceso para el trfico que cursa entre dos redes. En principio provee dos servicios bsicos: Bloquea trfico indeseado Permite trfico deseable
Al mismo tiempo un Firewall permite dividir la red en distintas zonas, tpicamente una zona Trust (confiable o interna), una Untrust (Externa o no confiable), y otras reas con polticas ms especficamente definidas, como puede ser una zona DMZ (desmilitarizada), que permite una zona de trnsito para cierto tipo de trfico que puede pasar a ciertos equipos de la red, pero no a la zona Trust.
Figura 17.- Permetro simple y perimetro con zona desmilitarizada (DMZ)

Debemos entender el manejo que hace un firewall de las zonas, una vez que han sido creadas las zonas Trust, Untrust y DMZ, el trfico (o ms bien el inicio de las sesiones TCP/UDP) entre ellas ocurre de la siguiente forma: Trfico de la zona Inside a la Outside es permitido (Nos referimos a la apertura de las conexiones TCP/UDP) Trfico de la zona Outside a la zona Inside es bloqueado Trfico de la zona Outside a la DMZ normalmente es permitido
26
Trfico de la zona DMZ a la zona Inside es bloqueado
DMZ
Servers
X
sesin sesin
sesin
Network Cloud Outside

sesin
Inside
X
6.3 Tecnologas de Firewalls
sesin
Client Network
Figura 18.- Trfico entre zonas
Los Firewalls usan varias tecnologas para realizar las siguientes funciones: Packet Filtering: Filtra paquetes o tramas, basado en informacin solo del encabezado de IP (direcciones) o TCP/UDP (puertos). Proxy Server: Opera en la capa de sesin y acta como intermediario entre los dos extremos de la comunicacin, solicitando las conexiones en nombre del cliente, de manera que el administra las conexiones entre los dos equipos terminales. El Proxy funciona como cara de la red hacia el exterior, evitando que el interior de la red pueda ser visible, esto ofrece un gran nivel de seguridad y control. Stateful Packet Filtering: Opera en la capa de red y mantiene un estado de las conexiones que pasan por el firewall. Es utilizado tpicamente por Cisco, este mantiene el estado completo de todas las conexiones. Cada vez que una conexin TCP o UDP se establece entra en una tabla que se llama Tabla de estado de flujo de sesiones (o tabla de estado en general). Todo el trfico que entra y sale del equipo es comparado con esta tabla, el regreso del trfico es permitido solo si una conexin valida y apropiada existe en la tabla de estado y es permitida. En general est tecnologa trabaja con packet filtering inspeccionando el header de los paquetes, adems de mantener las conexiones TCP/UDP en una tabla, y usarla para aplicar polticas de seguridad.
Ya con anterioridad vimos como el algoritmo evita que un equipo en la zona Untrust pueda abrir una sesin con un equipo en la zona Trust, y de igual manera un equipo en la DMZ o cualquier otra zona, no podr abrir sesiones con equipos de la zona Trust (Inside). La regla es: Nada debe pasar de una zona de menor nivel seguridad, hacia una zona de mayor nivel de seguridad, y cualquier cosa puede pasar de una zona de mayor nivel de seguridad, hacia una zona con menor nivel" Adems de lo anterior el algoritmo de Stateful Packet Inspection hacer lo siguiente: Mantiene actualizada la tabla de estado. Permite conexiones de una zona de mayor a una zona de menor nivel de seguridad Tira las conexiones de una zona de menor a una zona de mayor nivel de seguridad
27
Para cada nueva conexin el algoritmo lanza un nmero de secuencia aleatorio, esto evita que un hacker pueda predecirlo y atacar va esta conexin.
Otro modo en el que puede funcionar el Firewall es en Modo Transparente, donde el equipo no lleva direccin IP en las interfases, funciona a nivel de capa 2 (hablando de conectividad), tambin se conoce como modo bridging, y puede dar proteccin de capa 2 a capa 7. En este modo el Firewall es invisible a los usuarios en ambos lados de la red protegida. Tiene algunas desventajas manejar el Firewall en modo transparente, la primera es que el ruteo no esta disponible en este modo, ya que el direccionamiento de capa 3 tampoco. Otro problema es que solo se pueden manejar dos zonas, la inside y la outside, no se puede manejar una DMZ u otras reas. La ventaja es que como no hay direccionamiento, el default Gateway de las mquinas de los usuarios se conserva en el router, el cliente no tiene que hacer cambios en el direccionamiento de su red. Desventajas de usar el Firewall en modo Transparente: No se soporta DNS Dinmico No se soportal los protocolos de ruteo dinmico No se soporta IPv6 No se soporta QoS No se soporta Multicast No se soportan VPNs
Ahora hablemos de los parmetros que tpicamente nos proveen los fabricantes de Firewalls sobre el hardware, que son los elementos que nos van a permitir dimensionar el modelo del equipo que necesitamos.
6.1 Qu puede hacer un Firewall?

Puede conectar dos redes a nivel LAN. Puede definir varias zonas distintas en base a sus interfases, y aplicar polticas de seguridad distintas a cada zona. Puede permitir o bloquear trfico que pasa a travs de l, basado en polticas preconfiguradas. Puede filtrar paquetes basndose en direcciones IP, Puertos TCP/UDP o usuarios Detecta y reporta intentos de entrada no autorizados. Puede autenticar usuarios. Puede hacer NAT o PAT Puede en ciertos casos enrutar paquetes entre sus interfases. En algunos casos puede encriptar la informacin.
6.2 Qu no puede hacer un Firewall?

No puede proteger o aplicar polticas a trfico que no pasa por l. Si no estn configurados adecuadamente no protegen o hasta pueden causar problemas con el trfico. No provee confidencialidad a los datos No pueden en principio proteger de ataques activos (hijaking, Port scan, DDoS, man in the middle) esa es tarea de un IPS No es un Antivirus Proteger de ataques del interior de la red, como virus, robo de informacin, integridad de informacin, confidencialidad, manejo de dispositivos mviles de almacenamiento como USB, o CDs. No protege de SPAM, P2P, Instant Messenger etc.
28
Cuando un equipo adems de desempear funciones de Firewall puede proteger contra ataques activos (IPS), virus, SPAM, contenido malicioso o paginas prohibidas, estamos hablando no de un Firewall, si no de un equipo multifuncional conocido como UTM (Unified Threat Management), que corresponde a otra tecnologa que se vera ms adelante.
6.3 Esquemas de alta disponibilidad

Cuando hablamos de alta disponibilidad, en una zona perimetral tenemos dos casos. Esquemas de conectividad en ActivoPasivo, o bien esquemas en Activo-Activo. En el esquema Activo-Pasivo entendemos por default que uno de los dos equipos se encuentra en Standby, esperando a que el otro equipo falle, y poder tomar su lugar en caso de falla, en este caso solo esta fluyendo trfico por uno de los dos equipos al mismo tiempo. Esto se conoce como respaldo.
Activo
Trfico
X
Trfico
En falla
Pasivo
Activo
Figura 20.- Esquema de HA Activo-Pasivo

En el segundo caso, donde tenemos un esquema de Activo-Activo, presuponemos que por ambos enlaces esta fluyendo trfico, lo que podra ser en la mayora de los casos un balaceo de carga, donde el elemento que balancea no es propiamente el firewall.
29
Activo
Trfico
X
Trfico
En falla
Trfico
Activo
Activo
Activo
Trfico
X
En Falla
Figura 21.- Esquema de HA Activo-Activo
Debemos aclarar que para Cisco en particular, se requiere que ambos equipos que formaran la configuracin de HA sean idnticos en modelo y caractersticas; lo mismo ocurre para Juniper, sin embargo hay marcas como Check Point que permiten hacer un respaldo con equipos de diferentes capacidades, pues el software es el mismo. En casos como Sonic Wall, efectivamente se requiere que ambos equipos sean idnticos en hardware, sin embargo pueden compartir el esquema de licenciamiento, lo que hace ms econmico al segundo equipo. En casos como Alteon de Nortel, solo se soportan esquemas Activo-Activo para HA. Tambin cabe mencionar que el cable que une los dos Firewalls para Stateful-Failover es un cable cruzado, de otra manera deberamos usar un switch para mantener unidos los Firewalls. Tambin deben tomar en cuenta que en el link de Fail-over se debe configurar en una red o subred distinta. Otra gran desventaja de usar Firewalls de Cisco en modo Activo-Activo es que en este modo se necesitan firewalls virtuales, esto hace que no se pueda usar en este tipo de configuracin tneles IPSec, SSL y protocolos de ruteo dinmico como RIP u OSPF. En ambos esquemas (Activo-Activo Activo-Pasivo) se puede configurar la redundancia para Stateful-Failover, lo que quiere decir que el cable que une los dos Firewalls sincroniza entre ellos la informacin de todas las conexiones activas, de manera que cuando ocurra el Failover, no se pierdan las conexiones activas y los usuarios no noten cuando el respaldo entra. Todo lo anterior aplica siempre y cuando el elemento de falla en el flujo de trfico sea el Firewall, sin embargo en topologas ms complejas lo que puede fallar son los elementos de inter conectividad alrededor del Firewall, lo que nos puede obligar a hacer aun ms complejas nuestras topologas. El mercado pone como ejemplo est configuracin:
30
Figura 22.- Esquema de HA tpico

Como pueden notar a la entrada hay un cruce de conexiones entre el Firewall Master y el Firewall Backup. Ntese tambin la doble conexin a la DMZ, una a cada Firewall. Basndonos en este esquema podemos definir un esquema bsico de la siguiente manera:
Activo Core Acceso Users
Internet
Pasivo
MDF
IDF
Figura 23.- Esquema de HA bsico

Como se puede ver en este esquema, si falla un firewall, entra el otro, de igual manera si falla un router, el firewall detectara la perdida de una de sus interfases y conmutara al Fail Over automticamente, en estos dos casos los usuraos no detectan la falla.pero que pasa si lo que falla es lo que tiene ms posibilidades de fallar?, el enlace de ultima milla. Cualquiera dira: Pues entra el enlace de respaldo. Efectivamente, sin embargo el Firewall que estaba en Activo jams se entera de la falla, pues el router sigue arriba, y la interfase Ethernet no se ha cado. Esto nos obliga a hacer cruces para evitar esta contingencia:
31
Activo
Core Acceso
Users
Internet
Pasivo
MDF
IDF
Figura 24.- Esquema de HA con cruces de entrada

La desventaja con que nos topamos ahora es que requiero ms interfases para el Firewall, que comnmente son costosas (una practica que se recomienda en diseo es sobrarse un poco en interfases, y no quedar demasiado justo), adems de que requiero ms puertos Ethernet en los routers, que siempre son escasas, para resolver esta problemtica podemos poner dos switches entre los routers y los firewalls, de la siguiente forma:
Activo Core Acceso Users
Internet
Pasivo
MDF
IDF
Figura 25.- Esquema de HA con switches entrada

Esto resuelve la problemtica de la perdida del enlace sin que el Firewall activo pierda conectividad. Ahora pensemos si aadimos una DMZ al esquema:
DMZ
Inside Outside Activo Core Acceso
Users
Internet
Pasivo
MDF
IDF
Figura 26.- Esquema de HA con DMZ en HA

Como podemos ver ahora, para tener una DMZ en un esquema de HA tenemos que conectar ambos Firewalls a esta zona, y los servidores o equipos deben tambin poder ver ambos firewalls, de otra manera no servira nuestro esquema de HA. Esto lo resolvemos poniendo dos switches en HA en la DMZ. El esquema LAN de la DMZ puede complicarse tanto como equipos y VLAN`s se tengan en estas zonas. Inclusive se admite un esquema de Private VLANs en la DMZ, que es muy usado.
32
Recordando que estamos aun analizando los esquemas de Seguridad Perimetral, agreguemos un elemento que es fundamental en la proteccin del permetro, un IPS,
pero en HA.
DMZ
Outside
Activo
Inside IPS
Core Acceso
Users
Internet
IPS Pasivo MDF IDF
Figura 27.- Esquema de HA con IPS en lnea

Ahora tenemos proteccin contra intrusos en lnea dentro de nuestra zona Inside protegiendo solo el permetro. Sin embargo hemos dejado desprotegida de ataques de intrusos una parte fundamental de la red, los servidores (la DMZ), el IPS solo est protegiendo el trfico que pasa hacia la red interna de usuarios. Hay muchas maneras de proteger los servidores, pero lo mejor es el uso de otro par de IPSs.
DMZ
Outside
Activo
Inside IPS
Core Acceso
Users
Internet
IPS Pasivo MDF IDF
Figura 28.- Esquema de HA con IPSs en DMZ

No necesariamente los equipos IPS pueden tener un enlace de sincrona entre ellos, pues pueden funcionar de forma independiente uno de otro, dependiendo del fabricante que elijamos para estos equipos. Esto se discutir a profundidad ms adelante.
En cuanto a los servidores, podemos tenerlos de dos tipos, servidores pblicos, donde gente desde afuera de la red pude hacer consultas a ellos, como pueden ser servidores WEB, mail, FTP, o e-commerce; estos servidores, se colocan tpicamente en la DMZ, lo cual le permite a
33
usuarios en el outside, que es mi zona untrust, accesar a los servicios sin que mi red interna se vea vulnerada o comprometida. Los servidores no pblicos, conocidos como servidores de aplicacin interna, se deben colocar en una VLAN de la zona trust, y no en la DMZ, si no se van a hacer consultas desde el Internet. Esto protege ms a estos servidores que a los que estn en la DMZ, pues por definicin la zona Trust es ms segura que la DMZ.
DMZ Servidores Internos Servidores pblicos
Outside
Activo
Inside IPS
Core Acceso
Users
Internet
IPS Pasivo MDF IDF
Figura 29.- Esquema de HA con servidores de aplicacin internos

De igual manera podemos ir aadiendo ms equipo para proteger el permetro, como puede ser un Antivirus Gateway, sin embargo lo importante es que nuestra seguridad sea diseada en capas, siguiendo siempre las reglas y las mejores practicas ya expuestas en este documento.
34
6.2 Recomendaciones de Diseo

En redes grandes, conocidas como Large Enterprise, con ms de 500 usuarios aproximadamente, no es conveniente hacer que el mismo equipo realice mltiples funciones, pues al agregar funcionalidades al equipo, el throughput de este se decrementa, pudiendo llegar a apagarse el equipo, por lo que las Mejores Practicas dicen que en redes muy grandes, separemos el Firewall, del equipo que har VPNs (sobre todo si encriptamos con 3DES o AES); separemos tambin la funcionalidad de IPS, pues demanda tambin mucho procesador, el Filtrado de contenidos se recomienda que tambin este separado, y lo ms cerca de la salida a Internet. La funcionalidad de Antispam se recomienda ms cerca de los servidores de correo, y el Antivirus Gateway cerca tambin de la salida a Internet. En orden sera: Inmediatamente despus del Router conectar el Firewall, inmediatamente despus el IPS, a continuacin el Antivirus Gateway. El filtrado de URLs debe ponerse en un punto donde confluya todo el trfico WEB, por ejemplo en un puerto mirror del Core. El Antispam justo antes del de los servidores SMTP. Despus de estos elementos, lo correcto es blindar los host, con un software de antivirus en cada maquina de los usuarios, y de forma recomendable un Firewall personal y un IPS de host. Finalmente deberamos blindar Servidores y Aplicaciones. En soluciones PYME (menos de 500 usuarios) si es permitido el uso de UTM, con el dimensionamiento adecuado. En Mxico, las PYMES estn definidas por el nmero de empleados con los que cuenta la empresa. En el artculo 3 de la Ley para el Desarrollo de la Competitividad de la Micro, Pequea y Mediana Empresa del ao 2002, se establecieron los siguientes parmetros
Figura 32.- Clasificacin de PYME en Mxico

Nota: En los EU considera-menos de 500 una PYME Hablando de topologas de red, podemos tener esquemas aun ms complejos donde la principal problemtica podra estar representada por mltiples salidas a Internet, en diferentes sitios del cliente. Una de las mejores prcticas en seguridad es tener centralizado en un punto el servicio de Internet, de manera que protegiendo este punto y tomndolo como entrada al permetro es ms fcil definir y proteger el permetro. Cuando se usan mltiples salidas a Internet se deben proteger todas ellas con equipo separado, lo que implica extender el permetro a cada uno de estos puntos donde haya salidas a Internet. Si dejamos de proteger alguna de las salidas a Internet, dejamos abiertas las entradas conocidas como Puertas Traseras, por donde los ataques pueden entrar. Una de las tcnicas comunes para atacar una red, es buscando sus puertas traseras, que pueden ser a nivel de acceso fsico a la red, o a nivel de acceso lgico. Entonces definamos dos puntos de mejores prcticas: Protege con equipo de seguridad todos tus accesos a Internet o a redes externas o inseguras. Trata de bloquear todas tus puertas traseras, lgicas o fsicas, que pueden ser:
35
o o o o o o
Accesos a Internet no identificados Accesos inalmbricos no autorizados Puertos abiertos en los firewalls Accesos a equipo fsico (puertos de red y de consola) no protegidos. Proteger todos los accesos remotos a los sistemas de administracin de los equipos con SSH, SSL, SNMP. Proteger en la LAN todos los puertos de switches que no se estn usando, lo mejor es que estn en shutdown.
LAN
CPE
CONEXIN DE VOZ 2 FXS
LAN FW
CPE
21 sitios
DMZ
CONACULTA
IP-MPLS
LAN
CPE CONEXIN DE VOZ 2 FXS CPE
INTERNET
LAN
CONEXIN DE VOZ 2 FXS
DMZ
FW
Alta Direccin
Figura 33.- Mltiples salidas de Internet
Un diseo puede ser tan complicado, como el alcance que tenga nuestra solucin de seguridad, y por supuesto por lo grande que sea la red a proteger, para poner un ejemplo veamos el diagrama de la siguiente pgina, que es la red propuesta para el IMSS, donde intervienen esquemas de alta disponibilidad Activo-Activo, IPSs en lnea, ninguna funcionalidad adicional el Firewall, ms que el firewall mismo. Las funcionalidades de VPN estn separadas, de igual manera el filtrado de contenidos es completamente separado. Existen varias zonas, incluyendo dos DMZs. Ntese el manejo de los IPSs en las DMZ.
36
Innovacin de Soluciones Elaborado por: SXT, VMOM Confidencial
37
38
7 DIMENSIONAMIENTO DE FIREWALLS 7.2 Parmetros que proporciona el fabricante

Los elementos que siempre nos va a dar cualquier fabricante de hardware de Firewall son los siguientes: Firewall Throughput: Est dado en Mbps o Gbps, y representa la mxima cantidad de datos que puede pasar el equipo en un momento dado, cuando esta configurado solo como Firewall. Concurrent connections o Max Sessions: Son la mxima cantidad de sesiones TCP soportadas por el equipo, y por supuesto depende de la cantidad de sesiones que abren los usuarios de la red. New sessions/second o New Connections/Second: Es la capacidad que tiene el Firewall de inspeccionar en un segundo nuevas sesiones que estn siendo abiertas. Es su escalada de cambio. Muchos ataques de DoS vulneran esta capacidad. Network Interfaces o Network Ports: Son los puertos fsicos con los que cuenta el equipo, y tpicamente nos indica los que trae integrados de fabrica, debemos tomar en cuenta si se refiere a la configuracin mxima con los spots instalados. Tpicamente 10/100, 10/100/1000 (GE), o Fibra en SX o SR. En algunos casos se requiere licenciamiento. Expansin Slots o Interfase slots: Se refiere a las ranuras de expansin para tarjetas de interfases adicionales a las que tiene integradas. Es importante verificar que el equipo cuenta con la suficiente cantidad de interfases que se requieren. High Availability: Indica si soporta o no Alta disponibilidad o redundancia en equipos, y si se soporta en activo-Activo, o Activo-Pasivo. En algunos casos se requiere licenciamiento adicional para soportar estas funcionalidades La mayora de los Firewalls hoy en da soportan la creacin de tneles para VPN sobre Internet, e incluyen el desempeo o Throughput cuando requieren encriptar la informacin sobre los tneles. Algunos algoritmos de encriptacin como 3DES o AES demandan mucha cantidad de procesador, por lo que el desempeo del Firewall disminuye si activamos la encriptacin de datos. Es por esto que como dato adicional los firewall nos dan otros desempeos, como 3DES/AES VPN Throughput.
Cisco
39
Figura 35.- Hoja de datos de Cisco
Juniper
Figura 36.- Hoja de datos de Juniper
40
Check Point
Figura 37.- Hoja de datos de Check Point

Tpicamente el cliente nos tiene que proveer de la informacin mnima necesaria para dimensionar el equipo que debemos proponerle. La mayora de las veces (sobre todo en las PYMES), el cliente no tiene ni idea de lo que requiere. Lo correcto sera llevar a cabo algn anlisis para tener informacin confiable sobre el cliente: Anlisis de red Anlisis de riesgos Anlisis de vulnerabilidades Pruebas de penetracin
Estas serian las mejores prcticas para el diseo. La situacin aqu es que estos servicios, aun cuando nosotros los ofrecemos son muy caros, y muy dirigidos a Gran Empresa, una PYME difcilmente nos comprara este servicio. Es por esto que el consultor puede, en base a la informacin mnima del cliente hacer un dimensionamiento del equipo que este requiere. Para el caso ms tpico, donde el acceso a Internet es centralizado, o bien vamos a dimensionar el nodo central, debemos obtener la siguiente informacin. Si lo tiene, el nmero de sesiones TCP/UDP totales que requiere. Nmero de usuarios totales que pasaran informacin por el firewall. Si requiere tneles VPN, cuantos y si son IPSec o SSL. Si usara encriptacin, y que tipo de encriptacin requiere (DES,3DES, AES) El tipo de trfico y aplicaciones que pasaran por el firewall. S no tiene el trfico, el giro de la empresa nos da una muy buena idea del uso que har de los recursos de red, como el Internet.
41
Cuantas zonas distintas requiere, si requiere ms de una DMZ. Cuantos servidores pblicos tiene, y cuantos servidores de aplicacin interna tiene. El diagrama de su red.
Una vez obtenidos estos datos procedemos a ubicar y delimitar el permetro de la red del cliente, y el lugar donde va a ser colocado el Firewall. Para soluciones a nivel PYME (menos de 500 usuarios) lo tpico es que se tenga un nodo central y pequeas sucursales. Es tpico que se tenga una sola salida a Internet en el central, as que colocamos el equipo entre el router y la red LAN, para proteger el permetro. Todo esto ya se trat en los esquemas de Seguridad Perimetral, ahora veamos como dimensionamos el equipo.
7.3 Diseo y Dimensionamiento del equipo

El parmetro ms confiable de la hoja de datos del fabricante de Firewalls, es la cantidad mxima de sesiones TCP o conexiones TCP/UDP que puede soportar el equipo. Est es un medicin (al igual que todos los parmetros que nos da el fabricante) que se hace en condiciones ideales. Como ya lo comentamos con anterioridad, el nmero de sesiones nos indica en realidad cuantas conexiones TCP podemos tener abiertas al mismo tiempo en el equipo, antes de que este se sature a nivel de procesador. Tericamente, si rebasamos este limite, el equipo se bloquea, o en el mejor de los casos se resetea. Por lo tanto la cantidad de sesiones TCP que soporta un equipo dependen de su capacidad de procesamiento, de la memoria, y de la capacidad de sus interfasesen otras palabras, es dependiente del hardware. De igual manera el throughput es dependiente del hardware, sin embargo este valor depende mucho ms de las condiciones en que haya sido medido, muchas veces el fabricante expresa un throughput que no refleja la realidad de su producto. Es ms confiable el uso de las conexiones simultneas, adems de que es ms sensible el equipo a este parmetro que al throughput Tenemos entonces que conocer el nmero de conexiones TCP que se abrirn en el lugar donde coloquemos el equipo, para poder dimensionarlo a nivel de procesador. La pregunta es: Cmo sabemos el nmero de sesiones TCP que est abriendo un cliente hacia el exterior de su red? Podemos preguntrselo directamente, si el cliente es alguien tcnico que conoce perfectamente su trfico lo podr determinar. La realidad es que esto difcilmente ocurre as. Por otro lado podemos hacer un anlisis del trfico, el cual deber ser mnimo de una semana para considerarlo confiable. Esto se puede hacer con un sniffer, y es un servicio que se le cobrar al cliente. Esta es la manera ms confiable de conocer el trfico del cliente, pero la ms cara. La tercera forma de conocer el nmero de conexiones TCP en la sida de la red es combinar algo de ingeniera social con el nmero de usuarios, el giro de la empresa y el tipo de aplicaciones que son externas a la red del cliente. En base a el giro de la empresa, las preguntas a los usuarios de lo que hacen en Internet, y las aplicaciones hacia el exterior podemos estimar el nmero de sesiones por usuario que se abrirn. Esta es una tcnica que usan los fabricantes de Firewalls para dimensionar sus soluciones. Podemos aplicar la siguiente formula: # Sesiones Totales = # Sesiones por usuario x # usuarios Para determinar las sesiones por usuario podemos tomar esta referencia: Trfico Navegacin WEB Internet (sin trasferencias Sesiones por usuario (aprox.) 70
42
de archivos y dependiendo de la pagina) Navegacin + mail + transferencia de archivos. Navegacin+mail+trasferencia de Arch.+p2p+Messenger Todo lo anterior + aplicaciones externas + VPN+ voz
100 150 200
Tabla 1.- Sesiones estimadas por usuario

El hardware es lo que hace a una mquina rpida; el software es lo que hace que una mquina rpida se vuelva lenta Toma en cuenta por ejemplo que cada ventana de Messenger que abres puede generar mltiples sesiones, no importa si es UDP, el firewall la guardara en su tabla de sesiones, y le costara trabajo de procesador mantenerla abierta. Por ejemplo, aqu tenemos un estudio que se hizo a la tarjeta de firewall FWSM de cisco.
Figura 40.- Hoja de datos de Cisco
De acuerdo a lo observado actualmente el promedio de sesiones concurrentes de usuario son 500. Si vemos en nuestra mquina la cantidad de sesiones TCP/UDP abiertas, con una cantidad normal de aplicaciones abiertas, digamos, el correo, el chat con algunas ventanas abiertas, un par de ventanas de navegacin, y nuestras aplicaciones internas como el SAP, nos daremos cuenta que la cantidad de conexiones es inmensa, pueden ser desde 50 hasta 80 en un momento dado, y en casos graves hasta ms de 150. En la siguiente figura se pueden ver las conexiones abiertas por un usuario.
43
Figura 41.- ejemplo de sesiones abiertas por un usuario

Por lo tanto sera lgico tomar un nmero mayor a 100 como referencia para calcular el caso ms grave que podr manejar un Firewall, pues recordemos que una regla de diseo bsico es: No disees o propongas considerando el caso ms simple o comn, toma el caso ms grave en el que puede caer tu sistema, de esta manera estars protegido cuando ocurra el peor casoque seguramente ocurrir Esto ultimo basados en la primera ley de Murphy: Si algo puede salir mal, saldr mal Tomando en cuenta esto podemos fijar las conexiones por usuario en aproximadamente 150 sesiones por usuario. Con base en esto y en la formula: # Sesiones Totales = 150 x # usuarios
44
Pensaramos que simplemente tomando esa cantidad y multiplicndola por el nmero de usuarios tendramos la cantidad total de sesiones que deber soportar nuestro Firewall; esto es parcialmente cierto, sin embargo recordemos que las capacidades del hardware estn medidas en condiciones ideales, e indican lo que sopota el equipo al mximoo seaantes de fallar. Lo recomendable a nivel de hardware es no llevar al equipo ms all del 80% de sus capacidades, esto si no queremos ver que el equipo se resetea continuamente, aunado a sus problemas de energa y disponibilidad. Esto es una de las llamadas mejores practicas. Por lo anterior lo que debemos hacer es dimensionar el equipo de manera que no superemos el 80% de su capacidad (Mejores practicas). Esto lo podremos lograr agregando un factor a la formula general de sesiones concurrentes. # Sesiones Totales = (150 x # usuarios) x 1.25 Por lo tanto # Sesiones Totales = 187.5 x # usuarios Por supuesto que si lo que quieres saber es el nmero de usuarios que soporta un equipo (sin sobrepasar el 80% de su capacidad), tericamente lo puedes obtener de la siguiente forma. # usuarios que soporta un firewall = # Sesiones Totales / 187.5 Hasta aqu todo lo anterior es cierto si el equipo solo hace funciones de Firewall. Si adems el equipo va a manejar VPNs, lo lgico es que usemos algn tipo de encriptacin para darle confidencialidad a la informacin que transportemos por las VPNs. Como sabemos los algoritmos de encripcin son muy demandantes en procesador, sobre todo AES, que es un algoritmo mucho ms complejo, en menor medida 3DES, y en mucho menor medida DES. El resultado de encriptar informacin con el Firewall va a ser una degradacin del Throughput del equipo. De por si tomamos el 80% del valor total del equipo para dimensionarlo, ahora, si vamos a usar AES y un numero de tneles considerable, el desempeo del equipo se degrada aun ms. Es prcticamente imposible calcular el porcentaje de degradacin, y depende mucho del tipo de hardware, lo que si debemos hacer como Mejore Practicas es por lo menos considerarlo en nuestro diseo.
45
7.2 Lderes en la industria

Aadimos el cuadrante mgico de Gartner para visualizar los lderes en el mercado de Firewalls (A nivel Large Enterprise) y tomarlo en cuenta en nuestros deployments.
Figura 42.- Cuadrante de Gartner Firewalls en mercado Enterprise
UTM
(UTM) Unified threat Management (Administrador de de amenazas unificado), tambin conocido como (ISR) Integrated Service Router (Router de servicios integrados) o bien (SSG) Secure service gateway (gateway de servicios seguros) son los nombres mas conocidos para este tipo de equipos que rpidamente se han convertido en el mas importante equipo de seguridad de red para muchas empresas, principalmente para pequeas y medianas.
8.1 Qu es UTM?
El dispositivo UTM tiene varios significados ya que existen varios equipos en el mercado que cumplen con esa etiqueta y en esencia busca cumplir con 3 ideas principales: Contar con mltiples caractersticas para mitigar amenazas Integrar las funcionalidades sobre una plataforma madura de firewall
46
Desarrollarlo sobre un solo dispositivo En otras palabras es; un dispositivo de seguridad de red que integra distintas funcionalidades que se encuentran en diferentes dispositivos de red. A continuacin se muestra un diagrama que ilustra la propuesta de valor del UTM:
Figura 44.- Esquema comn de equipos dedicados de seguridad en la red
Figura 45.- Esquema UTM integrando funcionalidades
En muchos casos la diferencia entre un firewall normal y el termino UTM se ha reducido al grado de que muchos equipos que aaden algo adems de hacer bloqueo de trafico sean llamados as
8.2 Que funciones desempea el UTM

Entre los procesos que debe atender el equipo se encuentran: Ruteo Stateful Inspection Firewall VPNs IPSec IDS/IPS Anti-virus Anti-spam Filtrado de contenido Algunas nuevas y ms avanzadas tecnologas de UTM intentan agregar DLP (Data leak prevention), administracin de identidad, gateways de voz, comunicaciones unificadas y control de acceso de red, actualmente son funcionalidades no contempladas en este documento.
47
8.3 Capas donde operan las soluciones del UTM

El UTM a travs de sus tecnologas logra operar en distintas capas del modelo OSI, en el siguiente diagrama se ejemplifica donde se ubica su operacin a distintos niveles:
Figura 46.- Seguridad por capas del dispositivo UTM
8.4 Mercado objetivo del UTM

La necesidad que cubre el UTM son empresas que tienen un presupuesto limitado en seguridad, y que estn dispuestas a sacrificar las mejores soluciones de seguridad y performance por equipos simples, multiusos y a un bajo costo. El UTM esta enfocado a empresas pequeas (10 -50) y medianas (50 500), a este nicho de mercado le permite un nivel similar de seguridad al de una empresa mas grande (Enterprise), con las ventajas de contar con un costo mas bajo operativo y en capital, ya que en su propuesta, beneficia el hecho de contar con menos equipos para comprar y administrar.
Hacia el 2009, el mercado de UTM ha crecido un 47.9%
8.5 Caractersticas al evaluar una solucin UTM

Los proveedores de UTM han intentado llevar el UTM a un nivel de Enterprise (+500 usuarios), donde podemos observar que la idea de consolidacin no es mala, pero consolidacin sin performance ha sido el taln de Aquiles de muchos equipos, como se menciono antes, actualmente no se recomienda utilizar un equipo de este tipo a nivel Enterprise con todas sus funcionalidades. En general un equipo para PYMES necesitar menos funcionalidades, pero un equipo UTM competitivo que pudiera crecer a empresas de mayor tamao debiramos revisar si cuenta al menos con: Firewall con mltiples zonas Distintos tipos de NAT Permita realizar VPNs por Ipsec Capacidad de IPS o DPI Alta disponibilidad Soporte de ruteo dinmico (Inter marca) Un performance de firewall aceptable Escalacin de puertos Capacidad de vlans Una Filosofa de administracin: o La interfaz de administracin sea tan unificada como el equipo
48
La solucin sea capaz de manejar cientos de reglas con decenas de dispositivos. o El sistema cuente con logs y herramientas de troubleshooting para ayudar da a da. o Como puede el personal de TI obtener beneficios de cada funcin del equipo, para su trabajo. o El sistema permite tener un sistema de auditoria (reportes) o archivo de logs, lo cual es muy importante para un anlisis forense. Que tenga un sistema de reglas intuitivo para el administrador Que cuente con capacidades adecuadas de alertas Que las caractersticas de mitigacin tengan sentido para un nivel Enterprise, no solo tiren conexiones. Contar con una estrategia del producto para la escalabilidad Modo de actualizacin de las firmas de IPS, recurre a un tercero? Que sea fcil habilitar funcionalidades Que tenga un modo practico en los up-grades o Debemos continuar con la observacin que solo se recomienda para un posible nivel Enterprise solo utilizar FW e IPS. A nivel Enterprise no se sugiere agregar anti-malware, anti-spam, o filtrado de contenido. Algunos clientes solo utilizaran ciertas funciones del UTM, mientras que otras funciones se seguirn delegando en otros equipos dedicados
Figura 48.- Comparacin de Performance entre FW y DPI de un mismo equipo

. Muchos UTMs realizan un trabajo pobre en algn rea, antispam y antivirus son los mejores ejemplos
8.6 Dimensionamiento del UTM

El dispositivo UTM comnmente esta contemplado para el nodo central de oficinas PYMES y en definitiva esta creciendo su implementacin en este punto, sin embargo su implementacin en las oficinas remotas tambin ha ido en aumento, en el caso de las Enterprise se ha utilizado en mayor numero para manejar la seguridad centralizada de las oficinas remotas. Estadsticamente se contempla que para mitades del 2009, la mitad de las oficinas remotas tendrn su propia salida de Internet, lo que lleva a que no tendrn que viajar por la WAN a sus oficinas centrales para accesar a Internet y muy probablemente requerirn un UTM.
49
Como se mencion anteriormente las mejores prcticas nos sugieren realizar un anlisis de la red para identificar las condiciones actuales y las necesidades en la red de una empresa, para los proyectos donde esto no sea posible, al menos debemos saber: Tamao de la compaa? R= Usuarios actuales Que tanto ser el crecimiento? R= Usuarios futuros, dependiendo sitios remotos Cuales son las necesidades? R= Si requiere IPS, AV, Filtrado URL etc.,y dar prioridad a las mismas Ejemplo: Donde el numero 5 es lo mas importante Dependable firewall (5) IDS/IPS (4) Solid, stable VPN (5) Content filtering-HTTP (4) Content filtering-SMTP (3) AD integration-VPN & HTTP content filtering (4) Segmentacin de interfaces de red (4) Reporteo bsico embebido (3) Antivirus/Antispyware-HTTP (3) Antivirus/Antispyware/Antispam-SMTP (2) Estas preguntas podrn reducir el rango de equipos a considerar y posteriormente algunos fabricantes se enfocaran a equipos PYMES y otros a posible nivel Enterprise, lo que permitir poner otro punto de decisin. Es importante saber que en promedio se reduce hasta un 70% de performance al prender el IPS y otro punto importante es que el escaneo de antivirus utiliza aproximadamente 100 veces ms en procesamiento intensivo que una tpica inspeccin de paquetes de firewall.
Sonicwall
2Metodologas de prueba: rendimiento mximo basado en RFC 2544 (para cortafuegos). El rendimiento real puede variar dependiendo de las condiciones de la red y de los servicios activados. 3 DPI completo/Rendimiento de AV/Anti-Spyware/IPS en UTM/pasarela medido a travs de la prueba de rendimiento 4Rendimiento de VPN medido sobre la base de trfico UDP y con paquetes de 1280 bytes segn RFC 2544. 5El nmero mximo real de conexiones es menor cuando estn habilitados los servicios UTM.
Figura 50.- Tabla comparativa entre performance de equipos UTM de un mismo proveedor
50
Figura 51.- Tabla comparativa de performance de UTM agregando funcionalidades
Fortinet
Figura 53.- Caractersticas de un UTM que muestra el proveedor
Watchguard
Figura 55.- Caractersticas de un UTM que muestra el proveedor

Lo anterior corresponde a segmentos de usuarios entre 50-120, 120-250, 250-500, considera 400 sesiones por usuario, debido a las reglas Proxy, diferentes a las de packet filter.(en este caso ya el fabricante considera esas sesiones). Como recomendacin utilizaremos la formula que se menciono anteriormente, en el ejemplo anterior nos indica el proveedor como al prender todas las funcionalidades se redujo el performance hasta en un 75%.
# Sesiones Totales con UTM = <250> x # usuarios Otras mejores practicas:

51
Tratar de distribuir la carga en varios equipos en lugar de uno solo Validar cuanto caer el performance al habilitar cada funcionalidad Tener un equipo o servidor que administre los logs Contar con escalabilidad y alta disponibilidad en el Firewall Al habilitar alguna funcionalidad dejar un periodo de prueba.
Intentar contar con un buen servidor que administre logs, no por horas o das, si no por meses, es muy importante el monitoreo de trafico para identificar de donde vienen los ataques, anlisis forense
Al finalizar el diseo es importante preguntarse y combinar la siguiente informacin. En funcin de la informacin que se tiene del proyecto: Que queremos proteger? Cuales son las amenazas? Cuales son los requerimientos del negocio? Deberamos validar que nuestro diseo cumple con: El diseo propuesto realmente protege los recursos ms importantes de la organizacin El diseo esta enfocado y hace nfasis en proteger los recursos correctos El diseo sustenta los distintos modos que podra ser atacado El diseo cumple con las metas del negocio, no impactara con las operaciones del mismo El riesgo en una empresa jams ser eliminado en su totalidad, simplemente es importante encontrar el punto de riesgo aceptable y seguro para la operacin
8.7 Pruebas de evaluacin sugeridas en un UTM

Normalmente el fabricante al presentar un equipo busca condiciones favorables donde su esquema de pruebas sea poco susceptible a fallas, pero deberamos considerar las siguientes pruebas, que mostraran un desempeo mas real del equipo. Generar amenazas hacia el trfico valido como VoIP, P2P, CIFS, MPEG4 (desde el mismo puerto al mismo tiempo). Pruebas de capacidades como por ejemplo: o Amenazas por segundo o Sesiones por segundo o SSL sesiones por segundo o Sesiones concurrentes Verificar que pueda ser controlado desde una plataforma sencilla, rpida y acertadamente y en caso de ser necesario que la generacin de script sea que de la misma manera. Probar performance con las funcionalidades que requiere Probar funcionalidades con todas las funciones prendidas
Es una buena practica y prueba realizar ataques falsos en tu sistema para identificar sus debilidades
52
8.8 Posicionamiento en el mercado del UTM
Figura 56.- Cuadrantes de Gartner (UTM)
8.9
Puerto Seguro
Puerto Seguro es el servicio de Uninet que proporciona la infraestructura de seguridad necesaria, sobre el permetro de la red del cliente, para disminuir en gran medida los ataques provenientes de los usuarios de la red.
Zona Perimetral Zona Perimetral
Firewall IPS Encriptacin Gateway antivirus Antispam Filtrado de contenido
Red RedInterna Interna del Cliente del Cliente
Alcance
53
El soporte que se dar al CPE (equipo de seguridad del cliente) ser nicamente para atender la instalacin y fallas al equipo, no a la configuracin. El cliente ser responsable de la administracin del equipo de seguridad instalado para puerto seguro. Solo existirn dos tipos de plantillas para la configuracin de los equipos de puerto seguro: Redes con servidores y redes sin servidores Si el cliente requiere de una configuracin especial fuera de las plantillas ya preestablecidas, se cobrar un pago por evento programado bajo las polticas y tarifas comerciales vigentes.
Contratacin: No existe un cargo de contratacin. Renta: Cargo mensual (36 mensualidades) dependiendo el paquete contratado Paquete Paquete 1 Paquete 2 Paquete 3 Paquete 4 Modelo SSG 5 SSG 140M SSG 520 SSG 550M Usuarios 50 100 250 500 RM $ 1,601.00 $ 5,660.00 $10,884.00 $17,740.00
Usuarios Numero de Parte SSG-5-SH NS-SMB2-CSSSG5-3 1 - 99 PAR-SD-SSG5 SSG-140-SH NS-SMB2-CSSSG140-3 100 - 249 PAR-SD-SSG140 SSG-520M-SH NS-SMB2-CSSSG520-3
Descripcin Secure Services Gateway 5 with RS-232 Aux backup, 256 MB memory Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG5 J-Partner SameDay Support for SSG-5 SSG 140 System, 512 MB memory, 0 PIM cards, AC power Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG140 J-Partner SameDay Support for SSG-140
SSG 520M System, 1GB DRAM, 1 AC Power Supply Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG520 250 - 499 PAR-SD-SSG520M J-Partner SameDay Support for SSG520M SSG 550M System, 1GB DRAM, 1 AC Power 500 - 999 SSG-550M-SH Supply
54
NS-SMB2-CSSSG550-3
Three year integrated security subscription for Main Office - includes Kaspersky AV, DI, WF & Sophos Anti-Spam on SSG550 PAR-SD-SSG550M J-Partner SameDay Support for SSG550M
SSG 5
SSG 5 160 Mbps FW / 40 Mbps VPN SSG 140 350+ Mbps FW / 100 Mbps VPN SSG 520M 650+ Mbps FW / 300 Mbps VPN SSG 550M 1+ Gbps FW / 500 Mbps VPN
SSG 140
SSG 520M
SSG 550M
9 IPS
El IPS no es un producto, es una funcin y una tecnologa
55
9.1 Qu es IPS?
IPS (Intrusion Prevention System), es una tecnologa de seguridad de red que monitorea la red y la actividad de los sistemas para detectar comportamientos maliciosos, indeseados o anmalos con la capacidad de reaccionar en tiempo real, para prevenirlos o bloquearlos. El IPS permite brindar ms opciones en nuestra proteccin hacia la red externa as como en la red interna. El IPS llega para resolver algunas ambigedades del monitoreo pasivo, inicialmente los IPS eran IDS (intrusin Detection System) que detectaban un tipo de ataque, generaban alguna alarma y solo algunos podan ejecutaban comandos hacia los routers o los firewalls para prevenirlos, pronto se detecto que operacionalmente no era lo mejor, actualmente los IPS pueden realizar control de acceso basado en decisiones o contenido de aplicaciones.
Figura 60.- Respuesta a un ataque entre un IDS y un IPS
Un sistema de prevencin de intrusos tiene como necesidad primordial ser muy acertado para la deteccin de ataques con la finalidad de reducir la tasa de falsos positivos.
Figura 61.- Tabla de respuesta de un IDS

Las principales tecnologias que utilizan los IPS son: Basados en firmas:
56
Compara una base de datos de firmas para identificar posibles incidentes, es efectivo con ataques conocidos pero no tan efectivo con ataques nuevos, adems de que no puede dar un seguimiento de entender varios eventos a la vez. Es importante mencionar la caracterstica de las firmas de IPS, las cuales suelen requerir cierto conocimiento avanzado para definir. F-SBID( --name "Block.WMP.Get"; --default_action drop_session; --protocol tcp; --service HTTP; --flow from_client; --pattern "Pragma: xPlayStrm=1"; ) Deteccin basada en anomalas: Compara definiciones que se consideran normales contra eventos que sean desviaciones de lo establecido, Es necesario que observen la actividad por un periodo del tiempo de la red o los dispositivos, son eficientes para detectar nuevos ataques, pero son susceptibles a generar una mayor cantidad de falsos positivos. Anlisis de estado de protocolo: Compara distintos perfiles de definiciones aceptadas de las actividades de un protocolo, la diferencia con el anterior es que este se enfoca a protocolos, mientras que el anterior se enfoca a hosts y perfiles especficos de red, es capaz de comprender el seguimiento de un protocolo, su debilidad es que, muchas veces es muy difcil ser tan acertado en la configuracin del comportamiento de un protocolo y que utiliza muchos recursos del dispositivo. Componentes tpicos de un IPS: Sensor o agente: Monitorean y analizan la actividad, sensor normalmente es usado para NIPS, mientras agentes es utilizado para HIPS. Servidor de Administracin: Dispositivo central que puede ser un appliance o bien un software, que recibe informacin de los sensores, analiza la informacin y puede relacionar eventos. Base de datos: Un repositorio de informacin de eventos de los agentes, o bien de los servers. Consola: Una interface de administracin de los equipos.
Figura 62.- Elementos de una solucin IPS
57
9.2 Por qu se requiere un IPS?

Un IPS me ayuda para buscar cubrir esos huecos, y nos ayudara en: Detener ataques activos Alertar a los administradores de posibles eventos de seguridad Cumplir con regulaciones Fortalecer las polticas de seguridad Limitar aplicaciones de IM y streaming de video Mejor entendimiento de la actividad de red (como fue un ataque) que trfico esta llegando a mi red. Mejora tiempos de respuesta en caso de ataque Aprender de las aplicaciones que utilizan los usuarios Fortalecer la confianza con los socios de negoci Es mayor el costo de un ataque, que invertir en seguridad
9.3 Tipos de IPS

Los IPSs suelen ubicarse en distintos puntos de la red, a continuacin se mencionan los tipos de IPS identificados normalmente: NIPS (Network IPS): Dispositivos que viven en la red y monitorean el trfico en segmentos particulares, generalmente se desarrollan en la frontera entre redes, tambin en las fronteras junto a firewalls y routers, cerca de los equipos concentradores de VPNs, tambin en redes inalmbricas y en los puntos de servidores que son accedidos remotamente. WIPS (Wireless IPS): Dispositivos que se desarrollan en un punto de la red wireless, como proteccin para detectar actividades sospechosas. Network Behaivour Analisys (NBA): Son utilizados para detectar flujos de trfico inusuales, como DDoS distribuidos, generalmente son utilizados internamente aunque algunas veces se desarrollan tambin hacia redes externas, tal como es el caso de Clean Pipes (a nivel de Carrier). HIPS (Host IPS): Software que se ejecuta en un host o servidor y ayuda a prevenir intrusos, monitorean la actividad de red, los logs del sistema, procesos, aplicaciones en el mismo equipo, no sirven para redes o grupos de equipos, solo para maquinas individuales. Los IPS pueden ser equipos dedicados o software, donde en caso de ser software es mas tardada su implementacin
9.4 Cualidades que debe tener el IPS

Existen ciertas necesidades que debe contar un IPS entre los puntos principales que debe cumplir son:
Es ms comn que un IPS opere internamente, principalmente en el Core que de manera externa, esto tambin provoca el considerar y buscar que el IPS cumpla con:
58
Las velocidades en el Core son mayores por lo que se requieren equipos que vayan de los 100 Mbps hasta los Gbps. Se requiere calidad de servicio para controlar la latencia para las aplicaciones crticas. Poder manejar muchos protocolos y aplicaciones. Debe permitir la customizacin de firmas, para las aplicaciones internas y muchas veces elaboradas en casa. De preferencia un puerto dedicado de HA, capacidades de clustering y failover nativo. Redundancia elctrica y en discos duros Capacidad de bypass en falla de hardware Capacidad de separar el control de los datos, Debe permitir centralizar y administrar dispositivos por grupos Debe tener roles de administradores Polticas predefinidas Permitir polticas, por usuarios, vlans, recursos. Un set comprensible de deteccin de amenazas, que incluya deteccin de firmas, deteccin de trfico anmalo, mtodos heursticas, y reduccin de falsos negativos. Poder relacionar eventos. Flujos. Y capacidad de reporteo Mecanismos de respuesta automticos, para su intervencin en tiempo real Actualizaciones de contenido, firmas que sean conocidas en tiempo real El IPS nos ayuda a ganar tiempo y es un dispositivo que requiere mucho mantenimiento y monitoreo con esto mencionamos que ganar tiempo se refiera a: Sabemos que da a da surgen nuevos ataques y realmente muchas veces no es posible parchar todos los sistemas. Sabemos que algunos vendedores no crean parches para sistemas anteriores Difcil identificar todos los equipos a proteger A veces es necesario dar de baja para parchar un equipo Contar con los recursos para parchar los sistemas
9.5 Escenarios de implementacin de IPS

Algunos IDS o IPS son implementados en redes falsas llamadas honeypots para atraer atacantes y estudiar su comportamiento
NIPS En lnea: Bajo este escenario todo el trafico que monitorea debe pasar a travs de el IPS, su principal funcin es el bloqueo, y muchas veces se instalan donde deban procesar menos trafico, o bien para reducir la carga de un equipo.
Figura 65.- NIPS en lnea/

59
NIPS Pasivo: Monitorea una copia del trafico actual, son desarrollados para que puedan monitorear en puntos especficos de la red, tales como DMZ, este tipo de escenario es menos comn, el IPS se apoya de Spanning, mirror ports, network tap o bien de balanceadores de IPS, como se muestra en el siguiente diagrama.
Figura 66.- NIPS en modo pasivo

WIPS: En este nivel el IPS no realiza revisin de paquetes en capa de aplicacin se limita hasta la capa 4, para la proteccin de redes inalmbricas, son mas acertados debidos a su corto alcance que tienen (solo protocolos de red inalmbrico), aun as no son del todo un avanzado sistema de proteccin.
Figura 67.- WIPS en la red inalmbrica
60
NBA: Cuando nos referimos a este tipo de IPS que examina el trafico de red y estadsticas, tambin nos enfocamos a una tecnologa de prevencin de intrusos, esta tecnologa en particular es similar a la utilizada en clean pipes.
Figura 68.- IPS NBA en la red
9.6 Ubicacin de IPSs

En el siguiente ejemplo se muestra la necesidad de identificar distintas aplicaciones, flujos que nos permitan realizar el mejor diseo posible. En la primera imagen se muestra como se identifican los servicios a proteger, los puntos donde podra originarse un ataque y los flujos posibles.
Figura 72.- Identificar recursos y amenazas
En la segunda imagen se muestra en funcin de identificar los puntos ms importantes donde ubicar los IPS
61
Figura 73.- Ubicar IPS
En la tercera imagen se agrega la solucin de administracin de los IPS, como se observa separada de los datos.
Figura 74.- Administracin de los IPS
62
Alta Disponibilidad y failover en IPSs:

En el caso de fail-over (falla del equipo) los equipos pueden reaccionar de distinta forma, ya sea un switch, firewall, etc. En el caso del IPS tiene 2 opciones: Fail-open: Que al momento de la falla permita pasar todo Fail-close: Que al momento de la falla bloque todo Nota: Es distinto al trmino elctrico fail-open, que es el estado cuando no pasa corriente En ese punto ha existido una discusin, pero el IPS tiene como base en caso de falla (elctrica/reinicio) permitir todo (actuar como un cable) en algn otro tipo de falla (recursos) es configurable, al contrario del firewall que bloquea todas las conexiones, por lo que como se menciono antes debe incluir hardware y software que permita esta funcin.
Figura 75.- fail-open y fail-close soportado

Al igual que los firewalls los IPS permiten arreglos activo-pasivo, activo-activo, (statefull o nonstatefull), para realizar clustering, bajo estos arreglos fortalecemos el performance y la confiabilidad. Una configuracin tpica de cluster de IPS similar a los firewalls es que operen en capa 3, cuando se trabaja de este modo se debe asegurar que los switches soporten multicast Macaddress, esto debido a que el switch enva el trafico a todos los dispositivos en cluster de HA, los IPS se comunican entre ellos mismos y va protocolo de heartbeat deciden quien manejara las sesiones, su link del cluster debe asegurarse va una comunicacin en capa 2.
9.7 Dimensionamiento de IPS

Que es importante conocer antes de poner un IPS o proponer un IPS: 1.- Cual es la arquitectura de la red (Diagrama)? 2.- Cuales son lo sistemas operativos, dispositivos de red y aplicaciones que necesitan proteccin del IPS? 3.- Existen sistemas especiales que deban integrarse, como el monitoreo de la red que pueda ser un sistemas no seguro? 4.- Existen riesgos especficos de lo que desea proteger la organizacin? 6.- Cual es el proceso especfico para manejar una violacin a la seguridad, y cuales requieren respuesta inmediata? 7.- Es necesario el monitoreo de el uso de la red por polticas de seguridad de la empresa? 8.- Cuenta con requerimientos de auditoria especficos? 9.- Necesita cumplir con algn tipo de regulacin? 10.- Es necesario cumplir con requerimientos de investigacin (relacionado con los logs)? 11.- Se debe cumplir con algunas consideraciones de encriptacin?
63
En muchos escenarios es posible tener el nmero de sesiones, lo que no llevara a retomar los clculos que se realizaron con el firewall. En algunos otros ser necesario en caso de existir un firewall existente en el punto a ubicar el IPS, ajustar el IPS el troughput que tenga el firewall.
Hp TippingPoint
Performance footnotes: Throughput de red representa el mximo nmero que puede ser alcanzado en reenvio de trfico Latencia medida en paquetes de 1518 bytes. Contextos de seguridad son el mximo nmero de sesiones manteniendo el estado de seguridad
Figura 80.- Tablas con informacin del proveedor NIPS
Mcafee
64
Sourcefire
Figura 84.- Cuadrantes de Gartner NIPS
Figura 89.- Cuadrantes de Gartner WIPS
65
10 CLEAN PIPE (TRFICO SEGURO)
10.2 Descripcin del Servicio

El servicio Clean Pipe ofrece una solucin de proteccin para la red del cliente, que garantiza que el trfico de Internet es filtrado y limpiado de ataques de DoS/DDoS, utilizando funcionalidades de seguridad avanzadas sobre los accesos contratados de Internet Directo Empresarial. La solucin permiteofrece al cliente reportes del trfico monitoreado, as como de los eventos de seguridad que lo afecten. La infraestructura para este servicio no requiere equipo para monitoreo y deteccin dentro de la red del cliente. Todo el equipo para este fin, estar ubicada en un sitio previamente definido (Triara), con el que se deber establecer conectividad. Monitoreo La deteccin de un ataque de DoS se consigue al monitorear el trfico en los enrutadores que tienen directamente conectados los clientes a los que se les ofrecer el servicio, es decir los enrutadores PE de Internet. La deteccin est basado en el protocolo Netflow, por lo cual, cada enrutador PE reporta los flujos de datos a una serie de componentes capaz de identificar uando existe una anomala en el flujo de trfico que pudiera tratarse de un ataque Mitigacin Una vez detectado el ataque e identificado por el operador, este ejecutar una accin para atraer el trfico al Nodo de Limpiado de Trfico y aplicar una serie de contramedidas elegidas por el mismo que eliminen el trfico referente al ataque para nuevamente regresar el trfico legitimo del cliente a su destino original.
10.3 Componentes del servicio

Peakflow SP Collector Platform (CP): Equipo encargado de recolectar los flujos de las interfases y equipos de la red, para esto, los flujos tuvieron que ser configurados en cada equipo que se quiere monitorear. Tambin se encarga de visualizar la informacin de ruteo en BGP, y maneja SNMP para visualizar el nombre de las interfases y las estadsticas de trfico. Peakflow SP Business Intelligence (BI) Este equipo incrementa el nmero de Objetos Administrados en la Solucin de Arbor.
Cuando slo tenemos los Collectors, estos equipos son los encargados de administrar la base de datos de Objetos (MO- Managed Objects), cuando la solucin crece, y por ende el nmero de objetos tambin, se requiere de este dispositivo para centralizar, administrar y escalar la base de datos de Objetos. Los MO son Recursos de red configurados por el usuario como: Rangos de direcciones de red o sumarizadas. Clientes o direcciones IP como tal Recursos estratgicos como DNS, Gateways de VoIP, etc. Pueden ser definidos por bloques estticos de CIDR, o expresiones dinmicas de BGP.
Peakflow SP Portal Interface (PI) Este equipo centraliza la administracin, permite manejar cuentas de usuario de los distintos clientes para su acceso a la UI (User Interface), o bien a configuraciones. Funge
66
como lder en el manejo de la informacin, la administracin y el acceso a otros dispositivos. Hace Sincronizacin de datos entre los CP y los PI. Habilita alta disponibilidad al realizar el failover del lder de respaldo. Mejora la escalabilidad y el performance.
Peakflow SP Threat Management System (TMS) Equipo de Mitigacin de capa de aplicacin (Filtrado inteligente), soporta DPI (Deep Packet Inspection). Soporta mitigar ataques DDoS y Zombies, y permite aplicar filtros de anomalas para remover hosts individuales comprometidos. Todo el trfico malicioso debe hacerse pasar por este equipo, el cual entregar a la salida trfico limpio.
Objetos a monitorear en Trfico Seguro Para el protocolo IP ICMP Paquetes IP fragmentados Paquetes IP NULL Paquetes IP con direcciones privadas Para el protocolo TCP Segmentos TCP NULL Segmentos TCP RST Segmentos SYN Trfico total
Se detectan los siguientes tipos de ataques activos informticos protegidos del cliente: ACK Flood SYN Flood Hogging CPU Chargen (Character generator) FIN Flood ToS Flood DNS Malformed HTTP Flood
DoS/DDoS sobre las interfaces, subredes y
67
ICMP Flood UDP Flood Non- UDP/TCP/ICMP Protocol Flood PPS Flood Attack Zombie attack Land Attack
Reportes El cliente recibir los siguientes reportes mensuales en PDF Reporte sobre Toptalkers externos, principales visitantes Reporte Alert Dashboard reporte de alertas y mitigaciones Reporte Geo IP Ubicacin geogrfica de visitantes Reporte Peak Flow Resumen de ataques y mitigaciones
68
11 VPNs y Encriptacin 11.1 Qu es la Criptografa?

Se define como el mtodo para almacenar y transmitir datos a modo de que solo las personas a quien est dirigido puedan leerlos y procesarlos. Trminos relacionados: Encriptacin: Acto de transformar los datos a un formato que no puedan ser ledos Algoritmo o Cifrado: Conjunto de reglas matemticas utilizadas en la encriptacin y des-encriptacin Llave: Secuencia de bits e instrucciones utilizadas en los procesos de encriptacin y des-encriptacin Criptosistema: Sistema o producto que provee encriptacin y des encriptacin
Qu servicios nos proveen los criptosistemas? Confidencialidad: Ilegible para cualquier otro que no sea el usuario autorizado Integridad: Que lo datos no hayan sido alterados de una manera no autorizada desde su creacin, transmisin y almacenamiento Autenticacin: Verifica la identidad del usuario o el sistema que creo la informacin Autorizacin: Provee una llave o password para acceder a algn recurso No repudiacin: Quien enva el mensaje no puede negar que lo envi
Algoritmos: Simtricos: El emisor y el receptor tienen la misma llave secreta y protegidapara encriptar y desencriptar la informacin. Estos algoritmos proveen confidencialidad, pero no proveen autenticacin ni repudiacin.
69
Asimtricos: El emisor y el receptor tienen 2 llaves distintas (pblica y privada), que se relaciona matemticamente, una llave para encriptar y otra para desencriptar. Proveen todos los servicios de los criptosistemas
A continuacin se muestra un resumen de algoritmos y su uso
11.2 VPNs
Que son las VPNs IPSec? Suite de protocolos que provee un mtodo para establecer un canal seguro para proteger el intercambio de informacin entre 2 dispositivos, estos dispositivos pueden ser equipos de trabajo, servidores, gateways, routers. Opera en la capa de red. Operan en modo tnel: la informacin del mensaje, los encabezados y el ruteo va protegido Operan en modo transporte: Informacin del mensaje va protegida
Encabezados IPSec:
70
Para qu son los tneles IPSec? Nos permite enlazar sitios a travs de Internet de manera segura, son comnmente implementados por PYMES que no pueden pagar enlaces dedicados y donde se puede ahorrar en las llamadas de larga distancia. Son mayormente recomendado para conexin entre redes Gateway-Gateway. Requieren de configuracin en ambos puntos
Familia FW ASA con VPNs incluidas

Caractersticas que nos da el fabricante:
Consideracin: El total de sesiones concurrentes SSL + VPN no debe sobrepasar el numero indicado en la tabla. Las sesiones de SSL no deben de sobrepasar las licencias adquiridas Que son las VPNs SSL? SSL opera en la capa de transporte, utiliza encriptacin de llave pblica (asimtrica) y provee encriptacin de los datos, autenticacin del servidor, integridad del mensaje y opcionalmente autenticacin del lado del cliente Nota: HTTPS es HTTP (capa 7) corriendo en SSL (capa 4) Cookies: Archivos de texto utilizados que se almacenan en el disco duro del usuario para fines estadsticos y promocionales. En seguridad son utilizados para evitar ataques de man in the middle y mantener viva una sesin de SSL con una marca de tiempo, la cookies con informacin sensible solo son almacenadas en memoria, no en el disco duro. Para que las VPNs SSL? Son ms recomendables para las conexiones de usuarios mviles por su fcil configuracin y escalamiento. IPsec de usuarios mviles forzosamente requieren de un cliente. A continuacin se muestra un comparativo de ambas VPNs:
71
Caractersticas que nos da el fabricante: Tomaremos el ejemplo de los equipos de SSL de Juniper que tienen 2 familias las Secure Access y los equipos MAG. Los equipos SSL estn homologados por Telmex en el producto Negocio Seguro que a continuacin se detalla: El ao pasado Juniper libero la Familia de productos MAG, donde hay productos de SSL enfocado al mercado PYMES y agregando funcionalidades de NAC para soluciones Enterprise. Este servicio est acompaado del cliente Junos Pulse para optimizar el acceso.
11.3 Posicionamiento en el mercado
Cuadrante magico de Gartner VPNs de SSL Que es Get-VPN?: Ciscos Group Encrypted Transport, es una tecnologa patentada por Cisco que provee de encriptacin a las redes MPLS/IP, a continuacin se mencionas las ventajas de GET-VPN:
72
Comnmente se utiliza la infraestructura actual por lo que no es necesario la adquisicin de ms equipamiento. Solucin distinta a los tneles tradicionales de IPSec, la cual es una tecnologa de VPNs "sin tneles", que provee de manera nativa seguridad (encriptacin) punto a punto al trafico de red, manteniendo una topologa mallada, la calidad de servicio y el ruteo original. Permite diferenciar el trfico interesante a ser encriptado, lo que permite un control mas granular. Utiliza tecnologa basada en estndares, integra enrutamiento, seguridad en la red y elimina la necesidad de configurar tneles punto-a-punto por lo que simplifica la distribucin de polticas de seguridad. Los mdulos de administracin de llaves cumplen con estndares internacionales (FIPS 140 2, Nivel 2)
Key Server Valida a los Group members
Administra polticas de seguridad Crea llaves de grupo Distribuye Polticas / Keys
Group Member
Key Server
Routing Members
Group Member
MPLS
Group Member
Group Member Dispositivos de encripcin Rutas entre regiones seguras

Group Member
Diagrama ejemplo de Get-VPN Consideraciones: La encriptacin en capa 3 agrega un encabezado (Campo de ESP (Encapsulating Security Payload) y una copia del encabezado IP original). El proceso de cifrado incrementar en un 30% promedio el consumo del trfico que se considere como interesante.
Los equipos ruteadores no cuenta con mecanismos fsicos a prueba de intrusin.
Mencionaremos el protocolo L2TP (Protocolo de encapsulamiento) para realizar una distincin de la diferencia de encapsulamiento y cifrado: En el portal Web de Telmex, se menciona claramente que L2TP no est cifrado: Seguridad.- La informacin viaja a travs del tnel L2TP, sin acceder a Internet, razn por la cual ninguna persona ajena a la VPN puede entrar por ello que la informacin no requiere de encriptacin.
73
12 FILTRADO DE CONTENIDO WEB 12.2 Que es el filtrado de contenido WEB

Es una solucin de seguridad y administracin de red que ayuda a las empresas a lograr el equilibrio entre el acceso a Internet por parte de los empleados y la implementacin de polticas de uso de Internet con la finalidad de tener mayor productividad de los empleados. La primera generacin de filtrado de contenido que apareci alrededor de lo 90s, utilizaba un tipo de filtrado que bloqueaba la pgina completa, en funcin de palabras que contena, por consecuencia bloqueaba muchas pginas que no tenan sentido. Actualmente cubren distintas funcionalidades como: Filtrado de URL: Es la administracin del acceso a los recursos URL (Uniform resource locator) o direcciones en la World Wide Web, que permite o deniega su uso en base a categoras. Control de acceso WEB: Son mecanismos de seguridad que controlan el uso de los recursos Web a los usuarios de una organizacin, como son la autenticacin, autorizacin y registro de actividades. Anti-Malware: Es la deteccin y proteccin contra la descarga de software malicioso. Administracin de ancho de banda: Tcnicas utilizadas para priorizar el trfico en la red. Antivirus: Herramienta cuyo objetivo es detectar y eliminar software malicioso. Reportes de uso y eventos: Solucin que provee a los administradores de visibilidad de la actividad Web de los usuarios
Los 3 pilares actuales del filtrado de contenido Web son: Filtrado basado en reputacin Filtrado predictivo de malware en tiempo real Filtrado basado en contenido
Figura 90.- Estructura actual del filtrado WEB

Reputacin del filtrado Web: actualmente te existen muchos laboratorios de distintas compaas clasificando y calificando las pginas Web, entre las caractersticas que revisan estn: Categorizar los datos de la URL Presencia de descargas Certificados Cambio de volumen de consultas Dueo de la pagina Historia de la pagina Edad de la pagina
74
Informacin de la IP Dominio Presencia previa de vrus, spam, phishing
12.3 Justificacin del filtrado de contenido

Porque la necesidad del filtrado Web: Empresas que desean aumentar la productividad y minimizar el tiempo perdido en Internet, esto reduce costos operativos. Evitar que los empleados realicen actividades inapropiadas en Internet que comprometan a la empresa. Limitar el acceso para el uso eficiente de ancho de banda
12.4 Que puede hacer el filtrado de contenido Web?

Entre las respuestas de porque un cliente debiera tener una solucin de filtrado Web es debido a las siguiente funcionalidades que ayudan a proteger. Spyware: Bloquear urls no autorizadas (no se encuentre en el White list) Bloquear exploits comunes Bloquear ejecutables con extensiones cambiadas Una segmentacin de paginas, permite ver una pagina pero quiz no permite ver los ejecutables Opcionalmente escanear por virus Phishing: Bloquear sitios conocidos de phishing Previene al usuario de ingresar datos de posibles sitios phishing Enviar mensajes a los usuarios del posible uso indebido Bloquear sitios con certificados invlidos Control de IM: Monitorea la sesin de logeo para cumplir con regulaciones Permite bloquear va palabras clave cualquier informacin sensible Bloquear archivos adjuntos Bloqueo por completo de los IM Control P2P: Bloquear P2P Solo permitir el puerto 443 y bloquear los dems de ms alto rango, como el skype. Botnets: Bloquea descargas de sitios malware Control de streaming: Algunos pueden bloquear o ajusta el ancho de banda, como asignar 128 Kbps para noticias, basado por hora, bloquear trailers de pelculas Cache de Proxy en descargas.
75
12.5 Escenarios de implementacin

El Web filter se puede implementar de distintas maneras: En un servidor con la base de datos (Software) Un Appliance con conexin a bases de datos interna y externas (realice consultas) Como servicio en la nube En este primer escenario se menciona un equipo Gateway con su integracin a Web filter. Opciones de implementacin: Despliegue integrado en un servidor separado que est perfectamente integrado con la plataforma Gateway de la red a fin de ofrecer un filtro de paso que maximice la estabilidad, la escalabilidad y el rendimiento.
Figura 97.- Escenario con base de datos independiente

Despliegue incorporado en un producto Gateway o aplicacin para reducir los gastos de hardware y mejorar la facilidad de uso, especialmente en ubicaciones remotas.
Figura 98.- Escenario con base de datos en el gateway

Todo el filtrado se realiza en la nube
Figura 98.- Escenario filtrado como servicio
76
Fabricantes de servicios filtrado Web en la nube Otras implementaciones: Microsoft ISA (Internet Security and Acceleration) Server Muchas organizaciones, usan o planean usar Microsoft ISA Server como el servidor proxy de conexin hacia Internet, se puede desarrollar como un plugin del ISA Server.
Figura 100.- Web filter con conexiona a ISA Server
Proxy con cliente ICAP (Internet Content Adaptation Protocol) En una red utilizando un servidor proxy ICAP, se puede implementar el filtrado de contenido utilizando el cliente ICAP. Existe un gran nmero de proxies que soportan ICAP, como ICAP es una plataforma independiente
Figura 101.- Web filter con conexiona a ICAP
77
Figura 104.- Escenarios de implementacin va WCCP

Fuera de Banda: Solamente filtrado de contenido, utilizando un puerto mirror y nicamente filtrando urls
Figura 107.- Escenarios fuera de banda va SPAN

Escalamiento con balanceadores Actualmente los balanceadores son utilizados en muchas aplicaciones y se les ha dado gran uso en el uso de seguridad para cumplir con las limitaciones actuales. Actualmente estos equipos realizan balanceo de distinto puertos como por ejemplo: http, HTTPS, SSL, POP3, DNS, TFTP, etc. y otros puertos TCP y UDP.
Figura 108.- Escenario de balanceo

Es posible escalar una solucin de IPS o de Web security gateways utilizando balanceadores como los f5 big-ip o bien los netscaler de citrix, entre otras marcas, este escenario permite balancear el trafico de entrada o salida, en un ambiente de mltiples firewalls (HALB), donde se utiliza el estado de las conexiones, incluyendo de vpn para que no se pierdan en caso de un failover.
78
Figura 109.- Balanceo en equipos a gran escala
Figura 110.- Balanceo en equipos a gran escala
79
12.6 Dimensionamiento del Filtrado de Contenido WEB

Algunas preguntas necesarias para evaluar que equipo asignar son: Como los empleados utilizan sus computadoras para uso personal (que tanto pueden utilizar el Internet, que filtros debo utilizar) Cuantos empleados necesitan utilizarlo (Cuantos usuarios) Aplican regulaciones, es necesario la recopilacin de logs o e-mails (existe alguna regulacin a cumplir, es necesario el anlisis forense) Que procedimientos existen para disciplinar la accin de documentacin (existen normas o polticas a aplicar en caso de violacin) Que tan flexible debe ser la solucin (protocolos, aplicaciones, etc.) Cuantos departamentos o locaciones (los usuarios estn en la misma oficina o en distintas) Cuando seleccionamos un equipo se deben identificar los siguientes puntos: Primero debe de coincidir el ancho de banda del enlace, con el troughput del equipo. Contar con el mximo nmero de usuarios simultneos que saldrn por este equipo Conexiones TCP activas sesiones concurrentes x usuario
Blue Coat
Figura 112.- Datos por parte del proveedor para ejemplo de dimensionamiento
Barracuda Figura 113.- Datos por parte del proveedor para ejemplo de dimensionamiento
Zscaler Figura 114.- Datos por parte del proveedor para ejemplo de dimensionamiento
80
Figura 115.- Datos por parte del proveedor para ejemplo de dimensionamiento
Figura 117.- Datos por parte del proveedor

Algunos fabricantes consideran que crece el nmero de sesiones por segundo en funcin del crecimiento de la empresa, en los clculos mas extremos consideran: 1 500 = 1 100 sesiones por segundo 500 2500 = 100 500 sesiones por segundo 2500 10000 = 500 2500 sesiones por segundo Base de datos de logs:
Recordemos que la base datos que va directamente relacionado con: La cantidad de trafico que los empleados generan La cantidad de trafico Web que se monitorea El numero de protocolos Web que se monitorean El numero de usuarios que se monitorean La base de datos ser local o remota Como sugerencia debiera contar con el doble de disco duro que el tamao de la base de datos Un ejemplo de la base de datos:
81
En algunas ocasiones solo se pueden logear las visitas, en este caso para calcular el espacio del log de la base de datos se utiliza una formula: (#de Urls) * (# de bytes) * (# de usuarios) = En un clculo aproximado: Un usuario comnmente navega unas 100 urls al da Cada registro de URL es aproximadamente de 500 bytes En una oficina de 500 usuarios = 500 MB por mes del logeo de las visitas (20 das) En otro escenario quiz se logean todos los hits en una pagina. Los hits son cada uno de los gets en una pagina Web si tiene 11 imgenes gif tendr 12 hits en total 11 por las imgenes y 1 por la pagina En la formula cambiaran por hits (#de Urls) * (# de hits) * (# de usuarios) = 100 urls visitas * 5 gets *500 bytes * usuarios= 2.5 GB
12.7 Posicionamiento en el mercado
Se tiene contemplado que el mercado de seguridad de Web crezca notablemente durante los prximos 4 aos, al igual debido a la evolucin de la Web 2.o o sus futuras versiones.
Figura 124.- Estimado IDC crecimiento Web Security
82
13 FILTRADO DE CORREO ELECTRNICO

El correo es sin duda la principal forma de comunicacin en los negocios
Qu es el filtrado de correo? Solucin de Seguridad que brinda proteccin al correo electrnico de una empresa con la finalidad de obtener una mayor disponibilidad y confiabilidad del servicio, as como tambin minimizar los riesgos de las organizaciones de sufrir afectaciones por software maliciosos distribuido por este medio.
Flujo del correo electronico entrante Qu soluciones provee? Antispam: Aplicacin o herramienta informtica que se encarga de detectar y eliminar el Spam (todo aquel correo electrnico que contiene publicidad o es malicioso y que no ha sido solicitado por el propietario de la cuenta de e-mail). Antivirus: Herramienta cuyo objetivo es detectar y eliminar software malicioso. Prevencin de fuga de informacin (DLP): Consiste en un conjunto de tecnologas dirigidas a detener la prdida de informacin sensitiva que ocurre en las empresas. Se enfoca en la ubicacin, clasificacin y monitoreo de informacin en reposo, en uso y en movimiento. Encriptacin: Proceso para volver ilegible la informacin considera confidencial y donde dicha informacin una vez encriptada slo puede leerse aplicndole una llave. Reportes: Solucin que provee a los administradores de visibilidad de la actividad en el correo y amenazas.
83
Soluciones concentradas en un nico dispositivo En las soluciones de filtrado de correo los proveedores no nos dan mucha informacin, simplemente se limitan a enlistar las funcionalidades y ajustar los equipos por tamao de empresa.
84
13.2 Lderes en el mercado
14 SEGURIDAD EN VOZ IP
Qu es? Controles de seguridad que pueden ser aplicados para mantener la confidencialidad, integridad y disponibilidad de las tecnologas de voz que permiten realizar llamadas sobre redes de cmputo y que utilizan el protocolo IP. De qu nos protege? Ataques dirigidos a la infraestructura Ataques a las aplicaciones Intercepcin de llamada Ataques de negacin de servicio Secuestro de sesin o impersonar Pharming (DNS) Fraude de llamadas Spoofing del id de llamada Ataques a los protocolos Gusanos Ataques de dia cero
Familias de soluciones: Podemos clasificar las soluciones en la siguiente tabla:
85
Mapa de tipo de soluciones para VoIP existentes en el mercado
A continuacin se presenta una tabla con una ponderacin de funcionalidades a nivel de hojas de especificaciones, sin realizar pruebas de laboratorio y a manera de destacar la diversidad de opciones que existen para proveer de seguridad a la voz IP:
15 REGULACIONES
PCI DSS: Las Normas de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y para facilitar la adopcin de medidas de seguridad consistentes a nivel mundial. Las PCI DSS proporcionan una referencia de requisitos tcnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en los procesos de las tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirentes, entidades emisoras y proveedores de servicios, as como tambin todas las dems entidades que almacenan, procesan o transmiten datos de titulares de tarjetas.
86
Mientras que existen casi 478 organizaciones participantes en Norteamrica, 93 en Europa Occidental, 33 en Asia Pacfico y 17 en Europa Oriental, el Medio Oriente y frica, Latinoamrica termina en ltimo lugar con 11 instituciones (1 en Mexico). Esto significa que [empresas como] Visa y MasterCard no estn prestando mucha atencin a CALA en trminos de aplicacin. Si empiezas a ver algunas multas y aplicaciones, la gente empezar a prestar ms atencin. Pero eso no ha ocurrido".
Ley Federal de proteccin de datos personales en posesin de particulares LFPDPPP Es una legislacin que protege la informacin personal que pueda encontrarse en las bases de datos de cualquier persona fsica, o empresa como, aseguradoras, bancos, tiendas departamentales, telefnicas, hospitales, laboratorios, universidades. La Ley regula la forma y condiciones en que las empresas deben utilizar tus datos personales
Clasificacion de datos Artculo 61. El responsable determinar las medidas de seguridad aplicables a los datos personales que trate, tomando en cuenta los siguientes factores: I. La naturaleza de los datos personales, II. El riesgo inherente por tipo de dato personal, III. La sensibilidad de los datos personales tratados IV. El nmero de titulares V. El desarrollo tecnolgico VI. Las posibles consecuencias de una vulneracin para los titulares VII. Las vulnerabilidades previas ocurridas en los sistemas de tratamiento
87
VIII. El valor que podran tener los datos para un tercero no autorizado, y IX. Dems factores que puedan incidir en el nivel de riesgo. Para tales efectos el Instituto emitir recomendaciones para identificar las medidas de seguridad adecuadas, con base en las fracciones anteriores.
CNBV: A travs de las DISPOSICIONES DE CARACTER GENERAL APLICABLES A LAS INSTITUCIONES DE CREDITO La CNBV menciona: Que resulta oportuno compilar en un solo instrumento jurdico las disposiciones aplicables a las Instituciones de Crdito expedidas por esta Comisin, sistematizando su integracin y homologando la terminologa utilizada, a fin de brindar con ello certeza jurdica en cuanto al marco normativo al que las mencionadas entidades financieras debern sujetarse en el desarrollo de sus operaciones, lo que tambin habr de facilitar la consulta, cumplimiento y observancia de las disposiciones que les resultan ser aplicables
Extracto del documento de la CNBV Este documento es un documento vivo, conforme la tecnologa avanza esta documentacin debe ser actualizado para reflejar esos cambios
88

Documentación Diseño en Seguridad en Redes Ver 2.1

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Documentación Diseño en Seguridad en Redes Ver 2.1

Caricato da

Copyright:

Formati disponibili

Consorcio Red Uno, S.A. de C.V.

Diseo de Seguridad en Redes

INNOVACIN DE SOLUCIONES Consultora y Diseo de Soluciones

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Fecha 14 / Agosto / 2009 9/Septiembre/2009 03/Diciembre/2010 30/Agosto/2011

Versin 1.0 1.1 1.15 2

Autor SXT y VMOM SXT y VMOM SXT y VMOM SXT y VMOM

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Figura 3. Sofisticacin de los ataques de red

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Figura 6.- Sistemas con ms vulnerabilidades

Figura 7.- Tendencias actuales

Cybercrime (Botnets as a Service)

Fuente: Reporte amenazas de McAfee 2011

La Seguridad es un proceso de administracin de riesgos

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

5.1 Riesgos, Amenazas y Vulnerabilidades.

Conceptualmente se puede decir que:

Riesgo = Amenazas + Vulnerabilidades

Figura 2. Amenazas y Vulnerabilidades

Relacin entre los conceptos:

5.2 Anlisis de riesgos

Figura.- Tabla anlisis de riesgo cualitativo

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

5.3 Principios Fundamentales de la Seguridad

Integridad Disponibilidad Confidencialidad

Figura 8.-Principios de la seguridad

5.4 Marcos de Referencia o modelos de la Seguridad

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Figura 9.- Ataque TCP SYN Flood

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Figura 10.- Ataque de negacin de servicio

Figura 11.- Ataque Smurf

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Figura 12.- Ataque Man in the middle

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

5.6 Controles de Seguridad

Administrativos Tcnicos Fsicos

Figura 13.- Controles de Seguridad

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM

Figura 30.- Modelo de seguridad por ncleos o capas de envoltura

*PTS- Plan Tctico de Seguridad

Figura 14.- Diseo de Seguridad por capas

5.7 Mejores Prcticas de Seguridad Empresarial en General

5.8 Framework de Seguridad Telmex

Innovacin de Soluciones Confidencial

Elaborado por: SXT, VMOM