Armado de una red segura.

Ejercicio planteado:

Tenemos una red, conectada a dos routers, cada uno conectado a un ISP distinto a travs de un switch de capa 3. Del mismo hay 5 switches mas, tambin de capa 3, de los cuales de cada uno, estn tomados todos los puertos con PCs (16). No hay implementado ningn dispositivo de seguridad, ni ningn servicio, desarrollar la idea de que poner y que agregar (sin limites), respetando nicamente la topologa seleccionada. TIP: una red segura, no es solamente poner un firewall, sino tambin pensar en cada host.......
Consideraciones: Armar una red segura es bastante simple. De todas formas la seguridad 100 % no existe, ni en la Nasa. El primer paso es convencer a los directivos de la empresa, que el bien mas preciado que tienen es la INFORMACION, ni los dispositivos, ni los productos terminados, nada es mas valioso. Hoy en dia, por supuesto. Hacer un anlisis sensato, considerando seriamente el ROI, y determinando los dispositivos necesarios, con opcin escalabilidad a 5 aos (mas o menos el ciclo de vida de cualquier producto informatico), sin sobredimensionar nada y utilizando todas las funcionalidades de lo que se tiene o se adquiere. En este caso, ya se tiene, pero hay que agregar. Sin inversin, y educacin de los usuarios finales (directivos), no hay red segura posible. Si no se vence este escollo, yo no arriesgo mi prestigio profesional haciendo macanas porque no que no quieran invertir. Logrado esto, que hara con esta red, en primera instancia. Condiciones bsicas: a) Cableado estructurado, certificado. b) Instalacion elctrica centralizada, dividida por sectores, normalizada (Iram , Iso, o Iec 60364), si se dispone de trifsica, selector de fase automatico. c) Sistema SAI UPS (APC en lo posible), una para cada segmento o sector, dimensionadas segn la carga, y conectadas a la red para monitorizarlas (hoy la mayora, tienen interfaz ethernet y un browser embebido, o sea son un host mas. Monitorizacion central con pe: Power Chute de APC. (Tiene algunas vulnerabilidades menores).

Con redundancia para rea de servidores, o cuando menos bateras adicionales para darles mas autonoma. Fuentes de buena calidad en cada pc. d) El rea donde se alojan los servidores, los racks con equipos de comunicacin y las UPSs, deben contar con detectores y alarmas de temperatura, humedad, e incendio como mnimo. Y un buen sistema redundante de aire acondicionado. e) Los servidores deben tener fuentes homologadas y redundantes, y las estaciones criticas tambin (cuando menos homologadas) y de potencia adecuada al consumo.

Comentarios sobre la topologa del ejercicio: a) Nunca vi dos ISP conectados a 2 routers y estos a un Sw. Supongo que puede funcionar, pero no es lo que yo hago. Y si esta hecho, lo cambio. Mi caso: tengo 3 ISP (2 servicios asimtricos, y uno simtrico, con un total de 8 ip pblicas), Conectadas a un router corporativo (Draytek) con 4 bocas Wan y 4 Lan. (Voip adems). Con lo cual me sobra para 2 ISP. Este router tiene Firewall, Nat, Pat, Vpn, ACL, balance de carga, funciones de monitoreo, bloqueo de ip, bloqueo por keywords, etc. Siempre tiene el firmware actualizado a la ltima versin, y un respaldo de la configuracin, y adems tengo un equipo idntico, para conectar en caso de falla del principal, simplemente enchufando y subiendo la configuracin. En el primer switch (SW1) no encuentro problemas, pero en los otros 5, veo lo siguiente: por lo que se puede desprender del caso (estn tomados todos los puertos con PCs (16)) se trata de switches de 16 bocas y todas las bocas estn ocupadas con PCs. Y el cascadeo a sw1? Es decir, esto nos deja 5 SW con 15 PCs conectadas y una boca que hace el link con el SW1. Un ejemplo, suponiendo que tengo 6 switches de este tipo (capa 3, uno de 10/100 donde conecto todas la impresoras de red), y 4 Gigabit, de 24 bocas cada uno y 2 bocas adicionales para fibra). De hecho la red en cuestin, son 120 nodos, distribuidos en dos plantas de 500 mts 2 cada una, que estn enlazadas por fibra ptica. Yo incluso me animo a decir, que en esta topologa planteada, no todas son PCs, debiera haber una o dos impresoras de red laser de formato alto y medio. Ademas de las posibles pequeas impresoras conectadas a cada pc. Prefiero mil veces impresoras de red Laser de gran y medio porte, alguna laser color (para diseo, marketing), y muy pocas locales de bajo rinde, multifunciones que para lo nico que sirven es para usar el scaner. Alguna de estas impresoras de gran porte, son adems fotocopiadoras. Y algunos de esos hosts, son print

servers, lectores activos de RFID, Access point, cmaras IP, DVR, etc. Ademas del sistema de Voip, que no afecta al resto de la red (estructurada) y en este caso es irrelevante. Incluso algunas pueden se Wi-fi, como tengo en los locales de venta al pblico, para poder cumplir con una disposicin de la Afip. Ahora bien, hechas estas salvedades, y tomando la topologa propuesta, y tomando en cuenta la libertad de poder agregar y poner , digamos cambiar, hara lo siguiente: Seguridad. a) Puedo poner un firewall antes de cada router, sin embargo prefiero un solo router corporativo con 4 wan y 4 lan, donde conecto los dos ISP. Ejemplo: Draytek Vigor 3300V: http://www.draytek.com/index.php?option=com_k2&view=item&id=4037&Itemid=14 50&lang=es#applications Prefiero incluir el link, y hacer un resumen de capacidades: Ver worksheett en Anexo I, funciones del router/firewall/ACL/NAT/PAT/

b) Sistema de gestin de seguridad informtica SGSI. Hay numerosas versiones en el mercado, e incluso a falta en un sw integrado se puede llegar a armar con distintos sws, como Snort, WireShark, GLPI, etc. El GLPI es gratuito y muy recomendable(uno de los pocos) a la hora de mantener actualizado un inventario de nuestra red, no solo de HW, sino de SW instalado, y sus actualizaciones (imprescindible mantener actualizados los SO y Apps en todos los nodos). Requiere una terminal de administracin con Apache, php, y mysql instalado. Yo uso una herramienta de Panda, el Cloud Fussion, que integra gestin de inventarios de hw y sw, actualizacin centralizada, monitorizacin, deteccin de intrusos, IPS, IDS, antivirus, antimalware, con tecnologas heursticas (proteccin indispensable contra amenazas del tipo zero-day), proteccin integral de dispositivos mviles (incluye geolocalizacin, y borrado y/o bloqueo remoto en caso necesario), etc. Ver Anexo II. Tambien provee proteccin de seguridad (firewall, virus, malwre, deteccin de intrusos, etc) para cada estacin, con repositorio y cuarentena centralizadas. Este tipo de sw permite la monitorizacin desde cualquier punto, ya que la consola esta en la nube. Con otros tipos, tambin se puede, pues entramos en forma remota a nuestra terminal de aministracion, y bsicamente cumplimos la funcin. Obviamente hay muchas soluciones de distintos fabricantes, y algunas gratuitas, como la mencionada antes. Aunque en general no recomiendo (y no uso) utilizar protecciones

gratuitas, no porque sean malas, pero al utilizar una porcin limitada de las bases de datos de identificadores de amenazas, no son muy de fiar, a mi criterio. Esto en el mbito corporativo, para un hogar, hay varias cosas gratuitas y recomendables. Pero no es el caso. Prefiero herramientas basadas en tecnologas de Nube y de inteligencia colectiva. c) Si bien no esta especificado, supongo que algunas de las llamadas PCs, son servidores. En este caso implementara primero lo descrito en a y b de este apartado, y punto d (Condiciones bsicas). Incluso implementara una Jarra de Miel, con el fin de engaar o distraer a los posibles atacantes. d) En algn punto, deberan de ubicarse las terminales de administracin, desde donde se monitoriza y controla el funcionamiento de la instalacin. En este caso y sobre todo si hay desarrollo y testing de apps, implementara un Cajn de arena (Sandbox), aislndolo del resto, no fsicamente, pero si con limitaciones de acceso (tipo ACLs) y su propia seguridad perimetral. Para estos casos, prefiero la utilizacin de Virtual Machines, cuidando y protegiendo la instalacin del SO del host. e) Back up: back up diario. Dependiendo del volumen de datos a respaldar(bases de datos de apps, erp, etc) utilizar un medio de soporte (DVD, cintas, HD portables, HD Flash, etc) sacando la copia diaria de la empresa. Si es posible sacar dos copias. Mnimo, un soporte por da de la semana, luego pueden reutilizarse. Aunque lo recomendable es tenerlos durante un mes. Pero no solo esto hay que respaldar, tambin configuraciones, imgenes de servidores, bases de datos de correos; esto se puede implementar haciendo durante la noche una copia en un NAS (de 1 tb o mas); y al dia siguiente se levanta y sincroniza esa copia en la nube. Hay servicios pagos muy buenos, adems de Google. Hoy el google drive, y la sicronizacion de archivos, carpetas, etc, me soluciona el problema de los respaldos de datos de las estaciones criticas; antes lo hacia el usuario en dvd o pen drive. Pero hay que supervisarlo, respaldo hay que tener. f) Mirror y/o clustering de servidores. Lo mmimo que tengo es un mirror de los discos o volmenes. Prefiero el cluster, pero reconozco que es costoso. g) Tambin es buena prctica la virtualizacin de servidores, por la facilidad de migracin, escalabilidad y seguridad. Y por que no, servidores virtuales en la nube, como por ejemplo el de Gigas,(www.gigas.com).

Anexo I : Funciones bsicas de un router corporativo. 1. Multi WAN

Basada en polticas de salida / balanceo de carga o Permite a su red local acceder a Internet usando mltiples conexiones a Internet con alto nivel de conectividad disponible o 4 puertos Ethernet WAN dedicados (10/100Mb/s) o WAN failover o conectividad de balanceo de carga o Redundancia o Por clientes PC o Por capacidad de trfico de interfaz WAN o Por rango de direcciones IP de destino o Por conexiones VPN fijas o Por paquetes VoIP fijos o Mecansmo de deteccin robusto o Sobrenombre IP o Auto deteccin de estatus de lnea Ancho de banda por demanda

2. Protocolo WAN

Ethernet : PPPoE, PPTP, cliente DHCP, IP esttico, L2TP, BPA RDSI : DSS1 (Euro RDSI), PPP, ML-PPP(64/128Kbps)

3.VPN

Protocolos : PPTP, IPSec, L2TP, L2TP sobre IPSec Hasta 200 sesiones simultneas VPN Trunking PFS (Grupo DH) Previene ataques de Replay (reinyeccin) VPN throughput NAT-traversal (NAT-T) Certificado PKI Autenticacin IKE Autenticacin Encriptacin Cliente RADIUS DHCP sobre IPSec Deteccin de Punto Muerto (DPD) Software de utilidad Smart VPN Fcil de adoptar

Interoperabilidad Industrialmente estndar

4. Firewall

Stateful Packet Inspection (SPI) Multi-NAT Redireccionamiento de puerto Apertura de puertos Host DMZ Filtro de paquetes IP basado en polticas Prevencin DoS/DDoS Direcciones IP anti-spoofing Firewall basado en objeto Notificacin Vinculacin IP a direcciones MAC Seguridad WDS

5. Filtro de Contenido

Bloqueo de palabras clave URL Filtro de contenido Web Control de programacin del tiempo

6. Administracin del ancho de banda

Catalogacin de trfico Reservacin de ancho de banda DiffServ clasificacin de punto de cdigo 4 niveles de prioridad (de entrada/de salida) Ancho de banda de IP Individual / lmite de sesin Prestacin de ancho de banda Reglas basadas en clases definidas por el usuario

7. Administracin del sistema

Interface del Usuario Web (HTTP) Asistente de Inicio Rpido de Draytek Administracin del usuario CLI (Interfaz de Lnea de Comando, Telnet/SSH) DHCP cliente/relay/servidor DNS dinmico Administracin del control de acceso Configuracin Respaldo/Restauracin Funcin de Diagnstico Incorporada Cliente NTP, programacin de llamada Tag-based VLAN (802.1Q) Firmware actualizable va TFTP/HTTP Mantenimiento remoto

Inicio de sesin va Syslog Manejo de SNMP o SNMP v2 o MIB II

8. Funciones de Enrutamiento

Router Enrutamiento avanzado y reenvo DNS DHCP NTP Enrutamiento basado en polticas Enrutamiento dinmico Enrutamiento esttico

9. Trabajando con administracin central VigorCSM

Configuracin bsica Monitoreo del rendimiento Topologa Seguridad Log Alarma Polling o consulta constante Configuracin del VPN/firewall Configuracin VoIP Alarma para VPN/firewall
Dispositivo de muy bajo costo y muy eficiente. Hay routers mas eficientes, y mas costosos como los de Cisco.

Anexo II Panda Cloud Fussion.

Principales caractersticas.
Solucin basada ntegramente en la nube

Protege, gestiona y ofrece soporte a todos los dispositivos, en cualquier momento y desde cualquier lugar incluyendo oficinas remotas y ordenadores porttiles. Sin necesidad de infraestructura adicional en las oficinas del cliente. Administracin simple y centralizada mediante un simple navegador web. Uso optimizado de los recursos. Agente muy ligero, distribucin de software y actualizaciones automticas desde el dispositivo ms cercano para minimizar el consumo de ancho de banda. Servicio seguro con certificacin ISO 27001, SAS 70, PCI DSS y FISMA.

Seguridad y proteccin contra el malware

Proteccin completa contra el malware para PCs Windows, Linux y Mac OSX, incluyendo servidores y porttiles. Acceso a Inteligencia Colectiva para una mxima proteccin en tiempo real. Tecnologas heursticas y antiexploit contra amenazas que aprovechan vulnerabilidades desconocidas (zero-day). Firewall personal o gestionado. Soporte antivirus y antispam para Microsoft Exchange 2007, 2010 y 2013. Control centralizado de dispositivos externos (almacenamiento USB, DVD/CD, mdems, Bluetooth etc.). Gestin centralizada de la cuarentena. Filtrado y monitorizacin de la navegacin web por categoras. Borrado remoto y proteccin con contrasea para evitar el robo de datos en telfonos mviles y tablets extraviados. Herramientas avanzadas de desinfeccin de rootkits.

Inventario y monitorizacin en tiempo real de dispositivos

Visibilidad y control de todos los dispositivos incluyendo telfonos mviles y tablets. Control y monitorizacin de la CPU, memoria, disco, servicios, software etc. Graficas de rendimiento. Alertas en panel. Control de cambios en el software y hardware instalado. Gestin de licencias.

Despliegue de software y actualizaciones (Patch management)

Deteccin de los dispositivos sin actualizar en la red y parcheo centralizado y automtico de los sistemas operativos. Instalacin centralizada de software.

Soporte remoto y automtico

Acceso no disruptivo: registro de eventos remoto, lnea de comandos, gestor de tareas, transferencia de ficheros, editor del registro. Acceso al escritorio remoto: acceso compartido o control total. Sistema de mensajera para comunicacin directa del usuario con el departamento de IT. Sistema de Tickets para organizar y clasificar incidencias y documentacin de procedimientos tcnicos comunes para su resolucin. Creacin de scripts para la resolucin automtica de problemas. Creacin de tareas rpidas. Acceso libre a la COMStore para la descarga de nuevos componentes.

http://www.pandasecurity.com/spain/enterprise/solutions/cloud-fusion/