18/02/2016

Seguridad en Redes y
Comunicaciones

Dydier J. Rojas Guerrero

MsC. Auditora y Seguridad Informtica, Postgrados en Proyectos
Cisco, ITIL, OPST.

AGENDA
Da 1

1 Introduccin
2 Diseo de Redes
3 Soporte y Mantenimiento
4 Fundamentos de Seguridad

Nombre
Dydier Facilitador
J. Rojas Guerrero

Introduccin
Crecimiento de Redes y Aplicaciones

Nombre
Dydier Facilitador
J. Rojas Guerrero

1
 18/02/2016

Introduccin
Crecimiento de Redes y Aplicaciones

Nombre
Dydier Facilitador
J. Rojas Guerrero

Introduccin
Aplicar a todo tipo de Redes

Nombre
Dydier Facilitador
J. Rojas Guerrero

Introduccin
Aplicar a todo tipo de Redes

Nombre
Dydier Facilitador
J. Rojas Guerrero

2
 18/02/2016

Introduccin
Aplicar a todo tipo de Redes

Nombre
Dydier Facilitador
J. Rojas Guerrero

Introduccin - SONA
Arquitectura de Red Orientada a los Servicios, beneficios: Funcionalidad, Escalabilidad,
Disponibilidad, Performance, Administracin, eficiencia.

Nombre
Dydier Facilitador
J. Rojas Guerrero

Introduccin - SDN
Software Defined Network, sustituye el nivel de control del hardware de red por una
capa de software abstrada mediante tcnicas de virtualizacin, tratando de hacer la
red ms programable. Esto se concreta en distintas aproximaciones, como son:
proporcionar un acceso al hardware basado en programacin mediante protocolos
como OpenFlow; arquitecturas construidas sobre un nivel de control basado en
software; y crear redes virtuales por encima del hardware que dirijan el trfico a travs
de redes fsicas

Nombre
Dydier Facilitador
J. Rojas Guerrero

3
 18/02/2016

Diseo de Redes
Tener un buen marco metodolgico, una compaa/empresa puede evitar futuras
cadas e interrupciones en el negocio muy costosas. Budget 80% 20%

Evaluar la Estrategia del negocio

Conseguir la excelencia operacional (visualizar el proyecto basado en un
mediante la mejora continua caso de negocios)

Evaluar la preparacin para

Mantener la salud/operativa la red, apoyar la solucin planteada
da a da

Implementar la nueva tecnologa Crear un diseo detallado para hacer

de la red sin interrumpir frente a los requisitos tcnicos y de negocio

Nombre
Dydier Facilitador
J. Rojas Guerrero

Beneficios
Disminucin de los costos
Operacin, eficiencia del personal, agilizar la
implementacin
Incrementar la disponibilidad de la red
Evala la capacidad, escenarios de prueba/validacin,
monitoreo proactivo, seguridad.
Optimizar agilidad del negocio
Establecer los requisitos de negocio y estrategia de
tecnologa, sitios listos para apoyo al negocio, mejora
continua
Rpido acceso a las aplicaciones
Mejor de prestacin de servicios, incrementa la
disponibilidad, estabilidad de las APP

Nombre
Dydier Facilitador
J. Rojas Guerrero

Diseo de Redes

Tres pasos de diseo

Identificar los requerimientos del cliente
Identificar los sitios de la red existente
Disear una topologa y plantear una
solucin integral de la red

Nombre
Dydier Facilitador
J. Rojas Guerrero

4
 18/02/2016

Identificar requerimientos del cliente

E-mail, BD, Web,

Seguridad, QoS, VoIP, etc.
Definir. Criticidad
Incrementar competitividad,
reducir costos, soporte usuario,
Agregar nuevos Serv. usuario Disponibilidad, administracin,
Presupuesto, poltica, cronograma. seguridad, escalabilidad, etc.
Definir. Datos Recopilados. Definir. Escala

Siempre ALINEADOS a los requerimientos del NEGOCIO

Nombre
Dydier Facilitador
J. Rojas Guerrero

Identificar los sitios de la red existente

Nombre
Dydier Facilitador
J. Rojas Guerrero

Identificar los sitios de la red existente

Nombre
Dydier Facilitador
J. Rojas Guerrero

5
 18/02/2016

Identificar los sitios de la red existente

Nombre
Dydier Facilitador
J. Rojas Guerrero

Identificar los sitios de la red existente

Nombre
Dydier Facilitador
J. Rojas Guerrero

Disear una topologa y plantear una

solucin integral de la red
1. Jerarqua Top-DOWN
2. Crear una tabla de Diseo
3. Disear el alcance del diseo de la red
4. Realizar un diseo Estructurado
5. Usar herramientas de diseo
6. Plan de Implementacin
7. Realizar un prototipo
8. Elaborar un documento de Diseo
Nombre
Dydier Facilitador
J. Rojas Guerrero

6
 18/02/2016

Diseo Top-Down

Nombre
Dydier Facilitador
J. Rojas Guerrero

Creacin de una tabla de diseo

Nombre
Dydier Facilitador
J. Rojas Guerrero

Disear el alcance de la red

Nombre
Dydier Facilitador
J. Rojas Guerrero

7
 18/02/2016

Principio Estructurados de Diseo

Nombre
Dydier Facilitador
J. Rojas Guerrero

Herramientas de Diseo

Nombre
Dydier Facilitador
J. Rojas Guerrero

Disear una topologa y plantear una

solucin integral de la red

Nombre
Dydier Facilitador
J. Rojas Guerrero

8
 18/02/2016

Detalle Documento de Diseo

Nombre
Dydier Facilitador
J. Rojas Guerrero

Detalle de equipos

Nombre
Dydier Facilitador
J. Rojas Guerrero

BOM Bill Of Materials

Nombre
Dydier Facilitador
J. Rojas Guerrero

9
 18/02/2016

Modelo Jerrquico

Nombre
Dydier Facilitador
J. Rojas Guerrero

Modelo Empresarial

Nombre
Dydier Facilitador
J. Rojas Guerrero

CAMPUS

Nombre
Dydier Facilitador
J. Rojas Guerrero

10
 18/02/2016

ARQUITECTURA

Nombre
Dydier Facilitador
J. Rojas Guerrero

Monitoreo

Nombre
Dydier Facilitador
J. Rojas Guerrero

Monitoreo
Definir: Tipo de alarmas, criticidad, a quines se informa, relacin con otras reas

Nombre
Dydier Facilitador
J. Rojas Guerrero

11
 18/02/2016

Soporte y Mantenimiento
Definir Contratos de Servicio con (BUENOS)
proveedores/fabricantes
Considerar la criticidad de los equipos, para el tipo de soporte
7x24x4
8x5x4
8x5xNBD
Definir SLA
Tiempo de Respuesta en sitio
Disponibilidad de servicio Ej. 99,6% mes.
Mantenimientos
Preventivos (periodicidad)
Correctivos (tiempos de respuesta)
Seguimiento/Auditoras.
Nombre
Dydier Facilitador
J. Rojas Guerrero

FUNDAMENTOS DE SEGURIDAD

Nombre
Dydier Facilitador
J. Rojas Guerrero

Seguridad en la Red

Nombre
Dydier Facilitador
J. Rojas Guerrero

12
 18/02/2016

Seguridad en la red y dependencias

Switch Virtual
Visibilidad en DataCenter
Calidad de Servicio
Span Port Control de Acceso
VLAN Virtuales Servidor que gestiona el acceso a la
Monitoreo de Interfaces red
Clasificacin del trfico
NetFlow
VLAN AccessList
DHCP Snooping
Cisco TrustSec
NG-FirewallFirewall en Cluster
Ataques desde la red interna
2do Firewall para acceso externo SW-DC
IDS
Inspeccin de Paquetes Maliciosos
HostIDS intenta detectar
modificaciones
Network IDS, detecta ataques en
segmentos de red VLAN Servidores

Luego hace un informe,

conclusiones NGIPS
VLAN Guess
IDS Firewall NG-IPS (prevencin en base a firmas/
DataCenter polticas/anomalas/honey pot)
VACL Deteccin de Malware
Proteccin Proactiva
Firewall Proteccin Reactiva
SW o HW comprueba la Switch Core Anlisis forense de seguridad
informacin procedente de Anlisis de Host infectado
IDS
Internet o de una red y bloquea Ataques de DoS
o permite el paso de sta al Proteccin Interna y Externa
equipo NGIPS VLAN Corporativa Origen del ataque
IDS

Firewall
RT- Zona Desmilitarizada
Frontera Las conexiones desde la red
ACL interna y la externa a la DMZ
Lista Control de Acceso estn permitidas, mientras que
DMZ (Servicios Externos)
Aplicar polticas de seguridad las conexiones desde la DMZ
Internet que permite o niega el acceso slo se permitan a la red externa
de cierta parte de la red a otra Pginas Web, FTP...

Nombre
Dydier Facilitador
J. Rojas Guerrero

Red Segura Ataque

10Gb de trfico detectado entre
BBDD y Aplicacin .NET
Visibilidad en DataCenter

SW_DC

Ataque a la VLAN de Servidores a puerto

80 de MailServer desde VLAN Corporativa
VLAN Servidores

NGIPS Ataque Botnet entre servidores

VLAN Guess Firewall

DataCenter
VACL Ataque de DoS a la VLAN de Servidores

Trfico Anormal al puerto 25 de Mail

Server
Switch Core
Malware detectado en host X
NGIPS

Firewall VLAN Corporativa

Router de
Internet

Internet

Nombre
Dydier Facilitador
J. Rojas Guerrero

Seguridad Red Empresarial

Servidores
- Online
- Enrutamiento EIGRP Internet - ADSL
- ACLs - VPN SSL
- ACLs anti-spoofing Acceso Remoto
- Inspeccin de protocolos
- Acceso controlado
Internet
- VPN SSL acceso remoto

- HSRP
- Enrutamiento EIGRP
- ACLs
- VACLs - H323
- VLANs - MGCP
- Spanning-Tree - QoS Voz - E1 de Voz
- VSS - MGCP Provider - Salida GSM
- CAC (Call Admision Control )
- SCCP

- VLANs
- AAA
- 802.1X
- Port-Security - Enrutamiento (EIGRP, OSFP)
- DHCP Snooping - Autenticacin (EIGRP, OSFP)
- DAI (ARP Inspection) - Enrutamiento Esttico - E1 de datos
- Spanning-Tree - VPNs GRE-IPSec - VPN Satelitales
WAN
- Radio Enlaces
- VPN MPLS

Nombre
Dydier Facilitador
J. Rojas Guerrero

13
 18/02/2016

CORE
Alta Disponibilidad
- Configuracin de VSS (virtualizacin de switch)
- Redundancia de dispositivo y conexiones.
- Sitio de contingencia.

Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.

Plano de Control
VSS - Uso de NTP para sincronizacin de tiempo.
- Uso de autenticacin MD5 para HSRP.
- Uso de autenticacin MD5 para EIGRP.
- Des habilitacin de VLAN por defecto.
- Des habilitacin de DTP en puertos troncales.
- Protocolo VTP en modo transparente.
- Uso de protocolo Rapid Per-VLAN Spanning Tree.
- Asignacin de root bridge de forma manual para topologa spanning tree.
- Configuracin de BPDU Guard.

Plano de Datos
- Des habilitacin de puertos no utilizados.
- Uso de storm control en interfaces troncales.
- VLAN nativa en interfaces troncales asignada a VLAN no usada.

Nombre
Dydier Facilitador
J. Rojas Guerrero

Enterprise Campus
Alta Disponibilidad
- Switches 3750 en stack (tecnologa de virtualizacin) para redundancia.
- Redundancia de conexin hacia la red CORE y entre switches de acceso.
- Sitio de contingencia para recuperacin de desastres.

Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.

Plano de Control
- Uso de NTP para sincronizacin de tiempo.
- Uso de autenticacin MD5 para el protocolo HSRP.
- Des habilitacin de VLAN por defecto.
- Des habilitacin de DTP en puertos troncales.
- Protocolo VTP en modo transparente.
- Uso de protocolo Rapid Per-VLAN Spanning Tree.
- Configuracin de BPDU Guard para interfaces de acceso.

Plano de Datos
- Des habilitacin de puertos no utilizados.
- Storm control en interfaces troncales.
- Asignacin de VLAN nativa en interfaces troncales a una VLAN no usada.
- DHCP Snooping.
- DAI (Dynamic ARP Inspection).
- Autenticacin 802.1X.
- Autorizacin por perfil de usuario.
- Port-Security.

Nombre
Dydier Facilitador
J. Rojas Guerrero

Internet
Alta Disponibilidad
- Firewall en failover (tecnologa de virtualizacin).
- Redundancia de conexiones.
- Sitio de contingencia para recuperacin de desastres.

Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.

Plano de Control
- Uso de NTP para sincronizacin de tiempo.
- Uso de autenticacin MD5 para EIGRP.
- Des habilitacin de VLAN por defecto.
- Uso de black-hole routing.
Online Online
20 Mbps - Uso de Interfaz loopback para gestin.
28 Mbps
Plano de Datos
ENTEL AXS - Des habilitacin de servicios no utilizados.
- Des habilitacin ICMP Recirect, redirect broadcast, proxy-arp.
- Lista de acceso anti-spoofing.
- Enrutamiento a travs de PBR (Policy Based Routing).
- Firewall por zonas.
- Inspeccin de protocolos.
- DMZ Corporativa
- VPN Acceso Remoto por SSL.

Nombre
Dydier Facilitador
J. Rojas Guerrero

14
 18/02/2016

WAN
Alta Disponibilidad
- Redundancia de dispositivos.
- Redundancia de conexiones.
- Sitio de contingencia para recuperacin de desastres.

Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.
OC
Plano de Control
WAN VPN MPLS - Uso de NTP para sincronizacin de tiempo.
Radio Enlace
- Uso de autenticacin MD5 para EIGRP.
Satelital
Fibra ptica
- Des habilitacin de VLAN por defecto.
- Uso de Interfaz loopback para gestin.

Plano de Datos
EUROCOM ENTEL - Des habilitacin de servicios no utilizados.
- Des habilitacin ICMP Recirect, redirect broadcast, proxy-arp.
- Lista de acceso anti-spoofing.
- VRF para rutas ISP.
- Cifrado radio enlaces IPSec/IKEv2.
- DMVPNs en enlaces WAN.
CAMPOS - Cifrado DMVPN IPSec/IKEv2.

Nombre
Dydier Facilitador
J. Rojas Guerrero

Sede Central

Plano de Gestin
- Cifrado MD5 en las contraseas enable y usuarios locales.
- Cifrado no fuerte para otras contraseas.
- Notificaciones para umbrales de consumo de memoria y CPU.
- Se deshabilita ICMP redirects, y se limita lo paquetes ICMP unreachables.
- Servicios no utilizados deshabilitados.
- SSH para la gestin remota.
- Limite en el tiempo de inactividad de una sesin remota.
- Listas de acceso para restringir el acceso remoto.
- Banner de advertencia para ser mostrados en el inicio de sesin.
- Protocolo AAA (Tacacs+) para autenticacin, autorizacin y auditora.
- SNMPv2 con cadenas de comunidad y listas de acceso para restringir acceso.
- Logging centralizado.

Plano de Control
- Uso de NTP para sincronizacin de tiempo.
CAMPOS - Uso de autenticacin MD5 para el protocolo HSRP.
- Des habilitacin de VLAN por defecto.
- Des habilitacin de DTP en puertos troncales.
- Protocolo VTP en modo transparente.
- Uso de protocolo Rapid Per-VLAN Spanning Tree.
Fibra ptica - Configuracin de BPDU Guard para interfaces de acceso.
UTP
Radio Enlace Plano de Datos
- Des habilitacin de puertos no utilizados.
- Storm control en interfaces troncales.
- Asignacin de VLAN nativa en interfaces troncales a una VLAN no usada.
- DHCP Snooping.
- DAI (Dynamic ARP Inspection).
- Autenticacin 802.1X.
- Autorizacin por perfil de usuario.
- Port-Security.

Nombre
Dydier Facilitador
J. Rojas Guerrero

Preguntas?

dydier@gmail.com

Nombre
Dydier Facilitador
J. Rojas Guerrero

15