Tema: “Diseños de redes seguras” Seguridad Informática Nombre: Carlos José Acosta Castillo.
Matricula: 1-10-9027.
Conceptos importantes del tema de discusión. Siempre que se piense en seguridad para una red de área Local (Lan) o global (Wan) se debe tener en cuenta las alternativas más óptimas tecnológicas que ofrecen el mercado, como ejemplo “Vpn, Ipsec, Claves públicas, Firewall” elementos que acompañados de un buen diseño de red y estrictas políticas de seguridad se pueden garantizar en un alto porcentaje la seguridad en su red; sin dar una garantía en su totalidad. Siempre los muros infranqueables son violados y en su mayoría son atacados internamente y para este tipo de ataques es casi imposible mantener segura la red sin descuidar a los ataques externos (hackers). (hackers). La seguridad: es uno de los aspectos más importantes del diseño lógico de las re des. A veces, se
pasa por alto durante el diseño de una red, pues se considera una cuestión operativa en vez de una cuestión de diseño. No obstante, si se tuviera en cuenta en el momento del diseño se podrán evitar problemas de rendimiento y escalabilidad de la red. VPN: Tecnológicamente se podría conceptuar que las VPN son arquitecturas de red más
escalables y flexibles que las WAN tradicionales, debido a que permiten a las organizaciones agregar o eliminar sus sistemas localizados remotamente, producción, clientes, soporte, normas y consumidores de forma fácil y poco costosa. Firewall: Un Firewall protege la red interna de una organización, de los usuarios que residen en
redes externas, permite el paso entre las dos redes a sólo los paquetes de información autorizados y puede ser usado internamente, para formar una barrera de seguridad entre diferentes partes de una organización, como por ejemplo a estudiantes y usuarios administrativos de una universidad. Un Firewall de nivel de red permite un control de acceso básico y poco flexible, pues permite aceptar o denegar el acceso a un nodo basándose sólo en la información que conoce a nivel de red. Es decir, se permite el acceso desde o hacia un nodo en forma total o simplemente no se permite. Estándares y tecnologías de seguridad
Cuando se inicia un proceso de diseño del sistema de seguridad de una red de datos, en primer lugar el diseñador, se debe regir según los están- dares de seguridad actuales, ejemplo ISO/IEC 17799:2000. Con relación a las tecnologías vigentes, es importante detenerse en el análisis del uso de las Redes Privadas Virtuales VPN. Actualmente, las VPN aportan aportan grandes beneficios para obtener obtener una red segura.
Además, la seguridad bajo el esquema de VPN requiere que la conexión a través de Internet sea cifrada. El servidor de acceso remoto exige el uso de protocolos de autenticación y cifrado. Los da- tos confidenciales quedan ocultos a los usuarios de Internet, pero los usuarios autorizados pue- den tener acceso a ellos a través de la VPN. Entre las principales características de diseño y de las VPN se pueden mencionar: A. Diseño de red simplificado: Esto debido a que con la tecnología VPN se simplifica en
términos de diseño de arquitectura, flexibilidad y mantenimiento, debido a que se reducen los costos asociados a la gestión de red. B. Administración centralizada: En cuanto a la compatibilidad, como las VPN aceptan la
mayor parte de los protocolos de red más comunes (incluidos TCP/IP, IPX y NetBEUI), este tipo de redes puede ejecutar de forma remota cualquier aplicación que dependa de estos protocolos de red específicos. C. Prioridad de tráfico : Esto agrega gran flexibilidad a las organizaciones que contratan el
servicio, en cuanto a la utilización de los enlaces de Internet, debido a que se puede decidir en qué orden se preserva el ancho de banda según el tipo de tráfico permitido y de acuerdo a su importancia. Protegiendo la red: VPN y Firewall.
Lo más importante para su aplicabilidad de una red segura es establecer correctamente las políticas de seguridad y de acceso. Una característica fundamental de este tipo de sistema de seguridad en la red privada virtual es que debe ser capaz de verificar la identidad de los usuarios y restringir el acceso a la VPN a aquellos usuarios que no estén autorizados. Así mismo, debe proporcionar registros estadísticos que muestren quien acceso, que información y cuando.
¿Cómo y por qué desarrollar una arquitectura de red segura? El desarrollo de una arquitectura de red segura tiene como objetivo objetivo final la definición
de un esquema de red aplicando medidas de seguridad informática, que una vez implementadas minimizan los riesgos de intrusión. ¿Por qué pensar en un diseño de red segura? Hasta hace pocos años, cuando se diseñaba una arquitectura de red solo se pensaba en los
protocolos de comunicaciones utilizar, el ancho de banda y se evaluaba la saturación de la red, pero prácticamente no se le brindaba mayor importancia a la seguridad, solo se pensaba en función a la funcionalidad y operatividad de la red.
Diseño de una arquitectura de red segura
Durante la etapa de diseño se deberá definir lo siguiente: 1- Esquema de red base a utilizar 2- Los mecanismos de seguridad a nivel de red (routers, firewall, sistemas de detección de intrusiones, switches, vpn, etc). 3- Los protocolos de comunicaciones (TCP/IP, NETBIOS, IPX, etc). Durante la etapa de diseño de la arquitectura de red segura se debe definir: Tipos de sistemas operativos a utilizar (Windows server, Linux, novell, etc)
Aplicaciones de gestión a utilizar (SGDBR, Mail servers, Web servers, DNS servers entre otros).
Una vez definida la arquitectura de red se deben detectar y describir todos los flujos de información entre los componentes del esquema de red. Los flujos de información: estos nos permiten visualizar gráficamente cual es el origen y el
destino de los datos y nos permite luego determinar si estos son críticos o no. Evaluación de flujos de información
A modo de ejemplo, se puede visualizar un gráfico donde se describen los flujos de información entre los componentes.
Desarrollo del Plan de Implementación
Como siguiente paso se deberá desarrollar el Plan de Implementación donde se definirá cuáles son los pasos a seguir para realizar la correcta implementación de los componentes de la red. Se deberá incluir: Los mecanismos de seguridad a implementar (Firewalls, Switches, Sistemas
de Detección de Intrusiones, etc.) y su configuración final. - La seguridad a nivel de sistema operativo de todos los equipos a instalar, incluyendo guías de instalación seguras para sistemas operativos, patches de seguridad a instalar y ajustes a realizar. - La seguridad a nivel de aplicaciones, incluyendo configuraciones patches a implementar y ajustes a realizar.
de seguridad a realizar,
Implementación de la arquitectura de red segura Esta etapa es una de las más críticas, ya que se debe llevar a cabo la implementación real de los componentes de la arquitectura de red. Tomando como base el Plan de Implementación, se comenzará a seguirlo paso a paso. Es muy importante que el equipo de personas que trabaje en esta etapa tenga conocimientos sobre los equipos con los que se trabaja y haya participado en las otras etapas del desarrollo de la red segura. Evaluación final de la red
Una vez que la implementación ha finalizado, es conveniente realizar una evaluación de la seguridad de la red que se conoce como Penetration Test. Nos permite detectar vulnerabilidades en la red Informática y corregirlas en forma muy rápida y eficaz. En un Penetration Test se trata de emular y simular comportamientos y técnicas que pueden ser utilizadas por los intrusos con el objetivo de analizar el nivel de seguridad y la exposición de los sistemas ante posibles ataques. Monitoreo y vigilancia de la red
Se debe utilizar un Sistema de Detección de Intrusiones para detectar los intentos de intrusión en tiempo real dentro de la red interna de la Empresa. Los IDS funcionan como programas agentes que monitorean la red (Sniffers) en busca de actividades no autorizadas. En algunos casos se basan sobre los logs que producen los sistemas, pero también se basan sobre la información que estos agentes recaudan.
Seguridad en el vínculo de Internet
Internet es el riesgo número uno de seguridad. Hoy en día es casi una obligación para una Empresa estar conectado a Internet y cada vez más se exige una mayor apertura de servicios. En la conexión a Internet se deben aplicar técnicas para diseñar la arquitectura de red de forma segura, incluyendo en el diseño zonas de DMZ, zonas internas, zonas de Internet, etc.
Acceso a aplicaciones seguras
La tendencia futura es a brindar un mecanismo para que los empleados puedan acceder en forma remota y vía Internet a las aplicaciones internas de la Empresa. Para el desarrollo de la arquitectura de red para un proyecto de este tipo se deben tener en cuenta Firewalls, IDS’s, Sistemas de validación por hardware (SecurID), Certificados digitales, etc. Autenticación remota
Los mecanismos de autenticación remota cambiaron de ser solamente el USUARIO y PASSWORD a utilizar tecnologías de seguridad informáticas como ser:
Certificados Digitales Personales.
Autenticación biométrica.
Tarjeta de autenticación.
Consolidación de conexiones externas
La tendencia actual es a realizar una consolidación de todos los puntos de acceso externos de la Empresa para poder brindar una mayor protección. Una Empresa normalmente posee vínculos de comunicaciones con proveedores, con sucursales, con grandes clientes, etc. Todos estos vínculos deben juntarse en un solo punto de acceso y colocar medidas de seguridad para controlarlos.