Upload
daniel-osorio
View
2.052
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 1
Aseguramiento de Perímetros en la Arquitectura de la RED
Luis PicoSecurity Engineer
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 2
Retos
Diágnostico
Infraestructura Crítica de Red
Perímetros de Red
Cierre
Agenda
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 3
Retos
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 4
Defensa del País
Frente a Terrorismo
Labores Humanitarias
Mantener la Paz
Evacuación ciudadanía
Seguridad Nacional
RetosEvolución de Misiones
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 5
RetosEl Marco de Defensa
La colaboración ya no es una opciónOperaciones Comunes: Ejercito Nacional, Armada Nacional, Fuerza Aerea, Policía Nacional, Comando General
Coalición de Operaciones: Mantener la Paz, Ayuda Humanitaria, Control de Terrorismo
Estrategia táctica Fijo y en movimiento
A través de las fronteras: Tierra, Mar, Aire y EspacioIntegración Horizontal y Vertical
Las fuerzas deben ser más ligeras y mas móvilesAgilidad, Flexibilidad, Resistencia, y Seguridad
GGSG Defense: cdecarlo
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 6
RetosLa Red hace 15 años
Closed Network
Remote Site
PSTN
Frame RelayX.25
Leased LinePSTN
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 7
RetosLa de Red de hoy
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 8
Diágnostico
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 9
Fuente: Reporte Network Security Appliances and Software “Quarterly Worldwide Market Share and Forecasts: 1Q 09” - Infonetics Research
DiagnósticoComparativo Anual Crecimiento Amenazas
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 10
Fuente: Cisco Annual Security Report 2008
DiagnósticoComparativo Anual Número Vulnerabilidades Reportadas
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 11
DiagnósticoMáximo Ancho de Banda DDoS
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 12
DiágnosticoQue tan vulnerable soy?
Botnet gana….
December 31, 2007
Half a million sites hit by huge web hack
April 28, 2008
Inf personal de + 14,000 empleados militares robados por un hack.USA.
Apr 28, 2006
Trojanos-Infectados MP3s
May 9, 2008
Ataque DDoS afecta a EE.UU. y Corea del Sur
Jul 10, 2009
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 13
Infraestructura Crítica de Red
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 14
Infraestructura Crítica de RedDefinición
Cualquier red lógica o física que soporta Voz, Datos y Video para un Centro de Comando y Control (Ejemplos: Fuerzas Militares, Redes Financieras, Control de Tráfico Aéreo).
Una Red que necesita cumplir una disponibilidad de 99.999 %.
Una Red que tiene una conmutación automatizada por error y una recuperación predictible.
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 15
Infraestructura Crítica de RedCaracterísticas
Arquitectura Preventiva.
Basada en Roles y Necesidades.
Escalabilidad, Movilidad.
Alta disponibilidad.
Consistente con un modelo de seguridad.
Basada en los requisitos de Seguridad de la entidad.
Confidencialidad, Integridad, Disponibilidad, Trazabilidad.
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 16
INTERNETINTERNET
EmpleadosTeletrabajoContratistas
WAN, MAN
EmpleadosContratistasConsultores
LAN. WLAN
EmpleadosContratistasConsultoresVisitantesAuditores
SISTEMAS DE INFORMACIÓN
CRMGestión TIC
Bases de DatosIntranet
Aplicaciones de Servicios
Infraestructura Crítica de RedPerímetro de Red
WAN
LAN, WLAN
SISTEMAS DEINFORMACION
Definición. Espacios lógicos o físicos que me permiten implementar medidas para controlar el acceso y desarrollo del comportamiento de los entes, durante la permanencia en el espacio.
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 17
Infraestructura Crítica de RedMarco de Control
Identificar
Monitorear
Correlacionar
Endurecer
Aislar
Aplicar
Visibilidad Total
Control Completo
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 18
Perímetros de Red
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 19
Perímetros de RedInternet
INTERNET
FRO
NTE
RA
DE
RE
D
Internautas
Internautas
Teletrabajo
CONTRATISTAS
SUCURSALES
SecureRouter
Firewall
VPN
DDoS
Correo
CAR
WEB
DLP
WAF
IPS
BWM
Iden
tifi
car
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 20
Perímetros de RedWAN
SU
CU
RS
AL
FRO
NTE
RA
DE
RE
DSecureRouter
Firewall
CE
NTR
O D
E D
ATO
S F
RO
NTE
RA
DE
RE
D
WANVSAT
FIBRA OPTICAWIFI
RADIO
IPS
SecureRouter
Firewall
VPN VPN
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 21
AplicacionesDe
Negocio
E C
PI
U
G
Alianzas
Mercadeo
Finanzas
Juridica
Modelos Funcionales
Colaboración
Modelos funcionales que al ser dividos en capas funcionales y bloques administrables/granulares, debe operar y ser controlado mediante la designación de un rol especifico en la red.
Perímetros de RedLAN, WLAN
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 22
Perímetros de RedLAN, WLAN
WAN
SISTEMAS DEINFORMACION
INTERNET
AC
CES
O A
LA
RED
CONTRATISTAS
VISITANTES
EMPLEADOS
Perímetro 1
Perímetro 2
Perímetro 3
Perímetro N
CAR
FW
SR
AAA
IPS WL
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 23
Perímetros de RedSistemas de Información
Seg 1Seg 2
Seg NSeg 1
Seg 2Seg N
MAN
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 24
Source: Ken Hook
Telephony Services
Human Resources
Payroll
Legacy Systems
Customer Information Systems
Lab Environments
Customer Account DataWorkforce Applications
E-Mail Servers
Collaboration Systems
Network Shares
Directory Services
Portals
Distributed Servers FarmsDocument Repositories
Intellectual PropertyMulticast Services
Finance & Accounting
Marketing Data
Help Desk ServicesCall Center Systems
Application DevelopmentERP
Recursos de Red & Información CompañiaRetos de Redy Seguridad
Manufacturing
LDAP
Active Directory
NDS
NFS
Red Interna
DMZ
Internet ExtranetsWiFi
FTEOn-Premise
PTEOn-Premise
PartnerPartner PCs
PAP PAPPAP
Servicios Autenticación Servicios AutenticaciónServicios Autenticación
PAP
Cada aplicación, Cada recurso o Sistema puede tener su propio servicio de autenticación independiente, Repositorio de Identidad, o ninguno!
Employee inTransition
(Merger/Divestiture)
FTERA-VPN
Invitado/PartnerWiFi
EmpleadoWiFi
PartnerSite-to-Site
VPN
AnonymousUsuario
InternetCliente
Acceso no Autenticado y/o no
cumplimiento1
Acceso Any-to-Any para mas recursos de
la red2
Limite por Applicacion y/o protocolo
Confidencialidad & Integridad
3 Acceso no autenticado
1
2
3
Politicas de Control de Acceso, Atributos
& Gestión4
• WLAN• LAN - VLANs, PACLs, VACLs & RACLs• Centro de Datos• WAN / Branch / VPNs
4*PAP. Puntos de Aplicación de Políticas
Perímetros de RedVisibilidad y Control
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 25
Perímetros de RedProcedimientos de Soporte
Gestión del Cambio
Gestión de Incidentes
Gestión de Problemas
Gestión de la Capacidad
Gestión de Parches
Gestión de Eventos
Gestión de Vulnerabilidades
Gestión del Riesgo
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 26
Mayor Visibilidad
Identificación de Amenazas
Conocer mis Vulnerabilidades
Reducir Falsos Positivos
Mayor eficiencia en la Gestión de Eventos
Determinar la severidad de los Incidentes
Reducir el tiempo de respuesta a la gestión de Incidentes.
Perímetros de RedAcciones de Seguridad
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 27
Dankie Faleminderit Shukran Shur-nur-ah-gah-lem Thoinks Eskerrik Asko Dhannyabad Blagodaria Hvala Jae Zu Din Pa De
Na som M'goy Gràcies Wado Skee Xie Xie Kia Manuia Dekuji Tak Bedankt Dankon Aitäh Akpé Vinaka Kiitos Kpè nu wé
Merci Abarka Madlobt Danke Efharisto Aguije Abarka Aabar Mahalo Toda Dhanyavaad Köszönöm Þakka þér fyrir Terima kasih
Moteshakeram Go raibh maith agat Grazie Arigato Matur nuwun Dhan-ya-vaadaa Kamsa hamaida Paldies Achu Waybale Nandi
Terima Kasih Kia Manuia Na gode Takk Shakkran Soolong Aguije Mam'noon Salamat Dziekuje Obrigado Bhala Hove
Multumesc Spasiba Fa'afetai Tapadh Leibh Dakujem Dankie Gracias Nuhun Ahsante Tack Maururu Manjuthe Khob Khun
Kha/Krab Thuk Ji Chhe Tesekkurler Thank You Dyakuyu Maherbani Shukria спасибо Rahmat Kam ouen Diolch Nkosi
Modupe Ngiyabonga
GRACIAS
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 28
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 29
Perímetros de RedSistemas de Información
Seg 1Seg 2
Seg NSeg 1
Seg 2Seg N
MAN
AC
CE
SO
A L
A R
ED
CONTRATISTAS
VISITANTES
EMPLEADOS
IPS
IPS
P1
P2
PN
P3
MAN
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 30
Dramatically Improved Force Effectiveness
More than anything else, NCO starts with a change in philosophy…
Robustly Networked
ForceImproved
Information Sharing
Network Centric Operations… and simplifying it for tomorrow
© 2009 Cisco Systems, Inc. All rights reserved. Cisco PublicAndicom Cartagena 31
victims
Triage area
Internet
Hospital A Hospital B
Export to Orion Health
Internet Portal
Orion Health Centralised DB containing real-time view on patients and their location
Local hotspotCisco MAR
Cisco AP
Aeroscout Exciter
+
Hosting provider
ViTTS – Victim Tracking & Tracing System
Crisis Staff
Centralized DB containing Maps of infrastructure