Asegurando los Servidores Públicos Ubicar los servidores en una DMZ (zona desmilitarizada) protegida con firewalls Ejecutar un firewall en el mismo servidor Protegerse contra Negación de Servicio Limitar el número de conexiones por tiempo Usar sistemas de operación confiables aplicar los últimos parches de seguridad Mantener la modularidad Un servidor web server no debe correr otros servicios
Topologías de Seguridad Red Corporativa Zona desmilitarizada (DMZ) Web, DNS, Servidores de Correo Internet
Topologías de Seguridad Internet Red Corporativa Firewall Zona desmilitarizada (DMZ) Web, DNS, Servidores de Correo
Asegurando Acceso Remoto vía VPNs (Redes Privadas Virtuales) Seguridad física Firewalls Autenticación, autorización, y registro Encriptamiento Passwords de un solo acceso Protocolos de seguridad CHAP RADIUS IPSec
Asegurando los Servicios de Red Tratar cada dispositivo de red (enrutadores, suiches, etc.) como nodos de alto valor y reforzarlos contra posibles intrusos Requerir login IDs y passwords para acceder a los dispositivos Requerir autorización extra para comandos de configuración riesgosa NO usar telnet, sino SSH Cambiar la pantalla de bienvenida
Asegurar las Granjas de Servidores Implantar la red y los IDs de nodo para monitorear las sub-redes de servidores y los servidores individualmente Configurar filtros que limiten la conectividad desde el servidor, en caso que que entren al servidor Arreglar los fallos (bugs) de seguridad conocidos en el sistema de operación del servidor Requerir autenticación y autorización para acceso y mantenimiento de servidores Limitar el password de root a pocas personas Evitar cuentas de invitado genéricas
Asegurar los Servicios de Usuario Especificar en la política de seguridad qué aplicaciones se permite ejecutas en las PCs de la red Requerir firewalls personales y antivirus en las PCs de la red Implementar procedimientos por escrito, que especifiquen como se instala y se mantiene actualizado el software Pedir a los usuarios que hagan logout al dejar su escritorio Considerar usar seguridad basada en puertos en los suiches (802.1X)
Asegurando las Redes Inalámbricas Ubicar las redes inalámbricas (WLANs) en su propia sub-red o VLAN Simplificar el direccionamiento y hacer más fácil la configuración de filtros de paquetes Requerir que todas las portátiles inalámbricas tengan firewalls personales y antivirus Deshabilitar los mensajes (beacons) que difunden el SSID, y requerir autenticación por dirección MAC Excepto en los casos en que la WLAN es usada por visitantes
Opciones de Seguridad de WLANs WEP (Wired Equivalent Privacy) IEEE 802.11i WPA (Wi-Fi Protected Access) EAP (IEEE 802.1X Extensible Authentication Protocol) EAP ligero (Cisco) EAP protegido (PEAP) VPNs (Virtual Private Networks) ¿Alguien se sabe algún otro acrónimo?
WEP (Wired Equivalent Privacy) Definido por IEEE 802.11 Los usuarios deban tener la clave WEB apropiada, que también está configurada en el AP (Access Point) Clave de 64 o 128 bits(o passphrase) WEP encripta los datos usando en método de cifrado de flujos RC4 Tristemente célebre por haber sido craqueado
Alternativas a WEP Mejoras propietarias a WEP Temporal Key Integrity Protocol (TKIP) cada trama tiene una única clave WEP AES (Advanced Encryption Standard) IEEE 802.11i WPA (Wi-Fi Protected Access) de Wi-Fi Alliance
EAP (Extensible Authentication Protocol) Con 802.1X y EAP, los dispositivos asumen uno de tres roles: El suplicante reside en el cliente de la red inalámbrica El autenticador reside en el AP Un servidor de autenticación reside en un servidor RADIUS
EAP (Continuación) Un suplicante EAP en el cliente obtiene credenciales del usuario, que podrían ser un ID de usuario y un password El autenticador pasa las credenciales al servidor y se desarrolla una clave de sesión Periódicamente el cliente debe reautenticarse para mantener conectividad de red La reautenticación genera una nueva clave dinámica WEP
Variantes de EAP EAP-TLS: EAP-Transport Layer Security desarrollado por Microsoft Requiere certificados para clientes y servidores PEAP: Protected EAP, soportado por Cisco, Microsoft y RSA Security Usa un certificado para que el cliente autentique al servidor RADIUS, el servidor usa un ID de usuario y un password para autenticar al cliente EAP-MD5: no tiene manejo de claves o generación dinámica de claves Usa texto de reto como la autenticación básica WEP La autenticación es manejada por un servidor RADIUS
Software VPN en Clientes Inalámbricos La manera más segura de proveer acceso inalámbrico para las corporaciones El cliente inalámbrico requiere software VPN Se conecta al concentrador VPN en HQ Crea un tunel para enviar todo el tráfico La seguridad VPN provee: Autenticación de usuarios Encriptamiento fuerte de datos Integridad de los datos
Resumen Uso de un método descendente El capítulo 2 habla de identificar bienes y riesgos, y desarrollar requerimientos de seguridad El capítulo 5 habla sobre diseño lógico para seguridad (topologías seguras) El capítulo 8 habla sobre el plan de seguridad, política y procedimientos El capítulo 8 también cubre mecanismos de seguridad y la selección de mecanismo adecuado o los diferentes componentes de un diseño de red modular
| Página siguiente |