ARQUITECTURAS DE
SEGURIDAD Y CONTROL EN
AMBIENTES ABIERTOS
Andres Holguin Coral
Bogota, Junio 2002
V 1.0
AHC 2003
1
Agenda








Motivación
El reto
Red abierta
Causas y problemas de seguridad asociados
con redes abiertas
El control en redes abiertas
Conclusiones
Referencias
Agradecimientos
AHC 2003
2
Motivación
En la actualidad la seguridad informática esta
orientada a redes corporativas cerradas en las
cuales se puede restringir el uso de la misma.
Pero sobre las redes abiertas en las cuales
restringir su uso no es viable, debido a que circula
todo tipo de trafico el cual no se puede tipificar, no
se encuentra documentación y muchos
administradores consideran que este tipo de redes
no es viable ni debería existir.
AHC 2003
3
El reto
Mostrar que una arquitectura abierta es
viable y se puede controlar.
AHC 2003
4
¿Qué es un ambiente de abierto?

Una red abierta es, una red en la cual todos
los computadores o la gran mayoría de ellos
se encuentran directamente conectados a
Internet; esto quiere decir que tienen una
dirección ip valida y lo único que se
encuentra entre ellos e Internet es un
enrutador.
AHC 2003
5
¿Qué tipos de organizaciones tienen
ambientes abiertos?




Internet
ISP
Universidades
Redes wireless públicas (aeropuertos
parques)
AHC 2003
6
¿Cómo es un ambiente abierto?









La red es, la unión de varias redes mas pequeñas que pueden
ser abiertas o no.
El administrador de la red no tiene el control sobre los
computadores que pertenecen a su red.
Constan de cientos o miles de computadores.
Hay más de un administrador de red y de los servidores.
Tienen grandes anchos de banda.
Prestan múltiples servicios. (dns, correo, http, …)
No se sabe bien que servicios (protocolos) se usan en la red.
No se pueden crear políticas de seguridad que regularicen la
red, debido a que ésta puede o no ser de su propiedad.
Los equipos activos de la red se encuentran dispersos en
grandes áreas geográficas.
AHC 2003
7
Ejemplo de arquitectura abierta
Red de servicios
Red abierta
Internet
DMZ
Red corporativa
AHC 2003
8
¿Cuáles son las causas de los problemas de
seguridad asociados con redes abiertas?








La funcionalidad de la red es mas importante que la seguridad.
Hay miles de computadores conectados a este tipo de redes,
con diferentes tipos de software, los cuales tienen todo tipo de
vulnerabilidades.
Hay un ancho de banda casi ilimitado tanto de entrada como de
salida.
Hay administradores con todo tipo de experiencia en el campo
de la seguridad.
No existe una política de seguridad que cubra a todos los
miembros de la red.
Hay usuarios con muchos niveles de conocimientos de sistemas.
No hay leyes que regulen este tipo de redes.
El imponer medidas de seguridad puede hacer que la red no sea
viable o atractiva para usar.
AHC 2003
9
¿Cuáles son los problemas de seguridad
asociados con redes abiertas?






Worms
Virus
Spam
DoS
Ataques básicos, intermedios y avanzados
para penetrar sistemas.
Contenidos no permitidos por la ley.
AHC 2003
10
El control en redes abiertas
Control
de los
elementos
activos
Control
del
trafico
Control
de la red
corporativa
Control
Control
del
perímetro
AHC 2003
Control
de los
servicios
11
El control en redes abiertas
REGISTRO
PREPARACIÓN
FORENSE DE
REDES
SIMULACIÓN Y PRUEBAS
DETECCIÓN
INTRUSOS
AHC 2003
CONTROL DE EVIDENCIA
Modelo redar JCM 2002
AUDITORÍA
12
El control en redes abiertas
Internet
Exterior
AHC 2003
RED
LÍNEA DE
PERÍMETRO DEFENSA
ZONA CONTROLADA
13
El control en redes abiertas
REGISTRO
SIMULACIÓN Y PRUEBAS
RECOLECCION
DE DATOS
AHC 2003
CONTROL DE EVIDENCIA
Modelo redar JCM 2002
MONITOREO
14
El control en redes abiertas
Red de monitoreo
Red corporativa
Red de la DMZ
Red abierta
Red administración de la red
AHC 2003
15
Elementos comunes a todos los elementos
de control




Sincronización del tiempo.
Registro permanente del comportamiento de
los servidores, routers, firewalls y del tráfico
de la red y los protocolos que se usan.
Políticas para almacenar y respaldar la
información registrada.
Capacitación de los administradores
encargados de la arquitectura para adelantar
acciones de monitoreo.
AHC 2003
16
Control de los elementos activos de la red





Restringir y controlar el acceso físico y lógico de los
elementos que componen la red.
Auditar los cambios de configuración.
Registrar, almacenar y monitorear los eventos de
los equipos a través de syslog y de SNMP
(parchado).
Registrar, almacenar y monitorear el estado de la
cpu, memoria y de mas elementos que muestren el
desempeño de los equipos.
Hacer que todo el tráfico de monitoreo, circule a
través de la red de seguridad
AHC 2003
17
Control del tráfico





Sacar estadísticas permanentes del tráfico que
circula en la red para establecer los parámetros de
un comportamiento normal y anormal
Implementar IDS en cada una de las partes que
conforman la red. (DMZ, Red abierta, Red de
servicios) para detectar ataques internos.
Usar IDS para restringir los ataque mas conocidos
(nimda, code red, slapper, …).
Gestionar los anchos de banda asignados a cada
uno de los protocolos.
Hacer que todo el tráfico de monitoreo circule a
través de la red de seguridad.
AHC 2003
18
Control de servicios







Crear políticas para la administración y el uso de los servicios
(web, correo, etc.)
Hacer auditoria de la configuración de los servicios.
Monitorear el comportamiento de los servicios y generar
estadísticas.
Instalar de manera segura y mantener actualizadas las versiones
del software que maneja los servicios.
Generar y almacenar de manera segura los logs de las
aplicaciones.
Instalar software que verifique el buen uso de los servicios. (IDS
de host, antivirus de correo, software de que maneje integridad
de los datos, etc.)
Hacer que todo el tráfico de monitoreo y los logs circulen a
través de la red de seguridad.
AHC 2003
19
Control del perímetro




Implantar listas de acceso en los routers para filtrar
tráfico no que siempre es sospechoso.
(NetBios,SNMP,LPD,echo,time)
Implantar firewall y generar políticas adecuadas,
además generar logs de todo el tráfico que circula
en el perímetro (Mas de 2Gb al día).
Correlacionar la información de las estáticas del
tráfico de la red con la del firewall para detectar
datos anómalos.
Implantar IDS en la parte externa de la red para
detectar ataques externos.
AHC 2003
20
Control de la red corporativa




Implementar el modelo REDAR.
Tratar a la red fuera de la red corporativa
como si fuera Internet.
Crear una red aparte para los
administradores de la red.
Crear una red de servicios independiente
para la organización.
AHC 2003
21
El control en redes abiertas
Red de servicios
Red de
seguridad
Servidor
de logs
Red abierta
Internet
DMZ
Red de
administración
Red corporativa
AHC 2003
22
Se cumplió el reto
Se mostró una alternativa para la
administración de este tipo de redes, en la
cual el enfoque consiste en controlar la red
no en mitigar los riesgos y aún se mantiene
la viabilidad de este tipo de redes.
AHC 2003
23
Conclusiones




Crear redes independientes divide los riesgos, lo cual permite
abordar cada red por aparte y plantear soluciones particulares
para cada una de ellas.
Ninguno de los problemas de seguridad asociados con este tipo
de redes es fácil de resolver, algunos de los problemas no tienen
solución debido a la naturaleza de la red, por lo tanto es un
riesgo que hay que asumir.
Hay que implementar las medidas de seguridad de manera que
sean transparentes para los usuarios.
Hay que hacer un análisis de riesgos muy completo para
determinar cuales son los mas importantes, para así controlarlos
y detenerlos cuando se presenten.
AHC 2003
24
Referencias
Establishing a Computer Incident Response Capability at a University
Clyde Laushey
May 28, 2001
http://www.sans.org/rr/casestudies/university.php
Practical Implementation of Syslog in Mixed Windows Environments for Secure Centralized Audit
Logging
Frederick Garbrecht
July 17, 2002
http://www.sans.org/rr/casestudies/mixed_win.php
Preparación Forense de Redes: R.E.D.A.R. Un Modelo de Análisis
Jeimy Cano
Febrero, 2002
http://www.criptored.upm.es/guiateoria/gt_m142e.htm
Risk Assessment in the University Setting
March 2, 2001
Kent Knudsen
http://www.sans.org/rr/audit/risk_univ.php
Securing a Small Community College - A Case Study
Bobby Hoyle
May 14, 2002
http://www.sans.org/rr/casestudies/com_college.php
AHC 2003
25
Agradecimientos


Jeimy Cano
Adriana Hernández
AHC 2003
26
Preguntas
AHC 2003
27
Descargar

ARQUITECTURAS DE SEGURIDAD Y CONTROL EN …