Upload
octavio80
View
15
Download
0
Embed Size (px)
Citation preview
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 1
Titulo: Políticas y planeación de la seguridad
Gracias A: Luis Eduardo Ochaeta
NetSec1V2 Modulo 2 – Lección 1 de 1
v2
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 2
NetSec1V2 Modulo 1
• Recomendación• Discusión: Seguridad de la Red y Cisco• Protección y mantenimiento depuntos de acceso• Protección y mantenimiento de la Red• Arquitectura de seguridad• Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 3
Recomendación
Siguiendo las siguientes recomendaciones Ud puede hacer un mejor uso de su tiempo de estudio
Mantenga sus notas y respuestas para todo su trabajo con este material en un lugar, para una referencia rápidaCuando ud tome un examen de prueba, escriba sus respuestas, estudios han demostrado que esto aumenta significativamente la retención, incluso si no se ha visto la información original nuevamenteEs necesario practicar los comandos y configuraciones en un laboratorio con el equipo adecuadoUtilice esta presentación como un material de apoyo, y no como un material exclusivo para el estudio de este capítuloNo presente el examen del capitulo, sí Ud no ha terminado los laboratorios del capituloSi se presenta algún problema, comuníquese con su instructor
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 4
NetSec1V2 Modulo 1
Recomendación• Discusión: Seguridad de la Red y Cisco• Protección y mantenimiento depuntos de acceso• Protección y mantenimiento de la Red• Arquitectura de seguridad• Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 5
Introducción
Los riesgos de seguridad no se pueden eliminar o prevenir completamente
Una política de seguridad es un importante componente para decidir como el riesgo puede ser manejado
Los Routers proveen un gran numero de servicios de red que permiten a los usuarios mantener procesos y conectividad de red, alguno de estos servicios pueden ser restringidos o deshabilitados previniendo problemas de seguridad
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 6
El ciclo de seguridad
Muchos de los incidentes de seguridad ocurren debido a que los administradores no implementan medidas que contabilicen ataques, o reconozcan riesgos potenciales como hackers o personal interno; en general el problema no solo es uno
Es donde se implementa el ciclo de seguridad, un proceso continuo como primera medida a implementar
Los pasos para la implementación son los siguientes:Asegurar
Monitorear
Probar
Mejorar
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 7
Políticas de seguridad de red
BeneficiosAuditoria con datos actuales
Provee una vista general de la red
Define el comportamiento permitido y no permitido
A menudo ayuda a determinar que herramientas son necesitadas por la organización
Ayuda a comunicar al grupo clave de la organización para la definición de responsabilidades
Creación de procesos en el manejo de incidentes
Habilita la implementación de la seguridad global
Crea los parámetros para una acción legal si es necesaria
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 8
NetSec1V2 Modulo 1
Recomendación Discusión: Seguridad de la Red y Cisco• Protección y mantenimiento depuntos de acceso• Protección y mantenimiento de la Red• Arquitectura de seguridad• Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 9
Componentes y tecnologías basadas en la seguridad
En PCs nuevas, cuando un nuevo sistema operativo es instalado en una computadora, las opciones de seguridad están configuradas con opciones inadecuadas
Los nombres de usuario y passwords deben de ser cambiados inmediatamente
Acceso a los recursos del sistema debería de ser restringido a las personas y equipo autorizado
Cualquier servicio o aplicaciones innecesarias deben de ser desinstaladas cuando sea posible
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 10
Componentes y tecnologías basadas en la seguridad
Firewalls personalesEn computadoras personales conectadas al Internet a través de conexiones DialUP, DSL, o cable modems son un punto vulnerable para la seguridad de la red, si este es el caso es necesario activar un Firewall Personal a fin de prevenir ataques.Este tipo de Firewalls no esta diseñado para asegurar redes internas o servidores, mas bien previenen el acceso no autorizado a información dentro de una computadora personalAlguno de las marcas: McAfee, Norton, Symantec, Zone Labs
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 11
Componentes y tecnologías basadas en la seguridad
Software Anti-virusHabrá que instalar un software que proteja a las computadoras personales contra virus o aplicaciones Trojanas
Paquetes de servicio de sistema operativo
La forma mas efectiva de mitigar cualquier problema inusual del sistema operativo es instalar los “parches” o actualizaciones al SO.
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 12
Componentes y tecnologías basadas en la seguridad
Prevención y detección de intrusosDetección de intrusos es la habilidad de detectar ataques contra la red por medio de herramientas automatizadas de control
Protección contra intrusos es la habilidad de prevenir ataques contra la red implementando los siguientes mecanismos de defensa
Detección
Prevención
Reacción
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 13
Mantenimiento de PCs
Es necesario mantener un inventario de cada uno de los equipos en la red, como estaciones de trabajo, servidores y laptops, incluyendo números de serie
Es particularmente importante educar a los empleados sobre el mantenimiento seguro de las laptops
Cuando el software, dispositivos de hardware o componentes de almacenamiento son remplazados debe ser reflejado el cambio en el inventario, para esto deben de existir los procedimientos necesarios
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 14
NetSec1V2 Modulo 1
Recomendación Discusión: Seguridad de la Red y Cisco Protección y mantenimiento depuntos de acceso• Protección y mantenimiento de la Red• Arquitectura de seguridad• Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 15
Componentes y tecnologías basadas en la red
Appliance Firewall
Server Firewall
IDS
VPN
Identity
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 16
Mantenimiento de la seguridad de la Red
La meta de Mantenimiento de la Red es controlar el acceso a los recursos de red de acuerdo a las guías locales
Un sistema de mantenimiento de seguridad, por ejemplo podría monitorear la actividad de cada usuario al acceder cada uno de los recursos
VMS (CiscoWorks VPN/Security Management) es un ejemplo de una aplicación que contiene una serie de aplicaciones de configuración, monitoreo y resolución de problemas empresariales, VPN, Firewalls, NIDS y HIRS
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 17
NetSec1V2 Modulo 1
Recomendación Discusión: Seguridad de la Red y Cisco Protección y mantenimiento depuntos de acceso Protección y mantenimiento de la Red• Arquitectura de seguridad• Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 18
Arquitectura de seguridad (SAFE)
SAFE es una serie de lineamientos de seguridad para redes, las cuales están basadas en arquitectura Cisco para Voz, Video e integración con datos (AVVID)
Las capas de SAFEInfraestructura – Inteligente, servicios de seguridad escalables
Appliances – Incorporación de funcionalidades clave en dispositivos móviles
Servicios – Protocolos de seguridad críticos y API´s que habilitan soluciones de seguridad
Aplicaciones – Host y seguridad basada en elementos que aseguran la integridad de aplicaciones e-business críticas
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 19
La red de auto-defensa Cisco
Esta estrategia permite a las organizaciones usar su inversión actual de enrutamiento, conmutación, inalámbrico y plataformas de seguridad para crear un sistema que pueda ayudar a identificar, prevenir y adaptarse a los ataques continuos a la empresa
Tres sistemasConectividad segura
Defensa
Confiabilidad y Soluciones de Identidad
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 20
Conectividad Segura
Asegura la privacidad e integridad de toda la información que es vital para la empresa
Las empresas además de proteger las comunicaciones externas, ellos deben de asegurar que la información transportada a través del cableado interno y de la infraestructura inalámbrica permanezca confidencial
SolucionesVPN Site-to-SiteVPNs de acceso remotoSeguridad de VozSeguridad InalámbricaManejo de Soluciones y Monitoreo
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 21
Manejo de defensa
Este sistema ofrece de forma conjunta soluciones de seguridad y tecnologías de red inteligente a fin de identificar y mitigar todos los riesgos desde dentro y fuera de la organización
Elementos
Seguridad en el punto de acceso (Endpoint)
Integración de firewalls
Prevención de intrusos
Servicios de seguridad y de red inteligentes
Manejo y Monitoreo
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 22
Confiabilidad y soluciones de Identidad
Las organizaciones necesitan de forma eficiente y segura saber quien, que y cuando los accesos a la red ocurren y como es ese acceso, esta solución puede convertir virtualmente cada dispositivo de red en un dispositivo dentro de una parte integral de toda una estrategia de seguridad
Funciones
Re-enforzamiento
Aprovisionamiento
Monitoreo
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 23
Seguridad integrada de Cisco
Seguridad integrada describe la funcionalidad de seguridad que se provee a un dispositivo de red, por ejemplo un Router, un Switch o un punto de acceso inalámbrico
IBNS (Identity Based Networking Services)Es una solución integrada que combina varios productos de Cisco que ofrecen autenticación, control de acceso y políticas de usuario a fin de proveer conectividad de red y a recursos (Catalyst 3500, 4500, 3550 y 2950, Aironet, cisco ACS Server)
Cisco Perimeter SecurityProvee soluciones de comunicación a través de una política definida, controlando múltiples puntos de entrada y salida. (Firewalls, ASA, PIX, VPN)
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 24
PDIOO (Plan, Designa, Implement, Operate, Optimize)
Las expectativas de la red van cambiando con forme las demandas de aplicaciones van surgiendo
La estrategia de diseño ha cambiado dramáticamente teniendo como primer criterio seguridad y escalabilidad
El diseño de la red debe fácilmente adaptarse a la implementación de tecnologías de nueva generación
Este tipo de diseño es funcional no solopara redes nuevas sino para redesexistentes
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 25
NetSec1V2 Modulo 1
Recomendación Discusión: Seguridad de la Red y Cisco Protección y mantenimiento depuntos de acceso Protección y mantenimiento de la Red Arquitectura de seguridad• Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 26
Componentes del Router RAM
Memoria de trabajo
NVRAMArchivo de configuración
FLASHSistema Operativo
ROMBOOTSTRAPIOS de backup
CONSOLAAcceso físico a la configuración
INTERFACEInterfaces de comunicación
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 27
Componentes internos del router
RAM/DRAM
NVRAM
Flash
ROM
Procesador
Interfaces
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 29
Conexión a la interfase de administración
Hyperterminal (Private edition)
http://www.hilgraeve.comhttp://www.cisco.com/warp/public/701/61.htm
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 31
Conexión física al router
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 32
Internetwork Operating System
Al igual que un computador, el Router no puede trabajar sin un sistema operativo, que permita hacer la interfase entre el usuario final y las funciones del router
Funciones principalesFunciones básicas de enrutamiento y conmutaciónAcceso confiable y seguro a los dispositivos de redEscalabilidad de la red
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 33
Interfaz de usuario del router
El router es un computador de uso específico y la configuración puede hacerse por medio de hyperterminal, se recomienda que se utilice el “Hyperterminal PE”
ConfiguraciónConsola (Hyperterminal)Auxiliar (Hyperterminal)Interfaces Ethernet o Serial
Web (IExplorer, Netscape, etc)Telnet
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 35
Configuración remota usando SSH
Tradicionalmente, el IOS de Cisco soporta Telnet, el cual usa el puerto 23 de TCP, sin embargo este método no provee ninguna seguridad
SSH (Secure Shell) reemplaza a Telnet, el cual provee la posibilidad de administrar remotamente de forma segura el equipo
Dos versionesSSH Versión 1
SSH Versión 2
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 36
Modos de configuración
Exit o [Ctrl Z]
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 37
Servicios de Red IOS
Small Services – no service tcp-small-servers BOOTP – no iop bootp server Finger – no service finger Hypertext Transfer Protocol (HTTP) – no ip http server SimpleNetwork Management Protocol (SNMP) – no snmp-server Cisco Discovery Protocol (CDP) – no cdp run Remote Configuration – no service config Source routing – no ip source-route Classless routing – no ip classless Network Time Protocol – ntp disable DNS – no ip domain-lookup
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 38
Protocolos de enrutamiento autenticados y filtros de actualización
Un router o dominio no protegido puede ser un blanco fácil para poderle inyectar rutas falsas o rutas intermitentes
Existen dos solucionesRutas estáticas
Rutas autenticadas
Protocolos de enrutamientoOSPF
RIPv2
EIGRP
BGP
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 39
NetSec1V2 Modulo 1
Recomendación Discusión: Seguridad de la Red y Cisco Protección y mantenimiento depuntos de acceso Protección y mantenimiento de la Red Arquitectura de seguridad Seguridad básica con Routers
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 40
Tiene alguna pregunta?
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialBSCI 8 - 5 41
The Human Network:
Changing the way we Work, Live, Play, and Learn.