Asegurando los Servidores Públicos
Ubicar los servidores en una DMZ (zona desmilitarizada) protegida con firewalls
Ejecutar un firewall en el mismo servidor
Protegerse contra Negación de Servicio
Limitar el número de conexiones por tiempo
Usar sistemas de operación confiables
aplicar los últimos parches de seguridad
Mantener la modularidad
Un servidor web server no debe correr otros servicios
Topologías de Seguridad
Red
Corporativa
Zona desmilitarizada (DMZ)
Web, DNS, Servidores de Correo
Internet
Topologías de Seguridad
Internet
Red Corporativa
Firewall
Zona desmilitarizada (DMZ)
Web, DNS, Servidores de Correo
Asegurando Acceso Remoto vía VPNs (Redes Privadas Virtuales)
Seguridad física
Firewalls
Autenticación, autorización, y registro
Encriptamiento
Passwords de un solo acceso
Protocolos de seguridad
CHAP
RADIUS
IPSec
Asegurando los Servicios de Red
Tratar cada dispositivo de red (enrutadores, suiches, etc.) como nodos de alto valor y reforzarlos contra posibles intrusos
Requerir login IDs y passwords para acceder a los dispositivos
Requerir autorización extra para comandos de configuración riesgosa
NO usar telnet, sino SSH
Cambiar la pantalla de bienvenida
Asegurar las Granjas de Servidores
Implantar la red y los IDs de nodo para monitorear las sub-redes de servidores y los servidores individualmente
Configurar filtros que limiten la conectividad desde el servidor, en caso que que entren al servidor
Arreglar los fallos (bugs) de seguridad conocidos en el sistema de operación del servidor
Requerir autenticación y autorización para acceso y mantenimiento de servidores
Limitar el password de root a pocas personas
Evitar cuentas de invitado genéricas
Asegurar los Servicios de Usuario
Especificar en la política de seguridad qué aplicaciones se permite ejecutas en las PCs de la red
Requerir firewalls personales y antivirus en las PCs de la red
Implementar procedimientos por escrito, que especifiquen como se instala y se mantiene actualizado el software
Pedir a los usuarios que hagan logout al dejar su escritorio
Considerar usar seguridad basada en puertos en los suiches (802.1X)
Asegurando las Redes Inalámbricas
Ubicar las redes inalámbricas (WLANs) en su propia sub-red o VLAN
Simplificar el direccionamiento y hacer más fácil la configuración de filtros de paquetes
Requerir que todas las portátiles inalámbricas tengan firewalls personales y antivirus
Deshabilitar los mensajes (beacons) que difunden el SSID, y requerir autenticación por dirección MAC
Excepto en los casos en que la WLAN es usada por visitantes
Opciones de Seguridad de WLANs
WEP (Wired Equivalent Privacy)
IEEE 802.11i
WPA (Wi-Fi Protected Access)
EAP (IEEE 802.1X Extensible Authentication Protocol)
EAP ligero (Cisco)
EAP protegido (PEAP)
VPNs (Virtual Private Networks)
¿Alguien se sabe algún otro acrónimo?
WEP (Wired Equivalent Privacy)
Definido por IEEE 802.11
Los usuarios deban tener la clave WEB apropiada, que también está configurada en el AP (Access Point)
Clave de 64 o 128 bits(o passphrase)
WEP encripta los datos usando en método de cifrado de flujos RC4
Tristemente célebre por haber sido craqueado
Alternativas a WEP
Mejoras propietarias a WEP
Temporal Key Integrity Protocol (TKIP)
cada trama tiene una única clave WEP
AES (Advanced Encryption Standard)
IEEE 802.11i
WPA (Wi-Fi Protected Access) de Wi-Fi Alliance
EAP (Extensible Authentication Protocol)
Con 802.1X y EAP, los dispositivos asumen uno de tres roles:
El suplicante reside en el cliente de la red inalámbrica
El autenticador reside en el AP
Un servidor de autenticación reside en un servidor RADIUS
EAP (Continuación)
Un suplicante EAP en el cliente obtiene credenciales del usuario, que podrían ser un ID de usuario y un password
El autenticador pasa las credenciales al servidor y se desarrolla una clave de sesión
Periódicamente el cliente debe reautenticarse para mantener conectividad de red
La reautenticación genera una nueva clave dinámica WEP
Variantes de EAP
EAP-TLS: EAP-Transport Layer Security desarrollado por Microsoft
Requiere certificados para clientes y servidores
PEAP: Protected EAP, soportado por Cisco, Microsoft y RSA Security
Usa un certificado para que el cliente autentique al servidor RADIUS, el servidor usa un ID de usuario y un password para autenticar al cliente
EAP-MD5: no tiene manejo de claves o generación dinámica de claves
Usa texto de reto como la autenticación básica WEP
La autenticación es manejada por un servidor RADIUS
Software VPN en Clientes Inalámbricos
La manera más segura de proveer acceso inalámbrico para las corporaciones
El cliente inalámbrico requiere software VPN
Se conecta al concentrador VPN en HQ
Crea un tunel para enviar todo el tráfico
La seguridad VPN provee:
Autenticación de usuarios
Encriptamiento fuerte de datos
Integridad de los datos
Resumen
Uso de un método descendente
El capítulo 2 habla de identificar bienes y riesgos, y desarrollar requerimientos de seguridad
El capítulo 5 habla sobre diseño lógico para seguridad (topologías seguras)
El capítulo 8 habla sobre el plan de seguridad, política y procedimientos
El capítulo 8 también cubre mecanismos de seguridad y la selección de mecanismo adecuado o los diferentes componentes de un diseño de red modular
Página anterior | Volver al principio del trabajo | Página siguiente |