Embed Size (px)
Citation preview
TECNOLOGÍAS Y SEGURIDAD DE LA
INFORMACIÓN
Introducción a los Principios y Sistemas de Arquitecturas de
Diseño Seguro enRedes .
Ing. Carlos Cervantes Garcés
Seminario Taller
Módulo I
Carlos Enrique CERVANTES GARCÉS
Especialista en Conectividad y Cableado Estructurado
957990882
- Estudios de Especialización y Post Grado en USA/ MEXICO /CHILE
- Mas de 20 años de experiencia en soluciones de Nettworking .
- Mas de 20 años de experiencia en Cableado Estructurado de Fibra y Cobre .
- Implementaciones exitosas en: LAP (Areopuerto de Lima –Perú), MTC, Red
Dorsal de UNMSM , AMBEV, Plan Huascarán , entre otras .
- Ponente y catedrático en las diferentes Universidades del país y Latino
américa.
- Autor de artículos de Tecnologías de Información en medios Especializados .
Conozca al Expositor
2
Índice
Introducción a los Principios y Sistemas de Arquitecturas de Diseño Seguro en Redes
Introducción, la importancia de tener una red segura y como implementar
soluciones actuales . Comparativa del Modelo OSI y TCP/IP.
Arquitectura de Servicios de Seguridad Introducción, conceptos y aplicaciones
Diseño y construcción de redes y sistemas seguros3
T E M A
LA IMPORTANCIA DE
TENER UNA RED
SEGURA Y COMO
IMPLEMENTAR
SOLUCIONES
ACTUALES .
Comparativa del Modelo
OSI y TCP/IP.
01
Un requisito para las instituciones,
empresas y de misión Crítica.
Manejo Centralizado y Control
Un continuo proceso que requiere
implementaciones de Red en
Multiples Niveles.
Establecer políticas consistentes en
sociedades de Banda Ancha.
Definiciones y Conceptos asociados a Seguridad?
Que es la Seguridad Informática ?
Son reglas, políticas y acciones para asegurar la
operatibilidad de una empresa o institución.
Factores de Riesgo
Ambientales
Tecnológicos
Humanos
El Internet está Manejando el Mercado de la Seguridad
Importancia del Valor Comercial en Internet
24x7 acceso de Información
Comercio Electrónico
Cloud Computing.
Redes Privadas Virtuales (VPNs)
El aprendizaje y entrenamiento Interactivo
Conferencias
Empleados Teleworkers
Las Redes Hace 10 Años
PSTN
Frame Relay
X.25
Leased Line
Mobile User
Branch
Office
PSTN
Redes Cerradas
Telecommuter
Modem
Main
Office
Mobile
Workers
Business
Partners
Home
Offices
Regional
Office
Remote
Office
Very
Remote
Office
1000’s of Remote
WorkersInternet/IP VPN
Private
Line
Network
Las Redes Hace 5 Años
Redes Hybridas
Las Redes en la Actualidad
Internet
Telecommuters
Mobile
Users
Branch
Office
Business
PartnerInternet-Based
Extranet (VPN)
PSTN
Internet-Based
Intranet (VPN)
Branch
Office
Redes AbiertasBroadband
ADSL/CABLE
Remote
home
Los Cambios en la SEGURIDAD
Los Negocios están sufriendo cambios dramáticos: E-commerce,
VPNs, aplicaciones y consultas en en la Nube, cloud computing,
etc.)
Las Redes estan evolucionando rápidamente y enforma dinámica,
de los ambientes Cerrados a ambientes completamente abiertos.
Los temas de seguridad son de vital importancia, dado que los
ambientes son dinámicos y Abiertos (entorno Web).
Solo la seguridad en la red nos dará la garantía de Transacciones
correctas, integras y verdaderas.
El Valor de la Seguridad en la Red
Esfuerzo en conjunto para para
obtener un plan único de
seguridad y direción.
Definición de Políticas Internas
de seguridad en la Red.
Gran Escalabilidad de acuerdo
al desarrollo de la
infraestructura.
Inversión de acuerdo a los
niveles de protección deseados.
Normativas de Seguridad Informática
ISO 17799
Código de buenas prácticas para gestión de seguridad
Informática.
ISO / IEC 27002
Especificaciones del Sistema de Administración de
Seguridad de la Información. Pertenece a las familia de
Normas ISO 27000.
ISO 17799
Esta organizada en capítulos de 11 secciones y 39
Objetivos de Control en los que se tratan los distintos
criterios a tener en cuenta en cada tema, para llevar
adelante una correcta GESTION DE SEGURIDAD DE
LA INFORMACIÓN.
Alcance
- Recomendaciones para la gestión de seguridad de la Información.
- Garantías de Continuidad del negocio y auditoría interna.
- Base común para el desarrollo de estándares de seguridad.
EL MODELO OSI (Modelo de Capas)
15
Por qué un Modelo de capas?
Reduce la complejidad
Estandariza interfaces
Facilita la ingeniería modular
Garantiza la interoperatibilidad de tecnologías
Facilita la enseñanza y el aprendizaje
N + 1
N
Garantiza la interoperatibilidad de tecnologías
Modelo OSI
Open System Interface (OSI) = Interconexión de sistemas abiertos
Creado por la Organización Internacional de Estándares (ISO) en 1984
Marco de referencia para crear redes
Utilizado por los fabricantes y diseñadores
Capas
Capa de Aplicación
Provee servicios de red (procesos) para
las aplicaciones.
Por ejemplo, una computadora sobre
una LAN, puede guardar archivos en un
servidor utilizando redirectores de red
provistos por un Sistema Operativo de
red.
Los redirectores de red permiten a las
aplicaciones como Word y Excel “ver” la
red.
Ejemplos: FTP, WWW, Telnet, SMTPl,
etc
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Capa de Presentación
Provee la representación de datos y
formateo de códigos.
El formateo de códigos incluye la compresión y encriptación
Básicamente, la capa de presentacióngarantiza que los datos que llegan desde la red puedan ser utilizados por la aplicación y que la información enviada por la aplicación se pueda transmitir a través de la red.
Protocolo: Define formatos de datos y reglas para convertir de un formato a otro.
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Capa de Sesión
Establece, mantiene y administra las
sesiones entre aplicaciones.
Utiliza el control de diálogo y la separación de
diálogo para administrar la sesión
Protocolo: Administración de tokens, inserción
de puntos de chequeo
Algunos protocolos:
NFS (Network File System)
SQL (Structured Query Language)
RCP (Remote Call Procedure)
ASP (AppleTalk Session Protocol)
SCP (Session Control Protocol)
X-window
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Capa de Transporte
Proveee confiabilidad, control de flujo y corrección de errores a través del uso de TCP.
TCP segmenta los datos, agregando unacabecera de control de información para la secuencia y reconocimiento de lospaquetes recibidos.
La cabecera del segmento incluyetambién los puertos de origen y destinopara las aplicaciones de capa superior
TCP usa ventanas y es orientado a conexión.
UDP no es orientado a conexión.
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Capa de Red
Responsable por el direccionamientológico del paquete y la determinación del camino.
Administración de buffers, control de la congestión, contabilidad, filtraje (firewalls).
X25, Frame Relay y ATM para redes de conmutación, e IP para redes interconectadas.
El direccionamiento es realizado por losprotocolos enrutados como IP, IPX, AppleTalk y DECnet.
La determinación del camino es realizadopor los protocolos de enrutamiento comoRIP, IGRP, EIGRP, OSPF y BGP.
Ultimo nivel que se implementa dentro de la red. Los restantes niveles sólo se implementan en los equipos terminales
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Capa de Enlace de Datos
Provee acceso al medio
Maneja la notificación de errores, la topología de la red, control de flujo y direccionamiento físico de la trama.
Control de Acceso al Medio a través de métodos:
Determinístico—token passing
Non-determinístico—topologíabroadcast (dominios de colisión)
Establece los límite de la trama mediante la inclusión de un patrón de bit determinado al principio y final de la trama. Enviar tramas entre pares
Protocolo: direcciones (de esta capa), implementar Control de Acceso al Medio (MAC)(Ej. CSMA/CD). HDLC, LLC, etc
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Trama Ethernet 802.3
25
Tramas Giant :
Tramas Runt :
Capa Física
Provee los medios eléctricos, mecánicos, de
procedimiento y funcionales para activar y mantener
el enlace físico entre los sistemas.
El medio incluye el flujo de bits y puede ser...
Cable UTP
Cable Coaxial
Cable de Fibra Óptica
La atmósfera
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Comunicaciones de par-a-par
La comunicación entre pares se hace utilizando el PDU de cada capa. Por ejemplo la capa de red del origen y del destino son pares y utilizan paquetes para comunicarse.
Ejemplo de Encapsulación
Al escribir un email. SMTP toma los
datos y los pasa a la capa de
Presentación.
La capa de Presentación codifica los
datos como ASCII.
La capa de Sesión establece una
conexión con el destino con el
propósito de transportar los datos.
Application
Presentation
Session
Transport
Network
Data-Link
Physical
La capa de Transporte segmenta los
datos usando TCP y lo envía a la capa
de Red para el direccionamiento.
La capa de Red direcciona y encamina
el paquete usando IP.
La capa de Enlace de Datos encapsula
el paquete dentro de una trama y lo
direcciona para una entrega local
(MACs)
La capa Física envía los bits por el
medio.
Application
Presentation
Session
Transport
Network
Data-Link
Physical
Ejemplo de encapsulación
Agrupación de ProtocolosTransfer Control Protocol /
Internet Protocol
La pila de Protocolos TCP/IP
TCP / IP
El modelo TCP/IP
La capa de Aplicación:
Maneja protocolos de alto nivel, aspectos de representación, codificación y control de diálogo
Terminal Virtual (TELNET)
Transferencia de Archivos (FTP)
Correo Electrónico (SMTP)
Servicio de Nombres (DNS)
Servicio de Noticias (NNTP)
Web (HTTP)
Windows sockets
Garantiza que los datos estén correctamente empaquetados para la siguiente capa
Equipamiento: Proxy, Gateway
El modelo TCP/IP
La capa de Transporte
Ve aspectos de calidad del servicio, la confiabilidad, el control de flujo y la corrección de errores.
TCP ofrece maneras flexibles y de alta calidad para crearcomunicaciones de red confiables, sin problemas de flujo y con un nivel de error bajo
Mantiene un diálogo entre el origen y el destino mientras empaqueta la información de la capa de aplicación en unidades denominadas segmentos
TCP, UDP, sliding windows
Equipamiento: Switch L4
El modelo TCP/IP
La capa de Internet
Envia paquetes origen desde cualquier red en la internetwork y que estos paquetes lleguen a su destino independiente de la ruta y de las redes que recorrieron para llegar hasta allí
IP es el protocolo que rige esta capa. ICMP, ARP, RARP
Produce la determinación de la mejor ruta y la conmutación de paquetes
Equipamiento
Routers
Switch Layer 3.
TCP/IP
La capa de Acceso a la red
Se ocupa de todos los aspectos que requiere un paquete IP para realizar realmente un enlace físico y luego realizar otro enlace físico
Incluye los detalles de tecnología LAN y WAN y todos los detalles de las capas física y de enlace de datos del modelo OSI
Equipamiento:
Fisica: Repetidores (Hub), Tranceivers
Enlace de Datos: Bridge, Switch, Conversores de Medios
REDES WAN Y TIPOS DE ACCESO A INTERNET
35
Conexiones remotas (geográficamente distantes) a una red:
• LAN – LAN
• PC – LAN
1. Redes WAN Introducción
• Dedicados
•Frame Relay
• ATM
• MPLS
• Conmutados
• Analógicos
• Digitales
Tipos de redes WAN más comunes:
1. Redes WAN
Enlaces Dedicados: Frame Relay
- Es la evolución de las redes X.25
- Red de conmutación de paquetes
- Comparte dinámicamente el ancho de banda
- Emplea técnicas de multiplexación estadística
- Se emplean DTE (propiedad del cliente) y DCE (propiedad del carrier)
- Emplea circuitos virtuales (SVC y PVC) y son identificados por los DLCI
Packet
Switch
DLCI
12 DLCI
41
DLCI
18
DLCI
23
DLCI
23
DLCI
12
DCE
DTE
DTE
DTE
DTE
DTE
DCE
DCE
DCE
Redes WAN
Enlaces Dedicados: ATM
- ATM: Asynchronous Transfer Mode
- Especialmente diseñado para la transmitir múltiples tipos de servicios
- Multiplexación y conmutación de celdas de tamaño fijo (53 byte)
- Red formada por switches ATM y equipos ATM de borde
- Creación de un enlace: Virtual Path (VP) y Virtual Channel (VC).
- VP = Múltiples VC
ATM
SwitchEstación de Trabajo
Servidor de Video
Router
DTE
Switch LAN
ATM
Switch
ATM
Switch
ATM
Switch
Redes WAN
40
Redes WAN
Enlaces Dedicados: MPLS
MPLS es un estándar IP de conmutación de paquetes del IETF, que trata de
proporcionar algunas de las características de las redes orientadas a conexión a las
redes no orientadas a conexión. En el encaminamiento IP sin conexión tradicional, la
dirección de destino junto a otros parámetros de la cabecera, es examinada cada vez
que el paquete atraviesa un router. La ruta del paquete se adapta en función del estado
de las tablas de encaminamiento de cada nodo, pero, como la ruta no puede
predecirse, es difícil reservar recursos que garanticen la QoS; además, las búsquedas
en tablas de encaminamiento hacen que cada nodo pierda cierto tiempo, que se
incrementa en función de la longitud de la tabla.
41
Redes WAN
BENEFICIOS DEL MPLS
La migración a IP está provocando profundos cambios en el sector de las
telecomunicaciones y configura uno de los retos más importantes para los ISP,
inmersos actualmente en un proceso de transformación de sus infraestructuras de cara
a incorporar los beneficios de esta tecnología. MPLS nació con el fin de incorporar la
velocidad de conmutación del nivel 2 al nivel 3; a través de la conmutación por
etiqueta; pero actualmente esta ventaja no es percibida como el principal beneficio, ya
que los Routers Gigabit son capaces de realizar búsquedas de rutas en las tablas IP a
suficiente velocidad como para soportar todo tipo de interfaces. Los beneficios que
MPLS proporciona a las redes IP son:
- Cursar tráfico con diferentes calidades de clases de servicio o CoS (Class of
Service) o grados de calidad de servicio o QoS (Quality of Service)
- Crear redes privadas virtuales o VPN (Virtual Private Networks) basadas en IP.
42
Redes WAN
Enlaces Dedicados: MPLS
MPLS es un estándar IP de conmutación de paquetes del IETF, que trata de
proporcionar algunas de las características de las redes orientadas a conexión a las
redes no orientadas a conexión. En el encaminamiento IP sin conexión tradicional, la
dirección de destino junto a otros parámetros de la cabecera, es examinada cada vez
que el paquete atraviesa un router. La ruta del paquete se adapta en función del estado
de las tablas de encaminamiento de cada nodo, pero, como la ruta no puede
predecirse, es difícil reservar recursos que garanticen la QoS; además, las búsquedas
en tablas de encaminamiento hacen que cada nodo pierda cierto tiempo, que se
incrementa en función de la longitud de la tabla.
Enlaces Conmutados: Análogos
- Hasta 56 Kbps de transmisión
- Emplea la red pública telefónica (PSTN)
- En lado central se usa los sistemas RAS y en el usuario un modem
ModemCentral
TelefónicaCentral
Telefónica
PSTN
Generador de
La llamada
Receptor de
La llamada
Enlace Análogo Enlace Digital
Conversión
D/A
Conversión
A/D
< 56 KbpsPRI
ModemCentral
TelefónicaCentral
Telefónica
PSTN
Generador de
La llamada
Receptor de
La llamada
Enlace Análogo Enlace Digital
Conversión
D/A
Conversión
A/D
< 33.6 Kbps
Enlace Análogo
< 33.6 Kbps
Conversión
A/DConversión
D/A
Enlace Análogo - Análogo
Enlace Análogo - Digital
Redes WAN
Enlaces Conmutados: Digitales
- Nombre común: ISDN o RDSI
- Hasta 128 Kbps de transmisión
- Permite transmisión de voz y datos simultáneamente sobre canales B de 64 Kbps
- Un tercer canal (D) se emplea para señalización
- Servicios: BRI (2 canales B + D) y PRI (según ITU-T, 30 canales B + 2 D)
NT-1Central
Telefónica
Central
Telefónica
PSTN
Generador de
La llamada
Receptor de
La llamada
Enlace Digital
128 KbpsPRI
1. Redes WAN
2
Servidores
Mini
Workstation
E-1
T-3
ATM
FrameRelay
ISDN
SERVIDORES
Satélite
MódemAnalógico
RDSI
Cablemódem
xDSL
Ethernet
PC
Kiosco
Handheld
CLIENTES
INTERNET
Medios de accesos
Acceso Internet
Direcciones IP
Formadas por 4 grupos de 8 octetos (ejemplo: 159.27.122.3)Asignadas por la IANA (Internet Assigner NumberAuthority) que apartir del 2003 pasa a ser ICANN (Corporación de Internet para la Asignación Nombres y números en:
-El RIPE NCC (Résaux IP Européens Network Coordination Centre).
-El LACNIC (Latino américa Centro américa Network Information Centre).
- El ARIN (American Registry for Internet Numbers).
Introducción
Acceso Internet
DNS (Domain Name System) Sistema de Nombres de Dominio:
Es la forma de designar servidores en Internet, a través de una enorme base de datos de correspondencias con IP´s.
Existen servidores DNS con tablas de correspondencias entre nombres y direcciones IP, que son gestionados por los NIC (Network Information Center) de cada país.
rDNS
Introducción
Acceso Internet
48
Muchos servidores de correo electrónico en Internet,
están configurados para rechazar los correos
electrónicos entrantes desde cualquier dirección IP que
no tenga DNS inversa.
Por tanto si usted utiliza su propio servidor de correo,
cómo en el caso de toda nuestra gama de alojamiento
dedicado, debe existir la DNS inversa, para la dirección
IP desde la que el correo saliente se envía.
No importa hacia donde apunta su dirección IP el
registro DNS inverso, siempre y cuando el dominio
esté alojado en ese servidor. Si aloja varios dominios
en un servidor de correo electrónico, simplemente
debe configurar la rDNS para cualquier nombre de
dominio que usted considerare como primario.
rDNS (Reverse Domain Name System)
Acceso Internet
Direcciones URL (Universal Resource Locators)
Definen:Nombre del recurso (nombre de archivo).Nodo de Internet en que se encuentra.Protocolo de acceso al recurso.
Ejemplos:http://www.ie.edu/ie_ingles/index.htm
Protocolo HTTPDirección: www.ie.edu Nodo con IP 195.53.226.130Archivo index.htm
ftp://ftp.consulta.pe/LEEMEProtocolo FTPDirección tfp.consulta.peArchivo LEEME
Introducción
Acceso Internet
Funciones de LACNIC
50
NAP PERÚ (Network Access Point)
Punto de interconexión neutral de acceso a internet y servicios de PeeringPara trafico local.
Metodología de Acceso a Internet Local
Estructura de Acceso a Internet | NAP PERU
www.nap.pe
Explicaciones , en pizarra y con diapositivas de como funciona el NAP
PERÚ, los sevicios de Peering , integrantes , anchos de banda repartidos
para los integrantes .
Bibliografía Digital
52
ICANN contract for IANA, March 2003
IANA website
•ISI/ICANN transition agreement
Bibliografía Digital
53
NAP Peru
www.nap.pe/
Telefonica del Perú | NAPeru - NAP Peru
www.nap.pe/?page_id=356
