francisco j. irala. ¿porque es la seguridad de la lan tan vital ahora? históricamente no nos hemos...
TRANSCRIPT
Francisco J. Irala
¿Porque es la Seguridad de la LAN tan vital ahora? Históricamente no nos hemos preocupado por la seguridad de la LAN. ¿Qué ha cambiado?
Las nuevas tecnologías y la movilidad de los usuarios han hecho que la seguridad física que tenía nuestra LAN, tenían que entrar en nuestra oficina, haya desaparecido:
- Redes wireless
- Portatiles conectandose en direfentes redes
- Colaboradores externos accediendo a los servidores internos
- Invitados necesitan acceso a internet
Además las nuevas normativas nos obligan a controlar y registrar los accesos a nuestra LAN. Necesitamos saber que esta sucediendo en nuestra LAN.QUIEN.
¿Dónde estamos?
Equipamiento antiguo, redes multivendor
Legislación – auditorías / necesidad de informes/ control
Necesidad de segmentar la LAN
Necesidad de controlar dispositivos no basados en usuario
Caracteristicas de aplicación – PoE para VoIP, wireless
802.1X y otras funciones de seguridad
Rendimiento– Gigabit hasta el puesto (en el futuro)
¿Que se necesita para securizar la LAN?ControlControl
Quien puede acceder a la LAN
Que pueden hacer los usuarios en la LAN
ProtecciónProtecciónDisponibilidad de la LAN
Información corporativa sensible
DocumentaciónDocumentaciónActividad del usuario en la LAN
Quién ha accedido a recursos clave
Autenticación de Usuarios
Autenticación Dispositivos
IPS Interno
Acceso Invitados
Segmentación LAN
NAC
Pre-Admisión - NAC
Internet
Finanzas
Operaciones
Ventas
WLAN Switch
Core Switch
IDS/IDP
Firewall Router
A/D Server
Base de Datos
Access Switch
Access Switch
Access Switch
Instalación de software en los ordenadores
Actualización de las conmutadoras (“switches”) con 802.1x
802.1x Switch
802.1x Switch
802.1x Switch Radius
$$$
$$$
$$$
$$$
$$
Agregado de servidor ACS
ACS Server
Realidad de NAC y 802.1x
La realidad de lo que todo el mundo llama NAC, al igual que la tecnología 802.1x, es que solo nos permiten verificar que un usuario registrado pueda acceder a nuestra LAN, pero no cubre tdos estos puntos:
• Controlar donde acceden un usuarios despues de
validarse
• Registrar que es lo que han hecho
• Validar y controlar dispositivos que no soportan 802.1x
• Validar y controlar colaboradores y/o invitados
Post-Admisión
Internet
Finanzas
Operaciones
Ventas
WLAN Switch
Core Switch
IDS/IDP
Firewall Router
A/D Server
Base de Datos
802.1x Switch
802.1x Switch
802.1x Switch RadiusACS Server
Agregado de cortafuegos a los segmentos de la LAN
Radius
$$$
$$$
$$$
Agregado de servidor de análisis
Agregado de IDS/IDP a los segmentos LAN
$$$
$$$ $$$
$$$
Configuración de políticas de grupos
¿Gestión?¿Mantenimiento? ¿Cómo?
Internet
Finanzas
Operaciones
Ventas
WLAN Switch
Core Switch
IDS/IDP
Firewall Router
A/D Server
Base de Datos
802.1x Switch
802.1x Switch
802.1x Switch RadiusACS Server
Radius
Mantenimiento de firmas
Agregado de monitoresen el puerto de mirror del switch
$$$$
$$
$$
¿Porqué es el Tema de Seguridad tan Dificil?
Simplicity
Security
Performance
Para la empresa es inadmisible sacrificar simplicidad y rendimiento en aras de un modelo abarcador de
seguridad en la LAN
ConSentry – Construyendo una LAN Segura
Internet
Finanzas
Operaciones
Ventas
WLAN Switch
Core Switch
IDS/IDP
Firewall Router
A/D Server
Database Servers
Access Switch
Access Switch
Access Switch
802.1x Switch
802.1x Switch
802.1x Switch RadiusACS Server
Radius
» Alto rendimiento (“performance”)
» Simple
» Efectivo en términos de coste
¿Qué es necesario para tener una LAN segura?
Seguridad
Rendimiento
Simplicidad
ConSentry Networks» Visibilidad y control explícito
» Procesador propio para 10 Gbps
» Dispositivo único, de instalación transparente
Requerimientos
Opción por omisión: permitir
LAN DMZ
Opción por omisión: negar
ConSentry – La Alternativa Simple
``
`` `
` ``
`` `
` ``
`` `
` ``
`` `
`
Internet
De fácil instalación» Caja única (doble en configuración HA) » Transparente para los usuarios y
Tecnología de Internet (TI)Plena visibilidad y control (L7)» Instalada próximo al usuarioMantiene rendimiento y confiabilidad» Opciones de alta disponibilidad (HA)
Lo que ConSentry ProveeSólo personas y sistemas validos son admitidos en la LAN
» Verificación del estado de seguridad a través de un agente disoluble provisto por una tercera empresa (Cisco, MS, TCG)
» Autenticación por tercera empresa (AD, RADIUS)
Control de acceso a los recursos – asignación de derecho en base a roles
» Por usuario, grupo de usuario, aplicación , protocolo, recurso
» Políticas globales, acceso universal (cableado/inalámbrico, local/VPN)
Contención de amenazas en tiempo real
» Protección frente a lo conocido y lo desconocido
» Cuarentena del trafico malicioso, no del anfitrión (“host”)
» Prevención de que otros nodos se conviertan en base de lanzamiento de ataques
Total visibilidad en la capa L7
» Tráfico asociado al usuario
» Respuesta eficiente a incidentes
» Visualización de la información según los parámetros de interés
Satisfaga Muchas Necesidades con una Solución
» Completa visibilidad de la LAN
» Captura de sesión inducida por política
» Control de código malicioso de hora cero
» Prevención de intrusiones internas (IPS)
» Cumplimiento de regulaciones
» Imposición de políticas
» Conexión basada en la identidad
» Segmentación de la LAN
» Control de aplicaciones
» Filtrado de URL
» NAC/802.1x/autenticación de usuarios
» Acceso de invitados/contratistas/pacientes
» Acceso inalámbrico
» Conectores de Ethernet abiertos
Beneficios
Protección de información
Reducción de gastos operativos de TI
Mejoramiento de la continuidad operacional
Reducción de la exposición a riesgo
ConSentry: Focalizado en la Identidad
ConSentry InSight Command Center
finance server
ConSentry LANShield
Active Directory
ConSentry InSight Command Center
`
IBM contractordjones
IBM server
finance server
Internet
guest
wireless employee
Windows login
employee jsmith
“jsmith” = finance
finance server
guest
no login
“djones” = IBM contractor
finance serv
er
IBM serv
er
Windows login
Windows login
Potencia las redes existentes, información de identidad
Transparente a los usuarios
Cableado/inalámbrico
16© 2006 ConSentry Networks CONFIDENTIAL
Autenticación – Active Directory
edge switch
core switch
ConSentry CS2400
Internet
Active DirectoryServer
`
1
user logs into the Active Directory domain with username and password
2
ConSentry “snoops” the Kerberos login by capturing the username
3
Active Directory validates and approves user credentials and responds to host
4
ConSentry “snoops” the Kerberos return packet and grants network access based on AD server response
5
ConSentry tracks and decodes all traffic up to L7 and sends data to InSight
ConSentry InSight Command Center
Capacidades Unicas de ConSentry
Procesador programable de diseño exclusivo Masivo procesamiento en paralelo (CPU con 128 núcleos) Control granular a velocidades de multi-gigabits
Flexibilidad de adaptación Exclusivo software de seguridad Protección contra amenazas cambiantes Aplicaciones especificas de clientes Protocolos cambiantes
Control explícito
» Quiénes son admitidos
» Dónde pueden ir
» Qué pueden hacer
» Cuándo bloquear
LANShield
CPU
LANShieldAccelerator
LANShieldVisualizer
No se Fíen Solamente de Nuestra Palabra
“Necesitamos controlar adónde van, y qué hacen, nuestros usuarios en la LAN. Antes de ConSentry Networks, no podíamos visualizarlos – y mucho menos controlarlos. También debemos evitar que código malicioso impacte la disponibilidad de nuestra red.”
Andre GoldDirector of Information Security
“Hemos tenido que abrir nuestra LAN más allá de nuestros empleados, y ConSentry nos provee una forma simple, de bajo costo, de garantizar que sólo las personas adecuadas ingresen a LAN y que sólo realicen operaciones permitidas”
Lloyd HessionChief Security Officer