Francisco J. Irala

¿Porque es la Seguridad de la LAN tan vital ahora? Históricamente no nos hemos preocupado por la seguridad de la LAN. ¿Qué ha cambiado?

Las nuevas tecnologías y la movilidad de los usuarios han hecho que la seguridad física que tenía nuestra LAN, tenían que entrar en nuestra oficina, haya desaparecido:

- Redes wireless

- Portatiles conectandose en direfentes redes

- Colaboradores externos accediendo a los servidores internos

- Invitados necesitan acceso a internet

Además las nuevas normativas nos obligan a controlar y registrar los accesos a nuestra LAN. Necesitamos saber que esta sucediendo en nuestra LAN.QUIEN.

¿Dónde estamos?

Equipamiento antiguo, redes multivendor

Legislación – auditorías / necesidad de informes/ control

Necesidad de segmentar la LAN

Necesidad de controlar dispositivos no basados en usuario

Caracteristicas de aplicación – PoE para VoIP, wireless

802.1X y otras funciones de seguridad

Rendimiento– Gigabit hasta el puesto (en el futuro)

¿Que se necesita para securizar la LAN?ControlControl

Quien puede acceder a la LAN

Que pueden hacer los usuarios en la LAN

ProtecciónProtecciónDisponibilidad de la LAN

Información corporativa sensible

DocumentaciónDocumentaciónActividad del usuario en la LAN

Quién ha accedido a recursos clave

Autenticación de Usuarios

Autenticación Dispositivos

IPS Interno

Acceso Invitados

Segmentación LAN

NAC

Pre-Admisión - NAC

Internet

Finanzas

Operaciones

Ventas

WLAN Switch

Core Switch

IDS/IDP

Firewall Router

A/D Server

Base de Datos

Access Switch

Access Switch

Access Switch

Instalación de software en los ordenadores

Actualización de las conmutadoras (“switches”) con 802.1x

802.1x Switch

802.1x Switch

802.1x Switch Radius

$$$

$$$

$$$

$$$

$$

Agregado de servidor ACS

ACS Server

Realidad de NAC y 802.1x

La realidad de lo que todo el mundo llama NAC, al igual que la tecnología 802.1x, es que solo nos permiten verificar que un usuario registrado pueda acceder a nuestra LAN, pero no cubre tdos estos puntos:

• Controlar donde acceden un usuarios despues de

validarse

• Registrar que es lo que han hecho

• Validar y controlar dispositivos que no soportan 802.1x

• Validar y controlar colaboradores y/o invitados

Post-Admisión

Internet

Finanzas

Operaciones

Ventas

WLAN Switch

Core Switch

IDS/IDP

Firewall Router

A/D Server

Base de Datos

802.1x Switch

802.1x Switch

802.1x Switch RadiusACS Server

Agregado de cortafuegos a los segmentos de la LAN

Radius

$$$

$$$

$$$

Agregado de servidor de análisis

Agregado de IDS/IDP a los segmentos LAN

$$$

$$$ $$$

$$$

Configuración de políticas de grupos

¿Gestión?¿Mantenimiento? ¿Cómo?

Internet

Finanzas

Operaciones

Ventas

WLAN Switch

Core Switch

IDS/IDP

Firewall Router

A/D Server

Base de Datos

802.1x Switch

802.1x Switch

802.1x Switch RadiusACS Server

Radius

Mantenimiento de firmas

Agregado de monitoresen el puerto de mirror del switch

$$$$

$$

$$

¿Porqué es el Tema de Seguridad tan Dificil?

Simplicity

Security

Performance

Para la empresa es inadmisible sacrificar simplicidad y rendimiento en aras de un modelo abarcador de

seguridad en la LAN

ConSentry – Construyendo una LAN Segura

Internet

Finanzas

Operaciones

Ventas

WLAN Switch

Core Switch

IDS/IDP

Firewall Router

A/D Server

Database Servers

Access Switch

Access Switch

Access Switch

802.1x Switch

802.1x Switch

802.1x Switch RadiusACS Server

Radius

» Alto rendimiento (“performance”)

» Simple

» Efectivo en términos de coste

¿Qué es necesario para tener una LAN segura?

Seguridad

Rendimiento

Simplicidad

ConSentry Networks» Visibilidad y control explícito

» Procesador propio para 10 Gbps

» Dispositivo único, de instalación transparente

Requerimientos

Opción por omisión: permitir

LAN DMZ

Opción por omisión: negar

ConSentry – La Alternativa Simple

``

`` `

` ``

`` `

` ``

`` `

` ``

`` `

`

Internet

De fácil instalación» Caja única (doble en configuración HA) » Transparente para los usuarios y

Tecnología de Internet (TI)Plena visibilidad y control (L7)» Instalada próximo al usuarioMantiene rendimiento y confiabilidad» Opciones de alta disponibilidad (HA)

Lo que ConSentry ProveeSólo personas y sistemas validos son admitidos en la LAN

» Verificación del estado de seguridad a través de un agente disoluble provisto por una tercera empresa (Cisco, MS, TCG)

» Autenticación por tercera empresa (AD, RADIUS)

Control de acceso a los recursos – asignación de derecho en base a roles

» Por usuario, grupo de usuario, aplicación , protocolo, recurso

» Políticas globales, acceso universal (cableado/inalámbrico, local/VPN)

Contención de amenazas en tiempo real

» Protección frente a lo conocido y lo desconocido

» Cuarentena del trafico malicioso, no del anfitrión (“host”)

» Prevención de que otros nodos se conviertan en base de lanzamiento de ataques

Total visibilidad en la capa L7

» Tráfico asociado al usuario

» Respuesta eficiente a incidentes

» Visualización de la información según los parámetros de interés

Satisfaga Muchas Necesidades con una Solución

» Completa visibilidad de la LAN

» Captura de sesión inducida por política

» Control de código malicioso de hora cero

» Prevención de intrusiones internas (IPS)

» Cumplimiento de regulaciones

» Imposición de políticas

» Conexión basada en la identidad

» Segmentación de la LAN

» Control de aplicaciones

» Filtrado de URL

» NAC/802.1x/autenticación de usuarios

» Acceso de invitados/contratistas/pacientes

» Acceso inalámbrico

» Conectores de Ethernet abiertos

Beneficios

Protección de información

Reducción de gastos operativos de TI

Mejoramiento de la continuidad operacional

Reducción de la exposición a riesgo

ConSentry: Focalizado en la Identidad

ConSentry InSight Command Center

finance server

ConSentry LANShield

Active Directory

ConSentry InSight Command Center

`

IBM contractordjones

IBM server

finance server

Internet

guest

wireless employee

Windows login

employee jsmith

“jsmith” = finance

finance server

guest

no login

“djones” = IBM contractor

finance serv

er

IBM serv

er

Windows login

Windows login

Potencia las redes existentes, información de identidad

Transparente a los usuarios

Cableado/inalámbrico

16© 2006 ConSentry Networks CONFIDENTIAL

Autenticación – Active Directory

edge switch

core switch

ConSentry CS2400

Internet

Active DirectoryServer

`

1

user logs into the Active Directory domain with username and password

2

ConSentry “snoops” the Kerberos login by capturing the username

3

Active Directory validates and approves user credentials and responds to host

4

ConSentry “snoops” the Kerberos return packet and grants network access based on AD server response

5

ConSentry tracks and decodes all traffic up to L7 and sends data to InSight

ConSentry InSight Command Center

Capacidades Unicas de ConSentry

Procesador programable de diseño exclusivo Masivo procesamiento en paralelo (CPU con 128 núcleos) Control granular a velocidades de multi-gigabits

Flexibilidad de adaptación Exclusivo software de seguridad Protección contra amenazas cambiantes Aplicaciones especificas de clientes Protocolos cambiantes

Control explícito

» Quiénes son admitidos

» Dónde pueden ir

» Qué pueden hacer

» Cuándo bloquear

LANShield

CPU

LANShieldAccelerator

LANShieldVisualizer

No se Fíen Solamente de Nuestra Palabra

“Necesitamos controlar adónde van, y qué hacen, nuestros usuarios en la LAN. Antes de ConSentry Networks, no podíamos visualizarlos – y mucho menos controlarlos. También debemos evitar que código malicioso impacte la disponibilidad de nuestra red.”

Andre GoldDirector of Information Security

“Hemos tenido que abrir nuestra LAN más allá de nuestros empleados, y ConSentry nos provee una forma simple, de bajo costo, de garantizar que sólo las personas adecuadas ingresen a LAN y que sólo realicen operaciones permitidas”

Lloyd HessionChief Security Officer