Redes Convergentes su Diseo y Proteccin

Mayo 2007 Carlos Meza Cmeza@adistec.com Ciudad de Guatemala

PBX un mundo sin convergencia

PBX Tradicionales
Duplicidad de cables al Escritorio Compatibilidad con la Red de datos ?

Escasa Integracin con aplicaciones de negocio? Lneas ocupadas ? Clientes que no pueden conectarse ? Actualizaciones costosas Administracin separada Escalabilidad limitada. Conectividad limitada Complejo mantenimiento Tecnologa obsoleta? Perdidas de llamadas ?

La historia de la Convergencia.
2007 Han desaparecido en 9 aos mas de 1,500 marcas y compaas PBX 2004 Se produce el punto de inflexin mas lneas convergencia VoIP son compradas que Tradicionales PBX 2002 3Com Invencin de la Primera Central Telefnica convergente SIP 1998 3Com Invencin de la Primera Central Telefnica convergente IP NBX 1992 Primeras redes pblicas de Frame Relay. 1984 CCITT establece recomendacion I.120. ISDN 1973 Bob Metcalfe-3Com Invencin de la Red Ethernet. 1948 - Invencin del Transistor 1892 Strowger Inventa Central Telefnica Automtica 1876 Graham Bell Inventa el Telfono.

Redes Divergentes Muy costosas! $$$

Conexin WAN
Hub Phone

Cnsola recepcin

Router Telecom. Coneccin

Hub Phone

Phone Switch

P B X

Tramas E1 Lnea anloga BRI

Switch

Phone

Estacin de Adm.

Administracin

Granja Servidores

Automated Answer & Voice Mail system

NBX Principio de la Red Convergente

NBX V3000 Vista frontal
Trasnferencia Puerto Cnsola Alerta por falla de hembra DB-9 Externa 10/100 Ethernet energa (PFT) (RJ-11) Parte de Atrs Incluye Conector de Alimentacin Estndard y Conmutador on/off Indicadores por luz

Puerto de Paging (RJ-11) Msica en espera (Miniplug)

Puerto USB (Future Use)

ATA(FXS) RJ-11

Puertos anlogos CO (4)

Integra gateway que soporta 4 lneas anlogas (CO) lneas

Desconecta las lneas anlogas del sistema viejo y ponlas aqu. Dramticamente acelera la implementacin y reduce los costos.

CONVERGENCIA = Simplificacin de Diseo

Telfono

Cnsola Recepcin

Telfono

Trama E1 Lneas Anlogas

Telfono

Coneccin WAN

Telfono

Administrador

Granja de servidores

Implementacin de usuarios remotos

Convergencia Completa
Voice Applications Data Switching

Wireless

Wired/Wireless Devices

3Com NBX 3100 Entry Phone

3Com NBX 3101 Basic Phone

3Com NBX 3101 Basic Phone w/ Speaker

3Com 3102 Business Phone

3Com 3103 Manager Phone

3Com NBX 3105 Attendant Console

3Com 3108 Wireless Phone

3Com 3106 Cordless Phone

3Com 3107 Cordless Phone

3Com Polycom SSIP 3000 Device

Diseo de redes convergentes

Simplificacion de la red Nuevas Funcionabilidades y aplicaciones Crecimiento con la Organizacion Estandard de Convergencia

Proteccion redes Convergentes

Estrategias tradicionales:
Firewalls y Sistemas de Deteccin de Intrusos IDS.
Firewall.
Excelente para bloquear trfico hacia los puertos que no estn ofreciendo servicios pblicos. Pobre en filtrajes provenientes de trficos relacionados con servicios que estn permitidos. Incapaz en detener ataques que provengan del lado interno 80% de los ataques ALERT!

Sistema de Deteccion de Intrusos. (Intrusion Detection Systems)

Excelente en detectar muchos tipos de ataques a la Red Pobre en prevenir que estos ataques tengan xito.

Huecos en los Firewall hoy da !!!

-2 FTP

P-80 HTT
37 -313 fice kOri ac

P S MT

-25

Estrategias Tradicionales: Firewalls y Sistemas de Deteccin de Intrusos IDS

Firewall Ataque externo que penetra el FW Servidor y Cliente Vulnerable

ack At t

ALERT! Hueco de ataque por un puerto

IDS

Ataque Interno tiene Aceso Total

Defensa Tradicional falla en el 80% de todos los ataques.

Estrategia Tradicional: Parchar sistemas individualmente

Firewall
Ataque externo que penetra el FW

Servidor y Cliente parchado

ALERT!
Hueco de ataque por un puerto

Multiplicado por cientos de Multiplicado por cientos de servidores yyclientes servidores clientes Problema de escalacin Problema de escalacin

IDS

Misin imposible parchar al mismo ritmo.

Estrategia de la seguridad en el desktop

Aplicaciones de Software de Cliente Pop Up Blocker Spyware Adware Anti-Virus Personal FW Content Filter Spam Filter IPSec Client Citrix Client

NO MAS SOFTWARE EN PC

X 100s de usuarios = Inmanejable

SO dependiente Dispositivo dependiente Pesadilla de actualizacin Conjunto dispar de solucin

No otro software de seguridad para el desktop que requiera ser comprado, configurado, instalado, mantenido y administrado

Proteccin en Lnea
PROTEGE:
Aplicaciones Microsoft Aplicaciones Oracle Sistemas Operativos Linux O/S VoIP

ATAQUE:
Gusanos/Walk-in Worms Virus Trojans Ataques DDoS Ayaques Internos Accesos Noautorizados Spyware

PROTEGE:
Routers (e.g. Cisco IOS) Switches Firewalls (e.g. Netscreen, CheckPoint FW1) VoIP

ATAQUE:
Gusanos/Walk-in Worms Virus Trojans Ataques DDoS SYN Floods Anomala deTrfico

PROTEGE:
Ancho de Banda Capacidad del Server Trfico de Misin-Critica

ATAQUE:
Aplicaciones Peer-to-Peer Instant Messaging NO Autori. Aplicaciones NO Autorizadas Ataques DDoS

Defensa proactiva a los activos de la red

Los ataques son detectados y bloqueados a la misma velocidad de la red con las funciones del

IPS Tipping Point

Tipping Point

Los ataques son detenidos antes de causar daos a la red o a cualquiera de sus dispositivos

Vacuna Digital Precisin en la Seguridad

Exploit A Fingerprint Exploit B Fingerprint
(Perdido por diseo a la firma del exploit A)

Vulnerabilidad Fingerprint

Virtual Software Patch

Falso Positivo
(firma especfica)

Filtro Simple Para el Exploit A

Trmino Vulnerabilidad Exploit

Definicin Desperfecto o huecos de seguridad en programa de software >Programa que aprovecha una vulnerabilidad para bloquear o ganar acceso no autorizado a un elemento de la red, computadora, SO o Aplicacin Escrito unicamente para un exploit especfico El desarrollador del Filtro lo disea con limitaciones del desempeo Impacto Ataques perdidos, falsos positivos y vulnerabilidad continuada

Filtro Exploit

Filtro a Vulnerabilidades deTippingPoint acta a la vulnerabilidad completa y en forma precisa. virtual software path

MS Tuesday Vacuna Digital Liderazgo en la ejecucin.

Anuncios mensuales de vulnerabilidades Microsoft (MS Tuesday) Muy buena medida para medir Tiempos y Cobertura:
Regular y planeado Al alcance del pblico Afecta a la mayora de los usuarios Proporciona informacin Histrica y continua. Cobertura completa
100% 77% 71% 60% 50% 38%

Cobertura a Tiempo

Proteccion de Redes

Mtodos Tradicionales colapsaron. IPS TippingPoint proteccin en Lnea. Corregir siempre la vulnerabilidad. Cobertura completa Microsoft Security Seguridad VoIP. www.voipsa.org. Escalabilidad del Ancho de banda desde 10 Meg hasta 5 Gig de throughput efectivo.

Redes Convergentes su Diseo y Proteccin

Mayo 2007 Carlos Meza Cmeza@adistec.com Ciudad de Guatemala