Diseo de Arquitectura de

Diseo de Arquitectura de
Seguridad
Seguridad
Juan Hernn Rodrguez M Juan Hernn Rodrguez M
Consultor Senior Seguridad Consultor Senior Seguridad
rea de Consultora rea de Consultora
NewNet S.A. NewNet S.A.
AGENDA AGENDA
Objetivos Objetivos
Conceptos Conceptos
Beneficios Beneficios
Situacin Actual Situacin Actual
Modelo Mejorado Modelo Mejorado
Modelo Propuesto Modelo Propuesto
A tener en cuenta A tener en cuenta
Preguntas Preguntas
OBJETIVO
OBJETIVO
OBJETIVOS OBJETIVOS
Presentar una propuesta de
arquitectura de seguridad para
mitigar los riesgos tecnolgicos
sobre la Informacin.
Definir las prioridades para la
implementacin de los controles
de la arquitectura diseada.
CONCEPTOS
CONCEPTOS
Modelo de arquitectura de Seguridad
Conceptos Conceptos
Se define como el conjunto de
controles de infraestructura de
TI recomendados para brindar,
un ambiente que minimice los
riesgos asociados a la
utilizacin de tecnologas de
informacin y apoye las
estrategias de negocio.
Modelo de Arquitectura de Seguridad
Conceptos Conceptos
Definicin del esquema de
Autenticacin, Autorizacin y
Auditoria
Definicin de seguridad perimetral
Definicin de conectividad segura
Definicin de esquema de
monitoreo
Definicin de administracin
centralizada
Modelo de Arquitectura de Seguridad
Conceptos Conceptos
Con base en los requerimientos
normativos establecidos en la ISO
27001 y los controles
recomendados en ISO27002, se
establece el marco metodolgico
que apoya la definicin de
Arquitectura de Seguridad
Conceptos Conceptos
Metodologa para el modelo de arquitectura
de seguridad
Levantamiento
de Informacin
de
infraestructura
Anlisis de
Informacin
Descripcin de
la Situacin
Actual
Generacin de
Arquitectura
Mejorada
Generacin de
Arquitectura de
Seguridad
Definicin de
prepliegos
iniciales.
BENEFICIOS
BENEFICIOS
Beneficios Operativos
Identificar opciones de mejora
para la infraestructura
existente.
Incorporar gradualmente
tecnologas de seguridad para
proteger la informacin.
Enfocar el esfuerzo
tecnolgico en controles
necesarios segn el anlisis
de riesgos
Beneficios Beneficios
Beneficios de Gestin
Cumplimiento normativo.
Una gua estratgica para el
establecimiento de controles
de seguridad en cuanto a TI .
Apoyo al cumplimiento del
plan de tratamiento de riesgos
Apoyo a la gestin de
Incidentes de seguridad
Beneficios Beneficios
SITUACIN ACTUAL
SITUACIN ACTUAL
Consolidacin de los resultados del
anlisis describiendo los esquemas
actuales de comunicacin y
prestacin de servicios.
Identificacin de las fortalezas y
debilidades del esquema con base
en esquemas de AAA, seguridad
perimetral, conectividad segura,
esquema de monitoreo y gestin.
Situacin Actual Situacin Actual
Descripcin de la situacin actual
Situacin Actual Situacin Actual
Internet
DMZ MIXTA
192.168.247.0/24
Seguco02
BW Manager,
Filtro de
Contenido
Zona Publica
192.168.248.0/24
Seguco01
Firewall
Seguco03
Firewall
Zona de Acceso
Restringido
192.168.246.0/24
Zona de Desarrollo
192.168.12.0/24
roitsw01
Redes de Usuarios
192.168.X.0/24
Seguco04
Firewall
RAS
192.168.1.65/?
DMZ Nuevo Sistema
Correo
Servidor Anti Virus
Servidor Radius
de Autenticacin
Repositorios
Web
OITEL Correo
Actual
Usuarios administrativa
10.X.0.0/16
192.168.7.X
Un solo Segmento de
nivel 2 con varias redes
nivel 3
Toro
Firewall
Segupa01
NAUTILIUS
NEMO
Roitro01
RUAV
RENATA
SEDE MELENDEZ
VERNE
SERVIDOR DE ARCHIVOS
NOVELL
RED IPX
Cambulos
San Fernando
Av. Sexta
PBX Principal
En Segmento Diferente
PBX Secundaria
en Segmento de correo
PBX Secundaria
en Segmento diferente
PBX Secundaria
en Segmento diferente
Administracin con protocolos
Seguros.
Controles de Acceso
Principio del Menor Privilegio
Control del Mal uso
Cifrado de comunicaciones y
aplicaciones
Servicios restringidos
Cifrado en muchas de las
aplicaciones.
Situacin Actual Situacin Actual
Aspectos Positivos
Alta disponibilidad
Controles adicionales.
Proteccin de informacin
sobre la red.
Mejorar el esquema de
monitoreo y gestin.
Chequeos de seguridad
peridicos
Situacin Actual Situacin Actual
Oportunidades de Mejora
Esquema de gestin.
Control de acceso automtico a
la red.
Prevencin de Intrusos
Correlacin de eventos
Situacin Actual Situacin Actual
Oportunidades de Mejora
MODELO MEJORADO
MODELO MEJORADO
Se genera un modelo incorporando
controles identificados como crticos,
aprovechando al mximo los recursos
actuales, sin generar una mayor
inversin en infraestructura.
Modelo Mejorado Modelo Mejorado
Diseo del Modelo Arquitectura Mejorada
Modelo Mejorado Modelo Mejorado
z
Internet
DMZ MIXTA
192.168.247.0/24
Seguco02
BW Manager,
Filtro de
Contenido
Zona Publica
192.168.248.0/24
Seguco01
Firewall
Seguco03
Firewall
Zona de Acceso
Restringido
192.168.246.0/24
Zona de Desarrollo
192.168.12.0/24
roitsw01
Redes de Usuarios
192.168.X.0/24
Seguco04
Firewall
RAS
192.168.1.65/?
Nuevo Sistema
Correo
Usuarios administrativa
10.X.0.0/16
192.168.7.X
Un solo Segmento de
nivel 2 con varias redes
nivel 3
Toro
Firewall
Segupa01
NAUTILIUS
NEMO
Roitro01
RUAV
RENATA
SEDE MELENDEZ
VERNE
SERVIDOR DE ARCHIVOS
NOVELL
RED IPX
RED DE GESTIN
SEGURA
Servidor Anti Virus
Servidor Radius
de Autenticacin
Repositorios
Web
OITEL
Cambulos
San Fernando
Av. Sexta
Zona Wireless
Actual Sistema
Correo
Fortalecimiento de la gestin y
monitoreo proactivo.
Prevencin de Intrusos
Proteccin de segmentos de la OITEL
Mejorar la resistencia a fallas.
Incorporacin de controles para otros
segmentos.
Mejora de Hardware crtico.
Eliminar servicios y aplicaciones no
soportadas.
Controlar algunas zonas de riesgo
Modelo Mejorado Modelo Mejorado
Recomendaciones
Aplicaciones Aplicaciones
La Red La Red
Servidores Servidores
Infraestructura Infraestructura
MODELO PROPUESTO
MODELO PROPUESTO
Se genera un modelo incorporando
todos los controles identificados
como necesarios, de acuerdo al
anlisis de riesgos y las estrategias
de negocio, buscando
independencia de fabricantes,
definiendo las prioridades de
implementacin y las mejores
practicas sobre cada control
Modelo Propuesto Modelo Propuesto
Diseo del Modelo Arquitectura Seguridad
Modelo Propuesto Modelo Propuesto
Internet
DMZ MIXTA
192.168.247.0/24
Funciones de FW
IPS
En HA
Control de Ancho de Banda
Zona Publica
192.168.248.0/24
Zona de Acceso
Restringido
192.168.246.0/24
Zona de Desarrollo
192.168.12.0/24
CORE en HA
CON ACLs Filtrando
Acceso a
Correo
Redes de Usuarios
192.168.X.0/24
Sistema Correo
OITEL
NAUTILIUS NEMO
RUAV
RENATA
SEDE MELENDEZ
VERNE
SERVIDOR DE
ARCHIVOS
RED DE GESTIN
SEGURA
Funciones de FW
IPS
En HA y HP
Funciones de FW
IPS
En HA y HP
Funciones de FW
IPS
En HA
CORE en HA
CON ACLs Filtrando
Acceso a
OITEL
Proxy
DNS
Inspeccin de Contenido
Servidor Antivirus
Correo
WWW
Servidores
de Seguridad
Usuarios
Servidor
Consola antivirus Servidor
AAA
Servidor
NAC
Red de Administrativa
IPS
Con HA
Wireless
Controller
Zona Publica
Wireless
Zona Quarentena
Remediacin
Cambulos
San Fernando
Av. Sexta
Gestin y monitoreo proactivo.
Prevencin de Intrusos
Alta Disponibilidad y Resilencia.
Cifrado en comunicaciones.
Control de acceso a la red.
Redes inalmbricas
Control de manejo de informacin.
Control de Estaciones de trabajo.
Esquema de manejo de identidad.
Modelo Mejorado Modelo Mejorado
Recomendaciones
A TENER EN
A TENER EN
CUENTA
CUENTA
Se debe evaluar la capacidad de
trfico actual de la red y la
esperada.
Se debe procurar una
infraestructura de red
homognea con caractersticas
de red de ultima generacin.
Incorporacin de elementos de
control de capacidad adecuada.
A tener en cuenta A tener en cuenta
Desarrollar proyectos para la
implementacin de servicios
como NAC, Wireless y redes con
soporte a servicios convergentes.
Generacin de controles para
usuario.
Establecer controles adicionales
para apoyar el marco normativo.
A tener en cuenta A tener en cuenta
Preguntas
Preguntas
y
y
Comentarios
Comentarios
www.newnetsa.com www.newnetsa.com
Diagonal (Calle) 16 No. 60-72
Telfono: 57.1. 4173400
Fax: 57.1. 2605475
BOGOTA DC
Carrera 49 No. 52.170 Of. 406
Telfono: 57.4. 2516353
Fax: 57.4. 2516353
MEDELLIN
Calle 18 No. 8-41 Of. 406
Telfono: 57.6. 3330759
Fax: 57.6. 3359968
PEREIRA
Calle 23N No. 3N-33 Piso 6
Telfono: 57.2. 6671892
Fax: 57.2. 6671892
CALI