WSSRA

Csar Mendoza.
Fabiola Gutirrez.

Agenda
Introduccin
Objetivo General
Objetivo Especficos
Descripcin del Caso y Diseo
WSSRA y sus Ventajas
Propuesta:
o Zona DMZ y Firewalls
o Reverse Proxy
o Encriptacin por TSL y SSL
o Aplicaciones de Seguridad y Acceso Web
o Equipos

Introduccin
La banca electrnica ha venido a cambiar la forma en que los
bancos funcionan desde hace muchos aos. Mientras antes era
necesario presentarse a una agencia bancaria para realizar
transacciones, ahora todo puede hacerse desde la comodidad del
hogar, desde el lugar de trabajo o desde un simple telfono celular.

Objetivo General
El objetivo principal de este proyecto es brindar una solucin de
seguridad a nivel interno para el Banco X, que sea escalable y que
proporcione al cliente lo necesario para llevar a cabo sus
operaciones.

Objetivo Especficos
Brindar soluciones de seguridad en red que incluyan firewalls y
servidores proxy en todo lo que abarca el concepto a nivel interno.
Proponer una solucin de seguridad para el acceso de usuarios
externos a la web del banco.
Proponer equipos a implementar en la tecnologa.

Descripcin del Caso

Un banco X desea disear y luego implementar una
infraestructura, de tal manera que permita un crecimiento
ordenado, basado en las mejores prcticas, polticas y
procedimientos.
Adicionalmente, este banco a la vez quiere comenzar a expandir
sus negocios, por lo que ha decidido comenzar a brindar servicios a
travs de Internet, estos servicios incluyen transferencia de
dinero, pago de agua, luz y telfono

Diseo
La infraestructura base de WSSRA ser dividida en tres grandes
bloques, la zona internet (comprende el acceso de usuarios externos
hacia la pgina Web del Banco y la salida de usuarios internos hacia
Internet), la zona de conexin (comprende la conexin con
Sucursales, Sociedades Annimas y Convenios) y la zona Interna
(comprende todos los servidores internos y usuarios internos).

WSSRA
Se basa en el suministro de pautas de diseo de escenarios
empresariales y una infraestructura basada en Windows pero con
la idea de poder ser utilizado bajo cualquier otro ambiente, de
forma segura y reproducible creada en un entorno de prueba,
integrada con los socios y previamente probada, lo que permite
una implementacin ms rpida, una previsin ms acertada de los
costos, un menor ndice de riesgos y una obtencin ms rpida de
beneficios.

Ventajas de WSSRA

Orientacin.
Disponibilidad.
Seguridad.
Escalabilidad.
Capacidad de administracin.

Propuesta

Infraestructura para el Sitio Web

Transaccional

Zona Desmilitarizada (DMZ)

Una zona desmilitarizada es una red local, que se encuentra
ubicada entre la red interna de una organizacin y una red externa
(generalmente Internet).
Su principal funcin de la es permitir la prestacin de ciertos
servicios a la red externa, por ejemplo acceso a aplicaciones web
o servicios de correo electrnico, sin comprometer la seguridad de
la red interna, filtrando el acceso a la misma.

DMZ Trpode

DMZ de Firewalls Duales

Zona Desmilitarizada (DMZ)

Este esquema de firewalls duales se ajusta a la arquitectura propuesta por WSSRA en la
gua de implementacin de Web Application Services.
Segn esta gua una infraestructura tpica para aplicaciones web se divide en tres zonas
:
o La zona de Internet que comprende a los usuarios externos que utilizan los servicios
de la aplicacin web.
o La siguiente zona es la zona permetro, que est dentro de la red de la empresa
pero no alberga datos o servicios crticos para la empresa.
o La segunda lnea de defensa consiste en otro firewall que asla la zona de confianza
de backend de la zona permetro. La zona de confianza de backend es donde se
ubica la informacin sensible de la empresa y los servicios y aplicaciones crticas.

Zona Desmilitarizada (DMZ)

Firewalls
Para la implementacin de los
firewalls necesarios para la DMZ se
propone utilizar una configuracin
tolerante a fallos como se indica en
la gua de servicios de firewall de
WSSRA.

Firewalls
Para la implementacin de los firewalls necesarios para la DMZ se
propone utilizar una configuracin tolerante a fallos como se
indica en la gua de servicios de firewall de WSSRA.
Esta configuracin se eligi por la necesidad de que un sitio web
transaccional est siempre en servicio y soporte altas cargas de
trabajo.

Firewalls Duales

Ventajas de Firewalls Duales

Tolerancia a fallos: Si un firewall falla, el otro puede continuar
trabajando y hacerse cargo de que no se interrumpa la
comunicacin.
Monitoreo centralizado: se puede monitorear todo el trfico pues
el mismo pasa por dos dispositivos con buena conectividad.
Pueden compartir estado: Dependiendo del proveedor de los
firewalls los mismos pueden compartir su estado de sesin.

Desventajas de Firewalls Duales

Se aumenta la complejidad de la infraestructura de red pues ahora
el trfico de red puede seguir dos caminos.
La configuracin de los firewalls es ms compleja pues deben
configurar dos dispositivos. Una mala configuracin puede dejar
agujeros de seguridad.

Configuracin de los Firewalls Duales

Para la configuracin tolerante a fallos a su vez se propone usar
una configuracin activa/activa en la cual los dos firewalls
escuchan todos las llamadas a una direccin IP virtual. La carga se
distribuye entre ambos firewalls a travs de un algoritmo que se
encarga de que cada uno procese una parte diferente del trfico.
En caso de que un firewall falle el otro se encargar de procesar
todo el trfico de red. Los dos firewalls a su vez se comunicarn
mediante latidos, es decir seales que indican cuando un
firewall est funcionando correctamente.

Ventajas y Desventajas de la Configuracin

Activa/Activa
Ventajas:
o Eficiencia.
o Alta capacidad de procesamiento.

Desventajas:
o Existe un riesgo de sobrecarga.
o Incremento de la complejidad.
o Configuracin compleja.

Reverse Proxy
Proxy es un servidor que agrupa recursos de
diferentes servidores y los muestra como si su
origen fuera el mismo servidor. Este servidor
permitira dar acceso a servicios y aplicaciones
web que se ubican en la zona de confianza pero
sin dar acceso a los usuarios externos a la misma.
El reverse proxy servir para dar acceso a los
usuarios externos a los componentes de la pgina
web transaccional que interaccionar directamente
con los sistemas centrales del banco. Se ubicar
en la DMZ.

Ventajas de un Reverse Proxy

Oculta las caractersticas y la existencia de servidores que no
deberan poder accederse externamente.
Puede proteger los servidores de ataques DOS y DDOS, pues
funciona como es escudo contra los mismos.
Puede implementar la encriptacin SSL en servidores web que no
la implementan por s mismos.
Pueden reducir la carga de trabajo de los servidores de origen al
guardar datos en cach y comprimir la informacin.

Reverse Proxy Recomendado

Se propone utilizar NGINX Plus que provee:
o
o
o
o

Balanceo de cargas.
Aceleracin web mediante compresin
Encriptacin SSL
Seguridad y anonimizacin.

TSL y SSL
Transport Layer Security (TLS) y Secure Sockets Layer (SSL) son
protocolos criptogrficos que proporcionan comunicaciones
seguras por una red. Utilizan criptografa asimtrica, es decir,
encriptacin de los datos mediante el uso de dos claves, una clave
pblica y una clave privada.
Se propone utilizar TLS 1.2, la versin ms segura hasta el
momento.

Certificado SSL/TLS
Se propone adquirir un certificado SSL/TLS de Symantec, para
implementar un cifrado TLS 1.2.
El certificado recomendado sera la opcin Secure Site Pro with
EV ofrecida por Symantec, con un precio de $2,695 y dos aos de
vigencia. Este es el mismo certificado usado en instituciones
bancarias como BAC Credomatic.

Caractersticas del Certificado

Posibilidad de mostrar el sello de seguridad de Norton,
ampliamente reconocido en el mercado.
Validacin visual mediante un indicador en la barra de direcciones.
Seguro por hasta $1,750,000.
Incluye soporte para escaneo de vulnerabilidades de seguridad,
para evitar ataques de hackers y malware.
Uso de un mecanismo de encriptacin propio de Symantec, adems
de RSA de 2048 bits.

IPsec para la Comunicacin entre Servidores

Se propone usar el protocolo IPsec para la comunicacin entre
servidores.

Diferencias entre IPsec y SSL/TLS

EL intercambio de llaves de encriptacin en SSL/TLS se realiza al
comenzar la comunicacin.
IPsec permite configurar el cifrado mediante certificados.
IPsec trabaja a nivel de S.O. por lo cual se pueden encriptar la
comunicacin en aplicaciones sin realizar ningn cambio en las
mismas, solamente habilitando IPsec en el servidor.

Implementacin de Aplicaciones de
Seguridad y Control de Acceso

El Factor Humano
No rebelar su contrasea a nadie
Cambiar de contraseas cara cierto tiempo.
Disminuir la cantidad de correos basuras.
No responder a cadenas.
Mantener las soluciones activadas y actualizadas.
Evitar realizar operaciones comerciales en computadoras de uso pblico.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en
caso de duda.

Filtros de Seguridad para el Acceso a Internet

Proponemos utilizar Websense TRITON:
Esta solucin combina las tecnologas de seguridad Web, seguridad
de email y seguridad de prevencin de la prdida de datos.
Permite control de acceso a redes sociales, bloqueando
nicamente ciertos cometidos como juegos.
Proporciona bloqueo de Spam.

Antivirus
Proponemos Utilizar Kaspersky Endpoint Security:
Anti-malware de calidad superior.
Proteccin de los sistemas contra ataques de hackers.
Prevencin de intrusiones basado en host.
Millones de usuarios diferentes contribuyen conjuntamente a la
proteccin de tu empresa.
Rpida implementacin y fcil administracin.

Equipos Propuestos

Router: Cisco Serie 3900

Encriptacin para VPNs aceleradas por hardware mediante IPsec y
SSL/TLS.
Comunicaciones Unificadas (Cisco Jabber).

Firewall: Cisco ASA 5580

Es una plataforma de seguridad se rendimiento extremadamente
elevado.
Soporta encriptacin IPsec SSL.
Funciona como concentrador VPN.
Ofrece hasta dos millones de conexiones simultneas.
Soporta un ancho de banda de 10 Gbps como cortafuegos.

Servidor: HPE ProLiant DL380 Gen9

Hasta 2 Procesador Intel Xeon E5-2600 v3.
Hasta 3 TB de memoria de tipo DDR4.

Conclusin
Debido a la alta demanda de usuarios y clientes para lograr acceder
a mltiples servicios de una compaa, desde puntos desconocidos
atreves de internet, estos y otros motivos hacen que la seguridad
que se implemente en la red sea altamente confiable, por la gran
cantidad de datos e informacin que se maneja de suma
importancia es por esto que estudian diversas arquitectura que
buscan el buen manejo de la infraestructura para el mejor servicio.