SlideShare ist ein Scribd-Unternehmen logo

0 .Keynote.Sisar.Guia

G
guestabcf13
TechnologieReisen
1 von 28
Downloaden Sie, um offline zu lesen
Sistema Integral de Seguridad y Acceso a la Red para un departamento de la UPC Albert Marques etsetb - 2008 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 2
Departamento de Ingeniería del Terreno, Cartográfica y Geofísica (ETCG). UPC • Campus Nord, edificio D2. • Asociado a la Escuela de Caminos (ETSECCPB) • Departamento mediano (~150 personas) 3 Departamento de Ingeniería del Terreno, Cartográfica y Geofísica (ETCG). UPC Servicios Informáticos ETCG (SIETCG) • 1 responsable de sistemas, 1 becario • Servicio ficheros, impresión, calculo científico, intranets, wifi. • >20 Servidores, >150 estaciones de trabajo, >80 portátiles. • Conexión a troncal gigabit UPC (<2004, conexión directa) 4
• Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 5 Problemática. Punto de partida Hasta 2004, la seguridad se gestionaba a nivel de máquina: • Antivirus con gestión centralizada • Herramientas anti ‘spyware’ y troyanos • Directivas de Windows (Directorio Activo) 2004 ! Ataques a vulnerabilidades Windows ! problemas graves La dirección del departamento impone restricciones: • Impacto mínimo sobre el rendimiento de la red • El sistema se debe poder recuperar por personal “no técnico” 6
Problemática. Diseño LAN ETCG 2004 Firewall en modo bridge: • Se mantiene topología de red • Permite ‘bypass’ pasivo • Permite nuevas funcionalidades (WLAN) 7 Problemática. Diseño LAN ETCG 2004 La infraestructura implementada en 2004 solucionó el problema, pero poco a poco, ha quedado obsoleta, debida a las siguientes limitaciones: • LAN ETCG permite sólo 254 direcciones de red válidas • desbordado en 2007 ! soluciones alternativas (DHCP altern). • Servidores, impresoras y estaciones en mismo segmento de red ! no existe control de acceso • WLAN sin autenticación, control de acceso mediante clave compartida (PSK). • El software utilizado en el firewall no permite IDS de red activo, ni reglas de acceso de salida, ni VPN. 8
Objetivos Funcionales La dirección de ETCG y SIETCG establecieron los objetivos funcionales del proyecto. • Solución escalable a largo plazo, no debe haber limitación de direcciones para instalar los equipos que sean necesarios. • Robustez y recuperación sencilla (objetivos 2004) • Compatibilidad hacia atrás • Identificación comunicaciones (posiblemente obligatorio en un futuro). • Control de acceso a servidores y servicios públicos (impresoras). • Autenticación WLAN (no PSK, user/pass). • Deseables nuevas funcionalidades (o posibilidad): IDS activo, VPN, redundancia en acceso a troncal, etc. 9 Objetivos no Funcionales Los objetivos no funcionales vinieron dados por la política de UPC y de SIETCG. • Hardware “estándard”, mínimo 3 años de garantía. Distribuidores habituales. Equipo similar a los ya existentes. • En la medida de lo posible, software libre. Si no es posible, software de licencia UPC ! Coste de licencias cero. • Mínimo impacto en la implantación para las tareas del departamento (horarios de baja intensidad de trabajo) 10
• Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 11 Análisis Del análisis de los objetivos se extraen las líneas a seguir por el diseño de la infraestructura. Definen la topología a implementar, y las características del software a utilizar • Ampliación del número de direcciones ! direccionamiento privado. • Identificación y control de acceso ! división en subredes (WAN, LAN, WLAN y DMZ). • Autenticación de WLAN ! tecnologías de portal cautivo. • Robustez y tolerancia a errores ! redundancia. 12
Topología diseñada quot; BENEFICIOS Escalable: • ~65000 máquinas en LAN • ~65000 máquinas en DMZ • ~250 máquinas en WLAN Identificación y control de acceso: • Firewall controla acceso a y desde DMZ • Firewall con portal cautivo para WLAN # INCONVENIENTES • No hay posibilidad de ‘bypass’. • Firewall es el punto crítico 13 El firewall. Software • El firewall es el punto crítico de la topología diseñada. • Se escoge un firewall software, ya que es más económico y flexible • Se puede implementar en una máquina estandard con software libre. Se evalúan diversas alternativas, en entorno de test: • IPCop (!conocido; $ poco flexible, pocas funcionalidades) • m0n0wall (!documentación, estabilidad; $ embedded) • pfSense (!todas las funciones, redund.; $ muy poca documentación) • Smoothwall (!sencillo, soporte; $ free? poco corporativo) • Microsoft ISA Server (!capa aplicación, VPN; $ Ms, requisitos) • Ubuntu Linux con iptables (!todas las funciones; $ complejo) 14
El firewall. Software Finalmente, se decide implementar con pFsense. La decisión no es firme, ya que se debe validar el rendimiento en entorno real. Implementación con las mismas funcionalidades del firewall de 2004 en un entorno de test (compatibilidad). Firewall en explotación durante un fin de semana (funcionalidades). Firewall en explotación con carga habitual (rendimiento). Nuevas funcionalidades: implementación final. 15 El firewall. Hardware Se compra un equipo muy potente, con la subvención de UPC para el 2007, moderadamente sobredimensionado y con 4 años de garantía: Dell PowerEdge 1950 Procesador Intel Quad-Core Xeon • 2 Gbytes de memoria RAM • 250 Gbytes de disco duro • Tarjeta de red integrada Broadcom Gigabit Dual • Dos tarjetas de red Intel Pro1000PT Dual port Server Adapter • Conectores de VGA y USB (teclado y Mouse) frontales. • Lector de DVD • 4 años de garantía, “Next Business Day” • 16
• Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 17 Implementación • Implementación de topología con VLAN. • Asignación de direcciones con DHCP y reservas. • NAT, PAT y Acceso externo mediante IPs virtuales. • Politica de reglas lista blanca y administración basada en grupos. • Portal Cautivo para WLAN, conexión con Directorio Activo. • OpenVPN para roadwarrior (limitado). • SNORT: IDS activo (IPS). • Monitorización de sistema: integración con Nagios y desde pFSense. • Monitorización e identificación de conexiones: ntop (servidor auxiliar). • Alta disponibilidad, planes de contingencia 18
Puesta en explotación real. Incidencias Único problema con acceso al ERP desde Administración (VPN). Se pacta una solución con admins de ERP: se debe crear una nueva red, con direccionamiento real de UPC para administración. Para la nueva red, el router será el firewall: • Nueva VLAN para Administración ! modificación topología. • Reglas en routers UPC. 19 Puesta en explotación real. Incidencias Solución plenamente funcional con todos los servicios 20
Puesta en explotación real. Validación Con la solución plenamente funcional, se realizan pruebas de rendimiento. Las pruebas validan la infraestructura (rendimiento superior a top. 2004) Evaluación de los objetivos: Funcionalidad ! Escalabilidad ! Compatibilidad con servicios previos ! Identificación y monitorización ! Robustez y recuperación sencilla $ 21 Alta disponibilidad pFSense dispone de un sistema de redundancia activa: CARP (“IPs virtuales compartidas”). Mediante CARP los nodos secundarios no son activos ! se usará el antiguo hardware de firewall como nodo secundario Diferentes plantas, y diferentes líneas eléctricas para los nodos, aseguran robustez frente a caídas de los sistemas, y a incidencias “físicas”. Se garantiza la no necesidad de plan de recuperación de la máquina, ni de sistemas de “bypass” alternativos. Funcionalidad ! Escalabilidad ! Compatibilidad con servicios previos ! Identificación y monitorización ! Robustez y recuperación sencilla ! 22
Alta disponibilidad. Topología 23 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 24
Planificación temporal Planificación inicial seguida estrictamente y revisada según evolución. 2 hitos: Implementación en entorno real (durante Semana Santa de 2008) y puesta en explotación (dos semanas después). Dedicación aproximada de 450 horas de Ingeniero. Planificación de tareas gestionada a través de un diagrama de Gantt, con Microsoft Project. 25 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 26
Resultado final ! Objetivos Cumplidos 27 Beneficios • Usuarios: garantía de una red segura, con una alta disponibilidad de servicio, y nuevas funcionalidades. • Departamento: posibilidad de crecimiento. Incremento de productividad (minimizando problemas de seguridad). Infraestructura de bajo coste. • SIETCG: Herramientas de seguridad preventiva. “Felicidad” de los sistemas, al estar en un entorno limpio. Nuevas funcionalidades. • Universidad: difusión y consultoría para unidades interesadas en un sistema análogo. 28
Beneficios como estudiante • Trabajo en un entorno real, con necesidades reales, sin posibilidad de dar pasos en falso. • Contacto con todos los estratos del departamento: dirección, administración, servicios técnicos y usuarios. • Planificación temporal con hitos estrictos y recursos económicos limitados. • Orientación a resultados. • Implementación de un sistema poco documentado, de características muy avanzadas. • Trabajo con herramientas de software libre. 29 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 30
Futuro • Implementación de nuevas funcionalidades que pfSense permite (dual wan, proxy cache, traffic shaping). • Colaboración en el desarrollo de nuevos paquetes para pfSense (nagios?). • EDUROAM + XSF ETCG en todo el edificio 31 Difusión • Documentación disponible en ‘Espai TIC de la UPC’ para todo el personal TIC. • Seminario técnico sobre el proyecto realizado en la “Segona Trobada dels Serveis Informàtics de la UPC” • UPC Commons. • Publicación de los documentos y colaboración en los foros de pfSense y m0n0wall. 32
Demo 33 Dudas o sugerencias 34
Sistema Integral de Seguridad y Acceso a la Red para un departamento de la UPC Anexo Técnico Albert Marques etsetb - 2008 • Detalle de Topologías • Consideraciones Técnicas 2
Topología inicial sin seguridad 3 Primera implementación en 2004 (pre-SISAR) 4
Topología diseñada 5 Topología implementada sin redundancia 6
Topología implementada con redundancia 7 • Detalle de Topologías • Consideraciones Técnicas 8
Topología de red e instalación firewall Se divide la red en VLAN, una por cada subred, y se asignan los puertos según los equipos. Se usa Cisco Network Assistant (gráfico y sencillo). pFsense permite conectar a un puerto de múltiples VLAN (trunk), y conectarse a ellas a través de una sola interfaz de red, pero de momento no se usará (maximizar rendimiento). Se instala pfSense en la máquina, con conectividad directa a los equipos de red (cada subred, una interfaz a gigabit). Se realiza instalación en el disco duro del servidor. Subred VLAN id Dirección red Interfaz fw IP Firewall WAN 51 147.83.51.0/24 em0 147.83.51.2 LAN 1 172.16.0.0/16 em1 182.16.1.1 DMZ 50 172.18.0.0/16 em2 172.18.0.1 WLAN 4 192.168.101.0/24 bce0 192.168.101.1 9 Direccionamiento (dhcp, dns) Aprovechando el cambio de topología, se usará DHCP con reservas para todos los equipos, lo que mejora el control sobre las estaciones de trabajo y permite los cambios de una manera rápida. En cuánto a DNS, las estaciones de trabajo requieren un DNS en servidor Windows. Se utiliza la tecnología “DNS forwarder” de pfSense, de manera que las consultas al DNS siguen el siguiente esquema: DNS DNS DNS estación UPC fwetcg w2k3 trabajo BBDD BBDD 10
Servicios visibles desde el exterior: NAT Se utiliza proxy ARP: el firewall captura todas las peticiones de las direcciones publicas y responde a ellas con el tráfico que recibe de los equipos de direccionamiento privado. NAT: Network Address Translation: tecnología que utiliza el firewall para pasar peticiones externas (ip pública) a máquinas internas (ip privada). Dos opciones: • NAT 1:1 (todas las peticiones a A se redireccionan a B). • PAT (todas las peticiones al puerto P1 de A se redireccionan al puerto P2 de B). La primera es para publicar una máquina completa, la segunda para publicar servicios (más segura). Outgoing NAT: se pueden definir las direcciones con las que una máquina interna (IP privada) se ve desde el exterior. 11 Reglas de filtrado Las reglas de filtrado definen el comportamiento de los firewalls. Se aplican sobre el tráfico que llega a una interfaz del firewall. Si el tráfico cumple con las condiciones de una regla, se le aplica la acción asociada a esa regla, sino, se sigue con la siguiente. 2 políticas: denegar por defecto (ultima regla deshecha el tráfico) o aceptar por defecto. Se usará denegar por defecto (casi se evita el P2P). Acciones asociadas a una regla: aceptar, bloquear o rechazar. Además permiten registrar un evento. El orden de las reglas es muy importante, ya que definen el comportamiento y el rendimiento de la infraestructura. El uso de alias o grupos simplifican mucho la administración (como en toda la administración de sistemas). Se usarán grupos para definir servicios (Voip, Web, ficheros, etc) y grupos de direcciones (servidores web, servidores de calculo, etc) 12
Reglas de filtrado 13 Portal Cautivo Tecnología de validación para la WLAN. La red pasa a ser abierta, y en el momento en el que el usuario se conecta y abre cualquier página web, aparece una ventana solicitando las credenciales. Si se validan, se redirige a la web solicitada. Configurado mediante RADIUS para validar contra el Directorio Activo de Windows: 1 cuenta para todos los servicios de SIETCG 14
Acceso remoto mediante VPN La implementación de OpenVPN en pfSense 1.2 (ultima estable) no es completa, ya que no asigna una interfaz a las conexiones provenientes de túneles VPN ! No se pueden controlar los accesos a las diferentes redes. Sólo se habilitará VPN para el personal de SIETCG, con fines de administración remota. Es plenamente funcional. Una de las líneas de trabajo para pfSense 1.3 (prevista para otoño de 2008) es la implementación completa de OpenVPN ! Se implementará como método de acceso remoto para los usuarios. 15 Sistema de Detección de Intrusos SNORT: The facto standard for intrusion detection/prevention Sistema de detección de intrusos de red. Comprueba el tráfico con unos patrones descargados del servidor de Snort, para identificar tráfico sospechoso, y genera alertas. Permite bloquear las direcciones que generan una alerta durante un período de tiempo: IDS Activo. Genera muchos falsos positivos (ej: publicidad en una web detectada como cross-site scripting), requiere de un proceso de configuración muy detallado. 16
Monitorización del Sistema Integrado con NAGIOS, el monitor del sistema del departamento, aunque de manera limitada (no hay cliente de Nagios para pFSense) Sistema de alarmas (mail, sms), que avisa cuando hay incidencias. Permite monitorizar incluso parámetros físicos. 17 Monitorización del Sistema Desde la propia consola de pfSense se pueden monitorizar parámetros relativos al hardware de la máquina, o al tráfico de red. 18
Monitorización de la red NTOP: Software que monitoriza y genera estadísticas del tráfico de red Se puede implementar en el mismo firewall (es un paquete instalable), pero consume muchos recursos, con lo que no es recomendable. Se ha implementado con el servidor de soporte (nagios). Para ello, se ha configurado un puerto en el switch, mediante SPAN, que recibe todo el tráfico de todas las VLAN. Base de Datos: permite obtener estadísticas de tráfico históricas, así como consultas complejas sobre una máquina o un grupo. Flexible, y con una interfaz de administración y gestión sencilla y por web. 19 Monitorización de la red 20
Coste económico Coste Coste Coste Coste mant y = + + total equipo implement. explotac Coste total aproximado de 33800 !, durante los 5 años de vida previstos Coste relativo aproximado de <3 ! por persona y mes para todo el departamento INFRAESTRUCTURA DE BAJO COSTE 21

Empfohlen

Projecte SISAR
Projecte SISARProjecte SISAR
Projecte SISARAlbert Marques
 
Practica 4 Redes II
Practica 4 Redes IIPractica 4 Redes II
Practica 4 Redes IILuis Reyes
 
DiseñO De Red
DiseñO De RedDiseñO De Red
DiseñO De RedByron Simbaña
 
Que es un Ngfw - Palo Alto - luislo es1
Que es un Ngfw - Palo Alto - luislo es1 Que es un Ngfw - Palo Alto - luislo es1
Que es un Ngfw - Palo Alto - luislo es1 lulops
 
Paso a paso:guia básica para lograr un sistema de seguridad en redes LAN
Paso a paso:guia básica para lograr un sistema de seguridad en redes LANPaso a paso:guia básica para lograr un sistema de seguridad en redes LAN
Paso a paso:guia básica para lograr un sistema de seguridad en redes LANjsebastianrod
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Guia De Referencia Y Mantenimiento
Guia De Referencia Y MantenimientoGuia De Referencia Y Mantenimiento
Guia De Referencia Y MantenimientoAntonio Garrido
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...RootedCON
 

Empfohlen

Projecte SISAR
Projecte SISARProjecte SISAR
Projecte SISARAlbert Marques
 
Practica 4 Redes II
Practica 4 Redes IIPractica 4 Redes II
Practica 4 Redes IILuis Reyes
 
DiseñO De Red
DiseñO De RedDiseñO De Red
DiseñO De RedByron Simbaña
 
Que es un Ngfw - Palo Alto - luislo es1
Que es un Ngfw - Palo Alto - luislo es1 Que es un Ngfw - Palo Alto - luislo es1
Que es un Ngfw - Palo Alto - luislo es1 lulops
 
Paso a paso:guia básica para lograr un sistema de seguridad en redes LAN
Paso a paso:guia básica para lograr un sistema de seguridad en redes LANPaso a paso:guia básica para lograr un sistema de seguridad en redes LAN
Paso a paso:guia básica para lograr un sistema de seguridad en redes LANjsebastianrod
 
Red Wifi con políticas de seguridad
Red Wifi con políticas de seguridadRed Wifi con políticas de seguridad
Red Wifi con políticas de seguridadiesgrancapitan.org
 
Guia De Referencia Y Mantenimiento
Guia De Referencia Y MantenimientoGuia De Referencia Y Mantenimiento
Guia De Referencia Y MantenimientoAntonio Garrido
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...RootedCON
 
Mobile Data Offloading
Mobile Data OffloadingMobile Data Offloading
Mobile Data OffloadingFernando Manso
 
Virtualizacion del puesto de trabajo
Virtualizacion del puesto de trabajoVirtualizacion del puesto de trabajo
Virtualizacion del puesto de trabajoAlejandro Marin
 
Redes virtuales privadas (VPN)
Redes virtuales privadas (VPN)Redes virtuales privadas (VPN)
Redes virtuales privadas (VPN)Verónica Es'Loo
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoOscar Lombas Otegui
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxGrupoInnsumoda
 
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)mcanalo
 
Andres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres Ricardo
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Tesis loGIS Beta
Tesis loGIS BetaTesis loGIS Beta
Tesis loGIS Betavbazurto
 
PPT_-_PROYECTO_DE_REDES.pptx
PPT_-_PROYECTO_DE_REDES.pptxPPT_-_PROYECTO_DE_REDES.pptx
PPT_-_PROYECTO_DE_REDES.pptxHELLENFLORES5
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterCristian Garcia G.
 
Sesion 00 - Presentacion Y Consideraciones (2007-2)
Sesion 00 - Presentacion Y Consideraciones (2007-2)Sesion 00 - Presentacion Y Consideraciones (2007-2)
Sesion 00 - Presentacion Y Consideraciones (2007-2)eriveraa
 
Evaluación y administración de proyectos
Evaluación y administración de proyectosEvaluación y administración de proyectos
Evaluación y administración de proyectosmiguel ivan garcia
 
Monitoreo de los servicios de telefonía IP con OpenNMS
Monitoreo de los servicios de telefonía IP con OpenNMSMonitoreo de los servicios de telefonía IP con OpenNMS
Monitoreo de los servicios de telefonía IP con OpenNMSDiego Fernando Carrera Moreno
 
ES_03_2022_Cloud_Guia_Rapida.pdf
ES_03_2022_Cloud_Guia_Rapida.pdfES_03_2022_Cloud_Guia_Rapida.pdf
ES_03_2022_Cloud_Guia_Rapida.pdfEnGeniusIberia
 
Tecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosTecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosAndy Juan Sarango Veliz
 
Sistema MvsNET - Central de Monitoreo
Sistema MvsNET - Central de MonitoreoSistema MvsNET - Central de Monitoreo
Sistema MvsNET - Central de MonitoreoSiceP Mexico
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la redSantiago Bernal
 
Proyecto Claudia Gasca Alberto
Proyecto Claudia Gasca AlbertoProyecto Claudia Gasca Alberto
Proyecto Claudia Gasca Albertoliz512
 
Comunicaciones para entornos críticos
Comunicaciones para entornos críticos Comunicaciones para entornos críticos
Comunicaciones para entornos críticos Cartronic Group
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 

Weitere ähnliche Inhalte

Ähnlich wie 0 .Keynote.Sisar.Guia

Mobile Data Offloading
Mobile Data OffloadingMobile Data Offloading
Mobile Data OffloadingFernando Manso
 
Virtualizacion del puesto de trabajo
Virtualizacion del puesto de trabajoVirtualizacion del puesto de trabajo
Virtualizacion del puesto de trabajoAlejandro Marin
 
Redes virtuales privadas (VPN)
Redes virtuales privadas (VPN)Redes virtuales privadas (VPN)
Redes virtuales privadas (VPN)Verónica Es'Loo
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoOscar Lombas Otegui
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxGrupoInnsumoda
 
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)mcanalo
 
Andres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres Ricardo
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Tesis loGIS Beta
Tesis loGIS BetaTesis loGIS Beta
Tesis loGIS Betavbazurto
 
PPT_-_PROYECTO_DE_REDES.pptx
PPT_-_PROYECTO_DE_REDES.pptxPPT_-_PROYECTO_DE_REDES.pptx
PPT_-_PROYECTO_DE_REDES.pptxHELLENFLORES5
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterCristian Garcia G.
 
Sesion 00 - Presentacion Y Consideraciones (2007-2)
Sesion 00 - Presentacion Y Consideraciones (2007-2)Sesion 00 - Presentacion Y Consideraciones (2007-2)
Sesion 00 - Presentacion Y Consideraciones (2007-2)eriveraa
 
Evaluación y administración de proyectos
Evaluación y administración de proyectosEvaluación y administración de proyectos
Evaluación y administración de proyectosmiguel ivan garcia
 
Monitoreo de los servicios de telefonía IP con OpenNMS
Monitoreo de los servicios de telefonía IP con OpenNMSMonitoreo de los servicios de telefonía IP con OpenNMS
Monitoreo de los servicios de telefonía IP con OpenNMSDiego Fernando Carrera Moreno
 
ES_03_2022_Cloud_Guia_Rapida.pdf
ES_03_2022_Cloud_Guia_Rapida.pdfES_03_2022_Cloud_Guia_Rapida.pdf
ES_03_2022_Cloud_Guia_Rapida.pdfEnGeniusIberia
 
Tecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosTecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosAndy Juan Sarango Veliz
 
Sistema MvsNET - Central de Monitoreo
Sistema MvsNET - Central de MonitoreoSistema MvsNET - Central de Monitoreo
Sistema MvsNET - Central de MonitoreoSiceP Mexico
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la redSantiago Bernal
 
Proyecto Claudia Gasca Alberto
Proyecto Claudia Gasca AlbertoProyecto Claudia Gasca Alberto
Proyecto Claudia Gasca Albertoliz512
 
Comunicaciones para entornos críticos
Comunicaciones para entornos críticos Comunicaciones para entornos críticos
Comunicaciones para entornos críticos Cartronic Group
 

Ähnlich wie 0 .Keynote.Sisar.Guia (20)

Mobile Data Offloading
Mobile Data OffloadingMobile Data Offloading
Mobile Data Offloading
 
Virtualizacion del puesto de trabajo
Virtualizacion del puesto de trabajoVirtualizacion del puesto de trabajo
Virtualizacion del puesto de trabajo
 
Redes virtuales privadas (VPN)
Redes virtuales privadas (VPN)Redes virtuales privadas (VPN)
Redes virtuales privadas (VPN)
 
Redes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación ciscoRedes-CCNA-Tema6 varios certificación cisco
Redes-CCNA-Tema6 varios certificación cisco
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptx
 
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
Portfolio De Servicios (Sistemas De InformacióN) Ver2.0 (2011)
 
Andres ricardo albarracin rocha
Andres ricardo albarracin rochaAndres ricardo albarracin rocha
Andres ricardo albarracin rocha
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Tesis loGIS Beta
Tesis loGIS BetaTesis loGIS Beta
Tesis loGIS Beta
 
PPT_-_PROYECTO_DE_REDES.pptx
PPT_-_PROYECTO_DE_REDES.pptxPPT_-_PROYECTO_DE_REDES.pptx
PPT_-_PROYECTO_DE_REDES.pptx
 
Protección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-DatacenterProtección de los datos en la era Post-Datacenter
Protección de los datos en la era Post-Datacenter
 
Sesion 00 - Presentacion Y Consideraciones (2007-2)
Sesion 00 - Presentacion Y Consideraciones (2007-2)Sesion 00 - Presentacion Y Consideraciones (2007-2)
Sesion 00 - Presentacion Y Consideraciones (2007-2)
 
Evaluación y administración de proyectos
Evaluación y administración de proyectosEvaluación y administración de proyectos
Evaluación y administración de proyectos
 
Monitoreo de los servicios de telefonía IP con OpenNMS
Monitoreo de los servicios de telefonía IP con OpenNMSMonitoreo de los servicios de telefonía IP con OpenNMS
Monitoreo de los servicios de telefonía IP con OpenNMS
 
ES_03_2022_Cloud_Guia_Rapida.pdf
ES_03_2022_Cloud_Guia_Rapida.pdfES_03_2022_Cloud_Guia_Rapida.pdf
ES_03_2022_Cloud_Guia_Rapida.pdf
 
Tecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de serviciosTecnologías de virtualización y despliegue de servicios
Tecnologías de virtualización y despliegue de servicios
 
Sistema MvsNET - Central de Monitoreo
Sistema MvsNET - Central de MonitoreoSistema MvsNET - Central de Monitoreo
Sistema MvsNET - Central de Monitoreo
 
Presentación administracion de la red
Presentación administracion de la redPresentación administracion de la red
Presentación administracion de la red
 
Proyecto Claudia Gasca Alberto
Proyecto Claudia Gasca AlbertoProyecto Claudia Gasca Alberto
Proyecto Claudia Gasca Alberto
 
Comunicaciones para entornos críticos
Comunicaciones para entornos críticos Comunicaciones para entornos críticos
Comunicaciones para entornos críticos
 

Kürzlich hochgeladen

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 

Kürzlich hochgeladen (20)

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 

0 .Keynote.Sisar.Guia

  • 1. Sistema Integral de Seguridad y Acceso a la Red para un departamento de la UPC Albert Marques etsetb - 2008 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 2
  • 2. Departamento de Ingeniería del Terreno, Cartográfica y Geofísica (ETCG). UPC • Campus Nord, edificio D2. • Asociado a la Escuela de Caminos (ETSECCPB) • Departamento mediano (~150 personas) 3 Departamento de Ingeniería del Terreno, Cartográfica y Geofísica (ETCG). UPC Servicios Informáticos ETCG (SIETCG) • 1 responsable de sistemas, 1 becario • Servicio ficheros, impresión, calculo científico, intranets, wifi. • >20 Servidores, >150 estaciones de trabajo, >80 portátiles. • Conexión a troncal gigabit UPC (<2004, conexión directa) 4
  • 3. • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 5 Problemática. Punto de partida Hasta 2004, la seguridad se gestionaba a nivel de máquina: • Antivirus con gestión centralizada • Herramientas anti ‘spyware’ y troyanos • Directivas de Windows (Directorio Activo) 2004 ! Ataques a vulnerabilidades Windows ! problemas graves La dirección del departamento impone restricciones: • Impacto mínimo sobre el rendimiento de la red • El sistema se debe poder recuperar por personal “no técnico” 6
  • 4. Problemática. Diseño LAN ETCG 2004 Firewall en modo bridge: • Se mantiene topología de red • Permite ‘bypass’ pasivo • Permite nuevas funcionalidades (WLAN) 7 Problemática. Diseño LAN ETCG 2004 La infraestructura implementada en 2004 solucionó el problema, pero poco a poco, ha quedado obsoleta, debida a las siguientes limitaciones: • LAN ETCG permite sólo 254 direcciones de red válidas • desbordado en 2007 ! soluciones alternativas (DHCP altern). • Servidores, impresoras y estaciones en mismo segmento de red ! no existe control de acceso • WLAN sin autenticación, control de acceso mediante clave compartida (PSK). • El software utilizado en el firewall no permite IDS de red activo, ni reglas de acceso de salida, ni VPN. 8
  • 5. Objetivos Funcionales La dirección de ETCG y SIETCG establecieron los objetivos funcionales del proyecto. • Solución escalable a largo plazo, no debe haber limitación de direcciones para instalar los equipos que sean necesarios. • Robustez y recuperación sencilla (objetivos 2004) • Compatibilidad hacia atrás • Identificación comunicaciones (posiblemente obligatorio en un futuro). • Control de acceso a servidores y servicios públicos (impresoras). • Autenticación WLAN (no PSK, user/pass). • Deseables nuevas funcionalidades (o posibilidad): IDS activo, VPN, redundancia en acceso a troncal, etc. 9 Objetivos no Funcionales Los objetivos no funcionales vinieron dados por la política de UPC y de SIETCG. • Hardware “estándard”, mínimo 3 años de garantía. Distribuidores habituales. Equipo similar a los ya existentes. • En la medida de lo posible, software libre. Si no es posible, software de licencia UPC ! Coste de licencias cero. • Mínimo impacto en la implantación para las tareas del departamento (horarios de baja intensidad de trabajo) 10
  • 6. • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 11 Análisis Del análisis de los objetivos se extraen las líneas a seguir por el diseño de la infraestructura. Definen la topología a implementar, y las características del software a utilizar • Ampliación del número de direcciones ! direccionamiento privado. • Identificación y control de acceso ! división en subredes (WAN, LAN, WLAN y DMZ). • Autenticación de WLAN ! tecnologías de portal cautivo. • Robustez y tolerancia a errores ! redundancia. 12
  • 7. Topología diseñada quot; BENEFICIOS Escalable: • ~65000 máquinas en LAN • ~65000 máquinas en DMZ • ~250 máquinas en WLAN Identificación y control de acceso: • Firewall controla acceso a y desde DMZ • Firewall con portal cautivo para WLAN # INCONVENIENTES • No hay posibilidad de ‘bypass’. • Firewall es el punto crítico 13 El firewall. Software • El firewall es el punto crítico de la topología diseñada. • Se escoge un firewall software, ya que es más económico y flexible • Se puede implementar en una máquina estandard con software libre. Se evalúan diversas alternativas, en entorno de test: • IPCop (!conocido; $ poco flexible, pocas funcionalidades) • m0n0wall (!documentación, estabilidad; $ embedded) • pfSense (!todas las funciones, redund.; $ muy poca documentación) • Smoothwall (!sencillo, soporte; $ free? poco corporativo) • Microsoft ISA Server (!capa aplicación, VPN; $ Ms, requisitos) • Ubuntu Linux con iptables (!todas las funciones; $ complejo) 14
  • 8. El firewall. Software Finalmente, se decide implementar con pFsense. La decisión no es firme, ya que se debe validar el rendimiento en entorno real. Implementación con las mismas funcionalidades del firewall de 2004 en un entorno de test (compatibilidad). Firewall en explotación durante un fin de semana (funcionalidades). Firewall en explotación con carga habitual (rendimiento). Nuevas funcionalidades: implementación final. 15 El firewall. Hardware Se compra un equipo muy potente, con la subvención de UPC para el 2007, moderadamente sobredimensionado y con 4 años de garantía: Dell PowerEdge 1950 Procesador Intel Quad-Core Xeon • 2 Gbytes de memoria RAM • 250 Gbytes de disco duro • Tarjeta de red integrada Broadcom Gigabit Dual • Dos tarjetas de red Intel Pro1000PT Dual port Server Adapter • Conectores de VGA y USB (teclado y Mouse) frontales. • Lector de DVD • 4 años de garantía, “Next Business Day” • 16
  • 9. • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 17 Implementación • Implementación de topología con VLAN. • Asignación de direcciones con DHCP y reservas. • NAT, PAT y Acceso externo mediante IPs virtuales. • Politica de reglas lista blanca y administración basada en grupos. • Portal Cautivo para WLAN, conexión con Directorio Activo. • OpenVPN para roadwarrior (limitado). • SNORT: IDS activo (IPS). • Monitorización de sistema: integración con Nagios y desde pFSense. • Monitorización e identificación de conexiones: ntop (servidor auxiliar). • Alta disponibilidad, planes de contingencia 18
  • 10. Puesta en explotación real. Incidencias Único problema con acceso al ERP desde Administración (VPN). Se pacta una solución con admins de ERP: se debe crear una nueva red, con direccionamiento real de UPC para administración. Para la nueva red, el router será el firewall: • Nueva VLAN para Administración ! modificación topología. • Reglas en routers UPC. 19 Puesta en explotación real. Incidencias Solución plenamente funcional con todos los servicios 20
  • 11. Puesta en explotación real. Validación Con la solución plenamente funcional, se realizan pruebas de rendimiento. Las pruebas validan la infraestructura (rendimiento superior a top. 2004) Evaluación de los objetivos: Funcionalidad ! Escalabilidad ! Compatibilidad con servicios previos ! Identificación y monitorización ! Robustez y recuperación sencilla $ 21 Alta disponibilidad pFSense dispone de un sistema de redundancia activa: CARP (“IPs virtuales compartidas”). Mediante CARP los nodos secundarios no son activos ! se usará el antiguo hardware de firewall como nodo secundario Diferentes plantas, y diferentes líneas eléctricas para los nodos, aseguran robustez frente a caídas de los sistemas, y a incidencias “físicas”. Se garantiza la no necesidad de plan de recuperación de la máquina, ni de sistemas de “bypass” alternativos. Funcionalidad ! Escalabilidad ! Compatibilidad con servicios previos ! Identificación y monitorización ! Robustez y recuperación sencilla ! 22
  • 12. Alta disponibilidad. Topología 23 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 24
  • 13. Planificación temporal Planificación inicial seguida estrictamente y revisada según evolución. 2 hitos: Implementación en entorno real (durante Semana Santa de 2008) y puesta en explotación (dos semanas después). Dedicación aproximada de 450 horas de Ingeniero. Planificación de tareas gestionada a través de un diagrama de Gantt, con Microsoft Project. 25 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 26
  • 14. Resultado final ! Objetivos Cumplidos 27 Beneficios • Usuarios: garantía de una red segura, con una alta disponibilidad de servicio, y nuevas funcionalidades. • Departamento: posibilidad de crecimiento. Incremento de productividad (minimizando problemas de seguridad). Infraestructura de bajo coste. • SIETCG: Herramientas de seguridad preventiva. “Felicidad” de los sistemas, al estar en un entorno limpio. Nuevas funcionalidades. • Universidad: difusión y consultoría para unidades interesadas en un sistema análogo. 28
  • 15. Beneficios como estudiante • Trabajo en un entorno real, con necesidades reales, sin posibilidad de dar pasos en falso. • Contacto con todos los estratos del departamento: dirección, administración, servicios técnicos y usuarios. • Planificación temporal con hitos estrictos y recursos económicos limitados. • Orientación a resultados. • Implementación de un sistema poco documentado, de características muy avanzadas. • Trabajo con herramientas de software libre. 29 • Marco del Proyecto • Problemática, Objetivos • Análisis y diseño • Implementación e Implantación • Planificación • Conclusiones • Futuro 30
  • 16. Futuro • Implementación de nuevas funcionalidades que pfSense permite (dual wan, proxy cache, traffic shaping). • Colaboración en el desarrollo de nuevos paquetes para pfSense (nagios?). • EDUROAM + XSF ETCG en todo el edificio 31 Difusión • Documentación disponible en ‘Espai TIC de la UPC’ para todo el personal TIC. • Seminario técnico sobre el proyecto realizado en la “Segona Trobada dels Serveis Informàtics de la UPC” • UPC Commons. • Publicación de los documentos y colaboración en los foros de pfSense y m0n0wall. 32
  • 17. Demo 33 Dudas o sugerencias 34
  • 18. Sistema Integral de Seguridad y Acceso a la Red para un departamento de la UPC Anexo Técnico Albert Marques etsetb - 2008 • Detalle de Topologías • Consideraciones Técnicas 2
  • 19. Topología inicial sin seguridad 3 Primera implementación en 2004 (pre-SISAR) 4
  • 20. Topología diseñada 5 Topología implementada sin redundancia 6
  • 21. Topología implementada con redundancia 7 • Detalle de Topologías • Consideraciones Técnicas 8
  • 22. Topología de red e instalación firewall Se divide la red en VLAN, una por cada subred, y se asignan los puertos según los equipos. Se usa Cisco Network Assistant (gráfico y sencillo). pFsense permite conectar a un puerto de múltiples VLAN (trunk), y conectarse a ellas a través de una sola interfaz de red, pero de momento no se usará (maximizar rendimiento). Se instala pfSense en la máquina, con conectividad directa a los equipos de red (cada subred, una interfaz a gigabit). Se realiza instalación en el disco duro del servidor. Subred VLAN id Dirección red Interfaz fw IP Firewall WAN 51 147.83.51.0/24 em0 147.83.51.2 LAN 1 172.16.0.0/16 em1 182.16.1.1 DMZ 50 172.18.0.0/16 em2 172.18.0.1 WLAN 4 192.168.101.0/24 bce0 192.168.101.1 9 Direccionamiento (dhcp, dns) Aprovechando el cambio de topología, se usará DHCP con reservas para todos los equipos, lo que mejora el control sobre las estaciones de trabajo y permite los cambios de una manera rápida. En cuánto a DNS, las estaciones de trabajo requieren un DNS en servidor Windows. Se utiliza la tecnología “DNS forwarder” de pfSense, de manera que las consultas al DNS siguen el siguiente esquema: DNS DNS DNS estación UPC fwetcg w2k3 trabajo BBDD BBDD 10
  • 23. Servicios visibles desde el exterior: NAT Se utiliza proxy ARP: el firewall captura todas las peticiones de las direcciones publicas y responde a ellas con el tráfico que recibe de los equipos de direccionamiento privado. NAT: Network Address Translation: tecnología que utiliza el firewall para pasar peticiones externas (ip pública) a máquinas internas (ip privada). Dos opciones: • NAT 1:1 (todas las peticiones a A se redireccionan a B). • PAT (todas las peticiones al puerto P1 de A se redireccionan al puerto P2 de B). La primera es para publicar una máquina completa, la segunda para publicar servicios (más segura). Outgoing NAT: se pueden definir las direcciones con las que una máquina interna (IP privada) se ve desde el exterior. 11 Reglas de filtrado Las reglas de filtrado definen el comportamiento de los firewalls. Se aplican sobre el tráfico que llega a una interfaz del firewall. Si el tráfico cumple con las condiciones de una regla, se le aplica la acción asociada a esa regla, sino, se sigue con la siguiente. 2 políticas: denegar por defecto (ultima regla deshecha el tráfico) o aceptar por defecto. Se usará denegar por defecto (casi se evita el P2P). Acciones asociadas a una regla: aceptar, bloquear o rechazar. Además permiten registrar un evento. El orden de las reglas es muy importante, ya que definen el comportamiento y el rendimiento de la infraestructura. El uso de alias o grupos simplifican mucho la administración (como en toda la administración de sistemas). Se usarán grupos para definir servicios (Voip, Web, ficheros, etc) y grupos de direcciones (servidores web, servidores de calculo, etc) 12
  • 24. Reglas de filtrado 13 Portal Cautivo Tecnología de validación para la WLAN. La red pasa a ser abierta, y en el momento en el que el usuario se conecta y abre cualquier página web, aparece una ventana solicitando las credenciales. Si se validan, se redirige a la web solicitada. Configurado mediante RADIUS para validar contra el Directorio Activo de Windows: 1 cuenta para todos los servicios de SIETCG 14
  • 25. Acceso remoto mediante VPN La implementación de OpenVPN en pfSense 1.2 (ultima estable) no es completa, ya que no asigna una interfaz a las conexiones provenientes de túneles VPN ! No se pueden controlar los accesos a las diferentes redes. Sólo se habilitará VPN para el personal de SIETCG, con fines de administración remota. Es plenamente funcional. Una de las líneas de trabajo para pfSense 1.3 (prevista para otoño de 2008) es la implementación completa de OpenVPN ! Se implementará como método de acceso remoto para los usuarios. 15 Sistema de Detección de Intrusos SNORT: The facto standard for intrusion detection/prevention Sistema de detección de intrusos de red. Comprueba el tráfico con unos patrones descargados del servidor de Snort, para identificar tráfico sospechoso, y genera alertas. Permite bloquear las direcciones que generan una alerta durante un período de tiempo: IDS Activo. Genera muchos falsos positivos (ej: publicidad en una web detectada como cross-site scripting), requiere de un proceso de configuración muy detallado. 16
  • 26. Monitorización del Sistema Integrado con NAGIOS, el monitor del sistema del departamento, aunque de manera limitada (no hay cliente de Nagios para pFSense) Sistema de alarmas (mail, sms), que avisa cuando hay incidencias. Permite monitorizar incluso parámetros físicos. 17 Monitorización del Sistema Desde la propia consola de pfSense se pueden monitorizar parámetros relativos al hardware de la máquina, o al tráfico de red. 18
  • 27. Monitorización de la red NTOP: Software que monitoriza y genera estadísticas del tráfico de red Se puede implementar en el mismo firewall (es un paquete instalable), pero consume muchos recursos, con lo que no es recomendable. Se ha implementado con el servidor de soporte (nagios). Para ello, se ha configurado un puerto en el switch, mediante SPAN, que recibe todo el tráfico de todas las VLAN. Base de Datos: permite obtener estadísticas de tráfico históricas, así como consultas complejas sobre una máquina o un grupo. Flexible, y con una interfaz de administración y gestión sencilla y por web. 19 Monitorización de la red 20
  • 28. Coste económico Coste Coste Coste Coste mant y = + + total equipo implement. explotac Coste total aproximado de 33800 !, durante los 5 años de vida previstos Coste relativo aproximado de <3 ! por persona y mes para todo el departamento INFRAESTRUCTURA DE BAJO COSTE 21