Firewalls dinámicos para el control de acceso a la red de la oficina bancaria Infraestructuras seguras en los sistemas de información financieros

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Firewalls dinámicos para el control de acceso a la red de la oficina bancaria Infraestructuras seguras en los sistemas de información financieros"

José Luis Cabrera Ortiz
hace 8 años
Vistas:

1 Firewalls dinámicos para el control de acceso a la red de la oficina bancaria Infraestructuras seguras en los sistemas de información financieros Xavier Homs Ingeniero de Preventa Juniper Networks

2 Índice 1. Introducción 2. Pensamiento lógico y tecnología 802.1x 3. Uso de Firewalls con Políticas dinámicas por usuario Qué es un FW con políticas dinámicas? Cómo aplicar la tecnología en este caso? 4. Conclusiones 2

3 1 Introducción La red de la oficina bancaria no es segura Conectar un PC en la red LAN de la sede principal de un banco es tarea poco más que imposible Superar el control físico de seguridad Registrar el PC en el control de acceso Acceder a un punto de red y intentar obtener acceso a la LAN... Conectar un PC en la red LAN de una oficina bancaria puede ser mucho más sencillo... hola, soy de la empresa de servicios X y vengo a mirarme el router... Una vez pinchado en la red LAN de la oficina bancaria se puede llegar al mismo conjunto de aplicaciones a las que accede el director de la oficina 3

.. Conectar un PC en la red LAN de una oficina bancaria puede ser mucho más sencillo.

4 1 Introducción La red de la oficina bancaria no es segura 4 Red de Oficinas Aplicaciones de negocio Sede Central

5 2 Pensamiento lógico y 802.1x Secuencia de pensamiento aplicada habitualmente 1. Hay un problema de seguridad en el control de acceso a la LAN de la oficina 2. Google: Control de acceso + LAN = 802.1x x requiere nuevos conmutadores Ethernet con soporte 802.1x (el proyecto requiere un presupuesto para la renovación del parque de conmutadores) 4. Los PCs de oficinas requieren un suplicante 802.1x (se requiere la participación de la gente de plataformas) 5. Qué hacemos con la política de passwords? Si la password caduca con el PC desconectado... como renueva la password la siguiente vez que quiere entrar en la LAN? (se requiere la participación de la gente del directorio) 6. Qué hacemos con los dispositivos no gestionados? 7. Cómo hacemos que helpdesk gestione las incidencias? Cuál era el problema inicial? No podemos resolverlo de otra manera? 5

Los PCs de oficinas requieren un suplicante 802.1x (se requiere la participación de la gente de plataformas) 5. Qué hacemos con la política de passwords? Si la password caduca con el PC desconectado.

6 3 Uso de FWs con Políticas dinámicas Qué es un Firewall con políticas dinámicas? (1 de 2) Las políticas de seguridad de los FW suelen ser un conjunto estático de reglas que impide la personalización y la movilidad Zona 2 2to3/3to2 2to1/1to2 Zona 3 Zona 1 1to3/3to1 6

7 3 Uso de FWs con Políticas dinámicas Qué es un Firewall con políticas dinámicas? (2 de 2) Las políticas dinámicas (por usuario) se almacenan en el directorio y se cargan sobre el Firewall bajo demanda (proceso de Network Login) Zona 2 2to3/3to2 2to1/1to2 Zona 3 Logon Zona 1 1to3/3to1 Per-user Dynamic Policies 7

(2 de 2) Las políticas dinámicas (por usuario) se almacenan en el directorio

8 3 Uso de FWs con Políticas dinámicas El proceso de NetLogon Las políticas dinámicas no se vinculan a usuarios sino a comunidades de usuarios (ROL) lo cual simplifica enormemente la gestión Un usuario se vinculará con un ROL en el momento del NetLogon en función de 5 grandes bloques de información Credenciales (si usa user/password, token, certificado, etc. ) Atributos del directorio (Radius, LDAP, AD, NDS, etc.) Plataforma (HostChecker / TNC) Hora del día / día de la semana Punto de entrada a la red (Source IP) La idea final es que un Firewall perimetral puede limitar la experiencia de un usuario en función de cosas como el PC que usa para conectarse, las credenciales que presenta o los atributos del directorio de red. 8

) Atributos del directorio (Radius, LDAP, AD, NDS, etc.

9 3 Uso de FWs con Políticas dinámicas La tecnología aplicada al control de la oficina bancaria Un Firewall entre la red de oficinas y el resto de la corporación limita el acceso a sólo aquellos servicios generales Los usuarios de oficinas deben realizar un NetLogon para poder acceder a las aplicaciones Cualquier intruso en la oficina vera sólo los recursos de la propia oficina NetLogon 9

servicios generales Los usuarios de oficinas deben realizar un NetLogon para poder acceder a las

10 4 Conclusiones Uso de políticas dinámicas por usuario en los FW La oficina bancaria es el punto donde el intrusismo físico es más sencillo. La propia estrategia de externalización de servicios lo facilita Un proyecto de control de acceso en la oficina bancaria basado en la tecnología 802.1x resuelve el problema pero los costes de implementación son enormes con tiempos de ejecución elevados y incertidumbre en la calidad del soporte al usuario Un Firewall con políticas dinámicas por usuario entre la red de oficinas y el resto de la corporación garantiza que sólo los usuarios autorizados usando plataformas controladas pueden acceder a las aplicaciones de negocio 10

1x resuelve el problema pero los costes de implementación son enormes con tiempos de ejecución elevados y incertidumbre en la calidad del soporte al usuario Un

11 Fin de la presentación Muchas gracias 11

Documentos relacionados

http://www.bujarra.com/procedimientofortigatevpnssl.html Fortigate - VPN SSL

1 de 14 01/12/2007 1:11 Fortigate - VPN SSL VPN con SSL, En este procedimiento se explica cómo configurar una VPN usando SSL para conectarse con un PC cualquiera desde internet a la LAN de la organización.