I Jornadas de Arquitecturas de RED Seguras en las Universidades

Transcripción

1 I Jornadas de Arquitecturas de RED Seguras en las Universidades Sevilla, Marzo 2003 Luis Figueroa

2 Agenda Situación actual Universidad Tipo Objetivos Solución propuesta Arquitectura Red Seguridad Infraestructura de Clave Pública (PKI) Integración con VozIP, Videoconferencia IP Soluciones de acceso a s Conclusiones

3 Situación n actual Universidad Tipo Corporativos Comunidad de Intereses Investigación Infraestructura Entidades Servidores Corporativos Públicos Institución Comunidad de Intereses Corporativa Núcleo de la Red Interconexión a la Red Red Académica Red Iris O Campus Comunidad de Intereses Investigación Proveedores Aulas de Informática Empresas Colaboradoras Proveedores Empresas Colaboradoras Concesionarios Usuarios Móviles (Red Inalámbrica) Fundaciones Usuarios Móviles (Externos)

4 Objetivos Corporativos Comunidad de Intereses Investigación Infraestructura Entidades Servidores Corporativos Públicos Institución Comunidad de Intereses Corporativa Núcleo de la Red Interconexión a la Red Red Académica Red Iris O Campus Comunidad de Intereses Investigación Proveedores Aulas de Informática Empresas Colaboradoras Proveedores Empresas Colaboradoras Concesionarios Usuarios Móviles (Red Inalámbrica) Fundaciones Usuarios Móviles (Externos)

5 Arquitectura

6 Solución n Propuesta RED INTERNA RED EXTERNA EXTERIOR Corporativos Gestión Públicos de Investigación Externo Institución de Investigación Interno Routers Exterior Empleados Red Académica Red Iris O Campus Proveedores Concesionarios Usuarios Aulas Informática Usuarios Wireless Acceso Fundaciones Srv Públicos Proveedores Empleados Alumnos Usuarios Remotos Administradores

7 Red Externa. Arquitectura Red RED EXTERNA Públicos Red Interna Exterior Acceso Fundaciones Srv Públicos

8 Red Externa. Arquitectura RED EXTERNA Host Bastión Públicos Proxy-Caché Inverso Relay Correo FTP Foros News DNS Secundario Replica LDAP Externo Correo Externo Aplicaciones Públicas WEB Balanceadores IP Balanceadores IP Balanceadores IP Red Interna Exterior Acceso Fundaciones Srv Públicos

9 Red Externa. Arquitectura Seguridad RED EXTERNA Host Bastión Públicos Proxy-Caché Inverso Relay Correo FTP Foros News DNS Secundario Replica LDAP Externo Correo Externo Aplicaciones Públicas WEB Balanceadores IP Balanceadores IP Balanceadores IP Analizador de Código Red Interna Cluster Cortafuegos Solución A Exterior Granja IDS de Red Solución A Acceso Fundaciones Srv Públicos Granja Antivirus pasarela Solución A Antivirus de Servidor

10 Solución n Propuesta RED INTERNA RED EXTERNA EXTERIOR Corporativos Gestión Públicos de Investigación Externo Institución de Investigación Interno Routers Exterior Empleados Red Académica Red Iris O Campus Proveedores Concesionarios Usuarios Aulas Informática Usuarios Wireless Acceso Fundaciones Srv Públicos Proveedores Empleados Alumnos Usuarios Remotos Administradores

11 Red Interna. Arquitectura Red RED INTERNA Corporativos Gestión de Investigación Interno Empleados Red Externa Concesionarios Usuarios Aulas Informática Usuarios Wireless

12 Red Interna. Arquitectura Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master/CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Empleados Red Externa Concesionarios Usuarios Aulas Informática Usuarios Wireless

13 Red Interna. Arquitectura Seguridad Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master/CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Cluster Cortafuegos Solución A Empleados Cluster Cortafuegos Solución B Antivirus Pasarela Solución B Red Externa Analizador de Código Antivirus de Servidor Concesionarios Usuarios Aulas Informática Usuarios Wireless Tarjeta IDS de Red Solución B

14 Infraestructura de Clave Pública (PKI)

15 PKI.- Características Au tentica ción Confidenc ialidad Integridad No Repudio Cortafuegos Control de Accesos Cifrado PKI Firma Digital + Certificados Cifrado Firma Digital Funciones Hash Firma Digital + Certificados

16 PKI.- Jerarquía a Propuesta Entorno Producción Entorno Pruebas CA Root CA Subordinada Personal CA Subordinada Alumnos CA Pruebas RA Personal RA Alumnos RA Pruebas

17 PKI.- Arquitectura Detalle

18 PKI.- Flujos de Información 7 6 Entidad que confía en la CA emisora Almacena el certificado 8 Envío del certificado, cifra o/y firma Mensajes Comprobación del certificado 5 CL CRL La CA le remite el certificado al usuario. Repositorio 4 La CA genera y envía el certificado al repositorio Usuario 1 Generación de par de claves 2 El usuario solicita Emisión del certificado digital y envía su clave publica 3 La RA después de validar la identidad del usuario, envía la petición a la CA Autoridad de Certificación (CA) Autoridad de Registro (RA) Log

19 Integración con VozIP, Videoconferencia IP, Multimedia

20 Integración n con VozIP, Videoconferencia, multimedia Seguridad/VPN Instituciones CAMPUS (SERVICIOS) Usuarios Remotos WAN HOST CAMPUS (BACKBONE) Proveedores GATEWAY VOZ - DATOS RDSI Vídeo Conferencia Multimedia PSTN Telefonía IP

21 Ejemplo de Integración n con VozIP, Red integrada de datos Teléfonos IP PBX IP Red de voz A PBX PSTN IP WAN PSTN Gateway

22 Ejemplo de Seguridad con VozIP, Servidores de Telefonía Antivirus Host-based IDS Actualización con los últimos parches de seguridad. Deshabilitar servicios no necesarios. Centralita IP A Teléfonos IP Teléfonos IP Redes IP distintas para voz y datos. IP privadas para los teléfonos HW Red Acceso exterior Firewall Antivirus... IP WAN PSTN Gateway Entorno de switches y uso de NIDSs. de autenticación. Usar VLANs distintas para voz y datos. Usar filtros IP entre ambas redes

23 Soluciones de acceso a s

24 Soluciones de Acceso a s RED INTERNA RED EXTERNA EXTERIOR Corporativos Gestión Públicos de Investigación Externo Institución de Investigación Interno Routers Exterior Empleados Red Académica Red Iris O Campus Proveedores Concesionarios Usuarios Aulas Informática Usuarios Wireless Acceso Fundaciones Srv Públicos Proveedores Empleados Alumnos Usuarios Remotos Administradores

25 Acceso Corporativo Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master7CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Cluster Cortafuegos Solución A Empleados Cluster Cortafuegos Solución B Antivirus Pasarela Solución B Red Externa Analizador de Código FW Personal No Corporativo Antivirus de Puesto Antivirus de Servidor Concesionarios Usuarios Aulas Informática Usuarios Wireless Tarjeta IDS de Red Solución B

26 Acceso s de Investigación Públicos Host Bastión Proxy-Caché Inverso Relay Correo FTP Foros News DNS Secundario Replica LDAP Externo Correo Externo Aplicaciones Públicas WEB de Investigación Externo Balanceadores IP Balanceadores IP Balanceadores IP FW Servidor / VPN Institución Red Interna Cluster Cortafuegos Solución A Exterior Granja IDS de Red Solución A Acceso Fundaciones Srv Públicos Granja Antivirus pasarela Solución A Antivirus de Servidor

27 Acceso s de Investigación Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master7CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Empleados FW Servidor / VPN Cluster Cortafuegos Solución B Cluster Cortafuegos Solución A Antivirus Pasarela Solución B Red Externa Analizador de Código FW Personal No Corporativo Antivirus de Puesto Antivirus de Servidor Concesionarios Usuarios Aulas Informática Usuarios Wireless Tarjeta IDS de Red Solución B

28 Acceso Usuarios MóvilesM Públicos Host Bastión Proxy-Caché Inverso Relay Correo FTP Foros News DNS Secundario Replica LDAP Externo Correo Externo Aplicaciones Públicas WEB Balanceadores IP Balanceadores IP Balanceadores IP Analizador de Código Red Interna Cluster Cortafuegos Solución A Exterior Granja IDS de Red Solución A Acceso Fundaciones Srv Públicos Granja Antivirus pasarela Solución A Cliente VPN Empleados Alumnos Administradores Antivirus de Puesto

29 Acceso Usuarios MóvilesM Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master/CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Cluster Cortafuegos Solución A Empleados Cluster Cortafuegos Solución B Antivirus Pasarela Solución B Red Externa Analizador de Código No Corporativo Antivirus de Puesto Antivirus de Servidor Concesionarios Usuarios Aulas Informática Usuarios Wireless Tarjeta IDS de Red Solución B

30 Acceso Usuarios Wireless Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master/CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Cluster Cortafuegos Solución A Empleados Cluster Cortafuegos Solución B Antivirus Pasarela Solución B Red Externa Analizador de Código Access Point Gateway No Corporativo Antivirus de Puesto Antivirus de Servidor Concesionarios Usuarios Aulas Informática Usuarios Wireless Tarjeta IDS de Red Solución B

31 Acceso Aulas de Informática Contabilidad Aplicaciones ERP Matrículas Nóminas Aplicaciones Corporativas Docencia Virtual Biblioteca Red LDAP Master7CRLs DNS Primario PKI CA Root CAs Subordinadas Ras Corporativos Replica Correo Intranet LDAP Interno Interno/CRL Proxy Balanceadores IP Red Gestión FW IDS Gestión Integral Logs de Investigación Interno Cluster Cortafuegos Solución A Empleados Cluster Cortafuegos Solución B Antivirus Pasarela Solución B Red Externa Analizador de Código No Corporativo Antivirus de Puesto Antivirus de Servidor Concesionarios Usuarios Aulas Informática Usuarios Wireless Tarjeta IDS de Red Solución B

32 Conclusiones

33 Conclusiones I Alta Disponibilidad de Red Redundados es / Routers BackBone H.A. de Aplicación n Redundados Relay Correo, WEB,, FTP, PROXY Seguridad Redundada Externa.- Solución H.A.. Fabricantes A PúblicosP Interna.- Solución H.A.. Fabricantes B Privados Firewall Antivirus Pasarela IDS Red Firewall Antivirus Pasarela IDS Red

34 Conclusiones II Escalabilidad / Cargas de tráfico Variables de Red Escalables es / Routers BackBone Gama alta (BackPlane( hasta 256 Gb) Ampliables (Tarjetas, nº n puertos ) ) de Aplicación n Escalables Balanceo de carga mediante balanceadores hardware Configuración n en modo granja. Crecimiento horizontal Seguridad Escalable Seguridad Balanceo de carga mediante balanceadores hardware (Red Externa) Configuración n en modo granja. Crecimiento horizontal 22 Niveles de seguridad de fabricantes distintos para acceder a servicios s corporativos Control de accesos basado en DIRECTORIOS (LDAP) Seguridad en usuarios: VPN, Antivirus, FW Servidor, FW cliente segs egún n sea necesario No penalización n del rendimiento. Crecimiento horizontal Infraestructura de Clave Pública P (PKI) para Empleados y alumnos

35 Conclusiones III Monitorización n de la Plataforma Gestión n de los elementos de red y seguridad centralizada (segmento de red independiente) Gestión n integral de Logs (FW, IDS, ANTIVIRUS ) Herramienta de gestión n integral de la seguridad (detección n de eventos producidos en los sistemas de seguridad y actuación n en base a políticas definidas) Transparencia usuarios finales Arquitectura de red transparente para usuarios finales Arquitectura de transparente para usuarios finales (H.A( H.A.,., balanceo de carga) Arquitectura de seguridad transparente para usuarios finales, salvo clientes VPN en los casos que sea necesario (Accesos Remotos, Wireless)

36