seguridad en las interconexiones CCN-STIC ITS en desarrollo

Tamaño: px

Comenzar la demostración a partir de la página:

Download "seguridad en las interconexiones CCN-STIC ITS en desarrollo"

Germán Castilla Chávez
hace 5 años
Vistas:

1 Esquema Nacional de Seguridad seguridad en las interconexiones CCN-STIC ITS en desarrollo josé a. mañas

2 definiciones Un sistema de información es un conjunto de equipos físicos, aplicaciones lógicas, soportes de información, comunicaciones, instalaciones y personal que se emplean para tratar información y prestar servicios. Se dice que tenemos una cuando un sistema de información se conecta a otro y se establece un flujo entrante o saliente de datos entre ellos. De las interconexiones nos interesa la frontera BPS SPP Servicio de del perímetro BPC DPP Dispositivo de del perímetro 2

3 interconexiones red interna red externa Internet LAN Red SARA LAN-n 3

4 principios Mínima funcionalidad En el perímetro, solamente se instalan, configuran y usan los protocolos, servicios de red y flujos de información necesarios para la misión. Mínimo privilegio Los usuarios y procesos autorizados a atravesar el perímetro solo disfrutan de los derechos mínimos imprescindibles para ello. Nodo auto protegido Cualquier otro sistema de información se considera no fiable, realizándose un control local de los datos intercambiados. Nuestro sistema debe protegerse como si los demás estuvieran comprometido. Nuestra seguridad no puede depender de que los demás actúen correctamente. 4

5 ISA Acuerdo de Seguridad de la Interconexión elaborado por los Responsables de los Sistemas aprobado por los Responsables de la Seguridad topología arquitectura datos y servicios: protocolos & formatos flujos de información que se permiten registro de actividad procedimiento y responsabilidades para autorizar cambios 5

6 categoría BÁSICA red interna BÁSICA red externa intermediación (proxy) LAN X cortafuegos tráfico permitido proxy e Internet SPP-1 6

7 categoría MEDIA red interna MEDIA red externa intermediación (proxy) LAN cortafuegos X tráfico permitido LAN y proxy proxy y red externa SPP-2 7

8 categoría ALTA red interna ALTA red externa intermediación (proxy) LAN cortafuegos DMZ cortafuegos tráfico permitido LAN y proxy X tráfico permitido proxy e Internet SPP-2* 8

9 Internet redes privadas virtuales red interna vpn LAN LAN-n red externa 9

10 redes privadas virtuales todos los datos que entran / salen deben ser intermediados en el proxy TODOS puede implicar romper canales VPN respeto a la legalidad vigente pueden aparecer vpn que atraviesan en negro la frontera se establecerá un servicio proxy en la terminación interior 10

11 herramientas código malicioso análisis de vulnerabilidades BÁSICA MEDIA ALTA 7d 3m 48h 1m análisis de logs recomendado 1s 24h 1s 24h IDS / IPS opcional monitorización de tráfico opcional recomendado DLP (tráfico saliente) opcional opcional escaneo de configuración opcional opcional recomendado verificación de funciones de seguridad opcional opcional recomendado 11

12 equipos remotos Categoría BÁSICA cortafuegos personal administración de seguridad por personal autorizado Categoría MEDIA white list : sitios a los que se puede conectar Categoría ALTA el usuario no puede instalar sw DLP local 12

13 para acabar La frontera de un sistema está sujeta a lo prescrito en el ENS tiene requisitos específicos de topología tiene requisitos adicionales de preventivos (dificultar los ataques) monitorización: reaccionar & analizar 13

Documentos relacionados

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM Seguridad Perimetral Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM Tipos de amenazas Activos de Información NO permita que accedan tan fácilmente a la información Concepto de seguridad