Soluciones de Seguridad para la Universidad

Transcripción

1 Soluciones de Seguridad para la Universidad Carolina de Oro Siemens Information and Communication Networks Trusted Networks Applications

2 Situación de partida SERVICIOS CORPORATIVOS CONEXIÓN POR MODEM COMUNIDAD DE INTERESES CORPORATIVA INTERNET SERVIDORES CORPORATIVOS EMPRESAS COLABORADORAS CONCESIONARIOS COMUNIDAD DE INTERESES DE INVESTIGACIÓN NUCLEO DE LA RED AULAS DE INFORMATICA USUARIOS MÓVILES (RED INALÁMBRICA) INTERCONEXIÓN A LA RED SERVICIOS PUBLICOS FUNDACIONES RED ACADÉMICA RED IRIS O CAMPUS INTERNET USUARIOS MÓVILES INSTITUCIÓN COMUNIDAD DE INTERESES - DE INVESTIGACIÓN SERVICIOS PROVEEDORES EMPRESAS COLABORADORAS PROVEEDORES 2

3 Agenda Introducción Requerimientos generales: Núcleo Servicios Requerimientos de usuario: Colaboradores Investigadores Alumnos Moviles Inalámbricos Requerimientos de adminstrador Gestión de la seguridad 3

4 Seguridad de la Información Declaración de principios: La información es un activo que, como otros activos importantes del negocio, tiene valor para la Organización y requiere en consecuencia una protección adecuada. Seguridad de la Información UNE-ISO/IEC = Código de Buenas Prácticas Por qué la seguridad de la información es necesaria? 4

5 Requisitos de Seguridad 1 Principios Objetivos Seguridad Contractual Legal 3 2 Análisis de riesgo 5

6 Política de Seguridad Algunas premisas: Una declaración del soporte de la dirección Explicaciones breves sobre políticas, principios, practicas y cumplimiento de seguridad Una definición general de las responsabilidades debe ser revisado periódicamente 6

7 Análisis del Riesgo Conoce la universidad la importancia y valor de la información que maneja su organización? Confidencialidad Disponibilidad Integridad 7

8 Legalidad UNE-ISO/IEC (12.1.1) Firma Electrónica L 14/1999 LOPD L.O.15/1999 MARCAS LSSICE 34/2002 Leyes Códigos Directivas Ley 17/2001 Código Penal L.O PATENTES DE INVENCIÓN Y MODELOS DE UTILIDAD. Ley 11/1986 8

9 Agenda Introducción Requerimientos generales: Servicios Núcleo de Red Requerimientos de usuario: Colaboradores Investigadores Alumnos Móviles Inalámbricos Requerimientos de adminstrador Gestión de la seguridad 9

10 Requisitos generales Servicios: VoIP Grids Multimedia Videoconferencia IP Núcleo de red: Altas capacidades a velocidad de cable Asegurar calidad de servicio y seguridad: distinguir usuarios y servicios Capacidad de gestión y control Alta disponibilidad de recursos de red 10

11 Escenario Perfiles Servicios Clasificaciones / Reglas Administración Alumno Profesor SAP Alta Prioridad VOIP Citrix Alta Prioridad Acceso a Internet Regla 3 Regla 2 Regla 1 Regla 3 Regla 2 Regla 1 Regla 3 Regla 2 Regla 1 Regla 3 Regla 2 Regla 1 11

12 Esquema de redes personalizadas Login Webbased o EAP 802.1X Decodificación de perfles y Aplicación de Clasificacíones Creación y distribución de Perfiles NUCLEO DE LA RED Autenticación Radius Adaptación entre perfiles y Directorios Servidor RADIUS Sistema de Directorios La combinación de Autenticación, Servicios en el Punto de Entrada 12

13 Agenda Introducción Requerimientos generales: Servicios Núcleo de Red Requerimientos de usuario: Colaboradores Investigadores Alumnos Móviles Inalámbricos Requerimientos de adminstrador Gestión de la seguridad 13

14 Usuarios Corporativos Facilidad de uso Principios Objetivos Análisis de riesgo Contractual Legal Libertad y apertura Procesos establecidos Utilización de modems Expedientes críticos LOPD nivel alto Cumplimiento de plazos Confidencialidad Integridad Disponibilidad Identificación 14

15 Corporativos: Cifrado SERVICIOS CORPORATIVOS COMUNIDAD DE INTERESES CORPORATIVA SERVIDORES CORPORATIVOS IPSEC NUCLEO DE LA RED Integridad Confidencialidad Disponibilidad 15

16 Corporativos: Tarjeta multiaplicación Monedero-E Teléfono Acceso a Edificios No repudio Seguridad en PC Identificación Web Teletrabajo (VPN) Mail Seguro Autoridad Certificadora Autorización Autenticación 16

17 Corporativos: Tarjeta multiaplicación Módulo PKCS#11 IFD Handler Aplicación con acceso a SC Service Provider ICC Resource Manager IFD Handler Crypto Service Provider (CSP) IFD Handler IFD IFD IFD ICC ICC ICC Crypto-interface a la aplicación Opciones: PKCS#11 o CSP (Microsoft).Solo tarjetas con cripto-coprocesador. Interface PC/SC Provisto por el fabricante de la tarjeta/so Parte del sistema operativo (NT, UNIX,...) Provisto por el fabricante del lector Lector Smart card (Interface Device) Smart card (Integrated Circuit Card). Con Sistema Operativo específico 17

18 Corporativos: PKI y Firma Digital Política de Certificación Soporte de Clave Privada Autoridad Certificadora Aplicaciones PKI-Enabled Publicación de Certificados 18

19 Usuarios Corporativos: Modems Política de universidad: Anulación del uso de modems. Excepción a esta regla será tratada como privilegios Gestión centralizada de firewalls personales Firewall personal 19

20 Grupos de investigación Facilidad de uso Principios Objetivos Análisis de riesgo Contractual Legal Libertad y apertura Necesidad colaboración total Velocidad en el acceso Usuarios menos controlados Información tecnológica avanzada LOPD nivel medio Propiedad intelectual Confidencialidad Integridad Disponibilidad Identificación Patentes de investigación 20

21 Investigación: Firewall conexión red IRIS Identificación Balanceador INTERCONEXIÓN A LA RED SERVICIOS PUBLICOS (Relay, Antivirus smtp, webs..) Disponibilidad Gestor de ancho de banda FUNDACIONES Cache RED ACADÉMICA RED IRIS O CAMPUS INSTITUCIÓN COMUNIDAD DE INTERESES - DE INVESTIGACIÓN Definición de políticas adecuadas Gestión conexión a directorio 21

22 Investigadores: SSH SSH es un protocolo diseñado para establecer comunicaciones seguras en redes inseguras, sustituyendo a los métodos tradicionales de comunicación como telnet, rlogin, rsh,... Está basado en un sistema de Claves Pública / Privada Máquina A Petición de Conexión Envío de Número Aleatorio Codificación con clave privada de B (protegida por clave) Decodificación con clave pública de A (se obtiene el número original) Conexión Establecida Confidencialidad Máquina B 22

23 Aulas de informática Libertad y apertura Principios Objetivos Análisis de riesgo Contractual Legal Usuarios no controlados Servicios docentes Altas amenazas Información menos sensible LOPD nivel bajo Confidencialidad Integridad Disponibilidad Identificación 23

24 Aulas de informática: Firewalls,IDS SERVIDORES CORPORATIVOS Confidencialidad Integridad Disponibilidad NUCLEO DE LA RED Sonda AULAS DE INFORMATICA COMUNIDAD DE INTERESES DE INVESTIGACIÓN Sonda INTERCONEXIÓN A LA RED SERVICIOS PUBLICOS RED ACADÉMICA RED IRIS O CAMPUS Sonda FUNDACIONES Identificación 24

25 Usuarios móviles Todo tipo de usuarios Principios Objetivos Análisis de riesgo Contractual Legal con las características anteriores Altas amenzas Altas vulnerabilidades Todos los niveles de LOPD Confidencialidad Integridad Disponibilidad Identificación 25

26 Usuarios móviles - colaboradores SERVICIOS CORPORATIVOS SERVIDORES CORPORATIVOS NUCLEO DE LA RED Software cliente tunel IPSEC Firewall Personal Autenticación fuerte de usuario con tarjeta ( lector integrado) INTERCONEXIÓN A LA RED RED ACADÉMICA RED IRIS O CAMPUS INTERNET USUARIOS MÓVILES 26

27 Usuarios móviles- Investigadores SERVICIOS CORPORATIVOS Política: SERVIDORES CORPORATIVOS NUCLEO DE LA RED 1.-Software cliente tunel IPSEC 2.-Optativo: Autenticación fuerte con certificado en llavero usb, o ratón biométrico COMUNIDAD DE INTERESES DE INVESTIGACIÓN INTERCONEXIÓN A LA RED VPN RED ACADÉMICA RED IRIS O CAMPUS INTERNET USUARIOS MÓVILES 27

28 Usuarios móviles- Alumnos SERVICIOS CORPORATIVOS SERVIDORES CORPORATIVOS NUCLEO DE LA RED AULAS DE INFORMATICA COMUNIDAD DE INTERESES DE INVESTIGACIÓN INTERCONEXIÓN A LA RED VPN RED ACADÉMICA RED IRIS O CAMPUS INTERNET USUARIOS MÓVILES Autenticación con usuario y password 28

29 Redes inalámbricas Principios Objetivos Análisis de riesgo Contractual Legal Profesores y alumnos Altas amenzas Altas vulnerabilidades LOPD nivel medio Propiedad intelectual Confidencialidad Integridad Disponibilidad Identificación 29

30 Redes inalámbricas Identificación Confidencialidad Servidor Radius USUARIOS MÓVILES (RED INALÁMBRICA) NUCLEO DE LA RED 802.1X EAP-TLS: Autenticación mutua Rekeying dinámico Evita ataques de diccionario No es susceptible al man in the middle 30

31 Agenda Introducción Requerimientos generales: Servicios Núcleo de Red Requerimientos de usuario: Colaboradores Investigadores Alumnos Móviles Inalámbricos Requerimientos de adminstrador Gestión de la seguridad 31

32 Organización de seguridad UNE-ISO/IEC (4.1) Infraestructura de la Seguridad de la Información Objetivo: Gestionar la seguridad de la información dentro de la Organización Comité de Seguridad de la Información Coordinación de la Seguridad de la Información Asignación de responsabilidades sobre Seguridad de la Información Asesoramiento de especialistas en seguridad de la información Cooperación entre organizaciones 32

33 Formación UNE-ISO/IEC (6.2) Capacitación de usuarios Objetivo: Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la Política de seguridad de la Organización en el curso normal de su trabajo Educación y capacitación en seguridad de la información Herramientas para difundir la políticas de seguridad 33

34 Gestión de usuarios Portos Aramis Atos Quelle: Don Bowen, The Burton Group 34

35 Gestión de usuarios Portos Aramis Atos D'Artagnan Quelle: Don Bowen, The Burton Group Usuarios x permisos = 12 parámetros a manejar 35

36 Control de acceso basado en roles Portos Aramis Atos Rol: Mosquetero Quelle: Don Bowen, The Burton Group 36

37 Control de acceso basado en roles Portos Aramis Atos D'Artagnan Rol: Mosquetero Usuarios x permisos = 7 parámetros a manejar Quelle: Don Bowen, The Burton Group 37

38 Control de acceso basado en roles UNE-ISO/IEC (9.6) Control de acceso a las aplicaciones Definición de roles Objetivo: Evitar el acceso no autorizado a la información contenida en los sistemas. Asignación de roles HR Bases de datos Gestión de roles LDAP Directory Roles Usuarios Permisos Distribución de roles Identidad totalmente integrada y gestión de acceso para todos los escenarios SAP Windows 2000 Radius 38

39 Revisión Mejora continua. Verificación: Ejecución de procedimientos de monitorización: detectar, lo antes posible, fallos, debilidades, responsabilidades incumplidas o inadecuadas,.. revisar registros de las operaciones controladas Revisión técnica de las medidas de seguridad en cuanto a su implementación, operación y efectividad. Evaluación de los indicadores de Seguridad 39

40 Análisis de vulnerabilidades Objetivo: Detectar riesgos de vandalismo, espionaje, robo, etc. en los Sistemas de Información de la Empresa Método: Test de penetración: Intentos de acceso a la red coorporativa desde el exterior Test de vulnerabilidades interno: Chequeando de manera específica: servidores, bases de datos, routers, PCs Se exploran todo tipo de vulnerabilidades. 40

41 El reto de la gestión de seguridad??? Arquitectura distribuida. Cifradores Routers Seguridad:PKI Crecimiento número de eventos Capacidad humana Sistemas Opertivos Firewall Bases de datos y Aplicaciones Detectores de Intrusos Directorios Antivirus Gestión de usuarios Aplicaciones Ofimáticas 41

42 Gestión de la seguridad Firewalls, Firewalls, Proxies, Proxies, VPNs VPNs Events / Logs Análisis Análisis de de vulnerabilidades vulnerabilidades Events / Logs Unica consoloa, Base de datos de conocimiento, Correlación, Análisis forense, Respuestas automáticas IDS IDS Events / Logs AntiVirus AntiVirus Events / Logs Tiempo Real Routers Routers Switches Switches Events / Logs Gestión de incidentes Gestión de intrusos 42

43 Log Manager Host-Intrusion Detector Firewall Monitor Host Intrusion Detector IDS Monitor Antivirus Monitor 43

44 Desarrollo y mantenimiento 7x24 monitorización de sistemas, identificación de anomalías y alertas según los acuerdos de servicio. M onitorizar Plata Oro Gestionar Bronce M antener Mantenimiento continuado de sistemas y provisión de actualizaciones de software El clinete retiene todo el control sobre la configuración de sistemas y su uso. Un servicio totalmente proactivo identificando y gestionando incidentes de seguridad. UNE-ISO/IEC (8) 44

45 Su socio tecnológico en en Seguridad: - Fortaleza de un integrador mundial - Múltiples Referencias de Seguridad - Expertos en las últimas tecnologías Carolina.oro@siemens.com 45