Francisco J. Irala
Porque es la Seguridad de la LAN an vital ahora? istóricamente no nos hemos preocupado por la seguridad de la LAN. Qué ha cambiado? as nuevas tecnologías y la movilidad de los usuarios han hecho que seguridad física que tenía nuestra LAN, tenían que entrar en nuestra ficina, haya desaparecido: - Redes wireless - Portatiles conectandose en direfentes redes - Colaboradores externos accediendo a los servidores internos - Invitados necesitan acceso a internet demás las nuevas normativas nos obligan a controlar y registrar los ccesos a nuestra LAN. Necesitamos saber que esta sucediendo en uestra LAN.QUIEN.
Dónde estamos? Equipamiento antiguo, redes multivendor Legislación auditorías / necesidad de informes/ control Necesidad de segmentar la LAN Necesidad de controlar dispositivos no basados en usuario Caracteristicas de aplicación PoE para VoIP, wireless 802.1X y otras funciones de seguridad Rendimiento Gigabit hasta el puesto (en el futuro)
Que se necesita para securizar la N? ntrol Quien puede acceder a la LAN Que pueden hacer los usuarios en la LAN otección Disponibilidad de la LAN Información corporativa sensible cumentación Actividad del usuario en la LAN Quién ha accedido a recursos clave Autenticación de Usu Autenticación Dispos IPS Interno Acceso Invitados Segmentación LAN NAC
Pre-Admisión - NAC Instalación de software en los ordenadores Internet Actualización de las conmutadoras ( switches ) con 802.1x Firewall Router IDS/IDP Agregado de servidor ACS Core Switch Access Switch A/D Server Access Switch Finanzas Access Switch ACSRadius Server Base de Datos $$ Operaciones Ventas WLAN Switch
ealidad de NAC y 802.1x La realidad de lo que todo el mundo llama NAC, al igual que la tecnología 802.1x, es que solo nos permiten verificar que un usuario registrado pueda acceder a nuestra LAN, pero no cubre tdos estos puntos: Controlar donde acceden un usuarios despues de validarse Registrar que es lo que han hecho Validar y controlar dispositivos que no soportan 802.1x Validar y controlar colaboradores y/o invitados
Post-Admisión Agregado de cortafuegos a los segmentos de la LAN Internet Configuración de políticas de grupos Firewall Agregado de servidor de análisis Agregado de IDS/IDP a los segmentos LAN Router IDS/IDP Core Switch Radius Finanzas A/D Server ACSRadius Server Base de Datos WLAN Switch Operaciones Ventas
Gestión? Mantenimiento? Cómo? Mantenimiento de firmas Internet Firewall Agregado de monitores en el puerto de mirror del switch Router IDS/IDP Core Switch $$ Radius A/D Server Finanzas $$ ACSRadius Server $$ $$ Operaciones Ventas WLAN Switch Base de Datos
Porqué es el Tema de Seguridad Para la empresa es inadmisible sacrificar simplicidad y rendimiento en aras de un modelo abarcador de seguridad en la LAN an Dificil? Security PerformanceSimplicity
ConSentry Construyendo una LAN Segura» Alto rendimiento ( performance ) Internet Firewall» Simple» Efectivo en términos de coste Router IDS/IDP Core Switch Access Switch Radius Access Switch A/D Server Finanzas Access Switch ACSRadius Server Database Servers WLAN Switch Operaciones Ventas
Qué es necesario para tener una LAN segura? Opción por omisión: permitir LAN Opción por omisión: negar DMZ equerimientos Seguridad Rendimiento Simplicidad ConSentry Networks» Visibilidad y control explícito» Procesador propio para 10 Gbps» Dispositivo único, de instalación transparente
onsentry La Alternativa Simple Internet De fácil instalación» Caja única (doble en configuración H» Transparente para los usuarios y Tecnología de Internet (TI) Plena visibilidad y control (L7)» Instalada próximo al usuario Mantiene rendimiento y confiabilidad» Opciones de alta disponibilidad (HA
o que ConSentry Provee Sólo personas y sistemas validos son admitidos en la LAN» Verificación del estado de seguridad a través de un agente disoluble provisto por una tercera empresa (Cisco, MS, TCG)» Autenticación por tercera empresa (AD, RADIUS) ción de amenazas en po real rotección frente a lo onocido y lo desconocido uarentena del trafico alicioso, no del anfitrión host ) revención de que otros odos se conviertan en ase de lanzamiento de taques Total visibilidad en la capa» Tráfico asociado al usu» Respuesta eficiente a incidentes» Visualización de la información según los parámetros de interés Control de acceso a los recursos asignación de derecho en base a roles» Por usuario, grupo de usuario, aplicación, protocolo, recurso» Políticas globales, acceso universal (cableado/inalámbrico, local/vpn)
atisfaga Muchas Necesidades on una Solución» NAC/802.1x/autenticación de usuarios» Acceso de invitados/contratistas/pacientes» Acceso inalámbrico» Conectores de Ethernet abiertos Control de código malicioso de hora cero Prevención de intrusiones internas (IPS) Beneficios Protección de informació Reducción de gastos operativos de TI Mejoramiento de la conti operacional Reducción de la exposici riesgo» Completa visibilidad de la LAN» Captura de sesión inducida por política» Cumplimiento de regulaciones» Imposición de políticas» Segmentación de la LAN» Control de aplicaciones
onsentry: Focalizado en la dentidad tencia las redes existentes, información de identidad ansparente a los usuarios ableado/inalámbrico no login Internet IBM server finance server finance server guest djones jsmith = IBM finance contractor guest Active Directory employee jsmith Windows login finance server IBM server finance server ConSentry LANShield ConSentry InSig ConSentry Command Cent InSig Command Cent Windows login Windows login
utenticación Active Directory Internet ConSentry snoops the Kerberos return packet and grants network access based on AD server response 4 core switch 1 user logs into the Active Directory domain with username and password edge switch ConSentry CS2400 5 2 ConSentry snoops the Kerberos login by capturing the username ConSentry tracks and decodes all traffic up to L7 and sends data to InSight Active Directory Server 3 ConSentry In Command C Active Directory validates and approves user credentials and responds to host
apacidades Unicas de ConSentry rocesador programable de diseño exclusivo Masivo procesamiento en paralelo (CPU con 128 núcleos) Control granular a velocidades de multi-gigabits exibilidad de adaptación Exclusivo software de seguridad Protección contra amenazas cambiantes Aplicaciones especificas de clientes Protocolos cambiantes ontrol explícito LANShield CPU» Quiénes son admitidos LANShield Accelerator LANShie Visualizer» Dónde pueden ir» Qué pueden hace» Cuándo bloquear
o se Fíen Solamente de Nuestra alabra ecesitamos controlar adónde n, y qué hacen, nuestros uarios en la LAN. Antes de nsentry Networks, no podíamos sualizarlos y mucho menos ntrolarlos. También debemos itar que código malicioso pacte la disponibilidad de estra red. Andre Gold Director of Information Security Hemos tenido que abrir nuestra LAN más allá de nuestros empleados, y ConSentry nos provee una forma simple, de bajo costo, de garantizar que sólo las personas adecuadas ingresen a LAN y que sólo realicen operaciones permitidas Lloyd Hession Chief Security Officer