Proyecto del diseño de los Sistemas de Seguridad Avanzada de la Subsecretaría del Ministerio de Hacienda.



Documentos relacionados
I Jornadas de Arquitecturas de RED Seguras en las Universidades


ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Seguridad. Asesoría y Consultoría Desarrollos a medida

IMPLANTACIÓN DE APLICACIONES WEB EN ENTORNO INTERNET, INTRANET Y EXTRANET

DEFINICIÓN Y EJECUCIÓN DEL PLAN DIRECTOR DE SEGURIDAD DE LOS SS.II. DEL MAPA

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Esquema de arquitectura y seguridad.

Código: J63.01 Nivel: 3. Actividades de servicios de información. Tecnología hardware y software

Seguridad. Centro Asociado de Melilla

Sistemas y Seguridad

Contenido. Introducción

Jump Start Sophos XG Implantación básica 4 horas de asistencia en remoto y formación

Código: J63.02 Nivel: 3. Actividades de servicios de información. Procesamiento de datos, hospedaje y actividades conexas; portales web

PROCEDIMIENTO MANTENIMIENTO INSTALACION Y MANTENIMIENTO DE RED INALAMBRICA

POLÍTICAS DE DEFENSA EN PROFUNDIDAD: - DEFENSA PERIMETRAL. - DEFENSA INTERNA. - FACTOR HUMANO. Luis Villalta Márquez

soluciones de cloudcomputing Conectividad Internet Voz Video Seguridad Wi-Fi Datacenter Virtualización / Cloud

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

EXCH000e Configuración, Administración y Solución de Problemas de Microsoft Exchange Server 2010

Bloque III Seguridad en la Internet

PROGRAMACIÓN DEL MÓDULO/ASIGNATURA

Luis Villalta Márquez

PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN UNIVERSIDAD DE CALDAS

Seguridad. Centro Asociado de Melilla

Teibo, Sistemas y Comunicaciones, S.L.

Programación en lenguajes estructurados de aplicaciones de gestión. Código: J62.13 Nivel: 3

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

Plataforma de Desarrollo de Software

Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica «BOE»

Punto 3 Políticas de Defensa. Perimetral. Juan Luis Cano

Redes inalámbricas. red inalámbrica

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

SPA - SEGURIDAD PERIMETRAL ADMINISTRADA

Soluciones de Gestión en Cloud para Facultades y Universidades: efaculty

SOLUCION DE COMUNICACIONES PARA CENTROS ESCOLARES

Administering Microsoft Exchange Server 2016

EXPTE ADQUISICIÓN DE SISTEMA DE CORREO ELECTRÓNICO

Sistema de Gestión de la Calidad VAF Vicerrectoría Administrativa y Financiera SEGURIDAD INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES OFICINA DE INFORMATICA Y DESARROLLO DE SISTEMAS

10. NORMAS DE USO DEL SISTEMA INFORMÁTICO DE LA JUNTA GENERAL

MÓDULO FORMATIVO 3: ADMINISTRACIÓN DE SERVICIOS DE TRANSFERENCIA DE ARCHIVOS Y CONTENIDOS MULTIMEDIA

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE No O&:L EFA/OTI

PROYECTOS TECNOLÓGICOS DE SEGURIDAD EN EL MINISTERIO DE DEFENSA


El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

Contribución de SATEC

PLIEGO DE PRESCRIPCIONES TECNICAS PARA LA CONTRATACION DEL SUMINISTRO DE PLATAFORMA DE SISTEMAS DE ENTORNO DE CONSOLIDACIÓN Y FORMACIÓN PARA LA

MICROSOFT OFFICE OUTLOOK 2003

Gestión de dispositivos móviles: MDM (Mobile Device Management)

Luis Villalta Márquez

Examen Cisco Online CCNA4 V4.0 - Capitulo 4. By Alen.-

SUMINISTRO, MANTENIMIENTO Y SOPORTE DEL SISTEMA DE SEGURIDAD PERIMETRAL

SISTEMA GLOBAL PARA LAS COMUNICACIONES DE TU NEGOCIO

PLAN de CONTINGENCIA que GARANTICE la. CONTINUIDAD del SERVICIO

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DEL SUMINISTRO DE CORTAFUEGOS DE APLICACIÓN PARA PUBLICACIÓN WEB.

Introducción de conceptos de diseño de red

Curso Especializado Seguridad Informática GNU/LINUX

7. Sistema de Gestión de Datos de Medida

Seguridad en Redes: Network Hacking

CONFIGURACIÓN DE UNA CUENTA CORREO ELECTRÓNICO CON OUTLOOK 2010.

LA SOCIEDAD DE LA INFORMACIÓN EN LA PROVINCIA DE CÁCERES

PLIEGO DE PRESCRIPCIONES TECNICAS PARA LA CONTRATACIÓN DEL SUMINISTRO DE EQUIPOS DE ROUTING PARA EDIFICIOS DEL GOBIERNO DE ARAGÓN

PROBLEMAS DE SERVICIOS Y TECNOLOGÍAS DE SEGURIDAD EN INTERNET

Seguridad en Redes: Network Hacking

PLAN DE CONTINGENCIA Y POLITICAS DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN DE LA INSTITUCIÓN TECNOLOGICA COLEGIO MAYOR DE BOLIVAR OBJETIVO

CompTIA Network+ Examen Asociado: N Duración en horas: 40 Horas. Descripción del Curso: A quién va dirigido?

TACLINK. Sistema Táctico de Comunicaciones. La Familia de Soluciones Tácticas para la Gestión de las Comunicaciones

Autor: Henry Alfonso Romero Mestre 8 de enero de 2018 Directora: Angela María García Valdés Universidad Abierta de Cataluña Máster Interuniversitario

IFCT0509 ADMINISTRACIÓN DE SERIVICIO DE INTERNET

la Seguridad Perimetral

Autenticación: Garantiza que el autor o visador del documento es quien dice ser.

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

NÚMERO DE HORAS: 160H PROGRAMACIÓN WEB EN EL ENTORNO CLIENTE OBJETIVO

Plataforma cloud de servicios de eficiencia energética Para grandes consumidores de energía

SEGURIDAD EN COMUNICACIONES

Mejor calidad de filtrado del tráfico de correo

Álvaro Gómez Vieites

CUARTO CURSO DE EDUCACIÓN SECUNDARIA OBLIGATORIA. 1. Adoptar conductas y hábitos que permitan la protección del individuo en su interacción en la red.

Principios de la Seguridad Informática

REDES INTERNAS CORPORATIVAS

ANTECEDENTES Y JUSTIFICACIÓN

Informe productos comerciales "Firewall UTM (Unified Threat Management)"

CATÁLOGO DE SERVICIOS TIC DEL DEPARTAMENTO DE NOVAS TECNOLOXÍAS DIPUTACIÓN PROVINCIAL DE LUGO

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

Todos los equipos deberán incluir elementos de protección contra caídas, climatología, subidas y bajadas de tensión, etc.

recomendamos el siguiente procedimiento:

Aplica para todas las sedes de la Universidad de Santander.

Servicios de Sistemas

Técnico en Servidores Web de Mensajería Electrónica

Requerimientos Técnicos. Aplicaciones Web

Nuevos Servicios Avanzados de Seguridad

Plan de Seguridad de la Información de de Abril de de 2008

1. Gestión de logs Antecedentes Objetivos Checklist Puntos clave Referencias... 7

Guía del Curso Técnico en Seguridad Informática

PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL PROCEDIMIENTO SIMPLIFICADO POR CONCURSO PARA LA CONTRATACIÓN DEL SERVICIO DE ACTUALIZACIÓN DE LA PLATAFORMA DE

SEGURIDAD INFORMATICA. Vulnerabilidades

Instalación e implementación de Microsoft Dynamics CRM 2011

Transcripción:

Proyecto del diseño de los Sistemas de Seguridad Avanzada de la Subsecretaría del Ministerio de Hacienda. Rafael Luis Santos García Consejero Técnico en la Subsecretaría del Ministerio de Hacienda. 1. INTRODUCCIÓN. La incorporación, prevista por el Ministerio de Hacienda, de nuevas tecnologías asociadas con la evolución de las comunicaciones, la agilización de los procesos administrativos y el acercamiento de la Administración al ciudadano, implican un mayor nivel de exposición de los sistemas de información a diversos riesgos derivados de la apertura de las redes de comunicaciones utilizadas y la multiplicación de los accesos. Este hecho, unido a las necesidades que ello conlleva en materia de integridad, confidencialidad y disponibilidad de la información, indican que tal evolución no sería posible si no se aseguran al mismo tiempo unos estándares elevados en materia de seguridad de los sistemas de información que participan en el proceso. Con el objetivo de mejorar la seguridad de los sistemas de información y las redes de comunicación del Ministerio de Hacienda, y anticiparse a las vulnerabilidades que podrían surgir como resultado de esta anunciada apertura, la

Subsecretaría del Ministerio de Hacienda ha decidido acometer el Diseño, Implantación y Operación del los Sistemas de Seguridad Avanzada del Ministerio de Hacienda. 2. ARQUITECTURA TÉCNICA. El objetivo fundamental del diseño de arquitectura del sistema que se ha tenido en cuenta es conseguir un sistema que en su conjunto sea de alta disponibilidad (tolerante a fallos) y escalable (que pueda crecer en el futuro), de tal forma que la atención y servicio a los ciudadanos se vea garantizada y pueda incrementarse según la demanda. Las distintas funciones a cubrir por el sistema, se pueden sintetizar en las siguientes: 2.1 Sistema para Gestión de Ancho de banda. Este sistema será el encargado de gestionar el ancho de banda de las líneas de comunicaciones que posee el Ministerio con Internet, aumentando así el rendimiento de las mismas y eliminando problemas tales como cuellos de botella; diversificando los servicios ofrecidos por el Ministerio a los distintos usuarios. Se recomienda situar el sistema de gestión de ancho de banda y tráfico (Calidad de servicio) entre el router de conexión a Internet y la primera línea de cortafuegos (segmento WAN). 2.2 Cortafuegos. La arquitectura propuesta se describe en la ilustración 1 y está compuesta por dos líneas de Cortafuegos soportadas en productos de distintos fabricantes. De esta manera se consigue un mayor nivel de seguridad ya que el intruso tendría que atacar y superar las defensas de dos productos distintos y al mismo tiempo separar y segmentar los servicios de acuerdo al público objetivo al que están destinados (ciudadanos en general, empresas o funcionarios de las distintas Administraciones). El sistema de cortafuegos formará una arquitectura de dos niveles proporcionando mayor estabilidad, seguridad y rendimiento al servicio:

Nivel 1.- Cortafuegos Perimetrales, encargados de filtrar todas las conexiones provenientes tanto de Internet como de otros organismos. Actualmente el Ministerio tiene una línea Internet de 3.84 Mb. de ancho de banda. Si se decidiera adquirir otra línea adicional, aunque sea de otro proveedor, la solución de Cortafuegos Perimetrales adoptada permitiría realizar una gestión de las líneas Internet, proporcionando mecanismos de alta disponibilidad con balanceo de carga entre líneas, sin necesidad de incorporar hardware adicional. Nivel 2.- Cortafuegos Internos, encargados de filtrar todas las conexiones provenientes de los Cortafuegos Perimetrales y de los usuarios de la red interna (LAN). 2.3 Antivirus. El sistema de antivirus se conectará directamente al cluster de Cortafuegos Perimetrales. De este modo, todo el tráfico que pase por dichos cortafuegos, sensible de ser analizado, se reenviará al antivirus, el cual lo analizará en busca de patrones de virus conocidos. En el caso de que detecte algún virus, actuará sobre unas políticas definidas. Es recomendable que los sistemas de antivirus y diferentes consolas de administración y tratamiento de históricos estén situados en su propio segmento de red (segmento gestión), exclusivo para ellos. Siguiendo las premisas del presente diseño, estos productos se deberían instalar en configuración de alta disponibilidad. Al mismo tiempo se implanta un sistema antivirus residente en los puestos de trabajo, los servidores departamentales, los servidores Web y los servidores de correo, los cuales se gestionan mediante una única consola, ubicada en el segmento de gestión, desde la que se realizan las actualizaciones y descargas de firmas en los referidos equipos. Este sistema antivirus tendrá una tecnología distinta del otro antivirus perimetral, para así obtener una protección mayor frente a posibles ataques. 2.4 Sondas de detección de intrusión. El sistema de detección de intrusión será el encargado de analizar el tráfico, de determinados segmentos de la red, en busca de intentos de ataque a los sistemas que conforman la plataforma Internet / Intranet del Ministerio. En el caso de que detecte un intento de ataque, actuará mediante unas políticas definidas.

En todos y cada uno de los segmentos de red que se definan en el sistema, actuará al menos un sensor de red para detectar posibles intrusiones en el sistema. Este sistema analiza el tráfico de red en tiempo real. Además se incluyen las sondas necesarias para todos los servidores críticos del sistema. Se dispondrá de tres sondas ubicadas en los segmentos de DMZ, Intranet y BBDD. 2.5 VPN. Para el acceso de usuarios móviles (conectados a través de Internet), se establecerá un sistema de seguridad basado en VPN (en modo túnel + cifrado del canal), asegurando la privacidad de las comunicaciones extremo a extremo. Cada usuario móvil tendrá un cliente VPN y el servidor VPN será el cluster de Cortafuegos Internos. La autenticación de usuarios se realizará contra un servidor AAA (propiedad del Ministerio). 2.6 Gestión de Históricos. Para tener un control unificado de lo que acontece en cada uno de los clusters de cortafuegos (Cortafuegos Perimetrales y Cortafuegos Internos), se dotará a la plataforma de un servicio centralizado de históricos. 2.7 Otras consideraciones. El proceso de apertura y servicio a los ciudadanos mediante procedimientos informáticos conlleva que en el futuro se tengan que utilizar transacciones SSL para garantizar la seguridad de determinados procesos. Puesto que este sistema criptográfico de clave pública es lento, ya que requiere mayores recursos de procesado, se hace necesario incorporar tarjetas aceleradoras a los servidores que proporcionen estos servicios. Se realizarán, de acuerdo a un calendario prefijado, análisis para verificar las posibles vulnerabilidades del sistema y así tenerlo actualizado.

Todos los equipamientos enunciados se gestionan y administran mediante consolas y servidores ubicados en el segmento de gestión. Con respecto a las consolas de gestión y supervisión es necesario realizar las siguientes consideraciones: 1- No es recomendable la integración de las consolas de los productos de Cortafuegos en una única, debido principalmente a razones de seguridad, por lo que recomendamos que se use la propia consola de cada producto. 2- No obstante, será necesario integrar en la fase de implantación un sistema centralizado de gestión de red y sistemas con el sistema de gestión de los equipos y productos de seguridad. De esta manera se controla y verifica la disponibilidad de los servicios 24X7. Hay que tener muy presente que toda esta tecnología no tendrá validez si no se realiza al mismo tiempo un programa de concienciación e información de usuarios y administradores. En los usuarios externos, conviene utilizar un sistema de autenticación fuerte basado en Tokens de usuario con introducción de una contraseña diferente cada vez que se conecte. La arquitectura del sistema diseñado está destinada a dar soporte a los servicios que el Ministerio de Hacienda preste en Internet a los ciudadanos, a los que preste en la Intranet de la Administración General del Estado y a los que se definan para sus propios funcionarios. La Ilustración muestra, a nivel lógico, la arquitectura propuesta:

Ilustración Arquitectura propuesta En ella se puede observar como grandes bloques la plataforma de seguridad y los distintos segmentos que conforman la red, descritos en detalle en los anteriores apartados.

3. DESCRIPCIÓN DE LA ARQUITECTURA. 3.1 SEGMENTOS. Para dotar a la plataforma de un mayor rendimiento y seguridad se ha dividido la red en segmentos, según el tipo de servicios y el tráfico generado. En los siguientes apartados se da una breve descripción de los segmentos que albergan. 3.1.1 Segmento WAN. Dedicado a la conexión del Ministerio con la red externa Internet. Router conexión Internet. Encargado de las comunicaciones con Internet. Gestor ancho de banda. Encargado de gestionar el ancho de banda de las líneas de comunicaciones con Internet. 3.1.2 Segmento DMZ. Se utiliza para proporcionar los servicios del Ministerio a los ciudadanos y como interfase entre la red interna e Internet. Servidor Web Ministerio Internet. Encargado del servicio web corporativo del Ministerio de Hacienda (www.minhac.es). Servidores Web Otros Organismos. Encargado del servicio web corporativo de otros organismos. Servidor DNS Secundario. Encargado de resolver los nombres de las máquinas que conforman la plataforma Internet / Intranet del Ministerio Es una réplica (acceso en modo sólo lectura) del servidor DNS Primario, ubicado en el Segmento Intranet.

Servidor Relay Correo. Encargado de realizar las siguientes funciones: Relay de correo entrante y saliente de los usuarios del Ministerio. Relay de correo entrante y saliente de los usuarios de Otros Organismos. Servidor SMTP de los usuarios del Ministerio. Servidor SMTP de los usuarios de Otros Organismos. 3.1.3 Segmento BUZONES. Tiene como finalidad proporcionar los servicios de Correo Electrónico externo. Servidor POP3. Encargado de servir los mensajes de correo de los usuarios de Otros Organismos. 3.1.4 Segmento GESTIÓN. Su utilidad consiste en independizar y asegurar la gestión y administración del equipamiento de seguridad. Servidor AAA. Encargado de realizar la autenticación de los usuarios que se conectan a través de la VPN. Consolas de Gestión. Encargadas de la administración de los dos clusters de cortafuegos (Cortafuegos Perimetrales y Cortafuegos internos), de la gestión centralizada de Históricos y del gestor de ancho de banda y de los dos antivirus. El servidor y la consola del Sistema de detección de intrusiones. En este segmento se incorporará también la consola gráfica y el servidor de gestión de red y sistemas.

3.1.5 Segmento LAN. Sirve para agrupar a los usuarios internos del Ministerio. Equipos usuarios red Interna. PCs de los usuarios que conforman la red interna del Ministerio de Hacienda. 3.1.6 Segmento INTRANET. Dedicado a dar servicios de Intranet a los funcionarios del Ministerio. Servidor Web Ministerio Intranet. Encargado del servicio web Intranet del Ministerio de Hacienda. Servidor IMAP. Encargado de recibir los mensajes de correo de los usuarios del Ministerio. Servidor DNS Primario. Encargado de resolver los nombres de las máquinas que conforman la plataforma Internet / Intranet del Ministerio. Es el Master (acceso en modo lectura / escritura). Tiene una réplica en el Segmento DMZ (DNS Secundario). 3.1.7 Segmento BBDD. Utilizado para asegurar y aislar el repositorio general de datos del Ministerio. Servidor BBDD. Encargado de almacenar los datos de la distintas aplicaciones que posee el Ministerio. 4. ÁREAS TECNOLÓGICAS BENEFICIADAS. La Subsecretaría tiene un interés especial en que estos proyectos de infraestructura sirvan como marco para asegu-

rar la Confidencialidad, Integridad y disponibilidad de las operaciones y además para que los demás Organismos del Ministerio de Hacienda puedan utilizarlos a la hora de proporcionar a los ciudadanos los servicios que de ellos requieren. Se trata de elaborar una referencia válida, homogénea para todos y, al mismo tiempo, adaptable a las distintas exigencias de seguridad que se presenten de acuerdo con las demandas externas. Algunas de las áreas tecnológicas que se verán sin duda beneficiadas con la aplicación del proyecto son las siguientes: 4.1 INGENIERÍA DEL SOFTWARE Y SOLUCIONES DE BUSINESS INTELLIGENCE. Sirve para preparar las aplicaciones nuevas que se realicen así como reutilizar las ya existentes. Metodología para la planificación, análisis, diseño, desarrollo, prueba y despliegue de aplicaciones y su mantenimiento. Middleware, integración de entornos heterogéneos y conectividad web-to-host para aplicaciones heredadas. Soluciones para el análisis y la explotación de datos de negocio de la empresa. 4.2 E-BUSINESS. Al tener la información agrupada y segura, es posible relacionarla y coordinarla y al mismo tiempo particularizar para el ciudadano así como para la criticidad de las aplicaciones. Infraestructura de sistemas Multinet: servidores de aplicación, web, mensajería y directorio. Despliegue de aplicaciones de misión crítica en Internet. Soluciones de recuperación del conocimiento y la difusión personalizada de la información. Arquitectura de la Información y Gestión del Conocimiento. Posibles sistemas CRM (Customer Relationship Management). Soluciones de comercio electrónico y procesos de negocio en Internet.

4.3 SEGURIDAD CORPORATIVA E INFRAESTRUCTURA DE CLAVE PÚBLICA (PKI). Esta área es de máximo interés ya que la infraestructura desplegada permite la incorporación de tecnologías de seguridad que se verán implantadas en el futuro incrementando la seguridad de acceso de los ciudadanos. Análisis de la seguridad en sistemas informáticos conectados a redes. Redes privadas virtuales. Cortafuegos y sistemas de autenticación fuerte. Soluciones para la construcción de Infraestructuras de Clave Pública (PKI) y para asegurar los entornos de ebusiness. 4.4 CALIDAD DE SERVICIO. Tiene como finalidad la excelencia en los servicios presentados a los diferentes usuarios del sistema. Soluciones de Alta Disponibilidad y Balanceo de Carga. Monitorización del Rendimiento y la Calidad de Servicio para redes, servidores y aplicaciones. Gestión y optimización de los recursos de ancho de banda. Aceleración de la entrega de contenidos en Internet.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback