PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
Universidad de Antioquia Facultad de Ingeniería Ingeniería de Telecomunicaciones
Proyecto elaborado por:
Jorge Alvenis Ospina Ardila C.C. 1040731670 Mauricio Palacio Elorza C.C. 15274168
1. Palabras clave WAN: es la sigla de Wide Área Network. Red de Área Amplia Firewall: es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. DMZ: demilitarized zone. Zona desmilitarizada. IDS: Detección de Intrusos. NIPS: Sistema de detección de intrusiones de red VPN: Virtual Private Network. Red privada virtual. ISP: proveedor de servicio de internet. UTM: sistema de Gestión Unificada de Amenazas. Antivirus: mediador entre dos redes (“gateway”), provee la función de comprobación de virus en los paquetes que circulan entre estas redes. Servidor: es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes. AntiSpam: se conoce como método para prevenir el "correo basura" (spam = correo electrónico basura).
[email protected]
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
2. Planteamiento del problema La Aerolínea DESTINOS S.A. cuenta con cinco sedes en Bogotá, Medellín, Cali, Barranquilla y Leticia y, necesita que la información de cada servidor sea segura además que el envío de datos de sede a sede también lo sea; para realizar este trabajo, la Aerolínea contrató a una empresa de Telecomunicaciones llamada “Mauro-Alvenis Telecomunicaciones” las solicitudes que la Aerolínea presentó fueron las siguientes:
Bogotá, martes 5 de enero de 2011
Buenas tardes Señores Mauro-Alvenis Telecomunicaciones Medellín
La presente es con el objetivo de solicitarles una visita a la sede principal de nuestra compañía “Aerolínea DESTINOS S.A.” el objetivo es que ustedes estudien la situación de nuestra empresa y nos ayuden a proteger nuestra información. Les adelanto que tenemos cinco sedes en diferentes Ciudades de Colombia y debido a nuestra constante necesidad de comunicación requerimos mejorar nuestros canales de interacción y envío de información. Lo más importante para nosotros es la seguridad.
Juan Carlos Piedrahita Gerente General Aerolínea DESTINOS S.A. Bogotá D.C.
[email protected] 2
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
Después de ser analizada la compañía “Aerolínea DESTINOS S.A.” y ver cuáles eran sus reales necesidades; la empresa “Mauro-Alvenis Telecomunicaciones” llega a las siguientes conclusiones.
“La Aerolínea hizo clara su necesidad de seguridad, por lo tanto, en medio de nuestra investigación, nos dedicamos a identificar las características que hacían inseguros sus procesos.”
Mauricio Palacio Elorza Presidente Mauro-Alvenis Telecomunicaciones
Los resultados arrojados por la investigación fueron los siguientes:
-
Desean que la información de cada servidor este encriptada. En cada sede existen usuarios que navegan a través de internet. Es necesario proteger la navegación de los usuarios. Permitir que los usuarios sólo accedan a aquellos sitios web que requieren para ejecutar su trabajo. La infraestructura está compuesta por un ambiente puramente Microsoft (sistemas operativos, sus aplicaciones y sus bases de datos) Es necesario aplicar sistemas de seguridad perimetral.
3. Antecedentes Para la realización de este proyecto la empresa “Mauro-Alvenis Telecomunicaciones” buscó información en diferentes fuentes permitiendo observar el problema desde una perspectiva global, sin olvidar enfocarse en los detalles del caso. Uno de los rastreos de información concluyó en la entrevista realizada al Ingeniero de Sistemas y especialista en Seguridad informática Julián Alberto Alemán.
[email protected] 3
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
FRAGMENTO DE LA ENTREVISTA
Alvenis: Ingeniero, podría contarnos ¿cuál es una de las principales preocupaciones en cuanto a seguridad informática? Ing. Julian A: En la historia de la Seguridad Informática una de sus principales preocupación es proteger el perímetro y cuando se logra proteger (el perímetro) se tiene cierta confianza en que los sistemas en el interior estarán seguros y la solución a todo el peligro se resolverá con un Firewall.
Alvenis: Ingeniero, ¿qué diferencias existen actualmente en términos de seguridad perimetral? Ing. Julian A: Antes, el perímetro era claramente definido; por ejemplo, servidores y estaciones de trabajo en el mismo segmento lógico y físico de la red, se contaba únicamente con un enlace dedicado a Internet y sólo era necesario permitir los puertos de los servicios de Internet necesarios. Actualmente, la situación de las redes corporativa es diferente, es decir, se tiene más de un enlace hacia Internet, redes inalámbricas, WAN, Redes Privadas Virtuales, además de Servidores y Servicios que corren sobre la red y que son críticos para la organización. La Seguridad de la Información que fluye en arquitecturas como la planteada, es ahora más compleja que antes, las amenazas y vulnerabilidades cambian al igual que la tecnología y mantener una Seguridad Perimetral es mayor. Existe una gran cantidad de soluciones tecnológicas, Firewall’s corporativos con opción de VPN, cifrado de información, Firewall para estaciones de trabajo, soluciones de Antivirus para servidores y estaciones de trabajo, revisión de correo, protección de filtro de contenido, detectores de intrusos reactivos a nivel de host y red, etc. Entonces, cual es el problema, si la tecnología existe para minimizar las posibles amenazas. El problema entonces es como aplicar esas soluciones para poder tener un control sobre lo que existe en la red o redes de un corporativo. Además de mantener siempre la visibilidad de lo que está ocurriendo y corroborar que lo que se hace está dentro del marco de políticas aceptadas por la organización. DRAMATIZACIÓN
[email protected] 4
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
Y como resultado de la investigación y del rastreo de información se presentan los objetivos del proyecto.
4. Objetivos -
Encriptar la información de la Aerolínea por medio de VPN. Contratar con una empresa prestadora de servicios de internet (ISP) Crear una Zona desmilitarizada (DMZ) por medio de un sistema de Gestión Unificada de Amenazas(UTM) Por medio del Web Proxy del UTM los usuarios sólo podrán acceder a los sitios web que requieren para ejecutar su trabajo. Comprar dispositivos marca CISCO para garantizar la calidad y la conexión con la infraestructura Microsoft con la que cuenta la Aerolínea.
5. Descripción e instalación de equipos y funciones de protección. Así funciona la Aerolínea en el momento en que se realiza la investigación. Se identifican los problemas que se muestran en el siguiente diagrama. En este gráfico todos los equipos se conectan directamente a Internet a través de un router y esto acarrea problemas de seguridad.
Después de evaluar la seguridad perimetral de la arquitectura de red informática se propone comenzar separando aquellos servicios que usan internet, porque estos reciben muchos ataques, en comparación con el resto de la red y se propone ubicarlos en un
[email protected] 5
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
lugar llamado Zona Desmilitarizada DMZ. De este modo, si consiguen acceder a algún servicio, no podrán ingresar a la red en general. Servicios divididos por medio de una DMZ:
Como se cuenta con cinco sedes y la sede principal está ubicada en Bogotá, se considerará Bogotá como la “Oficina central” y las cuatro sedes restantes serán llamadas “Sucursales”
Al realizar la investigación se vio la necesidad que tienen los usuarios de utilizar una infraestructura pública (Internet) y pensando en la seguridad de la Aerolínea se deben encriptar los datos. Para encriptar los datos que se transmiten entre las sedes de la Aerolínea y asegurar las comunicaciones, protegiendo la información, se debe utilizar una red privada virtual VPN (Virtual Private Network) con la que se encapsulará y cifrará todo el tráfico en una nueva red “virtual”. Esta red minimiza la exposición de los servicios internos al exterior y evita su vulnerabilidad además de garantizar la autenticación e integridad de los datos.
[email protected] 6
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
Además del antivirus obligatorio que estará ubicado en cada estación de trabajo, la Aerolínea dispondrá de un UTM que cuenta con Antivirus y AntiSpam y será quien reciba todos los correos electrónicos y demás datos provenientes de internet, los procesará y luego los entregará al servidor, siempre y cuando estén limpios y sean permitidos entre las páginas o sitios a visitar establecidos por la Aerolínea. El resto del proceso se realizará de forma normal.
UTM Entre otros servicios la UTM cuenta con una pasarela de Antivirus y AntiSpam creando barreras que detienen el Spam o Malware antes de llegar a las estaciones de trabajo.
[email protected] 7
PROYECTOS TECNOLÓGICOS
CASO DE ESTUDIO
Cómo el Slogan de la Aerolínea es “Lo más importante para nosotros es la seguridad” la empresa “Mauro-Alvenis Telecomunicaciones” considera que además del UTM y los Antivitus de cada estación es necesario instalar un sistema de detección de intrusos IDPS (Intrusion Detection and Prevention Systems) que se utilizará para detectar ataques en el momento en que ocurran y los prevendrá, almacenará los registros y reportará al personal de administración y seguridad. Los IDPS son tan complejos que son capaces detener la conexión si identifican un peligro, funcionan del mismo modo que los cortafuegos de aplicación.
IDPS
6. Resultados •
Mapa topológico
[email protected] 8
PROYECTOS TECNOLÓGICOS
•
CASO DE ESTUDIO
Números de equipos, marcas y modelos Las marcas y los modelos que la empresa “Mauro-Alvenis Telecomunicaciones” recomienda para la infraestructura física del proyecto son: -
Tres NIDS por sucursal: McAfee Intrushield 4010 Sensor Appliance total 15
-
Un UTM por cada sucursal: Check Point UTM-1, 3075/3078 total 5
-
Un Switch por cada sucursal: Cisco SGE2010P 48-port Gigabit Switch - PoE total 5 Nota: para el caso de aumento de equipos se comprarán más de este tipo.
-
Un router por cada sucursal, el cual nos proveerá la ISP para conexión con la red pública total 5
-
Contratar con cinco empresas que presten el servicio de internet en cada ciudad.
-
Una licencia por cada sucursal de Microsoft Windows Essential Business Server 2008 para los servidores de administración y gestión.
-
Una licencia por cada sucursal de Microsoft SQL Server 2008 para el servidor de la base de datos.
-
Una licencia por cada sucursal de Microsoft Forefront Security for Office Communications Server para la mensajería.
-
Para los equipos normales (de escritorio) una licencia por cada equipo de Windows Seven Home Premium.
7. Cibergrafía La dramatización fue un fragmento tomado de: Archivo Pdf. M. en C. Gerardo Contreras Vega, Universidad Veracruzana; M. en C. Carlos A. Ochoa Rivera, Universidad Veracruzana; Ing. Adolfo de Jesús Solís Muñiz; Universidad Autónoma de Chiapas. Visitada el 5 de junio de 2011. Este documento explica diferentes estudios de casos y los métodos que se deben emplear según la circunstancia. http://observatoriodelacapacitacion.stps.gob.mx/oc/PDF/cursos_en_linea/Seguridad_Inter net_SE.pdf
Microsoft Corporation. Visitada el 9 de junio de 2011. En esta página se encuentran diferentes tipos de licencias para servidores entre otros productos que ofrece la marca. www.microsoft.com/latam/servidores/default.mspx
[email protected] 9
