Seguridad en Redes Convergentes Jorge Arasanz – Responsable de Desarrollo de Negocio Infraestructura de Red [email protected] Junio, 2007 ¿Qué es una red convergente? Un conjunto de equipos de comunicaciones que ofrecen un transporte universal, basado en IP, para cualquier tipo de tráfico. Convergen los tráficos multimedia hacia tráficos nativos de datos. Una única plataforma de comunicaciones soporta todos los servicios. Diferentes tecnologías: Ethernet, Wifi, MPLS, VPLS Múltiples Servicios: voz, aplicaciones, colaboración, CCTV, vídeo, etc. La realidad son las redes de Triple-Play y las redes empresariales con Telefonía IP. •Red IP Multiservicio 2 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Problemas de seguridad en las redes convergentes Proteger la Infraestructura Proteger la Identidad de los usuarios y máquinas Proteger la Información dentro de la red OmniAccess WLAN 4308 OmniPCX Enterprise •WWW 3 | Presentation Title | Month 2007 OmniSwitch 6850 All Rights Reserved © Alcatel-Lucent 2007 Lo Bueno y lo Malo de “Todo IP” IP-based Networks Voz TDM CDMA / GSM 2G ADSL basado en ATM TV Broadcast via Radio Lo Bueno… VoIP Menos capas / Menos Coste 3G/4G Abaratamiento de terminales VDSL2 or GPON based IP IP-Video Mejoras de integración entre elementos Autoprovisionamiento. Bandwidth Management Datos de uso para mejorar la Oferta pero … Con la Integración surge el riesgo de “Contaminación” Al final se acaba en Internet, con el riesgo que conlleva DDOS – Malware – Hackers – Privacy Theft – Data Compromise Los dispositivos IP son accesibles desde cualquier lugar 4 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Riesgos, amenazas y ataques Riesgo: es la posibilidad de sufrir un determinado nivel de daño. Amenaza: hay certeza de que podemos sufrir daño. Ataques: el daño se está produciendo. No todas la amenazas vienen de fuera: “50% of Enterprises consider employees to be un-trusted (from an IT security stand point)” Ni todos los ataques son intencionados: Usuarios móviles infectados fuera de la oficina, llaves USB, Power users, etc. 5 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 El nivel de amenaza crece… Vulnerabilities Exploited Faster Months Threats Propagating Faster Avg. exploit in 2005 5.8 days. Hours Weeks 2005 - 90% of the hosts within 10-minutes. Minutes Days Seconds 2003 2004 2005 2001 2002 2003 2004 2005 Botnet Launched DDOS on the Rise SPAM: 80% of Emails in 12/06 Sources: CERT/CC, Symantec, NVD, OSVD 6 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Las amenazas están MUY cerca. España es un país especialmente peligroso: Proliferación de Virus Malware/adware en el 80% de los PC Ataque a proveedores de Hosting Cierre de empresas por orden judicial al detectarse indicios de participación de empleados en redes de pornografía. Los móviles con cámara. Pishing 7 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Las amenazas están MUY cerca… en casa. •The trojan, which is a modified version of a similar piece of nastyware that had already been detected in the wild, installs itself in the startup portion of the registry, disables any running anti-virus software it can find, and launches a keylogger process when it finds any windows labeled "wow.exe," "Launcher.exe," "signup.worldofwarcraft.com,“… 8 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Retos de las empresas ¿Por qué la seguridad preocupa a nuestros clientes? Evolución Tecnológica Evolución de las organizaciones y los modelos de negocio • • • Universalización de IP Nuevos servicios (IPTV, VoD, …) basados en contenidos de Alto Coste • La seguridad se está convirtiendo en un requisito contractual Relaciones mas estrechas con partners, clientes, suministradores, etc. • No basta con protección perimetral • La RED es un recurso CRÍTICO • Las caídas de red pueden tener una causa intencionada • Legislación • • • Los empleados pueden tener comportamientos poco éticos. Directrices Europeas en protección de privacidad y almacenamiento de logs de firewalls y proxis. Cumplimiento de ISO17799/27000 Los problemas de seguridad de los usuarios, se convierten en problemas de seguridad de las empresas. Key take away La migración a IP plantea problemas que Alcatel-Lucent comprende y puede ayudar a comprender. 9 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Existen normas para la implementación de la seguridad Imprimir seguridad en el ADN de los sistemas complejos Niveles Access Control Infraestructura Usuario Final Capas MODULO 1 Servicios Aplicaciones MODULO 4 MODULO 7 Privacy Authentication Non-Repudiation Availability Control / Señalización MODULO 2 MODULO 5 MODULO 8 Gestión MODULO 3 MODULO 6 MODULO 9 Integrity Confidentiality Comms Security Control de Acceso Autenticación No-Repudio Comms Security Disponibilidad Confidencialidad Integridad Privacidad The Bell Labs Security Framework ITU/X.805 Security Standard ISO 18028 Security Standard 10 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 (9 MODULOs X 8 Cells = 72 Security Cells) Proteger la Infraestructura Riesgo de empleados enfadados Entorno regulatorio rogue hosts El problema: Nunca hemos protegido la La LAN es la DMZ LAN. ¿Qué haNueva cambiado? Subcontratados y partners Ganar dinero Terminales diversos Ataques cada vez más esquivos 11 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Proteger la Infraestructura Control de Acceso a la Red: Network Access Control Control post-admisión Detección de ataques Comprobación de los terminales Gestionabilidad Disponibilidad Una Infraestructura protegida es más fiable: DISPONIBILIDAD Ayuda a proteger la información 12 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Alcatel-Lucent Network Access Control Tanto el control Pre-admisión como el Post-admisión son necesarios para una Red Segura. Audit Threat Control Post-admisión Identity-Based Control Host Integrity Check Authenticate 13 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Pre-admisión Proteger la Infraestructura Wifi Lobby Cafeteria Conference Rooms Offices/Cubicles •WIP Detection Detection 14 | Presentation Title | Month 2007 Æ Classification Classification Æ Prevention/Action Prevention/Action Rogues Bridged PC’s DOS Attacks Ad-Hoc’s Neighbor Networks Hacks/Cracks Bridges Mis-configured AP’s Rate Anomalies All Rights Reserved © Alcatel-Lucent 2007 Signature Signature Engine Engine Proteger la Infraestructura Alcatel-Lucent Firewall: BRICK Diseñado por los creadores del concepto “Firewall” y Alcatel-Lucent Bell Laboratories y Basado en el Sistema Operativo Inferno, desarrollado en Bell-Labs y Seguridad Distribuida (Bricks) pero Gestión Centralizada (ALU-SMS) Concepto Innovador de tecnología “Stealth” y Invisible en la red y No se puede atacar lo que no se ve… Carrier-grade: Alta Disponibilidad „with zero CERT reports the most secure firewall in the world“ 15 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Proteger la Infraestructura Alcatel-Lucent VitalQIP Porque todos los dispositivos adquieren su IP por DHCP, y si no funciona, no hay servicio. Porque todos los dispositivos emplean DNS para acceder a los servicios, y si no pueden resolver los nombres, no hay servicio. Porque gestionar cientos de direcciones IP a mano es inviable. 16 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Proteger la Identidad La seguridad no sólo son equipos y software. Ingeniería Social. Alcatel-Lucent Services “Si revelas tus secretos al viento, no le culpes por revelarlos a los árboles”. Gibran Khalil Gibran 17 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Proteger la Información Ataque a contenidos La VOZ viaja sin cifrar por las redes IP. Aumentar la disponibilidad de la Información 18 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 El gráfico de la seguridad •Coste •Seguridad 19 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 El gráfico de la seguridad •Coste •Seguridad 20 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 El gráfico de la seguridad. Una nueva variable, el tiempo. •Coste •Seguridad 21 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 Gráfico real de la seguridad •Coste •Seguridad •Facilidad 22 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 “Pasé la mitad de mi vida preocupándome por cosas que jamás ocurrieron”. Sir Winston Churchill 23 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007 www.alcatel-lucent.com 24 | Presentation Title | Month 2007 All Rights Reserved © Alcatel-Lucent 2007