I Jornadas de Arquitecturas de RED Seguras en las Universidades Sevilla, Marzo 2003 Luis Figueroa [email protected]
I Jornadas de Arquitecturas de RED Seguras en las Universidades
Sevilla, Marzo 2003
Luis [email protected]
AgendaAgenda
Situación actual Universidad Tipo
Objetivos
Solución propuesta
Arquitectura
Red
Servicios
Seguridad
Soluciones de acceso a Grupos
Integración con VozIP, Videoconferencia IP
Infraestructura de Clave Pública (PKI)
Conclusiones
SituaciSituacióón actual n actual Universidad TipoUniversidad Tipo
Infraestructura Servicios Entidades
Núcleo de la
Red
Red Académica
Red Iris
O Campus
ServiciosPúblicos
GrupoComunidad de Intereses
Corporativa
GrupoServidores Corporativos
GrupoAulas de Informática
GrupoFundacionesGrupo
Usuarios Móviles(Red Inalámbrica)
GrupoEmpresas Colaboradoras
Concesionarios
GrupoComunidad de Intereses
Corporativa
Internet
Interconexión
a la Red
Internet
GrupoComunidad de Intereses
InvestigaciónServicios
Corporativos
Institución
GrupoComunidad de Intereses
Investigación
ServiciosProveedores
GrupoEmpresas Colaboradoras
Proveedores
GrupoUsuarios Móviles
(Externos)
ObjetivosObjetivos
Infraestructura Servicios Entidades
Núcleo de la
Red
Red Académica
Red Iris
O Campus
ServiciosPúblicos
GrupoComunidad de Intereses
Corporativa
GrupoServidores Corporativos
GrupoAulas de Informática
GrupoFundacionesGrupo
Usuarios Móviles(Red Inalámbrica)
GrupoEmpresas Colaboradoras
Concesionarios
GrupoComunidad de Intereses
Corporativa
Internet
Interconexión
a la Red
Internet
GrupoComunidad de Intereses
InvestigaciónServicios
Corporativos
Institución
GrupoComunidad de Intereses
Investigación
ServiciosProveedores
GrupoEmpresas Colaboradoras
Proveedores
GrupoUsuarios Móviles
(Externos)
Arquitectura
SoluciSolucióón Propuestan Propuesta
ServiciosCorporativos
RED INTERNA RED EXTERNA
Routers Exterior
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
ServiciosGestión
ServiciosPúblicos
AccesoFundacionesSrv Públicos
Red Académica
Red Iris
O Campus
Usuarios Remotos
ServiciosProveedores
Grupo de Investigación
ExternoInstitución
AdministradoresAlumnos
Proveedores
Empleados
Empleados
Grupo de Investigación
Interno
EXTERIOR
Internet
Internet
Red Externa. Arquitectura RedRed Externa. Arquitectura Red
ServiciosPúblicos
AccesoFundacionesSrv Públicos
Red Interna Exterior
RED EXTERNA
Red Externa. Arquitectura ServiciosRed Externa. Arquitectura Servicios
Exterior
Servicios PúblicosProxy-Caché
InversoReplicaLDAP
Externo
CorreoExterno
DNSSecundario
Host Bastión
FTP WEBNewsForos AplicacionesPúblicas
AccesoFundacionesSrv Públicos
RelayCorreo
Switch
Switch
Balanceadores IP Balanceadores IP
Balanceadores IP Switch Switch Switch
RED EXTERNA
Red Interna
Red Externa. Arquitectura SeguridadRed Externa. Arquitectura Seguridad
Exterior
Proxy-CachéInverso Correo
ExternoDNS
SecundarioFTP WEBNewsForos Aplicaciones
Públicas
AccesoFundacionesSrv Públicos
RelayCorreo
Switch
Switch
Balanceadores IP Balanceadores IP
Balanceadores IP Switch Switch Switch
Granja IDS de RedSolución A
Granja Antivirus pasarelaSolución A
Cluster Cortafuegos Solución A
Analizador de Código
Antivirus de Servidor
Red Interna
Servicios PúblicosHost Bastión
RED EXTERNA
ReplicaLDAP
Externo
SoluciSolucióón Propuestan Propuesta
ServiciosCorporativos
RED INTERNA RED EXTERNA
Routers Exterior
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
ServiciosGestión
ServiciosPúblicos
AccesoFundacionesSrv Públicos
Red Académica
Red Iris
O Campus
Usuarios Remotos
ServiciosProveedores
Grupo de Investigación
ExternoInstitución
AdministradoresAlumnos
Proveedores
Empleados
Empleados
Grupo de Investigación
Interno
EXTERIOR
Internet
Internet
Red Interna. Arquitectura RedRed Interna. Arquitectura Red
ServiciosCorporativos
ServiciosGestión
Usuarios WirelessUsuarios Aulas Informática
Concesionarios
Empleados
Grupo de InvestigaciónInterno
Red Externa
RED INTERNA
Internet
Red Interna. Arquitectura ServiciosRed Interna. Arquitectura Servicios
ConsolaFW
Intranet
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP
CorreoInterno Proxy
Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
Switch
Nóminas
Switch
LDAPMaster/CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
ReplicaLDAP
Interno/CRL
Grupo de InvestigaciónInterno
Internet
Red ExternaEmpleados
Switch
Balanceadores IP
Switch
Red Interna. Arquitectura SeguridadRed Interna. Arquitectura Seguridad
ConsolaFW
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
Grupo de InvestigaciónInterno
Empleados
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
SwitchSwitch
Nóminas
Switch
LDAPMaster/CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
Tarjeta IDS de RedSolución B
Cluster Cortafuegos Solución B
Cluster Cortafuegos Solución A
Analizador de Código
Intranet CorreoInterno
ReplicaLDAP
Interno/CRLProxy
Antivirus PasarelaSolución B
Antivirus de Servidor
Red Externa
Internet
Switch
Balanceadores IP
Infraestructura de Clave Pública (PKI)
PKI.PKI.-- CaracterCaracteríísticassticas
PKI
Control deAccesos
Cortafuegos
Cifrado
Au
Firma Digital +Certificados
Firma DigitalFunciones HashCifrado
Co Intenti
cafid
enc
egrid
aialida
dció
n
Firma Digital +Certificados
n t
d
No Repudio
PKI.PKI.-- JerarquJerarquíía Propuestaa Propuesta
CASubordinadaPersonal
CA Root
CA SubordinadaAlumnos
RAPersonal
RAAlumnos
Entorno ProducciEntorno Produccióónn Entorno PruebasEntorno Pruebas
CAPruebas
RAPruebas
PKI.PKI.-- Arquitectura DetalleArquitectura Detalle
PKI.PKI.-- Flujos de InformaciFlujos de Informacióónn
Autoridad deRegistro
(RA)
Generación de par de claves1
Usuario
CL
Log
La CA genera y envía el certificado al repositorio
4
2 El usuario solicita Emisión del certificado digital y envía su clave publica
3 La RA después de validar la identidad del usuario, envía la petición a la CA
CRL
Entidad que confía en la CA emisora Repositorio
La CA le remite el certificado al usuario.
5Almacena el certificado6
Envío del certificado, cifra o/y firma Mensajes 7
Comprobación del certificado
8
Autoridad deCertificación
(CA)
Integración con VozIP, Videoconferencia IP, Multimedia
IntegraciIntegracióón con n con VozIPVozIP, , Videoconferencia, multimediaVideoconferencia, multimedia……
CAMPUS (BACKBONE)CAMPUS (BACKBONE)
CAMPUS (SERVICIOS)CAMPUS (SERVICIOS)
HOSTHOST
RDSI
PSTN
WAN
ProveedoresProveedores
VídeoConferencia
VídeoConferencia
Telefonía IPTelefonía IPMultimediaMultimedia
Seguridad/VPNSeguridad/VPN
Usuarios RemotosUsuarios Remotos
GATEWAY VOZ - DATOSGATEWAY VOZ - DATOS
InstitucionesInstituciones
Red de vozRed de voz
Internet IP WAN
PBX
PSTN
Red de datosRed de datos
A
PBX IP
Teléfonos IP
PSTN
Gateway
Red integradaRed integrada
Ejemplo de IntegraciEjemplo de Integracióón con n con VozIPVozIP, ,
Internet IP WAN
A
Centralita IPTeléfonos IP
PSTN
Gateway
•• Redes IP distintasRedes IP distintaspara voz y datos. para voz y datos.
•• IP privadas para los IP privadas para los teléfonos HWteléfonos HW
Teléfonos IPTeléfonos IP
•• Entorno de Entorno de switchesswitches y y uso de uso de NIDSsNIDSs..•• Servicios de Servicios de autenticación.autenticación.•• Usar Usar VLANsVLANs distintas distintas para voz y datos.para voz y datos.•• Usar filtros IPUsar filtros IPentre ambas redesentre ambas redes
RedRed
•• AntivirusAntivirus•• HostHost--basedbased IDSIDS•• Actualización con los Actualización con los últimos parches de últimos parches de seguridad.seguridad.•• Deshabilitar serviciosDeshabilitar serviciosno necesarios.no necesarios.
Servidores de Servidores de TelefoníaTelefonía
•• FirewallFirewall••AntivirusAntivirus•• ......
Acceso exteriorAcceso exterior
Ejemplo de Seguridad con Ejemplo de Seguridad con VozIPVozIP, ,
Soluciones de acceso a Grupos
Soluciones de Acceso a GruposSoluciones de Acceso a Grupos
ServiciosCorporativos
RED INTERNA RED EXTERNA
Routers Exterior
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
ServiciosGestión
ServiciosPúblicos
AccesoFundacionesSrv Públicos
Red Académica
Red Iris
O Campus
Usuarios Remotos
ServiciosProveedores
Grupo de Investigación
ExternoInstitución
AdministradoresAlumnos
Proveedores
Empleados
Empleados
Grupo de Investigación
Interno
EXTERIOR
Internet
Internet
Acceso Grupo CorporativoAcceso Grupo Corporativo
ConsolaFW
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
InternetNo Corporativo
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
Grupo de InvestigaciónInterno
Empleados
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
SwitchSwitch
Nóminas
Switch
LDAPMaster7CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
Tarjeta IDS de RedSolución B
Cluster Cortafuegos Solución B
Cluster Cortafuegos Solución A
Analizador de Código
Intranet CorreoInterno
ReplicaLDAP
Interno/CRLProxy
Antivirus PasarelaSolución B
Antivirus de Servidor
FW Personal
Antivirus de Puesto
Red Externa
Switch
Balanceadores IP
Acceso Grupos de InvestigaciAcceso Grupos de Investigacióónn
Servicios Públicos
Proxy-CachéInverso
ReplicaLDAP
ExternoCorreo
ExternoDNS
Secundario
Host Bastión
FTP WEBNewsForos AplicacionesPúblicas
AccesoFundacionesSrv Públicos
RelayCorreo
Switch
Switch
Balanceadores IP Balanceadores IP
Balanceadores IP Switch Switch Switch
Granja IDS de RedSolución A
Granja Antivirus pasarelaSolución A
Cluster Cortafuegos Solución A
Antivirus de Servidor
Grupo de Investigación
Externo
Institución
FW Servidor /VPN
ExteriorRed Interna
Acceso Grupos de InvestigaciAcceso Grupos de Investigacióónn
ConsolaFW
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
InternetNo Corporativo
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
Grupo de InvestigaciónInterno
Empleados
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
SwitchSwitch
Nóminas
Switch
LDAPMaster7CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
Tarjeta IDS de RedSolución B
Cluster Cortafuegos Solución B
Cluster Cortafuegos Solución A
Analizador de Código
Intranet CorreoInterno
ReplicaLDAP
Interno/CRLProxy
Antivirus PasarelaSolución B
Antivirus de Servidor
FW Personal
Antivirus de Puesto
FW Servidor /VPN
Red Externa
Switch
Balanceadores IP
Acceso Grupo Usuarios MAcceso Grupo Usuarios Móóvilesviles
Servicios Públicos
Proxy-CachéInverso
ReplicaLDAP
ExternoCorreo
ExternoDNS
Secundario
Host Bastión
FTP WEBNewsForos AplicacionesPúblicas
AccesoFundacionesSrv Públicos
RelayCorreo
Switch
Switch
Balanceadores IP Balanceadores IP
Balanceadores IP Switch Switch Switch
Granja IDS de RedSolución A
Granja Antivirus pasarelaSolución A
Cluster Cortafuegos Solución A
AdministradoresAlumnosEmpleados
Antivirus de Puesto
Cliente VPN
ExteriorRed Interna
Analizador de Código
Acceso Grupo Usuarios MAcceso Grupo Usuarios Móóvilesviles
ConsolaFW
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
InternetNo Corporativo
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
Grupo de InvestigaciónInterno
Empleados
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
SwitchSwitch
Nóminas
Switch
LDAPMaster/CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
Tarjeta IDS de RedSolución B
Cluster Cortafuegos Solución B
Cluster Cortafuegos Solución A
Analizador de Código
Intranet CorreoInterno
ReplicaLDAP
Interno/CRLProxy
Antivirus PasarelaSolución B
Antivirus de Servidor
Antivirus de Puesto
Red Externa
Switch
Balanceadores IP
Acceso Grupo Usuarios Acceso Grupo Usuarios WirelessWireless
ConsolaFW
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
InternetNo Corporativo
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
Grupo de InvestigaciónInterno
Empleados
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
SwitchSwitch
Nóminas
Switch
LDAPMaster/CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
Tarjeta IDS de RedSolución B
Cluster Cortafuegos Solución B
Cluster Cortafuegos Solución A
Analizador de Código
Intranet CorreoInterno
ReplicaLDAP
Interno/CRLProxy
Antivirus PasarelaSolución B
Antivirus de Servidor
Antivirus de Puesto
Access PointGateway
Red Externa
Switch
Balanceadores IP
Acceso Grupo Aulas de InformAcceso Grupo Aulas de Informááticatica
ConsolaFW
Contabilidad Matrículas
ConsolaRed
ConsolaIDS
Aplicaciones ERP Servicios Red
Servicios CorporativosServicios Gestión
Gestión Integral
Logs
InternetNo Corporativo
Usuarios Wireless
Usuarios Aulas Informática
Concesionarios
Grupo de InvestigaciónInterno
Empleados
DocenciaVirtual
Biblioteca
Aplicaciones Corporativas
SwitchSwitch
Nóminas
Switch
LDAPMaster7CRLs
DNSPrimario CA Root CAs
Subordinadas
PKIRas
Tarjeta IDS de RedSolución B
Cluster Cortafuegos Solución B
Cluster Cortafuegos Solución A
Analizador de Código
Intranet CorreoInterno
ReplicaLDAP
Interno/CRLProxy
Antivirus PasarelaSolución B
Antivirus de Servidor
Antivirus de Puesto
Red Externa
Switch
Balanceadores IP
Conclusiones
Conclusiones IConclusiones I
Alta DisponibilidadAlta Disponibilidad
••Servicios de Red RedundadosServicios de Red Redundados SwitchesSwitches / / RoutersRouters BackBoneBackBone H.AH.A..
••Seguridad RedundadaSeguridad Redundada
ExternaExterna..-- SoluciSolucióón n H.AH.A. Fabricantes A. Fabricantes A
InternaInterna..-- SoluciSolucióón n H.AH.A. Fabricantes B. Fabricantes B
FirewallFirewallAntivirus Pasarela Antivirus Pasarela IDS RedIDS Red
FirewallFirewallAntivirus Pasarela Antivirus Pasarela IDS RedIDS Red
Servicios PServicios Púúblicosblicos
Servicios PrivadosServicios Privados
••Servicios de AplicaciServicios de Aplicacióón Redundadosn Redundados RelayRelay Correo, Correo, WEBWEB, FTP, PROXY, FTP, PROXY……
Conclusiones IIConclusiones II
Escalabilidad / Cargas de trEscalabilidad / Cargas de trááfico Variablesfico VariablesSwitchesSwitches / / RoutersRouters BackBoneBackBone Gama alta (Gama alta (BackPlaneBackPlane hasta 256 hasta 256 GbGb))Ampliables (Tarjetas, nAmpliables (Tarjetas, nºº puertospuertos……)••Servicios de Red EscalablesServicios de Red Escalables )
Balanceo de carga mediante balanceadores hardware Balanceo de carga mediante balanceadores hardware ConfiguraciConfiguracióón en modo granja. n en modo granja. Crecimiento horizontalCrecimiento horizontal
••Servicios de AplicaciServicios de Aplicacióón Escalablesn Escalables
Balanceo de carga mediante balanceadores hardware (Red Balanceo de carga mediante balanceadores hardware (Red Externa)Externa)ConfiguraciConfiguracióón en modo granja. n en modo granja. Crecimiento horizontal
••Seguridad EscalableSeguridad EscalableCrecimiento horizontal
SeguridadSeguridad
••2 Niveles de seguridad de fabricantes distintos para acceder a s2 Niveles de seguridad de fabricantes distintos para acceder a servicios corporativoservicios corporativos
••Control de accesos basado en DIRECTORIOS (LDAP)Control de accesos basado en DIRECTORIOS (LDAP)
••Seguridad en usuarios: VPN, Antivirus, FW Servidor, FW cliente sSeguridad en usuarios: VPN, Antivirus, FW Servidor, FW cliente segegúún sea necesarion sea necesario
••No penalizaciNo penalizacióón del rendimiento. Crecimiento horizontaln del rendimiento. Crecimiento horizontal
••Infraestructura de Clave PInfraestructura de Clave Púública (PKI) para Empleados y alumnosblica (PKI) para Empleados y alumnos
Conclusiones IIIConclusiones III
MonitorizaciMonitorizacióón de la Plataforman de la Plataforma
••GestiGestióón de los elementos de red y seguridad centralizada (segmento de n de los elementos de red y seguridad centralizada (segmento de red independiente)red independiente)
••GestiGestióón integral de n integral de LogsLogs (FW, IDS, ANTIVIRUS(FW, IDS, ANTIVIRUS……))
••Herramienta de gestiHerramienta de gestióón integral de la seguridad (deteccin integral de la seguridad (deteccióón de eventos producidos en los n de eventos producidos en los sistemas de seguridad y actuacisistemas de seguridad y actuacióón en base a poln en base a polííticas definidas)ticas definidas)
Transparencia usuarios finalesTransparencia usuarios finales
••Arquitectura de red transparente para usuarios finalesArquitectura de red transparente para usuarios finales
••Arquitectura de Servicios transparente para usuarios finales (Arquitectura de Servicios transparente para usuarios finales (H.AH.A., balanceo de carga)., balanceo de carga)
••Arquitectura de seguridad transparente para usuarios finales, saArquitectura de seguridad transparente para usuarios finales, salvo clientes VPN en los lvo clientes VPN en los casos que sea necesario (Accesos Remotos, casos que sea necesario (Accesos Remotos, WirelessWireless))