La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Francisco J. Irala. ¿Porque es la Seguridad de la LAN tan vital ahora? Históricamente no nos hemos preocupado por la seguridad de la LAN. ¿Qué ha cambiado?

Presentaciones similares


Presentación del tema: "Francisco J. Irala. ¿Porque es la Seguridad de la LAN tan vital ahora? Históricamente no nos hemos preocupado por la seguridad de la LAN. ¿Qué ha cambiado?"— Transcripción de la presentación:

1 Francisco J. Irala

2 ¿Porque es la Seguridad de la LAN tan vital ahora? Históricamente no nos hemos preocupado por la seguridad de la LAN. ¿Qué ha cambiado? Las nuevas tecnologías y la movilidad de los usuarios han hecho que la seguridad física que tenía nuestra LAN, tenían que entrar en nuestra oficina, haya desaparecido: - Redes wireless - Portatiles conectandose en direfentes redes - Colaboradores externos accediendo a los servidores internos - Invitados necesitan acceso a internet Además las nuevas normativas nos obligan a controlar y registrar los accesos a nuestra LAN. Necesitamos saber que esta sucediendo en nuestra LAN.QUIEN.

3 ¿Dónde estamos? Equipamiento antiguo, redes multivendor Legislación – auditorías / necesidad de informes/ control Necesidad de segmentar la LAN Necesidad de controlar dispositivos no basados en usuario Caracteristicas de aplicación – PoE para VoIP, wireless 802.1X y otras funciones de seguridad Rendimiento– Gigabit hasta el puesto (en el futuro)

4 ¿Que se necesita para securizar la LAN? Control Quien puede acceder a la LAN Que pueden hacer los usuarios en la LANProtección Disponibilidad de la LAN Información corporativa sensibleDocumentación Actividad del usuario en la LAN Quién ha accedido a recursos clave Autenticación de Usuarios Autenticación Dispositivos IPS Interno Acceso Invitados Segmentación LAN NAC

5 Pre-Admisión - NAC Internet Finanzas Operaciones Ventas WLAN Switch Core Switch IDS/IDP FirewallRouter A/D Server Base de Datos Access Switch Instalación de software en los ordenadores Actualización de las conmutadoras (switches) con 802.1x 802.1x Switch Radius $$$ $$ Agregado de servidor ACS ACS Server

6 Realidad de NAC y 802.1x La realidad de lo que todo el mundo llama NAC, al igual que la tecnología 802.1x, es que solo nos permiten verificar que un usuario registrado pueda acceder a nuestra LAN, pero no cubre tdos estos puntos: Controlar donde acceden un usuarios despues de validarse Registrar que es lo que han hecho Validar y controlar dispositivos que no soportan 802.1x Validar y controlar colaboradores y/o invitados

7 Post-Admisión Internet Finanzas Operaciones Ventas WLAN Switch Core Switch IDS/IDP FirewallRouter A/D Server Base de Datos 802.1x Switch Radius ACS Server Agregado de cortafuegos a los segmentos de la LAN Radius $$$ Agregado de servidor de análisis Agregado de IDS/IDP a los segmentos LAN $$$ Configuración de políticas de grupos

8 ¿Gestión?¿Mantenimiento? ¿Cómo? Internet Finanzas Operaciones Ventas WLAN Switch Core Switch IDS/IDP FirewallRouter A/D Server Base de Datos 802.1x Switch Radius ACS Server Radius Mantenimiento de firmas Agregado de monitores en el puerto de mirror del switch $$

9 ¿Porqué es el Tema de Seguridad tan Dificil? Simplicity Security Performance Para la empresa es inadmisible sacrificar simplicidad y rendimiento en aras de un modelo abarcador de seguridad en la LAN

10 ConSentry – Construyendo una LAN Segura Internet Finanzas Operaciones Ventas WLAN Switch Core Switch IDS/IDP FirewallRouter A/D Server Database Servers Access Switch 802.1x Switch Radius ACS Server Radius »Alto rendimiento (performance) »Simple »Efectivo en términos de coste

11 ¿Qué es necesario para tener una LAN segura? Seguridad Rendimiento Simplicidad ConSentry Networks »Visibilidad y control explícito »Procesador propio para 10 Gbps »Dispositivo único, de instalación transparente Requerimientos Opción por omisión: permitir LAN DMZ Opción por omisión: negar

12 ConSentry – La Alternativa Simple De fácil instalación » Caja única (doble en configuración HA) » Transparente para los usuarios y Tecnología de Internet (TI) Plena visibilidad y control (L7) » Instalada próximo al usuario Mantiene rendimiento y confiabilidad » Opciones de alta disponibilidad (HA)

13 Lo que ConSentry Provee Sólo personas y sistemas validos son admitidos en la LAN »Verificación del estado de seguridad a través de un agente disoluble provisto por una tercera empresa (Cisco, MS, TCG) »Autenticación por tercera empresa (AD, RADIUS) Control de acceso a los recursos – asignación de derecho en base a roles »Por usuario, grupo de usuario, aplicación, protocolo, recurso »Políticas globales, acceso universal (cableado/inalámbrico, local/VPN) Contención de amenazas en tiempo real »Protección frente a lo conocido y lo desconocido »Cuarentena del trafico malicioso, no del anfitrión (host) »Prevención de que otros nodos se conviertan en base de lanzamiento de ataques Total visibilidad en la capa L7 »Tráfico asociado al usuario »Respuesta eficiente a incidentes »Visualización de la información según los parámetros de interés

14 Satisfaga Muchas Necesidades con una Solución »Completa visibilidad de la LAN »Captura de sesión inducida por política »Control de código malicioso de hora cero »Prevención de intrusiones internas (IPS) »Cumplimiento de regulaciones »Imposición de políticas »Conexión basada en la identidad »Segmentación de la LAN »Control de aplicaciones »Filtrado de URL »NAC/802.1x/autenticación de usuarios »Acceso de invitados/contratistas/pacientes »Acceso inalámbrico »Conectores de Ethernet abiertos Beneficios Protección de información Reducción de gastos operativos de TI Mejoramiento de la continuidad operacional Reducción de la exposición a riesgo

15 ConSentry: Focalizado en la Identidad ConSentry InSight Command Center finance server ConSentry LANShield Active Directory ConSentry InSight Command Center IBM contractor djones IBM server finance server Internet guestwireless employee Windows login employee jsmith jsmith = finance finance server guest no login djones = IBM contractor finance server IBM server Windows login Potencia las redes existentes, información de identidad Transparente a los usuarios Cableado/inalámbrico

16 16 © 2006 ConSentry Networks CONFIDENTIAL Autenticación – Active Directory edge switch core switch ConSentry CS2400 Internet Active Directory Server 1 user logs into the Active Directory domain with username and password 2 ConSentry snoops the Kerberos login by capturing the username 3 Active Directory validates and approves user credentials and responds to host 4 ConSentry snoops the Kerberos return packet and grants network access based on AD server response 5 ConSentry tracks and decodes all traffic up to L7 and sends data to InSight ConSentry InSight Command Center

17 Capacidades Unicas de ConSentry Procesador programable de diseño exclusivo Masivo procesamiento en paralelo (CPU con 128 núcleos) Control granular a velocidades de multi-gigabits Flexibilidad de adaptación Exclusivo software de seguridad Protección contra amenazas cambiantes Aplicaciones especificas de clientes Protocolos cambiantes Control explícito »Quiénes son admitidos »Dónde pueden ir »Qué pueden hacer »Cuándo bloquear LANShield CPU LANShield Accelerator LANShield Visualizer

18 No se Fíen Solamente de Nuestra Palabra Necesitamos controlar adónde van, y qué hacen, nuestros usuarios en la LAN. Antes de ConSentry Networks, no podíamos visualizarlos – y mucho menos controlarlos. También debemos evitar que código malicioso impacte la disponibilidad de nuestra red. Andre Gold Director of Information Security Hemos tenido que abrir nuestra LAN más allá de nuestros empleados, y ConSentry nos provee una forma simple, de bajo costo, de garantizar que sólo las personas adecuadas ingresen a LAN y que sólo realicen operaciones permitidas Lloyd Hession Chief Security Officer


Descargar ppt "Francisco J. Irala. ¿Porque es la Seguridad de la LAN tan vital ahora? Históricamente no nos hemos preocupado por la seguridad de la LAN. ¿Qué ha cambiado?"

Presentaciones similares


Anuncios Google