Aclaraciones sobre el diagrama de red del pack de Preparatic

Temas relacionados con supuesto práctico y defensa
Cerrado
Achilipu
PreparaTIC XXI
Mensajes: 106
Registrado: 09 May 2011, 08:49
Agradecido: 0
Agradecimiento recibido: 0

Aclaraciones sobre el diagrama de red del pack de Preparatic

Mensaje por Achilipu »

Hola a todos!

Nos están llegando consultas sobre el diagrama de red que se plantea en el Pack de Preparatic y, en concreto, sobre si es correcto situar la conexión a SARA colgando del firewall externo en vez del interno.

Simplemente queremos aclarar que no se trata de una errata. La conexión a SARA desde el firewall externo es sólo una de las configuraciones posibles que se usa en algunos organismos. En otros organismos (quizá es la opción más extendida) se usa el firewall interno y, en otros organismos, se usa un firewall dedicado conectado al interno.

Lo que queremos indicar es que las anteriores son todas soluciones justificables y que, de acuerdo con la NTI de conexión a la red SARA y su guía de utilización, es responsabilidad del PAS decidir el diseño de la red y la política de seguridad del área de conexión, siempre que se respeten los requisitos del ENI y el ENS.

Dicho lo cual y, como conclusión, en el examen usad el esquema con el que os sintáis más cómodos a la hora de defender.

Sentimos las aclaraciones a pocos días del examen pero hemos considerado necesario hacer esta matización.

¡Muchísimo ánimo a todos!

Phoenix
Usuario registrado
Mensajes: 560
Registrado: 23 Jul 2004, 17:06
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por Phoenix »

Pues aprovecho para preguntar una cosa. Un funcionario en movilidad (tablet/smartphone) que necesite acceder por VPN al sistema ¿A qué firewall se conectaría?¿Interno o externo? Me ha parecido ver ambas soluciones pero agradecería que alguien arrojara un poco de luz sobre esto. Gracias.
Opositor profesional

jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por jdiazgh »

Los requisitos para conectarse a SARA (por lo menos, para mí) son:
- Disponer de usuario/contraseña.
- Disponer de un certificado para VPN.
- Hacerlo desde una IP autorizada, que debe ser fija.

O sea que si el dispositivo móvil los cumple, debería poder conectarse tanto de forma externa como interna.

Por favor, que alguien me corrija si estoy equivocado.

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por cantimploro »

Phoenix: depende del uso de esa VPN, qué colectivos de usuarios la usan, y a qué servicios deben acceder.

En principio, si es una VPN accesible desde toda Internet, lo lógico sería poner el concentrador VPN en una DMZ conectada al firewall externo.

A priori, es preferible crear una nueva DMZ dedicada para los accesos de este tipo, y no colocarlo en la misma DMZ donde hay otros servicios tales como frontales web, DNS, etc. A menos que el único propósito de la VPN sea administrar estos servicios.

Considerad los tres tipos de tráfico que existen en el concentrador VPN:
- el tráfico que viene desde el exterior, cifrado. Es el único que se debe permitir desde fuera.
- el tráfico ya descifrado que va a su destino final, que podría ser por ejemplo una máquina en una red interna. Esta es la razón de que pongamos el concentrador en su propia red. Así, si un ataque a otro servidor de la DMZ tiene éxito, el atacante no tendrá visibilidad del tráfico interno.
- el tráfico de gestión, comunicación con los servidores de autenticación, etc.

Es importante que todo este tráfico pase por un firewall.
- el cifrado, porque es el único que vamos a permitir desde el exterior. Desde Internet no queremos que llegue al concentrador más que el tráfico SSL o IPSEC+IKE estrictamente necesario, nada más.
- el descifrado, porque es el único que podemos analizar (el cifrado es opaco). Aquí deben aplicarse las políticas de seguridad que correspondan, es decir, si el destino es la red interna, deben aplicarse las mismas políticas de seguridad que a cualquier otro tráfico que permitimos entrar o salir de la red interna.
- el de administración y control, creo que no hace falta ni decirlo no?

En muchos concentradores es posible usar interfaces distintos para cada tipo de tráfico. Esto permite conectar el concentrador comunicando varios puntos. Por ejemplo, el interfaz externo donde va el tráfico cifrado, en una DMZ del firewall externo. Y el interno donde va el tráfico descifrado, en una DMZ del firewall interno. En ese caso, pensad: cuando el usuario se conecta, ¿qué es? ¿cuál es su rol? ¿es un usuario interno más? ¿tiene que administrar equipos? ¿solo tiene que acceder a determinada aplicación? Y ubicad el interfaz interno en el sitio pondríais ese rol normalmente.

Finalmente, si no tenéis experiencia en el diseño de red, optad por esquemas sencillos y conservadores. Meteros en arquitecturas creativos sólo si os sentís cómodo defendiéndolas, y teniendo en cuenta que es muy probable que en el tribunal muchos no tengan un gran conocimiento de redes a nivel técnico. Cuando ensayéis vuestros simulacros, usad la técnica de "¿sería capaz de explicar esto a mi abuela?"

Saludos!

juanopositor
Usuario registrado
Mensajes: 130
Registrado: 15 Sep 2011, 17:48
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por juanopositor »

cantimploro escribió: "¿sería capaz de explicar esto a mi abuela?"
Creo que voy a suspender... :D

jejeje, ahora sin bromas, gracias!

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por cantimploro »

jdiazh: Creo que aquí hay dos cosas distintas.

Por un lado, están los requisitos que tiene un organismo para conectarse a SARA (tanto técnicos como administrativos), y en el caso de un organismo que sea PAS, como los Ministerios, eso implica también una serie de decisiones sobre la arquitectura y ubicación del área de conexión.

En este contexto se planteaba dónde colocar un concentrador VPN. Lo primero a tener en cuenta es que esto NO es un servicio de la red SARA. Es un servicio del Ministerio, que entre otras cosas, puede servir para que determinados usuarios puedan acceder desde el exterior a la red SARA, como a otros recursos internos.

Como ha indicado Achilipu, en nuestro esquema tenéis un ejemplo de diagrama de red, que hemos intentado sea sencillo, fácil de entender y aplicable a un gran número de situaciones, pero no es ni mucho menos el único posible. Si queréis más información la tenéis en la NTI y en su guía de aplicación:

http://www.mpt.gob.es/dms/es/publicacio ... TERNET.pdf


Por otro lado, y ahí entro en tu mensaje: están los requisitos para los usuarios de una hipotética VPN. Como es un servicio del ministerio, los requisitos los pone el ministerio. Y pueden variar mucho, dependiendo de cuáles son estos usuarios (funcionarios? externos también? funcionarios de otras organizaciones? etc), y sobre todo, de para qué les damos acceso.

No tienen por qué estar limitados a los que dices. Pueden ser menos, por ejemplo, podemos obviar el requisito de una dirección IP autorizada. O pueden ser más, para una aplicación de alta seguridad podríamos requerir el uso de tokens hardware.

En seguridad siempre hay más de una manera de hacer las cosas. Lo que tenéis que pensar en el examen es:
- ¿en este caso concreto, ¿quién usaría el acceso y para qué?
- ¿qué requisitos de seguridad aplicarían, según el ENS y el reglamento de la LOPD?
- ¿qué otros vemos razonable exigir?

Y a partir de ahí:
- ¿cuáles son las medidas de seguridad más sencillas que satisfacen estos requisitos, son proporcionadas a lo que se pretende, y coherentes con el entorno y planeamiento del ejercicio?

Si se os ocurren varias, y tenéis tiempo, podéis hacer un pequeño análisis coste-beneficio. Pero tened en cuenta que los accesos remotos VPN, aunque sean un tema delicado en el que hay que tener las ideas claras para no meter la pata, lo normal es que no supongan más que una parte ínfima o incluso opcional de la solución. Por lo tanto NO le dediquéis demasiado tiempo.

Saludos!

ticvman
PreparaTIC XXII
Mensajes: 60
Registrado: 26 Oct 2011, 14:50
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por ticvman »

cantimploro escribió:Phoenix: depende del uso de esa VPN, qué colectivos de usuarios la usan, y a qué servicios deben acceder.

A priori, es preferible crear una nueva DMZ dedicada para los accesos de este tipo, y no colocarlo en la misma DMZ donde hay otros servicios tales como frontales web, DNS, etc. A menos que el único propósito de la VPN sea administrar estos servicios.
Vaya pedazo de explicación! muchas gracias :)
Yo creo que vi en algún simulacro el concentrador VPN en el firewall externo ¿esto sería correcto?

Phoenix
Usuario registrado
Mensajes: 560
Registrado: 23 Jul 2004, 17:06
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por Phoenix »

Gracias por la explicación Cantimploro.
Opositor profesional

jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por jdiazgh »

Gracias cantimploro!!!

Ruben2005
Usuario registrado
Mensajes: 322
Registrado: 06 Jul 2005, 13:35
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por Ruben2005 »

Siiii, muchas gracias .

cantimploro
PreparaTIC XXI
Mensajes: 1010
Registrado: 20 Jul 2010, 09:09
Agradecido: 0
Agradecimiento recibido: 0

Re: Aclaraciones sobre el diagrama de red del pack de Prepar

Mensaje por cantimploro »

tivcman: sí.

Cerrado

Volver a “CUARTO EXAMEN 2013”