WSSRA

Csar Mendoza.
Fabiola Gutirrez.
Agenda
Introduccin
Objetivo General
Objetivo Especficos
Descripcin del Caso y Diseo
WSSRA y sus Ventajas
Propuesta:
o Zona DMZ y Firewalls
o Reverse Proxy
o Encriptacin por TSL y SSL
o Aplicaciones de Seguridad y Acceso Web
o Equipos
Introduccin

La banca electrnica ha venido a cambiar la forma en que los

bancos funcionan desde hace muchos aos. Mientras antes era
necesario presentarse a una agencia bancaria para realizar
transacciones, ahora todo puede hacerse desde la comodidad del
hogar, desde el lugar de trabajo o desde un simple telfono celular.
Objetivo General

El objetivo principal de este proyecto es brindar una solucin de

seguridad a nivel interno para el Banco X, que sea escalable y que
proporcione al cliente lo necesario para llevar a cabo sus
operaciones.
Objetivo Especficos

Brindar soluciones de seguridad en red que incluyan firewalls y

servidores proxy en todo lo que abarca el concepto a nivel
interno.

Proponer una solucin de seguridad para el acceso de usuarios

externos a la web del banco.

Proponer equipos a implementar en la tecnologa.

Descripcin del Caso
Un banco X desea disear y luego implementar una
infraestructura, de tal manera que permita un crecimiento
ordenado, basado en las mejores prcticas, polticas y
procedimientos.

Adicionalmente, este banco a la vez quiere comenzar a expandir

sus negocios, por lo que ha decidido comenzar a brindar servicios
a travs de Internet, estos servicios incluyen transferencia de
dinero, pago de agua, luz y telfono
Diseo

La infraestructura base de WSSRA ser dividida en tres grandes

bloques, la zona internet (comprende el acceso de usuarios
externos hacia la pgina Web del Banco y la salida de usuarios
internos hacia Internet), la zona de conexin (comprende la
conexin con Sucursales, Sociedades Annimas y Convenios) y la
zona Interna (comprende todos los servidores internos y usuarios
internos).
WSSRA

Se basa en el suministro de pautas de diseo de escenarios

empresariales y una infraestructura basada en Windows pero con
la idea de poder ser utilizado bajo cualquier otro ambiente, de
forma segura y reproducible creada en un entorno de prueba,
integrada con los socios y previamente probada, lo que permite
una implementacin ms rpida, una previsin ms acertada de
los costos, un menor ndice de riesgos y una obtencin ms rpida
de beneficios.
Ventajas de WSSRA
Orientacin.
Disponibilidad.
Seguridad.
Escalabilidad.
Capacidad de administracin.
Propuesta
Infraestructura para el Sitio Web
Transaccional
Zona Desmilitarizada (DMZ)

Una zona desmilitarizada es una red local, que se encuentra

ubicada entre la red interna de una organizacin y una red
externa (generalmente Internet).
Su principal funcin de la es permitir la prestacin de ciertos
servicios a la red externa, por ejemplo acceso a aplicaciones web
o servicios de correo electrnico, sin comprometer la seguridad de
la red interna, filtrando el acceso a la misma.
DMZ Trpode
DMZ de Firewalls Duales
Zona Desmilitarizada (DMZ)
Este esquema de firewalls duales se ajusta a la arquitectura propuesta
por WSSRA en la gua de implementacin de Web Application Services.
Segn esta gua una infraestructura tpica para aplicaciones web se
divide en tres zonas :
o La zona de Internet que comprende a los usuarios externos que
utilizan los servicios de la aplicacin web.
o La siguiente zona es la zona permetro, que est dentro de la red de
la empresa pero no alberga datos o servicios crticos para la
empresa.
o La segunda lnea de defensa consiste en otro firewall que asla la
zona de confianza de backend de la zona permetro. La zona de
confianza de backend es donde se ubica la informacin sensible de la
empresa y los servicios y aplicaciones crticas.
Zona Desmilitarizada (DMZ)
Firewalls

Para la implementacin de los

firewalls necesarios para la DMZ se
propone utilizar una configuracin
tolerante a fallos como se indica en
la gua de servicios de firewall de
WSSRA.
Firewalls

Para la implementacin de los firewalls necesarios para la DMZ se

propone utilizar una configuracin tolerante a fallos como se
indica en la gua de servicios de firewall de WSSRA.
Esta configuracin se eligi por la necesidad de que un sitio web
transaccional est siempre en servicio y soporte altas cargas de
trabajo.

Firewalls Duales
Ventajas de Firewalls Duales

Tolerancia a fallos: Si un firewall falla, el otro puede continuar

trabajando y hacerse cargo de que no se interrumpa la
comunicacin.
Monitoreo centralizado: se puede monitorear todo el trfico pues
el mismo pasa por dos dispositivos con buena conectividad.
Pueden compartir estado: Dependiendo del proveedor de los
firewalls los mismos pueden compartir su estado de sesin.
Desventajas de Firewalls Duales

Se aumenta la complejidad de la infraestructura de red pues

ahora el trfico de red puede seguir dos caminos.
La configuracin de los firewalls es ms compleja pues deben
configurar dos dispositivos. Una mala configuracin puede dejar
agujeros de seguridad.
Configuracin de los Firewalls Duales

Para la configuracin tolerante a fallos a su vez se propone usar

una configuracin activa/activa en la cual los dos firewalls
escuchan todos las llamadas a una direccin IP virtual. La carga se
distribuye entre ambos firewalls a travs de un algoritmo que se
encarga de que cada uno procese una parte diferente del trfico.
En caso de que un firewall falle el otro se encargar de procesar
todo el trfico de red. Los dos firewalls a su vez se comunicarn
mediante latidos, es decir seales que indican cuando un
firewall est funcionando correctamente.
Ventajas y Desventajas de la Configuracin
Activa/Activa

Ventajas:
o Eficiencia.
o Alta capacidad de procesamiento.

Desventajas:
o Existe un riesgo de sobrecarga.
o Incremento de la complejidad.
o Configuracin compleja.
Reverse Proxy

Proxy es un servidor que agrupa recursos de

diferentes servidores y los muestra como si su
origen fuera el mismo servidor. Este servidor
permitira dar acceso a servicios y aplicaciones
web que se ubican en la zona de confianza pero
sin dar acceso a los usuarios externos a la misma.
El reverse proxy servir para dar acceso a los
usuarios externos a los componentes de la pgina
web transaccional que interaccionar directamente
con los sistemas centrales del banco. Se ubicar
en la DMZ.
Ventajas de un Reverse Proxy

Oculta las caractersticas y la existencia de servidores que no

deberan poder accederse externamente.
Puede proteger los servidores de ataques DOS y DDOS, pues
funciona como es escudo contra los mismos.
Puede implementar la encriptacin SSL en servidores web que no
la implementan por s mismos.
Pueden reducir la carga de trabajo de los servidores de origen al
guardar datos en cach y comprimir la informacin.
Reverse Proxy Recomendado

Se propone utilizar NGINX Plus que provee:

o Balanceo de cargas.
o Aceleracin web mediante compresin
o Encriptacin SSL
o Seguridad y anonimizacin.
TSL y SSL

Transport Layer Security (TLS) y Secure Sockets Layer (SSL) son

protocolos criptogrficos que proporcionan comunicaciones
seguras por una red. Utilizan criptografa asimtrica, es decir,
encriptacin de los datos mediante el uso de dos claves, una clave
pblica y una clave privada.
Se propone utilizar TLS 1.2, la versin ms segura hasta el
momento.
Certificado SSL/TLS

Se propone adquirir un certificado SSL/TLS de Symantec, para

implementar un cifrado TLS 1.2.
El certificado recomendado sera la opcin Secure Site Pro with
EV ofrecida por Symantec, con un precio de $2,695 y dos aos de
vigencia. Este es el mismo certificado usado en instituciones
bancarias como BAC Credomatic.
Caractersticas del Certificado

Posibilidad de mostrar el sello de seguridad de Norton,

ampliamente reconocido en el mercado.
Validacin visual mediante un indicador en la barra de
direcciones.
Seguro por hasta $1,750,000.
Incluye soporte para escaneo de vulnerabilidades de seguridad,
para evitar ataques de hackers y malware.
Uso de un mecanismo de encriptacin propio de Symantec,
adems de RSA de 2048 bits.
IPsec para la Comunicacin entre Servidores

Se propone usar el protocolo IPsec para la comunicacin entre

servidores.
Diferencias entre IPsec y SSL/TLS

EL intercambio de llaves de encriptacin en SSL/TLS se realiza al

comenzar la comunicacin.
IPsec permite configurar el cifrado mediante certificados.
IPsec trabaja a nivel de S.O. por lo cual se pueden encriptar la
comunicacin en aplicaciones sin realizar ningn cambio en las
mismas, solamente habilitando IPsec en el servidor.
Implementacin de Aplicaciones de
Seguridad y Control de Acceso
 El Factor Humano

No rebelar su contrasea a nadie

Cambiar de contraseas cara cierto tiempo.
Disminuir la cantidad de correos basuras.
No responder a cadenas.
Mantener las soluciones activadas y actualizadas.
Evitar realizar operaciones comerciales en computadoras de uso pblico.
Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en
caso de duda.
Filtros de Seguridad para el Acceso a Internet

Proponemos utilizar Websense TRITON:

Esta solucin combina las tecnologas de seguridad Web, seguridad
de email y seguridad de prevencin de la prdida de datos.
Permite control de acceso a redes sociales, bloqueando
nicamente ciertos cometidos como juegos.
Proporciona bloqueo de Spam.
Antivirus

Proponemos Utilizar Kaspersky Endpoint Security:

Anti-malware de calidad superior.
Proteccin de los sistemas contra ataques de hackers.
Prevencin de intrusiones basado en host.
Millones de usuarios diferentes contribuyen conjuntamente a la
proteccin de tu empresa.
Rpida implementacin y fcil administracin.
Equipos Propuestos
Router: Cisco Serie 3900

Encriptacin para VPNs aceleradas por hardware mediante IPsec y

SSL/TLS.
Comunicaciones Unificadas (Cisco Jabber).
Firewall: Cisco ASA 5580

Es una plataforma de seguridad se rendimiento extremadamente

elevado.
Soporta encriptacin IPsec SSL.
Funciona como concentrador VPN.
Ofrece hasta dos millones de conexiones simultneas.
Soporta un ancho de banda de 10 Gbps como cortafuegos.
Servidor: HPE ProLiant DL380 Gen9

Hasta 2 Procesador Intel Xeon E5-2600 v3.

Hasta 3 TB de memoria de tipo DDR4.
Conclusin

Debido a la alta demanda de usuarios y clientes para lograr acceder

a mltiples servicios de una compaa, desde puntos desconocidos
atreves de internet, estos y otros motivos hacen que la seguridad
que se implemente en la red sea altamente confiable, por la gran
cantidad de datos e informacin que se maneja de suma
importancia es por esto que estudian diversas arquitectura que
buscan el buen manejo de la infraestructura para el mejor servicio.