Pgina 1 Copyright IBM Corp. 2008. Todos los derechos reservados. ibm.com / libros rojos 1 Papel rojo La comprensin de TI Seguridad Perimetral Esta publicacin de IBM Redpaper toma una mirada cercana a la empresa de TI de la red perimetral, que ha sido diluido a partir de un conjunto bien definido de puntos de entrada y salida a una malla de los flujos no detectables de dispositivos capaces de acceder y penetrar en los recursos corporativos. Los das de mantener a los chicos malos por la construccin de una pared bien definida son definitivamente ms. Las empresas y organizaciones requieren la colaboracin con las empresas internas y externas, socios, clientes y empleados, que adems elimina las paredes y barreras de proteccin. En este trabajo, se discute cmo la variedad de puntos finales que alguna vez fueron considerados para ser dentro de se han convertido en el propio permetro. Con esta idea en mente, investigamos cmo se puede construir una solucin de seguridad slida para proteger los activos valiosos accesibles a travs de la infraestructura TI . El pblico objetivo de este trabajo es los arquitectos de TI, especialistas de TI y administradores de seguridad. Un poco de historia Permetro de seguridad de TI es un trmino bastante amplio que no tiene un diverso conjunto de implicaciones y significados. Es muy comn no entender los matices que implica el trmino. En el comienzo de la era de las computadoras digitales, los sistemas informticos eran solteros independientes entidades, traspis localizado en una habitacin fsicamente seguro conocido como el sala de mquinas. De entrada y medios de salida se realiza a mano en la habitacin o manipulados en el entrada de trabajo a distancia (RJE) ubicacin. Tanto la sala de mquinas y la RJE estaban sujetos a la seguridad fsica y acceder a los controles en el lugar en el lugar determinado. Debido a que el centro de cmputo se encuentra en lugares bien definidos, era fcil identificar las fuentes de entrada. Por lo tanto: El permetro estaba muy bien definido, y la seguridad podra ser ejecutada en un nivel fsico. La siguiente fase de terminales de computacin introducidas, donde estaban conectados un teclado y un monitor directamente al sistema de ordenador central. Con este enfoque, de entrada podra presentarse a partir diversos lugares, ya no restringido a la ubicacin fsica del sistema de ordenador central. Sin embargo, una cierta proximidad al sistema de ordenador central se requera. Los controles de acceso se necesitan como una parte integrada de la computadora. Las limitaciones fsicas dictado la distancia entre la computadora y su terminal y el teclado. Pgina 2 2 La comprensin de TI Seguridad Perimetral

El permetro estaba todava bien definida. Sin embargo, la seguridad fsica ya no era suficiente. La clusula de proximidad cambiado una vez, los mdems u otros medios de un solo punto de acceso remoto, se han introducido para que los equipos o terminales para comunicarse directamente con la central del sistema informtico. Esta capa nueva infraestructura tambin se requiere un control de acceso adicional debido a la capa de control de acceso aplicado en el sistema central ya no era suficiente. A pesar de que estos sistemas fueron "a distancia", el permetro se ha definido todava. Seguridad la aplicacin requiere controles adicionales de acceso . Adems, debido a varios usuarios podran acceder a la misma CPU, cada usuario tena que ser monitoreado (autenticado) para este uso. El paradigma de un solo punto de acceso remoto cambiado dramticamente con la difusin de la Internet, que conecta los sistemas de CPU de gran tamao, como los mainframes, el uno al otro. Autenticacin en el sistema local se perdi cuando se convirti en los sistemas de personal. Estas personales computadoras (PCs) no tuvo necesidad de autenticacin, como el nombre implica, estaban destinadas a uso personal y uso domstico. Estos equipos tambin comenz a ser conectados en red a travs de la el uso de mdems y, finalmente, conectado a Internet a travs de medios tcnicos, tales como de alta velocidad de banda ancha o los dispositivos de acceso DSL. Las conexiones de hoy en da proveen lneas de acceso incluso en casas particulares, y el ancho de banda proporcionado a la comunidad de usuarios est creciendo cada ao. A medida que los sistemas crecieron y se hizo ms poderosa, la autenticacin se volvi a introducir en el computador personal como los ordenadores se podan acceder de forma remota. Este desarrollo es utilizado por empresas y empleados para promover el trabajo desde casa entornos de oficina y pasado-horas de trabajo a travs de las conexiones a la red corporativa. Estas conexiones utilizan lneas de alta velocidad como un vehculo hacia ya travs de a travs de Internet un corporativa VPN (red privada virtual) punto de entrada en la infraestructura de red corporativa. Por ejemplo, la red corporativa se extiende a la perfeccin a la casa del empleado. La misma tecnologa se utiliza para el acceso del cliente y socio comercial al recursos de la empresa de aplicaciones y datos, as. Los dispositivos que pueden utilizar la tecnologa de Internet ya no estn destinadas al conocido personal computadoras. Muchos tipos de dispositivos inalmbricos permiten a la gente para ganar de forma transparente el acceso a la Internet y, con este acceso, para acceder a un entorno de TI empresarial. Debido a que el sistemas y aplicaciones son interdependientes y conectados, a menudo es difcil saber incluso donde la aplicacin est instalado o en qu equipo de la aplicacin est en ejecucin. Dispositivos tales como las mquinas expendedoras, telfonos, equipos mdicos, y todos los equipos de fabricacin tienen la capacidad de acceder a Internet e incluso se puede acceder de forma remota. El permetro se est convirtiendo en borrosos. Cualquier tipo de dispositivo informtico puede convertirse en el permetro s mismo, y estos dispositivos en muchos casos son mviles.

Esto nos introduce a un nuevo concepto. Si el permetro de la red se ha erosionado, cul es el permetro? El permetro de la red se ha convertido en una barrera dinmica de cambio que debe redefinir y proteger. El problema surge cuando se piensa y ver el permetro de la red como un barrera esttica por no lo es! Los sistemas que interactan con el permetro de la red que esta red dinmica, y por lo tanto debe protegerlo mediante la definicin de un sistema de permetro que comprende y es capaz de ser una parte del permetro de la red. Otra cuestin es que solicitudes presentadas por un navegador web y se ejecutan en equipos locales son difciles de controlar con las herramientas tradicionales de la red perimetral. Los sistemas no tienen ni siquiera para pasar a introducir el acceso no deseado en el propio sistema. Pgina 3 La comprensin de TI Seguridad Perimetral 3 El ganador y el perdedor enigma Hoy en da el entorno de TI es el resultado de numerosas batallas entre las tecnologas. Tecnologas, que se le da al usuario las mismas posibilidades o mejor dicho, siempre estn compitiendo. Mientras que los usuarios deciden y definir el mercado, la mejor tecnologa no siempre gana. Compensaciones para la seguridad, ancho de banda, la estabilidad y la velocidad siempre estn peleando por su popularidad. Betamax / VHS / Video 2000 la batalla Todos estamos familiarizados con la vieja batalla entre los sistemas de vdeo diferentes, tales como el Betamax, VHS y Video 2000. El ganador fue declarada por el voto popular. Es fascinante que el formato con la seal de vdeo de baja calidad ganado! Sin embargo, el VHS tambin tena la capacidad para almacenar ms vdeos en una sola cinta. As, el mejor tecnologa ha hecho ganar. "La propiedad intelectual en todo" Esta cita importante proviene de Vinton G. Cerf, vicepresidente y jefe de Evangelizacin de Internet Google. Llevaba su famosa camiseta con esta cita en una conferencia de IETF en 1992. La suite de protocolo de Internet gan la batalla (si alguna vez hubo uno) y ahora es el dominante conjunto de protocolos de comunicacin de Internet. La victoria ha sido tan abrumador que Parece que casi todo est habilitado para IP. El conjunto de IPv4, sin embargo, ha introducido inadvertidamente varias preocupaciones de seguridad que deben ser dirigida al IP que permite todo tipo de dispositivos. IP versin 6 (IPv6) intenta hacer frente a muchas de las preocupaciones, sin embargo, la seguridad de IPv6, y especficamente el permetro de seguridad, siempre ser una preocupacin como dispositivos de convertirse en el nuevo permetro. El permetro de TI: Una definicin El permetro de TI - en aquel entonces. . . La definicin del permetro por lo general ha sido una tarea fcil. No era la cueva que debe protegerse; all estaba el pueblo, all estaba el castillo, con su pared. Era fcil de definir, visualizar y crear una poltica de proteccin para hacer cumplir y proteger a los lmites evidentes de este permetro.

La historia de alguna manera se repite. Primero fue el ordenador. A continuacin, un nmero de ordenadores, seguido por la primera red pequea de computadoras. Entonces la red creci y fue conectado a otras redes-hoy todos los dispositivos IP se conectan directamente a las redes y entre s. Hasta hace poco la definicin del permetro de TI era menos complicado y mejor comprendido. A servidor de seguridad era todo lo que era necesario definir el permetro de la red. Todo dentro de la servidor de seguridad se considera una privilegiada de confianza, fuera de todo lo que no era tan bueno. . . a partir de una perspectiva de la red por lo menos. El permetro de TI - en la actualidad. . . Qu significa la definicin revisada del permetro parecen hoy en da, o de cmo debera mirar? La permetro est cada vez ms definido por cada nodo de la red y no la red en s misma. Adems, los mismos protocolos de red se han habilitado para permitir aplicaciones para recorrer a travs del firewall y se ejecutan en mquinas locales (por ejemplo, Java y JavaScript ). Pgina 4 4 La comprensin de TI Seguridad Perimetral Algunos de los dispositivos que rompen la seguridad del permetro tradicional son: Las aplicaciones que atraviesan a travs de polticas de firewall Los dispositivos mviles Dispositivos habilitados para IP internas a la red Los dispositivos externos que se les "permite" en la red interna "temporalmente" Puntos de acceso inalmbricos que sin saberlo, estn desplegados Acceso directo a Internet desde dispositivos Las solicitudes deben ser accedidos por los usuarios y otras aplicaciones para cumplir su propsito. Este acceso, sin embargo, puede exponer la aplicacin a un acceso no deseado. En general, la facilidad de uso es una preocupacin, por ejemplo, los usuarios en general tienen que autenticar slo en raras circunstancias para obtener acceso a una aplicacin. La aplicacin se deja abierta; promoviendo as el servidor de aplicaciones para doblar como un permetro. Los dispositivos mviles son, de hecho, mvil; su naturaleza se va a mover y conectarse a los diversos las redes en distintos lugares. Algunos puntos de conexin puede estar dentro de la organizacin del el permetro, mientras que otros no lo son. Esto requiere que el dispositivo mvil, en realidad, para actuar como un permetro, por lo tanto ser activado y configurado para tal fin. Dispositivos habilitados para IP internas a la red a menudo requieren un nmero de puertos abiertos en el servidor de seguridad. A veces, incluso se debe contactar a travs de Internet con el fin de que funcione correctamente. Para mantenerse al da con los avances tecnolgicos, estos dispositivos suelen ser habilitado para IP despus de su configuracin inicial, y por lo tanto estn obligados a actuar como un permetro, as, a veces para proteger a una implementacin de IP donde se cortaron las esquinas para que el dispositivo de funcionalidad. Los dispositivos externos que pueden introducirse en la red interna temporal puede ser una gran amenaza para la interno de la seguridad informtica. Estos dispositivos normalmente no se analizan en busca de virus, el acceso es a menudo concedida a un segmento de red sin

restricciones, y por lo tanto todos los dispositivos de la red debe actuar como un permetro contra estos dispositivos externos. La introduccin de la tecnologa inalmbrica, probablemente tuvo el mayor impacto en la apertura interna las redes de las amenazas externas. Puntos de acceso inalmbricos sin proteccin y desplegado sin saberlo, de acceso representan todava grandes lagunas en la red de la empresa, como lo demuestran varios drive-by ataques. Acceso directo a internet desde cualquier dispositivo es una de las ms difciles de controlar desde una TI el punto de vista de la organizacin. Estos pueden ser los dispositivos personales, que no pertenezcan al departamento de TI. Al conectar directamente a una computadora, estos dispositivos a veces puede permitir que el equipo host para eludir los controles tradicionales de seguridad perimetral - por ejemplo, cuando un "inteligente del telfono mvil" es conectado a un ordenador y el ordenador puede acceder a Internet a travs de la clula capacidades de los telfonos de los mdem internos. El usuario puede desconectar el dispositivo y volver a conectar la parte de atrs de la computadora en la infraestructura de TI. Por lo tanto es necesario tener en cuenta estos tipos de capacidades y suponer que este tipo de actividad puede ocurrir en la red. Usted tiene que encontrar una manera de asegurarse de que puede solucionar este problema, y tienes que volver a definir su permetro con estos tipos de mtodos de acceso en mente. Pgina 5 La comprensin de TI Seguridad Perimetral 5 Definir el permetro de su Cualquier propietario de la red se requiere conocer la distribucin completa de la red de la empresa. Pero si todos los nodo es el mismo permetro, a continuacin, el diseo de la red es menor de un problema con respecto a la los lmites del permetro. Debido a que la red se ha vuelto extremadamente dinmico, se debe asegurar una exploracin vigilantes de esta red en constante cambio. Exploracin y evaluacin debe ser continua y garantizar la que se puede identificar el mal uso y abuso de la red y sus recursos de TI. La clave para definir el permetro de la red es una combinacin de automatizado herramientas de red y la capacidad para hacer cumplir a nivel mundial basada en el host software de seguridad desplegados en el los sistemas mviles que usted sabe que acceder a la red. El escaneo y el descubrimiento de desconocidos dispositivos tambin deben ser considerados porque, por definicin, estas entidades desconocidas pueden constituye una violacin del permetro. Las herramientas de anlisis Hay dos enfoques bsicos para analizar el permetro y el trfico alrededor ya travs de utilizando herramientas automatizadas. En esta publicacin Redpaper, nos referimos a estos dos tipos como pasivo y herramientas de monitoreo activo . Sin embargo, ambos mtodos tienen una cosa en comn: producir los archivos de registro, que siempre deben ser evaluados. Herramientas de monitoreo pasivas Un buen escner de vulnerabilidad y de la red (como la IBM Internet Scanner o IBM Proventia Network Enterprise Scanner) puede ser una manera eficaz de bsqueda de dispositivos conectado a la red, y lo que los dispositivos descubiertos son capaces de hacer

en el red. Adems de la deteccin de dispositivos, estos escneres pueden informar de la vulnerabilidad de los dispositivos de red que se escanean, as como informar de los dispositivos detectados en la red. La solicitud de evaluacin de la vulnerabilidad puede escanear la red para identificar las debilidades y ms de 1.300 tipos de dispositivos conectados en red, incluyendo equipos de escritorio, servidores, routers o switches, firewalls, dispositivos de seguridad, y los routers de la aplicacin. Cuando estos dispositivos se identifican, IBM Internet Scanner analiza las configuraciones, los niveles de parches, sistemas operativos instalados y aplicaciones para encontrar vulnerabilidades que pueden ser explotadas por los hackers que tratan de obtener autorizacin acceso. Estas herramientas pueden ayudar a abordar el requisito de conocimiento adecuado de su red de distribucin. Estos tipos de herramientas se consideran pasivo porque no escanear todo el tiempo. Ellos explorar la red slo cuando se invocan. Estas herramientas de pasivos o bien requieren el establecimiento de un la hora programada para escanear o se invocan de forma manual. Actividad de la red activa y software de monitoreo Las herramientas que escanean la red 24x7 se consideran de forma activa exploracin de la red y su la actividad, ya que monitorear los patrones de trfico, las comunicaciones y los datos transmitidos. Usted puede utilizar el IBM Proventia Network Anomaly Detection System (ADS), herramienta para buscar patrones y eventos, incluyendo las estructuras de propiedad intelectual no deseados y los patrones de comunicacin desconocidos. La herramienta puede ayudarle a hacer un dibujo de la red de la empresa y crear una comprensin de la los patrones de comunicacin entre los dispositivos de participantes, que a su vez puede proporcionar una mejor comprensin del permetro total. Pgina 6 6 La comprensin de TI Seguridad Perimetral Una visin general de cmo funciona el ADS se representa en la Figura 1 . Figura 1 esquema ADS Una arquitectura de implementacin de la muestra para un ADS se representa en la Figura 2. Figura 2 muestra la arquitectura de implementacin ADS ADS ofrece la posibilidad de reproducir lo que sucede en la red y por lo tanto puede mostrar que la red como lo que realmente vida. El IBM Proventia Network Anomaly Detection System es un comportamiento de la red de anlisis de sistemas diseado desde el principio como un sistema de seguridad de la red interna. Mediante el uso de flujo de red CONOZCA A SU RED Identificar de forma instantnea AMENAZAS MEJORA DE LA RED PROTECCIN SIMPLIFICAR CUMPLIMIENTO Identificar los activos Identificar la parte superior de habladores

Las relaciones de acogida Endurecimiento y segmentacin IPS Optimizar Anomala con sede en N-dimensional deteccin Active Threat Feed Eventos integrados con SiteProtector Seguro de cuarentena Gusano de vacunacin Generar interruptor y de polticas de firewall Permetros virtuales La proteccin del Comportamiento La contabilidad interna Insider uso indebido Entrar violacines Los informes de riesgo Eventos integrados con SiteProtector Visibilidad Deteccin Complementos IPS Reporte Patente en trmite modelo relacional Quin habla a quin, cmo? El montaje de estado de flujo De-duplicacin, bi-direccionalidad, la deteccin de la sonda, Asimetra y efmero Comp Puerto Packet Inspection Netflow, sFlow, cflow Pgina 7 La comprensin de TI Seguridad Perimetral 7 datos para determinar qu usuarios y hosts se comunican entre s, y cmo, Proventia Network ADS puede entregar un inventario de la red continua y una visin clara de su red comportamiento. Se puede detectar automticamente el trfico insalubres, las amenazas de seguridad, y no cumplen las normales actividades, tales como el desempeo anormal de la red, la propagacin del gusano, y las violaciones de polticas. Debido a que los Proventia Network ADS tiene una perspectiva de toda la red, que preserva de negocios continuidad por lo que le permite realizar un seguimiento y se endurecen amenazado recursos antes de las vulnerabilidades son explotados. Proventia Network ADS puede aportar un valor inmediato a su red como un independiente aparato, sino tambin se integra perfectamente con la prevencin de intrusiones y vulnerabilidad sistemas de gestin como un componente de la Internet de IBM Systems

de Seguridad (ISS) la proteccin de la plataforma. Esta integracin proporciona un valor adicional, ayudndole a desarrollar an ms y hacer cumplir polticas de seguridad, demuestran el cumplimiento normativo, y reforzar la seguridad de su red contra aplicaciones no autorizadas y los servicios, la sujecin al mismo tiempo de misin crtica de datos y recursos. Proventia Network ADS simplifica el cumplimiento regulatorio mediante el control de los elementos crticos y aplicaciones y el seguimiento de la gestin del cambio. Se identifica y toma medidas contra contenido malicioso, el acceso ilegal, uso indebido de informacin privilegiada, y otros incidentes de seguridad, limitando la efectos nocivos de estos incidentes y que proporcionan informacin crtica para la respuesta a incidentes. Este en tiempo real de la auditora de seguridad y vigilancia permite la creacin de fcil de leer, en profundidad informes para ayudar en el cumplimiento de los objetivos de cumplimiento normativo, en especial los requisitos de TI establecido por ley SOX y Cobit. Registros Todas las herramientas se basan en el anlisis de los lotes y lotes de eventos. Los registros resultantes deben ser evaluados constante y consistentemente. Esta tarea puede ser parcialmente automatizado, sin embargo, siempre habr que los registros que deben ser evaluados y con referencias cruzadas por los especialistas. Correlacin entre registros de diferentes deben ser investigados con mayor rigor y empleado en una a nivel de empresa. Conocer su permetro: Qu sigue? Una vez que la red se ha asignado a fondo, es el momento para que usted pueda considerar la revisin de la forma la red se gestiona. Usted debe separar sus redes en zonas y definir un conjunto de datos y clasificacin de activos. Por otra parte, usted debe considerar el hecho de que cada equipo tiene convertido en el permetro. Red de definicin Las redes son el mecanismo para la comunicacin electrnica entre los sistemas de TI. Vistas de la red y la seguridad han cambiado con el tiempo. Seguridad de la red que antes se centr en duro fronteras, con acceso limitado a, y desde Internet. Ahora redes debe proporcionar una variedad de comunicaciones dentro y fuera de una organizacin de una manera controlada cuidadosamente. Pgina 8 8 La comprensin de TI Seguridad Perimetral Red de la zonificacin Un concepto clave en la definicin de un permetro moderna es la de crear zonas de seguridad de la red infraestructuras como se muestra en F igura 3. Ya no es suficiente para utilizar servidores de seguridad perimetrales de reas importantes del segmento. Todas las reas de la red deben ser parte de una zona de seguridad, y todo nodos deben ser capaces de actuar como el permetro. Figura 3 zonas de la Red Seguridad de zonificacin requiere una clasificacin inicial, y requiere que las definiciones de la zona incluyen el diversos tipos de movilidad y la ejecucin. Una ventaja clave de una

zona de seguridad es que en el caso de una violacin o incidente de seguridad, el incumplimiento se limita a la propia zona. Por ejemplo, si la nica organizacin que autentica a los usuarios que atraviesan el centro de solucin de VPN, la red de la empresa est en riesgo, porque la mayora de los clientes VPN se pueden descargar gratuitamente y configurable. No es suficiente para requerir la autenticacin del usuario, las estaciones de trabajo debe ser autenticada tambin. Lmites o permetros de red se utilizan para aislar las zonas de seguridad de redes con diferentes polticas. Estos lmites son creados para aplicar las restricciones sobre el tipo de trfico que es permitida en una zona - por ejemplo, restringir el acceso a slo el trfico HTTP en el puerto 80 y HTTPS trfico en el puerto 443 de entrada desde el exterior a una zona de servidores web. Utilice un firewall para permitir este trfico y bloquear todas las dems. En su caso ms simple, un cortafuegos es un dispositivo que implementa una poltica en relacin con el trfico de red. Se crea lmites entre dos o ms redes y se erige como un escudo contra las penetraciones no deseadas en su entorno. Sin embargo, no est destinado a ser su nica lnea de defensa, sino que es un mecanismo que frena el progreso de una intrusin. Un mtodo de informacin de blindaje sobre la red del servidor de seguridad protege es por volver a hacer frente a los paquetes de manera que el trfico de salida que parece tener su origen en una direccin asociada con el cortafuegos. Esta re-direccionamiento se denomina de direcciones de red traduccin (NAT), y su principal funcin es ocultar la red de confianza de que no se confa las redes. Cliente Internet Sin control Internet DMZ Controlado Restringido Zona "roja" no controlada "Amarillo" zona controlada "Verde" zona restringida "Azul" zona segura Produccin Zona Manejo de la Zona Asegurado Intranet Controlado Pgina 9 La comprensin de TI Seguridad Perimetral 9 Clasificacin

Hoy en da el esfuerzo de clasificacin se basa principalmente en clasificacin de datos y, a una cierta grado, la clasificacin de usuario. En la empresa moderna, el hardware real o la comunicacin la infraestructura es raramente clasificada. Calidad de servicio (QoS) los esfuerzos en el lado de la red han dado lugar a una clasificacin menor de comunicaciones que flotan en la red. Sin embargo, este esfuerzo tiene ms que ver con los tipos de cambio de clase de trfico que con una clasificacin completa de esfuerzo. Un esfuerzo clasificacin hasta al da debe incluir lo siguiente: Usuario Datos Hardware Comunicacin Es deseable que todas las cuatro clases mencionadas someterse a un esfuerzo de clasificacin, que determina cundo, dnde, y cmo el esfuerzo de proteccin debe ser aumentada o disminuida. Usuario de clasificacin Clasificacin del usuario depende de la asociacin papel de los usuarios reales de la red y la recursos que interactan con la red. Hay que tener la disciplina de la gestin de la identidad serio y se extienden en el futuro. Debe definir los usuarios no slo mediante la evaluacin del el acceso que necesitan, sino tambin por su ubicacin dentro de la topologa de la red. Por ltimo, debe incluyen la zonificacin de seguridad en las definiciones de usuario. La clasificacin de datos La clasificacin de datos es un rea madura que se concentra en el contenido del archivo general de ms de clasificacin de datos. Es posible que la mayora de los usuarios para almacenar los documentos en el disco duro local, independientemente de la poltica de la empresa. Hoy en da la clasificacin de datos en la empresa est parcialmente implementado a travs de la copia de seguridad mecanismos en su lugar. Sin embargo, usted debe examinar si la clasificacin de los datos es cumple estndares de calidad y que puedan utilizarse efectivamente. Hardware de clasificacin Clasificacin de hardware hoy en da se centra principalmente en los bienes materiales dentro de una organizacin. Las computadoras de escritorio o computadoras mviles estn bloqueados a un elemento inmvil cuando se le deja en una habitacin con acceso general. Se clasifican los equipos mviles para la fuerza de trabajo mvil separado porque estn expuestos a un acceso fsico por parte de afuera, si no est correctamente asegurado, mientras que fuera de locales. Tienes que hacer las mismas consideraciones con los telfonos mviles, como PDAs o Los dispositivos BlackBerry, que son capaces de almacenar datos clasificados. Las impresoras se encuentran normalmente en las reas de impresin cerrado, con slo el personal autorizado tenga el acceso a esa zona. Los servidores estn ubicados en los centros de datos, donde el acceso es limitado y muy controlada. Adems de los dispositivos de cmputo regulares, otros relacionados con la TI Gadgets son comnmente ser desplegados en la actualidad. Estos incluyen, pero no se limitan a dispositivos USB, como unidades flash o discos duros externos, reproductores MP3, cmaras de vdeo, y lectores de tarjetas inteligentes. Estos dispositivos pueden tambin ser considerado como el nuevo permetro y tienen que ser incluido en el hardware, as como datos clasificaciones.

Pgina 10 10 La comprensin de TI Seguridad Perimetral Comunicacin de clasificacin Seguridad de la zonificacin que permite clasificar todas las comunicaciones en la red. Comunicacin debe ser clasificado para la gestin de la red para saber que el trfico es legal y que no lo es. A tomar decisiones en funcin de si el trfico tiene que atravesar un cortafuegos, y usted tiene que decidir dnde colocar los sistemas de deteccin de intrusos (IDS) y sistemas de prevencin de intrusiones (IPS), dnde y cundo se requiere la autenticacin del usuario, y as sucesivamente. Uno de sus esfuerzos de clasificacin debe ser evitar o denegar el trfico encriptado dentro de la red de la empresa. Todo el trfico debe estar disponible para inspeccin inmediata, a travs de IDS o IPS dispositivos. Por ejemplo, puede utilizar la clasificacin de la comunicacin para exigir que los identificadores deben impedir el acceso de trfico no clasificado en la red. Este trfico entonces se puede negar el acceso como parte de la poltica general. La movilidad y la conectividad Usted debe examinar la movilidad de los nodos de la red de la empresa, as, como la conexiones de red a los nodos de participar pulg Usted debe investigar la red LAN inalmbrica infraestructura, especialmente pensando en la seguridad. Adems, es necesario revisar cmo los usuarios mviles se puede conectar cuando no est en la red de la empresa. Conectividad LAN Conectividad LAN se supone que es aceptable en cualquier lugar dentro de la organizacin. Sin embargo, la pregunta es si esta conectividad es aceptable cuando la seguridad es la zonificacin en su lugar. Esta consideracin puede implicar que un usuario tiene acceso fsico a los puertos de la red slo en lugares especficos. La mejora de la tecnologa inalmbrica puede ayudar en la transformacin de la red inalmbrica desventaja en una ventaja mediante la introduccin y despliegue de una infraestructura completa de red inalmbrica para interior usuarios de la empresa como a los visitantes como clientes y contratistas. Es posible que desee salir de las tradicionales conexiones de los puertos LAN a los dispositivos que requieren (an) ms altas velocidades de red. Otras tecnologas estn disponibles que hacer frente al desafo de los nodos en concreto de autenticacin que el acceso a la red a travs de un puerto de LAN fsico. Estas soluciones pueden conceder o prevenir acceso a la red basada en varios criterios, tales como la postura de cumplimiento del nodo o el combinado de la autenticacin de nodo y el usuario. En cualquier caso, usted debe sopesar los pros y los contras, tales como los costos y los aspectos de mitigacin de riesgos, que estas soluciones pueden ofrecer. La conectividad inalmbrica Los dispositivos porttiles ms nuevos de ordenadores (y muchos otros dispositivos mviles que son la conectividad) relacionada se envan ahora equipado con un adaptador inalmbrico, que permite la conectividad inalmbrica para redes en lugares donde este servicio est disponible. Tales lugares son numerosos, son encontrado en la mayora de las

organizaciones y tambin en lugares pblicos, como aeropuertos, cafs y hoteles. Esta mayor disponibilidad permite la conectividad a (la mayora) de Internet a travs de un Internet Service Provider (ISP). Una vez conectado a Internet, los usuarios pueden conectarse a la la red interna de la empresa utilizando una red privada virtual (VPN), como se discute en la seccin siguiente. La conectividad inalmbrica en lugares no son de empresa por lo tanto permite a los usuarios que estn disponibles o en lnea dentro de una red de la empresa en momentos y lugares nunca antes posible. Para utilizar esta ventaja, el usuario debe poder conectarse a redes inalmbricas desconocidos - por ejemplo, es a discrecin del usuario para decidir si una red es de confianza, por lo tanto la ampliacin del permetro de la empresa y su seguridad a cualquier usuario en particular. Pgina 11 La comprensin de TI Seguridad Perimetral 11 En la mayora se interpone, la infraestructura de red inalmbrica que tradicionalmente recorre el edificio permetro, por lo que la infraestructura de red interna visible para los extraos. Hoy en da, sin embargo, el la empresa red perimetral ya no sigue el permetro del edificio. Conectividad VPN Conectividad VPN a una red empresarial es una parte integral de todas las redes la infraestructura actual. Conectividad VPN se puede dividir en dos categoras principales: los usuarios remotos VPN y de sitio a sitio de conectividad VPN entre las redes. Este ltimo puede ser comparada con la conectividad de lneas alquiladas entre dos redes, utilizando el Internet como soporte. El permetro de la empresa no se lo cambi por el mismo reglas que han estado en vigor para la conectividad de lnea arrendada por lo general se aplican. Sin embargo, le Recomendamos un dispositivo IDS / IPS en la recepcin de DMZ, donde la conexin VPN es terminado. Usuario conectividad VPN a la red de la empresa es casi un hecho en las organizaciones, lo que permite a los usuarios acceder a los recursos internos como si estuvieran conectados localmente a la empresa red. Con el usuario conectividad VPN, Internet tambin se utiliza como un medio de soporte para la conexiones, que estn cifrados. Sin embargo, este nuevo enfoque de la infraestructura inalmbrica se mueve permetro de la empresa a cada usuario remoto debido a que la computadora mvil se convierte en el lmite para la red interna de la empresa - dondequiera que se encuentre. El equipo mvil recibe normalmente una red interna de la empresa la direccin IP (segn el software utilizado), y mientras la autenticacin del usuario se pasa con xito, los usuarios son tratados con la misma confianza como si fueran dentro de los lmites fsicos de construccin. En la actualidad el software de VPN, el dispositivo de conexin a travs de la VPN puede ser autenticada o necesario para ejecutar ciertas aplicaciones o archivos ejecutables cuando la conectividad es aprobado. Sin embargo, es importante observar que la mayora de autenticacin conectividad VPN es todava exclusivamente sobre la base de las credenciales del usuario, dejando el dispositivo fuera del proceso de autenticacin. Los puertos del dispositivo

Otros peligros pueden incluir las conexiones Bluetooth, puertos USB en los dispositivos y, por supuesto no de las empresas conexiones de red. Puertos USB en los dispositivos, en particular, son posibles objetivos para ataques a una organizacin. Es necesario emplear el software de control-conexiones a los puertos USB en los dispositivos tales como ordenadores porttiles, ordenadores de sobremesa y servidores. Muchos de los peligros pueden provenir de los puertos USB como lo fue en el caso de las unidades de disquete y unidades de CD-ROM. Slo unas pocas tecnologas disponibles para registro de conectividad a los puertos USB en los dispositivos. Usted debe examinar y evaluar estas tecnologas porque llenan un vaco en la empresa red que se suele pasar por alto. Ejecucin Volviendo al esquema de zonificacin de la red en la Figura 3 en la pgina 8, la tarea principal en la propiedad intelectual la aplicacin del permetro es el mapa de zonificacin de la red y, posteriormente, ponerlo en prctica. Esta tarea puede ser exigente, pero ofrece beneficios, sobre todo una infraestructura de red limpia. Todos los reglamentos deben hacerse cumplir, de lo contrario, la regulacin no tiene sentido. Y todas las normas deben estar disponibles. Para crear un reglamento, es necesario, como primer paso, para clasificar los datos y sus bienes. Pgina 12 12 La comprensin de TI Seguridad Perimetral El siguiente paso es asegurarse de que sus normas tienen sentido, no slo a los reguladores, sino tambin a los usuarios. Esto incluye la presentacin de informes y hacer frente a las infracciones. Reporte es la palabra importante aqu. Informes debe ser una parte integrada de la aplicacin y debe estar disponible para el usuarios. Por ejemplo, si la organizacin decide aplicar la autenticacin de dispositivos de usuario de VPN conexiones en la parte superior de la autenticacin del usuario, el esquema de autenticacin no slo debe ser comprensible para el usuario, sino que tambin debe ser fcil de usar. De lo contrario, los usuarios se resisten autenticacin en tiempo y otra vez de ejercer presin para cambiar (o peor an, lograr que se disuelve). Para hacer cumplir los reglamentos, es necesario tener los medios para hacer cumplir, por ejemplo, gestin de dispositivos como un punto central y hacer cumplir las polticas de dispositivos de autenticacin. Con una infraestructura capaz de manejar todas las tareas a mano y configurado para satisfacer las necesidades de los usuarios y las regulaciones de apoyo, la tarea se vuelve ms fcil. La infraestructura se compone de hardware, software y componentes de gestin, pero se basa en la correcta clasificacin y reglas de transparencia. Parte de este debe ser procesos de control de cambios, las caractersticas de auditora y los procedimiento aceptados. La seguridad perimetral Como se mencion anteriormente, cada sistema de cmputo con capacidades de red potenciales pueden ser considerado como un dispositivo de acogida permetro. En este sentido, es razonable suponer que la seguridad basada en host es muy a menudo descuidado.

Las organizaciones de hoy prefieren proteger la red en lugar de proteger host individual sistemas. La nica excepcin es los productos antivirus instalados en la mayora de los ejrcitos, pero casi ninguna otra basadas en host sistemas de seguridad se han desplegado. La mayora de los profesionales de TI siguen confiando en la red de proteccin de los sistemas host especficos de contenido malicioso. Esta suposicin, sin embargo, ya no es vlido y suficiente. Por lo tanto usted debe buscar soluciones que consideran el anfitrin como el nuevo permetro y la mirada a cada uno, de la red y anfitrin, tanto individualmente como en un contexto de topologa de red combinada. Anfitrin definicin En general hay que distinguir entre las estaciones de trabajo orientadas al usuario y orientado al servicio servidores. Estaciones de trabajo de hoy numerosos usuarios se despliegan como las computadoras mviles para permitir una fuerza de trabajo mvil y flexible. Los sistemas de escritorio se utilizan para el servicio de tareas orientadas con ms que un usuario individual para acceder al sistema. Los servidores se instalan normalmente en zonas cntricas, y es el acceso de usuarios a estas mquinas conceder nicamente a travs de servicios especiales, tales como tales como el intercambio de archivos, uso compartido de impresoras, o la aplicacin compartir. Usted tiene que considerar, sin embargo, que todos los sistemas host utiliza la misma red la infraestructura y el mismo conjunto de protocolos (IP). As, cada host debe estar protegido en un manera similar a los cdigos maliciosos y ataques. Debido a que usted tiene que manejar maliciosos ataques de forma diferente en los servidores que en las estaciones de trabajo, los diferentes productos estn disponibles para estaciones de trabajo y servidores. Estos productos utilizan conjuntos similares de la tecnologa para reconocer cdigos maliciosos o ataques, sino que tienen que comportarse de manera diferente en los diferentes hosts. Pgina 13 La comprensin de TI Seguridad Perimetral 13 Por ejemplo, usted no puede simplemente apagar un servicio en un servidor de produccin. Figura 4 ilustra en la correspondiente Proventia Desktop y los productos Proventia Server debe ser desplegado dentro de una muestra global de TI la implementacin. Figura 4 La colocacin de los componentes de IBM Proventia Adems de la proteccin de escritorio y servidor, tambin se muestra la Figura 4 donde colocar el mejor deteccin de intrusos antes mencionado y los servicios de escner. Una seguridad integrada rentable aparato est colocado en el permetro de las oficinas remotas para que acte como un IDS combinados o en un dispositivo IPS. Estas soluciones individuales pueden gestionar de forma centralizada utilizando el IBM Proventia Management SiteProtector . Vamos a echar un vistazo ms de cerca tanto los productos orientados a escritorio y servidor. Pgina 14 14 La comprensin de TI Seguridad Perimetral Productos de escritorio

Cuando se implementa en todos los escritorios corporativos y las computadoras mviles, IBM Proventia Desktop Endpoint Security ofrece un enfoque de mltiples capas para la proteccin de sus sistemas de los intrusos maliciosos. Este diseo de mltiples capas se representa en la Figura 5 . Esto no quiere decir que los cortafuegos y control de acceso listas de repente se vuelven obsoletos. Lo slo hace hincapi en que la proteccin del permetro requiere ms tecnologa que nunca antes. Figura 5 de mltiples capas de proteccin Los diversos componentes (consulte la F igura 5) utilizado en IBM Proventia Desktop Endpoint De Seguridad son los siguientes: FW (Firewall) - El mdulo de servidor de seguridad funciona de manera reactiva. - Impacto sobre el usuario pueden ser altos si este componente no est administrado centralmente. IPS (Intrusion Prevention System) - El sistema IPS protege contra todas las vulnerabilidades conocidas y exploits. - El impacto en los usuarios es bajo. - Se detiene el ataque. BOEP (Buffer Overflow Exploit Prevention) - BOEP protege contra conocida y desconocida amortiguar exploits de desbordamiento. - Estas hazaas representan la mayora de los ataques. AC (Aplicacin de control) - AC se basa en la configuracin. - AC potencialmente protege contra todos conocida y desconocida ataques. - Impacto sobre el usuario pueden ser altos si este componente no est administrado centralmente. Pgina 15 La comprensin de TI Seguridad Perimetral 15 VPS (Sistema de Prevencin de Virus) - VPS utiliza patrones de comportamiento que puede detectar y bloquear a un gran nmero de virus. - No requiere ninguna actualizacin de firmas. - VPS se explica con ms detalle en la seccin que sigue. AV (firma anti-virus) - AV protege contra los ataques de archivo ms conocidos. - AV es casi siempre reactivo. - Actualizaciones constantes son obligatorios.

Estas funciones se consideran parte de la Virtual Patch iniciativa, y algunos se discuten en las secciones que siguen. Servidor de productos Tanto el IBM Proventia Server Intrusion Prevention System e IBM RealSecure Server Productos de sensores, junto a que se refiere el Conjunto de proteccin de servidor de IBM , Proporcionan un poderoso tecnologas de proteccin en un solo agente de mltiples capas para proteger los sistemas crticos para el negocio y los datos de cualquier ataque, fuera o dentro de la empresa. Ellos proteger proactivamente los servidores de ataques maliciosos, mientras que apoyan sus necesidades de cumplimiento. Para combatir las amenazas, el servidor Conjunto de proteccin combina varias tecnologas de proteccin en una sola, de varias capas agente similar a la que se muestra en el producto de escritorio en la Figura 5 en la pgina 14. Ofreciendo amplia soporte del sistema operativo y la plataforma, el conjunto de proteccin del servidor tambin guarda sistemas crticos de negocio y datos, que le ayuda a cumplir con la auditora y el cumplimiento estricto normas. Adems de las tecnologas de proteccin, el conjunto de proteccin del servidor tambin ayuda a resolver el siguientes problemas de negocio principales: Seguridad de los datos Proporciona datos histricos que permite a una organizacin para encontrar el origen de un cambio, en el incumplimiento, o una cadena de comportamiento. Las amenazas internas Rastrea el quin, qu, cundo, dnde y el comportamiento del usuario administrador. Conformidad Proporciona los informes necesarios para demostrar la seguridad de la informacin sensible. Proteccin de las tecnologas Ahora tomamos un breve vistazo a las siguientes tecnologas: Proteccin Mdulo de Anlisis Virtual Patch Virus Prevention System (VPS) Buffer Overflow Exploit Proteccin (BOEP) Control de aplicaciones Mdulo de Anlisis de Protocolo El innovador, pendiente de patente Mdulo de Anlisis de Protocolo (PAM) es la deteccin subyacente motor que sirve como base para la red, servidor y escritorio de IDS / IPS y de punto final soluciones de seguridad.

Pgina 16 16 La comprensin de TI Seguridad Perimetral PAM se separa de la competencia: Vulnerabilidad de modelado Puerto de la variabilidad (puerto independiente de protocolo de decodificacin) Nmero de protocolos decodificados Nmero de mtodos y algoritmos El empleo de estos mtodos, ya sea individualmente o en combinacin segn el tipo de atacar Orden en que estos mtodos se aplican La calidad de los algoritmos se Virtual Patch V Parche irtual es un mtodo para bloquear la explotacin de una vulnerabilidad sin aplicar una proveedor de la revisin. Aplicacin de parches virtuales implica una monitorizacin automtica, el reconocimiento de ataque y el bloqueo de las comunicaciones especficas y el uso de recursos basados en varios factores, incluyendo el postura de la vulnerabilidad, el nivel de revisin, y el sistema operativo del host de destino. IBM ISS emplea el Virtual Patch proteger, al mismo tiempo-que-patch principio a travs de la vulnerabilidad basada en la prevencin de intrusos y la evaluacin de riesgos. El Virtual Patch proteger, al mismo tiempo-que-patch principio utiliza una combinacin de la vulnerabilidad de IBM ISS patentado y la deteccin de amenazas y la amenaza de prevencin de algoritmos y mtodos, junto con un mdulo para anlisis de impacto y reconocimiento de patrones de ataque. Usando el principio Virtual Patch le permite emplear fcilmente las polticas de proteccin para proteger los activos crticos de los ataques y el mal uso hasta que un parche del proveedor fsico o manual de las medidas correctivas se pueden tomar. El IBM Virtual Patch permite una proteccin total de la transaccin potencial cuando las combinaciones de IBM ISS de la red, servidor, de escritorio y soluciones de IPS se utilizan. Virus Prevention System (VPS) El virus de avance del Sistema de Prevencin (VPS) est disponible en el escritorio de IBM Proventia Los productos Endpoint Security. Considerada como la prxima generacin de anti-virus, VPS utiliza comportamiento patrones que pueden detectar y bloquear hasta el 93% de nuevo virus, sin requerir una actualizacin.

VPS utiliza un sistema virtual para detectar, analizar y detener a familias enteras de virus. Es verdaderamente preventiva, no reactiva, la tecnologa. Buffer Overflow Exploit Proteccin (BOEP) BOEP identifica intentos de ejecutar cdigo (llamadas al sistema) en las regiones de memoria se puede escribir. Este Esta distincin es importante: BOEP no previene todos los desbordamientos de bfer, pero slo aquellos que rebasamiento de los lmites y tratar de ejecutar en regiones escritura de la memoria. Control de aplicaciones El control de aplicaciones, una tecnologa que permite la especificacin de confianza frente al que no se confa aplicaciones, tambin est disponible. Si se utiliza correctamente, la aplicacin de listas blancas y listas negras son una mtodo eficaz para la aplicacin de la poltica (a travs de nombre de archivo y suma de control MD5). Conclusin: Dnde diablos est mi permetro? En pocas palabras, su permetro est justo en frente de ustedes: Todos los equipos y dispositivos habilitados para IP en la organizacin puede ser el permetro. Y cada uno de ellos debe ser tratado como tal. A aceptar la validez de esta declaracin, le invitamos a que considere el ejemplo siguiente breve. Pgina 17 La comprensin de TI Seguridad Perimetral 17 Dnde ests leyendo este documento? Si se trata de una copia en papel o imprimir, usted es probablemente seguro en suponiendo que los datos no puede salir de su permetro. Cul es la clasificacin de este documento que est leyendo? Este documento es pblico especfico, pero no era pblica, mientras que era siendo escrito. Es importante conocer los lmites del contenido de los archivos y los datos que tienen el acceso a. Sin embargo, si usted est leyendo este documento en formato electrnico, tenga en cuenta la conexin de la dispositivo electrnico que est utilizando. Est conectado a travs de un punto de acceso inalmbrico 802.11x? Son conectado a travs de un dispositivo de red habilitado como un mdem celular? Tiene usted un VPN de nuevo a su oficina en casa? Sabes si tienes una conexin a Internet? Usted podra estar viendo el documento en un pequeo dispositivo de mano que tiene mltiples mtodos de la conexin a Internet. Desafortunadamente, la conveniencia tiende a ser la prioridad en lo que respecta a acceso a los datos, y proporciona un cmodo acceso a los datos menudo entra en conflicto con la entrega segura acceso. El punto aqu es que cualquier ruta disponible para los datos a migrar debe ser la primera cuestin que en tener en cuenta cuando se considera el permetro. Los datos se pueden mover a travs de una conexin de red o una conexin de datos simple, como una memoria USB. Estos son los mismos caminos, incluso este documento que est leyendo en este mismo momento-que proporcionan otras personas accedan a su sistema. El permetro comienza en caso de desplazamiento de datos. Mientras el movimiento de datos es intencional y dentro de los confines de su clasificacin de los datos y la poltica de movimiento, que estn en buen estado forma.

El movimiento de datos no intencional o fugas de datos pueden ser mejor controladas si se considera que el permetro est literalmente justo en frente de usted. Una combinacin de los controles sobre la red casa red con la adicin de proteccin del husped es fundamental para saber dnde el permetro dinmico es y cmo proteger los datos que migra a travs de l. En conclusin, algunos de los mtodos aceptados y las definiciones ya no son tan vlidos como antes ser. Por lo tanto, debe volver a evaluar y reconsiderar ellos. El trfico cifrado en la red interna de TI debe ser negada. Cortafuegos regular el trfico, pero no puede impedir que un ataque a travs de un puerto abierto y conocido. El software antivirus es reactiva. El control de aplicaciones es necesario. Los ordenadores porttiles, ordenadores de sobremesa y servidores deben ser tratados por igual cuando se trata de la exposicin de contenido malicioso. La autenticacin de usuarios puede no ser suficiente, pero sin embargo, debera ser ms ampliamente utilizada. La red interna es una malla de lneas ADSL, inalmbrica, Internet y las redes de lneas alquiladas, donde el usuario determina a menudo el transportista y vaga libremente entre ellos. En este trabajo, hemos ampliado la definicin intencionadamente permetro aceptado un poco. Nosotros se han construido ms de un caso para la deteccin de la implementacin, la proteccin y sistemas de anlisis que puede ayude en la tarea de redefinir su permetro. Redefinir el permetro es una tarea larga, y se encontrar con varios callejones sin salida. A ayudarle a evitar los callejones sin salida, el Mtodo de Diseo de la arquitectura de IBM para soluciones seguras (MASS) puede ser una piedra angular de las consideraciones para el rediseo y replanteamiento de la permetro y su definicin. Ver "Lectura adicional" en la pgina 18 para ms informacin. Permetro de proteccin se inicia en el host y se determina en un grado de ancho por el usuario. La usuario debe estar habilitado, educado, y ayud a ser responsables al hacer que el Pgina 18 18 La comprensin de TI Seguridad Perimetral herramientas necesarias, controles y regulaciones disponibles. Este esfuerzo debe desempear un papel integral en la el futuro de todas las organizaciones con el fin de operar un seguro y compatible con el entorno de TI. Lectura adicional Si desea leer ms sobre el permetro de seguridad, se sugiere el mtodo de IBM para Arquitectura de soluciones seguras (masa) que est siendo utilizado por los empleados de IBM Global Service, en compromisos de seguridad de la arquitectura. Le puede ayudar a entender y categorizar problemas relacionados con la seguridad y las discusiones de comercio electrnico impulsado por la empresa de TI de hoy infraestructuras. Una introduccin a la Misa fue originalmente publicado en una edicin especial de la IBM Revista Sistemas de Seguridad de extremo a extremo, vol. 40, nm. 3. Tambin puede encontrar este artculo en Enterprise Security Architecture de IBM ISS utilizando las

soluciones de seguridad, SG24-7581. Adems de ser una fuente de ms detalles tcnicos, este libro en particular es una visin global de todas las soluciones de IBM ISS. La tarea de desarrollar soluciones de TI que forma sistemtica y eficaz aplicacin de los principios de seguridad tiene muchos retos, incluyendo la complejidad de la integracin de las funciones de seguridad especificadas dentro de las arquitecturas de varios componentes subyacentes que se encuentran en los sistemas de computacin, los dificultad de desarrollar un amplio conjunto de requisitos bsicos para la seguridad, y una falta de los mtodos ampliamente aceptados de seguridad de diseo. Con la formalizacin de la evaluacin de la seguridad criterios en un estndar internacional conocido como Common Criteria, Una de las barreras para un enfoque comn para el desarrollo de arquitecturas de TI extensibles de seguridad se ha reducido; Sin embargo, queda mucho trabajo. La metodologa MISA utiliza un enfoque sistemtico para definir, modelar, y la documentacin de las funciones de seguridad dentro de un proceso de diseo estructurado facilitar una mayor confianza en la operacin de TI y soluciones. El equipo que escribi esta publicacin IBM Redpaper Este documento fue elaborado por un equipo de especialistas de todo el mundo que trabajan en el Tcnica Internacional de Organizacin de Apoyo (ITSO), Centro de Austin. Axel Buecker es una Consultora de Software Certificado de especialista en TI en el Tcnica Internacional de Organizacin de Apoyo, Centro de Austin. l escribe extensivamente y da clases de IBM en todo el mundo en las reas de software Arquitectura de Seguridad Informtica y Tecnologas de la red. Tiene un Licenciado en ciencias de la computacin de la Universidad de Bremen, Alemania. l tiene 21 aos de experiencia en una variedad de reas relacionadas con la estacin de trabajo y Gestin de Sistemas, Computacin en Red, y soluciones e-business. Antes de unirse a la ITSO de marzo de 2000, Axel trabaj para IBM en Alemania como Senior IT Especialista en Arquitectura de Software de Seguridad. Por Andreas es un arquitecto de TI en los servicios de red y seguridad de trabajo para IBM Dinamarca. Tiene 9 aos de experiencia en la red y la seguridad campo. l tiene una licenciatura bilinge de la Aarhus School of Empresas y una Licenciatura de TI de la UIT en Copenhague. Sus reas de especializacin incluyen la transformacin de la red y proyectos de transicin y el firewall de gestin para clientes globales. Pgina 19 La comprensin de TI Seguridad Perimetral 19 Scott, Paisley es un arquitecto de seguridad Principio de IBM Internet Security Sistemas en Fairfax, Virginia. l tiene 21 aos de experiencia en sistemas de la integracin, la red de la computadora, y la seguridad informtica. Ha trabajado en IBM Internet Security Systems por 9 aos. Prior to joining IBM Internet Security Systems, he worked at the National Institute of Standards and Tecnologa. There he focused on systems integration products, Web design, and systems administration design, and wrote programs for Internet tecnologas. He is a frequent speaker at leading industry events, such as Forbes CIO

Forum, Forbes Risk Management, Interop New York, and InfoSecurity New York. He holds a bachelor's degree in computer science from the University of Maryland in Baltimore. Thanks to the following people for their contributions to this project: Nancy Crumpton Editor International Technical Support Organization, Austin Center Pgina 20 20 La comprensin de TI Seguridad Perimetral Pgina 21 Copyright International Business Machines Corporation 2008. Todos los derechos reservados. Note to US Government Users Restricted Rights -- Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp. 21 Avisos This information was developed for products and services offered in the USA IBM may not offer the products, services, or features discussed in this document in other countries. Consultar your local IBM representative for information on the products and services currently available in your area. Cualquier reference to an IBM product, program, or service is not intended to state or imply that only that IBM product, programa o servicio puede ser utilizado. Any functionally equivalent product, program, or service that does not infringe any IBM intellectual property right may be used instead. However, it is the user's responsibility to evaluate and verify the operation of any non-IBM product, program, or service. IBM may have patents or pending patent applications covering subject matter described in this document. La entrega de este documento no le otorga ninguna licencia sobre estas patentes. You can send license inquiries, in writing, to: IBM Director of Licensing, IBM Corporation, North Castle Drive, Armonk, NY 10504-1785 USA The following paragraph does not apply to the United Kingdom or any other country where such provisions are inconsistent with local law: INTERNATIONAL BUSINESS MACHINES CORPORATION PROVIDES THIS PUBLICATION "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS OR

IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF NON-INFRINGEMENT, COMERCIALIZACIN O IDONEIDAD PARA UN PROPSITO PARTICULAR. Some states do not allow disclaimer of express or implied warranties in certain transactions, therefore, this statement may not apply to you. This information could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein; these changes will be incorporated in new editions of the publication. IBM may make improvements and/or changes in the product(s) and/or the program(s) described in this publication at any time sin previo aviso. Any references in this information to non-IBM Web sites are provided for convenience only and do not in any manner serve as an endorsement of those Web sites. The materials at those Web sites are not part of the materials for this IBM product and use of those Web sites is at your own risk. IBM may use or distribute any of the information you supply in any way it believes appropriate without incurring any obligation to you. Information concerning non-IBM products was obtained from the suppliers of those products, their published announcements or other publicly available sources. IBM has not tested those products and cannot confirm the accuracy of performance, compatibility or any other claims related to non-IBM products. Questions on the capabilities of non-IBM products should be addressed to the suppliers of those products. This information contains examples of data and reports used in daily business operations. To illustrate them as completely as possible, the examples include the names of individuals, companies, brands, and products. All of these names are fictitious and any similarity to the names and addresses used by an actual business enterprise is entirely coincidental. COPYRIGHT LICENSE: This information contains sample application programs in source language, which illustrate programming techniques on various operating platforms. You may copy, modify, and distribute these sample programs in any form without payment to IBM, for the purposes of developing, using, marketing or distributing application programs conforming to the application programming interface for the operating platform for which the sample programs are written. These examples have not been thoroughly tested under all conditions. IBM, therefore, cannot guarantee or imply reliability, serviceability, or function of these programs.

Pgina 22 22 La comprensin de TI Seguridad Perimetral Papel rojo This document REDP-4397-00 was created or updated on November 2, 2009. Send us your comments in one of the following ways: Use the online Contact us review Redbooks form found at: ibm.com / libros rojos Send your comments in an email to: redbooks@us.ibm.com Mail your comments to: IBM Corporation, International Technical Support Organization Dept. HYTD Mail Station P099 2455 South Road Poughkeepsie, NY 12601-5400 USA Marcas IBM, the IBM logo, and ibm.com are trademarks or registered trademarks of International Business Machines Corporation en los Estados Unidos y otros pases, o ambos. These and other IBM trademarked terms are marked on their first occurrence in this information with the appropriate symbol ( or ), indicating US registered or common law trademarks owned by IBM at the time this information was published. Tal trademarks may also be registered or common law trademarks in other countries. A current list of IBM trademarks is available on the Web at http://www.ibm.com/legal/copytrade.shtml The following terms are trademarks of the International Business Machines Corporation in the United States, other countries, or both: Redbooks (logo) IBM Internet Scanner Internet Security Systems Proventia RealSecure Redbooks SiteProtector Virtual Patch The following terms are trademarks of other companies: Java, JavaScript, and all Java-based trademarks are trademarks of Sun Microsystems, Inc. in the United

States, other countries, or both. Other company, product, or service names may be trademarks or service marks of others