miércoles, 6 de julio de 2016

Implementando redes VLAN en ambiente Wireless con switches de distribución, acceso y Firewall.

Procedimiento a seguir para la creación e implementación de redes Vlan´s en un dispositivo WatchGuard AP-100 el cual estará conectado a un Switch Netgear que conecta en modo trunk un Switch D-link y este a su vez a un Firebox WatchGuard T10 cómo dispositivo borde de red.  

Dispositivos:

  • WatchGuard AP-100
  • Switch Netgear GS108T (distribución)
  • D-link DG-200 (acceso)
  • Firewall WatchGuard Firebox T10


Objetivos:
  • Lograr la aplicación de SSIDs en dispositivo WatchGuard AP-100, esquema de conectividad TCP/IP, segmentación de tráfico a través de estas.
  • Tráfico gestionado InterVlan desde dispositivo borde de red (Firebox) WatchGuard T10
  • Gestión de redes inalámbricas desde servicio GWC (Gateway Wireless Controller) de dispositivo WatchGuard Firebox T10.
Laboratorio en marcha:


Tenemos un Firebox T10 el cual funcionará como dispositivo de borde proporcionándole acceso a internet y seguridad a todos los dispositivos de la red interna, este está conectado a un Switch D-link DG200 de 48 puertos y este a su vez está conectado a otro Switch Marca Netgear GS108T de 8 puertos Giga, en este último switch se conectará el WatchGuard AP-100 en el cual se crearán tres (3) identificadores de red wireless con sus SSIDs: Laboratorio1, Laboratorio2 y Administración AP respectivamente. La configuración a realizar  empezando por el Firebox WatchGuard T-10 y Switches (llamemos de acceso al D-link y distribución al NetGear) será la siguiente:

  1. En el Firebox se crearan las tres (3) Vlan´s antes mencionadas, la Vlan llamada Administración AP servirá para administrar el dispositivo AP-100.
  2. Se configurará la interfaz del Firebox WatchGuard que conecta al Switch D-Link DG200 como Interfaz Vlan.
  3. Se configurará el Firebox WatchGuard para que envíe y reciba tráfico etiquetado de las Vlan´s Laboratorio1 y Laboratorio2, el tráfico de la Vlan Administración AP se configurara para que no sea etiquetado.
  4. Se crearán estas mismas vlan en los Switch´s y en el AP-100
  5. Se configurará el Switch D-link DG200 para que admita el tráfico de las vlan´s creadas por los puertos que conectan al Switch Netgear y al Firebox WatchGuard.
  6. En el Switch Netgear GS108T no hace falta configurar los puertos para que admitan estas Vlan´s ya que por defecto los puertos están configurados para admitir tráfico etiquetado y no etiquetado.
  7. El hecho de que todos los puertos acepten todo tipo de tráfico por defecto no significa que al conectar un host a un puerto este tomará una dirección IP, se debe configurar el puerto para que sea miembro de una Vlan específica.

El Diseño de la topología se muestra en la figura 1.




Capturas de configuración en los Switch´s
D-link DG-200 (Distribución)

Paso 1: Habilitar Vlan Asymmetric
Podemos estar en una red y configurarle al Switch una dirección IP de esa red, acceder al Switch crear las redes Vlan´s, asignarle los puertos correspondientes a cada Vlan y aún así podemos seguir teniendo administración del Switch, esto lo hacemos habilitando Vlan Asymmetric.
Observación: Si le hemos configurado una dirección IP a nuestro Switch de nuestra red y no configuramos Vlan Asymmetric perderemos la configuración cuando configuremos los puertos troncales ya que nuestra red no pertenecerá a ninguna red vlan creada en el Switch, el tráfico que pasara por ese enlace será etiquetado a excepción de la vlan de administración en este caso debemos conectar un Pc directamente al Switch y configurarnos un IP en el mismo rango del Switch.

Interfaz de creación de Vlan´s.



Ip de administración del Switch D-Link DG-300


Switch Netgear GS108T
Creación de Vlan´s

Se configuran los puertos 6 y 7 para que permitan el tráfico no etiquetado de la Vlan 99 (administración del servicio Gateway Wireless Controller para gestión del AP-100). Estos puertos conectan con el Swtich D-Link DG-300 y con el WatchGuard AP-100.



Vlan 100, se configuran los puertos 6 y 7 para permitir tráfico etiquetado de la Vlan 100.


Vlan 200, al igual que con la Vlan 100 se configuran los puertos 6 y 7 para que permita el trafico etiquetado de la Vlan 200.

Podemos visualizar que todos los puertos admiten todo tipo de tráfico (etiquetado y no etiquetado inclusive modo troncal), por lo que no es necesario configurar  los puertos que llevan a otros Switch como troncales.



Dirección IP de administración del Switch Netgear.


Lo importante de este tipo de configuraciones es que podemos lograr una interacción con medios de diferentes marcas e inclusive modos de configuración, la seguridad de las redes inalámbricas y sus controles de acceso en todo momento serán gestionadas por el dispositivo de borde Firebox WatchGuard (recuerde que este también permite tráfico en capa 3).

El el dispositivo switch principal (acceso) se manejan las diferentes redes VLANs de la red corporativa, manteniendo la centralización y acceso de trafico correspondiente.

Establecer estaciones de aislamiento le permite que los dispositivos inalámbricos conectados en una misma red no cursen tráfico entre sí le ayuda a mitigar tráfico innecesario y potencialmente inseguro. 

Esta misma configuración se puede adaptar en una infraestructura aún con sólo el AP-100 de WatchGuard y el Firebox WatchGuard.

Carlos Palomo.
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526

lunes, 4 de julio de 2016

Seguridad en redes corporativas, el juego del policía y el ladrón.





La seguridad en las redes empresariales es, sin lugar a dudas, uno de los elementos más importantes e intrínsecos en toda organización, con una relación de importancia directamente proporcional a los niveles de manejo de información del negocio pero a su vez, con un rango de superior nivel de importancia en lo referente a su continuidad, es decir: "el negocio depende de la seguridad" les explico mi punto de vista a continuación:

La evolución e importancia que ha adquirido este tema es de tal magnitud (y es tan amplio y extenso) que hasta el concepto ha cambiado, madurado y llevado inclusive a abrir (relativamente) nuevas carreras, profesiones y hasta puestos de trabajo, pues debemos discernir entre el rol de un Administrador de Redes y un CISO (Oficial de Seguridad de la Información) que no es un cargo muy común en varios países en empresas de latinoamérica.

Un Administrador de Redes se encarga precisamente de eso, de administrar redes y recursos, mientras que un CISO tiene un conjunto de roles y responsabilidades muy diferentes pero estrechamente vinculada en la materia. Muchas empresas añaden o acoplan ambas funciones en un mismo cargo endosando al cargo de Administrador de Redes responsabilidades de un CISO, sin mencionar que hay casos en las que el cargo de Help Desk asume un tres en uno.

En tiempos pasados (y quizá aún esto suceda en la empresa donde laboras) "el jefe" podría llegar a pensar que este rol tenía que ver más a jugar a "policía y ladrón" que a formar parte de manera neurálgica en todos los procesos de esta, que si hay que evitar que la secretaría este jugando Clash of Clansque los muchachos de sistemas este descargando contenido vía BitTorrentque sí los usuarios se están conectando al Wifi y se están distrayendo en sus deberes, entre muchas otras penurias y dolores de cabeza...

Hoy en día las cosas han cambiado, pues la continuidad del negocio y las operaciones en general depende de un buen establecimiento de "políticas y procesos" gestionado directamente por seguridad, No se puede hablar de seguridad de la información si no se toma en cuenta privacidad de la información, no se puede hablar de contingencia de servicios si no se le atribuyen los recursos y medios necesarios a la continuidad del negocio, no será posible lograr armonía sin cientos de aspectos técnicos y no técnicos a tomar en cuenta: "políticas de uso aceptable de medios, manipulación de información corporativa, respaldos y recuperación de desastres, seguridad física y lógica, contingencias respecto a proveedores de acceso, líneas de base, mejores practicas, estándares vinculados a sistemas de gestión, alarmas, logs, reportes" etc. etc. etc...

Haciendo referencia a un poco de teoría tenemos dos aspectos fundamentales en este sentido:

1.- Establecimiento de un Sistema de Gestión de Seguridad de la Información SGSI nos permitirá conocer rápidamente la famosa triada: Confidencialidad, Disponibilidad e Integridad, tan vital en el manejo de este tema.

2.- Círculo de Deming PDCA, ISO/IEC 27001 como parte de un proceso de gestión que se adapta a los cambios internos y externos de la organización


Hasta este momento, si "el jefe" ha leído el contenido de este post, posiblemente se dará cuenta que la responsabilidad y peso de la seguridad de la red va más allá de jugar al "polícia y al ladrón" y que incluye hasta el monitoreo de la temperatura del aire acondicionado de la sala de servidores (esperemos que así sea)

Desde mi particular punto de vista une empresa que no contemple este tema y que a su vez ponga a su nivel (alto) la importancia de la "Seguridad" es una empresa que estará, sin lugar a titubeo alguno a un paso del debacle.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526