1 / 83

ESCUELA SUPERIOR POLITECNICA DEL LITORAL

ESCUELA SUPERIOR POLITECNICA DEL LITORAL. Facultad de Ingeniería Eléctrica y Computación. Tópico: Seguridad de la Información Profesora: Ing. Karina Astudillo Proyecto: Implementación de un website de comercio electrónico, utilizando una infraestructura de red segura.

malory
Télécharger la présentation

ESCUELA SUPERIOR POLITECNICA DEL LITORAL

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ESCUELA SUPERIOR POLITECNICA DEL LITORAL Facultad de Ingeniería Eléctrica y Computación Tópico: Seguridad de la Información Profesora: Ing. Karina Astudillo Proyecto: Implementación de un website de comercio electrónico, utilizando una infraestructura de red segura. Integrantes: Mariuxi Abarca Douglas Bustos Fernando Costa

  2. Contenido del Proyecto • Antecedentes y Justificación • Plan de Marketing de un sitio de comercio para la venta de regalos • Diseño e implementación de una infraestructura de Red Segura • Diseño e Implementación de un sitio de Comercio Electrónico • Conclusiones y Recomendaciones

  3. Introducción • El presente trabajo trata sobre el diseño y la implementación de un sitio de comercio electrónico utilizando una infraestructura propia de red segura con la finalidad de crear un negocio de venta de productos a través de la Internet y enfocado hacia el mercado Ecuatoriano. • Nuestro proyecto esta dividido en 2 metas principales: • El diseño y la construcción de una red segura que almacene el sitio y de acceso a los clientes. • El desarrollo del sitio Web para la venta de regalos en Internet.

  4. Antecedentes y Justificación del Proyecto

  5. Antecedentes y Justificación • La idea de crear un negocio virtual nace de la iniciativa de emprender una actividad comercial utilizando la tecnología informática y aprovechar los nuevos métodos de hacer negocio, que la Internet ofrece hoy en día.

  6. Antecedentes Generales • La Internet ha cambiado la manera en que se desarrollan las actividades de la sociedad. • La tecnología ofrece nuevas alternativas de negocio que permiten llegar a una audiencia masiva. • Nuestro segmento de mercado es mucho mayor ya que el tiempo y la distancia dejan de ser obstáculos.

  7. Definición del Problema y Objetivos del Proyecto • Debemos vencer las barreras sociales, culturales y económicas que un negocio de comercio electrónico enfrenta. • Es necesario proveer al usuario la confianza, facilidades e incentivos que busca al momento de comprar.

  8. Definición del Problema y Objetivos del Proyecto • Nuestro objetivo es ser una empresa líder en el mercado de comercio electrónico ecuatoriano. • Como lograrlo: • Utilizar un medio transaccional seguro. • Utilizar una estrategia de mercadeo efectiva. • Diseñar una interfaz amigable y atractiva.

  9. Plan de Marketing

  10. Plan de Marketing • El plan de marketing de nuestra empresa debe evaluar las condiciones actuales del mercado de comercio electrónico y las estrategias que se aplicarán para posicionar el sitio en el segmento de compradores en línea ecuatorianos.

  11. Nuestra Empresa • El sitio www.regalos.com.ec se especializará en comercializar artículos que los usuarios puedan regalar a sus seres queridos. • El beneficio principal para el usuario será la facilidad de escoger un regalo entre todas las sugerencias del sitio de acuerdo a la ocasión y presupuesto disponible.

  12. Descripción de los servicios del sitio • El cliente podrá encontrar regalos para las siguientes ocasiones: • Matrimonios (Línea Blanca, Cristalería, Vajillas, Cubiertos, Artículos de Cocina) • Aniversarios (Arreglos Florales, Chocolates, Peluches) • Día de la Madre (Agendas, Adornos variados, Lámparas, Perfumes ) • Día del Padre (Libros, Habanos, Licores, Corbatas ) • Cumpleaños (Reloj, CDs, DVDs, Artículos Electrónicos, Billeteras, Bolígrafos, Cinturones ) • Navidad, Primera Comunión, Quince años, Graduación y Bautizos

  13. Servicios especiales del sitio • Recordatorio de cumpleaños, aniversarios y fechas especiales • Organización de regalos en conjunto • Asistente para la selección de un regalo • Servicio de envoltura de regalos • Beneficios para usuarios frecuentes

  14. Necesidad del Mercado • La idea de este sitio surgió de la necesidad de encontrar un regalo apropiado para diferentes ocasiones. Muchas veces las personas se topan con el problema de tener que regalar algo y se ven en la necesidad de salir a recorrer locales comerciales buscando un producto en especial que cumpla con el perfil de la ocasión y de la persona a quien se va a regalar.

  15. Encuesta de Mercado Compraría regalos por Internet

  16. Encuesta de Mercado Aspectos más importantes al comprar

  17. Encuesta de Mercado Tipos de regalos que compraría

  18. Encuesta de Mercado Razones por las que no compraría regalos por Internet

  19. Encuesta de Mercado Beneficio que lograría comprando regalos por Internet

  20. Análisis de la Competencia • Sitios Web similares: • Bragança • Gift Company • Creditos Economicos • Los Colores de mi Tierra • Los sitios analizados no cubren todo el mercado objetivo, pues nuestra presentación y clasificación es diferente al tratarse de artículos definidos por categorías de celebración en vez de clasificarlos por tipos de artículos como lo hace la competencia.

  21. Análisis de la Competencia Ventajas de la Competencia • Braganca: Reconocimiento de la marca Buena imagen corporativa Teléfono 1700 • Gift Company Publicidad de Todo1Plaza • Creditos Economicos Reconocimiento de la marca • Buena imagen corporativa Infraestructura propia para entregas Ofertas para clientes en línea • Los Colores de mi Tierra Publicidad de Todo1Plaza

  22. Análisis de la Competencia Desventajas de la Competencia • Braganca: Precios elevados Poca variedad de productos • Gift Company Precios elevados Imagen corporativa no atractiva Competencia en Todo1Plaza • Creditos Economicos Poca variedad para nuestro mercado objetivo • Los Colores de mi Tierra Imagen corporativa no atractiva Poca variedad de productos Nombre del sitio

  23. Segmento del Mercado • Hombres y mujeres entre los 18 y los 50 años, que posean la capacidad económica para adquirir los productos ofrecidos en el sitio y que sientan la necesidad de un lugar que les facilite la compra de regalos.

  24. Estrategia de Mercado • Promoción por diversos medios: • Publicidad en correo directo • Banners en sitios web locales de alto trafico • Ferias de computación • Estaciones de radio

  25. Diseño e Implementación de una Infraestructura de Red Segura

  26. Diseño de una infraestructura de red segura • Una de las tareas principales en la construcción y puesta en producción de un negocio de comercio electrónico es la seguridad del sitio web y de los datos que este va a manejar. • Nuestro diseño de la red, debe considerar todos los riesgos de seguridad que pueden existir.

  27. Selección de Mecanismos de Seguridad • Los mecanismos de seguridad que se utilizaran en el diseño y la implementación de la red segura son: • Firewalls • Sistema de Detección de Intrusos • Servidor Web Seguro • Sistemas Antivirus • Servicios de Directorio de Seguridad

  28. Selección de Herramientas de Seguridad

  29. Implementación de la Red Segura • La implementación de la red segura comprende la construcción de todos los servidores de la red y sus componentes de seguridad. • Instalación de servidores Windows 2000 Server y Windows Server2003 • Implementación de la infraestructura de dominio Active Directory • Implementación de políticas del dominio • Instalación de firewalls interno y externo • Configuración de firewall interno • Configuración de firewall externo • Implementación del servicio de detección de intrusos • Implementación de servicio de antivirus corporativo • Implementación de antivirus para correo electrónico • Instalación de servidor de base de datos • Implementación de seguridades de base de datos • Implementación de servidor Web y seguridades

  30. Diagrama de la red segura diseñada

  31. Diagrama de la red ideal

  32. Diagrama de la red implementada en el proyecto

  33. Microsoft ISA Server • Microsoft Internet Security and Acceleration Server fue seleccionado como firewall de la red por la seguridad y funcionalidad que ofrece. • ISA Server es una solución de firewall robusta certificado por ICSA Labs, que implementa el modelo de Filtrado de Paquetes (Stateful Inspection) y el de un Application Level Gateway.

  34. Características de Microsoft ISA Server • Bloqueo de todo trafico por default • Cumple con el estandar de los laboratorios ICSA • Application Level Gateway • Packet Filtering – Stateful Inspection • Proxy Server y cache de paginas • Políticas basadas en IP, Usuario, Calendario y Contenido • Soporte para VPNs • Generador de Logs y Reportes especializados

  35. Instalación de firewalls externo e interno • La implementación del firewall Microsoft ISA Server requiere la instalación previa del sistema operativo Windows 2000 Server y la configuración adecuada de las tarjetas de red del firewall • La instalación de ISA Server deberá realizarse utilizando la versión Enterprise del producto por su capacidad de crear arreglos de firewalls redundantes • Durante la instalación de ISA Server se deberá especificar el rango de IPs que el firewall considerara como su red interna (segura) • El modo de instalación de Microsoft ISA Server dependerá de los componentes que se vayan a utilizar en el firewall. El firewall externo deberá ser instalado en modo integrado ya que además de realizar las funciones de firewall, proveerá servicios de cache de paginas. El firewall interno será instalado en modo firewall únicamente.

  36. Definición de Políticas de Seguridad Políticas de Trafico - Firewall Externo (Protocolos Permitidos) • Red Externa a la Red Desmilitarizada (Inbound) • HTTP (TCP 80), hacia la IP del servidor web • HTTPS (TCP 443), hacia la IP del servidor web • Red Externa a la Red Interna (Inbound) • SMTP (TCP 25), hacia la IP del servidor SENDMAIL • Red Desmilitarizada a la Red Interna (Inbound) • SQL (TCP 1433), desde el servidor Web a la IP NAT de la base • SMTP (TCP 25), desde el servidor Web a la IP del SENDMAIL • Red Interna a la Red Externa (Outbound) • HTTP/HTTPS (TCP 80 / 443), para estaciones de trabajo y servidor antivirus • FTP (TCP 21), para administradores y servidor antivirus • SMTP (TCP 25), para servidor SENDMAIL • POP3 (TCP 110), para servidor de correo y usuarios autorizados • Trafico DNS solo para servidor DNS interno • Red Interna a la Red Desmilitarizada (Outbound) • HTTP/HTTPS (TCP 80 / 443), para todos, hacia la IP del servidor Web

  37. Definición de Políticas de Seguridad Políticas de Trafico - Firewall Interno (Protocolos Permitidos) Para la publicación de la base de datos hacia la red interna y el servidor Web, se configurara el acceso utilizando NAT hacia la IP interna de la base de datos. • Red Externa a la Red Interna (Inbound) • SQL Server (TCP 1433), desde el servidor web • SQL Server (TCP 1433), desde la estación del administrador

  38. Implementación de Firewall Externo Reglas de Sitios y Contenido • Se definieron las políticas de acceso a la Internet para los usuarios internos. La política permitirá el acceso a paginas Web en la internet para todas las estaciones. • Se creo una política que permite el acceso desde la red interna al sitio de e-commerce únicamente para usuarios autenticados en el dominio. Reglas de Protocolo • Se creo una regla que permite el trafico de salida para protocolo SMTP desde el servidor de correo. • El protocolo FTP se habilito únicamente para estaciones de administradores y para el servidor Antivirus. • El protocolo DNS se habilito únicamente para el servidor DNS interno de tal manera que este pueda realizar resoluciones de nombres en servidores DNS raíz. • Se habilitaron los protocolos HTTP y HTTPS para usuarios y administradores.

  39. Implementación de Firewall Externo Filtrado de Paquetes IP • Se utilizo una regla de filtrado para bloquear protocolo ICMP y UDP hacia el servidor Web. • Se creo una política que permite el paso de paquetes HTTP y HTTPS hacia el servidor web. • Una regla de filtrado de paquetes se definió para permitir la comunicación por protocolo SMTP desde la Internet hacia el servidor de correo. Reglas de Publicación Web • Este tipo de reglas permite dar acceso a servidores Web ubicados en la red Interna. No se han utilizado estas reglas ya que la ubicación del servidor Web en la DMZ provee mayor seguridad.

  40. Implementación de Firewall Externo Reglas de Publicación de Servidores • Estas reglas permiten dar acceso a otros servicios ubicados en la red Interna desde la red DMZ y la red publica. • Se definieron dos reglas que permiten que el servidor web se comunique con el servidor mail vía SMTP, y con la base de datos SQL Server. Elementos de Políticas • Para facilitar la administración de políticas en el firewall externo se han definido elementos que se utilizaran como un Alias de los servidores y usuarios en cada una de las reglas. • Los elementos definidos incluyen “Administradores”, “Usuarios”, “Servidor de Base de Datos”, “Servidor Web”, “Servidor Antivirus”, “Servidor DNS” y “Servidor SMTP”.

  41. Implementación de Firewall Externo Detección de Intrusos de ISA Server • Como medida de seguridad se habilitaron las características de detección de intrusos del firewall de tal manera que este examine el trafico a nivel de IP y de aplicación. • ISA Server permite detectar ataques conocidos sobre protocolos habilitados en la red y reaccionar ante un posible ataque. • Algunos de los tipos de ataques detectados por ISA Server son: • Land Atack • Ping de la muerte • Escaneo de puertos • IP half scan • Bomba UDP • Ataques sobre protoclo DNS • Ataques sobre protocolo SMTP • Ataques sobre protocolo HTTP

  42. Implementación de Firewall Interno • La configuración del firewall interno se realizara creando las reglas de acceso definidas durante el diseño de las políticas de trafico. • La publicación de la base de datos se realiza utilizando conversión de IPs (NAT) desde la IP externa del firewall hacia la IP interna del servidor de Base de Datos • La conversión NAT para la base se habilitara únicamente en el puerto 1433 de SQL Server. • El acceso outbound para la base de datos no estará restringido

  43. Computer AssociatesE-Trust Intrusion Detection • El software de detección de intrusos E-Trust es una completa solución de seguridad que integra tres campos principales de seguridad: • Sistema comprensivo de la detección de la intrusión de la red • Monitoreo de sesiones en tiempo real • Bloqueo de contenido de Internet

  44. Características de E-Trust • Bloqueo de tráfico por servicio tales como: www, smtp, pop3, etc • Exploración de patrones de palabra permiten detectar violaciones de políticas • Detección de ataques a la red como: abuso de ping, escaneo de puerto TCP • Generación de alarmas via email, pager, mensajes NT, SNMP traps • Generación de estadísticas de uso de la red • Control de contenido • Detección de actividades sospechosas en la red • Bloqueos de trafico como respuesta a una detección

  45. Definición de Políticas de Seguridad • Políticas de Detección de Intrusos Las políticas definidas para el sistemas de detección de intrusos son: • Ping Flooding • Ping Abuse • SYN Attack • TCP Port Scan • UDP Port Scan • Sweep attack • Distributed Denial of Service Attack • Stream-like DoS Attack • IP Spoofing • MAC Spoofing • Land Attack • Null Scan • Stealth FIN scan • Xmas scan • TCP Scan (OS fingerprint) • QUESO scan • TCP packets overlapping • UDP Flooding • WinNuke attack • Teardrop attack • Smurf attack

  46. Implementación del servicio de detección de intrusos • El software de detección de intrusos utilizado es CA eTrust Intrusion Detection sobre un servidor Windows 2000. • EL servidor eTrust ha sido conectado a la red interna para analizar el trafico que logra pasar por el firewall en base a las políticas y el trafico originado en las estaciones de usuarios. • CA eTrust detectara cualquier comportamiento sospechoso y llevara una estadística de los sitios web que son accesados por los usuarios. • Algunos de los tipos de ataque que eTrust podrá detectar son: • Ping flooding • Ping Abuse • SYN Attack • TCP Port Scan • Distributed Denial Of service Attack

  47. Symantec Antivirus Corporate Edition • Symantec Antivirus es la solución de protección contra ataques de virus seleccionada para las computadoras de la red. • La edición corporativa del antivirus Symantec nos permite proteger todas las estaciones y servidores de manera centralizada y mantener una política adecuada de actualizaciones y alarmas.

  48. Características de Symantec Antivirus • Solución de antivirus robusta, cuenta con el respaldo de las empresas mas grandes dedicadas la seguridad de la información • Buen tiempo de respuesta contra nuevos virus • Respaldo de Symantec Security Response, una de las instituciones de investigación y soporte de seguridad mas prestigiosas en Internet • Solución escalable • Multiplataforma • Administración centralizada

  49. Definición de Políticas de Seguridad • Políticas del servicio de antivirus • Actualización diaria de definiciones de nuevos virus y del motor antivirus • Configuración del antivirus deshabilitada desde en las estaciones. • Protección en tiempo real del antivirus habilitada para todas las estaciones centralizadamente desde la consola de Symantec • Archivos infectados no desinfectados, seran colocados en la consola de cuarentena central y luego limpiados o eliminados

  50. Implementación del servicio de antivirus corporativo • El servidor de antivirus symantec fue instalado sobre Windows 2000 Server. Los servicios que se ejecutan sobre este servidor son la Consola de Administracion de Symantec, servicio de actualizaciones “LiveUpdate” y la Consola de Alarmas. • La instalación del antivirus para estaciones y otros servidores de la red se realiza remotamente desde el servidor principal del antivirus utilizando los servicios de llamada a procedimiento remoto (RPC) de Windows. • El servidor de antivirus realizara descargas periódicas de las nuevas definiciones de virus liberadas por el fabricante y procederá a actualizar al resto de computadoras de la red.

More Related