X Security - Manual de Producto · X Security es un servicio de redes seguras que incluye por una...

X Security - Manual de Producto

Copyright 2018. Todos los derechos reservados

ÍNDICE

ÍNDICE ............................................................................................................................1

GESTIÓN DE CAMBIOS .................................................................................................3

DESCRIPCIÓN DEL OBJETIVO DE ESTE DOCUMENTO...............................................3

1 ¿QUE ES X SECURITY? .............................................................................................4

2 PROPUESTA DE VALOR ..........................................................................................5

2.1 Instalación sencilla ............................................................................................................................... 5

2.2 Tráfico hacia Internet securizado ....................................................................................................... 5

2.3 Tráfico entre sedes securizado (VPNs) .............................................................................................. 5

2.4 Monitorización del servicio ................................................................................................................. 5

3 FUNCIONALIDADES ................................................................................................5

3.1 Hardware de la solución (dispositivo de X Security) ....................................................................... 6

4 BENEFICIOS ..............................................................................................................8

5 PROBLEMAS DE LOS CLIENTES QUE SOLUCIONA X SECURITY .........................8

6 JOURNEY DE COMPRA ......................................................................................... 10 6.1 Proceso cuando el cliente NO tiene X Security contratado (proceso completo desde cero) ..............11

6.2 Proceso cuando el cliente SI tiene X Security contratado (migración de X Security a X Security).......17

7 ÁREA PRIVADA Y CONFIGURACIONES PERMITIDAS ....................................... 21 7.1 Monitorización del servicio ..................................................................................................................21

7.2 Monitorización avanzada del servicio (próximamente) .......................................................................21

7.3 Cambio del direccionamiento LAN (Enero 2019) .................................................................................21

7.4 Apertura de puertos (Enero 2019) .......................................................................................................21

7.5 Otros parámetros de configuración (Enero 2019) ...............................................................................21

8 PRECUALIFICACION - TOMA DE DATOS PARA PROPUESTA DE X SECURITY 21

9 REQUISITOS TECNICOS ........................................................................................ 22

9.1 Requisitos previos a la activación ....................................................................................................22

9.1.1 Dispositivo de X Security con IP pública...........................................................................................22



9.1.2 Router doméstico de operador ........................................................................................................22

9.1.3 Router propio o para empresas .......................................................................................................23

9.1.4 Fibra de X by Orange ........................................................................................................................23

10 PROCESOS DE INSTALACION .......................................................................... 23

11 CONFIGURACIONES DE LA RED DEL CLIENTE ............................................... 23 11.1 Configuración estándar ........................................................................................................................23

11.2 Wifi........................................................................................................................................................23

11.3 Backup 4G (Diciembre 18) ....................................................................................................................24

11.4 Sedes solo 4G ........................................................................................................................................24

11.5 Dispositivos móviles X by Orange .........................................................................................................24

11.6 Configuraciones específicas..................................................................................................................24

11.7 Varias direcciones IP públicas ...............................................................................................................24

11.8 Redundancia .........................................................................................................................................24

11.9 Velocidad ..............................................................................................................................................24

12 POSTVENTA Y SOPORTE .................................................................................. 25

12.1 Activación y solución de problemas ................................................................................................25

12.1.1 Conexiones...................................................................................................................................25

12.1.2 Enlace de activación ....................................................................................................................25

12.1.3 Problemas con la activación ........................................................................................................25

13 ESCENARIOS DE MIGRACIÓN .......................................................................... 25

14 LIMITES DEL SERVICIO ..................................................................................... 26

14.1 Local Breakout o salida a Internet local ..........................................................................................26

14.2 Wifi. Soporte de SSIDs .......................................................................................................................26

14.3 Limitación en la comunicación entre sedes ....................................................................................27

14.4 Lista de routers homologados por X by Orange para el servicio de X Security ........................27

14.5 Subredes ...............................................................................................................................................29

14.6 Una sola IP pública por sede ................................................................................................................29

14.7 DHCP activado en el router ..................................................................................................................30

14.8 Conexiones existentes ..........................................................................................................................30

15 ANEXO I: CONCEPTOS BÁSICOS DEL SERVICIO ............................................ 30

15.1 Descripción del concepto SDWAN ..................................................................................................30

15.2 Los Firewalls en la seguridad en Internet........................................................................................31

15.2.1 Virus .............................................................................................................................................31

15.2.2 Ataques de denegación de servicios ...........................................................................................32



15.2.3 Phishing ........................................................................................................................................32

15.2.4 Vulnerabilidades de aplicaciones ................................................................................................32

15.3 Otros conceptos básicos .......................................................................................................................33

GESTIÓN DE CAMBIOS

Versión Fecha Principales Cambios Owner

V1 06/11/2018 Primera versión del documento José Fernández

V2 05/12/2018 Revisión contenidos del documento José Fernández

DESCRIPCIÓN DEL OBJETIVO DE ESTE DOCUMENTO El objetivo de este documento es servir de guía para que cualquier usuario conozca el producto de X

Security de X by Orange. Este documento va desde los conceptos más básicos del producto, las

funcionalidades que tiene, hasta los problemas que puede solucionar al cliente, así como la manera

utilizar el servicio para sacarle el mayor partido posible.

¡Disfruta del viaje!



1 ¿QUE ES X SECURITY?

X Security es un servicio de redes seguras que incluye por una parte la creación de una red

virtual entre las sedes de la empresa y por otra parte el análisis y filtrado de todo el

tráfico de cada sede hacia Internet gracias a un potente conjunto de firewalls en la nube.

Esto garantiza que todo el tráfico que viene o sale a Internet sea analizado y filtrado y toda

comunicación entre las sedes sea cifrada y autenticada.

X Security, al igual que el producto X Privacy, se basa en tecnología SD-WAN (Software

Defined Wide Area Network), la cual permite crear una red virtual sobre cualquier

conectividad (fibra, ADSL o 4G) sin importar el operador.

La tecnología SD-WAN es la evolución natural de las VPNs, MPLS y redes virtuales, que

utiliza el software como controlador de la red. En lugar de tener el controlador y los datos

en el mismo dispositivo (router) como ocurre en las VPNs o las MPLS, SD-WAN separa en

una capa superior el control de la red, mientras que los elementos de red (routers, etc.)

llevan solo el encaminamiento “físico” de los paquetes de datos. Debido a esta

desagregación, se puede utilizar SD-WAN sobre cualquier tipo de conectividad y con

cualquier operador y gestionar de manera muy flexible la integración de nuevas sedes

incluyendo sedes virtuales en la nube.

100% automatizado y desplegado sobre la nube privada de Amazon (AWS), nuestro servicio

está empaquetado en velocidades (50 Mbps, 100 Mbps y 200 Mbps), que incluyen tanto el

servicio y el soporte, como el dispositivo de X Security o el dispositivo físico necesario para

interconectar las sedes.

Su activación es rápida y ágil, una vez se compra el producto se envía el dispositivo de X

Security que llegará en un máximo de 4 días. Se conecta este dispositivo al router de fibra o

ADSL y se activa mediante un link. En pocos minutos la empresa estará trabajando viendo

recursos de otras sedes dentro de la misma red (WAN).

A diferencia de otros productos más estáticos como la VPNs o MPLS, SD-WAN permite

conectar una nueva sede en cualquier momento, al igual que permite eliminar una sede

existente o cambiar de velocidad sin preocuparse de permanencias.

En cuanto a la salida hacia a Internet, X Security integra un set de al menos 9 Firewalls de

nivel de Aplicación (nivel 7) en alta disponibilidad (HA) desplegados de manera

automática en el espacio privado de AWS (Amazon Web Services) de X by Orange.

Cuando una sede se conecta a Internet o accede a algún servicio fuera de la red virtual (entre

sedes) los dispositivos de X Security redirigen ese tráfico a dicho espacio privado en AWS

donde es analizado y filtrado devolviendo tráfico limpio de vuelta. De esta manera podemos

hablar de que X Security permite crear una red limpia para el cliente en el que todo el tráfico

entre sedes y hacia Internet es securizado resultando en una de las soluciones de seguridad

más potentes, flexibles y modernas del mercado.



Como en X Privacy, en X Security se limita la salida a Internet (y la comunicación entre sedes)

a, como máximo, el ancho de banda contratado en total. Esto significa que si el cliente

contrata X Privacy 50 tendrá como máximo 50 Mbps de subida y bajada a Internet

(compartido con la comunicación entre las sedes) independientemente de la velocidad de

fibra que tenga contratada (X Security 50 = 50 Mbps = Trafico de subida y bajada a

Internet + Trafico entre sedes).

2 PROPUESTA DE VALOR 2.1 Instalación sencilla

La instalación del producto es tan sencilla como conectar el dispositivo de X Security entre el

router y los dispositivos de red de la empresa de manera que toda la “inteligencia” de red la

empezará a llevar a cabo el dispositivo de X Security. Si el cliente no sabe cómo hacerlo

(siguiendo las instrucciones incluidas con el dispositivo), el Contact Center de X by Orange le

podrá ayudar.

2.2 Tráfico hacia Internet securizado

A partir de la instalación, el tráfico de las sedes hacia internet quedara 100% securizado con

nuestro servicio de Firewall, Antivirus, Antispam, Antibot y Ransomware en la nube.

2.3 Tráfico entre sedes securizado (VPNs)

El tráfico entre sedes quedará cifrado y autenticado (se garantiza su autenticidad y que los

datos no son modificados).

2.4 Monitorización del servicio

En la parte privada del portal del cliente, cualquier cliente podrá consultar el estado de la

activación del servicio.

3 FUNCIONALIDADES A continuación, se describe las características técnicas del producto y el valor que aporta para el negocio del

cliente.

Funcionalidad técnica del producto Valor para el negocio del cliente

Firewall, IPS, Anti-spam, Antivirus y Antibot Protege los servicios contra accesos no

autorizados y ataques de todo tipo,

actualizándose en tiempo real y 100%

automático para que el cliente no tenga que

hacer nada

Control de aplicaciones y URLs Para impedir los ataques de denegación de

servicio a nivel de aplicación (DoS & DDoS) y

proteger todos los servicios en la nube.

Prevención de pérdida de datos Puesto que protege los datos sensibles contra

robos o pérdidas accidentales

Protección de día cero

Proporcionando la protección más completa

contra malware y ataques de día cero del

mercado (ataques que aún son desconocidos

para los fabricantes).



IPSEC + VPN Connectivity Consigue que todas las comunicaciones de

datos de tus sedes fijas sean privadas a un coste

accesible y predecible (OPEX), con la

implantación inmediata de una red privada

virtual con calidad de operador.

Servicio OTT

(independiente del operador)

Total, flexibilidad para crear, ampliar o reducir tu

red privada: puedes gestionar tus sedes online y

en tiempo real conectando nuevas sedes en

cuestión de minutos. No es necesario que la

conectividad sea de Orange, de manera que

incluso puedes ampliar redes privadas que ya

tengas con otros proveedores.

X Security es 100% tecnología Cloud Evitar cualquier riesgo en la privacidad de tus

comunicaciones con una solución siempre

actualizada y flexible gracias a la red de X by

Orange. Además, no requiere la instalación de

software en ningún equipo.

Monitorización de estado Ver en tiempo real desde el portal el estado del

servicio en todo momento.

3.1 Hardware de la solución (dispositivo de X Security) Para el servicio de prioridad usaremos inicialmente y salvo petición especial dos tipos de dispositivos

distintos denominados dispositivos de X Security que funcionaran como la puerta de entrada y salida a

la red privada del producto. Estos dispositivos son los que llevan toda la inteligencia “física” de la red.

Los dos modelos disponibles para el servicio son los siguientes

X Security 50 / X Security 100

Nuage 7850 NSG E200 2-port combo 1000BaseX/BaseT 4-ports 1000BaseT RJ45 (AC power). Permite anchos de banda cifrados de 50 y 100 Mbps de subida y bajada simultáneas de manera garantizada.

X Security 200

Nuage 7850 NSG E300 2-port combo 1000BaseX/BaseT 4-ports 1000BaseT RJ45 (AC power). Permite anchos de banda cifrados de hasta 200 Mbps de subida y bajada simultáneas de manera garantizada.

Ficha técnica de los dispositivos

Nuage_Networks_785

0_NSG-E_200_300_Data_Sheet.pdf





4 BENEFICIOS El servicio de X Security proporciona grandes ventajas para los clientes:

1. Protección total incluyendo Ransomware X Security incluya la mejor

solución de firewall de nivel de aplicación del mercado que incluye protección

contra todas las amenazas incluyendo los temidos Ransomware

2. Libre elección de operador sin permanencias: X Security funciona sin importar

el operador que proporcione la conectividad a Internet siempre y cuando esta sea

de fibra, ADSL o 4G.

3. Rendimiento: Las redes X Security tienen un rendimiento mayor que las MPLS

porque permiten utilizar el mejor acceso disponible para cada sede. Incluso se

puede poner más de un acceso en paralelo para aumentar el rendimiento. Además,

el ancho de banda MPLS suele ser muy limitado debido a su alto coste. Con X

Security es posible utilizar hasta el 100% del ancho de banda a Internet para el

cifrado de datos.

4. Fiabilidad: Aunque en principio los accesos a internet no son fiables, mientras que

la MPLS lo es por definición, la fiabilidad de cualquier sede en red X Security es

100% fiable con diferentes tecnologías de acceso o, incluso, diferentes

proveedores. Además, los accesos de Backup no tienen por qué estar en Standby

esperando a que caiga el principal. Pueden estar funcionando para aumentar el

rendimiento global.

5. Coste: Una red de X Security es la mejor inversión para cualquier cliente, ya que, si

no tiene red MPLS puede acceder a todas las ventajas de una WAN a mucho menor

coste, y, si ya la tiene, puede ahorrarse su alto coste migrando a una solución X

Security.

5 PROBLEMAS DE LOS CLIENTES QUE SOLUCIONA X

SECURITY

Habitualmente los clientes de las pymes se encuentran con diferentes situaciones

problemáticas que la solución de X Security puede resolver:

Problemas Beneficios de la solución

1. Los firewalls tradicionales analizan paquete a

paquete (“stateless firewall”) o controlan el

flujo de paquetes (“stateful”), pero se

quedan en el análisis de las capas básicas de

los protocolos de comunicación.

Nuestra solución incluye un set de firewalls de capa 7

o de nivel de aplicación que incluyen todas las capas

de los protocolos de comunicación

2. Inseguridad y desconocimiento ante nuevos

virus y amenazas nuevas

Con nuestra solución, al tener la funcionalidad de

“protección de día cero”, no importa que se

desconozca el virus. El sistema se basa en el

comportamiento del software y si este

comportamiento es sospechoso bloquea por defecto

esa aplicación



3. Los firewalls tienen un alto coste, necesitan

gestión, tienen tiempos altos de

implementación, no escalan y necesitan

dispositivos aparte para dar funcionalidades

de IPS&IDS

Nuestra solución es 100% en la nube, auto

desplegable, autoinstalable, que auto escala

automáticamente y que dispone de funcionalidades

de IPS&IDS sin otros dispositivos

4. Los rendimientos del firewall físico están

muy afectados por el volumen de tráfico

analizado y filtrado en la sede donde se

instala

Nuestra solución es independiente del tráfico de la

sede puesto que se auto dimensionan para cubrir las

necesidades de cada momento.

5. Necesito un firewall en cada sede Con nuestra solución no se necesita nada puesto que

se redirige le tráfico a internet de todas las sedes y se

pasa por nuestra solución de firewall.

6. Comunicaciones no seguras entre distintas

sedes que hacen sencillo el robo y/o

modificación de datos de los clientes.

Nuestra solución ofrece privacidad de más alta gama

para la totalidad del ecosistema de cliente.

7. Inseguridad ante el cumplimiento de la

GDPR.

Nuestra solución ayuda a cumplir con la GDPR dado

que garantiza que la información viaje cifrada en todo

momento, además de que garantiza la autenticidad

de cada mensaje extremo a extremo.

8. Proceso de provisión e instalación de

conectividades seguras entre sedes largo y

complicado.

La solución es autoinstalable y puede activarse en

minutos una vez conectado el dispositivo X by

Orange.

9. Los incidentes con la conectividad son

difíciles de localizar y tardan tiempo en ser

solucionados.

Nuestra solución ofrece una visión única (single panel

of glass) de todas las conexiones que permiten una

resolución de problemas más sencilla.

10. Diferentes proveedores / equipos de

Soporte en diferentes sedes del cliente que

hacen complicado la resolución de

problemas.

Nuestra solución permite una gestión centralizada

que unifica todas las tareas de soporte.

11. Instalación de nuevas aplicaciones de

conectividad que requieren de inversión en

hardware.

Otras aplicaciones pueden ser adquiridas y estar

disponibles sin añadir componentes adicionales de

hardware en casa del cliente.

12. Altos costes de provision, compra de

harware o software.

Nuestra solución incluye todo lo necesario por una

cuota mensual por sede.



6 JOURNEY DE COMPRA

En cuanto al proceso de compra existen 2 procesos distintos. El proceso cuando el cliente NO tiene X Security

contratado y el proceso cuando el cliente YA tiene X Security contratado “migración de Privacy a Security”.



6.1 Proceso cuando el cliente NO tiene X Security contratado (proceso completo

desde cero)













6.2 Proceso cuando el cliente SI tiene X Security contratado (migración de X Security a

X Security)









7 ÁREA PRIVADA Y CONFIGURACIONES PERMITIDAS 7.1 Monitorización del servicio

En la parte privada del portal del cliente se incluye la monitorización del estado de activación

de cada dispositivo del servicio de X Security. Con un código simple de colores se indica si

está conectado (verde), si existe algún problema (amarillo), si no está conectado (rojo) o si aún

no se ha instalado (gris)

7.2 Monitorización avanzada del servicio (próximamente)

En la parte privada del portal del cliente próximamente se incluirá un dashboard con gráficas

y KPIs de monitorización de ataque, tráfico y amenazas. Este Dashboard se irá completando

en versiones subsiguientes.

7.3 Cambio del direccionamiento LAN (Enero 2019) Con la implantación de área privada se permitirá en cualquier momento el cambio o la

configuración del direccionamiento LAN, hasta ese momento solo se hará por causas

excepcionales previa llamada al Contact Centre, e implicará un corte del servicio de

aproximadamente media hora.

El direccionamiento LAN de cada sede, habrá de ser siempre una subred con máscara /24.

7.4 Apertura de puertos (Enero 2019) El mapeo de puertos empezará a funcionar con el área privada. Como prerrequisito es necesario

–en el caso más común: que el dispositivo reciba IP privada– habilitar DMZ en el router, para

que en dispositivo de X Security sea el encargado de manejar los puertos.

7.5 Otros parámetros de configuración (Enero 2019) Hasta la llegada del área privada, el cambio de los parámetros de la LAN como habilitar,

deshabilitar o configurar el DHCP; o asignar direcciones IP estáticas por DHCP, puede realizarse

en cualquier momento previa llamada al Contact Centre.

8 PRECUALIFICACION - TOMA DE DATOS PARA

PROPUESTA DE X SECURITY Para realizar una propuesta de X Security, se debe tomar nota de los siguientes requisitos técnicos

que deberá aportar cliente

Mapa de la red actual si existe.

Necesidades de seguridad

• Nivel de filtrado que se requiere

• Aplicaciones y URLs que se quieren bloquear

• Reglas avanzadas o necesidades especiales que se quieren implementar en el servicio

• Trafico aproximado que se necesita analizar y filtrar

Por cada sede

o ¿Qué tipo de conectividad tienen ahora en cada una de las sedes y con qué operador?



o En el caso de que tengan Orange. ¿Usan teléfonos analógicos que estén conectados al router de

Orange?

o ¿Qué router tienen en cada sede (marca y modelo)?

o ¿Cuántos usuarios hay en cada sede?

o ¿Tienen IP fija en alguna de las sedes?

o ¿Necesitan apertura de puertos?

o ¿Tienen algún servicio de VPN? ¿Tienen algún router o conectividad hacia Internet?

o ¿Qué electrónica de red tienen en cada una de las sedes (switches, routers, balanceadores…)?

¿Tienen VLANes? ¿Necesitan apertura de algún puerto?

o ¿Qué casos de uso plantean en cada una de las sedes? ¿Cuál es la necesidad que los lleva a contratar

un servicio de SD-WAN? ¿Qué tráfico se quiere intercambiar entre sedes?

o ¿Disponen de una red Wifi en estos momentos? ¿Se la tendríamos que proporcionar nosotros?

¿Cuál es la topología de las sedes (número de plantas, tamaño de cada planta…)? ¿Sería suficiente

con un AP de Orange en términos de cobertura? ¿Tienen Wifi separada para clientes y empleados?

o ¿Qué direccionamiento tienen en cada sede? ¿Se asigna de forma fija o dinámica mediante DHCP?

o Número de subredes en cada sede que se requiere tener (mín. 1 máx. 4)

o ¿Quieren mantener su direccionamiento actual? Si la respuesta es sí, por cada sede necesitaríamos

saber:

▪ Dirección IP del Gateway (Dispositivo de X Privacy)

▪ Máscara de subred

▪ Tiene DHCP (sí o no). Si es afirmativo y quieren especificarlo:

▪ Primera dirección DHCP

▪ Última dirección DHCP

▪ Dirección DNS primaria

▪ Dirección DNS secundaria

o ¿Tienen impresoras conectadas en red? ¿Tienen cámaras IP, sensores o algún tipo de dispositivo

IoT conectado?

o Necesidades de uso ofimático: Uso de fax, gestión de dominios de Windows (Directorio Activo)

9 REQUISITOS TECNICOS

9.1 Requisitos previos a la activación

Se recomienda para el servicio conexión a internet de banda ancha por fibra, aunque el servicio

funciona sobre ADSL o 4G teniendo en cuenta la limitación de estos (conectividad y cobertura).

9.1.1 Dispositivo de X Security con IP pública No hay que hacer ninguna configuración previa.

9.1.2 Router doméstico de operador

el router es de tipo doméstico: Livebox (Orange), Smart Wifi/HGU (Movistar) es el caso más

sencillo, en el que solo hay que comprobar unos sencillos parámetros y desactivar Wifi:

• DHCP activo.

• Firewall en el modo por defecto.

• DMZ desactivado.

• Desactivar Wifi (los clientes conectados no pasarían por el dispositivo de X-Security)



• Cambio de la dirección IP (solo si el cliente ha decidido mantener su direccionamiento,

para que la IP del router no coincida con la IP del dispositivo).

• El direccionamiento LAN de cada sede, habrá de ser siempre una subred con máscara

/24.

Existe un manual básico de usuario que detalla estos pasos en los routers más comunes.

9.1.3 Router propio o para empresas

Si el router es cualquier otro (Cisco, Teldat, Mikrotik, FRITZ! Box), estos equipos son

incompatibles con NAT Transversal de Nokia, por lo que, además de lo anterior:

• Debemos fijar la IP que asigna el router por DHCP a la MAC del dispositivo. Esto es

esencial para garantizar que la IP que recibe el dispositivo de X Security es siempre la

misma.

• Abrir el puerto 893 de TCP a la IP del dispositivo.

• Abrir el puerto 4500 de UDP a la IP del dispositivo.

Existen manuales a disposición de los partners para ayudarlos con la configuración de estos

routers.

9.1.4 Fibra de X by Orange

El dispositivo de X Security obtendrá una IP pública de la siguiente manera:

• Si la fibra es directa, poner el Livebox en modo ONT, siguiendo el manual de

instalación.

• Si la fibra es indirecta, conectar la ONT directamente al dispositivo, dejando el Livebox

sin uso. No es necesario realizar ninguna configuración.

10 PROCESOS DE INSTALACION Siguiendo el manual de instalación se puede activar el servicio en cualquier router homologado

X Security-Manual

Instalacion Routers.pdf

La parte de Firewalls no requiere instalación dado que se despliega automáticamente cuando se

instala y activa el dispositivo físico.

11 CONFIGURACIONES DE LA RED DEL CLIENTE 11.1 Configuración estándar

En el escenario ideal, el Wifi del router debe estar deshabilitado, asimismo ningún equipo debe

quedar conectado a los puertos LAN del router –excepto el NSG–.

11.2 Wifi Si el cliente tiene una solución empresarial del Wifi, podrá seguir usándola, y esta quedará

conectadas aguas abajo del dispositivo de X Security. En caso contrario, se le facilita un punto

de acceso básico de Orange (doble banda) que deberá estar conectado de la misma manera.



11.3 Backup 4G (Diciembre 18) El dongle 4G proporciona una conexión de Backup para el caso de caída de la línea principal

de fibra. El uso será gratuito e ilimitado si se utiliza de forma razonable (como Backup), en caso

contrario, puede acarrear cargos. Durante la caída de la línea principal no estarán disponibles

los servicios asociados a esta, como la apertura de puertos. No será posible conectar el dongle

4G a otros dispositivos diferentes, y el cliente nunca conocerá el PIN de la tarjeta SIM.

11.4 Sedes solo 4G Pueden existir localizaciones remotas sin posibilidad de contratar fibra. En estos casos, se

habilitará la posibilidad de contratar una línea exclusivamente con salida a internet móvil. Las

líneas 4G no tienen IP pública, por lo que no permiten mapeo de puertos.

11.5 Dispositivos móviles X by Orange Los dispositivos móviles con SIM de X by Orange tendrán conexión con las diferentes sedes.

Esta característica está en desarrollo.

11.6 Configuraciones específicas Si el cliente tiene alguna configuración específica, como querer seguir utilizando el Wifi del

router para ofrecer una conexión de invitados, puede seguir usándola.

También puede haber algún cliente que prefiera mantener equipos conectados a su router, por

ejemplo, servidores que sean accedidos desde internet. No es un inconveniente, si el cliente

entiende las limitaciones.

11.7 Varias direcciones IP públicas Para el caso de tener varias direcciones IP públicas, una IP se asignará al dispositivo y en las

otras podrá tener otros elementos de su red.


11.8 Redundancia Aparte del Backup 4G, aún no se ha desarrollado una solución redundante que permita tener

dos conectividades con dos operadores, dos routers, dos dispositivos de X Security…, con el

objetivo de que una avería de un dispositivo físico o caída de línea no afecte en absoluto a la

red. Esta característica estará disponible en el futuro.

11.9 Velocidad La velocidad efectiva (throughput) entre dos sedes será la más pequeña de las dos. Por ejemplo,

una sede de 50 megas y una de 200 se comunicarán entre sí a 50 megas simétricos.

En cambio, la sede de 200 megas podría comunicarse simultáneamente a máxima velocidad

con otras cuatro sedes de 50 megas.

El ancho de banda que ocupa el túnel es hasta un 20%, esto es, un túnel con un tráfico efectivo

de 100 megas consumirá unos 120 megas de la fibra.



12 POSTVENTA Y SOPORTE

12.1 Activación y solución de problemas

12.1.1 Conexiones El router se conecta al puerto 1 del dispositivo de X Security. Se conecta un PC por cable

Ethernet al puerto 6 del dispositivo y se enciende. Se debe comprobar antes de activar la sede

que se tiene salida a internet.

Nota: Si la salida a internet no funciona, pulsar el botón de RESET durante 60 segundos, tras el

reinicio, que dura un par de minutos, el PC deberá tener salida a internet.

12.1.2 Enlace de activación

Activar el dispositivo es tan sencillo como pulsar en el enlace de activación en el PC

directamente conectado por cable al dispositivo. La prueba para dar por buena la instalación

es hacer ping a los dispositivos de X Security (Gateway) de las otras sedes.

12.1.3 Problemas con la activación

▪ Sin salida a internet. Si la activación ha fallado, el problema más común es que el dispositivo

no tiene internet, probablemente porque no ha recibido la IP en el puerto 1.

▪ Confusión de enlaces. Si se confunde el enlace de una sede con el de otra, no dará problemas

la activación, pero luego se comprobará que las direcciones o velocidades no son correctas. Si

eso ocurre, hay que llamar al Contact Centre para que desactive las sedes erróneas y volver a

empezar con la activación de dichas sedes.

▪ No hay conectividad. Se han activado correctamente todas las sedes, pero no hay conectividad

entre las mismas, no llegamos al dispositivo (Gateway) de las otras sedes. En este caso, el

problema más común es que los puertos no se han mapeado correctamente en los routers (no

aplica a routers domésticos de operador, pues estos usan NAT Transversal para IPsec).

▪ Hay conectividad entre sedes, pero no se llega a los equipos. Lo más probable en este caso

es que sea el firewall de Windows el que esté bloqueando la conexión.

13 ESCENARIOS DE MIGRACIÓN Existen los siguientes escenarios de migración detectados para X Security:

• Cliente con seguridad existente en 1 o más sedes con firewall dedicado on-premise o

virtualizado: Deberá facilitar a X by Orange toda la información de configuración, así como

reglas, filtros, aplicaciones bloqueadas y/o URLs no permitidas (listas blancas y listas negras)

para poder clonar dicha configuración en nuestro servicio de seguridad. Una vez hecho esto,

debería desconectar el/los firewalls de manera que el tráfico vaya redirigido siempre por la

solución de x by Orange.

• Cliente con conexión MPLS o tipo MACROLAN: El uso de MPLS o similar no es técnicamente

incompatible con el servicio de X Security, no obstante, no se recomienda su uso en conjunto

siendo recomendable migrar completamente a la solución de X Security. Para esto, se deberá

facilitar al equipo de X by Orange la configuración existente de la MPLS además de las sedes

conectadas, los accesos contratados y utilizados, etc. Con ese input, X by Orange podrá analizar

hasta que nivel de migración se puede llegar desde dicha MPLS hasta la solución de X Security.



• Cliente con VPN por Software: Esta VPN dejaría de tener sentido en el momento en el cual se

instale la solución de X Security. Desde ese momento todo el tráfico sede a sede será 100%

securizado sin depender de un software instalado en los equipos que haya que encender y que

puede fallar en cualquier momento. En todo caso, si la VPN es para conectar las sedes del

cliente, esta dejaría de funcionar de manera automática (si la conexión es IPsec puede dar

conflicto con la solución de X by Orange puesto que usaría el mismo puerto UDP).

• Cliente con servicio similar a X Security (SDWAN): Estos casos deberán ser estudiados en

detalle, principalmente en cuanto a su configuración a nivel de calidad de servicio QoS, Local

Breakout y perfiles de clientes (plantillas con configuraciones estándar). Si las configuraciones

de las sedes que tiene el cliente en el servicio X Security de terceros es exportable, se podría

plantear un proyecto de migración especifico de esa solución a X Security de X by Orange. En

caso contrario, habrá que ver lo que se puede traspasar y configurarlo manualmente en las

configuraciones de las sedes de X Security.

14 LIMITES DEL SERVICIO

14.1 Local Breakout o salida a Internet local

Actualmente X Security cuenta con Local Breakout o lo que es lo mismo, salida a Internet

local. En nuestra solución se limita la solución a Internet por Local Breakout a, como máximo,

el ancho de banda contratado en total. Esto significa que si el cliente contrata X Security 50

tendrá como máximo 50 MBps de subida y baja a Internet independientemente de la

velocidad de fibra, ADSL o 4G que tenga contratada (por ejemplo, si el cliente tiene una fibra

de 200MBps verá su velocidad reducida al caudal contratado en X Security)

X Security 50 = 50 Mbps = Trafico de subida y bajada a Internet + Trafico entre sedes

14.2 Wifi. Soporte de SSIDs

Unos de los requisitos de X Privacy en su instalación es la desactivación de la Wifi. Al

desactivarla se pueden dar dos situaciones:

1. El cliente tiene una solución empresarial de Wifi independiente de su router:

a. En este caso el cliente seguiría funcionando con su solución de Wifi como hasta

el momento al igual que mantendría los SSIDs que tuviera.

2. El cliente usa la Wifi del router:

a. Al desactivar la Wifi del router, el cliente dejaría de tener Wifi. Para cubrir este

caso y en especial para sedes pequeñas, se incluye en la caja del dispositivo de

X Privacy un Punto de acceso Wifi o AP que sirve para, conectándolo al

dispositivo de X Privacy, poder mantener la conectividad por Wifi. Sin embargo,

en este caso solo se podría usar 1 sola SSID puesto que el punto de acceso Wifi

incluido solo soporta un SSID. En este caso habría dos soluciones para tener

más de 1 SSID:

1. Disponer de una solución empresarial o adquirir un punto de

acceso Wifi superior que permita 2 SSIDs



2. No desactivar la Wifi del router y solo desactivar el SSID interno.

De esta manera se puede seguir utilizando la Wifi de invitados

(por ejemplo) por medio del router directamente y sin pasar por

la solución de X Privacy.

14.3 Limitación en la comunicación entre sedes

Actualmente X Security cuenta con 3 sabores X Security 50, 100 y 200 correspondiendo con

las velocidades 50, 100 y 200 Mbps. Los clientes tienen libertad de contratar la velocidad que

quieran en cada sede pudiendo utilizar el limite contratado en el acceso a Internet local. Sin

embargo, cuando se comunican 2 sedes, estas se comunicarán con la menor velocidad de

ambas sedes.

Ejemplo: Una sede X Security 50 se comunica con otra sede X Security 200. La velocidad

de comunicación entre ellas será de 50 Mbps como máximo. No obstante, la sede con X

Security 200 tendrá su límite de acceso a Internet en 200 MBps mientras que la de X

Security 50 tendrá 50 Mbps.

14.4 Lista de routers homologados por X by Orange para el servicio de X

Security

Cualquier router comercial de cualquier operador es compatible en general con el producto

de X Security. No obstante, se han certificado un listado específico de routers incluidos a

continuación:

Movistar FTTH

Mitrastar HGU GPT-

2541GNAC

Vodafone FTTH

Sercomm VOX 2.5

Orange FTTH



Livebox Fibra

Jazztel FTTH

Livebox Fibra

ZTE F660/F680



MásMóvil FTTH (también las altas bajo marcas Pepephone o Yoigo)

ZTE F680

Cualquier operador

Cisco cualquier modelo

Mikrotik cualquier modelo

FRITZ! Box 7490

14.5 Subredes Actualmente, solo una subred puede ser configurada en cada sede. Dos sedes no pueden tener

el mismo rango, ni tampoco direcciones solapadas, ya que todas las subredes serán enrutables

entre sí mediante la solución X Security. Esas subredes se piden durante la toma de datos, y

podrán ser modificadas cuando exista un área privada.

El direccionamiento de cada sede puede ser elegido o configurado automáticamente si no se

especifica ninguno. Cuando el direccionamiento se mantiene, si existen dispositivos en la red

con IP fijas no es necesario realizar modificación ninguna en ellos, siendo el cambio a X Security

totalmente transparente.

Se prevé próximamente un máximo de 4 subredes por sede, una por puerto. Este

direccionamiento podrá ser activado exclusivamente en al área privada posteriormente a la

activación del dispositivo.


14.6 Una sola IP pública por sede Cada sede tendrá una única IP pública, por lo que el dispositivo de X Security se conectará a un

puerto del router del cliente tal que el tráfico salga a internet siempre por una sola IP.

Si el cliente tiene otras IP públicas disponibles, estas no podrán ser asignadas a la solución de

X Security.



14.7 DHCP activado en el router La conexión del router al dispositivo de X Security será por un cable directo entre ambos. El

dispositivo deberá recibir en el puerto 1 una IP por DHCP sin taguear. Dicha dirección puede

ser:

• IP privada (caso normal). Los dispositivos de la subred saldrán a internet mediante un

doble NAT: el que hace el dispositivo, más el que hace el router.

• IP pública (caso ideal). Si el cliente tiene varias IP públicas o puede poner su router en

modo bridge, el caso mejor sería asignar una IP pública directamente al dispositivo,

evitando el doble NAT y configuraciones adicionales.

Importante: Incluso en el caso de IP pública, la asignación deberá ser por DHCP, ya que no es

posible configurar de forma estática una IP en el puerto WAN en el dispositivo de X Security.

Nota: Los clientes con la fibra de X by Orange siempre recibirán una IP pública en el dispositivo

de X Security.

14.8 Conexiones existentes X Security puede instalarse sobre una conexión de fibra dedicada o FTTH, ADSL o 4G de

cualquier operador.

Se recomienda que la velocidad nominal de la fibra sea como mínimo un 20% superior que la

velocidad contratada de X Security debido a la sobrecarga del cifrado.

Por ejemplo:

X Security 50 FTTH 100 megas o superior recomendado



15 ANEXO I: CONCEPTOS BÁSICOS DEL SERVICIO A continuación, se describe la tecnología que soporta la solución

15.1 Descripción del concepto SDWAN Hoy en día, las líneas punto a punto o conexiones privadas dedicadas “físicas” suponen un gran gasto

para cualquier cliente. Suelen tener un precio asociado al punto de acceso “solo acceso” y otro coste

para el caudal o el ancho de banda que se permite dentro de esa conexión, siendo este coste de una

cuantía más que considerable tanto de alta de servicio como de recurrente mensual.

La tecnología SDWAN nos permite poder reducir radicalmente estos costes utilizando conexiones de

red virtual y utilizando el tráfico de internet (privatizándolo) en lugar de poner líneas dedicadas. Con

esto se consigue un control por software del tráfico y de la red de manera que se pueda priorizar, medir

y controlar a través de un sencillo panel de control, o como es nuestro caso, automatizar toda la gestión

vía desarrollo software.

SD-WAN cambia el monitoreo y la administración del tráfico desde los dispositivos físicos a la propia

aplicación, aprovechando la flexibilidad y agilidad de SDN. La inteligencia se abstrae en una

superposición virtual, lo que permite una agrupación segura de conexiones tanto privadas, como

públicas y permite la automatización, el control centralizado de la red y la gestión del tráfico ágil y en

tiempo real a través de múltiples enlaces. Este modelo permite a un administrador de red programar



remotamente dispositivos de borde a través de un controlador central, reduciendo tiempos de

aprovisionamiento y minimizando o eliminando la necesidad de configurar manualmente enrutadores

tradicionales en la ubicación de las sucursales.

Los productos y servicios de SD-WAN varían según el proveedor, pero muchos permiten la WAN híbrida,

enrutando dinámicamente el tráfico a través de enlaces privados y públicos, tales como enlaces MPLS

arrendados y banda ancha, Long Term Evolution (LTE) y/o inalámbricos. Una arquitectura SD-WAN

permite a los administradores reducir o eliminar la dependencia en costosos circuitos MPLS arrendados

mediante el envío de datos menos prioritarios y menos sensibles a través de conexiones de internet

pública más baratas, reservando enlaces privados para tráfico de misión crítica o sensible a la latencia,

como VoIP. La naturaleza flexible de SD-WAN también reduce la necesidad de sobre provisionamiento,

reduciendo los gastos generales de la WAN.

SD-WAN es un convincente caso de uso temprano de SDN, ya que tiene el potencial de ofrecer ahorros

de costos claros, mientras mejora la conectividad general entre las sucursales, la oficina central y la

nube. La tecnología de superposición es también relativamente fácil de implementar en las pruebas

piloto, por lo que es atractivo para los tomadores de decisiones, que podrían evitar un enfoque de

arrancar y reemplazar.

15.2 Los Firewalls en la seguridad en Internet Los firewalls imponen restricciones en paquetes de red entrantes y salientes de y hacia redes privadas.

Este tráfico debe pasar a través de un firewall y solamente el tráfico autorizado atravesarlo. Los

firewalls pueden crear checkpoint entre una red interna privada e Internet, también conocidos como

“choke points”. Los firewalls pueden crear choke points basados en la IP de origen y el número de

puerto TCP. También pueden servir como plataforma para IPsec. Usando un modo túnel, el firewall

puede ser usado para implementar VPNs. También pueden limitar la exposición red escondiendo el

sistema interno de red e información de Internet.

Existe múltiples tipos de ataques:

15.2.1 Virus Un usuario puede ser engañado o forzado a descargar programas en su ordenador con intenciones

dañinas. Dichos softwares pueden aparecer de distintas formas, tal como virus, troyanos, spyware o

gusanos.

Malware, abreviación de software malicioso, es cualquier programa utilizado para cambiar o dañar la

forma en la que opera el ordenador, conseguir información u obtener acceso a sistemas privados del

ordenador. El malware está definido por su intención maliciosa, actuando contra las intenciones del

usuario, y no incluye software que cause daño inintencionado debido a alguna deficiencia. El término

badware se utiliza a veces, y se aplica a ambos casos, tanto al malware malintencionado como al

software que causa un daño sin ser ésta su intención

Un botnet es una red de ordenadores Zombie que han sido tomados por un robot o Bot que lleva a

cabo ataques a gran escala para el creador del botnet.

Los virus informáticos son programas que pueden replicar sus estructuras o efectos infectando otros

archivos o estructuras en un ordenador. El uso más frecuente de un virus es controlar un ordenador

para robar información.



Los gusanos informáticos son programas que pueden replicarse a través de una red de ordenadores,

llevando a cabo tareas maliciosas.

Un Ransomware es un tipo de malware que restringe el acceso al sistema del ordenador que infecta y

demanda al usuario el pago de un rescate al creador del malware para que se elimine dicha

restricción.

El scareware es un software de estafa, normalmente con un beneficio limitado o inexistente, que se

vende a los consumidores a través de estrategias de marketing poco éticas. Se utiliza el shock, la

ansiedad o el miedo que produce a los usuarios para lograr su objetivo.

Los spyware son programas espía que monitorizan la actividad de un ordenador y envían la

información obtenida a otras personas sin el consentimiento del usuario.

Un troyano es, en términos generales, un software que se hace pasar por un programa inofensivo para

que el usuario lo descargue en su ordenador.

15.2.2 Ataques de denegación de servicios Un ataque de denegación de servicio también llamado ataque DoS (siglas en inglés de Denial of

Service) o DDoS (de Distributed Denial of Service), es un intento para hacer que uno de los recursos

de un ordenador quede inutilizado para su usuario. A pesar de que los motivos, las formas de llevarlo

a cabo o las víctimas de un ataque DoS pueden variar, generalmente consiste en hacer que una

página de Internet o un servicio web concreto deje de funcionar correctamente de forma temporal o

indefinida. Según empresas que participaron en una encuesta de seguridad internacional de

empresas, el 25% de los encuestados experimentaron un ataque DoS en 2007 y un 16,8% en 2010.4

15.2.3 Phishing El phishing ocurre cuando el atacante se hace pasar por una entidad segura, ya sea vía email o a

través de una página web. Las víctimas son guiadas hacia webs falsas que aseguran ser totalmente

legítimas a través de email, mensajería instantánea y otros medios. A menudo se utilizan tácticas

como el email spoofing para que los correos parezcan de remitentes legítimos, o largos y complejos

subdominios que esconden al verdadero propietario de la página.56 Según la aseguradora RSA, el

phishing costó un total de 1,5 billones de dólares en 2012.7

15.2.4 Vulnerabilidades de aplicaciones Algunas aplicaciones utilizadas para acceder a recursos de internet pueden tener vulnerabilidades de

seguridad como pueden ser memory safety bugs o pruebas de autentificación dañinas. El más

peligroso de estos errores puede dar a los atacantes de la red control total sobre el ordenador. La

mayor parte de las aplicaciones de seguridad son incapaces de defenderse adecuadamente a este tipo

de ataques.



15.3 Otros conceptos básicos DHCP

El protocolo de configuración dinámica de host es un protocolo de red de tipo cliente/servidor mediante

el cual un servidor DHCP asigna dinámicamente una dirección IP y otros parámetros de configuración

de red a cada dispositivo en una red para que puedan comunicarse con otras redes IP.

IP

Una dirección IP es un número que identifica, de manera lógica y jerárquica, a una Interfaz en red

(elemento de comunicación/conexión) de un dispositivo (computadora, tableta, portátil, smartphone)

que utilice el protocolo IP o (Internet Protocol), que corresponde al nivel de red del modelo TCP/IP.

Routing, ruteo o enrutamiento

El enrutamiento o ruteo es la función de buscar un camino entre todos los posibles en una red de

paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta

posible, lo primero será definir qué se entiende por "mejor ruta" y en consecuencia cuál es la "métrica"

que se debe utilizar para medirla.

El enrutado en sentido estricto se refiere al enrutado IP y se opone al bridging. El enrutado asume que

las direcciones de red están estructuradas y que direcciones similares implican proximidad dentro de

la red. Las direcciones estructuradas permiten una sola entrada de tabla de rutas para representar la

ruta a un grupo de dispositivos. En las redes grandes, el direccionamiento estructurado (enrutado en

sentido estricto) supera al direccionamiento no estructurado (bridging). El enrutado se ha convertido

en la forma dominante de direccionamiento en Internet. El bridging todavía se usa ampliamente en las

redes de área local.

Subred

En redes de computadoras, una subred es un rango de direcciones lógicas. Cuando una red se vuelve

muy grande, conviene dividirla en subredes, por los siguientes motivos:

Reducir el tamaño de los dominios de broadcast.

Hacer la red más manejable, administrativamente. Entre otros, se puede controlar el tráfico entre

diferentes subredes mediante ACLs.

Existen diversas técnicas para conectar diferentes subredes entre sí. Se pueden conectar:

• a nivel físico (capa 1 OSI) mediante repetidores o concentradores (hubs),

• a nivel de enlace (capa 2 OSI) mediante puentes o conmutadores (switches),

• a nivel de red (capa 3 OSI) mediante routers,

• a nivel de transporte (capa 4 OSI),

• a nivel de sesión ([Modelo de sesión|capa 5 OSI]]),

• a nivel de presentación ([Modelo de presentación|capa 6 OSI]]),

• a nivel de aplicación (capa 7 OSI) mediante pasarelas.

También se pueden emplear técnicas de encapsulación (tunneling).

En el caso más simple, se puede dividir una red en subredes de tamaño fijo (todas las subredes tienen

el mismo tamaño). Sin embargo, por la escasez de direcciones IP, hoy en día frecuentemente se usan

subredes de tamaño variable.

vLAN

Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para crear redes lógicas

independientes dentro de una misma red física.1 Varias VLAN pueden coexistir en un único



conmutador físico o en una única red física. Son útiles para reducir el dominio de difusión y ayudan en

la administración de la red, separando segmentos lógicos de una red de área local (los departamentos

de una empresa, por ejemplo) que no deberían intercambiar datos usando la red local (aunque podrían

hacerlo a través de un enrutador o un conmutador de capa OSI 3 y 4).

Una VLAN consiste en dos o más redes de computadoras que se comportan como si estuviesen

conectados al mismo conmutador, aunque se encuentren físicamente conectados a diferentes

segmentos de una red de área local (LAN).



Date post:	22-Jun-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

X Security - Manual de Producto · X Security es un servicio de redes seguras que incluye por una...

Documents