X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
ÍNDICE
ÍNDICE ............................................................................................................................1
GESTIÓN DE CAMBIOS .................................................................................................3
DESCRIPCIÓN DEL OBJETIVO DE ESTE DOCUMENTO...............................................3
1 ¿QUE ES X SECURITY? .............................................................................................4
2 PROPUESTA DE VALOR ..........................................................................................5
2.1 Instalación sencilla ............................................................................................................................... 5
2.2 Tráfico hacia Internet securizado ....................................................................................................... 5
2.3 Tráfico entre sedes securizado (VPNs) .............................................................................................. 5
2.4 Monitorización del servicio ................................................................................................................. 5
3 FUNCIONALIDADES ................................................................................................5
3.1 Hardware de la solución (dispositivo de X Security) ....................................................................... 6
4 BENEFICIOS ..............................................................................................................8
5 PROBLEMAS DE LOS CLIENTES QUE SOLUCIONA X SECURITY .........................8
6 JOURNEY DE COMPRA ......................................................................................... 10 6.1 Proceso cuando el cliente NO tiene X Security contratado (proceso completo desde cero) ..............11
6.2 Proceso cuando el cliente SI tiene X Security contratado (migración de X Security a X Security).......17
7 ÁREA PRIVADA Y CONFIGURACIONES PERMITIDAS ....................................... 21 7.1 Monitorización del servicio ..................................................................................................................21
7.2 Monitorización avanzada del servicio (próximamente) .......................................................................21
7.3 Cambio del direccionamiento LAN (Enero 2019) .................................................................................21
7.4 Apertura de puertos (Enero 2019) .......................................................................................................21
7.5 Otros parámetros de configuración (Enero 2019) ...............................................................................21
8 PRECUALIFICACION - TOMA DE DATOS PARA PROPUESTA DE X SECURITY 21
9 REQUISITOS TECNICOS ........................................................................................ 22
9.1 Requisitos previos a la activación ....................................................................................................22
9.1.1 Dispositivo de X Security con IP pública...........................................................................................22
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
9.1.2 Router doméstico de operador ........................................................................................................22
9.1.3 Router propio o para empresas .......................................................................................................23
9.1.4 Fibra de X by Orange ........................................................................................................................23
10 PROCESOS DE INSTALACION .......................................................................... 23
11 CONFIGURACIONES DE LA RED DEL CLIENTE ............................................... 23 11.1 Configuración estándar ........................................................................................................................23
11.2 Wifi........................................................................................................................................................23
11.3 Backup 4G (Diciembre 18) ....................................................................................................................24
11.4 Sedes solo 4G ........................................................................................................................................24
11.5 Dispositivos móviles X by Orange .........................................................................................................24
11.6 Configuraciones específicas..................................................................................................................24
11.7 Varias direcciones IP públicas ...............................................................................................................24
11.8 Redundancia .........................................................................................................................................24
11.9 Velocidad ..............................................................................................................................................24
12 POSTVENTA Y SOPORTE .................................................................................. 25
12.1 Activación y solución de problemas ................................................................................................25
12.1.1 Conexiones...................................................................................................................................25
12.1.2 Enlace de activación ....................................................................................................................25
12.1.3 Problemas con la activación ........................................................................................................25
13 ESCENARIOS DE MIGRACIÓN .......................................................................... 25
14 LIMITES DEL SERVICIO ..................................................................................... 26
14.1 Local Breakout o salida a Internet local ..........................................................................................26
14.2 Wifi. Soporte de SSIDs .......................................................................................................................26
14.3 Limitación en la comunicación entre sedes ....................................................................................27
14.4 Lista de routers homologados por X by Orange para el servicio de X Security ........................27
14.5 Subredes ...............................................................................................................................................29
14.6 Una sola IP pública por sede ................................................................................................................29
14.7 DHCP activado en el router ..................................................................................................................30
14.8 Conexiones existentes ..........................................................................................................................30
15 ANEXO I: CONCEPTOS BÁSICOS DEL SERVICIO ............................................ 30
15.1 Descripción del concepto SDWAN ..................................................................................................30
15.2 Los Firewalls en la seguridad en Internet........................................................................................31
15.2.1 Virus .............................................................................................................................................31
15.2.2 Ataques de denegación de servicios ...........................................................................................32
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
15.2.3 Phishing ........................................................................................................................................32
15.2.4 Vulnerabilidades de aplicaciones ................................................................................................32
15.3 Otros conceptos básicos .......................................................................................................................33
GESTIÓN DE CAMBIOS
Versión Fecha Principales Cambios Owner
V1 06/11/2018 Primera versión del documento José Fernández
V2 05/12/2018 Revisión contenidos del documento José Fernández
DESCRIPCIÓN DEL OBJETIVO DE ESTE DOCUMENTO El objetivo de este documento es servir de guía para que cualquier usuario conozca el producto de X
Security de X by Orange. Este documento va desde los conceptos más básicos del producto, las
funcionalidades que tiene, hasta los problemas que puede solucionar al cliente, así como la manera
utilizar el servicio para sacarle el mayor partido posible.
¡Disfruta del viaje!
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
1 ¿QUE ES X SECURITY?
X Security es un servicio de redes seguras que incluye por una parte la creación de una red
virtual entre las sedes de la empresa y por otra parte el análisis y filtrado de todo el
tráfico de cada sede hacia Internet gracias a un potente conjunto de firewalls en la nube.
Esto garantiza que todo el tráfico que viene o sale a Internet sea analizado y filtrado y toda
comunicación entre las sedes sea cifrada y autenticada.
X Security, al igual que el producto X Privacy, se basa en tecnología SD-WAN (Software
Defined Wide Area Network), la cual permite crear una red virtual sobre cualquier
conectividad (fibra, ADSL o 4G) sin importar el operador.
La tecnología SD-WAN es la evolución natural de las VPNs, MPLS y redes virtuales, que
utiliza el software como controlador de la red. En lugar de tener el controlador y los datos
en el mismo dispositivo (router) como ocurre en las VPNs o las MPLS, SD-WAN separa en
una capa superior el control de la red, mientras que los elementos de red (routers, etc.)
llevan solo el encaminamiento “físico” de los paquetes de datos. Debido a esta
desagregación, se puede utilizar SD-WAN sobre cualquier tipo de conectividad y con
cualquier operador y gestionar de manera muy flexible la integración de nuevas sedes
incluyendo sedes virtuales en la nube.
100% automatizado y desplegado sobre la nube privada de Amazon (AWS), nuestro servicio
está empaquetado en velocidades (50 Mbps, 100 Mbps y 200 Mbps), que incluyen tanto el
servicio y el soporte, como el dispositivo de X Security o el dispositivo físico necesario para
interconectar las sedes.
Su activación es rápida y ágil, una vez se compra el producto se envía el dispositivo de X
Security que llegará en un máximo de 4 días. Se conecta este dispositivo al router de fibra o
ADSL y se activa mediante un link. En pocos minutos la empresa estará trabajando viendo
recursos de otras sedes dentro de la misma red (WAN).
A diferencia de otros productos más estáticos como la VPNs o MPLS, SD-WAN permite
conectar una nueva sede en cualquier momento, al igual que permite eliminar una sede
existente o cambiar de velocidad sin preocuparse de permanencias.
En cuanto a la salida hacia a Internet, X Security integra un set de al menos 9 Firewalls de
nivel de Aplicación (nivel 7) en alta disponibilidad (HA) desplegados de manera
automática en el espacio privado de AWS (Amazon Web Services) de X by Orange.
Cuando una sede se conecta a Internet o accede a algún servicio fuera de la red virtual (entre
sedes) los dispositivos de X Security redirigen ese tráfico a dicho espacio privado en AWS
donde es analizado y filtrado devolviendo tráfico limpio de vuelta. De esta manera podemos
hablar de que X Security permite crear una red limpia para el cliente en el que todo el tráfico
entre sedes y hacia Internet es securizado resultando en una de las soluciones de seguridad
más potentes, flexibles y modernas del mercado.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
Como en X Privacy, en X Security se limita la salida a Internet (y la comunicación entre sedes)
a, como máximo, el ancho de banda contratado en total. Esto significa que si el cliente
contrata X Privacy 50 tendrá como máximo 50 Mbps de subida y bajada a Internet
(compartido con la comunicación entre las sedes) independientemente de la velocidad de
fibra que tenga contratada (X Security 50 = 50 Mbps = Trafico de subida y bajada a
Internet + Trafico entre sedes).
2 PROPUESTA DE VALOR 2.1 Instalación sencilla
La instalación del producto es tan sencilla como conectar el dispositivo de X Security entre el
router y los dispositivos de red de la empresa de manera que toda la “inteligencia” de red la
empezará a llevar a cabo el dispositivo de X Security. Si el cliente no sabe cómo hacerlo
(siguiendo las instrucciones incluidas con el dispositivo), el Contact Center de X by Orange le
podrá ayudar.
2.2 Tráfico hacia Internet securizado
A partir de la instalación, el tráfico de las sedes hacia internet quedara 100% securizado con
nuestro servicio de Firewall, Antivirus, Antispam, Antibot y Ransomware en la nube.
2.3 Tráfico entre sedes securizado (VPNs)
El tráfico entre sedes quedará cifrado y autenticado (se garantiza su autenticidad y que los
datos no son modificados).
2.4 Monitorización del servicio
En la parte privada del portal del cliente, cualquier cliente podrá consultar el estado de la
activación del servicio.
3 FUNCIONALIDADES A continuación, se describe las características técnicas del producto y el valor que aporta para el negocio del
cliente.
Funcionalidad técnica del producto Valor para el negocio del cliente
Firewall, IPS, Anti-spam, Antivirus y Antibot Protege los servicios contra accesos no
autorizados y ataques de todo tipo,
actualizándose en tiempo real y 100%
automático para que el cliente no tenga que
hacer nada
Control de aplicaciones y URLs Para impedir los ataques de denegación de
servicio a nivel de aplicación (DoS & DDoS) y
proteger todos los servicios en la nube.
Prevención de pérdida de datos Puesto que protege los datos sensibles contra
robos o pérdidas accidentales
Protección de día cero
Proporcionando la protección más completa
contra malware y ataques de día cero del
mercado (ataques que aún son desconocidos
para los fabricantes).
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
IPSEC + VPN Connectivity Consigue que todas las comunicaciones de
datos de tus sedes fijas sean privadas a un coste
accesible y predecible (OPEX), con la
implantación inmediata de una red privada
virtual con calidad de operador.
Servicio OTT
(independiente del operador)
Total, flexibilidad para crear, ampliar o reducir tu
red privada: puedes gestionar tus sedes online y
en tiempo real conectando nuevas sedes en
cuestión de minutos. No es necesario que la
conectividad sea de Orange, de manera que
incluso puedes ampliar redes privadas que ya
tengas con otros proveedores.
X Security es 100% tecnología Cloud Evitar cualquier riesgo en la privacidad de tus
comunicaciones con una solución siempre
actualizada y flexible gracias a la red de X by
Orange. Además, no requiere la instalación de
software en ningún equipo.
Monitorización de estado Ver en tiempo real desde el portal el estado del
servicio en todo momento.
3.1 Hardware de la solución (dispositivo de X Security) Para el servicio de prioridad usaremos inicialmente y salvo petición especial dos tipos de dispositivos
distintos denominados dispositivos de X Security que funcionaran como la puerta de entrada y salida a
la red privada del producto. Estos dispositivos son los que llevan toda la inteligencia “física” de la red.
Los dos modelos disponibles para el servicio son los siguientes
X Security 50 / X Security 100
Nuage 7850 NSG E200 2-port combo 1000BaseX/BaseT 4-ports 1000BaseT RJ45 (AC power). Permite anchos de banda cifrados de 50 y 100 Mbps de subida y bajada simultáneas de manera garantizada.
X Security 200
Nuage 7850 NSG E300 2-port combo 1000BaseX/BaseT 4-ports 1000BaseT RJ45 (AC power). Permite anchos de banda cifrados de hasta 200 Mbps de subida y bajada simultáneas de manera garantizada.
Ficha técnica de los dispositivos
Nuage_Networks_785
0_NSG-E_200_300_Data_Sheet.pdf
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
4 BENEFICIOS El servicio de X Security proporciona grandes ventajas para los clientes:
1. Protección total incluyendo Ransomware X Security incluya la mejor
solución de firewall de nivel de aplicación del mercado que incluye protección
contra todas las amenazas incluyendo los temidos Ransomware
2. Libre elección de operador sin permanencias: X Security funciona sin importar
el operador que proporcione la conectividad a Internet siempre y cuando esta sea
de fibra, ADSL o 4G.
3. Rendimiento: Las redes X Security tienen un rendimiento mayor que las MPLS
porque permiten utilizar el mejor acceso disponible para cada sede. Incluso se
puede poner más de un acceso en paralelo para aumentar el rendimiento. Además,
el ancho de banda MPLS suele ser muy limitado debido a su alto coste. Con X
Security es posible utilizar hasta el 100% del ancho de banda a Internet para el
cifrado de datos.
4. Fiabilidad: Aunque en principio los accesos a internet no son fiables, mientras que
la MPLS lo es por definición, la fiabilidad de cualquier sede en red X Security es
100% fiable con diferentes tecnologías de acceso o, incluso, diferentes
proveedores. Además, los accesos de Backup no tienen por qué estar en Standby
esperando a que caiga el principal. Pueden estar funcionando para aumentar el
rendimiento global.
5. Coste: Una red de X Security es la mejor inversión para cualquier cliente, ya que, si
no tiene red MPLS puede acceder a todas las ventajas de una WAN a mucho menor
coste, y, si ya la tiene, puede ahorrarse su alto coste migrando a una solución X
Security.
5 PROBLEMAS DE LOS CLIENTES QUE SOLUCIONA X
SECURITY
Habitualmente los clientes de las pymes se encuentran con diferentes situaciones
problemáticas que la solución de X Security puede resolver:
Problemas Beneficios de la solución
1. Los firewalls tradicionales analizan paquete a
paquete (“stateless firewall”) o controlan el
flujo de paquetes (“stateful”), pero se
quedan en el análisis de las capas básicas de
los protocolos de comunicación.
Nuestra solución incluye un set de firewalls de capa 7
o de nivel de aplicación que incluyen todas las capas
de los protocolos de comunicación
2. Inseguridad y desconocimiento ante nuevos
virus y amenazas nuevas
Con nuestra solución, al tener la funcionalidad de
“protección de día cero”, no importa que se
desconozca el virus. El sistema se basa en el
comportamiento del software y si este
comportamiento es sospechoso bloquea por defecto
esa aplicación
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
3. Los firewalls tienen un alto coste, necesitan
gestión, tienen tiempos altos de
implementación, no escalan y necesitan
dispositivos aparte para dar funcionalidades
de IPS&IDS
Nuestra solución es 100% en la nube, auto
desplegable, autoinstalable, que auto escala
automáticamente y que dispone de funcionalidades
de IPS&IDS sin otros dispositivos
4. Los rendimientos del firewall físico están
muy afectados por el volumen de tráfico
analizado y filtrado en la sede donde se
instala
Nuestra solución es independiente del tráfico de la
sede puesto que se auto dimensionan para cubrir las
necesidades de cada momento.
5. Necesito un firewall en cada sede Con nuestra solución no se necesita nada puesto que
se redirige le tráfico a internet de todas las sedes y se
pasa por nuestra solución de firewall.
6. Comunicaciones no seguras entre distintas
sedes que hacen sencillo el robo y/o
modificación de datos de los clientes.
Nuestra solución ofrece privacidad de más alta gama
para la totalidad del ecosistema de cliente.
7. Inseguridad ante el cumplimiento de la
GDPR.
Nuestra solución ayuda a cumplir con la GDPR dado
que garantiza que la información viaje cifrada en todo
momento, además de que garantiza la autenticidad
de cada mensaje extremo a extremo.
8. Proceso de provisión e instalación de
conectividades seguras entre sedes largo y
complicado.
La solución es autoinstalable y puede activarse en
minutos una vez conectado el dispositivo X by
Orange.
9. Los incidentes con la conectividad son
difíciles de localizar y tardan tiempo en ser
solucionados.
Nuestra solución ofrece una visión única (single panel
of glass) de todas las conexiones que permiten una
resolución de problemas más sencilla.
10. Diferentes proveedores / equipos de
Soporte en diferentes sedes del cliente que
hacen complicado la resolución de
problemas.
Nuestra solución permite una gestión centralizada
que unifica todas las tareas de soporte.
11. Instalación de nuevas aplicaciones de
conectividad que requieren de inversión en
hardware.
Otras aplicaciones pueden ser adquiridas y estar
disponibles sin añadir componentes adicionales de
hardware en casa del cliente.
12. Altos costes de provision, compra de
harware o software.
Nuestra solución incluye todo lo necesario por una
cuota mensual por sede.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
6 JOURNEY DE COMPRA
En cuanto al proceso de compra existen 2 procesos distintos. El proceso cuando el cliente NO tiene X Security
contratado y el proceso cuando el cliente YA tiene X Security contratado “migración de Privacy a Security”.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
6.1 Proceso cuando el cliente NO tiene X Security contratado (proceso completo
desde cero)
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
6.2 Proceso cuando el cliente SI tiene X Security contratado (migración de X Security a
X Security)
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
7 ÁREA PRIVADA Y CONFIGURACIONES PERMITIDAS 7.1 Monitorización del servicio
En la parte privada del portal del cliente se incluye la monitorización del estado de activación
de cada dispositivo del servicio de X Security. Con un código simple de colores se indica si
está conectado (verde), si existe algún problema (amarillo), si no está conectado (rojo) o si aún
no se ha instalado (gris)
7.2 Monitorización avanzada del servicio (próximamente)
En la parte privada del portal del cliente próximamente se incluirá un dashboard con gráficas
y KPIs de monitorización de ataque, tráfico y amenazas. Este Dashboard se irá completando
en versiones subsiguientes.
7.3 Cambio del direccionamiento LAN (Enero 2019) Con la implantación de área privada se permitirá en cualquier momento el cambio o la
configuración del direccionamiento LAN, hasta ese momento solo se hará por causas
excepcionales previa llamada al Contact Centre, e implicará un corte del servicio de
aproximadamente media hora.
El direccionamiento LAN de cada sede, habrá de ser siempre una subred con máscara /24.
7.4 Apertura de puertos (Enero 2019) El mapeo de puertos empezará a funcionar con el área privada. Como prerrequisito es necesario
–en el caso más común: que el dispositivo reciba IP privada– habilitar DMZ en el router, para
que en dispositivo de X Security sea el encargado de manejar los puertos.
7.5 Otros parámetros de configuración (Enero 2019) Hasta la llegada del área privada, el cambio de los parámetros de la LAN como habilitar,
deshabilitar o configurar el DHCP; o asignar direcciones IP estáticas por DHCP, puede realizarse
en cualquier momento previa llamada al Contact Centre.
8 PRECUALIFICACION - TOMA DE DATOS PARA
PROPUESTA DE X SECURITY Para realizar una propuesta de X Security, se debe tomar nota de los siguientes requisitos técnicos
que deberá aportar cliente
Mapa de la red actual si existe.
Necesidades de seguridad
• Nivel de filtrado que se requiere
• Aplicaciones y URLs que se quieren bloquear
• Reglas avanzadas o necesidades especiales que se quieren implementar en el servicio
• Trafico aproximado que se necesita analizar y filtrar
Por cada sede
o ¿Qué tipo de conectividad tienen ahora en cada una de las sedes y con qué operador?
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
o En el caso de que tengan Orange. ¿Usan teléfonos analógicos que estén conectados al router de
Orange?
o ¿Qué router tienen en cada sede (marca y modelo)?
o ¿Cuántos usuarios hay en cada sede?
o ¿Tienen IP fija en alguna de las sedes?
o ¿Necesitan apertura de puertos?
o ¿Tienen algún servicio de VPN? ¿Tienen algún router o conectividad hacia Internet?
o ¿Qué electrónica de red tienen en cada una de las sedes (switches, routers, balanceadores…)?
¿Tienen VLANes? ¿Necesitan apertura de algún puerto?
o ¿Qué casos de uso plantean en cada una de las sedes? ¿Cuál es la necesidad que los lleva a contratar
un servicio de SD-WAN? ¿Qué tráfico se quiere intercambiar entre sedes?
o ¿Disponen de una red Wifi en estos momentos? ¿Se la tendríamos que proporcionar nosotros?
¿Cuál es la topología de las sedes (número de plantas, tamaño de cada planta…)? ¿Sería suficiente
con un AP de Orange en términos de cobertura? ¿Tienen Wifi separada para clientes y empleados?
o ¿Qué direccionamiento tienen en cada sede? ¿Se asigna de forma fija o dinámica mediante DHCP?
o Número de subredes en cada sede que se requiere tener (mín. 1 máx. 4)
o ¿Quieren mantener su direccionamiento actual? Si la respuesta es sí, por cada sede necesitaríamos
saber:
▪ Dirección IP del Gateway (Dispositivo de X Privacy)
▪ Máscara de subred
▪ Tiene DHCP (sí o no). Si es afirmativo y quieren especificarlo:
▪ Primera dirección DHCP
▪ Última dirección DHCP
▪ Dirección DNS primaria
▪ Dirección DNS secundaria
o ¿Tienen impresoras conectadas en red? ¿Tienen cámaras IP, sensores o algún tipo de dispositivo
IoT conectado?
o Necesidades de uso ofimático: Uso de fax, gestión de dominios de Windows (Directorio Activo)
9 REQUISITOS TECNICOS
9.1 Requisitos previos a la activación
Se recomienda para el servicio conexión a internet de banda ancha por fibra, aunque el servicio
funciona sobre ADSL o 4G teniendo en cuenta la limitación de estos (conectividad y cobertura).
9.1.1 Dispositivo de X Security con IP pública No hay que hacer ninguna configuración previa.
9.1.2 Router doméstico de operador
el router es de tipo doméstico: Livebox (Orange), Smart Wifi/HGU (Movistar) es el caso más
sencillo, en el que solo hay que comprobar unos sencillos parámetros y desactivar Wifi:
• DHCP activo.
• Firewall en el modo por defecto.
• DMZ desactivado.
• Desactivar Wifi (los clientes conectados no pasarían por el dispositivo de X-Security)
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
• Cambio de la dirección IP (solo si el cliente ha decidido mantener su direccionamiento,
para que la IP del router no coincida con la IP del dispositivo).
• El direccionamiento LAN de cada sede, habrá de ser siempre una subred con máscara
/24.
Existe un manual básico de usuario que detalla estos pasos en los routers más comunes.
9.1.3 Router propio o para empresas
Si el router es cualquier otro (Cisco, Teldat, Mikrotik, FRITZ! Box), estos equipos son
incompatibles con NAT Transversal de Nokia, por lo que, además de lo anterior:
• Debemos fijar la IP que asigna el router por DHCP a la MAC del dispositivo. Esto es
esencial para garantizar que la IP que recibe el dispositivo de X Security es siempre la
misma.
• Abrir el puerto 893 de TCP a la IP del dispositivo.
• Abrir el puerto 4500 de UDP a la IP del dispositivo.
Existen manuales a disposición de los partners para ayudarlos con la configuración de estos
routers.
9.1.4 Fibra de X by Orange
El dispositivo de X Security obtendrá una IP pública de la siguiente manera:
• Si la fibra es directa, poner el Livebox en modo ONT, siguiendo el manual de
instalación.
• Si la fibra es indirecta, conectar la ONT directamente al dispositivo, dejando el Livebox
sin uso. No es necesario realizar ninguna configuración.
10 PROCESOS DE INSTALACION Siguiendo el manual de instalación se puede activar el servicio en cualquier router homologado
X Security-Manual
Instalacion Routers.pdf
La parte de Firewalls no requiere instalación dado que se despliega automáticamente cuando se
instala y activa el dispositivo físico.
11 CONFIGURACIONES DE LA RED DEL CLIENTE 11.1 Configuración estándar
En el escenario ideal, el Wifi del router debe estar deshabilitado, asimismo ningún equipo debe
quedar conectado a los puertos LAN del router –excepto el NSG–.
11.2 Wifi Si el cliente tiene una solución empresarial del Wifi, podrá seguir usándola, y esta quedará
conectadas aguas abajo del dispositivo de X Security. En caso contrario, se le facilita un punto
de acceso básico de Orange (doble banda) que deberá estar conectado de la misma manera.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
11.3 Backup 4G (Diciembre 18) El dongle 4G proporciona una conexión de Backup para el caso de caída de la línea principal
de fibra. El uso será gratuito e ilimitado si se utiliza de forma razonable (como Backup), en caso
contrario, puede acarrear cargos. Durante la caída de la línea principal no estarán disponibles
los servicios asociados a esta, como la apertura de puertos. No será posible conectar el dongle
4G a otros dispositivos diferentes, y el cliente nunca conocerá el PIN de la tarjeta SIM.
11.4 Sedes solo 4G Pueden existir localizaciones remotas sin posibilidad de contratar fibra. En estos casos, se
habilitará la posibilidad de contratar una línea exclusivamente con salida a internet móvil. Las
líneas 4G no tienen IP pública, por lo que no permiten mapeo de puertos.
11.5 Dispositivos móviles X by Orange Los dispositivos móviles con SIM de X by Orange tendrán conexión con las diferentes sedes.
Esta característica está en desarrollo.
11.6 Configuraciones específicas Si el cliente tiene alguna configuración específica, como querer seguir utilizando el Wifi del
router para ofrecer una conexión de invitados, puede seguir usándola.
También puede haber algún cliente que prefiera mantener equipos conectados a su router, por
ejemplo, servidores que sean accedidos desde internet. No es un inconveniente, si el cliente
entiende las limitaciones.
11.7 Varias direcciones IP públicas Para el caso de tener varias direcciones IP públicas, una IP se asignará al dispositivo y en las
otras podrá tener otros elementos de su red.
El direccionamiento LAN de cada sede, habrá de ser siempre una subred con máscara /24.
11.8 Redundancia Aparte del Backup 4G, aún no se ha desarrollado una solución redundante que permita tener
dos conectividades con dos operadores, dos routers, dos dispositivos de X Security…, con el
objetivo de que una avería de un dispositivo físico o caída de línea no afecte en absoluto a la
red. Esta característica estará disponible en el futuro.
11.9 Velocidad La velocidad efectiva (throughput) entre dos sedes será la más pequeña de las dos. Por ejemplo,
una sede de 50 megas y una de 200 se comunicarán entre sí a 50 megas simétricos.
En cambio, la sede de 200 megas podría comunicarse simultáneamente a máxima velocidad
con otras cuatro sedes de 50 megas.
El ancho de banda que ocupa el túnel es hasta un 20%, esto es, un túnel con un tráfico efectivo
de 100 megas consumirá unos 120 megas de la fibra.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
12 POSTVENTA Y SOPORTE
12.1 Activación y solución de problemas
12.1.1 Conexiones El router se conecta al puerto 1 del dispositivo de X Security. Se conecta un PC por cable
Ethernet al puerto 6 del dispositivo y se enciende. Se debe comprobar antes de activar la sede
que se tiene salida a internet.
Nota: Si la salida a internet no funciona, pulsar el botón de RESET durante 60 segundos, tras el
reinicio, que dura un par de minutos, el PC deberá tener salida a internet.
12.1.2 Enlace de activación
Activar el dispositivo es tan sencillo como pulsar en el enlace de activación en el PC
directamente conectado por cable al dispositivo. La prueba para dar por buena la instalación
es hacer ping a los dispositivos de X Security (Gateway) de las otras sedes.
12.1.3 Problemas con la activación
▪ Sin salida a internet. Si la activación ha fallado, el problema más común es que el dispositivo
no tiene internet, probablemente porque no ha recibido la IP en el puerto 1.
▪ Confusión de enlaces. Si se confunde el enlace de una sede con el de otra, no dará problemas
la activación, pero luego se comprobará que las direcciones o velocidades no son correctas. Si
eso ocurre, hay que llamar al Contact Centre para que desactive las sedes erróneas y volver a
empezar con la activación de dichas sedes.
▪ No hay conectividad. Se han activado correctamente todas las sedes, pero no hay conectividad
entre las mismas, no llegamos al dispositivo (Gateway) de las otras sedes. En este caso, el
problema más común es que los puertos no se han mapeado correctamente en los routers (no
aplica a routers domésticos de operador, pues estos usan NAT Transversal para IPsec).
▪ Hay conectividad entre sedes, pero no se llega a los equipos. Lo más probable en este caso
es que sea el firewall de Windows el que esté bloqueando la conexión.
13 ESCENARIOS DE MIGRACIÓN Existen los siguientes escenarios de migración detectados para X Security:
• Cliente con seguridad existente en 1 o más sedes con firewall dedicado on-premise o
virtualizado: Deberá facilitar a X by Orange toda la información de configuración, así como
reglas, filtros, aplicaciones bloqueadas y/o URLs no permitidas (listas blancas y listas negras)
para poder clonar dicha configuración en nuestro servicio de seguridad. Una vez hecho esto,
debería desconectar el/los firewalls de manera que el tráfico vaya redirigido siempre por la
solución de x by Orange.
• Cliente con conexión MPLS o tipo MACROLAN: El uso de MPLS o similar no es técnicamente
incompatible con el servicio de X Security, no obstante, no se recomienda su uso en conjunto
siendo recomendable migrar completamente a la solución de X Security. Para esto, se deberá
facilitar al equipo de X by Orange la configuración existente de la MPLS además de las sedes
conectadas, los accesos contratados y utilizados, etc. Con ese input, X by Orange podrá analizar
hasta que nivel de migración se puede llegar desde dicha MPLS hasta la solución de X Security.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
• Cliente con VPN por Software: Esta VPN dejaría de tener sentido en el momento en el cual se
instale la solución de X Security. Desde ese momento todo el tráfico sede a sede será 100%
securizado sin depender de un software instalado en los equipos que haya que encender y que
puede fallar en cualquier momento. En todo caso, si la VPN es para conectar las sedes del
cliente, esta dejaría de funcionar de manera automática (si la conexión es IPsec puede dar
conflicto con la solución de X by Orange puesto que usaría el mismo puerto UDP).
• Cliente con servicio similar a X Security (SDWAN): Estos casos deberán ser estudiados en
detalle, principalmente en cuanto a su configuración a nivel de calidad de servicio QoS, Local
Breakout y perfiles de clientes (plantillas con configuraciones estándar). Si las configuraciones
de las sedes que tiene el cliente en el servicio X Security de terceros es exportable, se podría
plantear un proyecto de migración especifico de esa solución a X Security de X by Orange. En
caso contrario, habrá que ver lo que se puede traspasar y configurarlo manualmente en las
configuraciones de las sedes de X Security.
14 LIMITES DEL SERVICIO
14.1 Local Breakout o salida a Internet local
Actualmente X Security cuenta con Local Breakout o lo que es lo mismo, salida a Internet
local. En nuestra solución se limita la solución a Internet por Local Breakout a, como máximo,
el ancho de banda contratado en total. Esto significa que si el cliente contrata X Security 50
tendrá como máximo 50 MBps de subida y baja a Internet independientemente de la
velocidad de fibra, ADSL o 4G que tenga contratada (por ejemplo, si el cliente tiene una fibra
de 200MBps verá su velocidad reducida al caudal contratado en X Security)
X Security 50 = 50 Mbps = Trafico de subida y bajada a Internet + Trafico entre sedes
14.2 Wifi. Soporte de SSIDs
Unos de los requisitos de X Privacy en su instalación es la desactivación de la Wifi. Al
desactivarla se pueden dar dos situaciones:
1. El cliente tiene una solución empresarial de Wifi independiente de su router:
a. En este caso el cliente seguiría funcionando con su solución de Wifi como hasta
el momento al igual que mantendría los SSIDs que tuviera.
2. El cliente usa la Wifi del router:
a. Al desactivar la Wifi del router, el cliente dejaría de tener Wifi. Para cubrir este
caso y en especial para sedes pequeñas, se incluye en la caja del dispositivo de
X Privacy un Punto de acceso Wifi o AP que sirve para, conectándolo al
dispositivo de X Privacy, poder mantener la conectividad por Wifi. Sin embargo,
en este caso solo se podría usar 1 sola SSID puesto que el punto de acceso Wifi
incluido solo soporta un SSID. En este caso habría dos soluciones para tener
más de 1 SSID:
1. Disponer de una solución empresarial o adquirir un punto de
acceso Wifi superior que permita 2 SSIDs
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
2. No desactivar la Wifi del router y solo desactivar el SSID interno.
De esta manera se puede seguir utilizando la Wifi de invitados
(por ejemplo) por medio del router directamente y sin pasar por
la solución de X Privacy.
14.3 Limitación en la comunicación entre sedes
Actualmente X Security cuenta con 3 sabores X Security 50, 100 y 200 correspondiendo con
las velocidades 50, 100 y 200 Mbps. Los clientes tienen libertad de contratar la velocidad que
quieran en cada sede pudiendo utilizar el limite contratado en el acceso a Internet local. Sin
embargo, cuando se comunican 2 sedes, estas se comunicarán con la menor velocidad de
ambas sedes.
Ejemplo: Una sede X Security 50 se comunica con otra sede X Security 200. La velocidad
de comunicación entre ellas será de 50 Mbps como máximo. No obstante, la sede con X
Security 200 tendrá su límite de acceso a Internet en 200 MBps mientras que la de X
Security 50 tendrá 50 Mbps.
14.4 Lista de routers homologados por X by Orange para el servicio de X
Security
Cualquier router comercial de cualquier operador es compatible en general con el producto
de X Security. No obstante, se han certificado un listado específico de routers incluidos a
continuación:
Movistar FTTH
Mitrastar HGU GPT-
2541GNAC
Vodafone FTTH
Sercomm VOX 2.5
Orange FTTH
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
Livebox Fibra
Jazztel FTTH
Livebox Fibra
ZTE F660/F680
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
MásMóvil FTTH (también las altas bajo marcas Pepephone o Yoigo)
ZTE F680
Cualquier operador
Cisco cualquier modelo
Mikrotik cualquier modelo
FRITZ! Box 7490
14.5 Subredes Actualmente, solo una subred puede ser configurada en cada sede. Dos sedes no pueden tener
el mismo rango, ni tampoco direcciones solapadas, ya que todas las subredes serán enrutables
entre sí mediante la solución X Security. Esas subredes se piden durante la toma de datos, y
podrán ser modificadas cuando exista un área privada.
El direccionamiento de cada sede puede ser elegido o configurado automáticamente si no se
especifica ninguno. Cuando el direccionamiento se mantiene, si existen dispositivos en la red
con IP fijas no es necesario realizar modificación ninguna en ellos, siendo el cambio a X Security
totalmente transparente.
Se prevé próximamente un máximo de 4 subredes por sede, una por puerto. Este
direccionamiento podrá ser activado exclusivamente en al área privada posteriormente a la
activación del dispositivo.
El direccionamiento LAN de cada sede, habrá de ser siempre una subred con máscara /24.
14.6 Una sola IP pública por sede Cada sede tendrá una única IP pública, por lo que el dispositivo de X Security se conectará a un
puerto del router del cliente tal que el tráfico salga a internet siempre por una sola IP.
Si el cliente tiene otras IP públicas disponibles, estas no podrán ser asignadas a la solución de
X Security.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
14.7 DHCP activado en el router La conexión del router al dispositivo de X Security será por un cable directo entre ambos. El
dispositivo deberá recibir en el puerto 1 una IP por DHCP sin taguear. Dicha dirección puede
ser:
• IP privada (caso normal). Los dispositivos de la subred saldrán a internet mediante un
doble NAT: el que hace el dispositivo, más el que hace el router.
• IP pública (caso ideal). Si el cliente tiene varias IP públicas o puede poner su router en
modo bridge, el caso mejor sería asignar una IP pública directamente al dispositivo,
evitando el doble NAT y configuraciones adicionales.
Importante: Incluso en el caso de IP pública, la asignación deberá ser por DHCP, ya que no es
posible configurar de forma estática una IP en el puerto WAN en el dispositivo de X Security.
Nota: Los clientes con la fibra de X by Orange siempre recibirán una IP pública en el dispositivo
de X Security.
14.8 Conexiones existentes X Security puede instalarse sobre una conexión de fibra dedicada o FTTH, ADSL o 4G de
cualquier operador.
Se recomienda que la velocidad nominal de la fibra sea como mínimo un 20% superior que la
velocidad contratada de X Security debido a la sobrecarga del cifrado.
Por ejemplo:
X Security 50 FTTH 100 megas o superior recomendado
X Security 100 FTTH 150 megas o superior recomendado
X Security 200 FTTH 300 megas o superior recomendado
15 ANEXO I: CONCEPTOS BÁSICOS DEL SERVICIO A continuación, se describe la tecnología que soporta la solución
15.1 Descripción del concepto SDWAN Hoy en día, las líneas punto a punto o conexiones privadas dedicadas “físicas” suponen un gran gasto
para cualquier cliente. Suelen tener un precio asociado al punto de acceso “solo acceso” y otro coste
para el caudal o el ancho de banda que se permite dentro de esa conexión, siendo este coste de una
cuantía más que considerable tanto de alta de servicio como de recurrente mensual.
La tecnología SDWAN nos permite poder reducir radicalmente estos costes utilizando conexiones de
red virtual y utilizando el tráfico de internet (privatizándolo) en lugar de poner líneas dedicadas. Con
esto se consigue un control por software del tráfico y de la red de manera que se pueda priorizar, medir
y controlar a través de un sencillo panel de control, o como es nuestro caso, automatizar toda la gestión
vía desarrollo software.
SD-WAN cambia el monitoreo y la administración del tráfico desde los dispositivos físicos a la propia
aplicación, aprovechando la flexibilidad y agilidad de SDN. La inteligencia se abstrae en una
superposición virtual, lo que permite una agrupación segura de conexiones tanto privadas, como
públicas y permite la automatización, el control centralizado de la red y la gestión del tráfico ágil y en
tiempo real a través de múltiples enlaces. Este modelo permite a un administrador de red programar
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
remotamente dispositivos de borde a través de un controlador central, reduciendo tiempos de
aprovisionamiento y minimizando o eliminando la necesidad de configurar manualmente enrutadores
tradicionales en la ubicación de las sucursales.
Los productos y servicios de SD-WAN varían según el proveedor, pero muchos permiten la WAN híbrida,
enrutando dinámicamente el tráfico a través de enlaces privados y públicos, tales como enlaces MPLS
arrendados y banda ancha, Long Term Evolution (LTE) y/o inalámbricos. Una arquitectura SD-WAN
permite a los administradores reducir o eliminar la dependencia en costosos circuitos MPLS arrendados
mediante el envío de datos menos prioritarios y menos sensibles a través de conexiones de internet
pública más baratas, reservando enlaces privados para tráfico de misión crítica o sensible a la latencia,
como VoIP. La naturaleza flexible de SD-WAN también reduce la necesidad de sobre provisionamiento,
reduciendo los gastos generales de la WAN.
SD-WAN es un convincente caso de uso temprano de SDN, ya que tiene el potencial de ofrecer ahorros
de costos claros, mientras mejora la conectividad general entre las sucursales, la oficina central y la
nube. La tecnología de superposición es también relativamente fácil de implementar en las pruebas
piloto, por lo que es atractivo para los tomadores de decisiones, que podrían evitar un enfoque de
arrancar y reemplazar.
15.2 Los Firewalls en la seguridad en Internet Los firewalls imponen restricciones en paquetes de red entrantes y salientes de y hacia redes privadas.
Este tráfico debe pasar a través de un firewall y solamente el tráfico autorizado atravesarlo. Los
firewalls pueden crear checkpoint entre una red interna privada e Internet, también conocidos como
“choke points”. Los firewalls pueden crear choke points basados en la IP de origen y el número de
puerto TCP. También pueden servir como plataforma para IPsec. Usando un modo túnel, el firewall
puede ser usado para implementar VPNs. También pueden limitar la exposición red escondiendo el
sistema interno de red e información de Internet.
Existe múltiples tipos de ataques:
15.2.1 Virus Un usuario puede ser engañado o forzado a descargar programas en su ordenador con intenciones
dañinas. Dichos softwares pueden aparecer de distintas formas, tal como virus, troyanos, spyware o
gusanos.
Malware, abreviación de software malicioso, es cualquier programa utilizado para cambiar o dañar la
forma en la que opera el ordenador, conseguir información u obtener acceso a sistemas privados del
ordenador. El malware está definido por su intención maliciosa, actuando contra las intenciones del
usuario, y no incluye software que cause daño inintencionado debido a alguna deficiencia. El término
badware se utiliza a veces, y se aplica a ambos casos, tanto al malware malintencionado como al
software que causa un daño sin ser ésta su intención
Un botnet es una red de ordenadores Zombie que han sido tomados por un robot o Bot que lleva a
cabo ataques a gran escala para el creador del botnet.
Los virus informáticos son programas que pueden replicar sus estructuras o efectos infectando otros
archivos o estructuras en un ordenador. El uso más frecuente de un virus es controlar un ordenador
para robar información.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
Los gusanos informáticos son programas que pueden replicarse a través de una red de ordenadores,
llevando a cabo tareas maliciosas.
Un Ransomware es un tipo de malware que restringe el acceso al sistema del ordenador que infecta y
demanda al usuario el pago de un rescate al creador del malware para que se elimine dicha
restricción.
El scareware es un software de estafa, normalmente con un beneficio limitado o inexistente, que se
vende a los consumidores a través de estrategias de marketing poco éticas. Se utiliza el shock, la
ansiedad o el miedo que produce a los usuarios para lograr su objetivo.
Los spyware son programas espía que monitorizan la actividad de un ordenador y envían la
información obtenida a otras personas sin el consentimiento del usuario.
Un troyano es, en términos generales, un software que se hace pasar por un programa inofensivo para
que el usuario lo descargue en su ordenador.
15.2.2 Ataques de denegación de servicios Un ataque de denegación de servicio también llamado ataque DoS (siglas en inglés de Denial of
Service) o DDoS (de Distributed Denial of Service), es un intento para hacer que uno de los recursos
de un ordenador quede inutilizado para su usuario. A pesar de que los motivos, las formas de llevarlo
a cabo o las víctimas de un ataque DoS pueden variar, generalmente consiste en hacer que una
página de Internet o un servicio web concreto deje de funcionar correctamente de forma temporal o
indefinida. Según empresas que participaron en una encuesta de seguridad internacional de
empresas, el 25% de los encuestados experimentaron un ataque DoS en 2007 y un 16,8% en 2010.4
15.2.3 Phishing El phishing ocurre cuando el atacante se hace pasar por una entidad segura, ya sea vía email o a
través de una página web. Las víctimas son guiadas hacia webs falsas que aseguran ser totalmente
legítimas a través de email, mensajería instantánea y otros medios. A menudo se utilizan tácticas
como el email spoofing para que los correos parezcan de remitentes legítimos, o largos y complejos
subdominios que esconden al verdadero propietario de la página.56 Según la aseguradora RSA, el
phishing costó un total de 1,5 billones de dólares en 2012.7
15.2.4 Vulnerabilidades de aplicaciones Algunas aplicaciones utilizadas para acceder a recursos de internet pueden tener vulnerabilidades de
seguridad como pueden ser memory safety bugs o pruebas de autentificación dañinas. El más
peligroso de estos errores puede dar a los atacantes de la red control total sobre el ordenador. La
mayor parte de las aplicaciones de seguridad son incapaces de defenderse adecuadamente a este tipo
de ataques.
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
15.3 Otros conceptos básicos DHCP
El protocolo de configuración dinámica de host es un protocolo de red de tipo cliente/servidor mediante
el cual un servidor DHCP asigna dinámicamente una dirección IP y otros parámetros de configuración
de red a cada dispositivo en una red para que puedan comunicarse con otras redes IP.
IP
Una dirección IP es un número que identifica, de manera lógica y jerárquica, a una Interfaz en red
(elemento de comunicación/conexión) de un dispositivo (computadora, tableta, portátil, smartphone)
que utilice el protocolo IP o (Internet Protocol), que corresponde al nivel de red del modelo TCP/IP.
Routing, ruteo o enrutamiento
El enrutamiento o ruteo es la función de buscar un camino entre todos los posibles en una red de
paquetes cuyas topologías poseen una gran conectividad. Dado que se trata de encontrar la mejor ruta
posible, lo primero será definir qué se entiende por "mejor ruta" y en consecuencia cuál es la "métrica"
que se debe utilizar para medirla.
El enrutado en sentido estricto se refiere al enrutado IP y se opone al bridging. El enrutado asume que
las direcciones de red están estructuradas y que direcciones similares implican proximidad dentro de
la red. Las direcciones estructuradas permiten una sola entrada de tabla de rutas para representar la
ruta a un grupo de dispositivos. En las redes grandes, el direccionamiento estructurado (enrutado en
sentido estricto) supera al direccionamiento no estructurado (bridging). El enrutado se ha convertido
en la forma dominante de direccionamiento en Internet. El bridging todavía se usa ampliamente en las
redes de área local.
Subred
En redes de computadoras, una subred es un rango de direcciones lógicas. Cuando una red se vuelve
muy grande, conviene dividirla en subredes, por los siguientes motivos:
Reducir el tamaño de los dominios de broadcast.
Hacer la red más manejable, administrativamente. Entre otros, se puede controlar el tráfico entre
diferentes subredes mediante ACLs.
Existen diversas técnicas para conectar diferentes subredes entre sí. Se pueden conectar:
• a nivel físico (capa 1 OSI) mediante repetidores o concentradores (hubs),
• a nivel de enlace (capa 2 OSI) mediante puentes o conmutadores (switches),
• a nivel de red (capa 3 OSI) mediante routers,
• a nivel de transporte (capa 4 OSI),
• a nivel de sesión ([Modelo de sesión|capa 5 OSI]]),
• a nivel de presentación ([Modelo de presentación|capa 6 OSI]]),
• a nivel de aplicación (capa 7 OSI) mediante pasarelas.
También se pueden emplear técnicas de encapsulación (tunneling).
En el caso más simple, se puede dividir una red en subredes de tamaño fijo (todas las subredes tienen
el mismo tamaño). Sin embargo, por la escasez de direcciones IP, hoy en día frecuentemente se usan
subredes de tamaño variable.
vLAN
Una VLAN, acrónimo de virtual LAN (red de área local virtual), es un método para crear redes lógicas
independientes dentro de una misma red física.1 Varias VLAN pueden coexistir en un único
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados
conmutador físico o en una única red física. Son útiles para reducir el dominio de difusión y ayudan en
la administración de la red, separando segmentos lógicos de una red de área local (los departamentos
de una empresa, por ejemplo) que no deberían intercambiar datos usando la red local (aunque podrían
hacerlo a través de un enrutador o un conmutador de capa OSI 3 y 4).
Una VLAN consiste en dos o más redes de computadoras que se comportan como si estuviesen
conectados al mismo conmutador, aunque se encuentren físicamente conectados a diferentes
segmentos de una red de área local (LAN).
X Security - Manual de Producto
Copyright 2018. Todos los derechos reservados