PLAN DE SEGURIDAD DE LA INFORMACIN INSTALACIN Y CONFIGURACIN

SARA FERNANDEZ VALENZUELA GRUPO: 38110

INSTRUCTOR MAURICIO ORTIZ MORALES

CENTRO DE SERVICIOS Y GESTION EMPRESARIAL ADMINISTRACION DE REDES DE CMPUTO MEDELLIN SENA 2011

CONTENIDO

INTRODUCCIN 1. OBJETIVOS 2. SEGURIDAD PERIMETRAL CON FIREWALLS 3. SOLUCIN DE ACELERACIN Y FILTRADO WEB (PROXY) 4. SOLUCIN DE CONECTIVIDAD REMOTA (VPNs) 5. CONCLUSIONES BIBLIOGRAFIA

INTRODUCCIN El objetivo primordial de la elaboracin de este trabajo es con el fin de implementar diferentes tipos de Soluciones Perimetrales, aplicables dentro de un entorno real, indagando en esencia fomentar y propiciar la seguridad del ambiente productivo en las conexiones de Red e Internet. Cabe resaltar que para su correcta preparacin e implementacin se hizo uso de diferentes herramientas y aplicaciones (Software) para facilitar dicho proceso como lo es GNS3, SDM, diferentes distribuciones de firewalls por software tales como PFSENSE, ZENTYAL, ENDIAN, entre otros; los cuales a su vez permiten configurar y administrar efectivamente otras soluciones perimetrales para tener bajo un mismo sistema todas las implementaciones de seguridad. Se realiz con la mayor creatividad e inters posible para que el lector lo disfrute completamente.

1. OBJETIVOS

Definir las normas, tcnicas, procedimientos y polticas de seguridad de la red, aplicando esquemas y normas de seguridad vigentes, para el aseguramiento de la informacin y la red, utilizando herramientas especializadas, para realizar el diseo del plan de seguridad. Identificar las vulnerabilidades y ataques de la red de cmputo a travs de procedimientos y herramientas que permitan realizar dicho anlisis y garantizar el funcionamiento de la red acorde con el plan estratgico de seguridad, para realizar el diagnstico sobre la proteccin de los recursos de la compaa (software, hardware), entre otros. Configurar hardware, software y emplear mtodos de seguridad, de acuerdo con el diseo establecido, garantizando la proteccin de la informacin, para implementar el plan de seguridad, utilizando todos recursos.

2. SEGURIDAD PERIMETRAL CON FIREWALLS

Como se muestra en la siguiente imagen, se encuentran especificadas las interfaces a utilizar, su respectivo direccionamiento y los dispositivos activos en funcionamiento para la adecuada implementacin.

Ingresamos a cada una de las nubes que representan las dos redes con las cuales vamos a trabajar; en ella debemos seleccionar y aadir la interfaz respectiva a la cual va a estar conectada (C2 a la Mquina Virtual de la Red LAN (vboxnet0) y C1 a la interfaz eth2 de la Red WAN (Internet)). Damos clic en Aceptar.

En la configuracion del virtualbox en preferencias red, adicionamos otra interfaz para que la LAN conecte con el router y funcione correctamente como lo podemos observar en las imagenes y asignarle el rango de la direccion privada para que se conecte con la WAN.

En este paso les asignamos una direccin a cada interfaz y una direccin por DHCP con los siguientes comandos hacemos dicha configuracin. En modo de configuracin (Router# configure terminal) Estando ah nos vamos a las interfaces a asignarles su respectiva direccin Router (config)# interface f , y luego con ip address dhcp se le asigna por defecto la IP, no sh para encender el router y wr para guardar la configuracin del router.

Con el comando sh ip interface brief veremos las direcciones que fueron accionadas por dhcp y la ip que nosotros asignamos a la otra interface (Pblica y Privada), Como lo muestra en la imagen.

Para que funcione SDM, se debe configurar acceso HTTP al router. Si la imagen lo admite (se necesita una imagen de IOS que admita la funcionalidad de criptografa), tambin se debe habilitar el acceso HTTPS seguro mediante el comando ip http secure-server. La habilitacin de HTTPS genera algunos resultados acerca de las claves de encriptacin RSA. Esto es normal. Adems, asegrese de que el servidor HTTP utilice la base de datos local para la autenticacin. Por ltimo, configure las lneas de terminal virtual del router para la autenticacin mediante la base de datos de autenticacin local. Permita entradas del terminal virtual desde telnet y SSH.

EXTRAER SDM EN EL HOST Ahora que el router est listo para su acceso desde SDM y que hay conectividad entre el router y el equipo PC, se puede utilizar SDM para configurar el router. Se debera comenzar por la extraccin del archivo comprimido de SDM en un directorio del disco duro. En este ejemplo, el directorio utilizado es C:\sdm\, aunque se puede utilizar cualquier ruta deseada. Est casi listo para utilizar SDM para configurar el router. El ltimo paso es la instalacin de la aplicacin SDM en el equipo PC.

Haga doble clic en el programa ejecutable setup.exe para abrir el asistente de instalacin. Una vez que se abra la pantalla del asistente de instalacin, haga clic en siguiente. Acepte las condiciones del acuerdo de licencia y haga clic en siguiente.

La siguiente pantalla solicita que se elija de entre las tres opciones para la ubicacin de la instalacin de SDM, Al instalar SDM, se puede instalar la aplicacin en el equipo sin colocarla en la memoria flash del router, se puede instalar en el router sin afectar al equipo o bien se puede instalar en ambos. Ambos tipos de instalaciones son muy similares.

Escriba la informacin del router para que el instalador pueda acceder de manera remota e instalar SDM en el router.

Despues de haber acabado con este paso esperamos que la mquina se conecte con el route para comenzar administrar dicha aplicacin.

Ejecutar SDM desde el equipo PC Se abre el cuadro de dilogo SDM Launcher. Escriba la direccin IP del router que se muestra en el diagrama como una direccin IP del dispositivo.

Observe que es posible que, inicialmente, Internet Explorer bloquee SDM y que se deber permitir o adaptar las opciones de seguridad de Internet Explorer segn sea necesario para poder utilizarlo. Segn la versin de Internet Explorer que se ejecute, una de estas opciones es especialmente importante para ejecutar SDM localmente y se encuentra en el men Herramientas, en Opciones de Internet Haga clic en la ficha Opciones avanzadas y, en la seccin Seguridad, active la casilla Permitir que el contenido activo se ejecute en los archivos de Mi equipo, en caso de que no est activada. Escriba el nombre de usuario y la contrasea creados anteriormente.

Es posible que se solicite la aceptacin de un certificado de este router. Acepte el certificado para continuar.

A continuacin, proporcione el nombre de usuario y la contrasea para el router y haga clic en seguir.

Una vez que SDM haya terminado de cargar la configuracin actual del router, aparecer la pgina de inicio de SDM. Si la configuracin es correcta, significa que configur SDM y se conect a ste correctamente. Lo que se observa puede variar de lo que aparece en la figura a continuacin, segn el nmero de modelo del router, la versin de IOS y otras variables.

Como se puede observar en esta imagen nos muestran las interfaces del router ya configuradas la privada y la pblica por DHCP.

En este paso nos dirigimos en la parte de la barra de tareas y seleccionamos NAT estando alli damos clic en NAT avanzada y ah comenzaremos agregando las reglas de traduccin de direcciones como lo muestra en las siguientes imgenes. Asignandoles una direccion ip privada y agregando la interfaz pblica (DHCP), el tipo de servidor ya sea (WEB, DNS, HTTP, FTP), entre otros.

Aqu veremos ya todas las reglas del NAT, la cual van hacer usadas para los servidores

En la imagen que se muestra solo veremos el resumen de la configuracin acabada de hacer en los pasos anteriores y por ltimo finalizaremos.

Una vez terminado la configuracion del NAT continuamos con la configuracin del sistente (Firewall y ACL)

La configuracin de la interfaz de firewall bsico se selecciona una interfaz externa (no fiable) de la lista desplegable. La interfaz externa (no fiable) es la interfaz que esta frente a Internet. Como lo podemos ver en las siguientes imgenes.

Esta imagen nos muestra el resumen de la configuracion del firewall ya terminada

En las siguientes imgenes podemos ver las reglas ya configuradas correctamente (Denegando y Permitiendo).

Antes de hacer las pruebas para mirar si todo nos quedo funcionando nos dirigimos al router y miramos la configuracin con el siguiente comando. Router# sh run Estando ah nos mostrara todas las reglas implementadas en la aplicacin SDM que fuern configuradas, tambien lo que fue denegando o permitiendo.

PRUEBAS DE LA LAN Y WAN

Ingresamos a un navegador de Internet y colocamos la IP privada de la LAN para hacer pruebas y como podemos observar en las imgenes nos di correctamente la direccin con su pgina Web. Tambin se hizo pruebas desde la LAN con los servicios (DNS, HTTP, POP3, FTP), entre otros.

Ingresamos a un navegador de Internet desde la mquina real para probar con la IP pblica de la WAN para hacer pruebas y como podemos observar en las imgenes nos di correctamente la direccin con su pgina Web. Tambin se hizo pruebas desde la WAN con los servicios (DNS, HTTP, POP3, FTP), entre otros.

3. SOLUCIN DE ACELERACIN Y FILTRADO WEB (PROXY)

Como configuracin inicial nos conectamos mediante un navegador WEB a URL de pfsense (inicialmente http://192.168.80.1). El usuario por defecto es "admin" y la contrasea pfsense", luego el asistente nos guiar en una configuracin inicial.

Esta imagen nos indica que la gateway de la LAN que es la 192.168.80.1 para que se puedan conocer ambas mquinas y realizar dicha configuracin.

En el siguiente paso deberemos borrar todas la reglas que aparecen en la lista por defecto, esto es importante porque si no se hace, el Firewall Transparente que queremos no funcionara. Tenemos que aplicar los cambios entodo momento de la configuracin. Buenos ahora nos vamos a Firewall > rules (reglas), para comenzar a crear las nuevas reglas, all solo configuraremos las reglas para LAN WAN DMZ. Haciendo clic sobre la pestaa LAN, antes venia una regla por defecto La cual permita todo el trafico de la red LAN, en este caso la editaremos y la desactivamos, pero primero aadiremos el trafico que queremos dejar pasar (por defecto todo el trafico estar bloqueado), servicios tales como HTTP, HTTPS, SMTP, POP3, IMAP entre otros. Ya una vez aadido el conjunto de reglas que deseamos dejar pasar hacia internet, procedemos a editar la regla por defecto y la desactivamos, una vez aplicado los cambios esta se tornara atenuada con respecto a las otras

En la interfaz WAN podremos configurar que desde afuera acceden a un servidor web.

En este paso miramos que la direccin de la mquina lan si este en el rango que debe estar en este caso la 80.

Como siguiente paso configuramos en la regla (rules) LAN una regla para hacer ping con la DMZ lo cual nos indica que esta correctamente y se conoce la LAN con la DMZ.

Hacemos pruebas para haber si nos quedaron las reglas funcionando correctamente como se puede observar en la imagen. Se hace una prueba desde la LAN con la direccion de la DMZ (192.168.100.72). Con el protocolo HTTP

Aqu probamos con otro protocolo DNS el cual nos permite resolucin de nombres de dominio en esta imagen podemos ver que la direccion no es la correcta por lo que hice un cambio a lo ultimo dejando como direccion la 192.168.100.72, para que no hayan conflictos.

Tambien se pueden hacen pruebas con telnet a traves de la direccion de la DMZ y un protocolo ya sea http, dns, pop3, Imap, entre otros.

INSTALACIN DEL PAQUETE SQUID EN PFSENSE En el men System: Package Manager buscamos el paquete SQUID, LIGHTSQUID, SQUIDGUARD, pulsamos en el botn de aadir y esperamos a que completen dichos paquetes de instalacin. pfsense se descargar el paquete con sus dependencias y lo instalar. No debemos hacer nada hasta ver el mensaje de instalacin completada.

Una vez instalados los paquetes Squid del paso anterior, nos dirigimos SERVICES Proxy server y configuramos la interfaz LAN como puede ser observada en la siguiente imagen.

Aqu en este paso se configuran las reglas de NATEO (NAT) para poder salir con la IP de la WAN con una direccion pblica como es (192.168.10.84). Podemos visulizar bien las reglas como deben quedar en las siguientes imgenes.

Probamos para ver si todo esta funcionando correctamente con las reglas de la WAN, probando con la direccion publica la cual nos da por DHCP. Se hacen pruebas con los protocolos HTTP, DNS, HTTP (modo seguro), entre otros.

El LightSquid es una herramienta de informes de uso, un analizador rpido y ligero para el proxy Squid.

Esta herramienta nos puede mostrar cuales pginas han sido visitadas por el cliente

SquidGuard es un filtro de contenidos web utilizando el proxy Squid. Es importante precisar que squidGuard es un filtro de IP o URL, ya que en realidad no analiza el contenido de la direccin destino sino su URL/IP. Cuando un cliente solicita acceder a una determinada direccin quidGuard la compara con la lista de su base de datos y si no est permitido su acceso entonces realiza tareas como redireccionar a una pgina de error, no hacer nada, etc., visualizamos en las imgenes que todos los servicios estn corriendo esa parte es muy importante.

En esta parte la utilizamos para bloquiar las extenciones como (avi,jpg,mp3), entre otros es importante como observamos en las imgenes colocar muy bn el cdigo que tenemos en Expressions, en esta parte se coloca el cdigo para que nos permita bloquear las extensiones que vallamos a bloquiar para no tener acceso a dichas pginas.

En esta parte (common ACL) colocamos el nombre para identificarlo, en este caso bloquiados alli denegamos para que las extensiones no salgan a Internet (deny), guardamos los cambios y continuamos con la configuracin.

Podemos observar en las siguientes imgenes nos muestra que las extensiones (avi, jpg), estan correctamente ya que denegamos el paso y por ende no nos permite ingresar a las pginas.

Como siguiente, es filtrar el paso de las siguientes pginas a Internet a travez de (blacklist lista negra), ah bloquearemos todas las pginas que no queremos que salgan a Internet, como lo podemos observar en las imgenes siguientes. (hotmail elcolombiano).

Estas son las pruebas que obtuvimos con el paso anterior que fue filtrar estas pginas para que no accedan a Internet.

Puedes obtener lo mismo con la DMZ filtando el proxy en (Editar Preferencias y configuracion de conexin) ah se coloca la direccion del gateway de la LAN y el puerto del proxy para que se pudan conectar ambas, como lo observamos en la imagen.

PRUEBAS DMZ - LAN (PING) En las imgenes nos muestra que la mquina de la DMZ no conoce a la LAN, y la LAN si conoce a la WAN, esto nos funciona por las reglas del ping (ICMP) que fuern creadas en los pasos anteriores.

4. SOLUCIN DE CONECTIVIDAD REMOTA (VPNs)

Una VPN es una red virtual que se crea dentro de otra red real, como puede ser Internet Realmente una VPN no es ms que una estructura de red corporativa implantada sobre una red de recursos de carcter pblico, pero que utiliza el mismo sistema de gestin y las mismas polticas de acceso que se usan en las redes privadas, al fin y al cabo no es ms que la creacin en una red pblica de un entorno de carcter confidencial y privado que permitir trabajar al usuario como si estuviera en su misma red local. La comunicacin entre los dos extremos de la red privada a travs de la red pblica se hace estableciendo tneles virtuales entre esos dos puntos y usando sistemas de encriptacin y autentificacin que aseguren la confidencialidad e integridad de los datos transmitidos a travs de esa red pblica. Debido al uso de estas redes pblicas, generalmente Internet, es necesario prestar especial atencin a las cuestiones de seguridad para evitar accesos no deseados. Como se muestra en la siguiente imagen, se encuentran especificadas las interfaces a utilizar, su respectivo direccionamiento y los dispositivos activos en funcionamiento para la adecuada implementacin.

En este paso debemos tener en cuenta que cada router debe contar con una direccin IP para que se puedan conectar ambos, configurar las seriales para que se puedan dar ping entre s, y con ip route Para que los paquetes origen de la red sean enrutados hacia la red tenemos que configurar 2 rutas estticas hacia esas redes y asignar la IP del siguiente salto. Si solo tenemos como informacin las IPs de las redes que tenemos que alcanzar y no tenemos la IP del siguiente salto, utilizamos la interfaz de salida del router local para nuestra configuracin.

En este paso damos ping a las demas interfaces para ver si se comunican entre si, en caso de que no se den ping, hay que mirar bien si las rutas estan bien configuradas o mirar toda la configuracin de los routers.

En las siguientes imgenes observamos como estan configuradas los adaptadores de red para que se conecten con los routers y puedan darsen ping entre si y comenzar la instalacion y configuracion de las VPN.

Aqu configuraremos las IP en el panel de control conexiones de red - propiedades de conexin de area local ah colocaremos la direccin como se puede observar en las siguientes imgenes, se deben tener 3 interfaces deben ser por la 10, 80,100 esos son los rangos la cual deben estar las direcciones para podersen conectar ambas.

Como podemos ver en esta imagen verificamos si todo se puede dar ping, para tener conexin con los router, para comenzar con la instalacin y configuracin de las VPN primero que todo se debe estar conociendo todo con todo y darsen ping entre si para que nos pueda funcionar todo correctamente.

Ejecutar SDM desde el equipo PC 1 Se abre el cuadro de dilogo SDM Launcher. Escriba la direccin IP del router que se muestra en el diagrama como una direccin IP del dispositivo.

Observe que es posible que, inicialmente, Internet Explorer bloquee SDM y que se deber permitir o adaptar las opciones de seguridad de Internet Explorer segn sea necesario para poder utilizarlo. Segn la versin de Internet Explorer que se ejecute, una de estas opciones es especialmente importante para ejecutar SDM localmente y se encuentra en el men Herramientas, en Opciones de Internet Haga clic en la ficha Opciones avanzadas y, en la seccin Seguridad, active la casilla Permitir que el contenido activo se ejecute en los archivos de Mi equipo, en caso de que no est activada. Escriba el nombre de usuario y la contrasea.

A continuacin, proporcione el nombre de usuario y la contrasea para el router y haga clic en SI.

Una vez que SDM haya terminado de cargar la configuracin actual del router, aparecer la pgina de inicio de SDM. Si la configuracin es correcta, significa que configur SDM y se conect a ste correctamente. Lo que se observa puede variar de lo que aparece en la figura a continuacin, segn el nmero de modelo del router, la versin de IOS y otras variables.

Como se puede observar en esta imagen nos muestran las interfaces del router ya configuradas la privada y la pblica por DHCP tambien con las direcciones de las seriales.

Ejecutar SDM desde el equipo PC 2 Se hace lo mismo con el otro equipo solo que con la otra IP, cuando abre el cuadro de dilogo SDM Launcher. Escriba la direccin IP del router que se muestra en el diagrama como una direccin IP del dispositivo.

Observe que es posible que, inicialmente, Internet Explorer bloquee SDM y que se deber permitir o adaptar las opciones de seguridad de Internet Explorer segn sea necesario para poder utilizarlo. Segn la versin de Internet Explorer que se ejecute, una de estas opciones es especialmente importante para ejecutar SDM localmente y se encuentra en el men Herramientas, en Opciones de Internet Haga clic en la ficha Opciones avanzadas y, en la seccin Seguridad, active la casilla Permitir que el contenido activo se ejecute en los archivos de Mi equipo, en caso de que no est activada. Escriba el nombre de usuario y la contrasea.

A continuacin, proporcione el nombre de usuario y la contrasea para el router2 y haga clic en SI.

Una vez que SDM haya terminado de cargar la configuracin actual del router2, aparecer la pgina de inicio de SDM. Si la configuracin es correcta, significa que configur SDM y se conect a ste correctamente. Lo que se observa puede variar de lo que aparece en la figura a continuacin, segn el nmero de modelo del router, la versin de IOS y otras variables.

Como se puede observar en esta imagen nos muestran las interfaces del router2 ya configuradas la privada y la pblica por DHCP con las direcciones tambien de las seriales.

En este paso nos dirigimos en la parte de la barra de tareas y seleccionamos NAT estando alli damos clic en NAT avanzada y continucamos con el procedimiento.

Aqu especificamos la interfaz que se conecta a Internet

Especificamos las redes de la LAN que necesitan acceso a internet, estas redes pueden conectarse directamente al router o a redes a las que el router este conectado por medio de otros routers.

En este paso le damos clic en agregar redes que no estan conectadas directamente con el router en este caso 192.168.80.0 con mscara de 24, aceptamos y continuamos con la configuracin.

En la imagen podemos visualizar que fue agregada correctamente la direccion como (Red ruteada)

Como vemos la imagen podemos finalizar la configuracion y enviarla al router ya que la Interfaz esta conectada.

En este paso editamos la configuracin del NAT (Reglas de traduccin de direcciones de la red).

Se hace el mismo procedimiento que tuvimos con el router2, nos dirigimos en la parte de la barra de tareas y seleccionamos NAT estando alli damos clic en NAT avanzada y continucamos con el procedimiento.

Este paso identificamos la conexin a internet con el asistente de NAT avanzada, especificamos la interfaz que se conecta a Internet.

Especificamos las redes que necesitan acceso a internet, estas redes pueden conectarse directamente al router o a redes a las que el router este conectado por medio de otros routers.

Aqu finalizamos para enviar la configuracin al router

En este paso miramos las reglas de traduccin de direcciones de la red como podemos verlo en la imagen.

Nos dirigimos en la Barra de tareas NAT VPN sitio a sitio y iniciamos tarea seleccionada, al utilizar esta opcin configuramos un tnel VPN desde este router a otro dispositivo VPN utilizando una clave previamente compartida o certificados digitales. Para realizar esta configuracin debemos conocer la direccin IP del dispositivo remoto.

Seleccionamos el asistente por pasos que nos permite especificar la configuracin SDM por defecto o crear una configuracin personalizada, damos clic en siguiente para continuar.

Ingresamos la informacin acerca de la conexin VPN, seleccionamos la interfaz para la conexin, se identifica la identidad, y se especifica la direccin IP para el par remoto, la autenticacin garantiza que cada extremo de la conexin VPN usa la misma clave secreta. En este caso elegimos (Claves precompartidas) e ingresamos la contrasea.

Se agrega una politica IKE, estas especifcan el algoritmo de cifrado, el algoritmo de autenticacin y el mtodo de intercambio de claves que utiliza el router al distribuir una conexin VPN con el dispositivo remoto y aceptamos.

Agregamos un conjunto de transformacin (VPN-site-to-site) ingresamos ese nombre para identificarlo, seleccionamos Tnel (cifrar datos y encabezado Ip), y continuamos.

Ya agregada el nuevo conjunto de transformacin continuamos con los siguientes pasos que veremos en las siguientes imgenes.

Continuamos con las reglas que definen el trfico como transferencias de archivos (FTP) y el correo electronico (SMTP), que proteger esta conexin VPN. El resto del trfico de datos se enviar al dispositivo remoto sin proteccin, ah especificamos la direccin Ip y la mscara de subred de la red en la que se origina el trfico (Red local) y la direccin de destino (Red remota).

Esta imagen nos muestra el resumen de la configuracin y por ltimo finalizamos.

Ah podemos observar como quedo la configuracin de los pasos anteriores.

Nos dirigimos en la Barra de tareas NAT VPN sitio a sitio y iniciamos tarea seleccionada, al utilizar esta opcin configuramos un tnel VPN desde este router2 a otro dispositivo VPN utilizando una clave previamente compartida o certificados digitales. Para realizar esta configuracin debemos conocer la direccin IP del dispositivo remoto.

Seleccionamos el asistente por pasos que nos permite especificar la configuracin SDM por defecto o crear una configuracin personalizada, damos clic en siguiente para continuar

Ingresamos la informacin acerca de la conexin VPN, seleccionamos la interfaz para la conexin, se identifica la identidad, y se especifica la direccin IP para el par remoto, la autenticacin garantiza que cada extremo de la conexin VPN usa la misma clave secreta. En este caso elegimos (Claves precompartidas) e ingresamos la contrasea del segundo router.

Se agrega una politica IKE, estas especifcan el algoritmo de cifrado, el algoritmo de autenticacin y el mtodo de intercambio de claves que utiliza el router2 al distribuir una conexin VPN con el dispositivo remoto y aceptamos.

Agregamos un conjunto de transformacin (VPN-site-to-site) ingresamos ese nombre para identificarlo, seleccionamos Tnel (cifrar datos y encabezado Ip), y continuamos configurando el router2.

Ya agregada el nuevo conjunto de transformacin continuamos con los siguientes pasos que veremos en las siguientes imgenes.

Continuamos con las reglas que definen el trfico como transferencias de archivos (FTP) y el correo electronico (SMTP), que proteger esta conexin VPN. El resto del trfico de datos se enviar al dispositivo remoto sin proteccin, ah especificamos la direccin Ip y la mscara de subred de la red en la que se origina el trfico (Red local) y la direccin de destino (Red remota).

Esta imagen nos muestra todo el resumen de la confuracin de este router2.

Esta imagen nos muestra que SDM ha detectado las reglas NAT configuradas en el router2 para que la red VPN funcione correctamente estas reglas NAT deben convertirsen en reglas NAT sin mapa de ruta.

Ah podemos observar como quedo la configuracin de los pasos anteriores.

Iniciamos la resolucin de problemas de VPN, este nos mostrara si nos esta presentando errores mientras configuramos dicha aplicacin.

Como observamos en la imagen nos sale una ventanita con una alerta mostrandonos que SDM permitira depuraciones del router y generar trfico del tnel para determinar la causa del fallo de la conexin VPN, le damos clic en si para continuar.

La depuracin de la sesin VPN requiere la generacin de trfico VPN. Esta definida como (Permitir 192.168.100.0 en el Origen y el Destino como 192.168.80.0)

Volvemos a mirar la resolucin de problemas de VPN para detectar que fallos nos pueden salir en la configuracion de los routers, como vemos en la imagen nos salio que el tnel VPN esta activo.

Aqu esta comprobando el estado del Tnel, Interfaz, Enrutamiento,NAT, Firewall y finalizando la depuracin de la conexin VPN.

Aqu en esta imagen comenzaremos hacer la prueba para capturar el trfico con WiresHark, continuamos en Aceptar para seguir el proceso.

En esta imagen visulizamos las capturas con los routers y su respectiva direccin

Cuando finalice el proceso de guardar cambios ya podremos acceder al Dashboard nuestro servidor Zentyal ya est listo. Los requerimientos de hardware para un servidor Zentyal dependen de los mdulos que se instalen, de cuntos usuarios utilizan los servicios y de sus hbitos de uso. Algunos mdulos tienen bajos requerimientos, como Cortafuegos, DHCP o DNS, pero otros como el Filtrado de correo o el Antivirus necesitan ms memoria RAM y CPU. Los mdulos de Proxy y Comparticin de ficheros mejoran su rendimiento con discos rpidos debido a su intensivo uso de E/S.

Crear un nuevo certificado (CA)

Esta imagen nos muestra como estamos creando un nuevo certificado, llenamos todos los datos que nos aparecen ah.

Extraemos el certificado y lo guardamos

Guardamos el certificado en una ruta especifica

En la carpeta sealada (Downloads - Descargas), quedo nuestro certificado abrimos para mirarlo.

Extraemos el archivo para obtener la llave publica y privada

Observamos en la siguiente imagen el certificado (privada - pblica) que obtuvimos haciendo los pasos anteriores.

En este paso especificamos el nombre para hacer el certificado (cliente) y hacemos lo mismo que en los pasos anteriores guardamos, extraemos y miramos el cert.

Lo que hacemos es extraer el archivo para ver la informacin

Aqu nos muestra toda la informacion del certificado el cual fue configurado para obtenerlo.

En las siguientes imgenes se muestran los certificado (llaves publica - privada)

En este paso aadimos nuevo en la lista de servidores para llevar a cabo los certificados esto se hace con los dos routers, se le da un nombre en especial en este caso (RED)

En la lista de servidores nos muestra el nombre, la configuracin de las redes y para descargar paquetes de configuracin del cliente como lo podemos observar en la imagen.

Visulizamos en la imagen la lista de las redes de los servidores VPN

Podemos observar la configuracion del cliente agregandole tambien el certificado y obteniendo los siguientes resultados.

Activado

Guardamos la configuracin los mdulos y de las interfaces de red o en el puerto del panel de administracin, es posible que se necesite reescribir la URL manualmente para volveer a acceder al panel, Guardamos nuevos cambios.

En esta imagen se muestra la configuracin del estado de los modulos ya sea activado o desactivado.

5. CONCLUSIONES

La seguridad de redes es un mtodo de aprovechar al mximo los recursos tanto fsicos como internos de la infraestructura de red, mantenindola operativa y segura para todos y cada uno de los usuarios que hacen uso de la misma. En la seguridad de Red proporcionan informacin relevante acerca de la situacin en la cual se encuentra la red para as detectar fallas y darle una posible solucin. Durante el proceso de recoleccin de informacin se aplican los siguientes pasos cuyo orden especfico permite la correcta comunicacin entre el Cliente y el Servidor para el intercambio de informacin de acuerdo al tipo de mensaje solicitado: Recopilacin de la informacin acerca del estado de la red y los componentes del sistema. Transformacin de la informacin para ser presentada en formatos apropiados para el entendimiento del administrador (Grficos y porcentajes). Almacenamiento de los datos obtenidos en las aplicaciones. Anlisis de los diferentes parmetros y diagnsticos para obtener conclusiones que permitan deducir rpidamente los eventos dentro de la red. Actuacin para generar acciones rpidas y automticas en respuesta a una falla mayor. La caracterstica fundamental de un Sistemas de Administracin de Red es la amplia aplicabilidad que tiene (sistema abierto), capaz de manejar varios protocolos y gestionar varias arquitecturas de red, es decir, soporta todos los protocolos de red ms importantes para el funcionamiento de la misma. Con la realizacin de este trabajo se logr un amplio conocimiento que permiti en gran medida entender los diferentes conceptos que se presentan en el mdulo de seguridad en la redes teniendo en cuenta tanto los conceptos como el funcionamiento de los protocolos y sus componentes

BIBLIOGRAFIA

http://www.pfsense.org/ http://www.zentyal.com/es