Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.1 ASPECTOS GENERALES 1.1.1 AMBITO La empresa Santo Domingo Contratistas Generales S.A entrega servicios de construccin en proyectos civiles, estructurales,
electromecnicos y automatizacin, puesto en marcha y mantenimiento integral para los sectores minero, energtico, pesquero, petrolero, qumico, agroindustrial y manufacturero. 1.1.2 PROBLEMA La empresa Santo Domingo Contratitas Generales S.A debe proteger la informacin que considera confidencial dentro de su propia red, al igual que los servicios y recursos internos; de tal forma que si algn usuario malicioso intenta causar algn tipo de dao no sea posible. Actualmente se establecen conexiones a los servicios con un nivel mnimo de seguridad, dejando abierta la posibilidad de ataques de agentes externos. Adems considerando que toda organizacin en la actualidad debe garantizar la transmisin de los datos de manera segura a travs de la red Internet, de manera que stos no sean hurtados y/o manipulados y que lleguen a su destino de forma ntegra. De tal manera que se plantea separar los servicios de la empresa de los personales, as como establecer una conexin segura a los servicios, mediante la implantacin de un firewall Fortigate 90D en la oficina de Chincha e interconectar con la oficina de Lima .
1.2 ALCANCE El presente proyecto plantea realizar el anlisis, implementacin de un firewall FortiGate 90D. Esta aplicacin permitir proteger los recursos
compartidos de la red interna de cualquier intento de ataque por parte de intrusos maliciosos, y garantizar una conexin segura con otros host asi como el filtro de contenidos a travs de Internet. 1.3 OBJETIVOS 1.3.1 OBJETIVOS GENERALES Proteger la red interna de una organizacin, separando los servicios privados de la red pblica de los servicios personal as como asegurar la transferencia de datos, reducir el ancho de banda para evitar cuellos de botella en horarios crticos. 1.3.2 OBJETIVOS ESPECIFICOS Investigar los mtodos de ataques que usan los intrusos y hackers Investigar las distintas herramientas que existen en el mercado para proteger a la red privada y la transmisin segura de datos e informacin a travs de la red pblica Analizar las alternativas de solucin para implementar una red perimetral Establecer polticas de seguridad. Anlisis e implementacin un firewall Fortigate 90D.
1.4 JUSTIFICACION En la actualidad surge la necesidad de estar en constante comunicacin, gracias al Internet podemos recibir una respuesta inmediata en cuestin de segundos sin importar que los sujetos de la comunicacin se encuentren separados geogrficamente. El prototipo propuesto permitir mejorar los siguientes aspectos: Habilitar el acceso a usuarios remotos; conectarse y acceder a la red. Disminuir el consumo de ancho de banda en horas crticas. Filtrar por seguridad el contenido de pginas web. Proporcionar conectividad segura entre dos o mltiples redes privadas o LAN. Proteccin durante la transmisin de los datos.
una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin.
2.2.2 CRACKER
Persona que elimina las protecciones lgicas y fsicas de los sistemas para acceder a los mismos sin autorizacin y generalmente con malas intenciones.
2.2.3 HACKER
Usuario de ordenadores especializado en penetrar en las bases de datos de sistemas informticos con el fin de obtener informacin secreta. Adems, este trmino a los cibernautas que realizan operaciones delictivas a travs de las redes de ordenadores existentes.
Los virus informticos son programas diseados expresamente para interferir en el funcionamiento de una computadora, registrar, daar o eliminar datos, o bien para propagarse a otras computadoras y por Internet, a menudo con el propsito de hacer ms lentas las operaciones y provocar otros problemas en los procesos.
desencriptar) las claves consiste en efectuar encriptaciones de palabras (posibles claves) y comparar estas
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus.
2.2.4 SISTEMAS OPERATIVOS 2.2.5.1 SOFTWARE LIBRE (OPEN SOURCE) 2.2.5.1.1 GNU/LINUX
El proyecto GNU se inici en 1984 con el objetivo de crear un sistema operativo completo tipo Unix de software libre. GNU es el trmino empleado para referirse al sistema operativo similar a Unix que utiliza como base las herramientas de sistema de GNU y el ncleo Linux. Su desarrollo es uno de los ejemplos ms prominentes de software libre; todo el cdigo fuente puede ser utilizado, modificado y
redistribuido libremente por cualquiera bajo los trminos de la GPL de GNU (Licencia Pblica General de GNU).
2.2.5.1.1.1 CARACTERISTICAS
Multiplataforma.- Dispone de varios tipos de sistema de archivos para poder acceder a archivos en otras plataformas. Multiusuario.- Es un sistema operativo capaz de responder, simultneamente, a las solicitudes de varios usuarios que empleen el mismo
ordenador,
incluso
con
necesidades
distintas.
Adems proporciona los elementos necesarios para garantizar la seguridad y privacidad de los datos entre los diferentes usuarios. Multitarea.- Permite ejecutar varios programas a la vez, de forma que no tiene que esperar a que termine uno para empezar otro. La multitarea est controlada por el Sistema Operativo y no por las aplicaciones, por lo que es muy difcil que el fallo de un programa colapse el sistema por una mala utilizacin de los recursos del equipo. Estabilidad.- Es robusto, por lo que si un programa falla no interrumpir el trabajo de los dems. Esta caracterstica permite que el sistema funcione durante perodos muy largos de tiempo sin
necesidad de parar y volver a arrancar. Es libre.- Al disponer del cdigo fuente, se puede sin un tener parche que para
para obtener un mejor rendimiento y para centrar el uso de procesador en las caractersticas de
servidor.
2.2.5.2.1.1 CARACTERISTICAS
Sistema de archivos NTFS: Gestin de almacenamiento, backups; incluye
gestin jerrquica del almacenamiento, consiste en utilizar un algoritmo de cach para pasar los datos menos usados de discos duros a medios pticos o similares ms lentos, y volverlos a leer a disco duro cuando se necesitan. Windows Driver Model: Implementacin bsica de los dispositivos ms utilizados, de esa manera los fabricantes de dispositivos slo han de
programar ciertas especificaciones de su hardware. ActiveDirectory Directorio de organizacin basado en LDAP, permite gestionar de forma centralizada la seguridad de una red corporativa a nivel local. Autentificacin Kerberos5 DNS con registro de IP's dinmicamente Polticas de seguridad
2.2.5.2.1 WINDOWS 7
Windows 7 es una lnea de sistemas operativos desarrollado por Microsoft que fueron hechos pblicos el 22 de octubre de 2009
Windows 7 tiene una interfaz grfica de usuario (GUI) perceptiblemente reajustada, un cambio de Microsoft promovido para un uso ms fcil que en las versiones anteriores. Es tambin la primera versin de Windows que utiliza la activacin del producto para reducir la piratera del software,
2.2.5.2.1.1 CARACTERISTICAS
Ambiente totalmente grfico Secuencias ms rpidas de inicio y de hibernacin. Capacidad del sistema operativo de desconectar un dispositivo externo, de instalar nuevas aplicaciones y controladores sin necesidad de reiniciar. Una nueva interfaz de uso ms fcil, incluyendo herramientas escritorio. Uso de varias cuentas, que permite un usuario guarde el estado actual y aplicaciones abiertos en su escritorio y permita que otro usuario abra una sesin sin perder esa informacin. Escritorio Remoto, que permite a los usuarios abrir una sesin con una computadora que funciona con Windows XP a travs de una red o Internet, teniendo acceso a sus usos, archivos, impresoras, y dispositivos. para el desarrollo de temas de
posibilidad de comunicarse rpidamente con todo el mundo desde una estacin de trabajo de forma muy simple y barata. Basta con tener un buzn en un servidor de correo correctamente configurado y una aplicacin cliente para operar con dicho buzn. Un buzn de correo electrnico no es ms que un fichero o un conjunto de ellos agrupados en un directorio donde se almacenan en cierto formato los mensajes que llegan.
2.2.2.1 APACHE
El Servidor Apache HTTP es un servidor Web de tecnologa Open Source slido y para uso comercial desarrollado por la Apache Software Foundation (www.apache.org). Red Hat Enterprise Linux incluye el Servidor Apache HTTP versin 2.0 as como tambin una serie de mdulos de servidor diseados para mejorar su funcionalidad. Apache ocupa un enorme porcentaje del mercado, superando de esta forma a cualquier otro servidor Web de cualquier otro sistema operativo por la cantidad de sitios Web que maneja.
Windows NT. Luego fue integrado en otros sistemas operativos de Microsoft (Windows 2000 o Windows Server 2003. Windows XP Profesional incluye una versin limitada de IIS) destinados a ofrecer servicios como son: FTP, SMTP, NNTP y HTTP/HTTPS.
dedicadas
administracin de
(SGBD)
funcionalidades para servidores de base de datos, en cambio otros (como por ejemplo, MySQL) solamente proveen construccin y acceso a la base de datos. Dentro de los servidores de datos ms conocidos tenemos; Oracle, Informix, MySQL, PostgreSQL, DB2, SAP.
2.3.1.1 CARACTERISTICAS
Seguridad.- verificar la identidad de los usuarios y restringir el acceso a la
VPN a aquellos usuarios que no estn autorizados. Confiabilidad.- en vista que los datos viajan a travs de Internet, es necesario protegerlos para que no puedan ser comprendidos por personas no autorizadas. Escalabilidad.- se debe asegurar que pueda crecer la red para mltiples conexiones VPN cliente. Administracin.- debe ser fcil de administrar Desempeo.- la VPN debe dar el rendimiento que requiere cada aplicacin y tipo de servicio.
aquellos que no se encuentren autorizados. Codificacin de datos: Los datos que se van a transmitir a travs de la red pblica (Internet), antes deben ser cifrados, para que as no puedan ser ledos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que slo pueden ser ledos por el emisor y receptor. Administracin de claves: Las VPN deben actualizar las claves de cifrado para los usuarios.
denominado protocolo de tnel, es decir, un protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.
La palabra "tnel" se usa para simbolizar el hecho que los datos estn cifrados desde el momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para cualquiera que no se encuentre en uno de los
extremos de la VPN, como si los datos viajaran a travs de un tnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del lado del usuario y el servidor VPN (comnmente llamado servidor de acceso remoto) es el elemento que descifra los datos del lado de la organizacin. De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la infraestructura de red pblica como
intermediaria; luego transmite la solicitud de manera cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y ste enva la respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los enva al usuario.
2.3.3 FIREWALL
Un cortafuegos (o firewall en ingls), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red. Su modo de funcionar es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. La ubicacin habitual de un cortafuegos es el punto de conexin de la red interna de la organizacin con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de una red interna.
Las
aplicaciones de
FortiGate
proporcionan proteccin
rentable, comprensiva contra amenazas de red - incluyendo los ataques complejos sin degradar el rendimiento de la red. Las plataformas de de red, FortiGate tales incorporan caractersticas como alta para disponibilidad la mxima
sofisticadas (activa/activa,
activa/voz
pasiva)
disponibilidad, capacidades virtuales de dominio para separar las varias redes que requieren diversas polticas de la seguridad. Cisco.- Cisco Systems es el lder mundial en redes para Internet. Las soluciones de conectividad de Cisco basadas en el protocolo de Internet (IP), son la base de Internet y de las redes corporativas, educativas y de gobierno en todo el mundo. Cisco entrega la lnea ms amplia de soluciones para el transporte de datos, voz y video. Aqu encontrar toda la informacin tcnica y de negocios sobre redes e Internet. D-Link.- Es uno de los lderes mundiales en proveer equipamiento de networking, conectividad y de
comunicaciones de datos. La compaa disea, fabrica y comercializa hardware necesario para permitir a los usuarios compartir recursos y comunicarse sobre una red de rea local, y equipos que permiten a los individuos y oficinas conectarse a WANs y a Internet fciles, rpidos y con una buena relacin calidad-precio. Proporciona equipos de seguridad tales como router y firewall de fcil instalacin y ms efectivos que aquellos basados en software, dada su conexin Plug-and- Play, seguridad
completa para dejar fuera de la red a los intrusos, soporte de VPN con encriptacin de datos y autentificacin.
A travs de su lnea de Firewalls NetDefend la mejor plataforma de seguridad proactiva, en conjunto con su familia de switches X-Stack. Sonicwall.- (Fundada en 1991), es uno de los mas prestigiosos fabricantes de sistemas de seguridad (Firewall, VPN, Aceleradores SSL, etc) ofrece una calidad excepcional a unos precios ventajosos, con una gama de productos que cubren desde las Pymes a grandes empresas y proveedores de servicios, sus soluciones son utilizadas por una gran variedad de compaas, a nivel mundial. Checkpoint.creada en el Checkpoint ao Software Technologies LTD,
exclusivamente en soluciones de seguridad lgica, cubriendo desde usuarios finales hasta proveedores de servicios de Internet (ISP/ASP). Las soluciones de seguridad de Checkpoint destacan por su arquitectura unificada, lo que, por ejemplo, permite gestionar multitud de sus productos de seguridad perimetral o seguridad interna, desde un nico punto de forma
centralizada.
Alojado en un chasis normalizado, el firewall VPN DFL-800 ofrece un impresionante conjunto de funciones de hardware que incluyen un procesador de alta velocidad, una base de datos de gran capacidad y un potente firewall que puede gestionar hasta 25.000 sesiones simultneas.
CARACTERISTICAS
Factor de forma: Tecnologa de conectividad:
DESCRIPCIN
Externo
CONEXIN DE REDES
Cableado
D-Link NetDefend DFL-860 El DFL-860 usa un acelerador por hardware para llevar a cabo las funciones de escaneado antivirus e IPS
simultneamente, sin que se degrade el rendimiento del firewall ni de le la red privada al virtual. Este potente con un
acelerador
permite
firewall
trabajar
rendimiento muy superior al de los firewall UTM con funcin antivirus del mercado. Potente rendimiento de la red privada virtual El DFL-860 dispone de un motor de red privada virtual basado en hardware para soportar y gestionar hasta 300 tneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo cliente/servidor y tambin puede manejar el
trfico que pasa a travs de l. La autentificacin de usuario puede llevarse a cabo por medio de un servidor RADIUS externo o a travs de la base de datos interna del firewall, que admite hasta 500 cuentas. El firewall UTM DFL-860 ofrece una potente solucin de seguridad para las oficinas de pequeo o medio tamao, con hasta 150 usuarios, contra una amplia variedad de amenazas para la red en tiempo real.
CARACTERSTICAS
Factor de forma: Tecnologa de conectividad: Protocolo de interconexin de datos: Red / Protocolo de transporte: Protocolo de direccionamiento
DESCRIPCIN
Externo Cableado Ethernet, Fast Ethernet PPTP, OSPF L2TP, IPSec
Capacidad:
Sesiones concurrentes: Polticas de seguridad: Tneles VPN (de sitio a sitio) : 25000 1000 300
FortiGate-90D Proporciona todas las mismas funcionalidades que otros dispositivos FortiGate y est diseado para trabajadores de casa y pequeas oficinas remotas. Conector dual WAN para una conexin de Internet
redundante, 4 puertos switch elimina la necesidad de un switch o hub externo, dando a los dispositivos de red una conexin directa al FortiGate-90D. Entrega rendimiento superior y fiabilidad del hardware acelerado, arquitectura basada en ASIC.
CARACTERSTICA
DESCRIPCIN
BENEFICIOS
Detecta y elimina virus, Cerrando ANTIVIRUS estas gusanos en tiempo real. (CERTIFICADO ICSA)
vulnerabilidades no Escanea datos adjuntos de entran virus ni correos electrnicos de entrada gusanos a la red y salida (SMTP, POP3, IMAP), local tambin todo el trfico FTP y HTTP Deteccin y prevencin de ms de 1300 intrusiones y ataques basada en configuraciones de usuarios. Actualizaciones automticas de IPS desde el FortiProyect Network Detecta ataques que evaden los antivirus convencionales, en tiempo real
Controla todas las Proteccin FIREWALL (CERTIFICADO ICSA) comunicaciones que pasa de certificada,
una red a la otra y en funcin de lo que se permite o se mximo deniegue en la poltica funcionamiento y Bloquea todo contenido Web inapropiado y scripts maliciosos provenientes de la Web escalabilidad Bloqueo de sitios web que no son permitidos por las polticas de la empresa, aumentando la productividad del personal y reduciendo la posibilidad de infeccin de virus Provee comunicacin segura en el tnel entre redes y clientes. Bajo costo, en cualquier momento y todas partes tendrn acceso sus trabajadores mviles y remotos Con dos interfaces WAN proporcionan redundancia a Internet si una interface falla, la otra Automticamente toma todas las sesiones
SonicWALL TZ 190 Es un dispositivo de seguridad de red multicapa que puede utilizarse como acceso principal a Internet o como sistema de reserva cuando la conexin DSL (u otra conexin por cable) no funciona
CARACTERSTICAS
PROCESADOR /MEMORIA /ALMACENAMIENTO
RAM instalada (mx.) Memoria flash instalado (mx.):
DESCRIPCIN
128 MB 16 MB Flash
Factor de forma: Tecnologa de conectividad: Protocolo de interconexin de datos: Protocolo de conmutacin : Red / Protocolo de transporte: Modo comunicacin:
Externo Cableado Ethernet, Fast Ethernet Ethernet L2TP, IPSec Semidplex, dplex pleno.
Rendimiento:
Capacidad de pleno estado : Capacidad de antivirus de pasarela:
Cisco ASA 5505 Firewall Edition Bundle El dispositivo de seguridad adaptable de la serie Cisco ASA 5500 es una plataforma que proporciona servicios de seguridad y VPN de prxima generacin para entornos que van desde oficinas pequeas/hogareas y empresas medianas hasta grandes empresas. Nmero ilimitado de usuarios. La serie Cisco ASA 5500 permite la estandarizacin en una sola plataforma para reducir el costo operativo general de la seguridad.
CARACTERSTICAS
PROCESADOR / RAM instalada (mx.) MEMORIA / ALMACENAMIENTO Memoria flash instalado (mx.):
Factor de forma: Tecnologa de conectividad: Protocolo de interconexin de datos: Red / Protocolo de transporte:
DESCRIPCIN
256 MB 64 MB Flash Externo Cableado Ethernet, Fast EthernetIPSec
Rendimiento:
Capacidad del cortafuegos Capacidad de la VPN: 150 Mbps 100 Mbps
CONEXIN DE REDES
Capacidad:
Peers VPN IPSec : Peers VPN SSL : Sesiones concurrentes : 10 2 10000
Algoritmo de cifrado:
Triple DES, AES , SSL
CAPITULO 3 IMPLEMENTACION
En este apartado se explica cmo se estructur la implantacin del proyecto. ste qued definido en cuatro partes bien diferenciadas. Se empez por un proceso de Pre-Implementacin en el que se comprob el funcionamiento de la red cableada. La siguiente fase correspondi a la Implantacin donde se configuro el firewall Fortigate 90D. Para la realizacin de las tareas definidas dentro de las siguientes fases se necesit disponer de los servicios de un tcnico especializado en seguridad perimetral proporcionado por la empresa ISEC proveedora del firewall. En cada fase se especifica el total de horas que fueron necesarias que invirtiera el tcnico.
3.1 PRE-IMPLEMENTACION
En esta fase se empez a plasmar la idea inicial del proyecto. Se comprob el funcionamiento de los tres de la Red cableada UTP que servir para la conexin Se ubic el firewall en el armario de equipos, seguidamente del router CISCO Circuito digital 86454 para no contar acumulacin de cableado. Se realiz la conexin, mediante cable UTP, entre el CISCO Circuito digital 86454 y el firewall Fortigate 90D Debido a que los equipos de la empresa de se encontraban en produccin no se realiz ninguna prueba con ellos hasta el da de la implantacin.
3.2 IMPLEMENTACION
Esta fue la parte ms crtica y la ms complicada de todo el proyecto. En esta fase se configuro el firewall Fortigate 90D. Posteriormente se comprob que conectando el firewall a la red, desde ste se poda hacer ping al router CISCO Circuito digital 86454, con esto, aseguramos que las interconexiones estaban bien configuradas y que podamos llegar a los equipos que estaban directamente conectados al router CISCO. Posteriormente debamos averiguar que el resto de configuracin aplicada al firewall funcionaba correctamente (VPN, rutas, filtro, etc.) Este proceso se comprob validando una lista de requerimientos previos en las que especificamos las pginas que por seguridad no se debera permitir el acceso as como las que sirven de soporte para los procesos crticos del negocio, cuyo funcionamiento no debe ser bloqueado.
Segn se aprecia en la tabla, el consumo del ancho de banda por parte de la ip 192.168.1.124 obtiene unos resultados realmente altos (44,1%), la ip
192.168.1.141 consume (16,5), por lo que se puede asegurar que estos dos primeros colaboradores consumo el 60% del ancho de banda, para el manejo de herramientas necesarias aunque por otra parte no se descarta el uso para distraccin. Siguiendo con la valoracin, las ips restantes mantienen un consumo regular y no muestran riesgo de crear un cuello de botella en horas criticas de trabajo.
Segn se aprecia en la tabla, la pgina web que ms ancho de banda consumo es mail.google.com obteniendo un resultado alto (24.6%), esta pgina es necesaria para las funciones laborales de los colaboradores ya que sirve de medio para el envo (Sent) y recepcin (Received) de correos con informacin crtica. Siguiendo con la valoracin, la pgina web www.facebook.com es la segunda pgina que ms consume ancho de banda (18,8 %), esta pgina es de carcter de entretenimiento por lo que su uso est totalmente prohibido de acuerdo con la poltica de la empresa. Siguiendo con la valoracin, las pginas web restantes son de carcter laboral y uso es necesario para las funciones laborales de los colabores.