Tomo 1 PDF

TOMO I
Lnea de Investigacin
Redes y Sistema Operativo
Nombre del Egresado

Marixelinda Lisbeth Espaa Escobar
Nombre del Tema

Gua de Implementacin de una DMZ (Zona Desmilitarizada)
para la Empresa ITCORP
Nmero de Proyecto
16
Nombre del Tutor

Ing. Francisco Palacios
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUA DE IMPLEMENTACIN DE UNA DMZ

(ZONA DESMILITARIZADA)
PARA LA EMPRESA IT/CORP
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: MARIXELINDA LISBETH ESPAA ESCOBAR

TUTOR: ING. FRANCISCO PALACIOS ORTIZ
GUAYAQUIL ECUADOR
2011
PORTADA

COMPUTACIONALES

PARA LA EMPRESA IT/CORP
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
INGENIERO EN SISTEMAS COMPUTACIONALES
MARIXELINDA LISBETH ESPAA ESCOBAR

TUTOR: ING. FRANCISCO PALACIOS ORTIZ
GUAYAQUIL ECUADOR
2011
Guayaquil,.del 2011
APROBACION DEL TUTOR
En
mi
calidad
de
Tutor
del
trabajo
de
investigacin,
GUA
DE
IMPLEMENTACIN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA

EMPRESA IT/CORP elaborado por el Srta. MARIXELINDA LISBETH ESPAA
ESCOBAR, egresado de la Carrera de Ingeniera en Sistemas Computacionales,
Facultad de Ciencias Matemticas y Fsicas de la Universidad de Guayaquil, previo a
la obtencin del Ttulo de Ingeniero en Sistemas, me permito declarar que luego de
haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
.
Ing. Francisco Palacios Ortiz
TUTOR
DEDICATORIA
Dedico esta tesis primeramente a Dios y a

mis seres ms queridos y a todas las
personas que estuvieron a mi lado, por
haberme apoyado a lo largo de la trayectoria
de esta carrera.
A mis padres que han sabido guiarme y

proporcionarme orientacin moral, a mis
hermanas, por su sustento incondicional y
creer en m para poder lograr este triunfo
profesional.
AGRADECIMIENTO
Al culminar esta carrera valiosa, tengo a

bien agradecer de manera especial a Dios
por proporcionarme la fuerza para seguir
adelante, a los profesores y compaeros con
quienes compartimos grandes momentos de
apoyo, ayuda, alegra, y sabias enseanzas
durante esta carrera profesional, debido a
que logramos cultivar la preciada semilla del
saber y el amor por el estudio.
A mis padres que de alguna manera han

estado
junto
a
m,
ayudndome,
apoyndome en todo momento para que
concluya esta carrera profesional, debido a
que es un sueo hecho realidad para ellos y
para m, igualmente quiero agradecer a
todas las personas que estuvieron a mi lado
brindndome su apoyo incondicional, les
quedo eternamente agradecida.
TRIBUNAL DE GRADO
Ing. Fernando Abad Montero

DECANO DE LA FACULTAD
CIENCIAS MATEMATICAS Y FISICAS
Ing. Francisco Palacios Ortiz

TUTOR
Ing. Juan Chanab Alccer

DIRECTOR
Nombre y Apellidos
PROFESOR DEL REA - TRIBUNAL
AB. Juan Chvez A.

SECRETARIO

COMPUTACIONALES

PARA LA EMPRES IT/CORP
Proyecto de trabajo de grado que se presenta como requisito para optar por el ttulo de
INGENIERO en SISTEMAS COMPUTACIONALES
Autor/a: Marixelinda Lisbeth Espaa Escobar.

C.I.: 120611239-1
Tutor: Ing. Francisco Palacios Ortiz.
Guayaquil, ______ de 2011

Mes
ii
CERTIFICADO DE ACEPTACIN DEL TUTOR
En mi calidad de Tutor del Segundo Curso de Fin de Carrera, nombrado por el

Departamento de Graduacin y la Direccin de la Carrera de Ingeniera en Sistemas
Computacionales de la Universidad de Guayaquil,
CERTIFICO:
Que he analizado el Proyecto de Grado presentado por el/el egresado (a)
Marixelinda Lisbeth Espaa Escobar, como requisito previo para optar por el ttulo de
Ingeniero cuyo problema es:
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
Presentado por:
Espaa Escobar Marixelinda Lisbeth
120611239-1
Apellidos y Nombres Completos
Cdula de ciudadana N
_________________________
Guayaquil, ______ de 2011

Mes
iii
NDICE GENERAL
PORTADA ................................................................................................................................ i
CERTIFICADO DE ACEPTACIN DEL TUTOR ........................................................... ii
NDICE GENERAL .............................................................................................................. iii
NDICE DE CUADROS ....................................................................................................... vii
NDICE DE GRFICOS .................................................................................................... viii
RESUMEN............................................................................................................................. xii
INTRODUCCIN .................................................................................................................. 1
CAPITULO I ........................................................................................................................... 3
EL PROBLEMA ..................................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA.............................................................................. 3
UBICACIN DEL PROBLEMA EN UN CONTEXTO ....................................................................3
SITUACIN CONFLICTO NUDOS CRTICOS ..............................................................................4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................................................5
DELIMITACIN DEL PROBLEMA.................................................................................................6
FORMULACIN DEL PROBLEMA ................................................................................................7
EVALUACIN DEL PROBLEMA ...................................................................................................8
OBJETIVOS............................................................................................................................ 9
OBJETIVO GENERAL .................................................................................................................9
OBJETIVOS ESPECFICOS .......................................................................................................10
ALCANCES........................................................................................................................... 11
JUSTIFICACIN E IMPORTANCIA ............................................................................... 12
CAPTULO II ....................................................................................................................... 14
MARCO TERICO ............................................................................................................. 14
ANTECEDENTES DEL ESTUDIO .................................................................................................14
FUNDAMENTACIN TERICA ...................................................................................................17
RED DE COMPUTADORAS ......................................................................................................17
MODELO OSI..............................................................................................................................17
Capas Del Modelo OSI ............................................................................................................19
Capa Fsica ..........................................................................................................................19
Capa De Enlace ...................................................................................................................19
iv
Capa De Red .......................................................................................................................19

Capa De Transporte.............................................................................................................20
Capa De Sesin ...................................................................................................................21
Capa De Presentacin .........................................................................................................21
Capa De Aplicacin ............................................................................................................21
MODELO TCP/IP ........................................................................................................................22
Capas Del Modelo TCP/IP.......................................................................................................23
Capa De Acceso A La Red ..................................................................................................23
Capa De Internet .................................................................................................................23
Capa De Transporte.............................................................................................................23
Capa De Aplicacin ............................................................................................................24
DIRECCIONES IP .......................................................................................................................24
Clases De Direcciones IP .........................................................................................................25
Direcciones De Clase A ......................................................................................................25
Direcciones De Clase B.......................................................................................................26
Direcciones De Clase C.......................................................................................................26
Direcciones De Clase D, E y F ............................................................................................26
SEGURIDAD INFORMTICA ..................................................................................................27
POLTICAS DE SEGURIDAD ...................................................................................................27
TIPOS DE ATAQUE ...................................................................................................................28
Spoofing ...................................................................................................................................28
Sniffing ....................................................................................................................................28
Negaciones de Servicio (DoS) .................................................................................................28
Barridos PING .........................................................................................................................29
Escaneo de puertos...................................................................................................................29
PARA EVITAR ATAQUES EN LA RED ...................................................................................30
SERVIDORES .............................................................................................................................30
Servidor DNS ...........................................................................................................................30
Servidor DHCP ........................................................................................................................31
Servidor De Correo ..................................................................................................................31
Servidor de FTP .......................................................................................................................32
ZONA DESMILITARIZADA (DMZ) .........................................................................................32
HISTORIA DE LA DMZ .............................................................................................................35
FIREWALL ..................................................................................................................................35
Categoras De Los Firewall .....................................................................................................36
Firewalls de Filtracin de Paquetes (choke) ........................................................................36
Servidores Proxy a Nivel de Aplicacin (Proxy Gateway de Aplicaciones) .......................38

Firewalls de Inspeccin de Paquetes (SPI, Stateful Packet Inspection). .............................40
TIPOS DE FIREWALL ...........................................................................................................41
Firewall Appliance (Basados En Hardware) .......................................................................41
Firewall Basados En Software ............................................................................................55
ANLISIS COMPARATIVO .................................................................................................62
FUNDAMENTACIN LEGAL .......................................................................................................64
HIPTESIS .......................................................................................................................................65
VARIABLES DE LA INVESTIGACIN ........................................................................................65
VARIABLE INDEPENDIENTE..................................................................................................66
VARIABLE DEPENDIENTE ......................................................................................................66
DEFINICIONES CONCEPTUALES................................................................................................67
CAPTULO III ...................................................................................................................... 69

METODOLOGA ................................................................................................................. 70
DISEO DE LA INVESTIGACIN .................................................................................. 70
MODALIDAD DE LA INVESTIGACIN ......................................................................................70
TIPO DE INVESTIGACIN .......................................................................................................71
POBLACIN Y MUESTRA ............................................................................................................71
OPERACIONALIZACIN DE VARIABLES .................................................................................71
INSTRUMENTOS DE RECOLECCIN DE DATOS.....................................................................72
LA TCNICA ..............................................................................................................................73
INSTRUMENTOS DE LA INVESTIGACIN ...........................................................................73
VALIDACIN .............................................................................................................................75
PROCEDIMIENTOS DE LA INVESTIGACIN ............................................................................75
RECOLECCIN DE LA INFORMACIN .....................................................................................76
PROCESAMIENTO Y ANLISIS...................................................................................................78
CRITERIOS DE VALIDACIN DE LA PROPUESTA ..................................................................79
CAPTULO IV ...................................................................................................................... 80
GUA DE IMPLEMENTACIN DE UNA DMZ EN LA RED DE LA EMPRESA
IT/CORP ................................................................................................................................ 80
DESCRIPCIN DEL DISEO ACTUAL DE LA EMPRESA IT/CORP .......................................81
DESCRIPCIN DEL DISEO RECOMENDADO PARA LA EMPRESA IT/CORP ...................84
CONFIGURACIN DE LOS SERVICIOS DE LA EMPRESA IT/CORP .................... 87

SERVIDOR FTP ...............................................................................................................................88
SERVIDOR DE CORREO................................................................................................................94
vi
SERVIDOR PROXY.......................................................................................................................103
SERVIDOR DNS Y DHCP .............................................................................................................112
CONFIGURACION DEL FIREWALL............................................................................ 116

POLTICAS DE LA DMZ ................................................................................................. 117
CAPTULO V...................................................................................................................... 127
MARCO ADMINISTRATIVO .......................................................................................... 127
CRONOGRAMA ............................................................................................................................127
PRESUPUESTO .............................................................................................................................130
CAPTULO VI .................................................................................................................... 132

CONCLUSIONES Y RECOMENDACIONES ................................................................ 132
CONCLUSIONES ...........................................................................................................................132
RECOMENDACIONES .................................................................................................................134
REFERENCIAS BIBLIOGRFICAS ................................................................................ 96

ANEXOS .............................................................................................................................. 101
vii
NDICE DE CUADROS
CUADRO N. 1: 5CAUSAS Y CONSECUENCIAS DEL PROBLEMA........................... 5

CUADRO N. 2: CARACTERSTICAS Y DESCRIPCIN
3COM OFFICECONNECT ................................................................................................. 44
CISCO ASA 5505.. ........................................................................................ 46
SONICWALL PRO 2040 ..................................................................................................... 48
CUADRO
N.
5:
CARACTERSTICAS
DESCRIPCIN------------------------
NETGEAR PROSECURE UTM25 ..................................................................................... 50

CUADRO N. 6: CARACTERSTICAS Y DESCRIPCIN --------------------------ZYXEL ZYWALL USG 100 ................................................................................................ 52
BARRACUDA 660 ................................................................................................................ 54
CUADRO N. 8: LISTA DE PRECIOS DE FIREWALL ................................................. 63
CUADRO N. 9: MATRIZ DE OPERACIONALIZACIN DE VARIABLES ............. 71
CUADRO N. 10: DETALLE DE INGRESOS ................................................................ 130
CUADRO N. 11: DETALLE DE EGRESOS .................................................................. 131
CUADRO N. 12: RESULTADOS PREGUNTA 1 DE LA ENCUESTA ...................... 106
viii
NDICE DE GRFICOS
GRFICO N. 1: CAPAS DE MODELO OSI ................................................................... 18

GRFICO N. 2: CAPAS DE MODELO TCP/IP ............................................................. 22
GRFICO N. 3: CAPAS DE MODELO SCREENED SUBNET ................................... 34
GRFICO N. 4: FILTRACIN DE PAQUETES (CHOKE) ......................................... 37
GRFICO N. 5: PROXY GATEWAY.............................................................................. 39
GRFICO N. 6: INSPECCIN DE PAQUETES ............................................................ 40
GRFICO N. 7: 3COM OFFICECONNECT .................................................................. 43
GRFICO N. 8: ASA 5505 ................................................................................................. 45
GRFICO N. 9: SONICWALL PRO 2040....................................................................... 47
GRFICO N. 10: NETGEAR PROSECURE UTM25 .................................................... 49
GRFICO N. 11: ZYXEL ZYWAL USG100 ................................................................... 51
GRFICO N. 12: BARRACUDA 660 ............................................................................... 53
GRAFICO N. 13: DISEO ACTUAL DE LA EMPRESA IT/CORP............................ 81
GRAFICO N. 14: DISEO DE RED RECOMENDADO ............................................... 84
GRFICO N. 15: CONFIGURACION DEL SERVIDOR FTP ..................................... 92
GRFICO N. 16: CONFIGURACION DE ARCHIVO HOST ----------------------------PARA ZIMBRA .................................................................................................................... 95
GRFICO N. 17: LIBRERIAS FALTANTES EN LA INSTALACIN-------------------DE ZIMBRA.......................................................................................................................... 96
GRFICO N. 18: LIBRERIAS FALTANTES EN LA INSTALACIN-------------------DE ZIMBRA.......................................................................................................................... 97
GRFICO N. 19: PROCESO DE INSTALACIN DE ZIMBRA ................................. 98
GRFICO N. 20: ERROR DE DNS EN INSTALACIN DE ZIMBRA ...................... 99
ix
GRFICO N. 21: MENU DE CONFIGURACIN DE ZIMBRA ............................... 100

GRFICO N. 22: SERVICIOS DE ZIMBRA ................................................................ 101
GRFICO N. 23: CONSOLA DE ADMINISTRACIN DE ZIMBRA ...................... 102
GRFICO N. 24: CONFIGURACION SERVIDOR PROXY...................................... 111
GRFICO N. 25: ASISTENTE DE CONFIGURACION DE DNS Y DHCP ............. 113
GRFICO N. 26: CONFIGURACION DE DNS Y DHCP ........................................... 114
GRFICO N. 27: CONFIGURACION DE FIREWALL .............................................. 123
GRFICO N. 28: AADIR REGLAS EN EL FIREWALL ......................................... 125
GRFICO N. 29: CRONOGRAMA DE ACTIVIDADES ........................................... 127
GRFICO N. 30: DIAGRAMA DE GANTT PARTE #1 ........................................... 128
GRFICO N. 31: DIAGRAMA DE GANTT PARTE #2 ........................................... 129
GRFICO N. 32: PREGUNTA 1 .................................................................................... 106
GRFICO N. 37: INSTALACION DE CENTOS .......................................................... 112
GRFICO N. 38: PROCESO DE VERIFICACION DEL DISCO .............................. 113
GRFICO N. 39: INICIO DE CENTOS ........................................................................ 114
GRFICO N. 40: IDIOMA DE INSTALACIN .......................................................... 115
GRFICO N. 41: IDIOMA DEL TECLADO ................................................................ 116
GRFICO N. 42: PARTICIN DE LA UNIDAD ......................................................... 117
GRFICO N. 43: PARTICIN DE LA UNIDAD ......................................................... 118
GRFICO N. 44: ASIGNACIN DE ESPACIO EN LA UNIDAD ............................. 119
GRFICO N. 45: ESPACIO DISPONIBLE................................................................... 120
GRFICO N. 46: PARTICIO SWAP ............................................................................. 121

GRFICO N. 47: PARTICIONES CONFIGURADAS ................................................. 122
GRFICO N. 48: GESTOR DE ARRANQUE ............................................................... 123
GRFICO N. 49: CONFIGURACIN DE RED ........................................................... 124
GRFICO N. 50: ZONA HORARIA .............................................................................. 125
GRFICO N. 51: CONTRASEA ROOT ..................................................................... 126
GRFICO N. 52: MODO GRAFICO GNOME............................................................. 127
GRFICO N. 53: SELECCIN DE SERVIDORES ..................................................... 128
GRFICO N. 54: ASISTENTE DE CONFIGURACIN ............................................. 129
GRFICO N. 55: CONFIGURACIN DE CONTAFUEGOS..................................... 130
GRFICO N. 56: CONFIGURACIN DE SELINUX .................................................. 131
GRFICO N. 57: CREACIN DE USUARIO .............................................................. 132
GRFICO N. 58: INICIO DE WINDOWS 2003 SERVER .......................................... 133
GRFICO N. 59: LICENCIA DE WINDOWS SERVER 2003 .................................... 134
GRFICO N. 60: PARTICIN DEL DISCO DURO.................................................... 135
GRFICO N. 61: ASIGNACN DE ESPACIO ............................................................ 136
GRFICO N. 62: UNIDAD DE INSTALACIN DE WINDOWS .............................. 137
GRFICO N. 63: ASIGNACN DE ESPACIO ............................................................ 138
GRFICO N. 64: SELECCIN DE IDIOMA ............................................................... 139
GRFICO N. 65: NMERO DE CONEXIONES CONCURRENTES ....................... 140
GRFICO N. 66: CONTRSEA DE ADMINISTRADOR .......................................... 141
GRFICO N. 67: CONFIGURACIN DE RED ........................................................... 142
GRFICO N. 68: GRUPO DE TRABAJO ..................................................................... 143
GRFICO N. 69: SCRIPT DE WEBMIN ...................................................................... 145
GRFICO N. 70: CONFIGURACIN WEBMIN ........................................................ 146
xi
GRFICO N. 71: IP DE RED LAN (eth0)...................................................................... 149

GRFICO N. 72: IP DE INTERFAZ WAN (eth1) ........................................................ 150
GRFICO N. 73: IP DE LA DMZ (eth2)........................................................................ 150
GRFICO N. 74: RED LOCAL ...................................................................................... 151
GRFICO N. 75: PING A LA INTERFAZ DE LA LAN ............................................. 152
GRFICO N. 76: PING A LA INTERFAZ DE LA WAN ............................................ 152
GRFICO N. 77: TELNET A LA INTERFAZ DE LA LAN ....................................... 153
GRFICO N. 78: TELNET DE UN SERVIDOR DE LA DMZ A UN---------------------EQUIPO DE LA LAN ........................................................................................................ 153
xii
COMPUTACIONALES
GUA DE IMPLEMENTACIN DE UNA DZM
RESUMEN
Actualmente la seguridad de la informacin en la red es un tema predominante para
las organizaciones, ya que de ello depende su comunicacin con otras organizaciones
y la confiabilidad de los datos que manejan en la red. Por ello la necesidad de contar
con una DMZ debido a que nos proporciona un nivel de proteccin adicional en la red
de la organizacin. Una DMZ (Zona Desmilitarizada) es una pequea red que se sita
entre la red interna o LAN de la organizacin y la red externa o internet, la cual
ofrece fiabilidad en el intercambio de la informacin y permite reducir los efectos de
ataques maliciosos en la red interna de la organizacin. El objetivo de una DMZ es
controlar los accesos que provienen desde el exterior de la red hacia interior de la red
de la organizacin y proteger la confidencialidad de los datos manejados a travs de
la red. La importancia del presente proyecto radica en ofrecer una gua de
implementacin de una DMZ en la empresa IT/CORP, como parte del contenido se
encontrara las diferentes alternativas hardware y software que pueden ser utilizadas
como Firewall en la red de la empresa, la configuracin de los servicios que estarn
contenidos en la DMZ y las polticas que maneja la empresa para los accesos a la red.
Se concluy que una DMZ ofrece un nivel adicional en la red de una organizacin,
adems se puede contener aislados los servicios de la empresa. Adems por medio de
la utilizacin de un software libre se puede disminuir el nivel de inversin de la
empresa para implementar una DMZ en la red. Se recomienda tener cuidado en la
configuracin de la reglas del Firewall para evitar tener problemas posteriores con los
colaboradores de la organizacin.
COMPUTACIONALES
GUA DE IMPLEMENTACIN DE UNA DZM
ABSTRACT
Currently, the information security in the network is a predominant theme for
organizations, because it depends on your communication with other organizations
and the reliability of data used in the network. Hence the need for a DMZ because it
provides an additional level of protection in the network of the organization. A DMZ
(Demilitarized Zone) is a small network that sits between your internal network or
LAN of the organization and the external network or the Internet, which provides
reliability in the exchange of information and reduces the effects of malicious attacks
on the network internal organization. The purpose of a DMZ is to control the accesses
come from outside the network to the inside of the organization's network and protect
the confidentiality of data handled by the network. The importance of this project is
to provide guidance for implementing a DMZ in the enterprise IT/CORP, as part of
the content found different hardware and software alternatives that can be used as a
firewall on the corporate network, configuring services that will be contained in the
DMZ and the company that manages policies for network access. It was concluded
that a DMZ provides an extra layer in the network of an organization and can contain
isolated services company. Also through the use of free software can reduce the level
of investment by the company to implement a DMZ on the network. Caution is
advised in the configuration of the firewall rules to avoid future problems with
employees of the organization.
INTRODUCCIN
El presente proyecto tiene como finalidad realizar una gua con los pasos adecuados
para implementar una DMZ (Zona Desmilitarizada), como medio de proteccin de la
red interna de la empresa IT/CORP 1, con el objetivo de mejorar la seguridad de la
institucin a fin de salvaguardar toda la infraestructura tecnolgica (Software,
Hardware) que se pueda comprometer cuando algn intruso pretenda violar la
seguridad.
En la actualidad la seguridad es un tema fundamental para las organizaciones, las

cuales son cada vez ms dependientes de sus redes informticas y un problema, por
mnimo que sea, puede llegar afectar en sus operaciones diarias, la falta de medidas
de seguridad para proteger la informacin confidencial y la popularidad del internet
es un tema que va creciendo diariamente, por ello la importancia de tener una
arquitectura que proporcione un nivel de seguridad mayor, como contar con una
DMZ en la estructura de red de la empresa IT/CORP.
IT/CORP, es una empresa asesora en recursos de IT, asesora tecnologa, ofrecen servicios
especializados en mantenimiento, helpdesk y administracin de infraestructura, redes, etc. Fuente:
http://www.it-corp.com/
Una DMZ (Zona Desmilitarizada) o Red Perimetral, es una red que se ubica entre la
red interna (LAN) de una organizacin y la red pblica (internet) que incorpora
segmentos de red para acceder a los equipos internos de la empresa y la red pblica;
el objetivo de una DMZ es asegurar el intercambio de informacin entre la red
externa y la red interna sin comprometer la seguridad de la empresa IT/CORP.
Contar con una DMZ en la red proporciona un mayor nivel de seguridad y fiabilidad
en la empresa, debido a que se consigue reducir los efectos de un ataque exitoso al
proporcionar un aislamiento de la red interna con la red externa de la organizacin,
sin comprometer la seguridad de la red de la institucin y causar algn tipo de dao.
Si la confidencialidad de la informacin es importante para cualquier individuo, en

una empresa adquiere mayor magnitud, uno de los sistemas operativos utilizados para
implementar una DMZ es Linux debido a que ofrece programas Open Source, lo cual
es beneficioso para la economa de las PYMES (Pequeas Y Medianas Empresas),
sin embargo, no es el nico que puede ser utilizado por cuanto en esta gua trataremos
de recomendar la mejor solucin a implementar, que se adapte al costo/beneficio de la
empresa.
CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIN DEL PROBLEMA EN UN CONTEXTO
La necesidad de mejorar la seguridad en la red para reducir amenazas de seguridad

que se presentan en las labores diarias, nos conlleva a mejorar las distribuciones de
acceso en la red de la empresa IT/CORP, de manera que nos permita realizar un
intercambio de informacin confiable.
Actualmente el acceso a las tecnologas, incrementa las amenazas de seguridad en la

red, debido a los mltiples conocimientos que se adquieren mediante la utilizacin de
internet, los cuales no siempre son utilizados con fines benficos, por lo cual debemos
mantener protegida la red de la empresa da a da, esto se puede lograr mediante la
utilizacin de una DMZ que es un complemento adicional de la infraestructura de red.
SITUACIN CONFLICTO NUDOS CRTICOS
Muchos inconvenientes se inician por la falta de estrategias de proteccin contra las

diferentes vulnerabilidades que se presentan diariamente, esto conlleva a que la red se
encuentre expuesta a graves problemas de seguridad, a comprometer su informacin
sensible y por ende su imagen corporativa.
Al principio, las amenazas de internet no eran ms que una molestia, sin embargo, los
maliciosos ataques de hoy en da pueden llegar a entorpecer la actividad comercial de
la empresa IT/CORP, por lo cual se debe disminuir los accesos no autorizados a la red
e incrementar la seguridad para contar una mayor proteccin en la transferencia y
acceso a la informacin.
En esta Gua de Implementacin de una DMZ, se expondr la informacin relevante

que permita al lector conocer como implementar una DMZ dentro de la red de la
empresa IT/CORP, las configuraciones bsicas de los servicios que son accedidos
desde el exterior en la empresa IT/CORP y que estarn contenidos en la DMZ.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Las causas que motivan al problema, es incrementar el nivel de seguridad en los

accesos a los servicios externos que proporciona la empresa IT/CORP, mediante la
utilizacin de una DMZ para cubrir aun ms las vulnerabilidades que se presentan en
la situacin laboral.
CUADRO N. 1
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
CAUSAS
CONSECUENCIAS
Exposicin de la informacin Utilizar
confidencial de la empresa con
contenida en los servidores.

Libre acceso de personal no
de
fines perjudiciales.
Prdida
autorizado a la red.
Transferencia
datos
autorizados.
Incremento de trfico en la red
informacin
no
de
informacin
contenida en la red.
Baja
confiablidad
en
el
intercambio de informacin.
Disminucin de acceso a la red
por lo cual se formaran los
cuellos de botella.
Elaboracin: Marixelinda Espaa Escobar.

Fuente: Marixelinda Espaa Escobar.
DELIMITACIN DEL PROBLEMA
Se debe tener en cuenta que a diario incrementan la cantidad de personas que desean
violar la seguridad de la red de la empresa IT/CORP, por lo cual contar con una DMZ
es un factor importante debido a que sta se convierte en un callejn sin salida para
cualquiera que desee conectarse ilegalmente a la red.
Para obtener el diseo de red que maneja actualmente la empresa IT/CORP, se

realizara una entrevista al jefe del departamento de redes e infraestructura de la
organizacin, esta entrevista ser realizada con el fin de obtener la informacin
necesaria para la correcta elaboracin del presente proyecto. Adicionalmente se
investigara el diseo de red manejado actualmente por la empresa IT/CORP.
Se efectuaran investigaciones para determinar el tipo de estructura adecuado que se

puede utilizar con una DMZ, el cual se adapte al diseo de red de la empresa
IT/CORP, y determinar el modelo de estructura de DMZ que ser sugerido como
referencia para el diseo de red de la empresa.
Se investigara el software, hardware que podran ser utilizados cuando se realice la

implementacin de la DMZ que se sugiere en el presente proyecto para la red de la
empresa IT/CORP, el cual se debe adaptar costo/beneficio que posee actualmente la
organizacin.
Se investigara y configurara los servicios de acceso que se van a restringir y permitir

para los usuarios de la organizacin, con la finalidad de realizar una correcta
configuracin de la DMZ que ser sugerida para la empresa IT/CORP.
FORMULACIN DEL PROBLEMA
Entonces, Por qu no contar con una Zona Desmilitarizada para tener una mayor
proteccin en la arquitectura de red de la empresa IT/CORP?, para prevenir de
accesos no autorizados que pueden comprometer la estabilidad de red de la empresa y
obtener un mayor nivel de seguridad en la organizacin.
EVALUACIN DEL PROBLEMA
La elaboracin de la presente gua est orientada a la red de la empresa IT/CORP, la

cual no cuentan con una DMZ en la red, sin embargo, esta gua se orientara en
establecer la mejor forma de implementar una DMZ y que ayude a tener controlado
los accesos a la red que se realizan diariamente en esta institucin.
Contar con una gua de implementacin de una DMZ, es de vital importancia debido
a que ser de gran ayuda para el personal tcnico, el mismo que conocer como
realizar la implementacin y la alta seguridad que se brinda por medio de una Zona
Desmilitarizada.
Una DMZ ayuda a minimizar los riegos de acceso de usuarios no autorizados que
intentan comprometer la seguridad de la red de la empresa IT/CORP, debido a los
distintos riesgos que van creciendo da a da en el entorno tecnolgico.
La gua de implementacin de la DMZ ser redactada de manera precisa y clara con

los pasos adecuados para realizar una implementacin de una DMZ, con la finalidad
de que sea de utilidad para personal tcnico de la empresa IT/CORP.
En la actualidad la inseguridad de las redes es un tema que va creciendo

constantemente, por ello se debe mantener una alta seguridad en la red, para prohibir
los accesos no autorizados y minimizar el nivel de riesgo al que est expuesta la
informacin de la empresa IT/CORP.
OBJETIVOS
OBJETIVO GENERAL
Elaborar una gua para realizar una implementacin de una DMZ para la empresa
IT/CORP, con la finalidad de asegurar la infraestructura de red, garantizando la
confiabilidad de los sistemas de informacin e intercambio de servicios que
proporciona esta Mediana Empresa y evitar los accesos indebidos de personal no
autorizado a la red.
10
OBJETIVOS ESPECFICOS
Evaluar las polticas de seguridad que deben ser tomadas en cuenta en la

implementacin de una DMZ (Zona Desmilitarizada) en la empresa IT/CORP y
eliminar las comunicaciones directas entre la red corporativa interna y la red
pblica o internet.
Estudiar la configuracin adecuada de los accesos que debe tener el firewall para
la correcta elaboracin de la gua de implementacin de la DMZ (Zona
Desmilitarizada).
Establecer los lineamientos para elaborar la gua de implementacin de una DMZ

(Zona Desmilitarizada) en la empresa IT/CORP, como un mecanismo de
seguridad en la red de esta Mediana Empresa.
11
ALCANCES
Se entrevistar al jefe de redes para determinar el diseo de red que se maneja en

la empresa IT/CORP.
Investigar el diseo de red que maneja actualmente la empresa IT/CORP.
Investigar los tipos de estructura de red que se puedan manejar cuando se utiliza
una DMZ.
Determinar el modelo de estructura de DMZ que ser sugerido como referencia

para ser incorporado en la red de la empresa IT/CORP.
Investigar el software, hardware adecuado que podra ser utilizado cuando se

implemente una DMZ en la red, que mejor se adapte al costo/beneficio de la
empresa IT/CORP.
Investigar los servicios que se deben configurar para la adecuada utilizacin de la

DMZ en la red de la empresa IT/CORP.
Configurar los servicios que se van a restringir y permitir para los usuarios de la
empresa IT/CORP.
12
JUSTIFICACIN E IMPORTANCIA
La seguridad de la informacin y los equipos son cada vez ms importante en una

empresa ya que de ellos depende su comunicacin con otras empresas y la integridad
de su informacin, es por ello que se debe contar con una red cada vez ms segura.
Con la elaboracin de la gua de implementacin se ver beneficiada la empresa

IT/CORP, la cual podr realizar de manera prctica una implementacin de una DMZ
para asegurar la red de personal no autorizado que desea daarla, y as contar con una
proteccin adicional en esta organizacin.
As mismo se sabr cmo mantener segura la informacin de personal no autorizado,

cuya modificacin solo sea realizada por las personas que se encuentren acreditadas y
dentro de los lmites de autorizacin establecidos por la empresa. En consecuencia,
ayudar a que el personal tenga conocimientos de cmo realizar una DMZ en la
organizacin, para proteger la integridad de la informacin y la imagen tecnolgica
que refleja la empresa al exterior.
13
El personal competente al analizar los riesgos que conlleva no tener protegida la

informacin confidencial que se maneja en la empresa, los conduce a la necesidad de
manejar una mejor estructura en la red en la organizacin, es por ello que nace el
inters de contar con una gua de implementacin de una DMZ, con el propsito de
tener una propuesta de estructura de red, que pueda ser utilizada en la empresa
IT/CORP.
14
CAPTULO II
MARCO TERICO
ANTECEDENTES DEL ESTUDIO
Para dar inicio a la comprensin del problema planteado, en el presente proyecto se

analizaron varios trabajos de investigacin, que de manera indirecta proporcionaron
una base para el proceso de inicio de desarrollo del problema planteado, a
continuacin se mencionan los que sirvieron de antecedentes para la realizacin del
presente proyecto.
Entre los trabajos de investigacin se encuentran el de Ferrer Berbejal, Mnica

(Enero, 2006), para optar por el ttulo de Ingeniera Tcnica de Telecomunicaciones
en la Universidad Politcnica de Catalua, titulada Firewalls software: Estudio,
instalacin, configuracin de escenarios y comparativa; en este trabajo se plantea un
estudio, implementacin y anlisis de tres tipos de firewall, los cuales estn
implementados en diferentes Sistemas Operativos como: Debian Sarge de Linux,
Windows Server 2003 y OpenBSD, en los cuales se configuran los servicios ms
comunes que ofrece una empresa y que deben ser protegidos por medio de un
firewall, adems se realiza una simulacin y anlisis de las vulnerabilidades que
15
presentan los firewalls por medio de la herramienta Nessus. Este trabajo de

investigacin
est
disponible
en:
upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
Arellano, Gabriel (Marzo, 2005), Facultad Regional Concepcin del Uruguay en la

Universidad Tecnolgica Nacional, titulada Seguridad Perimetral, plantea
alternativas de implantacin para obtener una mayor seguridad en la red, como: DMZ
con Muro Doble, Router Apantallados, Firewall, utilizacin de servicios Proxys e
indica los diseos que se pueden considerar cuando se utilizan cada una de las
alternativas de implantacin. Esta investigacin est disponible en la siguiente
direccin: www.gabriel-arellano.com.ar/file_download/14
Zrate Prez, Jorge A. y Farias Elinos Mario (Abril, 2006), titulada Implementacin
de una DMZ, en esta investigacin muestra las lneas de configuracin para el
sistema OpenBSD, NetFlow, la sintaxis de reglas para realizar un filtrado de paquetes
en la red, bloquea los paquetes falsificados (spoofing), ofrece como realizar NAT
(Network Address Translation) y varias configuraciones para poder implementar una
DMZ; una de las conclusiones a las cuales llego esta investigacin es que la DMZ
permite tener un nivel de seguridad aceptable, obtener un mayor control usuarioservicio, adems que se requiere de un bajo mantenimiento de la misma y ofrece la
16
inspeccin de paquetes a nivel de aplicacin. Esta investigacin est disponible en la

siguiente direccin:
http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf
Conza Gonslez, Andrea Elizabeth (Septiembre, 2009), para optar por el ttulo de
Tecnlogo en Anlisis de Sistemas Informticos en la Escuela Politcnica Nacional
de Quito, titulada Diseo e Implementacin de un prototipo de DMZ y la
interconexin segura mediante VPN utilizando el Firewall Fortigate 60, este trabajo
de investigacin plantea diferentes alternativas de hardware y software que se pueden
utilizar en la implementacin de una DMZ, la alternativa de diseo de red que se
puede implementar en el LTI (Laboratorios de Tecnologas de Informacin), la
configuracin de los servicios que se van a ofrecer en la DMZ a travs del Firewall
Fortigate, configuraciones de VPN en la red LTI, adems se realizan pruebas del
funcionamiento de la DMZ y la VPN. Una de las recomendaciones que se estableci
en el trabajo de investigacin es que se deben analizar las polticas que se
implementen en el Firewall para evitar conflictos con los usuarios de la organizacin.
Esta
investigacin
est
disponible
en
la
siguiente
http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf
direccin:
17
Estos trabajos de investigacin proporcionaron puntos importantes a tener en cuenta

en la realizacin del presente proyecto, como son la adecuada utilizacin de las reglas
que se vayan implementar en el Firewall y de los servicios que se vayan a utilizar en
la DMZ, adems sirvieron como adquisicin de conocimientos en la utilizacin de
diferentes Sistemas Operativos y hardware que se pueden utilizar en la
implementacin de una DMZ en la red.
FUNDAMENTACIN TERICA
RED DE COMPUTADORAS
Una red es un conjunto de equipos conectados entre s, a travs de cables de red,

ondas o cualquier mtodo de transmisin de datos, que se encargan de trasmitir
informacin a quienes lo requieran y a su vez compartir recursos y servicios.
MODELO OSI
Se refiere al conjunto de etapas definidas por las que tienen que pasar las
transferencias de datos en las redes. El Modelo de Referencia de Interconexin de
Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System
Interconnection), fue creado por el ISO (Organizacin Internacional de Estndares),
18
con la finalidad de hacer ms fcil la comunicacin entre las redes a pesar de sistemas
operativos, arquitecturas, localizacin y fabricantes distintos. En las capas del modelo
OSI cada dato se prepara para ir a la siguiente capa. 2
GRFICO N. 1
CAPAS DE MODELO OSI
Elaboracin: Cecilia Urbina

Fuente:http://cecilia-urbina.blogspot.com/2010/08/modeloosi.html
Fuente: http://cecilia-urbina.blogspot.com/2010/08/modelo-osi.html
19
Capas Del Modelo OSI
Capa Fsica
Es el primer nivel del Modelo OSI y se encarga de las conexiones fsicas que debe
cumplir el sistema para que el computador pueda operar normalmente en la red, como
el cableado, las conexiones entre las computadoras de la red, velocidad de
transferencia, comunicacin entre equipos o host y el flujo de bits.
Capa De Enlace
Esta capa obtiene los bits transmitidos por la capa fsica, adems se encarga de la
deteccin y control de errores que ocurren en esta capa, para esto agrupa la
informacin que se va transmitir en unidades llamadas trama (bits ordenados) o
bloques y los transmite a travs del medio (LAN y WAN) e incluye en cada trama
algoritmos los cuales permiten comprobar la integridad fsica de la trama.
Capa De Red
Esta capa es la encargada de determinar la transmisin de los paquetes, la forma en

que sern enviados los datos y de encaminar cada uno a la direccin adecuada. Este
nivel puede subdividirse en transporte y conmutacin.
20
Transporte.- Es la encargada de encapsular los datos que van a ser

transmitidos, en este nivel se encuentra el protocolo IP (Internet Protocol)
encargada de encapsular los datos que se van a transmitir.
Conmutacin.- Es la encargada de intercambiar informacin de conectividad

de la red, los router son dispositivos que trabajan en este nivel de la capa del
Modelo OSI, en este nivel se encuentra el protocolo ICMP (Internet Control
Message Protocol), este protocolo es el responsable de generar los mensaje
cuando ocurre algn problema en la transmisin.
Capa De Transporte
Esta capa garantiza la calidad de la comunicacin debido a que se asegura la

integridad de los datos por medio de algoritmos de deteccin y correccin de errores,
es aqu donde se envan los paquetes de la ruta de origen a la ruta destino, determina
cmo y cuando se deben dividir los mensajes en trozos (datagramas), adems de
utilizarse la retransmisin para asegurase que lleguen los paquetes.
21
Capa De Sesin
Es la encargada de controlar la conexin entre dos computadoras que estn realizando

una transmisin de los datos, es un espacio de tiempo que se asigna para acceder al
sistema por medio del login y obtener acceso a los recursos del computador, adems
si ocurre una interrupcin se encarga de reanudar la conexin.
Capa De Presentacin
Es la primera capa que se encarga de la representacin de los datos a la capa de

aplicacin, esta capa utiliza los datos recibidos y los transforma en formatos que
puedan ser entendidos por la capa de aplicacin como son: imgenes, sonio, video,
audio, etc.
Capa De Aplicacin
Es la capa ms cercana al usuario y a diferencia de los dems niveles no proporciona

ningn servicio a ningn otro nivel, lo que realiza es una interaccin con la capa de
presentacin y se refiere a las aplicaciones de red que se van a utilizar, adems
determina los protocolos que se van a utilizar para intercambiar datos como: HTTP,
SMTP, POP, IMAP, etc.
22
MODELO TCP/IP
El Modelo TCP/IP es un software, el cual puede ser implementado en cualquier tipo

de red, est compuesto por cuatro capas o niveles, no define una capa fsica ni de
enlace, en este modelo cada nivel se encarga de determinados aspectos de la
comunicacin. Todos los protocolos TCP/IP se encuentran en los tres niveles
superiores de este modelo.
GRFICO N. 2
CAPAS DE MODELO TCP/IP
Elaboracin: Microsoft
Fuente:http://technet.microsoft.com/es-es/library/cc786900%28WS.10%
29.aspx
23
Capas Del Modelo TCP/IP
Capa De Acceso A La Red
Esta capa especifica cmo se envan fsicamente los datos a travs de la red, incluye
todos los detalles de la capa Fsica y Enlace del Modelo OSI, realiza asignaciones IP
a las direcciones Fsicas, encapsulamiento de los paquetes IP en tramas, adems
definir la conexin con los medios fsicos.
Capa De Internet
En esta capa realiza un enrutamiento de los datos en datagramas IP, que contendrn la
direccin origen y destino, tiene como propsito seleccionar la mejor ruta para el
envi de los paquetes por la red. Se utiliza el Protocolo de Internet (IP, Internet
Protocol) para el servicio de encaminamiento a travs de varias redes.
Capa De Transporte
Proporciona servicios de transporte entre el host origen y el host destino, aqu se

forma la conexin lgica entre los puntos de la red, adems proporciona una
segmentacin de los datos de la capa superior y es el encargado de definir el nivel de
servicio y el estado de la conexin utilizada al transportar datos. El protocolo que se
24
utiliza en esta capa es el TCP (Transmission Control Protocol) Protocolo que

Controla la Transmisin.
Capa De Aplicacin
Esta capa maneja los protocolos de alto nivel, aspectos de representacin,

codificacin y control de dilogo, tambin contiene las especificaciones para efectuar
las aplicaciones comunes y cmo se conectan los programas de host a los servicios
del nivel de transporte para utilizar la red, TCP/IP tiene protocolos que soportan la
transferencia de archivos, e-mail, y conexin remota, como son los protocolos: FTP,
TFTP, NFS, SMTP, TELNET, SSH.
DIRECCIONES IP
Los equipos para comunicarse en una red, requieren de una direccin de red nica, se
utiliza esta direccin IP para diferenciar un equipo de otro y ayuda a localizar donde
se encuentra este equipo en la red. Existen cuatro clase de direcciones IP que se
utilizan para ser asignadas a los equipos, la clase depender del tamao y tipo de red
que se utilice.
25
Una direccin IP est formada por 32 bits que se agrupan en octetos, adems est
compuesta por dos partes:
ID de Red.- Es la primera parte de la direccin de red, es la que define el

segmento de red al que pertenece el equipo. Todos los equipos del mismo
segmento deben tener el mismo ID de Red. Estn colocados siempre a la
izquierda en la direccin de red.
ID de Host.- Es la segunda parte de la direccin de red, son los bits que

distinguen a un equipo de otro dentro de una red. Estos bits estn colocados en
la parte derecha de la direccin de red.
Clases De Direcciones IP
Existen cuatro clases de direcciones IP segn el tamao de la red de la organizacin,

se optara por un tipo u otro.
Direcciones De Clase A
Las direcciones de clase A, son asignadas a redes con un nmero alto de equipos.
Solo existen 124 redes, los tres bytes de la izquierda representan los equipos de la red.
Esta clase corresponde a redes que pueden direccionar hasta 16.777.214 mquinas
26
cada una, lo cual indica que para las Direcciones de Clase A, las redes van de 1.0.0.0
a 126.0.0.0. Adems el primer bit siempre es 0. La direccin de red 127.0.0.0 se
reserva para las pruebas loopback.
Direcciones De Clase B
Las direcciones de red de clase B, permiten direccionar 65.534 mquinas cada una,
donde los primeros dos bits son siempre 0 y 1. Esto significa que hay 16.382 redes
posibles, es decir, por lo cual una Direccin de Clase B, va de 128.0.0.0 a
191.255.0.0.
Direcciones De Clase C
Las direcciones de red de clase C, se utilizan para redes de rea local pequea LAN,
permiten direccionar 254 mquinas. Existen 2.097.152 direcciones de red de clase C,
por lo tanto, las direcciones van desde 192.0.0.0 a 223.255.255.0. Donde los primeros
tres bits son 1,1 y 0.
Direcciones De Clase D, E y F
Las direcciones de clase D, E y F son un grupo especial no se las asigna a host, se las
utiliza para multicast, un servicio que permite trasmitir material a muchos puntos en
27
una internet a la vez. Donde los cuatro primeros bits son 1110, para una direccin de
clase D, E y F, las direcciones van 224.0.0.0 hasta 254.0.0.0
SEGURIDAD INFORMTICA
La seguridad es la ausencia de peligro, que tiende a garantizar la estabilidad,

integridad y confiabilidad de algo o alguien. La seguridad informtica consiste en
asegurar que los recursos del sistema de informacin (material informtico o
programas) sean utilizados de la manera correcta y que el acceso a la informacin
almacenada, as como su modificacin, slo sea posible por las personas autorizadas.
POLTICAS DE SEGURIDAD
Una poltica de seguridad es tener una directiva predeterminada y una coleccin de

acciones a realizar en respuesta a tipos de mensajes especficos. Cada paquete se
compara, uno a uno, con cada regla de la lista hasta que se encuentra una
coincidencia. Si el paquete no coincide con ninguna regla, fracasa y se aplica la
directiva predeterminada al paquete. 3
Tesis: Firewalls software: Estudio, instalacin, configuracin de escenarios y comparativa

Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
28
TIPOS DE ATAQUE
Spoofing
El intruso simula la identidad de otra mquina de la red para conseguir acceso a

recursos de un tercer sistema que ha establecido algn tipo de confianza basada en el
nombre o la direccin IP del host suplantado. El propsito de estos ataques es tentar
al host atacado, para que acepte datos como si vinieran de la fuente original o bien
para recibir datos que deberan ir hacia la mquina suplantada y alterarlos.34
Sniffing
El Sniffing (husmear en la red) es un tipo de ataque de interceptacin en el que una

mquina diferente a la mquina destino lee los datos de la red. Esto tiene que ver con
el uso de una interfaz de red para recibir datos no destinados a la mquina donde se
encuentra dicha interfaz. 3
Negaciones de Servicio (DoS)
Las negaciones de servicio o Denial of Service son ataques dirigidos contra un

recurso informtico con el objetivo de degradar total o parcialmente los servicios
43

29
prestados por ese recurso. En entornos donde la disponibilidad es valorada por

encima de otros parmetros de la seguridad global puede convertirse en un serio
problema, ya que se podra interrumpir constantemente un servicio sin necesidad de
grandes recursos. Por otra parte este tipo de ataques constituyen en muchos casos uno
de los ataques ms sencillos y contundentes contra todo tipo de servicios. La
inhabilitacin de un servicio se suele hacer porque el atacante lo ha bloqueado
totalmente o porque el propio servicio ha estado sometido a constantes ataques
DoS.35
Barridos PING
Uno de los ataques ms comunes de Denegacin de Servicio es el envo continuado

de paquetes ICMP contra una direccin IP, de manera que respondan todas las
mquinas que se encuentren en esa red. Este tipo de ataque puede ser fcilmente
detectado por el administrador de la red ya que genera una gran cantidad de trfico.3
Escaneo de puertos
Este tipo de ataque es utilizado con herramientas que verifican los puertos que se
encuentran abiertos en la red para de esta manera poner ingresar y controlar la red,
tambin son utilizados para verificar los fallos en la red.
3

30
PARA EVITAR ATAQUES EN LA RED
Para evitar ataques se debe codificar o cifrar la informacin, es decir, tener

contraseas de acceso, las cuales sean difciles de averiguar a partir de datos
personales del individuo. Realizar una vigilancia y monitoreo de la red, contar con
una Zona Desmilitarizada, contar con tecnologas protectoras como los cortafuegos o
Firewall, sistema de deteccin de intrusos antispyware, antivirus, llaves para
proteccin de software, etc., proteger los sistemas de informacin con las
actualizaciones de seguridad ms importantes.
SERVIDORES
Servidor DNS
Un servidor DNS (Domain Name Service), se utiliza para proporcionar a las

computadoras de los clientes un nombre similar a las direcciones IP. Este servidor
trabaja de forma jerrquica para intercambiar informacin y obtener direcciones IP de
otras LAN. El uso de este servidor es transparente para los usuarios cuando ste est
bien configurado.
31
Servidor DHCP
Para que un equipo pueda comunicarse y realizar intercambio de informacin a travs

de la red, requiere de una direccin IP y una mscara, el Servidor DHCP (Dynamic
Host Configuration Protocol), es el encargado de proporcionar una configuracin
dinmica de las direcciones IP para los equipos que se encuentran dentro de la red de
la organizacin, adems con la utilizacin de este servidor se puede evitar la
asignacin de IP de manera manual.
Servidor De Correo
El correo electrnico es el servicio ms utilizado hoy en da y que ofrece la

posibilidad de comunicarse rpidamente con todo el mundo desde una estacin de
trabajo, en el cual intervienen tres agentes el remitente, el agente de trasporte de
correo y el destinatario. El remitente es el que da el formato, lo dirige y entrega al
agente de transporte de correo, este agente es el encargado de aceptar los mensajes de
los usuarios y encamina el mensaje por la red adecuada y el reenvo y finalmente el
destinatario, entrega los mensajes al receptor.
32
Servidor de FTP
El servidor FTP (File Transfer Protocol), ofrece transferencia de ficheros de un

directorio a otro, se utiliza de modo cliente-servidor, el cliente FTP indica que desea
acceder a los datos contenidos en el servidor, el servidor proporciona la direccin y el
puerto aleatorio para permitir el acceso, luego el cliente se conecta y descarga la
informacin deseada.
ZONA DESMILITARIZADA (DMZ)
Una Zona Desmilitarizada (DMZ, Demilitarized Zone) o tambin conocida como Red
Perimetral, es una pequea red local que se ubica entre la red interna de la
organizacin y la red externa generalmente el internet.
El objetivo de una DMZ es controlar los accesos desde el exterior hacia el interior de
la red de la organizacin para proteger la confidencialidad de los datos que son
manejados en la red y controlar los accesos desde la red interna hacia el exterior de la
red, en caso de que intrusos intente comprometer la seguridad de los equipos situados
en la red, por lo cual con la utilizacin de una DMZ se pude obtener un mayor nivel
de seguridad en la red de la organizacin.
33
Una DMZ se la utiliza frecuentemente para ubicar servidores que se requieren que
sean accedidos desde el exterior de la red, como lo son Correo, FTP, Web, etc., una
DMZ se crea a travs de las configuraciones del Firewall, por lo cual existen varios
tipos y diseos de Firewall.
Contar una DMZ en la red nos ofrecer ciertas ventajas como tener mayor tolerancia
a fallos, se podr tener un mayor control de los accesos permitidos a los usuarios,
mayor flexibilidad debido a que se pueden definir varias DMZ tanto como se necesite
para proteger la red de accesos inseguros, adems no se tendr accesos directos a la
red interna de la empresa.
Es posible agregar varios niveles de DMZ agregando mas Router o Firewall, pero las
reglas que se le apliquen a cada uno deben ser distintas, de lo contrario los niveles de
DMZ se especificarian como si se tuviera uno solo.
El siguiente grafico se utilizan dos Firewall, el exterior tiene como mision evitar el
trafico hacia la red interna y hacia la red externa, el Firewall interior evita el trafico
34
entre la red interna y la DMZ, la configuracion de los sistemas Dual Host pueden
ser complicados.
GRFICO N. 3
CAPAS DE MODELO SCREENED SUBNET
Elaboracin: Unin Internautas

Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16
&t=3611
Pero si se realiza una adecuada configuracion y administracion brinda algunas

ventajas de seguridad, como: ocultamiento de la informacion, registro y autenticacin
de actividades, reglas de filtrado menos complejas, entre otras.
Sin embargo, la DMZ tambin tiene ciertas limitaciones como: dificultad en la

administracin de reglas del Firewall que deben trabajar en conjunto para los accesos
35
a la red, si las reglas no estn bien elaboradas se puede tener una sensacin de falsa
seguridad en la red de la organizacin.
HISTORIA DE LA DMZ
El nombre al sistema DMZ, es tomado de una franja de terreno neutral que separa a
Corea del Sur con Corea del Norte, es tomado de la Guerra de Corea que se
encontraba vigente y en tregua desde 1953, a pesar de que esta zona desmilitarizada
es un terreno neutral es una de las ms peligrosas del planeta, por lo cual DMZ se
refiere a un rea entre dos enemigos.
FIREWALL
Un Firewall o Cortafuegos es un sistema de seguridad de redes en el que se protege

una mquina o subred de servicios que desde el exterior puedan suponer una amenaza
a su seguridad. Dicho en otras palabras, es un sistema de aislamiento entre dos o ms
redes para evitar comunicaciones indeseadas. El Firewall acta de filtro, de manera
que examina todos y cada uno de los paquetes de informacin en base a unas reglas
definidas. Es bajo una poltica de seguridad que decide qu paquetes puede aceptar,
cules modificar o cules bloquear.36

36
Categoras De Los Firewall
Identificar los distintos firewall que existen, nos permitir tener una idea ms clara de
las configuraciones que se deben realizar para implementar una DMZ en la red de la
empresa IT/CORP. Se indicara una descripcin general de las categoras de Firewall
que existe, como son: Firewalls de Filtracin de Paquetes (Choke), Servidores Proxy
a Nivel de Aplicacin (Proxy Gateway de Aplicaciones) y Firewalls de Inspeccin de
Paquetes (SPI, Stateful Packet Inspection).
Firewalls de Filtracin de Paquetes (choke)
En esta categora se aprovecha la utilidad del router para realizar el Filtrado de

Paquetes, permite al administrador de red definir un conjunto de reglas para aceptar o
denegar un paquete que se vaya a transmitir a travs de la interfaz de red.
El Firewall verifica esta direccin IP, de donde proviene el trfico entrante y rechaza
todo trfico que no coincida con la lista de direcciones que se manejan en el Firewall.
El Firewall de Filtracin de Paquetes trabaja a nivel de la capa de transporte y capa de
37
red del modelo OSI y estn conectados a ambos permetros de la red (interior y
exterior).
El filtrado de paquetes se lo realiza segn la informacin contenida en un paquete,

como:
IP origen y destino
Puerto origen y destino
Protocolo usado TCP/UDP.
GRFICO N. 4
FILTRACIN DE PAQUETES (CHOKE)
Elaboracin: Grupo de Seguridad del CEM

Fuente: Firewall.ppt
38
El filtrado de paquetes mediante direcciones IP y puertos, permite al administrador de

la red establecer los servicios que estarn disponibles y determinar para que usuarios
y por cuales puertos estarn disponibles.
Estos Firewalls tienen las ventajas de ser transparentes para los usuarios conectados
en la red y tiene alta velocidad. Sin embargo presenta debilidades como: IP spoofing
(Espionaje IP), la idea de este ataque es que los datos parecen originarse de una
fuente confiable o incluso de una direccin IP propia de la red, no protege las capas
superiores del modelo OSI, adems las reglas de filtrado de paquete son difciles de
configurar y monitorear, cualquier error en la configuracin puede dejarlo vulnerable
ante los ataques.
Servidores Proxy a Nivel de Aplicacin (Proxy Gateway de Aplicaciones)
Es un software de aplicacin, el cual ser encarga de examinar las aplicaciones

utilizadas por los paquetes, con la finalidad de comprobar la autenticacin de los
mismos. Estas aplicaciones se las conoce como Servidores Proxy y la maquina donde
se ejecuta recibe el nombre de Gateway de Aplicaciones o Bastin Host.
39
El proxy acta como intermediario entre el servidor que se desea acceder y los
equipos de una organizacin, siendo transparente para ambas partes, cuando un
usuario desea un servicio en realidad no acceda directamente al servidor, sino que
realiza una peticin al proxy. Este realiza la conexin con el servicio que se desea
acceder y devuelve el resultado al usuario que solicito el servicio. Su funcin es la de
analizar el trfico en busca de algn contenido que viole la seguridad de la red.
GRFICO N. 5
PROXY GATEWAY
Elaboracin: Unin Internautas

Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16
&t=3611
El trafico de cada aplicacin requiere de una instalacin y configuracin para cada

servicio como: HTTP, FTP, SMTP/POP3. Las ventajas que muestra este Firewall es
que ofrece una mayor seguridad que el de Filtrado de Paquetes, sin embargo tambin
tiene sus desventajas, como que no utilizan reglas de control de acceso para garantizar
la conexin, la posibilidad de que personas puedan navegar annimamente, adems
40
puede convertirse en un limitador al no permitir acceder a ciertos puertos y

protocolos.
Firewalls de Inspeccin de Paquetes (SPI, Stateful Packet Inspection).
Este Firewall examina todos los componentes de los paquetes que circulan por la red,
con la finalidad de decidir si es aceptado o rechazado, inspecciona la comunicacin
entrante y saliente para verificar si realmente fue solicitada entonces podr aceptarla,
de lo contrario la rechazara.
GRFICO N. 6
INSPECCIN DE PAQUETES
Elaboracin: Grupo de Seguridad del CEM

Fuente: Firewall.ppt
41
Los datos que son aprobados pasan al siguiente nivel de inspeccin y el software
determinar el estado de cada paquete de datos, as como tambin la procedencia y
destino del mismo. Este Firewall se aplica desde la capa de red hasta la capa de
transporte del Modelo OSI.
TIPOS DE FIREWALL
Unos de los mayores inconvenientes que puede presentar un Firewall es que no

protege de los ataques internos que se puedan producir en la red de la empresa, por
ello es conveniente utilizar Firewalls internos, con la finalidad de brindar una
proteccin desde el interior de la red.
Para determinar el tipo de Firewall adecuado para proteger la red de la empresa, hay
que tener en consideracin los requerimientos de negocio de la empresa y el tamao
de red de la misma, de acuerdo a la implementacin un Firewall se clasifican en:
Firewall Appliance (Basados en Hardware)

Firewall Basados en Software (gratuitos y comerciales)
Firewall Appliance (Basados En Hardware)
42
La mayora de los Firewall Appliance son dispositivos hardware dedicados, estos

equipos son colocados entre la red de la empresa y el internet, cuya funcin es la de
implementar una poltica de acceso, son mquinas diseadas exclusivamente para
trabajar como Firewall especialmente para realizar filtrado de paquetes, la diferencia
con los Firewall por Software es que estos equipos son elaborados para realizar esta
funcin y suelen venir preconfigurados, de modo que solo sea necesario conectarlo a
la red, las actualizaciones son automticas y pueden ser menos susceptibles a las
fallas de seguridad que se presentan en los Sistemas Operativos utilizados para
Firewall, debido a que estos Firewalls integran Sistemas Operativos desarrollados
especficamente para ser utilizados como Firewall.
Por lo general, los dispositivos de Firewall son ms fciles de instalar y configurar

que los productos de Firewall de Software, adems reducen la necesidad de escoger
entre hardware, sistema operativo y software de filtrado debido a que todo viene
configurado en un solo paquete, requieren un nivel de mantenimiento menor que los
Firewall por Software y proporcionan un mayor nivel de seguridad aunque pueden ser
muy costosos.
43
Alternativas De Firewalls Appliance
3Com Office Connect Internet Firewall DMZ
GRFICO N. 7
3COM OFFICECONNECT
Elaboracin: 3Com
Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features
&sku=3C16771-US&pathtype=support
Este firewall bloquea el acceso no autorizado de la red, vienen preconfigurados y

previene de ataques de denegacin, ataques de hackers de servicio, disponible para
100 usuarios. Un puerto DMZ permite a los clientes acceder a su sitio sin exponer su
44
red a los ataques. Para la seguridad global, tambin puede controlar y monitorear el
acceso a Internet por los usuarios de LAN.47
CUADRO N. 2
CARACTERSTICAS Y DESCRIPCIN 3COM OFFICECONNECT
Caractersticas
Hardware
Descripcin
Sistemas operativos compatibles:
Windows 2000 / 98 / 95/NT,
Windows para Trabajo en Grupo,
UNIX, Mac OS 7.5.3 y anteriores.
Tenga en cuenta que este producto
requiere de un mdem o router con
una 10BASE-T o la conexin
Ethernet 10/100 BASE-TX.
3 Puertos RJ-45 10BASE-T
1 Puerto DMZ
Interface
1 Puerto LAN a una red Ethernet

de 10 Mbps o 10/100 Mbps switch.
Conexin ISP
Networking
Protocolos soportados: TCP / IP,

Dynamic
Host
Configuration
Protocol,
Network
Address
Translation
Soporta hasta 100 usuarios
Detalles
Evita los ataques de denegacin de

servicios de hackers tales como:
Ping de la Muerte, inundaciones
Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support
45
SYN,
ataque
por
suplantacin de IP, y Bonk
tierra,
Elaboracin: Marixelinda Espaa Escobar

Fuentes:
http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16
771-US&pathtype=support
http://latam.preciomania.com/search_techspecs_full.php/masterid=256926
/st=product_tab
Cisco ASA 5505 Firewall Edition Bundle
GRFICO N. 8
ASA 5505
Elaboracin: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2
56926/st=product_tab
El Cisco ASA 5505 Adaptive Security Appliance, es un dispositivo de seguridad con

todas las funciones para las pequeas empresas, sucursales y entornos empresariales
que ofrece firewall de alto rendimiento, SSL e IPsec, VPN, redes y servicios ricos en
un sistema modular, "plug-and-play" aparato. Uso de la Web integrado basado en
Cisco Adaptive Security Device Manager, que puede ser desplegado rpidamente y
de fcil manejo, permite a las empresas minimizar los costos de operaciones. El Cisco
46
ASA 5505 ofrece un switch de 8 puertos 10/100 Fast Ethernet, cuyos puertos se
pueden agrupar de forma dinmica para crear hasta tres VLAN separada para el
hogar, los negocios y el trfico de Internet para la segmentacin de red mejorada y la
seguridad.58
CUADRO N. 3
CARACTERSTICAS Y DESCRIPCIN CISCO ASA 5505
Caractersticas
Hardware
Descripcin
RAM instalada (mx.) 256 MB
Memoria flash (mx.) 64 MB Flash
Protocolo de interconexin de datos
Ethernet, Fast Ethernet
Red / Protocolo de transporte: IPSec
Interface
Capacidad Peers VPN IPSec: 25

Peers VPN SSL : 2
Sesiones concurrentes: 25000
Interfaces virtuales (VLAN): 20
1 Puerto DMZ
Networking
Rendimiento
Capacidad
cortafuegos: 150 Mbps
del
Capacidad de la VPN: 100 Mbps
Fuente:http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_adaptativo
_seguridad_series_asa5500.html
47
Soporte para dos VPN para

comunicacin entre oficinas, con
expansin de hasta 25 empleados
Detalles
Soporte para cualquier tipo de red

de rea local desde 5 usuarios.
Appliance de seguridad que integra
VPN.
Switch de 8 puertos 10/100 que
pueden ser agrupados en 3 VLans.

Fuentes:
http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispo
sitivo_adaptativo_seguridad_series_asa5500.html
http://latam.preciomania.com/search_techspecs_full.php/masterid=256926/st
=product_tab
SonicWall PRO 2040 VPN/Firewall
GRFICO N. 9
SONICWALL PRO 2040
Fuente:http://latam.preciomania.com/search_techspecs_full.php/maste
rid=2378586/st=product_tab
48
SonicWall ofrece la serie PRO es una plataforma de seguridad multiservicio para

empresas que requieren slida proteccin de red, junto con un rpido y seguro acceso
a VPN para trabajadores remotos.69
Vinculado a organizaciones que mueven grandes cantidades de datos crticos a travs

de extensas topologas de red complejas. Optimizado para redes de 200 o 50 lugares
en la red, PRO 2040 rene las ventajas del sistema operativo SonicOS en un
dispositivo econmico, rack montado, combina cortafuegos de inspeccin profunda
de paquetes y capacidades de VPN IPSec. Con soporte para Gateway anti-virus,
antispyware, prevencin de intrusiones, filtrado de contenido y bloqueo de spam para
ofrecer seguridad en capas de red.710
CUADRO N. 4
CARACTERSTICAS Y DESCRIPCIN SONICWALL PRO 2040
Caractersticas
Descripcin
RAM instalada 128 MB
Hardware
Interface
6
7
Memoria flash instalada (mx.) 64

MB Flash
1 puerto
LAN
RJ-45
10/100Base-TX
1 puerto
WAN
RJ-45
10/100Base-TX
RJ-45
10/100Base-TX
puerto
Fuente: http://www.sonicwall.com/lat/TotalSecure_Solutions.html
Fuente: http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=product_tab
49
DMZ
1
puerto
Management
RJ-45
Console
Escanea ms de 50 protocolos de red

Networking
Tneles VPN 50 de Sitio a Sitio

Clientes VPN (mximo) 200
25 Interfaces VLAN
Optimizado para redes de hasta 200
nodos o 50 lugares en la red.
Detalles
Es un tipo de producto Appliance

VPN
25.000 Firmas de Amenazas

Fuentes:
http://www.sonicwall.com/lat/TotalSecure_Solutions.html
86/st=product_tab
Netgear ProSecure UTM25
GRFICO N. 10
NETGEAR PROSECURE UTM25
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2
378586/st=product_tab
50
Ideal para empresas que buscan ampliar la eficacia de puerta de enlace de seguridad
en un paquete de alto rendimiento. Incluyen anti-malware/anti-virus lderes en la
industria de exploracin, hbrido en la nube, filtrado de URL, distribuidas Anlisis de
Spam y Anti-Spam con una en el arquitectura de las nubes, HTTP / HTTPS de
inspeccin, SSL e IPSec VPN y soporte VoIP.811
NETGEAR ProSecure Gestin Unificada de Amenazas (UTM) combinan

rendimiento con cobertura de la seguridad global. Pendiente de patente de tecnologa
Stream Scanning permite el uso de una extensa base de datos de virus y software
malicioso, manteniendo un alto nivel de rendimiento y minimizar la latencia de
exploracin.912
CUADRO N. 5
CARACTERSTICAS Y DESCRIPCIN NETGEAR PROSECURE UTM25
Caractersticas
Descripcin
2 Puertos RJ-45 WAN 10/100/1000
Base-T
Interface
1 Zona de despeje
4 Puertos LAN RJ-45 10/100/1000
Base-T
1
puerto
consola
RS-232
de
Fuente: http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=product_tab
51
administracin
1 puerto USB
Filtrado de URL
HTTP / HTTPS de inspeccin
SSL e IPSec VPN
Networking
Soporte VoIP.
8.000
conexiones
mximo
concurrentes
90 Mbps de Inspeccin de Paquetes

Dimensiones: 1,70 cm Altura x 13 "de
ancho x 8.20" de profundidad
Detalles
15 Mbps promedio de Lucha contra el

virus de rendimiento

Fuentes:
http://www.prosecure.netgear.com/products/prosecure-utmseries/models.php
679/st=product_tab
ZyXEL ZyWALL USG 100
GRFICO N. 11
ZYXEL ZYWAL USG100
Elaboracin: ZyXel
52
Fuente:
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=200
40908175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A
El ZyWALL USG 100 es de alto rendimiento, inspeccin profunda de paquetes

plataforma de seguridad para pequeas y medianas oficinas. Se incorpora un firewall,
deteccin de intrusiones y prevencin (IDP), filtrado de contenido, anti-virus, antispam, y VPN en una sola caja.1013
CUADRO N. 6
CARACTERSTICAS Y DESCRIPCIN ZYXEL ZYWALL USG 100
Caractersticas
Hardware
Interface
10
Descripcin
Memoria 256 MB DDR2 RAM
256 MB de memoria Flash
1 Puerto RJ-45 10/100/1000 Base-T
DMZ
Fuente:http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&Category
GroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A
53
4 Puertos LAN RJ-45 10/100/1000

Base-T
2 Puertos WAN RJ-45 10/100/1000
Base-T
2 Puertos USB
1 Puerto de consola DB-9 RS-232 de
administracin.
IPSec VPN
SSL VPN
filtro de contenido
Networking
Anti-Virus
IDP (deteccin y prevencin de
intrusiones)
25 Usuarios PC
Certificado por ICSA
Detalles
Dimensiones del Producto: 1,40 cm

Altura x 9,50 cm Anchura x 6,90 cm
Profundidad.

Fuentes:
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908
175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A
290/st=product_tab
Barracuda 660 Web Application Firewall
GRFICO N. 12
BARRACUDA 660
Elaboracin: Barracuda
54
Fuente:http://www.barracudanetworks.com/ns/products/web-sitefirewall-overview.php
El Barracuda Web Application Firewall ofrece una proteccin completa de las

aplicaciones Web y est diseado para hacer cumplir las polticas, tanto para las
normas de seguridad internas y externas de datos, tales como Payment Card Industry
Estndar de Seguridad Informtica (PCI DSS). Al mismo tiempo, el Barracuda Web
Application Firewall 460 y modelos superiores disponen de un amplio conjunto de
capacidades de entrega de aplicaciones diseada para mejorar el rendimiento,
escalabilidad y capacidad de gestin de datos ms exigentes de hoy en da centro de
las infraestructuras.1114
CUADRO N. 7
CARACTERSTICAS Y DESCRIPCIN BARRACUDA 660
Caractersticas
Hardware
Interface
11
Descripcin
Firewall Appliance
2 x RJ-45 10/100/1000Base-T LAN,
1 x RJ-45 10/100/1000Base-T DMZ,
Fuente: http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php
55
1 x DB-9 Serial RS-232 Management
Dimensiones
1.70" Alto x 16.80" Ancho x 22.60"

Profundidad
HTTP / HTTPS / FTP Protocolo de
validacin
Sitio Web encubrimiento
Respuesta de Control
Salida de Proteccin de Datos de
Robo
Polticas granulares a elementos
Detalles
Protocolo de cheques
Carga de archivos de control
Registro, Supervisin y Presentacin
de Informes
Alta Disponibilidad
Descarga de SSL
Autenticacin y autorizacin

Fuentes:
http://www.barracudanetworks.com/ns/products/web-site-firewalloverview.php
140/st=product_tab
Firewall Basados En Software
Los Firewall Basados en software, resultan ms econmicos que los Firewall basados
en Hardware, estos Firewalls se pueden configurar en base a la poltica de acceso que
el administrador de redes implemente, sin embargo, presentan algunas situaciones que
se deben considerar adecuadamente como la plataforma de hardware y el sistema
56
operativo a utilizar debido a que en los sistemas como Windows o Unix se corren
servicios que no son requeridos si la mquina va a funcionar como Firewall
nicamente.
Lo que hacen estos Firewall es analizar la peticiones de entrada / salida para

bloquearlas o aceptarlas dependiendo de las polticas, sin embargo, su
implementacin depender de la dificultad de acceso que se requiera que tenga el
Firewall, la velocidad de la mquina, la memoria, el procesador, etc.
El administrador del sistema deber monitorearlo constantemente, con la finalidad de

instalar manualmente las actualizaciones ms recientes de seguridad y del sistema
operativo, que en algunos casos no es una tarea sencilla. Sin estas actualizaciones de
seguridad, el software que utiliza el Firewall puede volverse totalmente inservible,
como medio de proteccin de la red.
Actualmente tambin existen los Firewall personales, los cuales se pueden ejecutar en
la maquinas de los usuarios con la finalidad de protegerlas del trafico que se genera
dentro de la misma red, adems permiten definir el trafico permitido hacia y desde
cada host de la red.
Alternativas De Firewalls Por Software
57
Firestarter
Firestarter es una herramienta cortafuegos gratuito para mquinas Linux, sea para
proteger su estacin de trabajo personal o si tiene una red de ordenadores. El software
tiene como objetivo combinar la facilidad de uso con caractersticas de gran alcance,
por lo tanto sirve para usuarios de escritorio Linux y administradores de sistemas.1215
Caractersticas: 12
Software de cdigo abierto, disponible de forma gratuita
La interfaz grfica es fcil de usar.

Un asistente le guiar a travs de la configuracin de su servidor de seguridad
en su primera vez.
Adecuado para uso en equipos de sobremesa, servidores y gateways.
Servidor de seguridad en tiempo real de eventos.
Muestra los intentos de intrusin a medida que ocurren.
Permite compartir la conexin a Internet, opcionalmente con DHCP servicio
para los clientes.
Le permite definir tanto la poltica de acceso de entrada y de salida.
Abrir los puertos, la configuracin de la directiva de servidor de seguridad con
slo unos clics del ratn.
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
58
Habilitar el reenvo de puertos para la red local en cuestin de segundos.

Opcin para el trfico en lista blanca o lista negra
Zorp GPL
Es una nueva generacin de proxy privado de cortafuegos, se utiliza a nivel de

proxies de aplicacin, es modular y basado en componentes, se utiliza un lenguaje de
script para describir las decisiones de poltica, que permite monitorear el trfico
cifrado, vamos a anular
las acciones del cliente, que le permite proteger sus
servidores con su construccin en las capacidades de IDS. La lista es interminable. Le

da todo el poder que necesita para implementar su poltica de seguridad local.1216
Caractersticas: 12
12
Con un lenguaje script como el lenguaje de configuracin y decisin (Python)
Admite protocolos: HTTP, FTP, SSL, TELNET, etc.
La utilizacin de puertas de enlace de aplicaciones modulares
Capaz de analizar los sub-protocolos (por ejemplo, HTTP en SSL )
Puede aadir o eliminar reglas de filtrado de paquetes a la carta
59
Turtle
Permite realizar un servidor de seguridad de Linux de manera rpida y sencilla,

basado en 2.4.x/2.6.x kernel e Iptables.13 Su forma de trabajar es fcil de entender, se
17
pueden definir elementos de servidor de seguridad diferentes (zonas, anfitriones,

redes) y luego configurar los servicios que desea habilitar entre los diferentes
elementos o grupos de elementos. Usted puede hacer esto simplemente editando un
archivo XML o mediante la interfaz web, cmodo, Webmin. 12
Caractersticas: 12
Zonas, Redes, Anfitriones y Definiciones por Grupos.
Las reglas de filtrado, definiciones basadas en servicios.
NAT (traduccin de Direcciones Web).
Enmascaramiento.
LutelWall
Es una herramienta de configuracin Linux de alto nivel, proporciona una fcil

configuracin para instalar Netfilter de manera segura. Su flexibilidad de permite a
12
13
Fuente: http://www.turtlefirewall.com/
60
los administradores de Firewall construir desde muy simples cortafuegos a los ms

complejos, con mltiples subredes, DMZ y cambios de direccin del trfico.1418
Puede ser utilizado en un sistema de servidor de seguridad un multi-funcin de

Gateway / router / servidor o en un sistema autnomo. Este servidor de seguridad est
diseado para ser lo ms simple posible, sin perder la flexibilidad de Netfilter y sus
caractersticas de seguridad.14
LutelWall es un script de Shell Linux Iptables escrito en bash para su uso como un
firewall y NAT / router para las redes de una o varias subredes.12
Caractersticas: 12
Deteccin automtica del tipo de conexin (esttico/dinmico externo/interno)
Actualizacin automtica de la herramienta de servidor de seguridad.
Muestra estadsticas de firewall en iptables, o en formato HTML.
Fcil implementacin en todas las distribuciones.

Endian
12
14
Fuente: http://firewall.lutel.pl/
61
Endian es una "llave en mano" de distribucin de seguridad de Linux que convierte

cada sistema en un dispositivo de seguridad con todas las funciones de gestin
unificada de amenazas (UTM). El software ha sido diseado con la facilidad de uso y
es muy fcil de instalar, utilizar y gestionar, sin perder su flexibilidad. 15 19
Caractersticas: 12
Firewall de inspeccin de paquetes con estado.
Proxies a nivel de aplicacin para los distintos protocolos (HTTP, FTP, POP3,
SMTP) con el apoyo de antivirus, virus.
Filtrado de spam para el trfico de correo electrnico (POP y SMTP).
Filtrado de contenido de trfico de Internet
Smoothwall
SmoothWall Express es una distribucin de cdigo fuente abierto basado en firewall

de GNU / Linux de sistema operativo. SmoothWall incluye un subconjunto
endurecido del sistema operativo GNU / Linux, por lo cual no se lo puede separar del
sistema operativo al instalar. Diseado para la facilidad de uso, SmoothWall se
configura a travs de un GUI basado en web, y no requiere absolutamente ningn
conocimiento de Linux para instalar o utilizar.12
12
20
Fuente: http://www.endian.com/en/community/overview
12
15
62
CentOS
Es una de las distribuciones de Linux que ofrece ms robustez y dinamismo con

respecto al trabajo y lo necesario de cualquier ndole, esta distribucin ofrece varias
funciones entre la cuales tenemos: Servidor web Apache (SSL), Servidor de correo
Postfix con SMTP-AUTH y TLS, Servidor DNS BIND, Servidor FTP ProFTP,
Servidor MySQL, Servidor POP3/IMAP POP3/IMAP, Firewall, etc.
ANLISIS COMPARATIVO
63
A continuacin se mostraran los costos de los dispositivos Firewall, los cuales fueron
nombrados anteriormente, considerando el tamao de la organizacin.
CUADRO N. 8
LISTA DE PRECIOS DE FIREWALL
Firewalls
Tamao Empresa
Precio
3Com OfficeConnect Internet Firewall

DMZ
Pequea y Mediana
Empresa
$ 252.10
Cisco ASA 5505 Firewall Edition Bundle
Pequea y Mediana
Empresa
$ 549.00
SonicWall PRO 2040 VPN/Firewall
Medianas Empresas
$ 1,770.00
Netgear ProSecure UTM25
Pequea y Mediana
Empresa
$ 379.00
ZyXEL ZyWALL USG 100
Pequea y Mediana
Empresa
$ 361.00
Barracuda 660 Web Application Firewall
Pequea y Mediana
Empresa
$ 16,054.00

Fuentes:
http://www2.shopping.com/firewall/products?CLT=SCH
http://latam.preciomania.com
Seleccin De La Mejor Alternativa De Firewall
64
Considerando que la empresa IT/CORP es una Mediana Empresa, que no realiza

inversin anual para los equipos del rea de redes, se concluye que es necesario
utilizar un Firewall Software para la configuracin de la DMZ en la red, como el
software CentOS 5.2 que es utilizado actualmente en el Firewall.
Sin embargo, si la empresa en un futuro desea invertir en equipos de redes se

recomienda la utilizacin de un Firewall Appliance, debido a que son equipos
dedicados y son fciles de implementar y configurar debido a que proporcionan un
Sistema Operativo creado para Firewall. El Firewall Appliance que se recomienda
para la empresa IT/CORP es CISCO ASA 5505 Firewall Edition Bundle, debido a
que se ajusta a las necesidades que posee actualmente la empresa, le proporciona 8
puertos de red, para un futuro crecimiento proporciona 25000 sesiones recurrentes,
posee un bajo costo de inversin al minimizar los costes de operaciones y varias
caractersticas adicionales que estn expuestas anteriormente.
FUNDAMENTACIN LEGAL
65
La autora de esta tesis de grado corresponde exclusivamente a los subscritos,

pertenecientes a la Universidad de Guayaquil los derechos que generen la aplicacin
de la misma. (Reglamento de Graduacin de la Carrera de Ingeniera en Sistemas
Computacionales, Articulo 26).
HIPTESIS
Si se configura adecuadamente los parmetros de la DMZ para la empresa

IT/CORP se lograra tener una mayor seguridad en la red de la empresa.
Si la empresa IT/CORP no tiene configuradas adecuadamente las polticas de

seguridad y no lleva un control de su Firewall se comprobara que las
comunicaciones son directas entre la red interna y la red externa.
VARIABLES DE LA INVESTIGACIN
66
Las variables a considerar en la realizacin del proyecto Guia de Implementacion de

una DMZ son las siguientes:
VARIABLE INDEPENDIENTE
Gua De Implementacin De Una DMZ
Una gua de implementacin de una DMZ es un documento que contiene informacin

adecuada y comprensiva acerca de cmo se debe implementar una DMZ en la red,
con la finalidad de llevar a cabo el funcionamiento de la DMZ en la red de la empresa
IT/CORP, es realizada para los usuarios que poseen poca experiencia acerca de este
tema, e incluso podr ser utilizada para mejorar la seguridad en la red que posee
actualmente la empresa.
VARIABLE DEPENDIENTE
67
Firewall Como Medio De Proteccin En La Red
Un Firewall sirve como medio de proteccin para la red interna de la empresa,

adems ayuda a tener un mejor control de los accesos e intercambio de informacin
en la red, adicionalmente por medio del Firewall se determinan las polticas y accesos
que se permiten a los diferentes usuarios en la red haciendo uso de la DMZ.
DEFINICIONES CONCEPTUALES
68
BIT.- Es la unidad mnima de informacin, con el cual se pueden representar valores

en informtica.
PROTOCOLO IP (INTERNET PROTOCOLO).- Es un protocolo usado para la

comunicacin de datos a travs de una red.
DATAGRAMAS.- Son datos que viajan a travs de la red que son tratados de forma
independiente, los que contienen una direccin IP y los datos que van a ser enviados
al destino.
ENRUTAMIENTO.- Tambin conocido como encaminamiento o ruteo, es el

camino o ruta por el que viajan los datos que son enviados desde un origen para llegar
a su destino.
ENCAPSULAMIENTO.- Es el ocultamiento del estado de un objeto de la red de

manera que solo pueda cambiar mediante operaciones establecidas para ese objeto.
LAN (LOCAL REA NETWORK).- Es una red de rea local o red interna, que
conecta los ordenadores en un rea pequea de una organizacin.
69
WAN (WIDE AREA NETWORK).- Es una red de rea amplia o red externa, la
cual contiene varias maquinas a grandes distancias geogrficas para la comunicacin
entre LAN.
VLAN (VIRTUAL LAN O RED DE REA LOCAL VIRTUAL).- Es una red de

ordenadores lgicamente conectados dentro de una misma red fsica.
DMZ.- Pequea red que se ubica entre la red Interna o LAN de una organizacin y la
red externa comnmente conocido como el Internet.
FIREWALL.- Un firewall es un dispositivo que funciona como medio de proteccin

entre las redes, permitiendo o negando las transmisiones de una red hacia otra, lo ms
comn es situarlo entre la red interna y la red externa, para evitar que intrusos
accedan a la informacin confidencial de una organizacin.
CAPTULO III
70
METODOLOGA
DISEO DE LA INVESTIGACIN
MODALIDAD DE LA INVESTIGACIN
Para la realizacin del tema de acuerdo al problema planteado se determin que la

modalidad de investigacin es bibliogrfica, la cual consta de 30% campo y 70%
bibliogrfica. La modalidad escogida es debido a que el proyecto se basa en
establecer los pasos para implementar una DMZ en el diseo de red que utiliza
actualmente la empresa IT/CORP, obtener una configuracin adecuada y los servicios
que se deben configurar para implementar una DMZ en la red, para ello se procedi a
recopilar y verificar material bibliogrfico, con la finalidad de alcanzar los objetivos
planteados.
La investigacin Bibliogrfica, se basa en el estudio que se realiza a partir de la

revisin de diferentes fuentes bibliogrficas o documentales sobre el tema de
investigacin, en esta modalidad predomina el anlisis, la investigacin y opinin.
La investigacin y recoleccin de informacin que permite estudiar y evaluar el

proyecto de estudio se efectu sobre la misma empresa donde se realiza el proyecto,
como es la empresa IT/CORP.
71
TIPO DE INVESTIGACIN
Se determino que el tipo de investigacin a utilizar, es descriptivo, puesto que

pretende ante todo expresar los pasos de como implementar una DMZ en la red de la
empresa IT/CORP, para aumentar la seguridad y prevenir de accesos no autorizados
en la red. Asimismo este tipo de investigacin nos permite realizar una descripcin de
la situacin o realidad de la red de la empresa IT/CORP.
POBLACIN Y MUESTRA
Se estableci como poblacin de estudio el Departamento de Infra-Net, el cual est

referido a cuatro personas responsables de manejar la red de la empresa IT/CORP, la
muestra se defini como no probabilstica, debido a que la eleccin de los elementos
no dependen de la probabilidad y estas son las unidades directamente involucradas en
el problema de estudio.
OPERACIONALIZACIN DE VARIABLES
CUADRO N. 9
MATRIZ DE OPERACIONALIZACIN DE VARIABLES
72
Variables
Dimensiones
Indicadores
Gua
Informacin del
trabajo
de
investigacin.
Variable Independiente
Gua
de
implementacin de una
DMZ para la empresa
IT/CORP.
Tcnicas y/o
Instrumentos
Ejecucin de cada
Implementacin paso para el logro Bibliografa, de
La
Gua
de
cmo
de los objetivos.
implementacin es un
estructurar una
documento que contiene
DMZ
Red
pequea
informacin adecuada y
entre
la
red
comprensiva acerca de
interna y la red
cmo
se
debe
DMZ
externa
como
implementar una DMZ
medio
de
en la red de la empresa
seguridad.
IT/CORP.
Variable Dependiente
Firewall
Medio
de
Proteccin en la
red.
Seguridad
Configuraciones
del Firewall para
proteccin de la
informacin.
El Firewall
Es
la
variable
dependiente debido a que
depende
de
las
configuraciones que se le
realicen para contar con
una DMZ en la red e la
empresa IT/CORP.
Red
Bibliogrfica,
acerca
del
Firewall,
configuraciones
de seguridad.
Conjunto
de
equipos
conectados que Entrevistas.
proporcionan
diferentes
recursos

Fuente: Marixelinda Espaa Escobar
INSTRUMENTOS DE RECOLECCIN DE DATOS
73
LA TCNICA
La tcnica utilizada para la recoleccin de informacin, es de campo, debido a que se

realizo una entrevista al Gerente del rea de Redes e Infraestructura de la empresa
IT/CORP, la cual nos ayudara a conseguir los objetivos propuestos en el presente
proyecto y obtener una amplia informacin de la empresa IT/CORP.
Adems se realizo una entrevista a la Junta de Beneficencia que posee DMZ, con la
finalidad de obtener informacin adicional acerca del diseo de red utilizado y la
configuracin de los servicios protegidos en la DMZ, para el correcto desarrollo del
presente proyecto.
INSTRUMENTOS DE LA INVESTIGACIN
74
Los instrumentos utilizados para la recopilacin de la informacin son la entrevista y

la investigacin bibliogrfica.
La entrevista, est conformada por preguntas abiertas, para recabar la mayor

informacin posible acerca de la estructura de red utilizada en las empresas, los
accesos que se permiten y procedimientos para la elaboracin adecuada del presente
proyecto de investigacin.
Asimismo se realizo una observacin directa, en el sitio donde se suscitan los hechos,
es decir, la empresa IT/CORP, la cual tuvo como finalidad comprobar la veracidad de
los datos obtenidos. Se escogi este tipo de observacin debido a que permite
participar en el proceso investigativo desde el mismo lugar donde acontecen los
hechos.
En la investigacin bibliogrfica, se reviso en primer lugar los antecedentes de

estudio, las cuales nos permiten tener una amplia visin acerca del tema y
comprender su desarrollo; al mismo tiempo se hizo uso del internet para obtener
informacin til e importante en el desarrollo del tema, para posteriormente proceder
75
a la interpretacin y adaptacin de la informacin recabada de acuerdo a los objetivos

que persigue el presente proyecto.
VALIDACIN
La validacin de los instrumento utilizados para realizar la entrevista al personal de la

empresa IT/CORP y la encuesta realizada a los Profesores de Sistemas Operativos y
Redes y/o tutores del segundo seminario de fin de carrera, para la correcta
elaboracin de la Gua de Implementacin de la DMZ, se entrego a los siguientes
expertos los cuales evaluaron y aprobaron los instrumentos utilizados. Los expertos
que evaluaron los instrumentos de recoleccin de datos son:
Oswaldo Aguilar Villena

Lcda. Rosa Prez Ramrez
Abg. Miguel Sarmiento
Abg. Juan Chvez
Ing. Luis Dier.
PROCEDIMIENTOS DE LA INVESTIGACIN
76
Los procedimientos a seguir para el desarrollo de la investigacin son los siguientes:
Problema
Planteamiento del problema
Alcances de la Investigacin
Objetivos de la Investigacin
Justificacin o importancia de la investigacin
Marco Terico
Fundamentacin terica
Fundamentacin legal
Hiptesis
Variables de la Investigacin
Definicin de trminos
Metodologa
Diseo de Investigacin (Tipo de Investigacin)
Poblacin y Muestra
Instrumentos de Recoleccin de Datos
Operacionalizacin de variables, dimensiones e indicadores
Procedimiento de la Investigacin
Criterios para la elaboracin de la propuesta
RECOLECCIN DE LA INFORMACIN
77
La tcnica utilizada para recolectar informacin es la entrevista, la misma que fue

realizada en la empresa IT/CORP, mediante la cual se logro obtener los datos
necesarios para el desarrollo del presente proyecto. Adems se realizo una entrevista
a la Junta de Beneficencia de Guayaquil, para tener referencia acerca de la estructura
de la DMZ que poseen en su red, las polticas y los accesos permitidos en la red que
poseen actualmente. Para la recoleccin de datos se realizaron las siguientes
actividades:
a. Visita a la empresa IT/CORP para proceder con la entrevista y el levantamiento

de informacin necesaria para la realizacin del proyecto.
b. Observacin directa en la empresa IT/CORP para comprobar la veracidad de los

datos obtenidos.
c. Realizacin de la entrevista al Gerente de la Junta de Beneficencia de Guayaquil,

para recolectar informacin adicional acerca de la estructura de una DMZ.
78
d. Anlisis cualitativo de las entrevistas realizadas, para determinar la estructura de

red utilizada por las empresas.
e. Elaboracin de una encuesta aplicada a los profesores de Sistemas Operativos y

Redes y/o tutores del Segundo Seminario de Fin de Carrera que trabajan en la
Carrera de Ingeniera en Sistemas Computacionales de la Universidad de
Guayaquil, con el objetivo de validar el problema plateado.
f. Revisin bibliogrfica de textos referentes a implementacin de una DMZ en la

red con la finalidad de poder elaborar adecuadamente el presente proyecto.
PROCESAMIENTO Y ANLISIS
Una vez realizada la entrevista en la empresa IT/CORP y en la Junta de Beneficencia

de Guayaquil, se procedi a realizar un anlisis general de los datos obtenidos, acerca
de la situacin presentada por los entrevistados en las empresas, el anlisis se puede
observar en el Anexo #2.
79
CRITERIOS DE VALIDACIN DE LA PROPUESTA
La tcnica utilizada para validar la propuesta del presente proyecto, fueron las
encuestas realizadas a los profesores de Sistemas Operativo y Redes y/o a los tutores
del Segundo Seminario de Fin de Carrera que trabajan en la Carrera de Ingeniera en
Sistemas Computacionales de la Universidad de Guayaquil. En donde se realizo un
cuestionario de preguntas cerradas. (Ver Anexo #3)
La tcnica utilizada para el anlisis de los datos en la validacin de la propuesta es

cuantitativa, debido a que se realizo un conteo y tabulacin de los datos obtenidos en
un archivo de Excel para su posterior anlisis y representacin grafica. El resultado de
las mismas se puede observar en el Anexo #4.
80
CAPTULO IV
GUA DE IMPLEMENTACIN DE UNA DMZ EN LA RED DE
LA EMPRESA IT/CORP
IT/CORP es una empresa asesora en recursos tecnolgicos, desarrolla e implementa

proyectos de software acorde a las necesidades de cada cliente, cuenta con 24
profesionales capacitados para cumplir con los requerimientos del cliente y ofrecer de
la mejor forma un servicio e informacin confiable al usuario, profesionales
especializados en brindar sus servicios para obtener el mayor ndice de satisfaccin
del cliente. Cada servicio que ofrece es de manera rpida y efectiva dando a notar su
profesionalismo en las diferentes reas de la empresa.
En esta seccin se indicaran los pasos adecuados que se deben para realizar para la
correcta configuracin de una DMZ en el diseo de red que posee actualmente la
empresa IT/CORP y se indicara la configuracin de cada uno de los servicios con los
que cuenta la empresa en la red.
81
GRAFICO N. 13
DISEO ACTUAL DE LA EMPRESA IT/CORP
Elaboracion: Empresa IT/CORP

Fuente: Empresa IT/CORP
DESCRIPCIN DEL DISEO ACTUAL DE LA EMPRESA IT/CORP
Actualmente la empresa IT/CORP, en su infraestructura de red cuenta con lo

siguiente:
Poseen un Router Cisco 800, que es el proveedor del servicio de internet el cual se
encuentra ubicado entre el Firewall externo proporcionado por la empresa Telconet
como un medio adicional de seguridad y el equipo que funciona como Firewall en la
82
red de la empresa, el cual adems de funcionar como Firewall, tiene integrado el

Proxy, Correo y FTP.
El equipo que funciona como Firewall es un PC-Clon, el cual se encuentra entre el

Router Cisco 800 que provee internet a la empresa y el switch que reparte la red a los
usuarios de la LAN, este equipo posee la siguientes caractersticas: Mainboard Intel
DG43BT, un procesador Core 2 duo 3.0 GHZ, 500 GB de Disco Duro y 2 GB de
memoria RAM, el software que opera en este equipo es una distribucin Linux
CentOS 5.2, como software de Correo poseen Zimbra 5.6
El switch que proporciona la red a los usuarios de la LAN de la organizacin, es un

Switch TPLINK, modelo TLF-1024, con 24 puertos disponibles.
El Servidor de Dominio y DHCP que es utilizado en la red LAN de la empresa
IT/CORP, es un equipo HP-ML150, procesador Intel Xeon E5520 (4 ncleos, 2,26
GHz, 8 MB L3, 80W), memoria RAM de 4 GB; el software que opera en este equipo
es Windows Server 2003.
Como conexin a la red utilizan cable categora 5e y los equipos de los usuarios
poseen los siguientes Sistemas Operativos: Windows7 Professional, Windows Vista
83
Ultimate y Windows XP Professional SP3. La empresa Telconet proporciona un

ancho de banda de 1 Mb. Adicionalmente la empresa IT/CORP posee 1 equipo
Wireless.
Actualmente en la red LAN existen 24 usuarios, de los cuales 4 son de

Administracin, 9 Desarrolladores, 6 Tcnicos, 3 de Networking y 2 del rea
Comercial. Las maquinas existentes en la empresa actualmente son 11 laptops y 13
Desktop.
84
GRAFICO N. 14
DISEO DE RED RECOMENDADO
Elaboracion: Marixelinda Espaa Escobar.

DESCRIPCIN DEL DISEO RECOMENDADO PARA LA EMPRESA

IT/CORP
En el Diseo que se recomienda para la empresa IT/CORP, se utilizan los

dispositivos de red con los que cuenta actualmente la empresa en su infraestructura, el
cual se recomienda de la siguiente manera:
85
Router Cisco 800, que es el proveedor del servicio de internet el cual se mantendr
ubicado entre el Firewall externo proporcionado por la empresa Telconet y el equipo
que funciona como Firewall en la red de la empresa, el cual funcionara en una PCClon, con las siguientes caractersticas: Mainboard Intel DP55KG, procesador I5
Core 2 Duo, 500 GB de Disco Duro y 8 GB de memoria RAM, el cual operara bajo la
distribucin de Linux CentOS 5.2
La DMZ contendr un Servidor FTP y el Servidor de Correo, que permitir las

conexiones externas de la empresa, bajo Distribucin CentOS 5.2, esto debido a que
la empresa actualmente no invierte en equipos dedicados para la red, ya que utilizan
distribuciones libres, las cuales pueden ser implementadas en un equipo normal, estos
servidores podrn funcionar bajo un equipo PC-CLON con similares caractersticas al
equipo que funciona como Firewall y para el Servidor de Correo se mantendr
utilizado Zimbra 5.6 que es el maneja actualmente la empresa y sus usuarios ya se
encuentran familiarizados con el mismo.
El Switch TLF-1024 seguir proporcionando red a los usuarios y a los servidores que
se encuentran dentro de la red de la empresa IT/CORP, el cual se mantendr entre la
red LAN y el Firewall de proteccin para la red.
86
El Servidor Proxy, funcionara bajo el equipo PC-CLON que poseen actualmente

como Firewall, bajo el sistema operativo CentOS 5.2 que es el utilizado actualmente
por la empresa.
El servidor de Dominio y DHCP continuara funcionando en el servidor HP-ML150 el

cual es utilizado actualmente por la empresa, bajo el sistema operativo Windows
2003 Server.
Lo restante de la infraestructura que posee la empresa seguir funcionando como lo

hace actualmente, con Sistemas Operativos: Windows 7 Professional, Windows Vista
Ultimate y Windows XP Professional SP3, para los equipos de la red LAN.
87
CONFIGURACIN DE LOS SERVICIOS DE LA EMPRESA

IT/CORP
Con el fin de comprobar el diseo recomendado para la empresa IT/CORP, se

utilizaron maquinas virtuales, para levantar cada uno de los servicios con los que
cuenta actualmente la empresa y comprobar las configuraciones que se deben realizar
para incluir una DMZ en la red de la empresa IT/CORP.
Los servicios que estarn contenidos en la DMZ son los siguientes:
Servidor FTP
Servidor de Correo
Los servicios que estarn contenidos en la Red Interna de la empresa IT/CORP son
los siguientes:
Servidor Proxy
Servidor DNS y DHCP
Previo a la configuracin de cada uno de los servicios con los que cuenta la empresa,
se debe realizar la instalacin de CentOS 5.2 (Ver Anexo #5), para el Firewall,
Correo, FTP, Proxy, adems en el Servidor que funcionara como DNS y DHCP se
debe instalar Windows Server 2003 Standard Edition (Ver Anexo #6).
88
A continuacin se indicaran los pasos para configurar los servicios con los que cuenta
actualmente la empresa IT/CORP y los servicios que estarn contenidos en la DMZ.
SERVIDOR FTP
En el equipo que funcionara como servidor FTP, posterior a la instalacin de CentOS

5.2 (Ver Anexo #5), se proceder a instalar el servicio que ser utilizado para el
Servidor FTP, para iniciar la instalacin se debe ingresar como root o administrador
en el Servidor, se puede iniciar el servicio vsftpd el cual ser utilizado en el Servidor
FTP, en caso de que el servicio ya se encuentre instalado en el servidor se debe dirigir
al men sistema, administracin, Configuracin de Servidores, Servicio y
posteriormente buscar el servicio vsftpd e iniciarlo para poder utilizarlo el servidor
FTP, en caso de que no exista el servicio se puede instalar el paquete vsftpd para lo
cual se debe abrir un terminal y digitar lo siguiente:
yum install y vsftpd, para descargar el paquete para utilizar el FTP
FTP utiliza un archivo de configuracin localizado en /etc/vsftpd/vsftpd.conf, en el

cual existen un gran nmero de parmetros que pueden ser habilitados o negados, si
no requiere cambiar la configuracin por defecto entonces no se deben descomentar
las lneas de configuracin predefinidas, el signo # indica que la lnea esta comentada,
89
si requiere modificar el archivo vsftpd se deben descomentar los parmetros de

configuracin que el administrador considere necesarios, caso contrario puede
provocar problemas en tiempo de ejecucin, adems se debe evitar dejar espacios
cuando se modifican los parmetros de configuracin.
Adems se deber crear manualmente un archivo en la siguiente ruta /etc/vsftpd/ el

cual ser nombrado como chroot_list, en donde se indica una lista de usuarios que
ingresaran como invitado al servidor FTP, si no se crea este archivo no se
configurarn los usuarios invitados para el servidor FTP
El fichero denominado chroot_list contendr los nombres de los usuarios FTP que
trabajaran nicamente en su directorio de trabajo, de esta manera es restringido el
acceso a otras partes del sistema operativo, cualquier otro usuario que no est
agregado en este archivo podr ingresar a cualquier parte del sistema operativo.
Se debe abrir el archivo de configuracin vsftpd.conf con el editor de preferencia,

para realizar las modificaciones que considere convenientes el administrador, en cada
una de los parmetros se debe digitar YES o No de acuerdo a lo que se requiera, los
parmetros de configuracin para el servidor FTP son los siguientes:
90
El parmetro anonymus_enable, se utiliza para habilitar o negar el acceso de

usuarios annimos al servidor FTP, este parmetro est habilitado de manera
predefinida.
El parmetro local_enable, se utiliza para habilitar o negar el acceso de usuarios

autenticados al servidor FTP, este parmetro est habilitado de manera predefinida.
El parmetro write_enable, se utiliza para habilitar o negar la escritura en el servidor

FTP, este parmetro est habilitado de manera predefinida.
El parmetro ftpd_banner, se utiliza para establecer un mensaje de bienvenida en el

servidor FTP el cual se mostrara cada vez que un usuario acceda al servidor FTP, de
manera predefinida este parmetro esta comentado en el archivo de configuracin.
El parmetro chroot_list_enable, se utiliza para limitar a los usuarios a trabajar en su

carpeta de trabajo, adems se deber habilitar el parmetro chroot_list_file, este
parmetro contiene la ruta donde se encuentra el archivo en el cual se indica los
usuarios que ingresaran como invitado al servidor FTP, este archivo se debi crear
91
previamente con los usuarios que ingresaran como invitado al servidor FTP, lo cual
ser indicado ms adelante, este parmetro est deshabilitado de manera predefinida.
El parmetro anon_upload_enable, se utiliza para habilitar o negar a los usuarios

annimos subir archivos al servidor FTP, este parmetro est deshabilitado de manera
predefinida.
El parmetro anon_mkdir_write_enable, se utiliza para habilitar o negar al usuario

crear carpetas en el servidor FTP, este parmetro est deshabilitado de manera
predefinida.
El parmetro local_umask, se utiliza para establecer permisos de lectura, escritura y

ejecucin al contenido que se encuentra en el servidor FTP, de manera predefinida
tiene los permisos de escritura para el grupo y los dems, es decir, contiene el valor
022, si se desea agregar otro tipo de permisos se deber modificar el valor por defecto
(Ver Anexo #8).
92
El parmetro max_clients, se utiliza para indicar el nmero mximo de conexiones

que podrn acceder de manera simultnea al servidor FTP, de manera predefinida
establece que se podrn accesos 3 veces al servidor.
Para la configuracin del archivo que contiene la lista de los usuarios que ingresaran
como invitado al Servidor FTP, se deber crear el archivo en cualquier directorio del
disco duro y en seguida se debern ingresar los nombres de los usuarios que sern
limitados a trabajar en su carpeta personal de trabajo.
Las configuraciones realizas en el Servidor FTP que ser utilizado por la empresa
IT/CORP son las siguientes:
GRFICO N. 15
CONFIGURACION DEL SERVIDOR FTP

Fuente: Archivo de Configuracin de FTP
93
Una vez concluida las configuraciones del archivo vsftpd.conf se debe guardar las
configuraciones y restaurar el servicio de vsftpd y aadir el servicio al arranque del
inicio del sistema, para lo cual se debe digitar lo siguiente:
/etc/init.d/vsftpd restart, para restaurar el servicio, si se inicia por primera vez

se lo debe iniciar con start.
chkconfig vsftpd on, para aadir el servicio al arranque del sistema.
A continuacin se realizar la creacin de las cuentas de los usuarios FTP, en primera

instancia para que el servidor FTP permita el acceso a los directorios de inicio /home,
para que los usuarios puedan ingresar a su carpeta de trabajo se debe abrir un terminal
y digitar lo siguiente:
setsebool P ftp_home_dir=1
Para iniciar la creacin de las cuentas de los usuarios FTP, en un terminal se debe
digitar lo siguiente:
useradd -d /home/ftp/Jose, con esto se indica que se est creando el usuario

FTP en la carpeta de trabajo ubicada en el directorio /home/ftp/
94
Luego de que el cliente establezca una comunicacin con el servidor FTP, este le
pedir que se autentique, para lo cual deber digitar su usuario y contrasea
Para los usuarios que tendrn acceso al servicio FTP, se debe instalar un aplicativo
que facilite el acceso al servidor, uno de los aplicativos que se puede utilizar es el
Filezilla que es libre y fcil de utilizar para los usuarios de la empresa.
SERVIDOR DE CORREO
En el equipo que ser utilizado como Servidor de Correo, luego de la instalacin de

CentOS 5.2 (Ver Anexo #5), se proceder a descargar Zimbra 5.6 de 32 bits en el
directorio /root/zimbra creado previamente, el paquete de instalacin de Zimbra ser
descargado de la pgina siguiente pgina web www.zimbra.com
Previo al inicio de la instalacin, se debe desactivar el servicio Sendmail en caso de

estar activo, debido a que puede causar conflicto con los puertos que utiliza Zimbra.
Para desactivar este servicio se ingresa como root o administrador al Servidor de
Correo, abrir un terminal y digitar lo siguiente:
service sendmail stop, para detener el servicio de sendmail.
95
chkconfig sendmail off, para apagar el servicio sendmail.
Adems se debe cambiar el archivo de configuracin hosts, que se encuentra en el

directorio /etc/hostsr
, en el cual se aade la direccin IP y el Dominio del Servidor
en el que se va instalar Zimbra.
GRFICO N. 16
CONFIGURACION DE ARCHIVO HOST PARA ZIMBRA

Fuente: Archivo host de Servidor de Correo.
Una vez realizado los cambios indicados anteriormente y concluida la descarga del
paquete para utilizar Zimbra se inicia la instalacin, para lo cual se debe digitar lo
siguiente:
cd zimbra, para posicionarse en la carpeta donde se encuentre el paquete para

Zimbra.
tar xzvf nombre del paquete descargado, para descomprimir el paquete
descargado.
96
cd nombre de la carpeta descomprimida, para posicionarse dentro de la

carpeta extrada del paquete de Zimbra.
./install.sh platform-override, para iniciar la instalacin de Zimbra, se utiliza
platform-override para indicarle que al momento de instalar omita la versin
del sistema operativo.
A continuacin empieza a verificar los requisitos de las libreras para la instalacin,

en este caso se observaran que hacen falta libreras.
GRFICO N. 17
LIBRERIAS FALTANTES EN LA INSTALACIN DE ZIMBRA

Fuente: Instalacin de Zimbra.
97
Para lo cual se debe proceder a instalar cada librera faltante digitando yum y install
: el nombre de la librera que hace falta, por ejemplo, en este caso las libreras que
hacen falta son gmp, compat-libstdc++-296, compat-libstdc++-33, libtool-ltdl,
entonces se debe digitar yum y install : gmp, con cada una de las libreras.
Una vez concluida la instalacin de las libreras faltantes, se vuelve a digitar

./install.shplatform-override, para iniciar nuevamente el proceso de instalacin y se
observa que los requisitos para la instalacin estn completos. Posteriormente
comienza a verificar los paquetes para la instalacin y preguntara que paquetes se
desea instalar, en este caso se instalaran todos menos el proxy.
GRFICO N. 18
LIBRERIAS FALTANTES EN LA INSTALACIN DE ZIMBRA

Fuente: Instalacin de Zimbra.
98
Consecutivamente pregunta si se desea continuar con la instalacin ya que los

paquetes descargados son diferentes a la versin del sistema operativo y muestra la
versin del sistema operativo y la versin del paquete de zimbra, se indica que si se
desea continuar con la instalacin y se proceder a instalar los paquetes de zimbra.
GRFICO N. 19
PROCESO DE INSTALACIN DE ZIMBRA

Fuente: Instalacin de Zimbra
99
Es posible que aparezca un error DNS, se debe a que no encuentra el nombre del
servidor de DNS, de ser el caso indica si se desea cambiar el hostname, digitar Y y
digitar itcorp.com, si indica nuevamente el mismo error se debe digitar no, debido a
que ya se indico el nombre del Servidor DNS.
GRFICO N. 20
ERROR DE DNS EN INSTALACIN DE ZIMBRA

Posteriormente mostrara un men de configuracin, en el cual se puede digitar la

contrasea del administrador, para ello se selecciona la opcin 3 y luego 4 para
cambiar la contrasea del administrador. Para regresar al men principal se digita r,
adems se puede cambiar la zona horaria para lo cual se digita 1 y luego 6, aqu se
mostrara un listado de diversas zonas horarias, se debe seleccionar la que corresponda
100
a la zona horario del pas, en este caso es la 16 que corresponde a Lima. Regresamos
al men anterior para cambiar la URL por la cual se desea que ingresen al correo,
para lo cual se digita 18 y se indica la URL por la cual accedern al correo Zimbra, en
este caso se indico mail.itcorp.com. Una vez concluida las configuraciones
necesarias, se debe digitar a para aplicar los cambios realizados.
GRFICO N. 21
MENU DE CONFIGURACIN DE ZIMBRA

101
Una vez zimbra concluya las configuraciones finales, se debe abrir otro terminal
como usuario zimbra para verificar si los servicios de zimbra estn corriendo, para lo
cual se digita lo siguiente:
su zimbra
zmcontrol status
GRFICO N. 22
SERVICIOS DE ZIMBRA

Una vez que los servicios estn corriendo, se puede ingresar a la consola de
administracin
de
zimbra
https://mail.itcorp.com:7071/zimbraAdmin.
de
la
siguiente
manera
102
En la consola de administracin se llevaran a cabo todas las acciones de

administracin del servidor de correo como dar de alta cuentas, borrarlas, editarlas,
asignarles alias, etc. Para ingresar al mail de Zimbra se deber digitar la
http://mail.itcorp.com/
GRFICO N. 23
CONSOLA DE ADMINISTRACIN DE ZIMBRA

Fuente: Consola de Zimbra
103
SERVIDOR PROXY
En el equipo que funcionara como servidor Proxy, posterior a la instalacin de

CentOS 5.2 (Ver Anexo #5), se proceder a instalar Squid de CentOS que ser
utilizado como Proxy, habitualmente los servidores Proxy trabajan simultneamente
como Firewall, pero en este caso el servidor Proxy estar separado del Firewall. Para
iniciar la instalacin del Proxy Squid se debe ingresar como root o administrador al
servidor, se puede iniciar el servicio de Squid, en caso de que el servicio ya se
encuentre instalado en el servidor se debe dirigir al men sistema, administracin,
Configuracin de Servidores, Servicio y posteriormente buscar el servicio Squid e
iniciar el servicio y a continuacin se podr utilizar el servidor Proxy con Squid, en
caso de que no exista el servicio se puede instalar el paquete de Squid para lo cual se
debe abrir un terminal y digitar lo siguiente:
yum install y squid, para descargar el paquete Squid que se va utilizar el

Proxy.
Squid utiliza el fichero de configuracin localizado en /etc/squid/squid.conf, en el

cual existen un gran nmero de parmetros que pueden ser habilitados o negados, si
no requiere cambiar la configuracin por defecto entonces no se deben descomentar
las lneas de configuracin predefinidas, el signo # indica que la lnea esta comentada,
104
si requiere modificar el archivo Squid se deben descomentar los parmetros de

configuracin del Squid que el administrador considere necesarios, caso contrario
puede provocar problemas en tiempo de ejecucin, adems se debe evitar dejar
espacios cuando se modifican los parmetros de configuracin.
Se debe abrir el archivo de configuracin squid.conf con el editor de preferencia, para

realizar las modificaciones que consideren convenientes el administrador, los
parmetros bsicos que se sugieren configurar en el servidor Proxy son los siguientes:
http_port
cache_mem
cache_dir
Al menos una Lista de Control de Acceso
Al menos una Regla de Control de Acceso
maximum_object_size
hierarchy_stoplist
error_directory
access_log
cache_log
105
Parmetro http_port, indica las direcciones donde Squid escuchara a los clientes
HTTP, en este parmetro se puede indicar la direccin de varias formas, para lo cual
existen tres formas de hacerlo:
Solo el puerto donde escuchara el Squid. Ejemplo:

http_port 3128
Nombre del Host con el puerto. Ejemplo:

servidor:3128
Direccin IP con el puerto

192.168.20.3:3128
El puerto predeterminado por donde escucha el servidor Proxy es el puerto 3128, sin
embargo, se puede indicar que lo haga por cualquier otro puerto disponible o bien que
lo haga en varios puertos disponibles a la vez.
Parmetro cache_mem, indica el tamao mximo de memoria para almacenar los

objetos de transito, objetos frecuentemente utilizados y objetos negativamente
almacenados en cache, este parmetro est limitado por la memoria RAM que posea
106
el servidor, de manera predefinida se establecen 8 MB, se puede especificar mayor

cantidad de memoria si se considera necesario dependiendo de las necesidades
establecidas por el administrador.
Parmetro cache_dir, indica el tamao que va tener el cach en el disco duro para
Squid, se debe tener cuidado al especificar el tamao de cach debido a que si este
excede el tamao disponible del disco duro, squid se bloqueara irrevocablemente.
De modo predefinido Squid utiliza una cach de 100 MB, el cual contendr 16
directorios de 256 niveles cada uno, esto no es necesario modificarlo, lo que se puede
incrementar es el tamao del cach hasta donde lo considere necesario el
administrador, mientras ms grande sea el cach ms objetos se almacenaran y se
utilizara menos ancho de banda.
Listas de Control de Acceso, es necesario establecer listas de control de accesos para

tener un mayor control del Squid, asimismo se deben asignar reglas de control a las
listas para que permitir o deniegue el acceso al Servidor Proxy. Existen algunos tipos
de reglas que se pueden utilizar en Squid como: src, time, url_regex, urlpath_regex,
107
dts, srcdomain, dstdomain, req_mime, srcdom_regex, macaddress, dstdom_regex,

password.
Sin embargo, los tipos de reglas que va a ser utilizadas en esta gua son las que se
adapten a las necesidades de la empresa IT/CORP, la sintaxis de la lista de control de
acceso es la siguiente:
acl [nombre de la lista] tipo de regla [lo que compone a la lista]
El tipo de regla src, es utilizada para especificar direcciones IP que tendrn acceso a
Squid, en la cual se puede indicar una direccin IP y mscara de la sub-red o
especificar un fichero que contenga una lista de direcciones de red. Existen tres
formas de especificar la direccin IP:
En la regla llamada lan se permitir el acceso al segmento de red 192.168.10.0

con mascara 255.255.255.0, es decir, esta regla abarca todo el segmento de
red indicado.
acl lan src 192.168.10.0/255.255.255.0
108
Se indica cada direccin IP que tendr acceso al Servidor Proxy

acl lan src 192.168.10.10 192.168.10.20
Se define un archivo que contiene una lista de direcciones IP, en donde se

especificara cada una de las direcciones de red que tendrn acceso a Squid,
este archivo est localizado en cualquier parte del disco duro del servidor.
acl lan src "/etc/squid/permitidos"
El tipo de regla time, se establece para especificar un tiempo lmite de conexin que
se tendr acceso al Squid dentro de una semana. La abreviatura de los das de la
semana son los siguientes: S Domingo, M - Lunes, T Martes, W Mircoles, H
Jueves, F Viernes, A Sbado.
El tipo de regla url_regex, permite especificar expresiones regulares para comprobar

en una url, para este tipo de regla se recomienda tener un archivo con las palabras que
se crean convenientes.
109
El tipo de regla urlpath_regex, permite administrar las descargas por medio de la

extensin de los archivos, para lo cual se recomienda tener un archivo que contenga
las extensiones que se consideren necesarias.
Reglas de Control de Acceso, estas reglas definen si se permite o deniega el acceso

al Servidor Proxy, las cuales se aplican a las Listas de Control de Acceso, las mismas
que deben colocarse en la seccin de reglas de control de acceso las cuales sern
definidas por el administrador, la sintaxis es la siguiente:
http_access [deny o allow] [lista de control de acceso]
Se puede utilizar denegar o aceptar (deny o allow), se debe iniciar primeramente con
los accesos que se van a denegar en el Servidor Squid, adicionalmente se puede
utilizar la expresin ! la cual significa no. Por ejemplo, que existan dos listas de
control de acceso, en la cual se indica que se permite el acceso a Squid a todo lo que
comprenda la lista llamada permitidos excepto aquello que comprenda la lista
llamada negados, la sintaxis de la regla indicada es la siguiente:
http_access allow permitidos !negados
110
Parmetro maximum_object_size, indica el tamao mximo que tendrn los objetos

que se van almacenar en la cache del servidor Proxy, de modo predefinido el tamao
de los objetos es de 4096 KB el cual se puede incrementar de acuerdo a las
necesidades establecidas por el administrador.
Parmetro hierarchy_stoplist, indica a Squid que las pginas que contengan ciertos
caracteres no sean almacenadas en cach, adems se pueden incluir pginas locales de
la red y sitios de webmail, de manera predefinida no viene especificado ningn
carcter que contengan las pginas que no sern almacenadas en cach.
Parmetro error_directory, indica el idioma en que sern mostrados los mensajes de

error, de manera predefinida muestra los mensajes de error en Ingls, sin embargo, se
puede configurar de acuerdo a las necesidades del administrador.
Parmetro access_log, indica el directorio donde se almacena los registros de los

accesos al squid, de manera predefinida se almacenan en /var/log/squid/access.log.
111
Parmetro cache_log, indica el directorio donde se almacenan los mensajes del

comportamiento de la cache del servidor Squid, de manera predefinida este parmetro
viene desactivado en el archivo de configuracin del Squid cache_log
/var/log/squid/cache.log.
Las configuraciones realizas en el Servidor Proxy Squid que ser utilizado por la
empresa IT/CORP son las siguientes:
GRFICO N. 24
CONFIGURACION SERVIDOR PROXY

Fuente: Archivo de Configuracin PROXY
112
Una vez concluida las configuraciones del archivo squid.conf se debe guardar las
configuraciones y restaurar el servicio de squid y aadir el servicio al arranque del
inicio del sistema, para lo cual se debe digitar lo siguiente:
service squid restart, para restaurar el servicio, si se inicia por primera vez se
lo debe iniciar con start
chkconfig squid on, para aadir el servicio al arranque del sistema.
SERVIDOR DNS Y DHCP
El equipo que ser utilizado como Servidor DNS y DHCP funcionara sobre Windows
2003 Server Standart Edition (Ver Anexo #6), se proceder a realizar la configuracin
del equipo.
Previo a la configuracin el servidor se debe asignar una IP esttica, debido a que si

tienen una asignacin dinmica de IP podra hacer que los clientes pierdan contacto
con el servidor DNS. Lo ms sencillo para realizar la configuracin del Servidor es
utilizar el asistente de configuracin, el cual nos permitir aadir los roles del
servidor de manera ms prctica.
113
En caso de que el asistente de configuracin no se inicie automticamente cuando

inicia sesin al Servidor, entonces lo podr iniciar dirigindose a Panel de Control,
Herramientas Administrativas y seleccionar Asistente de configuracin del Servidor.
GRFICO N. 25
ASISTENTE DE CONFIGURACION DE DNS Y DHCP

Fuente: Configuracin de DNS y DHCP
A continuacin se aadirn los roles que realizara el Servidor en este caso funcionara
como DNS y DHCP, para lo cual dar clic en add or remove a role, una vez
seleccionada el tipo de configuracin a realizar mostrara una lista de roles que se
114
pueden configurar en el servidor. Seleccionar el role DNS a continuacin dar clic en

Next para iniciar la configuracin del role.
GRFICO N. 26
CONFIGURACION DE DNS Y DHCP

Fuente: Configuracin de DNS y DHCP
Una vez iniciada la configuracin se pedir que indique una nueva zona ya que es el
primer controlador de dominio que se va crear, a continuacin se indica si es un
servidor primario que guardara la zona o si es una copia secundaria que reside en este
115
servidor, consecutivamente se debe indicar el nombre de la zona, en este caso el

nombre indicado ser itcorp.com, posteriormente preguntara si se debe tener
actualizaciones automticas para el servidor en la cual se debe seleccionar la que
considere conveniente el administrador de red, consecutivamente solicita una
direccin IP en caso de que todas las solicitudes sean remitidas al servidor DNS, de
esta manera se complementa la configuracin del DNS.
A continuacin se indicara la configuracin del role DHCP, para lo cual se debe

seleccionar el role DHCP, dar clic en next para iniciar la configuracin en la cual
solicita el nombre que tendr el scope del DHCP en este se indico el nombre de la
empresa itcorp, esto ayuda a la rpida identificacin del scope que es usado en la red
dar clic en next para continuar con la configuracin.
Posteriormente se debe indicar el rango de IP que sern distribuidas por el servidor

DHCP, donde se indicia la IP inicial y la IP final y la mscara de la subred, a
continuacin se debe configurar el rango de IP que sern excluidas por el servidor
DHCP, consecutivamente se debe indicar el lmite de tiempo en que el servidor
distribuir la direccin IP, en seguida indicara si desea configurar las dems opciones
para el servidor DHCP, dar clic en next para continuar con la configuracin.
116
A continuacin se debe aadir la direccin IP para el router que va ser utilizado por
los clientes, consecutivamente solicita el nombre del Servidor padre en caso de
poseerlo adems el nombre del servidor DNS y la IP del servidor DNS que es usado
en la red, luego indica la configuracin del WINS, posteriormente pregunta si desea
activar el scope ahora y finaliza la configuracin del DHCP.
Una vez realizadas las configuraciones indicadas y finalizadas cada una de las
configuraciones se podr comenzar a utilizar el Servidor DNS y DHCP.
CONFIGURACION DEL FIREWALL
En el equipo que ser utilizado como Firewall funcionara sobre CentOS 5.2 (Ver
Anexo #5), adems para facilitar la administracin del Firewall se va a instalar
Webmin (Ver Anexo #7), el cual es una herramienta de configuracin va web que
permitir a los administradores del Firewall gestionar de manera fcil e interactiva los
accesos y polticas a configurar en el Firewall.
Con Webmin se pueden establecer de manera prctica reglas para filtrado de

paquetes, alteracin de paquetes (mangle) y traduccin de direccin de red (nat). A
117
continuacin se indicaran las polticas a configurar en el Firewall utilizando la

herramienta Webmin.
POLTICAS DE LA DMZ
Todos los Firewall se deben regir por una poltica de seguridad definida previamente
antes de realizar la configuracin, es decir, se debe contar con un conjunto de
acciones a realizar en el Firewall. Adems se debe verificar cada regla que se desea
configurar y realizar la accin correspondiente.
En este punto se indicaran las polticas a considerar para elaborar las reglas de acceso
que sern sugeridas para la implementacin de un DMZ en la red de la empresa
IT/CORP. Existen dos polticas bsicas de seguridad para un Firewall, las cuales son:
Denegar todo de forma predeterminada y permitir que pasen paquetes

seleccionados de forma explcita.
Aceptar todo de forma predeterminada y denegar que pasen paquetes

seleccionados de forma explcita.
118
La poltica de denegar todo es la propuesta ms segura debido a que facilita la

configuracin de un Firewall seguro, sin embargo, es necesario ir habilitando cada
servicios de acuerdo al protocolo de comunicacin. Por lo tanto, para obtener una
mayor seguridad en el Firewall se trabajar con esta poltica.
La poltica de aceptar todo de forma predeterminada facilita la configuracin de un

Firewall, pero se deber prevenir todo tipo de acceso que se quiera deshabilitar. Sin
embargo, no se podr prevenir si un tipo de acceso es peligroso hasta que sea
demasiado tarde o habilitar un servicio inseguro sin bloquear primero el acceso
externo. Es por ello que aceptar todo implica ms trabajo, mayor dificultad y es ms
propenso a errores.
Definiremos las polticas de seguridad y los permisos de entrada o salida para las
redes utilizadas, siguiendo la poltica de seguridad de denegar todos los paquetes e ir
habilitando los que se considere necesario:
Acceso de la red interna a la DMZ est permitido

Se habilitara el acceso de los usuarios de la red interna a los servicios que se
ofrecen en la DMZ, como el Servidor FTP y Servidor de Correo.
119
Acceso de la DMZ a la red interna est prohibido.

Se va descartar cualquier paquete que provenga de la DMZ, puesto que no es
necesario permitir el paso de ningn tipo de trfico que provenga de la DMZ,
debido a que se podra provocar un agujero de seguridad que podra llegar
desde la red externa a la red interna.
Acceso de la red externa a la DMZ est permitido

Todo cliente podr ver los servicios que ofrece la empresa a travs de la DMZ,
la misma que contendr el Servidor FTP y el Servidor de Correo. Se habilitar
el trfico desde cualquiera de las redes externas (0.0.0.0) a la red de la DMZ
(192.168.30.0/24).
Acceso de la DMZ a la red externa no est permitido

En este sentido no se habilitar el trfico, debido a que en la DMZ solo se
encuentran los servicios que ofrecen la empresa y ninguna mquina de usuario
para acceder a la red externa.
Accesos de la red interna a la red externa o internet est permitido.

Los usuarios tendrn acceso a los servicios ms comunes como es el WEB, el
resto deben ser cerrados.
120
Acceso de la red externa a la red interna est prohibido

No se permitir el trfico en este sentido puesto que si se permite se perdera
el sentido de colocar una Zona Desmilitarizada que proteja la red interna.
De acuerdo a las polticas de seguridad mencionadas anteriormente las reglas que se

deben aplicar en el firewall son las siguientes:
Redireccionamientos de correos
Se re-direccionar las cuentas de correo de los usuarios de la empresa con la
finalidad de que lleguen a una cuenta redireccionada y que sea admitida por el
Firewall.
Enrutar trfico de los dems a Internet.

Las peticiones de servicios de envi de paquetes que requieran los usuarios,
sern enrutadas en las diferentes redes.
Permitir acceso selectivo a la red local

Solo se permitir el ingreso a la red de la empresa a los usuarios que estn
autorizados y de esta forma evitar que cualquier intruso invada la red
causando serios daos y proteger la confidencialidad de la informacin.
121
Enmascaramiento de la red local para que puedan salir hacia internet.

La red ser enmascarada de manera que los usuarios puedan salir al internet
siempre protegiendo la direccin de la red de tal forma que no sea vulnerable
frente a cualquier individuo.
Redireccionamiento del servicio HTTP a SQUID.

El servicio ser redireccionado para que trabaje como una cache de pginas
web, esto permite realizar un proxy para requerimientos de los usuarios y
permitir que la navegacin se realice de una forma ms fcil.
Cerrar el acceso de la DMZ a la LAN.

No se permitirn los accesos de la DMZ a red LAN de la empresa debido a
que se pueden dejar abiertas brechas de seguridad en la red.
Cerrar el acceso de la DMZ al propio firewall.

Los accesos de la DMZ al Firewall sern cerrados, debido que en la DMZ no
existirn PC que requieran el acceso al Firewall.
122
Una vez establecidas las polticas que se van a configurar en el Firewall, iniciamos la
configuracin a travs de Webmin, adems este indica la ruta donde se almacenara la
configuracin de las reglas del Firewall, adems el Webmin ofrece mltiples
configuraciones que se pueden realizar de manera grafica y facilitar el trabajo del
administrador as como una forma de simplificar la creacin de las reglas del
cortafuegos o Firewall.
Una vez iniciada la sesin en Webmin, para iniciar la configuracin de las reglas del
Firewall se debe dirigir a red o Networking, Configuracin del Firewall y mostrara la
siguiente pantalla en donde mostrara una lista de todas las reglas que posee
actualmente en el Firewall, es aqu donde se iniciar la configuracin de las reglas de
Firewall.
123
GRFICO N. 27
CONFIGURACION DE FIREWALL

Fuente: Webmin
124
La pgina principal del Webmin muestra tres opciones de configuracin en la parte

superior izquierda, en la cual podr aadir reglas acorde a estas tres opciones o de lo
contrario aadir una nueva cadena conforme a los requerimientos que considere
necesarias el administrador de red.
Se pueden establecer las polticas por defecto para paquetes de entrada (input), salida
(output) y redirigidos (forward), por cada una de las cadenas seleccionadas y aadir
las reglas para cada una de las polticas.
Para grabar y aplicar las configuraciones realizadas se debe presionar el botn Aplicar
Configuracin, de esta manera se almacenan las reglas aadidas en el Firewall.
Adicionalmente para activar las reglas configuradas al arrancar el Firewall se debe
seleccionar Si y presionar el botn Activar al arrancar, igualmente se puede Revertir
la configuracin y Resetear del Firewall.
El Firewall contiene tres interfaces de red; la interfaz eth1 es la conectada al Router,

eth0 a la LAN y eth2 la DMZ, cada interfaz contiene una direccin IP las cuales en la
realizacin de pruebas fueron asignadas manualmente para verificar las reglas
configuradas en el Firewall (Ver Anexo #9).
125
Para ir aadiendo las reglas necesarias, dar clic en el botn aadir regla en la cual se
podr indicar el comentario que se le puede asignar a la regla y la accin que se va
ejecutar.
GRFICO N. 28
AADIR REGLAS EN EL FIREWALL

Fuente: Webmin
En la parte posteriormente se podrn establecer los detalles de la regla, en donde se

indicara: la direccin IP origen y destino, se podr indicar la mscara de la red, la
interfaz de red, el protocolo, puerto y varias opciones de configuracin para la regla
que se est estableciendo. Se podr observar que hay muchas condiciones disponibles
126
que se pueden combinar para crear reglas muy complejas o muy sencillas acorde a las
necesidades de la red de la empresa.
Una vez concluida la configuracin de la regla presionar el botn crear, para crear la
regla que se est configurando, en caso de que la regla no haya sido configurada
adecuadamente Webmin mostrara un mensaje de error y deber indicar las
condiciones adecuadas para la creacin de la regla.
Una vez que se almacena una regla y se desea editarla se deber dar clic en la
condicin de la regla y se abrir una ventana como la utilizada para aadir una nueva
regla y a continuacin podr realizar las modificaciones adecuadas.
De esta manera se deben ir aadiendo las reglas que se consideren convenientes a

configurar en el Firewall.
127
CAPTULO V
MARCO ADMINISTRATIVO
CRONOGRAMA
GRFICO N. 29
CRONOGRAMA DE ACTIVIDADES

128
GRFICO N. 30
DIAGRAMA DE GANTT PARTE #1

129
GRFICO N. 31
DIAGRAMA DE GANTT PARTE #2

130
PRESUPUESTO
CUADRO N. 10
DETALLE DE INGRESOS
Detalle de Ingresos Del Proyecto Expresado en Dlares
INGRESOS
MENSUALES
AL TERMINO
(5 MESES)
Sueldo
200.00 $
1000.00
Otros Ingresos
20.00 $
100.00
TOTAL..... $
220.00
1100.00
131
CUADRO N. 11
DETALLE DE EGRESOS
Detalle De Egresos Del Proyecto Expresado en Dlares
EGRESOS
AL TERMINO
(5 MESES)
7.00 $
35.00
MENSUALES
Suministros de oficina y computacin
Fotocopias e impresiones
17.00 $
85.00
Libros, documentos
50.00 $
250.00
Computadora y Servicios de Internet.
43.00 $
215.00
Transporte
8.00 $
40.00
Refrigerio
5.00 $
25.00
Empastado de la Tesis de Grado
20.00 $
100.00
Servicios (Electricidad, Agua, Alimentacin)
50.00 $
250.00
Otros
20.00 $
100.00
TOTAL
220.00 $
1100.00

132
CAPTULO VI
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
Luego del anlisis e interpretacin de los instrumentos aplicados, se observa que

hay una factibilidad para la realizacin de un proyecto como la implementacin
de una DMZ en el diseo de red que posee actualmente la empresa IT/CORP,
permitiendo obtener un mayor control de los servicios que posee actualmente la
empresa.
Con la utilizacin de la Gua se facilita la implementacin de la DMZ en el diseo

de red de la empresa IT/CORP, debido que una DMZ permite proteger los
servicios privados que posea una organizacin, puesto que estos son un punto
vulnerable.
Se demostr que el gasto en que se incurre en la implementacin de una DMZ en

la empresa IT/CORP incluye nicamente la compra de equipos hardware, ya que
el software que se utiliza por ser de cdigo abierto, se distribuye gratuitamente
por internet.
133
El Diseo de Red Recomendado presenta flexibilidad y expansin, porque la

DMZ cubre los servicios que sern accedidos desde el exterior de la red y se
pueden ir aadiendo servicios que la empresa desee que sean accedidos.
Se concluyo que el Diseo Recomendado no solo es funcional para la empresa

IT/CORP, sino que puede ser tomado como base para cualquier mediana empresa
o institucin que desee realizar la implementacin de una DMZ de este tipo en su
red.
134
RECOMENDACIONES
Las polticas que se establecen en el Firewall deben ser analizadas previo a la

instalacin, con la finalidad de evitar conflictos posteriores con los usuarios de la
organizacin y evitar contratiempos en la configuracin del Firewall.
Previo a una nueva configuracin del firewall, es necesario tener un respaldo de la

configuracin del firewall existente, para proteger futuros cambios errneos.
Se recomienda tener un equipo adicional de Firewall en caso de que el equipo que

est funcionando presente algn inconveniente con la finalidad de no dejar
desprotegida la red en ningn momento y seguir controlando los accesos.
Si la empresa invierte en un futuro en un Firewall se recomienda utilizar un

hardware debido a que son equipos dedicados para dicha funcin y presentan
facilidades en la configuracin y administracin de la red en la organizacin.
96
REFERENCIAS BIBLIOGRFICAS
PUBLICACIONES
Ferrer Berbegal, Mnica. (2006). Trabajo de Fin de Carrera: Firewalls software:

Estudio, instalacin, configuracin de escenarios y comparativa. Espaa:
Universidad
Politcnica
de
Catalua.
Disponible
en:
upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
Conza Gonslez, Andrea Elizabeth. (2009), Proyecto de Grado: Diseo e

Implementacin de un prototipo de DMZ y la interconexin segura mediante VPN
utilizando el Firewall Fortigate 60. Quito: Escuela Politcnica Nacional. Disponible
en: http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf
DIRECCIONES WEB
IT/CORP. Informacin de la empresa IT-CORP. Extrado el 14 de Julio del 2010

desde http://www.it-corp.com/
Modelo OSI. Extrado el 05 de Agosto del 2010 desde http://ceciliaurbina.blogspot.com/2010/08/modelo-osi.html
97
3Com
Officeconnect.
Extrado
el
25
de
Agosto
del
2010
desde
http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support
ASA5500.
Extrado
el
25
de
Agosto
del
2010
desde
http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_ad
aptativo_seguridad_series_asa5500.html
SONICWALL.
Extrado
el
27
de
Agosto
del
2010
desde
http://www.sonicwall.com/lat/TotalSecure_Solutions.html
Precios y Productos Firewall. Informacin de diferentes Firewall y precios del

producto.
Extrado
el
30
de
Agosto
del
2010
desde
http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=produ
ct_tab
NETGEAR.
Extrado
el
26
de
Agosto
del
2010
desde
http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php
Precios y Productos Firewall. Informacin de diferentes Firewall y precios del

producto.
Extrado
el
30
de
Agosto
del
2010
desde
98
http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=pro
duct_tab
ZYXEL.
Extrado
el
26
de
Agosto
del
2010
desde
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&C
ategoryGroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A
BARRACUDA.
Extrado
el
28
de
Agosto
del
2010
desde
http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php
Firewall Software. Las diferentes alternativas de Firewall Software. Extrado el 03

de Septiembre del 2010 desde http://www.tech-faq.com/free-firewall-software.html
TURTLE. Informacin de Firewall Software Turtle. Extrado el 05 de Septiembre

del 2010 desde http://www.turtlefirewall.com/
LUTEL. Informacin de Firewall Software Lutel. Extrado el 05 de Septiembre del

2010 desde http://firewall.lutel.pl/
ENDIAN. Informacin de Firewall Software Endian. Extrado el 06 de Septiembre

del 2010 desde http://www.endian.com/en/community/overview
99
Zrate Prez, Jorge A. y Farias Elinos, Mario. (Abril del 2006). Implementacin
de
una
DMZ.
Extrado
el
12
de
Julio
del
2010
desde
http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf
Arellano E., Gabriel. (Marzo del 2005). Seguridad Perimetral. Extrado el 12 de

Julio del 2010 desde www.gabriel-arellano.com.ar/file_download/14
Gutirrez Riffo, Alejandro Marcelo. (2009 Chile). Vulnerabilidades de las Redes

TCP/IP y Principales Mecanismos de Seguridad. Extrado el 13 de Julio del 2010
desde http://cybertesis.uach.cl/tesis/uach/2009/bmfcir564v/doc/bmfcir564v.pdf
Gerardo de la Fraga, Luis. (Noviembre del 2006). Redes de Computadoras y

Cortafuegos con GNU/Linux. Extrado el 13 de Julio del 2010 desde
http://delta.cs.cinvestav.mx/~fraga/Charlas/redeslinux.pdf
DMZ. Informacin acerca de la DMZ. Extrado el 15 de Julio del 2010 desde

zeus.lci.ulsa.mx/divulgacion/Material/pdf/DMZ.pdf
Modelos
TCP/IP.
Extrado
el
05
de
Agosto
del
2010
http://technet.microsoft.com/es-es/library/cc786900%28WS.10%29.aspx
desde
100
Firewalls. Informacin de los Firewalls. Extrado el 05 de Agosto del 2010 desde

http://www.google.com.ec/url?sa=t&source=web&cd=1&ved=0CBgQFjAA&url=htt
p%3A%2F%2Fhomepage.cem.itesm.mx%2Frogomez%2Fseguridad%2FFirewalls.pp
t&rct=j&q=Firewalls.ppt&ei=gX_ETLzQFcH38Ab46q3oBg&usg=AFQjCNEakIMV
ASrKnsguGx5bjv7pkD97rA&cad=rja
DNS. Que es un DNS y como Funciona. Extrado el 13 de Agosto del 2010 desde
http://www.ccm.itesm.mx/dinf/redes/sdns.html
Qu es una DMZ? Extrado el 07 de Septiembre del 2010 desde

http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16&t=3611
Precios y Productos Firewall. Extrado el 09 de Septiembre del 2010 desde

http://www2.shopping.com/firewall/products?CLT=SCH
101
ANEXOS
ANEXO #1: ENTREVISTA

FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES
La siguiente entrevista es con la finalidad de facilitar informacin de la estructura la
red de la empresa, las polticas de seguridad que manejan en el Firewall, los servicios
con los que cuentan y toda la informacin que facilite la elaboracin de una Gua de
Implementacin de una DMZ (Zona Desmilitarizada).
DATOS DE IDENTIFICACION
Nombre de la Empresa:
Nombre del Entrevistado:
Cargo Del Entrevistado:
e-mail:
Direccin:
Telfono:
Sitio web:
1. Cules son sus responsabilidades en la empresa?
2. Cmo est estructurado el Departamento de Sistemas?
3. Cmo est estructurada la Red de la empresa?
4. Tienen implementada una DMZ en la Red y cmo est diseada la DMZ?
5. Cuntos Firewall tienen en la Red y de qu forma est estructurado cada
Firewall?
6. En qu plataforma trabaja el Firewall?
7. Qu versin o Distribucin utiliza la plataforma del firewall?
8. Cules son las polticas de seguridad implementadas en el firewall?
9. Qu accesos estn configurados en el firewall?
102
10. Qu puertos estn abiertos en el firewall?

11. Cada cunto tiempo son verificadas las polticas configuradas en el firewall?
12. Qu servicios estn prohibidos para ser accedidos en la red?
13. Cul es el ancho de banda que tiene la red?
14. Cuntos servidores tienen en la red de la empresa?
15. Qu clase de servidores utiliza en la empresa?
16. Quines tienen acceso a los servidores?
17. La red de la empresa esta segmentada
18. La empresa tiene agencias y cuantas agencias se conectan a la red
19. Tiene VLAN en la red de la empresa
20. Tienen acceso VPN a los servidores de la red
21. Qu tipo de amenazas han intentado vulnerar la DMZ?
22. Con qu frecuencia los usuarios externos acceden a la red y qu cantidad de
usuarios acceden?
23. Qu tipo de software utilizan para controlar la DMZ?
24. Cun beneficioso es para la empresa contar con una DMZ?
25. Cul es el nivel de inversin anual de hardware/software en la empresa?
26. Cuentan con certificaciones digitales en la red
103
ANEXO #2: ANALISIS GENERAL DE LAS ENTREVISTAS
Anlisis General De La Entrevista Realizada en la Empresa IT/CORP
El anlisis de los datos recolectados permiti conocer la situacin actual de la red de

la empresa IT/COP, en la cual los servicios como Correo, FTP, Proxy y el Firewall
estn contenidos en un mismo servidor realizando varias funciones. La red que
maneja es pequea, aunque tratan de asegurar los servicios que posee actualmente y
de mantener protegida la red de accesos no autorizados.
El Firewall es monitoreado diariamente y se configuran los accesos de acuerdo a las

necesidades que se presenten en la empresa, actualmente no tienen planificado la
ampliacin de la empresa en su infraestructura, asimismo el software que manejan es
open source lo que ayuda en el costo/beneficio actual de la empresa.
104
Anlisis General De La Entrevista Realizada en la Junta de Beneficencia
El anlisis de los datos recolectados permiti conocer la situacin actual de la red de

la Junta de Beneficencia, la red que posee actualmente es compleja, pero por fines
confidenciales no fue facilitada en la realizacin de esta entrevista, poseen como
Firewall Checkpoint.
El Firewall es monitoreado diariamente y se realizan configuraciones del mismo cada

6 meses de acuerdo a las necesidades que se presenten en la empresa, poseen un alto
nivel de inversin anual lo cual ayuda a mantener actualizados sus equipos e
infraestructura de red.
105
ANEXO #3: ENCUESTA

FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES
La siguiente encuesta es con la finalidad de obtener informacin de lo que opinan los
profesores de Redes y Sistemas Operativos acerca de la realizacin de una Gua de
Implementacin de una DMZ (Zona Desmilitarizada).
Anote una X en la respuesta que usted considere ms adecuada, solo seleccione una
opcin. No deje respuestas en blanco.
1. Cmo califica usted que una PYME (Pequea y Mediana Empresa) no posea
DMZ dentro de su diseo de red?
Buena
( )
Regular ( )
Mala
( )
2. Cmo considera usted la implementacin de una DMZ dentro del diseo de red
de una PYME (Pequea y Mediana Empresa)?
Muy prioritario
( )
Medianamente prioritario ( )
No prioritario
( )
3. En caso de que una PYME (Pequea y Mediana Empresa) no cuente con una
DMZ, considera usted que la inversin y reestructuracin del diseo de red es:
Muy prioritario
( )
No prioritario
( )
4. Conoce o ha escuchado de una Gua que facilite a los colaboradores del rea de
redes la implementacin de una DMZ en una PYME (Pequea y Mediana
Empresa)?
Si conoce ( )
No conoce ( )
5. Cmo catalogara usted, por el nivel de prioridad la realizacin de una Gua de
Implementacin de una DMZ para las PYME (Pequea y Mediana Empresa)
donde se explique paso a paso la implementacin y se facilite el trabajo de los
colaboradores del rea de redes?
Muy prioritario
( )
No prioritario
( )
106
ANEXO #4: RESULTADO ENCUESTAS
1. Cmo califica usted que una PYME (Pequea y Mediana Empresa) no

posea DMZ dentro de su diseo de red?
CUADRO N. 12
RESULTADOS PREGUNTA 1 DE LA ENCUESTA
Respuesta
Buena
Regular
Mala
Valor
0
3
2
Porcentaje
0%
60 %
40 %

Fuente: Encuestas
GRFICO N. 32
PREGUNTA 1

Fuente: Encuestas
Las personas encuestadas califican como regular, el que una PYME no posea una
DMZ dentro del diseo de red de la empresa.
107
2. Cmo considera usted la implementacin de una DMZ dentro del diseo de

red de una PYME (Pequea y Mediana Empresa)?
CUADRO N. 13
Respuesta
Muy prioritario
Medianamente
Prioritario
No prioritario
Valor
3
Porcentaje
60 %
40 %
0%

Fuente: Encuestas
GRFICO N. 33
PREGUNTA 2

Fuente: Encuestas
La implementacin de una DMZ en el diseo de red de una PYME es considerado

Muy Prioritario por las personas encuestadas, debido a que es una pequea red que
proporciona una seguridad adicional en la red interna de la empresa.
108
3. En caso de que una PYME (Pequea y Mediana Empresa) no cuente con una
DMZ, considera usted que la inversin y reestructuracin del diseo de red
es:
CUADRO N. 14
Respuesta
Valor
Porcentaje
Muy prioritario
3
60 %
Medianamente
2
40 %
Prioritario
No prioritario
0
0%
Fuente: Encuestas
GRFICO N. 34
PREGUNTA 3

Fuente: Encuestas
Se considera Muy Prioritario realizar una inversin y reestructuracin del diseo de

red en una PYME que no cuente con una DMZ, debido a que esto ayudara a obtener
un mayor nivel de seguridad en la red.
109
4. Conoce o ha escuchado de una Gua que facilite a los colaboradores del rea
de redes la implementacin de una DMZ en una PYME (Pequea y Mediana
Empresa)?
CUADRO N. 15
Respuesta
Si conoce
No conoce
Valor
0
5
Porcentaje
0%
100 %

Fuente: Encuestas
GRFICO N. 35
PREGUNTA 4

Fuente: Encuestas
La grafica resultante indica que las personas encuestadas no conocen de la existen de

una Guia que facilite a los colaboradores del rea de redes realizar una
implementacion de una DMZ en la red de una empresa.
110
5. Cmo catalogara usted, por el nivel de prioridad la realizacin de una Gua

de Implementacin de una DMZ para las PYME (Pequea y Mediana
Empresa) donde se explique paso a paso la implementacin y se facilite el
trabajo de los colaboradores del rea de redes?
CUADRO N. 16
Respuesta
Muy Prioritario
Medianamente
Prioritario
No Prioritario
Valor
2
Porcentaje
40 %
60 %
0%

Fuente: Encuestas
GRFICO N. 36
PREGUNTA 5

Fuente: Encuestas
111
La mayora de las personas encuestadas indican que es Medianamente Prioritario

realizar una Gua de Implementacin de una DMZ para una pequea y mediana
empresa.
Como resultado de las encuestas realizadas indica que la realizacin una Gua de
Implementacin de una DMZ para una Pequea y Mediana es medianamente
prioritario, sin embargo, no se descarta completamente la realizacin de la Gua la
cual ser realizada para una Mediana Empresa como es la empresa IT/CORP.
112
ANEXO #5: INSTALACION DE CENTOS 5.2
Los pasos de instalacin diferirn si se seleccionan mltiples componentes del

software para su instalacin en una computadora. Los pasos que se proporcionan son
los recomendados para la instalacin y configuracin del Servicio que se est
levantando.
PASOS DE LA INSTALACIN
Insertar el disco de CentOS 5.2 o superior, iniciar el equipo desde el disco, a

continuacin mostrara la pantalla de bienvenida de CentOS, presionar Enter.
GRFICO N. 37
INSTALACION DE CENTOS

Fuente: CentOS
113
Si desea comprobar que el disco este grabado correctamente antes de la

instalacin seleccionar OK, de lo contrario elegir Skip y presionar ENTER.
GRFICO N. 38
PROCESO DE VERIFICACION DEL DISCO

Fuente: CentOS
114
Mostrara la pantalla de Bienvenida de CentOS, para iniciar con la instalacin dar

clic en next.
GRFICO N. 39
INICIO DE CENTOS

Fuente: CentOS
115
Los siguientes pasos estn relacionados al lenguaje y el teclado, se deben

seleccionar los apropiados de acuerdo al entorno. Seleccionar el idioma que se
utilizara durante la instalacin.
GRFICO N. 40
IDIOMA DE INSTALACIN

Fuente: CentOS
116
Seleccionar el idioma del teclado para el sistema en este caso se selecciona

espaol. En seguida pregunta si se desea inicializar en esa unidad y eliminar todos
los datos dar clic en S.
GRFICO N. 41
IDIOMA DEL TECLADO

Fuente: CentOS
117
A continuacin mostrara la pantalla para realizar particiones en el disco duro, para

lo cual se puede utilizar la configuracin por defecto o crear una particin, una
vez seleccionada la opcin que se desea dar clic en siguiente.
GRFICO N. 42
PARTICIN DE LA UNIDAD

Fuente: CentOS
118
Al seleccionar la opcin Crear Disposicin Personalizada, mostrara la herramienta

de particiones, para iniciar la particin del disco dar clic en el botn Nuevo, para
realizar una particin nueva en el disco.
GRFICO N. 43
PARTICIN DE LA UNIDAD

Fuente: CentOS
119
Para realizar la particin del disco, seleccionamos / en el punto de montaje y

digitamos el tamao de la unidad, posteriormente dar clic en aceptar.
GRFICO N. 44
ASIGNACIN DE ESPACIO EN LA UNIDAD

Fuente: CentOS
120
En el espacio que permanece disponible, dar clic en el botn modificar para

asignar el espacio disponible.
GRFICO N. 45
ESPACIO DISPONIBLE

Fuente: CentOS
121
Seleccionar SWAP para el tipo de sistema de archivo, asignar el espacio

disponible y dar clic en aceptar.
GRFICO N. 46
PARTICIO SWAP

Fuente: CentOS
122
Una vez concluida la particin del disco, mostrara las particiones realizadas dar
clic en siguiente para continuar la instalacin de CentOS.
GRFICO N. 47
PARTICIONES CONFIGURADAS

Fuente: CentOS
123
Mostrara la configuracin del gestor de arranque, dar clic en siguiente.
GRFICO N. 48
GESTOR DE ARRANQUE

Fuente: CentOS
124
Posteriormente se configura la red y el nombre del host, de lo contrario dejar que

se seleccione de forma automtica a travs de DHCP, adems se podr modificar
la red del servidor en el botn modificar o configurarla al iniciar CentOS, dar clic
en siguiente.
GRFICO N. 49
CONFIGURACIN DE RED

Fuente: CentOS
125
Consecutivamente se define la zona horaria, seleccionar la regin adecuada y dar

clic en siguiente.
GRFICO N. 50
ZONA HORARIA

Fuente: CentOS
126
Definir la contrasea para el root del servidor.
GRFICO N. 51
CONTRASEA ROOT

Fuente: CentOS
127
En la siguiente pantalla se activada la opcin Desktop - Gnome para instalarlo en

modo grafico, si se desea instalar CentOS en modo texto dejar desactivadas todas
las opciones. Se activa la opcin de personalizar ahora, con el propsito de poder
elegir el software a instalar, dar clic en siguiente.
GRFICO N. 52
MODO GRAFICO GNOME

Fuente: CentOS
128
Se inicia la configuracin de los paquetes de instalacin, en la cual se debe

seleccionar lo que se requiera dar clic en siguiente para iniciar la instalacin el
servidor. Durante la instalacin se indica donde se puede encontrar la
documentacin de CentOS. Una vez concluida la instalacin, dar clic en el botn
reiniciar.
GRFICO N. 53
SELECCIN DE SERVIDORES

Fuente: CentOS
129
Una vez reiniciado el servidor se inicia el asistente de Primer inicio de CentOS,

dar clic en Adelante para continuar la configuracin.
GRFICO N. 54
ASISTENTE DE CONFIGURACIN

Fuente: CentOS
130
Consecutivamente se especifica los servicios que sern confiables para el

servidor.
GRFICO N. 55
CONFIGURACIN DE CONTAFUEGOS

Fuente: CentOS
131
Se especifica la configuracin de SELinux. Posteriormente mostrara una ventana

donde se ingresar la fecha y hora del sistema.
GRFICO N. 56
CONFIGURACIN DE SELINUX

Fuente: CentOS
132
Posteriormente se podra crear un usuario que podra ingresar al servidor diferente

al usuario administrador.
GRFICO N. 57
CREACIN DE USUARIO

Fuente: CentOS
Despus mostrara una pantalla donde se configura la tarjeta de sonido, si no se

desea ninguna modificacin dar clic en Adelante, inmediatamente se muestra una
pantalla para instalacin de software adicional, si no cuenta con ningun disco
adicional pulsar finalizar para concluir la instalacin de CentOS.
133
ANEXO #6: INSTALACION DE WINDOWS SERVER 2003 STANDART

EDITION
Los pasos de instalacin diferirn de acuerdo a las mltiples opciones que se elijan a
medida que avanza la instalacin del servidor bajo Windows 2003 Server.
Pasos de la Instalacin
Insertar el disco de Windows 2003 Server Standard Edition o superior. Arrancar
el equipo desde el disco. Al iniciar Windows Server muestra la pantalla en la cual
se podr Crear una instalacin, reparar una existente y quitar una instalacin, en
cada opcin se indica la tecla para escoger la accin deseada, en este caso
seleccionaremos crear una nueva dando Enter.
GRFICO N. 58
INICIO DE WINDOWS 2003 SERVER

Fuente: Windows 2003 Server
134
Enseguida muestra la licencia de Windows Server 2003, digitamos F8 para

aceptar los trminos de la licencia.
GRFICO N. 59
LICENCIA DE WINDOWS SERVER 2003

135
Mostrara la ventana para realizar la particin de disco e instalacin del sistema,

dar Enter si se desea instalar el sistema en el espacio disponible, en este caso se
realizar una particin para los respaldos y digitar C.
GRFICO N. 60
PARTICIN DEL DISCO DURO

136
Indicara el espacio disponible para particionar el disco duro, se digita el espacio

en MB que se le asignara a la primer particin y precionar Enter.
GRFICO N. 61
ASIGNACN DE ESPACIO

En seguida se mostrara el espacio disponible para la siguiente particion, se

presiona Enter para crear la nueva particin y se digita el espacio que se le
asignara a la nueva particin; una vez asignado el espacio precionar Enter.
137
Posteriormente se debe seleccionar la particin en la que se instalar el Sistema

Operativo, como es la particin C, presionar Enter para iniciar la instalacin del
Sistema Operativo
GRFICO N. 62
UNIDAD DE INSTALACIN DE WINDOWS

138
Enseguida mostrar el tipo de formato que se desea dar a la unidad donde se

instalara el sistema operativo, en la cual se seleccionara usando Formato NTFS,
esperamos que se realice el Formateo de la particin, que se copien los archivos
de instalacin de Windows Server y se reinicie el Servidor.
GRFICO N. 63
ASIGNACN DE ESPACIO

139
Una vez reiniciado el servidor, se podr configurar la regin y lenguaje de

teclado, una vez realizada la configuracin dar clic en Next o Siguiente y a
continuacin se muestra la pantalla para digitar la clave del producto, clic en
Next.
GRFICO N. 64
SELECCIN DE IDIOMA

140
Posteriormente mostrara el nmero de conexiones recurrentes que se desea que

tenga el servidor, dar clic en Next.
GRFICO N. 65
NMERO DE CONEXIONES CONCURRENTES

141
Enseguida mostrara la pantalla para establecer el nombre del Servidor y la

contrasea del administrador.
GRFICO N. 66
CONTRSEA DE ADMINISTRADOR

142
Mostrara el tipo de configuracin que desea realizar para la red de servidor.
GRFICO N. 67
CONFIGURACIN DE RED

143
Pregunta si el Servidor pertenecer a un Grupo de Trabajo de la red. Dar clic en

next y se finalizara la instalacin de Windows 2003 Standart Edition.
GRFICO N. 68
GRUPO DE TRABAJO

144
ANEXO #7: INSTALACION DE WEBMIN
Para la instalacin de Webmin se debe realizar la descarga del paquete de Webmin, el

cual est disponible en www.webmin.com, para utilizar Webmin deben estar
instaladas las herramientas de desarrollo de CentOS como: perl (lenguaje de
programacin utilizados por webmin), openssl (para acceder a las pagina de Webmin
de manera segura) y perl-Net-SSLeay (extensin de perl para el uso de openssl). En
caso de que el equipo no tenga instaladas estas herramientas, se las puede instalar
digitando lo siguiente:
yum install perl

yum install openssl
yum install perl-Net-SSLeay
Una vez concluida la descarga de Webmin, se debe posicionar en la carpeta en que se

desea instalar Webmin y donde debe estar el paquete descargado, para lo cual se debe
abrir un terminal y digitar lo siguiente:
cd /usr, para posicionarse en la carpeta donde se encuentra el paquete de

Webmin en la cual va ser instalado.
tar xf nombre del paquete, para descomprimir el paquete descargado.
145
cd webmin-1.520 (nombre de la carpeta), para posicionarse en la carpeta

creada por el paquete descomprimido.
./setup.sh, para iniciar la instalacin de Webmin.
Una vez que se iniciada la instalacin de Webmin, se mostrara una ventana de

configuracin como la siguiente, donde muestra el directorio por defecto:
GRFICO N. 69
SCRIPT DE WEBMIN

Fuente: Webmin
Consecutivamente empezara a indicar los directorios de Webmin, presionar Enter

hasta que muestre el puerto de Webmin, que por defecto es el puerto 10000, en esta
opcin se puede elegir el puerto desde el cual se podr acceder a Webmin, si se desea
146
que sea accedido desde el puerto 10000 presionar Enter, caso contrario indicar el
puerto, en este caso se indicara el puerto 25000.
A continuacin se debe indicar el usuario que ser utilizado para ingresar a Webmin,
el cual por defecto est asignado admin, adems se debe indicar la contrasea para
acceder a Webmin, elegimos usar SSL e indicar si se desea que Webmin arranque al
inicio del servidor Linux.
GRFICO N. 70
CONFIGURACIN WEBMIN

Fuente: Webmin
Una vez concluida la instalacin del paquete se puede acceder a Webmin mediante:
http://localhost.localdomain:25000, donde se digitara el usuario y contrasea que se
indico en la instalacin para comenzar a utilizar Webmin.
147
ANEXO #8: PERMISOS DE ACCESOS DE ARCHIVOS
Para la configuracin de los permisos de accesos se tienen tres tipos de permiso:

ejecucin, lectura y escritura, en donde se establecen tres tipos de usuarios como:
Propietario.- Es la persona que creo o subio el archivo al servidor FTP.

Grupo.- Se refiere al grupo de usuarios al que probablemente pertenece el
propietario.
Otros.- Son todos los dems usuarios annimos o que no pertenecen al grupo
indicado.
Para configurar correctamente el parmetro local_umask del archivo vsftpd.conf, en

el cual se indican los permisos que tendrn los usuarios para los archivos contenidos
en el Servidor FTP, la manera usual de asignar los permisos es numricamente, en
donde:
0= sin acceso
2= escritura
1= ejecucin
148
Los permisos se asignan acorde a la suma de estos nmeros, por ejemplo:
3 (2+1)= escritura y ejecucin

5 (4+1)= lectura y ejecucin
6 (4+2)= lectura y escritura
7 (4+2+1)= lectura, escritura y ejecucin
En donde las combinaciones se deben realizar en el orden: propietario, grupo y otros.

Por ejemplo: 664, asigna permisos de lectura y escritura al propietario y al grupo, a
otros le asigna solo permisos de lectura.
Otro ejemplo: 022, sin acceso para el propietario y al grupo y otros usuarios solo le
asigna permisos de escritura.
De esta manera se pueden combinar y establecer los permisos que tendrn los
archivos que contenga el Servidor FTP.
149
ANEXO #9: IP CONFIGURADAS PARA PRUEBAS
Las interfaces de red del Firewall estn configuradas con las siguientes IP. Para la
realizar las pruebas del Firewall.
GRFICO N. 71
IP DE RED LAN (ETH0)

Fuente: VMware Equipo Firewall
150
GRFICO N. 72
IP DE INTERFAZ WAN (ETH1)

GRFICO N. 73
IP DE LA DMZ (ETH2)

151
La direccin IP para el cliente que ser utilizado para las pruebas fue asignada por
DHCP.
GRFICO N. 74
RED LOCAL

Fuente: VMware Equipo Cliente para Pruebas
152
ANEXO #10: PRUEBAS DE SEGURIDAD DE LA DMZ
Las pruebas permitirn conocer si la Zona Desmilitarizada (DMZ) est cumpliendo

con su funcin para lo cual se utilizaran ping y telnet.
GRFICO N. 75
PING A LA INTERFAZ DE LA LAN

GRFICO N. 76
PING A LA INTERFAZ DE LA WAN

153
GRFICO N. 77
TELNET A LA INTERFAZ DE LA LAN

GRFICO N. 78
TELNET DE UN SERVIDOR DE LA DMZ A UN EQUIPO DE LA LAN

Fuente: VMware Servidor de la DMZ

Tomo 1 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tomo 1 PDF

Cargado por

Copyright:

Formatos disponibles

TOMO I

Nombre del Egresado

Nombre del Tema

Nombre del Tutor

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

GUA DE IMPLEMENTACIN DE UNA DMZ

INGENIERO EN SISTEMAS COMPUTACIONALES

AUTOR: MARIXELINDA LISBETH ESPAA ESCOBAR

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

GUA DE IMPLEMENTACIN DE UNA DMZ

INGENIERO EN SISTEMAS COMPUTACIONALES

MARIXELINDA LISBETH ESPAA ESCOBAR

APROBACION DEL TUTOR

IMPLEMENTACIN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA

Dedico esta tesis primeramente a Dios y a

A mis padres que han sabido guiarme y

Al culminar esta carrera valiosa, tengo a

A mis padres que de alguna manera han

Ing. Fernando Abad Montero

Ing. Francisco Palacios Ortiz

Ing. Juan Chanab Alccer

AB. Juan Chvez A.

FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS

GUA DE IMPLEMENTACIN DE UNA DMZ

Autor/a: Marixelinda Lisbeth Espaa Escobar.

Guayaquil, ______ de 2011

CERTIFICADO DE ACEPTACIN DEL TUTOR

En mi calidad de Tutor del Segundo Curso de Fin de Carrera, nombrado por el

Espaa Escobar Marixelinda Lisbeth

Apellidos y Nombres Completos

Guayaquil, ______ de 2011

Capa De Red .......................................................................................................................19

Servidores Proxy a Nivel de Aplicacin (Proxy Gateway de Aplicaciones) .......................38

CAPTULO III ...................................................................................................................... 69

CONFIGURACIN DE LOS SERVICIOS DE LA EMPRESA IT/CORP .................... 87

CONFIGURACION DEL FIREWALL............................................................................ 116

CAPTULO VI .................................................................................................................... 132

REFERENCIAS BIBLIOGRFICAS ................................................................................ 96

CUADRO N. 1: 5CAUSAS Y CONSECUENCIAS DEL PROBLEMA........................... 5

NETGEAR PROSECURE UTM25 ..................................................................................... 50

GRFICO N. 1: CAPAS DE MODELO OSI ................................................................... 18

GRFICO N. 21: MENU DE CONFIGURACIN DE ZIMBRA ............................... 100

GRFICO N. 46: PARTICIO SWAP ............................................................................. 121

GRFICO N. 71: IP DE RED LAN (eth0)...................................................................... 149

En la actualidad la seguridad es un tema fundamental para las organizaciones, las

Si la confidencialidad de la informacin es importante para cualquier individuo, en

UBICACIN DEL PROBLEMA EN UN CONTEXTO

La necesidad de mejorar la seguridad en la red para reducir amenazas de seguridad

Actualmente el acceso a las tecnologas, incrementa las amenazas de seguridad en la

SITUACIN CONFLICTO NUDOS CRTICOS

Muchos inconvenientes se inician por la falta de estrategias de proteccin contra las

En esta Gua de Implementacin de una DMZ, se expondr la informacin relevante

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

Las causas que motivan al problema, es incrementar el nivel de seguridad en los

Exposicin de la informacin Utilizar

confidencial de la empresa con

contenida en los servidores.

Elaboracin: Marixelinda Espaa Escobar.

DELIMITACIN DEL PROBLEMA

Para obtener el diseo de red que maneja actualmente la empresa IT/CORP, se

Se efectuaran investigaciones para determinar el tipo de estructura adecuado que se

Se investigara el software, hardware que podran ser utilizados cuando se realice la

Se investigara y configurara los servicios de acceso que se van a restringir y permitir