Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lnea de Investigacin
Redes y Sistema Operativo
Nmero de Proyecto
16
UNIVERSIDAD DE GUAYAQUIL
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
UNIVERSIDAD DE GUAYAQUIL
PORTADA
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
GUAYAQUIL ECUADOR
2011
Guayaquil,.del 2011
En
mi
calidad
de
Tutor
del
trabajo
de
investigacin,
GUA
DE
Atentamente
.
Ing. Francisco Palacios Ortiz
TUTOR
DEDICATORIA
AGRADECIMIENTO
TRIBUNAL DE GRADO
Nombre y Apellidos
PROFESOR DEL REA - TRIBUNAL
UNIVERSIDAD DE GUAYAQUIL
Proyecto de trabajo de grado que se presenta como requisito para optar por el ttulo de
INGENIERO en SISTEMAS COMPUTACIONALES
ii
CERTIFICO:
Que he analizado el Proyecto de Grado presentado por el/el egresado (a)
Marixelinda Lisbeth Espaa Escobar, como requisito previo para optar por el ttulo de
Ingeniero cuyo problema es:
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
Presentado por:
120611239-1
Cdula de ciudadana N
_________________________
Tutor: Ing. Francisco Palacios Ortiz.
iii
NDICE GENERAL
PORTADA ................................................................................................................................ i
CERTIFICADO DE ACEPTACIN DEL TUTOR ........................................................... ii
NDICE GENERAL .............................................................................................................. iii
NDICE DE CUADROS ....................................................................................................... vii
NDICE DE GRFICOS .................................................................................................... viii
RESUMEN............................................................................................................................. xii
INTRODUCCIN .................................................................................................................. 1
CAPITULO I ........................................................................................................................... 3
EL PROBLEMA ..................................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA.............................................................................. 3
UBICACIN DEL PROBLEMA EN UN CONTEXTO ....................................................................3
SITUACIN CONFLICTO NUDOS CRTICOS ..............................................................................4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................................................5
DELIMITACIN DEL PROBLEMA.................................................................................................6
FORMULACIN DEL PROBLEMA ................................................................................................7
EVALUACIN DEL PROBLEMA ...................................................................................................8
OBJETIVOS............................................................................................................................ 9
OBJETIVO GENERAL .................................................................................................................9
OBJETIVOS ESPECFICOS .......................................................................................................10
ALCANCES........................................................................................................................... 11
JUSTIFICACIN E IMPORTANCIA ............................................................................... 12
CAPTULO II ....................................................................................................................... 14
MARCO TERICO ............................................................................................................. 14
ANTECEDENTES DEL ESTUDIO .................................................................................................14
FUNDAMENTACIN TERICA ...................................................................................................17
RED DE COMPUTADORAS ......................................................................................................17
MODELO OSI..............................................................................................................................17
Capas Del Modelo OSI ............................................................................................................19
Capa Fsica ..........................................................................................................................19
Capa De Enlace ...................................................................................................................19
iv
CAPTULO IV ...................................................................................................................... 80
GUA DE IMPLEMENTACIN DE UNA DMZ EN LA RED DE LA EMPRESA
IT/CORP ................................................................................................................................ 80
DESCRIPCIN DEL DISEO ACTUAL DE LA EMPRESA IT/CORP .......................................81
DESCRIPCIN DEL DISEO RECOMENDADO PARA LA EMPRESA IT/CORP ...................84
vi
SERVIDOR PROXY.......................................................................................................................103
SERVIDOR DNS Y DHCP .............................................................................................................112
vii
NDICE DE CUADROS
N.
5:
CARACTERSTICAS
DESCRIPCIN------------------------
viii
NDICE DE GRFICOS
ix
xi
xii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUA DE IMPLEMENTACIN DE UNA DZM
(ZONA DESMILITARIZADA)
PARA LA EMPRES IT/CORP
Autor/a: Marixelinda Lisbeth Espaa Escobar.
Tutor: Ing. Francisco Palacios Ortiz.
RESUMEN
Actualmente la seguridad de la informacin en la red es un tema predominante para
las organizaciones, ya que de ello depende su comunicacin con otras organizaciones
y la confiabilidad de los datos que manejan en la red. Por ello la necesidad de contar
con una DMZ debido a que nos proporciona un nivel de proteccin adicional en la red
de la organizacin. Una DMZ (Zona Desmilitarizada) es una pequea red que se sita
entre la red interna o LAN de la organizacin y la red externa o internet, la cual
ofrece fiabilidad en el intercambio de la informacin y permite reducir los efectos de
ataques maliciosos en la red interna de la organizacin. El objetivo de una DMZ es
controlar los accesos que provienen desde el exterior de la red hacia interior de la red
de la organizacin y proteger la confidencialidad de los datos manejados a travs de
la red. La importancia del presente proyecto radica en ofrecer una gua de
implementacin de una DMZ en la empresa IT/CORP, como parte del contenido se
encontrara las diferentes alternativas hardware y software que pueden ser utilizadas
como Firewall en la red de la empresa, la configuracin de los servicios que estarn
contenidos en la DMZ y las polticas que maneja la empresa para los accesos a la red.
Se concluy que una DMZ ofrece un nivel adicional en la red de una organizacin,
adems se puede contener aislados los servicios de la empresa. Adems por medio de
la utilizacin de un software libre se puede disminuir el nivel de inversin de la
empresa para implementar una DMZ en la red. Se recomienda tener cuidado en la
configuracin de la reglas del Firewall para evitar tener problemas posteriores con los
colaboradores de la organizacin.
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUA DE IMPLEMENTACIN DE UNA DZM
(ZONA DESMILITARIZADA)
PARA LA EMPRES IT/CORP
Autor/a: Marixelinda Lisbeth Espaa Escobar.
Tutor: Ing. Francisco Palacios Ortiz.
ABSTRACT
Currently, the information security in the network is a predominant theme for
organizations, because it depends on your communication with other organizations
and the reliability of data used in the network. Hence the need for a DMZ because it
provides an additional level of protection in the network of the organization. A DMZ
(Demilitarized Zone) is a small network that sits between your internal network or
LAN of the organization and the external network or the Internet, which provides
reliability in the exchange of information and reduces the effects of malicious attacks
on the network internal organization. The purpose of a DMZ is to control the accesses
come from outside the network to the inside of the organization's network and protect
the confidentiality of data handled by the network. The importance of this project is
to provide guidance for implementing a DMZ in the enterprise IT/CORP, as part of
the content found different hardware and software alternatives that can be used as a
firewall on the corporate network, configuring services that will be contained in the
DMZ and the company that manages policies for network access. It was concluded
that a DMZ provides an extra layer in the network of an organization and can contain
isolated services company. Also through the use of free software can reduce the level
of investment by the company to implement a DMZ on the network. Caution is
advised in the configuration of the firewall rules to avoid future problems with
employees of the organization.
INTRODUCCIN
El presente proyecto tiene como finalidad realizar una gua con los pasos adecuados
para implementar una DMZ (Zona Desmilitarizada), como medio de proteccin de la
red interna de la empresa IT/CORP 1, con el objetivo de mejorar la seguridad de la
institucin a fin de salvaguardar toda la infraestructura tecnolgica (Software,
Hardware) que se pueda comprometer cuando algn intruso pretenda violar la
seguridad.
IT/CORP, es una empresa asesora en recursos de IT, asesora tecnologa, ofrecen servicios
especializados en mantenimiento, helpdesk y administracin de infraestructura, redes, etc. Fuente:
http://www.it-corp.com/
Una DMZ (Zona Desmilitarizada) o Red Perimetral, es una red que se ubica entre la
red interna (LAN) de una organizacin y la red pblica (internet) que incorpora
segmentos de red para acceder a los equipos internos de la empresa y la red pblica;
el objetivo de una DMZ es asegurar el intercambio de informacin entre la red
externa y la red interna sin comprometer la seguridad de la empresa IT/CORP.
Contar con una DMZ en la red proporciona un mayor nivel de seguridad y fiabilidad
en la empresa, debido a que se consigue reducir los efectos de un ataque exitoso al
proporcionar un aislamiento de la red interna con la red externa de la organizacin,
sin comprometer la seguridad de la red de la institucin y causar algn tipo de dao.
CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Al principio, las amenazas de internet no eran ms que una molestia, sin embargo, los
maliciosos ataques de hoy en da pueden llegar a entorpecer la actividad comercial de
la empresa IT/CORP, por lo cual se debe disminuir los accesos no autorizados a la red
e incrementar la seguridad para contar una mayor proteccin en la transferencia y
acceso a la informacin.
CUADRO N. 1
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
CAUSAS
CONSECUENCIAS
de
fines perjudiciales.
Prdida
autorizado a la red.
Transferencia
datos
autorizados.
Incremento de trfico en la red
informacin
no
de
informacin
contenida en la red.
Baja
confiablidad
en
el
intercambio de informacin.
Disminucin de acceso a la red
por lo cual se formaran los
cuellos de botella.
Se debe tener en cuenta que a diario incrementan la cantidad de personas que desean
violar la seguridad de la red de la empresa IT/CORP, por lo cual contar con una DMZ
es un factor importante debido a que sta se convierte en un callejn sin salida para
cualquiera que desee conectarse ilegalmente a la red.
Entonces, Por qu no contar con una Zona Desmilitarizada para tener una mayor
proteccin en la arquitectura de red de la empresa IT/CORP?, para prevenir de
accesos no autorizados que pueden comprometer la estabilidad de red de la empresa y
obtener un mayor nivel de seguridad en la organizacin.
Contar con una gua de implementacin de una DMZ, es de vital importancia debido
a que ser de gran ayuda para el personal tcnico, el mismo que conocer como
realizar la implementacin y la alta seguridad que se brinda por medio de una Zona
Desmilitarizada.
Una DMZ ayuda a minimizar los riegos de acceso de usuarios no autorizados que
intentan comprometer la seguridad de la red de la empresa IT/CORP, debido a los
distintos riesgos que van creciendo da a da en el entorno tecnolgico.
OBJETIVOS
OBJETIVO GENERAL
Elaborar una gua para realizar una implementacin de una DMZ para la empresa
IT/CORP, con la finalidad de asegurar la infraestructura de red, garantizando la
confiabilidad de los sistemas de informacin e intercambio de servicios que
proporciona esta Mediana Empresa y evitar los accesos indebidos de personal no
autorizado a la red.
10
OBJETIVOS ESPECFICOS
Estudiar la configuracin adecuada de los accesos que debe tener el firewall para
la correcta elaboracin de la gua de implementacin de la DMZ (Zona
Desmilitarizada).
11
ALCANCES
Investigar los tipos de estructura de red que se puedan manejar cuando se utiliza
una DMZ.
Configurar los servicios que se van a restringir y permitir para los usuarios de la
empresa IT/CORP.
12
JUSTIFICACIN E IMPORTANCIA
13
14
CAPTULO II
MARCO TERICO
15
est
disponible
en:
upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
Zrate Prez, Jorge A. y Farias Elinos Mario (Abril, 2006), titulada Implementacin
de una DMZ, en esta investigacin muestra las lneas de configuracin para el
sistema OpenBSD, NetFlow, la sintaxis de reglas para realizar un filtrado de paquetes
en la red, bloquea los paquetes falsificados (spoofing), ofrece como realizar NAT
(Network Address Translation) y varias configuraciones para poder implementar una
DMZ; una de las conclusiones a las cuales llego esta investigacin es que la DMZ
permite tener un nivel de seguridad aceptable, obtener un mayor control usuarioservicio, adems que se requiere de un bajo mantenimiento de la misma y ofrece la
16
Conza Gonslez, Andrea Elizabeth (Septiembre, 2009), para optar por el ttulo de
Tecnlogo en Anlisis de Sistemas Informticos en la Escuela Politcnica Nacional
de Quito, titulada Diseo e Implementacin de un prototipo de DMZ y la
interconexin segura mediante VPN utilizando el Firewall Fortigate 60, este trabajo
de investigacin plantea diferentes alternativas de hardware y software que se pueden
utilizar en la implementacin de una DMZ, la alternativa de diseo de red que se
puede implementar en el LTI (Laboratorios de Tecnologas de Informacin), la
configuracin de los servicios que se van a ofrecer en la DMZ a travs del Firewall
Fortigate, configuraciones de VPN en la red LTI, adems se realizan pruebas del
funcionamiento de la DMZ y la VPN. Una de las recomendaciones que se estableci
en el trabajo de investigacin es que se deben analizar las polticas que se
implementen en el Firewall para evitar conflictos con los usuarios de la organizacin.
Esta
investigacin
est
disponible
en
la
siguiente
http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf
direccin:
17
FUNDAMENTACIN TERICA
RED DE COMPUTADORAS
MODELO OSI
Se refiere al conjunto de etapas definidas por las que tienen que pasar las
transferencias de datos en las redes. El Modelo de Referencia de Interconexin de
Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System
Interconnection), fue creado por el ISO (Organizacin Internacional de Estndares),
18
con la finalidad de hacer ms fcil la comunicacin entre las redes a pesar de sistemas
operativos, arquitecturas, localizacin y fabricantes distintos. En las capas del modelo
OSI cada dato se prepara para ir a la siguiente capa. 2
GRFICO N. 1
CAPAS DE MODELO OSI
Fuente: http://cecilia-urbina.blogspot.com/2010/08/modelo-osi.html
19
Capa Fsica
Es el primer nivel del Modelo OSI y se encarga de las conexiones fsicas que debe
cumplir el sistema para que el computador pueda operar normalmente en la red, como
el cableado, las conexiones entre las computadoras de la red, velocidad de
transferencia, comunicacin entre equipos o host y el flujo de bits.
Capa De Enlace
Esta capa obtiene los bits transmitidos por la capa fsica, adems se encarga de la
deteccin y control de errores que ocurren en esta capa, para esto agrupa la
informacin que se va transmitir en unidades llamadas trama (bits ordenados) o
bloques y los transmite a travs del medio (LAN y WAN) e incluye en cada trama
algoritmos los cuales permiten comprobar la integridad fsica de la trama.
Capa De Red
20
Capa De Transporte
21
Capa De Sesin
Capa De Presentacin
Capa De Aplicacin
22
MODELO TCP/IP
GRFICO N. 2
CAPAS DE MODELO TCP/IP
Elaboracin: Microsoft
Fuente:http://technet.microsoft.com/es-es/library/cc786900%28WS.10%
29.aspx
23
Esta capa especifica cmo se envan fsicamente los datos a travs de la red, incluye
todos los detalles de la capa Fsica y Enlace del Modelo OSI, realiza asignaciones IP
a las direcciones Fsicas, encapsulamiento de los paquetes IP en tramas, adems
definir la conexin con los medios fsicos.
Capa De Internet
En esta capa realiza un enrutamiento de los datos en datagramas IP, que contendrn la
direccin origen y destino, tiene como propsito seleccionar la mejor ruta para el
envi de los paquetes por la red. Se utiliza el Protocolo de Internet (IP, Internet
Protocol) para el servicio de encaminamiento a travs de varias redes.
Capa De Transporte
24
Capa De Aplicacin
DIRECCIONES IP
Los equipos para comunicarse en una red, requieren de una direccin de red nica, se
utiliza esta direccin IP para diferenciar un equipo de otro y ayuda a localizar donde
se encuentra este equipo en la red. Existen cuatro clase de direcciones IP que se
utilizan para ser asignadas a los equipos, la clase depender del tamao y tipo de red
que se utilice.
25
Una direccin IP est formada por 32 bits que se agrupan en octetos, adems est
compuesta por dos partes:
Clases De Direcciones IP
Direcciones De Clase A
Las direcciones de clase A, son asignadas a redes con un nmero alto de equipos.
Solo existen 124 redes, los tres bytes de la izquierda representan los equipos de la red.
Esta clase corresponde a redes que pueden direccionar hasta 16.777.214 mquinas
26
cada una, lo cual indica que para las Direcciones de Clase A, las redes van de 1.0.0.0
a 126.0.0.0. Adems el primer bit siempre es 0. La direccin de red 127.0.0.0 se
reserva para las pruebas loopback.
Direcciones De Clase B
Las direcciones de red de clase B, permiten direccionar 65.534 mquinas cada una,
donde los primeros dos bits son siempre 0 y 1. Esto significa que hay 16.382 redes
posibles, es decir, por lo cual una Direccin de Clase B, va de 128.0.0.0 a
191.255.0.0.
Direcciones De Clase C
Las direcciones de red de clase C, se utilizan para redes de rea local pequea LAN,
permiten direccionar 254 mquinas. Existen 2.097.152 direcciones de red de clase C,
por lo tanto, las direcciones van desde 192.0.0.0 a 223.255.255.0. Donde los primeros
tres bits son 1,1 y 0.
Direcciones De Clase D, E y F
Las direcciones de clase D, E y F son un grupo especial no se las asigna a host, se las
utiliza para multicast, un servicio que permite trasmitir material a muchos puntos en
27
una internet a la vez. Donde los cuatro primeros bits son 1110, para una direccin de
clase D, E y F, las direcciones van 224.0.0.0 hasta 254.0.0.0
SEGURIDAD INFORMTICA
POLTICAS DE SEGURIDAD
28
TIPOS DE ATAQUE
Spoofing
Sniffing
29
Barridos PING
Escaneo de puertos
Este tipo de ataque es utilizado con herramientas que verifican los puertos que se
encuentran abiertos en la red para de esta manera poner ingresar y controlar la red,
tambin son utilizados para verificar los fallos en la red.
3
30
SERVIDORES
Servidor DNS
31
Servidor DHCP
Servidor De Correo
32
Servidor de FTP
Una Zona Desmilitarizada (DMZ, Demilitarized Zone) o tambin conocida como Red
Perimetral, es una pequea red local que se ubica entre la red interna de la
organizacin y la red externa generalmente el internet.
El objetivo de una DMZ es controlar los accesos desde el exterior hacia el interior de
la red de la organizacin para proteger la confidencialidad de los datos que son
manejados en la red y controlar los accesos desde la red interna hacia el exterior de la
red, en caso de que intrusos intente comprometer la seguridad de los equipos situados
en la red, por lo cual con la utilizacin de una DMZ se pude obtener un mayor nivel
de seguridad en la red de la organizacin.
33
Una DMZ se la utiliza frecuentemente para ubicar servidores que se requieren que
sean accedidos desde el exterior de la red, como lo son Correo, FTP, Web, etc., una
DMZ se crea a travs de las configuraciones del Firewall, por lo cual existen varios
tipos y diseos de Firewall.
Contar una DMZ en la red nos ofrecer ciertas ventajas como tener mayor tolerancia
a fallos, se podr tener un mayor control de los accesos permitidos a los usuarios,
mayor flexibilidad debido a que se pueden definir varias DMZ tanto como se necesite
para proteger la red de accesos inseguros, adems no se tendr accesos directos a la
red interna de la empresa.
Es posible agregar varios niveles de DMZ agregando mas Router o Firewall, pero las
reglas que se le apliquen a cada uno deben ser distintas, de lo contrario los niveles de
DMZ se especificarian como si se tuviera uno solo.
El siguiente grafico se utilizan dos Firewall, el exterior tiene como mision evitar el
trafico hacia la red interna y hacia la red externa, el Firewall interior evita el trafico
34
entre la red interna y la DMZ, la configuracion de los sistemas Dual Host pueden
ser complicados.
GRFICO N. 3
CAPAS DE MODELO SCREENED SUBNET
35
a la red, si las reglas no estn bien elaboradas se puede tener una sensacin de falsa
seguridad en la red de la organizacin.
HISTORIA DE LA DMZ
El nombre al sistema DMZ, es tomado de una franja de terreno neutral que separa a
Corea del Sur con Corea del Norte, es tomado de la Guerra de Corea que se
encontraba vigente y en tregua desde 1953, a pesar de que esta zona desmilitarizada
es un terreno neutral es una de las ms peligrosas del planeta, por lo cual DMZ se
refiere a un rea entre dos enemigos.
FIREWALL
36
Identificar los distintos firewall que existen, nos permitir tener una idea ms clara de
las configuraciones que se deben realizar para implementar una DMZ en la red de la
empresa IT/CORP. Se indicara una descripcin general de las categoras de Firewall
que existe, como son: Firewalls de Filtracin de Paquetes (Choke), Servidores Proxy
a Nivel de Aplicacin (Proxy Gateway de Aplicaciones) y Firewalls de Inspeccin de
Paquetes (SPI, Stateful Packet Inspection).
El Firewall verifica esta direccin IP, de donde proviene el trfico entrante y rechaza
todo trfico que no coincida con la lista de direcciones que se manejan en el Firewall.
El Firewall de Filtracin de Paquetes trabaja a nivel de la capa de transporte y capa de
37
red del modelo OSI y estn conectados a ambos permetros de la red (interior y
exterior).
GRFICO N. 4
FILTRACIN DE PAQUETES (CHOKE)
38
Estos Firewalls tienen las ventajas de ser transparentes para los usuarios conectados
en la red y tiene alta velocidad. Sin embargo presenta debilidades como: IP spoofing
(Espionaje IP), la idea de este ataque es que los datos parecen originarse de una
fuente confiable o incluso de una direccin IP propia de la red, no protege las capas
superiores del modelo OSI, adems las reglas de filtrado de paquete son difciles de
configurar y monitorear, cualquier error en la configuracin puede dejarlo vulnerable
ante los ataques.
39
El proxy acta como intermediario entre el servidor que se desea acceder y los
equipos de una organizacin, siendo transparente para ambas partes, cuando un
usuario desea un servicio en realidad no acceda directamente al servidor, sino que
realiza una peticin al proxy. Este realiza la conexin con el servicio que se desea
acceder y devuelve el resultado al usuario que solicito el servicio. Su funcin es la de
analizar el trfico en busca de algn contenido que viole la seguridad de la red.
GRFICO N. 5
PROXY GATEWAY
40
Este Firewall examina todos los componentes de los paquetes que circulan por la red,
con la finalidad de decidir si es aceptado o rechazado, inspecciona la comunicacin
entrante y saliente para verificar si realmente fue solicitada entonces podr aceptarla,
de lo contrario la rechazara.
GRFICO N. 6
INSPECCIN DE PAQUETES
41
Los datos que son aprobados pasan al siguiente nivel de inspeccin y el software
determinar el estado de cada paquete de datos, as como tambin la procedencia y
destino del mismo. Este Firewall se aplica desde la capa de red hasta la capa de
transporte del Modelo OSI.
TIPOS DE FIREWALL
Para determinar el tipo de Firewall adecuado para proteger la red de la empresa, hay
que tener en consideracin los requerimientos de negocio de la empresa y el tamao
de red de la misma, de acuerdo a la implementacin un Firewall se clasifican en:
42
43
GRFICO N. 7
3COM OFFICECONNECT
Elaboracin: 3Com
Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features
&sku=3C16771-US&pathtype=support
44
red a los ataques. Para la seguridad global, tambin puede controlar y monitorear el
acceso a Internet por los usuarios de LAN.47
CUADRO N. 2
CARACTERSTICAS Y DESCRIPCIN 3COM OFFICECONNECT
Caractersticas
Hardware
Descripcin
Sistemas operativos compatibles:
Windows 2000 / 98 / 95/NT,
Windows para Trabajo en Grupo,
UNIX, Mac OS 7.5.3 y anteriores.
Tenga en cuenta que este producto
requiere de un mdem o router con
una 10BASE-T o la conexin
Ethernet 10/100 BASE-TX.
3 Puertos RJ-45 10BASE-T
1 Puerto DMZ
Interface
Networking
Detalles
Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support
45
SYN,
ataque
por
suplantacin de IP, y Bonk
tierra,
GRFICO N. 8
ASA 5505
Elaboracin: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2
56926/st=product_tab
46
ASA 5505 ofrece un switch de 8 puertos 10/100 Fast Ethernet, cuyos puertos se
pueden agrupar de forma dinmica para crear hasta tres VLAN separada para el
hogar, los negocios y el trfico de Internet para la segmentacin de red mejorada y la
seguridad.58
CUADRO N. 3
CARACTERSTICAS Y DESCRIPCIN CISCO ASA 5505
Caractersticas
Hardware
Descripcin
RAM instalada (mx.) 256 MB
Memoria flash (mx.) 64 MB Flash
Protocolo de interconexin de datos
Ethernet, Fast Ethernet
Red / Protocolo de transporte: IPSec
Interface
Networking
Rendimiento
Capacidad
cortafuegos: 150 Mbps
del
Fuente:http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_adaptativo
_seguridad_series_asa5500.html
47
GRFICO N. 9
SONICWALL PRO 2040
Elaboracin: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/maste
rid=2378586/st=product_tab
48
Descripcin
RAM instalada 128 MB
Hardware
Interface
6
7
RJ-45
10/100Base-TX
1 puerto
WAN
RJ-45
10/100Base-TX
RJ-45
10/100Base-TX
puerto
Fuente: http://www.sonicwall.com/lat/TotalSecure_Solutions.html
Fuente: http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=product_tab
49
DMZ
1
puerto
Management
RJ-45
Console
Detalles
GRFICO N. 10
NETGEAR PROSECURE UTM25
Elaboracin: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2
378586/st=product_tab
50
Ideal para empresas que buscan ampliar la eficacia de puerta de enlace de seguridad
en un paquete de alto rendimiento. Incluyen anti-malware/anti-virus lderes en la
industria de exploracin, hbrido en la nube, filtrado de URL, distribuidas Anlisis de
Spam y Anti-Spam con una en el arquitectura de las nubes, HTTP / HTTPS de
inspeccin, SSL e IPSec VPN y soporte VoIP.811
CUADRO N. 5
CARACTERSTICAS Y DESCRIPCIN NETGEAR PROSECURE UTM25
Caractersticas
Descripcin
2 Puertos RJ-45 WAN 10/100/1000
Base-T
Interface
1 Zona de despeje
4 Puertos LAN RJ-45 10/100/1000
Base-T
1
puerto
consola
RS-232
de
Fuente: http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=product_tab
51
administracin
1 puerto USB
Filtrado de URL
HTTP / HTTPS de inspeccin
SSL e IPSec VPN
Networking
Soporte VoIP.
8.000
conexiones
mximo
concurrentes
Detalles
GRFICO N. 11
ZYXEL ZYWAL USG100
Elaboracin: ZyXel
52
Fuente:
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=200
40908175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A
CUADRO N. 6
CARACTERSTICAS Y DESCRIPCIN ZYXEL ZYWALL USG 100
Caractersticas
Hardware
Interface
10
Descripcin
Memoria 256 MB DDR2 RAM
256 MB de memoria Flash
1 Puerto RJ-45 10/100/1000 Base-T
DMZ
Fuente:http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&Category
GroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A
53
Networking
Anti-Virus
IDP (deteccin y prevencin de
intrusiones)
25 Usuarios PC
Certificado por ICSA
Detalles
GRFICO N. 12
BARRACUDA 660
Elaboracin: Barracuda
54
Fuente:http://www.barracudanetworks.com/ns/products/web-sitefirewall-overview.php
CUADRO N. 7
CARACTERSTICAS Y DESCRIPCIN BARRACUDA 660
Caractersticas
Hardware
Interface
11
Descripcin
Firewall Appliance
2 x RJ-45 10/100/1000Base-T LAN,
1 x RJ-45 10/100/1000Base-T DMZ,
Fuente: http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php
55
Dimensiones
Detalles
Protocolo de cheques
Carga de archivos de control
Registro, Supervisin y Presentacin
de Informes
Alta Disponibilidad
Descarga de SSL
Autenticacin y autorizacin
Los Firewall Basados en software, resultan ms econmicos que los Firewall basados
en Hardware, estos Firewalls se pueden configurar en base a la poltica de acceso que
el administrador de redes implemente, sin embargo, presentan algunas situaciones que
se deben considerar adecuadamente como la plataforma de hardware y el sistema
56
operativo a utilizar debido a que en los sistemas como Windows o Unix se corren
servicios que no son requeridos si la mquina va a funcionar como Firewall
nicamente.
57
Firestarter
Firestarter es una herramienta cortafuegos gratuito para mquinas Linux, sea para
proteger su estacin de trabajo personal o si tiene una red de ordenadores. El software
tiene como objetivo combinar la facilidad de uso con caractersticas de gran alcance,
por lo tanto sirve para usuarios de escritorio Linux y administradores de sistemas.1215
Caractersticas: 12
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
58
Zorp GPL
Caractersticas: 12
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
59
Turtle
Caractersticas: 12
Enmascaramiento.
LutelWall
12
13
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
Fuente: http://www.turtlefirewall.com/
60
LutelWall es un script de Shell Linux Iptables escrito en bash para su uso como un
firewall y NAT / router para las redes de una o varias subredes.12
Caractersticas: 12
12
14
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
Fuente: http://firewall.lutel.pl/
61
Caractersticas: 12
Proxies a nivel de aplicacin para los distintos protocolos (HTTP, FTP, POP3,
SMTP) con el apoyo de antivirus, virus.
Smoothwall
12
20
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
Fuente: http://www.endian.com/en/community/overview
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
15
62
CentOS
ANLISIS COMPARATIVO
63
A continuacin se mostraran los costos de los dispositivos Firewall, los cuales fueron
nombrados anteriormente, considerando el tamao de la organizacin.
CUADRO N. 8
LISTA DE PRECIOS DE FIREWALL
Firewalls
Tamao Empresa
Precio
Pequea y Mediana
Empresa
$ 252.10
Pequea y Mediana
Empresa
$ 549.00
Medianas Empresas
$ 1,770.00
Pequea y Mediana
Empresa
$ 379.00
Pequea y Mediana
Empresa
$ 361.00
Pequea y Mediana
Empresa
$ 16,054.00
64
FUNDAMENTACIN LEGAL
65
HIPTESIS
VARIABLES DE LA INVESTIGACIN
66
VARIABLE INDEPENDIENTE
VARIABLE DEPENDIENTE
67
DEFINICIONES CONCEPTUALES
68
DATAGRAMAS.- Son datos que viajan a travs de la red que son tratados de forma
independiente, los que contienen una direccin IP y los datos que van a ser enviados
al destino.
69
WAN (WIDE AREA NETWORK).- Es una red de rea amplia o red externa, la
cual contiene varias maquinas a grandes distancias geogrficas para la comunicacin
entre LAN.
DMZ.- Pequea red que se ubica entre la red Interna o LAN de una organizacin y la
red externa comnmente conocido como el Internet.
CAPTULO III
70
METODOLOGA
DISEO DE LA INVESTIGACIN
MODALIDAD DE LA INVESTIGACIN
71
TIPO DE INVESTIGACIN
POBLACIN Y MUESTRA
OPERACIONALIZACIN DE VARIABLES
CUADRO N. 9
MATRIZ DE OPERACIONALIZACIN DE VARIABLES
72
Variables
Dimensiones
Indicadores
Gua
Informacin del
trabajo
de
investigacin.
Variable Independiente
Gua
de
implementacin de una
DMZ para la empresa
IT/CORP.
Tcnicas y/o
Instrumentos
Ejecucin de cada
Implementacin paso para el logro Bibliografa, de
La
Gua
de
cmo
de los objetivos.
implementacin es un
estructurar una
documento que contiene
DMZ
Red
pequea
informacin adecuada y
entre
la
red
comprensiva acerca de
interna y la red
cmo
se
debe
DMZ
externa
como
implementar una DMZ
medio
de
en la red de la empresa
seguridad.
IT/CORP.
Variable Dependiente
Firewall
Medio
de
Proteccin en la
red.
Seguridad
Configuraciones
del Firewall para
proteccin de la
informacin.
El Firewall
Es
la
variable
dependiente debido a que
depende
de
las
configuraciones que se le
realicen para contar con
una DMZ en la red e la
empresa IT/CORP.
Red
Bibliogrfica,
acerca
del
Firewall,
configuraciones
de seguridad.
Conjunto
de
equipos
conectados que Entrevistas.
proporcionan
diferentes
recursos
73
LA TCNICA
Adems se realizo una entrevista a la Junta de Beneficencia que posee DMZ, con la
finalidad de obtener informacin adicional acerca del diseo de red utilizado y la
configuracin de los servicios protegidos en la DMZ, para el correcto desarrollo del
presente proyecto.
INSTRUMENTOS DE LA INVESTIGACIN
74
Asimismo se realizo una observacin directa, en el sitio donde se suscitan los hechos,
es decir, la empresa IT/CORP, la cual tuvo como finalidad comprobar la veracidad de
los datos obtenidos. Se escogi este tipo de observacin debido a que permite
participar en el proceso investigativo desde el mismo lugar donde acontecen los
hechos.
75
VALIDACIN
PROCEDIMIENTOS DE LA INVESTIGACIN
76
Problema
Planteamiento del problema
Alcances de la Investigacin
Objetivos de la Investigacin
Justificacin o importancia de la investigacin
Marco Terico
Fundamentacin terica
Fundamentacin legal
Hiptesis
Variables de la Investigacin
Definicin de trminos
Metodologa
Diseo de Investigacin (Tipo de Investigacin)
Poblacin y Muestra
Instrumentos de Recoleccin de Datos
Operacionalizacin de variables, dimensiones e indicadores
Procedimiento de la Investigacin
Criterios para la elaboracin de la propuesta
RECOLECCIN DE LA INFORMACIN
77
78
PROCESAMIENTO Y ANLISIS
79
La tcnica utilizada para validar la propuesta del presente proyecto, fueron las
encuestas realizadas a los profesores de Sistemas Operativo y Redes y/o a los tutores
del Segundo Seminario de Fin de Carrera que trabajan en la Carrera de Ingeniera en
Sistemas Computacionales de la Universidad de Guayaquil. En donde se realizo un
cuestionario de preguntas cerradas. (Ver Anexo #3)
80
CAPTULO IV
GUA DE IMPLEMENTACIN DE UNA DMZ EN LA RED DE
LA EMPRESA IT/CORP
En esta seccin se indicaran los pasos adecuados que se deben para realizar para la
correcta configuracin de una DMZ en el diseo de red que posee actualmente la
empresa IT/CORP y se indicara la configuracin de cada uno de los servicios con los
que cuenta la empresa en la red.
81
GRAFICO N. 13
DISEO ACTUAL DE LA EMPRESA IT/CORP
Poseen un Router Cisco 800, que es el proveedor del servicio de internet el cual se
encuentra ubicado entre el Firewall externo proporcionado por la empresa Telconet
como un medio adicional de seguridad y el equipo que funciona como Firewall en la
82
Como conexin a la red utilizan cable categora 5e y los equipos de los usuarios
poseen los siguientes Sistemas Operativos: Windows7 Professional, Windows Vista
83
84
GRAFICO N. 14
DISEO DE RED RECOMENDADO
85
Router Cisco 800, que es el proveedor del servicio de internet el cual se mantendr
ubicado entre el Firewall externo proporcionado por la empresa Telconet y el equipo
que funciona como Firewall en la red de la empresa, el cual funcionara en una PCClon, con las siguientes caractersticas: Mainboard Intel DP55KG, procesador I5
Core 2 Duo, 500 GB de Disco Duro y 8 GB de memoria RAM, el cual operara bajo la
distribucin de Linux CentOS 5.2
El Switch TLF-1024 seguir proporcionando red a los usuarios y a los servidores que
se encuentran dentro de la red de la empresa IT/CORP, el cual se mantendr entre la
red LAN y el Firewall de proteccin para la red.
86
87
Los servicios que estarn contenidos en la Red Interna de la empresa IT/CORP son
los siguientes:
Servidor Proxy
Servidor DNS y DHCP
Previo a la configuracin de cada uno de los servicios con los que cuenta la empresa,
se debe realizar la instalacin de CentOS 5.2 (Ver Anexo #5), para el Firewall,
Correo, FTP, Proxy, adems en el Servidor que funcionara como DNS y DHCP se
debe instalar Windows Server 2003 Standard Edition (Ver Anexo #6).
88
A continuacin se indicaran los pasos para configurar los servicios con los que cuenta
actualmente la empresa IT/CORP y los servicios que estarn contenidos en la DMZ.
SERVIDOR FTP
89
El fichero denominado chroot_list contendr los nombres de los usuarios FTP que
trabajaran nicamente en su directorio de trabajo, de esta manera es restringido el
acceso a otras partes del sistema operativo, cualquier otro usuario que no est
agregado en este archivo podr ingresar a cualquier parte del sistema operativo.
90
91
previamente con los usuarios que ingresaran como invitado al servidor FTP, lo cual
ser indicado ms adelante, este parmetro est deshabilitado de manera predefinida.
92
Para la configuracin del archivo que contiene la lista de los usuarios que ingresaran
como invitado al Servidor FTP, se deber crear el archivo en cualquier directorio del
disco duro y en seguida se debern ingresar los nombres de los usuarios que sern
limitados a trabajar en su carpeta personal de trabajo.
Las configuraciones realizas en el Servidor FTP que ser utilizado por la empresa
IT/CORP son las siguientes:
GRFICO N. 15
CONFIGURACION DEL SERVIDOR FTP
93
Una vez concluida las configuraciones del archivo vsftpd.conf se debe guardar las
configuraciones y restaurar el servicio de vsftpd y aadir el servicio al arranque del
inicio del sistema, para lo cual se debe digitar lo siguiente:
setsebool P ftp_home_dir=1
Para iniciar la creacin de las cuentas de los usuarios FTP, en un terminal se debe
digitar lo siguiente:
94
Luego de que el cliente establezca una comunicacin con el servidor FTP, este le
pedir que se autentique, para lo cual deber digitar su usuario y contrasea
Para los usuarios que tendrn acceso al servicio FTP, se debe instalar un aplicativo
que facilite el acceso al servidor, uno de los aplicativos que se puede utilizar es el
Filezilla que es libre y fcil de utilizar para los usuarios de la empresa.
SERVIDOR DE CORREO
95
GRFICO N. 16
CONFIGURACION DE ARCHIVO HOST PARA ZIMBRA
Una vez realizado los cambios indicados anteriormente y concluida la descarga del
paquete para utilizar Zimbra se inicia la instalacin, para lo cual se debe digitar lo
siguiente:
96
GRFICO N. 17
LIBRERIAS FALTANTES EN LA INSTALACIN DE ZIMBRA
97
Para lo cual se debe proceder a instalar cada librera faltante digitando yum y install
: el nombre de la librera que hace falta, por ejemplo, en este caso las libreras que
hacen falta son gmp, compat-libstdc++-296, compat-libstdc++-33, libtool-ltdl,
entonces se debe digitar yum y install : gmp, con cada una de las libreras.
GRFICO N. 18
LIBRERIAS FALTANTES EN LA INSTALACIN DE ZIMBRA
98
GRFICO N. 19
PROCESO DE INSTALACIN DE ZIMBRA
99
Es posible que aparezca un error DNS, se debe a que no encuentra el nombre del
servidor de DNS, de ser el caso indica si se desea cambiar el hostname, digitar Y y
digitar itcorp.com, si indica nuevamente el mismo error se debe digitar no, debido a
que ya se indico el nombre del Servidor DNS.
GRFICO N. 20
ERROR DE DNS EN INSTALACIN DE ZIMBRA
100
a la zona horario del pas, en este caso es la 16 que corresponde a Lima. Regresamos
al men anterior para cambiar la URL por la cual se desea que ingresen al correo,
para lo cual se digita 18 y se indica la URL por la cual accedern al correo Zimbra, en
este caso se indico mail.itcorp.com. Una vez concluida las configuraciones
necesarias, se debe digitar a para aplicar los cambios realizados.
GRFICO N. 21
MENU DE CONFIGURACIN DE ZIMBRA
101
Una vez zimbra concluya las configuraciones finales, se debe abrir otro terminal
como usuario zimbra para verificar si los servicios de zimbra estn corriendo, para lo
cual se digita lo siguiente:
su zimbra
zmcontrol status
GRFICO N. 22
SERVICIOS DE ZIMBRA
Una vez que los servicios estn corriendo, se puede ingresar a la consola de
administracin
de
zimbra
https://mail.itcorp.com:7071/zimbraAdmin.
de
la
siguiente
manera
102
GRFICO N. 23
CONSOLA DE ADMINISTRACIN DE ZIMBRA
103
SERVIDOR PROXY
104
http_port
cache_mem
cache_dir
Al menos una Lista de Control de Acceso
Al menos una Regla de Control de Acceso
maximum_object_size
hierarchy_stoplist
error_directory
access_log
cache_log
105
Parmetro http_port, indica las direcciones donde Squid escuchara a los clientes
HTTP, en este parmetro se puede indicar la direccin de varias formas, para lo cual
existen tres formas de hacerlo:
El puerto predeterminado por donde escucha el servidor Proxy es el puerto 3128, sin
embargo, se puede indicar que lo haga por cualquier otro puerto disponible o bien que
lo haga en varios puertos disponibles a la vez.
106
Parmetro cache_dir, indica el tamao que va tener el cach en el disco duro para
Squid, se debe tener cuidado al especificar el tamao de cach debido a que si este
excede el tamao disponible del disco duro, squid se bloqueara irrevocablemente.
De modo predefinido Squid utiliza una cach de 100 MB, el cual contendr 16
directorios de 256 niveles cada uno, esto no es necesario modificarlo, lo que se puede
incrementar es el tamao del cach hasta donde lo considere necesario el
administrador, mientras ms grande sea el cach ms objetos se almacenaran y se
utilizara menos ancho de banda.
107
Sin embargo, los tipos de reglas que va a ser utilizadas en esta gua son las que se
adapten a las necesidades de la empresa IT/CORP, la sintaxis de la lista de control de
acceso es la siguiente:
El tipo de regla src, es utilizada para especificar direcciones IP que tendrn acceso a
Squid, en la cual se puede indicar una direccin IP y mscara de la sub-red o
especificar un fichero que contenga una lista de direcciones de red. Existen tres
formas de especificar la direccin IP:
108
El tipo de regla time, se establece para especificar un tiempo lmite de conexin que
se tendr acceso al Squid dentro de una semana. La abreviatura de los das de la
semana son los siguientes: S Domingo, M - Lunes, T Martes, W Mircoles, H
Jueves, F Viernes, A Sbado.
109
Se puede utilizar denegar o aceptar (deny o allow), se debe iniciar primeramente con
los accesos que se van a denegar en el Servidor Squid, adicionalmente se puede
utilizar la expresin ! la cual significa no. Por ejemplo, que existan dos listas de
control de acceso, en la cual se indica que se permite el acceso a Squid a todo lo que
comprenda la lista llamada permitidos excepto aquello que comprenda la lista
llamada negados, la sintaxis de la regla indicada es la siguiente:
110
Parmetro hierarchy_stoplist, indica a Squid que las pginas que contengan ciertos
caracteres no sean almacenadas en cach, adems se pueden incluir pginas locales de
la red y sitios de webmail, de manera predefinida no viene especificado ningn
carcter que contengan las pginas que no sern almacenadas en cach.
111
Las configuraciones realizas en el Servidor Proxy Squid que ser utilizado por la
empresa IT/CORP son las siguientes:
GRFICO N. 24
CONFIGURACION SERVIDOR PROXY
112
Una vez concluida las configuraciones del archivo squid.conf se debe guardar las
configuraciones y restaurar el servicio de squid y aadir el servicio al arranque del
inicio del sistema, para lo cual se debe digitar lo siguiente:
service squid restart, para restaurar el servicio, si se inicia por primera vez se
lo debe iniciar con start
chkconfig squid on, para aadir el servicio al arranque del sistema.
El equipo que ser utilizado como Servidor DNS y DHCP funcionara sobre Windows
2003 Server Standart Edition (Ver Anexo #6), se proceder a realizar la configuracin
del equipo.
113
GRFICO N. 25
ASISTENTE DE CONFIGURACION DE DNS Y DHCP
A continuacin se aadirn los roles que realizara el Servidor en este caso funcionara
como DNS y DHCP, para lo cual dar clic en add or remove a role, una vez
seleccionada el tipo de configuracin a realizar mostrara una lista de roles que se
114
GRFICO N. 26
CONFIGURACION DE DNS Y DHCP
Una vez iniciada la configuracin se pedir que indique una nueva zona ya que es el
primer controlador de dominio que se va crear, a continuacin se indica si es un
servidor primario que guardara la zona o si es una copia secundaria que reside en este
115
116
A continuacin se debe aadir la direccin IP para el router que va ser utilizado por
los clientes, consecutivamente solicita el nombre del Servidor padre en caso de
poseerlo adems el nombre del servidor DNS y la IP del servidor DNS que es usado
en la red, luego indica la configuracin del WINS, posteriormente pregunta si desea
activar el scope ahora y finaliza la configuracin del DHCP.
Una vez realizadas las configuraciones indicadas y finalizadas cada una de las
configuraciones se podr comenzar a utilizar el Servidor DNS y DHCP.
En el equipo que ser utilizado como Firewall funcionara sobre CentOS 5.2 (Ver
Anexo #5), adems para facilitar la administracin del Firewall se va a instalar
Webmin (Ver Anexo #7), el cual es una herramienta de configuracin va web que
permitir a los administradores del Firewall gestionar de manera fcil e interactiva los
accesos y polticas a configurar en el Firewall.
117
POLTICAS DE LA DMZ
Todos los Firewall se deben regir por una poltica de seguridad definida previamente
antes de realizar la configuracin, es decir, se debe contar con un conjunto de
acciones a realizar en el Firewall. Adems se debe verificar cada regla que se desea
configurar y realizar la accin correspondiente.
En este punto se indicaran las polticas a considerar para elaborar las reglas de acceso
que sern sugeridas para la implementacin de un DMZ en la red de la empresa
IT/CORP. Existen dos polticas bsicas de seguridad para un Firewall, las cuales son:
118
Definiremos las polticas de seguridad y los permisos de entrada o salida para las
redes utilizadas, siguiendo la poltica de seguridad de denegar todos los paquetes e ir
habilitando los que se considere necesario:
119
120
Redireccionamientos de correos
Se re-direccionar las cuentas de correo de los usuarios de la empresa con la
finalidad de que lleguen a una cuenta redireccionada y que sea admitida por el
Firewall.
121
122
Una vez establecidas las polticas que se van a configurar en el Firewall, iniciamos la
configuracin a travs de Webmin, adems este indica la ruta donde se almacenara la
configuracin de las reglas del Firewall, adems el Webmin ofrece mltiples
configuraciones que se pueden realizar de manera grafica y facilitar el trabajo del
administrador as como una forma de simplificar la creacin de las reglas del
cortafuegos o Firewall.
Una vez iniciada la sesin en Webmin, para iniciar la configuracin de las reglas del
Firewall se debe dirigir a red o Networking, Configuracin del Firewall y mostrara la
siguiente pantalla en donde mostrara una lista de todas las reglas que posee
actualmente en el Firewall, es aqu donde se iniciar la configuracin de las reglas de
Firewall.
123
GRFICO N. 27
CONFIGURACION DE FIREWALL
124
Se pueden establecer las polticas por defecto para paquetes de entrada (input), salida
(output) y redirigidos (forward), por cada una de las cadenas seleccionadas y aadir
las reglas para cada una de las polticas.
Para grabar y aplicar las configuraciones realizadas se debe presionar el botn Aplicar
Configuracin, de esta manera se almacenan las reglas aadidas en el Firewall.
Adicionalmente para activar las reglas configuradas al arrancar el Firewall se debe
seleccionar Si y presionar el botn Activar al arrancar, igualmente se puede Revertir
la configuracin y Resetear del Firewall.
125
Para ir aadiendo las reglas necesarias, dar clic en el botn aadir regla en la cual se
podr indicar el comentario que se le puede asignar a la regla y la accin que se va
ejecutar.
GRFICO N. 28
AADIR REGLAS EN EL FIREWALL
126
que se pueden combinar para crear reglas muy complejas o muy sencillas acorde a las
necesidades de la red de la empresa.
Una vez concluida la configuracin de la regla presionar el botn crear, para crear la
regla que se est configurando, en caso de que la regla no haya sido configurada
adecuadamente Webmin mostrara un mensaje de error y deber indicar las
condiciones adecuadas para la creacin de la regla.
Una vez que se almacena una regla y se desea editarla se deber dar clic en la
condicin de la regla y se abrir una ventana como la utilizada para aadir una nueva
regla y a continuacin podr realizar las modificaciones adecuadas.
127
CAPTULO V
MARCO ADMINISTRATIVO
CRONOGRAMA
GRFICO N. 29
CRONOGRAMA DE ACTIVIDADES
128
GRFICO N. 30
DIAGRAMA DE GANTT PARTE #1
129
GRFICO N. 31
DIAGRAMA DE GANTT PARTE #2
130
PRESUPUESTO
CUADRO N. 10
DETALLE DE INGRESOS
Detalle de Ingresos Del Proyecto Expresado en Dlares
INGRESOS
MENSUALES
AL TERMINO
(5 MESES)
Sueldo
200.00 $
1000.00
Otros Ingresos
20.00 $
100.00
TOTAL..... $
Elaboracin: Marixelinda Espaa Escobar
Fuente: Marixelinda Espaa Escobar
220.00
1100.00
131
CUADRO N. 11
DETALLE DE EGRESOS
Detalle De Egresos Del Proyecto Expresado en Dlares
EGRESOS
AL TERMINO
(5 MESES)
7.00 $
35.00
MENSUALES
Fotocopias e impresiones
17.00 $
85.00
Libros, documentos
50.00 $
250.00
43.00 $
215.00
Transporte
8.00 $
40.00
Refrigerio
5.00 $
25.00
20.00 $
100.00
50.00 $
250.00
Otros
20.00 $
100.00
TOTAL
220.00 $
1100.00
132
CAPTULO VI
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
133
134
RECOMENDACIONES
96
REFERENCIAS BIBLIOGRFICAS
PUBLICACIONES
Politcnica
de
Catalua.
Disponible
en:
upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
DIRECCIONES WEB
97
3Com
Officeconnect.
Extrado
el
25
de
Agosto
del
2010
desde
http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support
ASA5500.
Extrado
el
25
de
Agosto
del
2010
desde
http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_ad
aptativo_seguridad_series_asa5500.html
SONICWALL.
Extrado
el
27
de
Agosto
del
2010
desde
http://www.sonicwall.com/lat/TotalSecure_Solutions.html
Extrado
el
30
de
Agosto
del
2010
desde
http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=produ
ct_tab
NETGEAR.
Extrado
el
26
de
Agosto
del
2010
desde
http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php
Extrado
el
30
de
Agosto
del
2010
desde
98
http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=pro
duct_tab
ZYXEL.
Extrado
el
26
de
Agosto
del
2010
desde
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&C
ategoryGroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A
BARRACUDA.
Extrado
el
28
de
Agosto
del
2010
desde
http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php
99
Zrate Prez, Jorge A. y Farias Elinos, Mario. (Abril del 2006). Implementacin
de
una
DMZ.
Extrado
el
12
de
Julio
del
2010
desde
http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf
Modelos
TCP/IP.
Extrado
el
05
de
Agosto
del
2010
http://technet.microsoft.com/es-es/library/cc786900%28WS.10%29.aspx
desde
100
DNS. Que es un DNS y como Funciona. Extrado el 13 de Agosto del 2010 desde
http://www.ccm.itesm.mx/dinf/redes/sdns.html
101
ANEXOS
102
103
104
105
106
CUADRO N. 12
RESULTADOS PREGUNTA 1 DE LA ENCUESTA
Respuesta
Buena
Regular
Mala
Valor
0
3
2
Porcentaje
0%
60 %
40 %
GRFICO N. 32
PREGUNTA 1
Las personas encuestadas califican como regular, el que una PYME no posea una
DMZ dentro del diseo de red de la empresa.
107
CUADRO N. 13
RESULTADOS PREGUNTA 2 DE LA ENCUESTA
Respuesta
Muy prioritario
Medianamente
Prioritario
No prioritario
Valor
3
Porcentaje
60 %
40 %
0%
GRFICO N. 33
PREGUNTA 2
108
3. En caso de que una PYME (Pequea y Mediana Empresa) no cuente con una
DMZ, considera usted que la inversin y reestructuracin del diseo de red
es:
CUADRO N. 14
RESULTADOS PREGUNTA 3 DE LA ENCUESTA
Respuesta
Valor
Porcentaje
Muy prioritario
3
60 %
Medianamente
2
40 %
Prioritario
No prioritario
0
0%
Elaboracin: Marixelinda Espaa Escobar
Fuente: Encuestas
GRFICO N. 34
PREGUNTA 3
109
4. Conoce o ha escuchado de una Gua que facilite a los colaboradores del rea
de redes la implementacin de una DMZ en una PYME (Pequea y Mediana
Empresa)?
CUADRO N. 15
RESULTADOS PREGUNTA 4 DE LA ENCUESTA
Respuesta
Si conoce
No conoce
Valor
0
5
Porcentaje
0%
100 %
GRFICO N. 35
PREGUNTA 4
110
CUADRO N. 16
RESULTADOS PREGUNTA 5 DE LA ENCUESTA
Respuesta
Muy Prioritario
Medianamente
Prioritario
No Prioritario
Valor
2
Porcentaje
40 %
60 %
0%
GRFICO N. 36
PREGUNTA 5
111
Como resultado de las encuestas realizadas indica que la realizacin una Gua de
Implementacin de una DMZ para una Pequea y Mediana es medianamente
prioritario, sin embargo, no se descarta completamente la realizacin de la Gua la
cual ser realizada para una Mediana Empresa como es la empresa IT/CORP.
112
PASOS DE LA INSTALACIN
GRFICO N. 37
INSTALACION DE CENTOS
113
GRFICO N. 38
PROCESO DE VERIFICACION DEL DISCO
114
GRFICO N. 39
INICIO DE CENTOS
115
GRFICO N. 40
IDIOMA DE INSTALACIN
116
GRFICO N. 41
IDIOMA DEL TECLADO
117
GRFICO N. 42
PARTICIN DE LA UNIDAD
118
GRFICO N. 43
PARTICIN DE LA UNIDAD
119
GRFICO N. 44
ASIGNACIN DE ESPACIO EN LA UNIDAD
120
GRFICO N. 45
ESPACIO DISPONIBLE
121
GRFICO N. 46
PARTICIO SWAP
122
Una vez concluida la particin del disco, mostrara las particiones realizadas dar
clic en siguiente para continuar la instalacin de CentOS.
GRFICO N. 47
PARTICIONES CONFIGURADAS
123
GRFICO N. 48
GESTOR DE ARRANQUE
124
GRFICO N. 49
CONFIGURACIN DE RED
125
GRFICO N. 50
ZONA HORARIA
126
GRFICO N. 51
CONTRASEA ROOT
127
GRFICO N. 52
MODO GRAFICO GNOME
128
GRFICO N. 53
SELECCIN DE SERVIDORES
129
GRFICO N. 54
ASISTENTE DE CONFIGURACIN
130
GRFICO N. 55
CONFIGURACIN DE CONTAFUEGOS
131
GRFICO N. 56
CONFIGURACIN DE SELINUX
132
GRFICO N. 57
CREACIN DE USUARIO
133
Los pasos de instalacin diferirn de acuerdo a las mltiples opciones que se elijan a
medida que avanza la instalacin del servidor bajo Windows 2003 Server.
Pasos de la Instalacin
Insertar el disco de Windows 2003 Server Standard Edition o superior. Arrancar
el equipo desde el disco. Al iniciar Windows Server muestra la pantalla en la cual
se podr Crear una instalacin, reparar una existente y quitar una instalacin, en
cada opcin se indica la tecla para escoger la accin deseada, en este caso
seleccionaremos crear una nueva dando Enter.
GRFICO N. 58
INICIO DE WINDOWS 2003 SERVER
134
GRFICO N. 59
LICENCIA DE WINDOWS SERVER 2003
135
GRFICO N. 60
PARTICIN DEL DISCO DURO
136
GRFICO N. 61
ASIGNACN DE ESPACIO
137
GRFICO N. 62
UNIDAD DE INSTALACIN DE WINDOWS
138
GRFICO N. 63
ASIGNACN DE ESPACIO
139
GRFICO N. 64
SELECCIN DE IDIOMA
140
GRFICO N. 65
NMERO DE CONEXIONES CONCURRENTES
141
GRFICO N. 66
CONTRSEA DE ADMINISTRADOR
142
GRFICO N. 67
CONFIGURACIN DE RED
143
GRFICO N. 68
GRUPO DE TRABAJO
144
145
GRFICO N. 69
SCRIPT DE WEBMIN
146
que sea accedido desde el puerto 10000 presionar Enter, caso contrario indicar el
puerto, en este caso se indicara el puerto 25000.
A continuacin se debe indicar el usuario que ser utilizado para ingresar a Webmin,
el cual por defecto est asignado admin, adems se debe indicar la contrasea para
acceder a Webmin, elegimos usar SSL e indicar si se desea que Webmin arranque al
inicio del servidor Linux.
GRFICO N. 70
CONFIGURACIN WEBMIN
Una vez concluida la instalacin del paquete se puede acceder a Webmin mediante:
http://localhost.localdomain:25000, donde se digitara el usuario y contrasea que se
indico en la instalacin para comenzar a utilizar Webmin.
147
0= sin acceso
2= escritura
1= ejecucin
148
Otro ejemplo: 022, sin acceso para el propietario y al grupo y otros usuarios solo le
asigna permisos de escritura.
De esta manera se pueden combinar y establecer los permisos que tendrn los
archivos que contenga el Servidor FTP.
149
Las interfaces de red del Firewall estn configuradas con las siguientes IP. Para la
realizar las pruebas del Firewall.
GRFICO N. 71
IP DE RED LAN (ETH0)
150
GRFICO N. 72
IP DE INTERFAZ WAN (ETH1)
151
La direccin IP para el cliente que ser utilizado para las pruebas fue asignada por
DHCP.
GRFICO N. 74
RED LOCAL
152
GRFICO N. 75
PING A LA INTERFAZ DE LA LAN
GRFICO N. 76
PING A LA INTERFAZ DE LA WAN
153
GRFICO N. 77
TELNET A LA INTERFAZ DE LA LAN
GRFICO N. 78
TELNET DE UN SERVIDOR DE LA DMZ A UN EQUIPO DE LA LAN