Está en la página 1de 31

CAPITULO 1

INTRODUCCION

1.1 ASPECTOS GENERALES


1.1.1 AMBITO
La empresa Santo Domingo Contratistas Generales S.A entrega
servicios

de

construccin

en

proyectos

civiles,

estructurales,

electromecnicos y automatizacin, puesto en marcha y mantenimiento


integral para los sectores minero, energtico, pesquero, petrolero,
qumico, agroindustrial y manufacturero.
1.1.2 PROBLEMA
La empresa Santo Domingo Contratitas Generales S.A
debe proteger la informacin que considera confidencial dentro de
su propia red, al igual que los servicios y recursos internos; de tal
forma que si algn usuario malicioso intenta causar algn tipo de
dao no sea posible. Actualmente se establecen conexiones a los
servicios con un nivel mnimo de seguridad, dejando abierta la
posibilidad de ataques de agentes externos. Adems considerando que
toda organizacin en la actualidad debe garantizar la transmisin de
los datos de manera segura a travs de la red Internet, de manera que
stos no sean hurtados y/o manipulados y que lleguen a su destino de
forma ntegra.
De tal manera que se plantea separar los servicios de la empresa de
los personales, as como establecer una conexin segura a los
servicios, mediante la implantacin de un firewall Fortigate 90D en la
oficina de Chincha e interconectar con la oficina de Lima
.

1.2 ALCANCE
El presente proyecto plantea realizar el anlisis, implementacin de un
firewall FortiGate 90D. Esta aplicacin permitir proteger

los recursos

compartidos de la red interna de cualquier intento de ataque por parte de


intrusos maliciosos, y garantizar una conexin segura con otros host asi como
el filtro de contenidos a travs de Internet.
1.3 OBJETIVOS
1.3.1 OBJETIVOS GENERALES
Proteger la red interna de una organizacin, separando los servicios
privados de la red pblica de los servicios personal as como asegurar
la transferencia de datos, reducir el ancho de banda para evitar cuellos
de botella en horarios crticos.
1.3.2 OBJETIVOS ESPECIFICOS

Investigar los mtodos de ataques que usan los intrusos y hackers

Investigar las distintas herramientas que existen en el mercado


para proteger a la red privada y la transmisin segura de datos e
informacin a travs de la red pblica

Analizar las alternativas de solucin para implementar una red


perimetral

Establecer polticas de seguridad.

Anlisis e implementacin un firewall Fortigate 90D.

1.4 JUSTIFICACION
En la actualidad surge la necesidad de estar en constante comunicacin,
gracias al Internet podemos recibir una respuesta inmediata en cuestin de
segundos sin importar que los sujetos de la comunicacin se encuentren
separados geogrficamente.
El prototipo propuesto permitir mejorar los siguientes
aspectos:

Habilitar el acceso a usuarios remotos; conectarse y acceder a la


red.

Disminuir el consumo de ancho de banda en horas crticas.

Filtrar por seguridad el contenido de pginas web.

Proporcionar conectividad segura entre dos o mltiples redes


privadas o LAN.

Proteccin durante la transmisin de los datos.

CAPITULO 2
MARCO TEORICO

2.1 SEGURIDAD INFORMATICA


En la actualidad, las organizaciones son cada vez ms dependientes de sus
redes informticas y un problema que las afecte, por mnimo que sea,
puede llegar a comprometer la continuidad de las operaciones.
La falta de medidas de seguridad en las redes es un problema que est en
crecimiento. Cada vez es mayor el nmero de atacantes y cada vez estn
ms organizados, por lo que van adquiriendo da a da habilidades ms
especializadas que les permiten obtener mayores beneficios. Tampoco
deben subestimarse las faltas de seguridad provenientes del interior mismo
de la organizacin.
La propia complejidad de la red es una dificultad para la deteccin y
correccin de los mltiples y variados problemas de seguridad que van
apareciendo. En medio de esta variedad, han ido aumentando las acciones
poco respetuosas de la privacidad y de la propiedad de recursos y
sistemas. hackers, crakers, entre otros, han hecho aparicin en el
vocabulario ordinario de los usuarios y de los administradores de las redes
Adems de las tcnicas y herramientas criptogrficas, es importante
recalcar que un componente muy importante para la proteccin de los
sistemas consiste en la atencin y vigilancia continua y sistemtica por
parte de los responsables de la red.

2.1.2 CONCEPTO DE SEGURIDAD INFORMATICA


La seguridad informtica consiste en asegurar que los recursos de
los sistemas de informacin (material informtico o programas) de

una organizacin sean utilizados de la manera que se decidi y que


el acceso a la informacin all contenida as como su modificacin
slo sea posible a las personas que se encuentren acreditadas y
dentro de los lmites de su autorizacin.

2.2.2 GENERALIDADES
2.2.1 ALIAS
Nombre diferente por el cual se conoce un virus.

2.2.2 CRACKER
Persona que elimina las protecciones lgicas y fsicas de los
sistemas para acceder a los mismos sin autorizacin y generalmente
con malas intenciones.

2.2.3 HACKER
Usuario de ordenadores especializado en penetrar en las bases de
datos de sistemas informticos con el fin de obtener informacin
secreta. Adems, este trmino a los cibernautas que realizan
operaciones delictivas a travs de las redes de ordenadores
existentes.

2.2.4 PIRATA INFORMATICO


Persona que accede a un sistema informtico sin autorizacin para
observar su funcionamiento interno y explotar vulnerabilidades. Este
trmino se suele utilizar indistintamente con el trmino cracker
(intruso), pero supuestamente hacker no implica necesariamente
malas intenciones, mientras que cracker s.

2.2.5 VIRUS INFORMATICO

Los virus informticos son programas diseados expresamente para


interferir en el funcionamiento de una computadora, registrar, daar o
eliminar datos, o bien para propagarse a otras computadoras y por
Internet, a menudo con el propsito de hacer ms lentas las
operaciones y provocar otros problemas en los procesos.

2.2.5.1 TIPOS DE VIRUS INFORMATICOS


2.2.5.1.2 GUSANO O WORN
Es un programa cuya nica finalidad es la de ir
consumiendo la memoria del sistema, se copia as
mismo sucesivamente, hasta que desborda la RAM,
siendo sta su nica accin maligna.

2.2.5.1.3 VIRUS DE SOBREESCRITURA


Sobrescriben en el interior de los archivos atacados,
haciendo que se pierda el contenido de los mismos.

2.2.5.1.4 VIRUS DE PROGRAMA


Comnmente infectan archivos con extensiones .EXE,
.COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos
primeros son atacados ms frecuentemente por que se
utilizan ms.

2.2.3 VULNERABILIDADES
2.2.3.1 NEGACION DE SERVICIO (DENIAL OF SERVICE)
Es un tipo de ataque cuya meta fundamental es la de negar
el acceso del atacado a un recurso determinado o a sus
propios recursos.

2.2.3.2 CRACKING DE PASSWORD


Una vez encriptada una clave, no se puede desencriptar.
Sin embargo, esto no garantiza la seguridad de la clave,
puesto que no significa que la clave no se pueda averiguar.
El

mecanismo

que

se

utiliza

para

descubrir

(no

desencriptar) las claves consiste en efectuar encriptaciones


de

palabras

(posibles

claves)

comparar

estas

encriptaciones con el original.

2.2.3.3 E-MAIL BOMBING Y SPAMMING


E-mail Bombing Consiste en enviar muchas veces un
mensaje idntico a una misma direccin saturando el
mailbox del destinatario.
El spamming que es una variante del e-mail bombing, se
refiere a enviar el email a centenares o millares de usuarios
e, inclusive, a listas de inters. El Spamming puede resultar
an ms perjudicial si los destinatarios contestan el mail,
haciendo que todos reciban la respuesta.

2.2.3.4 CONSIDERACIONES DE SOFTWARE


Tener instalado en la mquina nicamente el software
necesario reduce riesgos. As mismo tener controlado el
software asegura la calidad de la procedencia del mismo (el
software pirata o sin garantas aumenta los riesgos).

2.2.3.5 CONSIDERACIONES DE HARDWARE

Los puntos de entrada en la red son generalmente el correo,


las pginas web y la entrada de ficheros desde discos, o de
ordenadores ajenos, como porttiles. Mantener al mximo el
nmero de recursos de red slo en modo lectura, impide
que ordenadores infectados propaguen virus.

2.2.4 SISTEMAS OPERATIVOS


2.2.5.1 SOFTWARE LIBRE (OPEN SOURCE)
2.2.5.1.1 GNU/LINUX
El proyecto GNU se inici en 1984 con el objetivo
de crear un sistema operativo completo tipo Unix de
software libre.
GNU es el trmino empleado para referirse al
sistema operativo similar a Unix que utiliza como
base las herramientas de sistema de GNU y el
ncleo Linux. Su desarrollo es uno de los ejemplos
ms prominentes de software libre; todo el cdigo
fuente

puede

ser

utilizado,

modificado

redistribuido libremente por cualquiera bajo los


trminos de la GPL de GNU (Licencia Pblica
General de GNU).

2.2.5.1.1.1 CARACTERISTICAS
Multiplataforma.- Dispone de varios tipos de
sistema de archivos para poder acceder a archivos
en otras plataformas.
Multiusuario.- Es un sistema operativo capaz
de responder, simultneamente, a las solicitudes
de

varios

usuarios

que

empleen

el mismo

ordenador,

incluso

con

necesidades

distintas.

Adems proporciona los elementos necesarios para


garantizar la seguridad y privacidad de los datos
entre los diferentes usuarios.
Multitarea.- Permite ejecutar varios programas a la
vez, de forma que no tiene que esperar a que
termine uno para empezar otro. La multitarea est
controlada por el Sistema Operativo y no por las
aplicaciones, por lo que es muy difcil que el fallo de
un programa colapse el sistema por una mala
utilizacin de los recursos del equipo.
Estabilidad.- Es robusto, por lo que si un programa
falla no interrumpir el trabajo de los dems. Esta
caracterstica permite que el sistema funcione
durante

perodos

muy

largos

de

tiempo

sin

necesidad de parar y volver a arrancar.


Es libre.- Al

disponer del cdigo fuente, se puede

hacer cualquier modificacin

sin

tener

que

esperar que

un

parche

para

alguien

enve

solucionarlo.

2.2.5.2 SOFTWARE BAJO LICENCAMIENTO


2.2.5.2.1 WINDOWS SERVER 2008 (SERVIDOR)
Es un sistema operativo de la familia Windows
de la marca Microsoft para servidores que sali al
mercado en el ao 2008
Windows Server 2008 se podra considerar como un
Windows 7 modificado, no con menos funciones,
sino que se encuentran deshabilitadas por defecto

para obtener un mejor rendimiento y para centrar el


uso

de

procesador en

las caractersticas de

servidor.

2.2.5.2.1.1 CARACTERISTICAS
Sistema de archivos NTFS:
Gestin

de

almacenamiento,

backups;

incluye

gestin jerrquica del almacenamiento, consiste en


utilizar un algoritmo de cach para pasar los datos
menos usados de discos duros a medios pticos o
similares ms lentos, y volverlos a leer a disco duro
cuando se necesitan.
Windows Driver Model: Implementacin bsica de
los dispositivos ms utilizados, de esa manera
los

fabricantes de

dispositivos slo

han

de

programar ciertas especificaciones de su hardware.


ActiveDirectory Directorio de organizacin basado
en LDAP, permite gestionar de forma centralizada
la seguridad de una red corporativa a nivel local.
Autentificacin Kerberos5
DNS con registro de IP's dinmicamente
Polticas de seguridad

2.2.5.2.1 WINDOWS 7
Windows 7 es una lnea de sistemas operativos
desarrollado por Microsoft que fueron hechos
pblicos el 22 de octubre de 2009

Windows 7 tiene una interfaz grfica de usuario


(GUI) perceptiblemente reajustada, un cambio de
Microsoft promovido para un uso ms fcil que en
las versiones anteriores. Es tambin la primera
versin de Windows que utiliza la activacin del
producto para reducir la piratera del software,

2.2.5.2.1.1 CARACTERISTICAS
Ambiente totalmente grfico
Secuencias ms rpidas de inicio y de hibernacin.
Capacidad del sistema operativo de desconectar un
dispositivo externo, de instalar nuevas aplicaciones y
controladores sin necesidad de reiniciar.
Una nueva interfaz de uso ms fcil, incluyendo
herramientas

para

el desarrollo de temas de

escritorio.
Uso de varias cuentas, que permite un usuario
guarde el estado actual y aplicaciones abiertos en
su escritorio y permita que otro usuario abra una
sesin sin perder esa informacin.
Escritorio Remoto, que permite a los usuarios abrir
una sesin con una computadora que funciona con
Windows XP a travs de una red o Internet, teniendo
acceso a sus usos, archivos, impresoras, y
dispositivos.

2.2 SERVIDORES
2.2.1 SERVIDORES DE CORREO
El correo electrnico clasifica como el servicio ms utilizado de todos los
que existen actualmente de arquitectura cliente-servidor, teniendo la

posibilidad de comunicarse rpidamente con todo el mundo desde una


estacin de trabajo de forma muy simple y barata. Basta con tener un
buzn en un servidor de correo correctamente configurado y una
aplicacin cliente para operar con dicho buzn. Un buzn de correo
electrnico no es ms que un fichero o un conjunto de ellos agrupados en
un directorio donde se almacenan en cierto formato los mensajes que
llegan.

2.2.2 SERVIDORES WEB


Es un programa que implementa el protocolo HTTP (HyperText
Transfer Protocol). Este protocolo pertenece a la capa de aplicacin del
modelo OSI y est diseado para transferir lo que llamamos hipertextos,
pginas web o pginas HTML (HyperText Markup Language): textos
complejos

con

enlaces,

figuras, formularios, botones y objetos

incrustados como animaciones o reproductores de msica.

2.2.2.1 APACHE
El Servidor Apache HTTP es un servidor Web de tecnologa Open
Source slido y para uso comercial desarrollado por la Apache
Software Foundation (www.apache.org). Red Hat Enterprise
Linux incluye el Servidor Apache HTTP versin 2.0 as como
tambin una serie de mdulos de servidor diseados para
mejorar su funcionalidad.
Apache ocupa un enorme porcentaje del mercado, superando de
esta forma a cualquier otro servidor Web de cualquier otro
sistema operativo por la cantidad de sitios Web que maneja.

2.2.2.2 INTERNET INFORMATION SERVERS (IIS)


Es una serie de servicios para los ordenadores que funcionan
con Windows. Originalmente era parte del Option Pack para

Windows NT. Luego fue integrado en otros sistemas operativos


de Microsoft (Windows 2000 o Windows Server
2003. Windows XP Profesional incluye una versin limitada de
IIS) destinados a ofrecer servicios como son: FTP, SMTP, NNTP
y HTTP/HTTPS.

2.2.3 SERVIDORES DE DATOS


Un servidor de base de datos es un programa que provee servicios de
base de datos a otros programas u otras computadoras, como es
definido por el modelo cliente-servidor.
referencia
ejecutar

aquellas

esos

computadoras (servidores)

programas,

administracin de

base

Tambin

de

prestando
datos

el

puede

hacer

dedicadas

servicio. Los sistemas de

(SGBD)

generalmente proveen

funcionalidades para servidores de base de datos, en cambio otros


(como por ejemplo, MySQL) solamente proveen construccin y acceso a la
base de datos. Dentro de los servidores de datos ms conocidos
tenemos; Oracle, Informix, MySQL, PostgreSQL, DB2, SAP.

2.3 MECANISMOS DE SEGURIDAD EN REDES


2.3.1 RED PRIVADA VIRTUAL (VPN)
Las redes de rea local (LAN) son las redes internas de las
organizaciones, es decir las conexiones entre los equipos de una
organizacin particular. Estas redes se conectan cada vez con ms
frecuencia a Internet mediante un equipo de interconexin. Muchas
veces, las empresas necesitan comunicarse por Internet con filiales,
clientes o incluso con el personal que puede estar alejado
geogrficamente.

2.3.1.1 CARACTERISTICAS
Seguridad.- verificar la identidad de los usuarios y restringir
el acceso a la

VPN a aquellos usuarios que no estn autorizados.


Confiabilidad.- en vista que los datos viajan a travs
de Internet, es necesario protegerlos para que no puedan
ser comprendidos por personas no autorizadas.
Escalabilidad.- se debe asegurar que pueda crecer la red
para mltiples conexiones VPN cliente.
Administracin.- debe ser fcil de administrar
Desempeo.- la VPN debe dar el rendimiento que requiere
cada aplicacin y tipo de servicio.

2.3.1.2 ELEMENTOS DE UN VPN


Servidor VPN.- ordenador que acepta conexiones VPN de
clientes VPN.
Cliente VPN.- ordenador que inicia conexiones VPN a un
servidor VPN.
Puede ser enrutador o un ordenador individual.
Tnel.- aquella porcin de la conexin en que los
datos estn encapsulados.
Protocolos de entubacin (tunneling protocols) estndares de
comunicacin utilizados para gestionar el tnel y encapsular
los datos privados.
Red de trnsito.- es la red pblica o compartida a travs de
la que circulan los datos.

2.3.1.3 REQUERIMIENTOS BASICOS


Identificacin de usuario: Las VPN deben verificar la
identidad de los usuarios

restringir

su

acceso

aquellos que no se encuentren autorizados.


Codificacin de datos: Los datos que se van a transmitir
a travs de la red pblica (Internet), antes deben ser
cifrados, para que as no puedan ser ledos. Esta tarea se
realiza con algoritmos de cifrado como DES o 3DES que
slo pueden ser ledos por el emisor y receptor.
Administracin de claves: Las VPN deben actualizar las
claves de cifrado para los usuarios.

2.3.1.4 FUNCIONAMIENTO DE UN VPN


Una

red

privada

virtual

se

basa

en

un

protocolo

denominado protocolo de tnel, es decir, un protocolo que


cifra los datos que se transmiten desde un lado de la VPN
hacia el otro.

La palabra "tnel" se usa para simbolizar el hecho que los


datos estn cifrados desde el momento que entran a la VPN
hasta que salen de ella y, por lo tanto, son incomprensibles
para cualquiera que no se encuentre en uno de los

extremos de la VPN, como si los datos viajaran a travs de


un tnel. En una VPN de dos equipos, el cliente de VPN es
la parte que cifra y descifra los datos del lado del usuario y
el servidor VPN (comnmente llamado servidor de acceso
remoto) es el elemento que descifra los datos del lado de la
organizacin.
De esta manera, cuando un usuario necesita acceder a la
red privada virtual, su solicitud se transmite sin cifrar al
sistema de pasarela, que se conecta con la red remota
mediante

la

infraestructura

de

red

pblica

como

intermediaria; luego transmite la solicitud de manera cifrada.


El equipo remoto le proporciona los datos al servidor VPN
en su red y ste enva la respuesta cifrada. Cuando el
cliente de VPN del usuario recibe los datos, los descifra y
finalmente los enva al usuario.

2.3.2 ZONA DESMILITARIZADA (DMZ)


Una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral
es una red local que se ubica entre la red interna de una
organizacin y una red externa, generalmente Internet. El objetivo
de una DMZ es que las conexiones desde la red interna y la
externa a la DMZ estn permitidas, mientras que las conexiones
desde la DMZ slo se permitan a la red externa, los equipos (hosts)
en la DMZ no pueden conectar con la red interna. Esto permite que
los equipos (hosts) de la DMZ puedan dar servicios a la red externa a
la vez que protegen la red interna en el caso de que intrusos
comprometan la seguridad de los equipos (host) situados en la zona
desmilitarizada. Para cualquiera de la red externa que quiera
conectarse ilegalmente a la red interna, la zona desmilitarizada se
convierte en un callejn sin salida.

2.3.3 FIREWALL
Un cortafuegos (o firewall en ingls), es un elemento de hardware o
software utilizado en una red de computadoras para controlar las
comunicaciones, permitindolas o prohibindolas segn las polticas
de red que haya definido la organizacin responsable de la red. Su
modo de funcionar es indicado por la recomendacin RFC 2979, que
define las caractersticas de comportamiento y requerimientos de
interoperabilidad. La ubicacin habitual de un cortafuegos es el punto
de conexin de la red interna de la organizacin con la red exterior,
que normalmente es Internet; de este modo se protege la red interna
de intentos de acceso no autorizados desde Internet, que puedan
aprovechar vulnerabilidades de los sistemas de una red interna.

2.3.4 PRINCIPALES FABRICANTES DE SOFTWARE


Fortinet.- Es una empresa privada estadounidense, que se
dedica especialmente al diseo y fabricacin de componentes y
dispositivos de seguridad de redes (firewalls, UTM.)
Actualmente es la marca de referencia en sistemas de
seguridad UTM, habiendo superado a Cisco y Checkpoint en
su lucha por este mercado.

Las

aplicaciones de

FortiGate

proporcionan proteccin

rentable, comprensiva contra amenazas de red - incluyendo


los ataques complejos sin degradar el rendimiento de la red.
Las

plataformas de

sofisticadas

de

(activa/activa,

FortiGate

red,

tales

activa/voz

incorporan caractersticas
como

pasiva)

alta
para

disponibilidad
la

mxima

disponibilidad, capacidades virtuales de dominio para separar


las varias redes que requieren diversas polticas de la
seguridad.
Cisco.- Cisco Systems es el lder mundial en redes para
Internet. Las soluciones de conectividad de Cisco basadas en
el protocolo de Internet (IP), son la base de Internet y de las
redes corporativas, educativas y de gobierno en todo el
mundo. Cisco entrega la lnea ms amplia de soluciones para
el transporte de datos, voz y video. Aqu encontrar toda la
informacin tcnica y de negocios sobre redes e Internet.
D-Link.- Es uno de los lderes mundiales en proveer
equipamiento

de

networking,

conectividad

de

comunicaciones de datos. La compaa disea, fabrica y


comercializa hardware necesario para permitir a los usuarios
compartir recursos y comunicarse sobre una red de rea local,
y equipos que permiten a los individuos y oficinas conectarse
a WANs y a Internet fciles, rpidos y con una buena
relacin calidad-precio.
Proporciona equipos de seguridad tales como router y firewall
de fcil instalacin y ms efectivos que aquellos basados en
software, dada

su

conexin Plug-and- Play, seguridad

completa para dejar fuera de la red a los intrusos, soporte de


VPN con encriptacin de datos y autentificacin.

A travs de su lnea de Firewalls NetDefend la mejor


plataforma de seguridad proactiva, en conjunto con su familia
de switches X-Stack.
Sonicwall.- (Fundada en 1991), es uno de los mas
prestigiosos fabricantes de sistemas de seguridad (Firewall,
VPN, Aceleradores SSL, etc) ofrece una calidad excepcional a
unos precios ventajosos, con una gama de productos que
cubren desde las Pymes a grandes empresas y proveedores
de servicios, sus soluciones son utilizadas por una gran
variedad de compaas, a nivel mundial.
Checkpoint.creada

en

Checkpoint
el

ao

Software

Technologies

LTD,

1993, est especializada nica y

exclusivamente en soluciones de seguridad lgica, cubriendo


desde usuarios finales hasta proveedores de servicios de
Internet (ISP/ASP).
Las soluciones de seguridad de Checkpoint destacan
por su arquitectura unificada, lo que, por ejemplo, permite
gestionar multitud de sus productos de seguridad perimetral o
seguridad

interna,

desde

un

nico

punto

de

forma

centralizada.

2.3.5 ALTERNATIVAS DE FIREWALL EN EL MERCADO


D-Link DFL-800
El firewall VPN DFL-800 ofrece una proteccin de red
completa as como servicios de red privada virtual, a las
pequeas empresas de hasta 150 usuarios, mediante
robustas funciones de seguridad, una configuracin flexible y
la mxima proteccin de red.

Alojado en un chasis normalizado, el firewall VPN DFL-800


ofrece un impresionante conjunto de funciones de hardware
que incluyen un procesador de alta velocidad, una base de
datos de gran capacidad y un potente firewall que puede
gestionar hasta 25.000 sesiones simultneas.

CARACTERISTICAS

DESCRIPCIN

Factor de forma:

Externo

Tecnologa de conectividad:

CONEXIN

Protocolo de interconexin de

DE REDES

datos: Caractersticas de

Cableado

Ethernet,

proteccin Proteccin firewall,

Fast Ethernet

Encaminamiento, Asistencia
tcnica VPN,
Limitacin de trfico

D-Link NetDefend DFL-860


El DFL-860 usa un acelerador por hardware para llevar a
cabo

las

funciones

de

escaneado

antivirus

IPS

simultneamente, sin que se degrade el rendimiento del


firewall

ni

acelerador

de

la

red

le

permite

privada
al

virtual.

firewall

Este

trabajar

potente
con

un

rendimiento muy superior al de los firewall UTM con


funcin antivirus del mercado. Potente rendimiento de la
red privada virtual El DFL-860 dispone de un motor de red
privada virtual basado en hardware para soportar y gestionar
hasta 300 tneles VPN. Admite los protocolos IPSec, PPTP y
L2TP en modo cliente/servidor y tambin puede manejar el

trfico que pasa a travs de l. La autentificacin de usuario


puede llevarse a cabo por medio de un servidor RADIUS
externo o a travs de la base de datos interna del firewall, que
admite hasta 500 cuentas.
El firewall UTM DFL-860 ofrece una potente solucin de
seguridad para las oficinas de pequeo o medio tamao,
con hasta 150 usuarios, contra una amplia variedad de
amenazas para la red en tiempo real.

CARACTERSTICAS

DESCRIPCIN

Factor de forma:

Externo

Tecnologa de conectividad:

Cableado

Protocolo de interconexin de datos:


Red / Protocolo de transporte:
Protocolo de direccionamiento

Ethernet, Fast Ethernet


PPTP,

L2TP,

OSPF

Rendimiento
CONEXIN

Capacidad de cortafuegos

150 Mbps

DE REDES

Capacidad de VPN (3DES,AES)

60 Mbps

Capacidad:
Sesiones concurrentes: Polticas de

25000

seguridad: Tneles VPN (de sitio a

1000

sitio) :

300

IPSec

FortiGate-90D
Proporciona todas las mismas funcionalidades que otros
dispositivos FortiGate y est diseado para trabajadores de
casa y pequeas oficinas remotas.
Conector

dual

WAN

para

una

conexin

de

Internet

redundante, 4 puertos switch elimina la necesidad de un switch


o hub externo, dando a los dispositivos de red una conexin
directa al FortiGate-90D.
Entrega rendimiento superior y fiabilidad del hardware
acelerado, arquitectura basada en ASIC.

CARACTERSTICA

DESCRIPCIN

BENEFICIOS

Detecta
y
elimina
virus, Cerrando
ANTIVIRUS
estas
gusanos
en
tiempo
real.
(CERTIFICADO ICSA)

vulnerabilidades no
Escanea datos
adjuntos de entran
virus
ni
correos electrnicos de entrada gusanos a la red
y salida (SMTP, POP3, IMAP), local
tambin todo el trfico FTP y
HTTP

PREVENCIN
Y DETECCIN DE
INTRUSIN
DINMICAS
(CERTIFICADO ICSA)

Deteccin y prevencin de ms
de 1300 intrusiones y
ataques basada en
configuraciones de usuarios.
Actualizaciones
automticas
de IPS desde el FortiProyect
Network

Detecta
ataques
que
evaden
los
antivirus
convencionales, en
tiempo real

Controla
todas
las Proteccin
FIREWALL
(CERTIFICADO ICSA) comunicaciones que pasa de certificada,

una red a la otra y en funcin


de lo que se permite o se mximo
deniegue en la poltica
funcionamiento y

FILTRADO DE
CONTENIDO WEB

Bloquea todo contenido Web


inapropiado y scripts maliciosos
provenientes de la Web

VPN (CERTIFICADO
ICSA)

Soporta tneles IPSec,PPTP y


L2TP

ACCESOS REMOTOS Soporta

accesos
remotos
desde cualquier PC equipadas
con el software

FORTICLIENT HOST
SECURITY
INTERFACES WAN

Proporcionan conexiones a
Internet

escalabilidad
Bloqueo de sitios
web que no son
permitidos por las
polticas
de
la
empresa,
aumentando
la
productividad
del
personal
y
reduciendo
la
posibilidad
de
infeccin de virus
Provee
comunicacin segura
en el tnel entre
redes y clientes.
Bajo
costo,
en
cualquier momento y
todas partes tendrn
acceso
sus
trabajadores mviles
y remotos
Con dos interfaces
WAN proporcionan
redundancia
a
Internet
si
una
interface falla, la otra
Automticamente
toma
todas
las
sesiones

SonicWALL TZ 190
Es un dispositivo de seguridad de red multicapa que
puede utilizarse como acceso principal a Internet o como
sistema de reserva cuando la conexin DSL (u otra conexin
por cable) no funciona

CARACTERSTICAS
PROCESADOR
/MEMORIA
/ALMACENAMIENTO

DESCRIPCIN

RAM instalada (mx.)

128 MB

Memoria flash instalado (mx.):

16 MB Flash

Factor de forma:

Externo

Tecnologa de conectividad:

Cableado

Protocolo de interconexin de
datos:
Protocolo de conmutacin :
Red / Protocolo de transporte:

Ethernet, Fast
Ethernet
Ethernet L2TP,
IPSec Semidplex,
dplex pleno.

Modo comunicacin:

Rendimiento:
Capacidad de pleno estado :
Capacidad de antivirus de
pasarela:

90+ Mbps
10 Mbps

Cisco ASA 5505 Firewall Edition Bundle


El dispositivo de seguridad adaptable de la serie Cisco ASA
5500 es una plataforma que proporciona servicios de
seguridad y VPN de prxima generacin para entornos que
van desde oficinas pequeas/hogareas y empresas medianas
hasta grandes empresas. Nmero ilimitado de usuarios. La
serie Cisco ASA 5500 permite la estandarizacin en una sola
plataforma para reducir el costo operativo general de la
seguridad.

CARACTERSTICAS
PROCESADOR
/ RAM instalada (mx.)
MEMORIA
/
ALMACENAMIENTO Memoria flash instalado (mx.):
Factor de forma:
Tecnologa de conectividad:
Protocolo de interconexin de datos:
Red / Protocolo de transporte:

DESCRIPCIN
256 MB
64 MB Flash
Externo
Cableado
Ethernet, Fast
EthernetIPSec

Rendimiento:
Capacidad del cortafuegos
Capacidad de la VPN:

CONEXIN
DE REDES

150 Mbps
100 Mbps

Capacidad:
Peers VPN IPSec :
Peers VPN SSL :
Sesiones concurrentes :

Caractersticas de
proteccin: Proteccin firewall,
Puerto DMZ, Asistencia tcnica
VPN, Soporte VLAN,

Algoritmo de cifrado:
Triple DES, AES , SSL

10
2
10000

CAPITULO 3
IMPLEMENTACION
En este apartado se explica cmo se estructur la implantacin del proyecto.
ste qued definido en cuatro partes bien diferenciadas. Se empez por un
proceso de Pre-Implementacin en el que se comprob el funcionamiento de la
red cableada. La siguiente fase correspondi a la Implantacin donde se
configuro el firewall Fortigate 90D.
Para la realizacin de las tareas definidas dentro de las siguientes fases se
necesit disponer de los servicios de un tcnico especializado en seguridad
perimetral proporcionado por la empresa ISEC proveedora del firewall.
En cada fase se especifica el total de horas que fueron necesarias que invirtiera el
tcnico.

3.1 PRE-IMPLEMENTACION
En esta fase se empez a plasmar la idea inicial del proyecto.
Se comprob el funcionamiento de los tres de la Red cableada UTP que
servir para la conexin
Se ubic el firewall en el armario de equipos, seguidamente del router
CISCO Circuito digital 86454 para no contar acumulacin de cableado.
Se realiz la conexin, mediante cable UTP, entre el CISCO Circuito digital
86454 y el firewall Fortigate 90D
Debido a que los equipos de la empresa de se encontraban en produccin
no se realiz ninguna prueba con ellos hasta el da de la implantacin.

3.2 IMPLEMENTACION
Esta fue la parte ms crtica y la ms complicada de todo el proyecto. En
esta fase se configuro el firewall Fortigate 90D.
Posteriormente se comprob que conectando el firewall a la red, desde ste
se poda hacer ping al router CISCO Circuito digital 86454, con esto,
aseguramos que las interconexiones estaban bien configuradas y que
podamos llegar a los equipos que estaban directamente conectados al
router CISCO. Posteriormente debamos averiguar que el resto de
configuracin aplicada al firewall funcionaba correctamente (VPN, rutas,
filtro, etc.)
Este proceso se comprob validando una lista de requerimientos previos en
las que especificamos las pginas que por seguridad no se debera permitir
el acceso as como las que sirven de soporte para los procesos crticos del
negocio, cuyo funcionamiento no debe ser bloqueado.

Representacin mediante el diagrama de Gantt de las tareas del proyecto.

CAPITULO 4
CONCLUCIONES
4.1 CONCLUCIONES GENERALES
Con el firewall Fortigate 90D se consigue monitorizar y controlar el ancho de
banda as como filtrar por seguridad el control de contenido de los colaboradores
de la empresa Santo Domingo Contratistas Generales S.A.
El sistema perimetral tambin satisface otros requerimientos del proyecto: utilizar
el sistema de seguridad que exista inicialmente en la empresa Santo Domingo
Contratistas Generales S.A. como parte de la nueva infraestructura y utilizar solo
la configuracin del router CISCO Circuito digital 86454

4.1 CONCLUCIONES ESPECFICAS

Ancho de Banda y Aplicaciones


Con mucha claridad queda evidenciado que el consumo de ancho de banda
ocurre con mayor frecuencia los entre las horas 07:00 am y 12:00 am.
Si comparamos estas horas con el nivel de trfico (KB) se determina que tienen
una relacin muy estrecha con el cuello de botella que reportan los
colaboradores en horas laborales.
Este aspecto es muy importante porque nos hace notar que la investigacin tiene
un inters especial en lo que hacen los colaboradores y cmo a partir de estos
datos se pueden realizar diversas acciones desde un enfoque correctivo que
favorezcan las funciones laborales, as incluso se promueve el no uso de las
paginas denominadas redes sociales, ya que as comprometen al correcto uso
de la banda ancha con la que cuenta la empresa.

Principales fuentes de consumo de Ancho de Banda

Segn se aprecia en la tabla, el consumo del ancho de banda por parte de la ip


192.168.1.124 obtiene unos resultados realmente altos (44,1%), la ip

192.168.1.141 consume (16,5), por lo que se puede asegurar que estos dos
primeros colaboradores consumo el 60% del ancho de banda, para el manejo de
herramientas necesarias aunque por otra parte no se descarta el uso para
distraccin.
Siguiendo con la valoracin, las ips restantes mantienen un consumo regular y no
muestran riesgo de crear un cuello de botella en horas criticas de trabajo.

Principales pagina de consumo de Ancho de Banda

Segn se aprecia en la tabla, la pgina web que ms ancho de banda consumo es


mail.google.com obteniendo un resultado alto (24.6%), esta pgina es necesaria
para las funciones laborales de los colaboradores ya que sirve de medio para el
envo (Sent) y recepcin (Received) de correos con informacin crtica.
Siguiendo con la valoracin, la pgina web www.facebook.com es la segunda
pgina que ms consume ancho de banda (18,8 %), esta pgina es de carcter de
entretenimiento por lo que su uso est totalmente prohibido de acuerdo con la
poltica de la empresa.
Siguiendo con la valoracin, las pginas web restantes son de carcter laboral y
uso es necesario para las funciones laborales de los colabores.