FASE 4 - EVALUACIÓN DE METODOLOGÍAS DE ASEGURAMIENTO DE

INFRAESTRUCTURAS

DONCEL CESAR ANTONIO

MORA NIÑO IMIRIDA
PARDO WILSON FERNEY
 RODRIGUEZ JOHN

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
ESPECIALIZACION EN SEGURIDAD INFORMATICA
INFRAESTRUCTURAS SEGURA
BOGOTA
2023
FASE 4 - EVALUACIÓN DE METODOLOGÍAS DE ASEGURAMIENTO DE
INFRAESTRUCTURAS

DONCEL CESAR ANTONIO

MORA NIÑO IMIRIDA
PARDO WILSON FERNEY
 RODRIGUEZ JOHN

JUAN ANTONIO CHAHIN 

TUTOR

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA
ESPECIALIZACION EN SEGURIDAD INFORMATICA
INFRAESTRUCTURAS SEGURA
BOGOTA
2023
 CONTENIDO

Pág.
1. INTRODUCCIÓN.........................................................................................................5
2. OBJETIVOS.................................................................................................................6
2.1 OBJETIVO GENERAL...............................................................................................6
2.2 OBJETIVOS ESPECÍFICOS......................................................................................6
3. PROPUESTA FINAL...................................................................................................7
3.1 ARQUITECTURA DE LA PROPUESTA FINAL........................................................7
4. PRACTICAS DE IMPLEMENTACION.........................................................................8
5. TOPOLOGIAS TECNOLOGICAS..............................................................................13
5.1 FIREWALL DE APLICACIONES WEB (WAF)...........................................................13
5.2 HONEY POT............................................................................................................... 14
5.3 FIREWALL DE BASE DE DATOS..............................................................................15
5.4 CDN CON PROTECCIÓN DDOS PARA EL COMERCIO......................................16
5.5 SOLUCIÓN DE EDR PARA LA RED.....................................................................17
CONCLUSIONES.............................................................................................................. 18
BIBLIOGRAFÍA................................................................................................................. 19
 TABLA DE ILUSTRACIONES

Ilustración 1 FIREWALL DE WAF.....................................................................................13

Ilustración 2 HONEY POT.................................................................................................14
Ilustración 3 FIREWALL DE BD........................................................................................15
Ilustración 4 CDN CON PROTECCION.............................................................................16
Ilustración 5 SOLUCION EDR...........................................................................................17
 1. INTRODUCCIÓN

A continuación, se dará soluciona al caso de La empresa “ABC S.A” luego de

fortalecer sus arquitecturas de seguridad internas, ha decidido potenciar su sitio
web convirtiéndolo en un sitio de comercio electrónico que se desarrollara bajo la
premisa de una arquitectura de tres capas, con conexión a una pasarela de pagos
con una VPN S2S, aprovechando los proyectos de seguridad ya implementados, e
incluyendo además los siguientes proyectos
 2. OBJETIVOS

2.1 OBJETIVO GENERAL

Gestionar la mejor estrategia o metodologías de implementación de firewalls, para

los procesos de la compañía ABC SA, la cual permitan mitigar los riesgos respecto
a las nuevas tecnologías, que se requieren en una pasarela de pagos de una red
conectada a internet.

2.2 OBJETIVOS ESPECÍFICOS

Identificar las diferentes alternativas de implementación que permiten cumplir con

el mejoramiento seguridad de la infraestructura de la empresa ABC S.A

Desarrollar la mejor practica en el modelado de la arquitectura de la red, como la

mejor estrategia que cumpla con potencial el sitio web.

Crear políticas de seguridad que supervisen por medio de la implementación de

los diferentes proyectos de firewalls, la cual garanticen la administración y
bloqueo, del tráfico no deseado.

Documentar por medio de un monitoreo continuo de la red, permitiendo a la misma

administración tener un historial, de sucesos y soluciones para futuros ataques en
general.

.
 3. PROPUESTA FINAL

3.1 ARQUITECTURA DE LA PROPUESTA FINAL

4. PRACTICAS DE IMPLEMENTACION
 IMPLEMENTACION MODEO IMPLEMENTACION
EN ABC S.A
Firewall de Se trata de un  WAF en la Se propone un WAF
Aplicacione firewall de nube2: son la de red basado en
s Web (WAF aplicaciones web1 opción menos hardware, ubicado
que puede ser de costosa debido dentro de la red
tipo hardware, a que no perimetral formando
software o servicio y demandan una topología en
está diseñado para recursos de la estrella con los
bloquear ataques infraestructura y servidores. De este
dirigidos a la capa su coste inicial modo se consigue
de aplicación, actúa es bajo, que las peticiones
diferenciando entre además, son de los clientes
tráfico malicioso y multiplataforma. primero pasen por
seguro mediante Sin embargo, no el WAF antes de
políticas que se hay total llegar a los
pueden ajustar de claridad sobre servidores.
acuerdo con los algunas
requerimientos de configuraciones.
las aplicaciones.
 WAF de host3:
configuradas he
instaladas
directamente en
el hosting, pude
estar integrado
directamente en
una aplicación o
en un servidor
web, es de fácil
configuración y
menos costosa
respecto al
WAF de red, sin
embargo, tiene
una
implementación
compleja y
costes de
mantenimiento.

1
F5. ¿Qué es un WAF (Web Application Firewall)? [En línea]. [Citado el 01/06/2022].
2
Marques. Qué es un WAF y cómo te protege de ciberataques a tus aplicaciones web. [En línea].
[Citado el 01/06/2022].
3
CLOUDFLARE. ¿Qué es un WAF? [En línea]. [Citado el 01/06/2022].
  WAF de red4:
basado en
hardware, se
caracteriza por
la eficiencia
ante los
requerimientos
de
implementación
más exigentes,
permitiendo una
gran flexibilidad,
buen
rendimiento y
seguridad
avanzada. Sin
embargo, es
costoso,
consume
recursos y
requiere de
mantenimiento.
Honey Pot Se trata de un Puede En este caso se
sistema señuelo5 implementarse de elige la opción
con el objetivo manera física
Honeypot físico
principal de simular virtualizado, para implementar la
el sistema real de dependiendo de los configuración
modo que el objetivos que se combinada, se
atacante crea que quieran alcanzar, ubica protegido por
está atacando un por ejemplo: si se el firewall con el fin
objetivo valioso, trata solo de alertarde obtener
cuando en realidad la mejor opción es información sobre
está atacando un la virtual por coste vulnerabilidades
sistema aislado beneficio. que no son evitadas
controlado por el por este y pueden
administrador  Honeypot físico: ser relevantes para
donde es posible usando los demás servicios.
ver las hardware
vulnerabilidades exclusivo que
que el atacante puede ser un
intenta explotar. ordenador

4
F5, Op. cit., p. En línea.
5
Redeszone. ESPINOZA, Oscar. Qué es y para qué sirve un Honeypot. [En línea]. [Citado el
01/06/2022].
  Alertar: se trata integrado en la
de una red, con su
configuración propia IP y
diseñada con el comportándose
objetivo de como un
detectar un servidor más.
ataque  Honeypot
 Obtener virtual: se trata
información: de un sistema
diseñada con el operativo virtual
objetivo de dentro de un
recopilar la servidor físico
información el que puede
ataque que está albergar
recibiendo. también otros
 Ralentizar: el servicios.
objetivo de este
diseño es 
ralentizar un
ataque para
ganar tiempo.
 Combinación: se
trata de un
diseño que
reúne todas las
configuraciones
anteriores, de
modo que alerta,
obtiene
información y
ralentiza el
ataque.

Firewall de Hay una auditoría Cuando un usuario El firewall de bases

Base de de los directorios malintencionado de datos se coloca
Datos del sistema intenta obtener entre la aplicación
operativo del acceso a la web (que es visible
administrador de información para los usuarios) y
bases de datos. almacenada, existe el manejador de
Instalación en una capa adicional bases de datos (que
varios lugares. Hay de protección interactúa con la
registros para su proporcionada por base de datos para
posterior análisis. el firewall de la guardar, modificar u
 Arquitectura base de datos que obtener
escalable. Es evitará que información)
posible modificar los accedan a ella. El
informes. Trabaje cortafuegos solo
en modo de permite el acceso a
bloqueo o de usuarios
monitoreo. Permite autorizados.
configuraciones de
alta disponibilidad.
CDN con Content Delivery Los problemas de Integración nativa
protección Network es un congestión de la con servicios de
DDoS para grupo de servidores red causados por la capa 7 (CDN, WAF,
el comercio distribuidos en entrega de gestión de bots,
diferentes áreas contenido web etc.)
geográficas que enriquecido, como
aceleran la entrega gráficos y videos a Integración a través
de contenido web través de Internet, del enrutamiento
acercándolo a los son similares a los BGP y la
usuarios Los atascos de tráfico. encapsulación GRE
centros de datos de Estaba tardando
todo el mundo demasiado en cualquier aplicación
utilizan un proceso distribuir el personalizada que
llamado contenido. Los funcione a través de
almacenamiento en CDN ya incluyen TCP/UDP son
caché que todo, desde vulnerables y
almacena secuencias de pueden ser objeto
temporalmente comandos de de ataques. Fácil
copias de archivos gráficos de texto y integración de
para que pueda archivos multimedia aplicaciones y
acceder más a hasta descargas de protección contra
contenido de software, DDoS instantánea
Internet documentos, con aceleración del
rápidamente con un portales, comercio tráfico web
dispositivo o electrónico,
navegador web. Las transmisión en vivo,
imágenes y los transmisión de
videos se video a pedido,
almacenan en sitios de redes
servidores proxy sociales.
cerca de su
ubicación. Puede
ver un software de
descarga de
 películas, verificar el
saldo de su cuenta
bancaria en las
redes sociales o
comprar artículos
sin tener que
esperar a que se
cargue el contenido.
Solución de Un sistema EDR se El aprendizaje Con la detección,
EDR para la caracteriza por automático de identificación y
red combinar diversos aprendizaje prevención de los
elementos de automático se efectos de las
detección y puede utilizar para vulnerabilidades de
tecnologías como la mejorar la malware y, en
inteligencia artificial detección de algunos casos,
y el Big Data que amenazas. ransomware, esta
permiten mejorar de herramienta
forma programada y Si desea verificar el también puede
autónoma la comportamiento de detectar amenazas
detección y los archivos avanzadas, como
prevención de descargados, haga malware
amenazas sandbox en el polimórfico,
complejas, así sistema de prueba vulnerabilidades de
como su posterior virtual y aislado. día cero, ataques
eliminación o de ingeniería social,
mitigación.
6
Las reglas IOC y amenazas
YARA permiten persistentes o APT,
analizar y detectar cuentas
amenazas comprometidas, etc.
complejas en Es posible eliminar
tiempo real. una amenaza o
mitigar sus efectos
El uso de listas en caso de que se
blancas y negras detecte una
de correo amenaza.
electrónico.

Es posible la
interoperabilidad y
la interacción con
otras herramientas
de seguridad.

6
https://docplayer.es/41071267-Firewall-de-bases-de-datos.html
 5. TOPOLOGIAS TECNOLOGICAS

A continuación, incluimos el diagrama para cada una de las topologías asignadas

anteriormente.
5.1 FIREWALL DE APLICACIONES WEB (WAF)

Ilustración 1 FIREWALL DE WAF

5.2 HONEY POT

Ilustración 2 HONEY POT

5.3 FIREWALL DE BASE DE DATOS

Ilustración 3 FIREWALL DE BD.

5.4 CDN CON PROTECCIÓN DDOS PARA EL COMERCIO

Ilustración 4 CDN CON PROTECCION

 5.5 SOLUCIÓN DE EDR PARA LA RED

Ilustración 5 SOLUCION EDR

CONCLUSIONES
El buen análisis de las diferentes alternativas como herramienta de mejoramiento
de seguridad en la infraestructura, nos permite identificar las posibles brechas de
seguridad en la compañía ABC SA que podría tener y la finalidad de mitigar los
diferentes riesgos en la información al estar expuesta en un aplicativo web con
pasarela de pagos, la cual se convierte en un sitio que va necesitar de un control
de la interacción de las peticiones directas y sin autorización en el tráfico de la
información por internet.

La finalidad de crear las políticas en un firewall, es la mejor practica de bloqueo en

un flujo o tráfico en una red VPN S2S, además de cumplir con la potencialización
del sitio web, esto garantizara a la compañía que la gestión de su infraestructura
de seguridad en cuanto la de red y sus componentes, está en lo posible en su
totalidad protegida.

Tener un buen diseño del modelado de la arquitectura de los componentes

conectados en la red de la empresa ABC SA, nos permitirá tener una mejor
supervisión del tráfico no deseado; además de implementar correctamente los
diferentes firewalls, facilita para la compañía identificar todos los posibles ataques,
que puedan ocurrir frente a la operación, mejorando la seguridad y la
disponibilidad de los datos de la misma; es pertinente llevar la documentación
respectiva de los bloqueos no deseados lo cual ayudara a las soluciones futuras.
 BIBLIOGRAFÍA

Marques. Qué es un WAF y cómo te protege de ciberataques a tus aplicaciones

web. [En línea]. [Citado el 01/06/2022]. Disponible en:
https://www.marquesme.com/que-es-un-waf-y-como-te-protege-de-ciberataques-a-
tus-aplicaciones-web/

Redeszone. ESPINOZA, Oscar. Qué es y para qué sirve un Honeypot. [En línea].
[Citado el 01/06/2022]. Disponible en:
https://www.redeszone.net/tutoriales/seguridad/que-es-honeypot/

F5. ¿Qué es un WAF (Web Application Firewall)? [En línea]. [Citado el

01/06/2022]. Disponible en:
https://www.f5.com/es_es/services/resources/glossary/web-application-
firewall#:~:text=Un%20WAF%20(Web%20Application%20Firewall)%20protege
%20a%20las%20aplicaciones%20web,envenenamiento%20de%20cookies%2C
%20entre%20otros.

CLOUDFLARE. ¿Qué es un WAF? [En línea]. [Citado el 01/06/2022]. Disponible

en: https://www.cloudflare.com/es-es/learning/ddos/glossary/web-application-
firewall-waf/