PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDAD A PARTIR DEL RE-USO TECNOLOGICO

DANIEL ECHEVERRY MATIAS

UNIVERSIDAD CATOLICA DE PEREIRA FACULTAD DE CIENCIAS BSICAS E INGENIERAS PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONES PEREIRA 2011

PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDAD A PARTIR DEL RE-USO TECNOLOGICO

DANIEL ECHEVERRY MATIAS

Informe Final

TUTOR: INGENIERO DANIEL FELIPE BLANDON

UNIVERSIDAD CATOLICA DE PEREIRA FACULTAD DE CIENCIAS BSICAS E INGENIERAS PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONES PEREIRA 2011

RESUMEN Este proyecto, busca desarrollar y construir una solucin de seguridad, usando el re-uso tecnolgico, aprovechando aquellas maquinas que cumplieron su vida util, pero que aun as pueden llegar a cumplir ciertas funciones dentro de una red. Usando esta tecnologa antigua, el proyecto aporta una alternativa de solucin a la grande problemtica que est viviendo el mundo actual, en cuanto a los desechos tecnolgicos, de esta forma, se beneficiaran las pequeas y medianas empresas, implementando soluciones de seguridad a bajo costo, y adicionalmente, se beneficiara el medio ambiente. Palabras claves: Dispositivo de seguridad, UTM, Firewall, Seguridad informatica, Redes, appliance de seguridad. ABSTRACT This project seeks to develop and build a workaround of security, using the technological reuse, taking advantage of these machines that complete their useful life, but these yet are useful to perform certain functions within a network. Using this old technology, the project contribute an alternative of workaround to the big problematic that is living the today's world, with regard to technological waste, thus, to benefit small and medium enterprises, implementing security workarounds at low cost, and additionally, will benefit the environment. Keywords: Security device, UTM, Firewall, networking, security appliance, Information security.

TABLA DE CONTENIDO

Introduccin

10

Formulacin del problema

12

Objetivos

14

Justificacin

15

Cronograma de actividades

18

Marco Contextual

19

6.1 6.2

Implementacin De Clusters Beowulf Como Firewall Modelo de solucin de enrutamiento de datos a bajo costo basado en software libre

19

20 21 22 24 25 27 4

6.3 6.4 6.5 6.6 7

Purdue Firewall Appliance Solucin Fortinet Solucin SonicWall Diferencias entre el proyecto y las soluciones comerciales Marco Terico

7.1 7.2

Appliance Tipos de Appliance

27 27 27

7.2.1 Appliance de telefona IP

7.2.2 Appliance de correo

28

7.2.3 Appliance de Monitoreo

29

7.3 7.4

UTM Servicios de seguridad

29 29 29

7.4.1 Firewall

7.4.2 IDS/IPS

30

7.4.3 VPN

31

7.4.4 Proxy

33

7.5

Sistemas operativos embebidos

34 34 34

7.5.1 Sistemas embebidos 7.5.2 Sistemas operativos embebidos

7.6

Algunos sistemas operativos embebidos

35 35

7.6.1 Symbian OS

7.6.2 DD-WRT

35

7.6.3 OpenWRT

36

7.7 8

El reuso tecnolgico en Colombia Definicin operacional de trminos

36 38

Enfoque metodolgico

39

9.1 9.2

Instalacin del sistema operativo Instalacin de servicios

39 45 45

9.2.1 Configuracin Bsica

9.2.1.1 Configuracin de la interfaz WAN 9.2.1.2 Configuracin de la interfaz LAN 9.2.1.3 Actualizando el gestor de paquetes 9.2.2 Instalacin Firewall

47 49 52 57

9.2.2.1 Objetivos de un firewall 9.2.3 Instalacin IDS

59 63

9.2.3.1 Snort 9.2.4 Instalacin VPN

64 67

9.2.5 Instalacin Proxy

68

9.2.5.1 Squid 9.3 Pruebas de rendimiento

70 72 74

9.3.1 Escenario de las pruebas

9.4

Anlisis de los resultados

77 90

10 Conclusiones

11 Recomendaciones

91

12 Referencias bibliogrficas

92

13 Bibliografa

94

TABLA DE IMAGENES. Figura 1. Desechos tecnolgicos Figura 2. Numero de transistores por chip a escala logartmica Figura 3. Appliance Fortinet Figura 4. Diagrama VPN Figura 5. Diagrama PROXY Figura 6. Equipo usado para el proyecto Figura 7. Equipo usado para el proyecto Figura 8. Instalacin OpenWRT Figura 9. Pruebas de ping Figura 10. Figura 11. Figura 12. Figura 13. Figura 14. Figura 15. Figura 16. Figura 17. Figura 18. Figura 19. Figura 20. Figura 21. Ventana de logueo OpenWRT Cambiando el password de root Interfaz WEB Configuracin de las interfaces Diagnsticos Configuracin DHCP Configuracin interfaz de red equipo cliente Pruebas de ping Pruebas de Traceroute Esquema NAT Reglas por defecto del firewall Menu paquetes 13 15 23 32 33 42 43 44 45 46 46 47 48 49 50 50 51 51 52 52 54

Figura 22. Figura 23. Figura 24. Figura 25. Figura 26. Figura 27. Figura 28. Figura 29. Figura 30. Figura 31. Figura 32. Figura 33. Figura 34. Figura 35. Figura 36. Figura 37. Figura 38. Figura 39. Figura 40.

Paquetes instalados Paquetes disponibles Backup y restaurar Esquema Firewall Cadenas bsicas de firewall Targets de un firewall Menu Firewall Snort Instalacion SNORT Paquete OPENVPN Paquete OPENVPN-DEVEL Esquema Proxy Paquete Squid Laboratorio A Laboratrio B Grafica Consumo CPU Grafica Consumo CPU Grafica Consumo CPU Grafica Rendimiento interfaces

55 56 57 59 60 61 62 64 65 68 68 69 70 74 76 77 78 78 79

1. INTRODUCCIN Hoy en da, la seguridad informtica juega un papel fundamental en cualquier empresa, ya que estas se concientizan de cuidar su activo ms importante: La informacin. Sin embargo, implementar la infraestructura necesaria (hardware y software) para reducir los riesgos y aumentar la proteccin de los datos requiere de una cantidad de dinero que algunas empresas no tienen, o los recursos no son destinados, o simplemente no estn dispuestas a pagar por algo que ven como un gasto y no como una inversin. En el mercado existen appliances de seguridad (tambin llamadas UTM), que proporcionan toda la seguridad perimetral necesaria para cualquier sistema informtico, estos equipos trabajando a nivel de aplicacin, analizan y permiten el paso del trfico en funcin de las polticas implementadas en el dispositivo, en otras palabras estos equipos son una caja negra en la cual estn todos los servicios de seguridad integrados. Existen muchos fabricantes de este tipo de equipos, desde Cisco1 hasta Fortinent2, pero los precios son algo elevados, por ejemplo, un equipo Fortigate F110C, ideal para redes de 150 usuarios, cuesta 2.800 USD3 con todas las licencias activas, mientras que un equipo Cisco ASA 5505 con caractersticas similares cuesta alrededor de 2.100 USD4 Ahora bien, hay una problemtica que surge en las empresas Qu hacer con los PC's obsoletos?, generalmente los equipos catalogados como obsoletos terminan en la basura, sin darse cuenta que estn cometiendo dos grandes errores. El primero es la contaminacin del medio ambiente, ya que los dispositivos electrnicos no se pueden tratar como basura convencional, dado su contenido de sustancias txicas como el cromo, el cadmio y el mercurio5. Y el segundo error
1 2 3 4 5

http://www.cisco.com/en/US/products/ps6120/index.html http://www.fortinet.com/products/fortigate/111C.html http://www.avfirewalls.com/FortiGate-110C.asp http://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26 http://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.html

10

que cometen las empresas, es asumir que dichos equipos por ser de tecnologa antigua, no se les puede dar otra utilidad, esto es un error grave ya que si bien no son equipos de ltima tecnologa, son equipos que pueden soportar una funcin limitada. Este proyecto plantea una solucin a dicha problemtica. proponer e implementar una solucin de seguridad perimetral, En primer lugar, usando aquellas

mquinas de tecnologa antigua, y en segundo lugar, hacer re-uso de aquellos equipos anticuados, pero todava tiles, contribuyendo as al medio ambiente.

11

2. FORMULACIN DEL PROBLEMA Debido a que en la actualidad la informacin importante de cualquier empresa se encuentra sistematizada, existe cada vez ms el riesgo de que personas no autorizadas observen o roben dicha informacin, por tal motivo; hay soluciones de Hardware y Software que tienen como nico fin minimizar los riesgos de que suceda un acceso no autorizado a la informacin o una fuga de la misma. Desafortunadamente este tipo de soluciones son costosas, e inasequibles para pequeas empresas. Por tal motivo hay empresas que no estn protegiendo su informacin de forma adecuada, poniendo as en riesgo la privacidad no solo de la organizacin sino tambin de sus clientes, Esto se deriva por carencia de recursos econmicos, o por factores como: Desconocimiento, herramientas. Un problema con el que se enfrentan las empresas es , qu hacer con aquellos equipos que ya han llegado a un nivel de obsolescencia . Es claro que estos dispositivos electrnicos se demoran varios aos en descomponerse y adems de esto si son desechados pueden contaminar el medio ambiente por las sustancias toxicas con las que fueron diseados. o simplemente porque no se cuenta con el personal capacitado para administrar este tipo de

12

Figura 1: Desechos tecnolgicos6 La idea principal de este proyecto es ayudar problemticas que hoy en da son ms evidentes. Se Usarn equipos con tecnologa obsoleta para configurar un appliance que se encargue de proteger la seguridad de la informacin en las PYMES (pequeas y medianas empresas), las cuales, por alguna razn no pueden tener un equipo de marca dedicado para este fin. en la solucin de estas dos

http://greennaturebook.blogspot.com/2011/05/desechos-tecnologicos.html

13

3. OBJETIVO GENERAL Proponer un Appliance de seguridad que provea servicios de: IDS, VPN, proxy, Firewall y enrutamiento a partir del re-uso tecnolgico, para suplir las necesidades que tienen las pymes en cuanto a la seguridad de su informacin. OBJETIVOS ESPECFICOS Proponer una nueva alternativa a la grave problemtica ambiental que sufre hoy en da el mundo, referente a los desechos tecnolgicos. Indagar sobre antecedentes de trabajos similares que se hayan realizado en este sentido. Consultar sobre cual es el mejor Hardware y software para implementar la solucin Definir cuales son los requerimientos mas urgentes para las pymes en cuanto a seguridad.

14

4. JUSTIFICACIN Con este proyecto, se demostrar que con aquellos equipos catalogados como obsoletos se pueden construir dispositivos muy tiles para cualquier empresa u organizacin, contribuyendo de esta forma al reciclaje de equipos electrnicos, pero qu se puede definir como Obsoleto? (Tubella, I. & Vilaseca, J. (2005)) Segn la ley de Moore, fundador y primer directivo de INTEL, cada 3 aos la potencia de los ordenadores se multiplica por 4. Esto quiere decir, que un equipo de cmputo fabricado en el ao 1998, ser 16 veces ms limitado que un equipo actual.

Figura 2. Numero de transistores por chip a escala logartmica. Autor: (Tubella, I. & Vilaseca, J. (2005))

Cabe resaltar que si un equipo es viejo no quiere decir que ya no sirve, se debe explotar la tecnologa al mximo, antes de darla como obsoleta. Hay funciones o servicios los cuales no requieren una capacidad de procesamiento considerable y son estos equipos los adecuados para prestar dichos servicios. La pertinencia y la innovacin del proyecto, radican en que fcilmente se puede construir y administrar una plataforma de seguridad a un costo muy bajo, sin necesidad de adquirir hardware adicional como dispositivos fsicos dedicados a servicios de seguridad; con esta propuesta, las empresas que no velaban por la seguridad de sus sistemas, argumentando lo costoso que es adquirir la infraestructura necesaria, se darn cuenta que el factor econmico no es un obstculo para preocuparse por su seguridad informtica. 15

Asimismo, es muy importante crear una cultura del re-uso tecnolgico, ya que as se concientiza electrnicos. Los pases desarrollados generan miles de toneladas de basura tecnolgica cada da. Estos dispositivos contienen elementos altamente txicos, que al entrar en contacto con la naturaleza causan daos irreversibles en la salud y el medio ambiente. Estas sustancias son nocivas para el ser humano, y al desechar estos equipos pueden llegar a hidrogrficas Gallego, 2009, P85) Los ciudadanos europeos generamos anualmente ms de 15 kilos de chatarra tecnolgica por persona, se trata de ordenadores personales, telfonos celulares, agendas electrnicas y toda una larga serie de consumibles que entran en desuso al dejar de funcionar o ser sustituidos por un modelo con mayores prestaciones. Estos productos se han incorporado en pocos aos al sector del gran consumo generando un importante problema ambiental debido a su especial circunstancia en el mercado. Y es que a menudo antes de poner un pie fuera del comercio donde lo acabamos de adquirir, se quedan obsoletos. Actualmente se busca una forma efectiva de realizar el reciclaje tecnolgico. Y no es tan complicado. Este proyecto da una alternativa a colaborar con el reciclaje tecnolgico dando otra forma de uso a estos equipos viejos y alargando el tiempo de vida til de los mismos, evitando as, la contaminacin, y el desperdicio.7 En el desarrollo de este proyecto se podrn aplicar conceptos vistos a lo largo de la las fuentes y ocasionar serios problemas ambientales, para la poblacin. (Jose luis, sobre lo importante que es no desechar irresponsablemente dispositivos

formacin profesional como ingenieros de sistemas y telecomunicaciones. Se aplicarn no solo los temas relacionados con las telecomunicaciones sino tambin relacionados con la formulacin de proyectos, conceptos que en el mundo laboral son fundamentales para un Ingeniero de sistemas de la actualidad. Algunos de estos son:

http://www.uv.mx/cienciahombre/revistae/vol23num1/articulos/basuras/index.html

16

Innovacin. Emprendimiento. Pro actividad. Recursividad. Creatividad. Investigacin.

17

5. CRONOGRAMA DE ACTIVIDADES A Junio Julio Agosto Septiembre Octubre 2 3 4 Noviembre

A1 A2 A3 A4 A5 A6 A7 A8 A9 A0

1 2 3 4 1 2 3 4 1 2 3 4 1 X X X X X X X X X X X X X

1 2 3 4 1 2 3 4

X X X X X X X X X X

A1: Elaborar Marco terico A2: Realizar el estado del arte A3: Eleccin del hardware disponible. A4: Eleccin del sistema operativo. A5: Instalacin sistema operativo base. A6: Configuracin bsica del dispositivo. A7: Instalacin de los servicios propuestos. A8: Pruebas benchmark del dispositivo. A9: Algunas modificaciones y customizacin. A10: Puesta en marcha dispositivo UTM

6. MARCO CONTEXTUAL Antes de entrar materia, es necesario hacer un recorrido por el mundo de la tecnologa, buscando aquellas entidades, universidades, y otras organizaciones las cuales han investigado sobre el amplio tema de la seguridad, diseando, o estudiando la forma de implementar equipos (Hardware) a bajo costo, los cuales integren todos los servicios que ayuden aumentar la proteccin de las redes LAN. En cuanto al re-uso tecnolgico, en Colombia se han hecho grandes esfuerzos, por brindar una solucin a tantos artefactos electrnicos (computadores) que quedan en desuso debido la tecnologa entrante, por esta problemtica nace Computadores para educar, un proyecto el cual trata de darle un uso a aquellos computadores que no se utilizan en las grandes compaas, reensamblandolos y envindolos a diferentes zonas alejadas del pas, con el fin de que aquellas personas que se encuentran alejadas de las ciudades, puedan aprender, estudiar, y navegar a travs de Internet. Esta es una buena solucin para los desechos tecnolgicos, educando y dndole la oportunidad a las personas a usar un computador. En nuestro pas, no se han evidenciado proyectos cuyo objetivo, tengan como fin

aprovechar el hardware en des-uso para construir una plataforma integral de seguridad (tambin llamada UTM). No obstante, se han desarrollados proyectos similares que han buscado implementar

soluciones de seguridad de diferente ndole. A continuacin, algunos de los proyectos relacionados que se han realizado: 6.1 IMPLEMENTACIN DE CLUSTERS BEOWULF COMO FIREWALL La Seguridad Computacional es un aspecto de vital importancia hoy en da en las redes de datos, la necesidad de proteger la privacidad y autenticidad de la informacin manejada ha llevado a buscar mecanismos que resguarden el interior de la red de las amenazas presentes en Internet. Uno de los mecanismos preferidos son los denominados Firewallsya que permiten mantener control 19

sobre el funcionamiento de la red y la informacin que esta intercambia con el exterior. El presente artculo muestra la forma en que la tecnologa de computacin distribuida Clusters BeoWulf puede utilizarse para servir de soporte a la seguridad de las redes de datos, especficamente como sistema Firewall. [1] La primera impresin de este proyecto, consiste en que no tiene ninguna similitud con el propuesto, su filosofa y la metodologa empleada, radica en que usando poca tecnologa se pueden desarrollar soluciones muy interesantes.

6.2 MODELO DE SOLUCIN DE ENRUTAMIENTO DE DATOS A BAJO COSTO BASADO EN SOFTWARE LIBRE

La dificultad que poseen las empresas pequeas para adquirir soluciones de enrutamiento propietarios las hace vulnerables a hacer un uso inadecuado de las redes, una deficiencia en la comunicacin y seguridad. Por esta razn se desea ofrecer una solucin de enrutamiento econmica aprovechando las bondades del software libre. Adems se busca aprovechar equipos de computo considerados obsoletos para usar uno como maquina dedicada y all enrutador.[2] Este proyecto, desarrollado en la universidad Tecnologica de Pereira (UTP), es muy similar (quizs el que ms se asemeja a este ya que concuerda con muchos de los objetivos planteados. Sin embargo la gran diferencia es el resultado final, ya que nuestro appliance ser una maquina de seguridad UTM, mientras que el proyecto encabezado por Jhon Alexis Guerra, consiste en crear una maquina de routing usando Software libre. Revisando, alrededor del mundo, se ha investigado un poco mas en cmo construir un
[
[

colocar en funcionamiento el

1] FLETSCHER BOCANEGRA,Luis Alejandro. Implementacin de clusters beowulf como firewall

2] GOMEZ GUERRA, John Alexis. modelo de solucin de enrutamiento de datos a bajo costo basado en software libre

20

firewall usando pocos recursos fsicos, desgastados y obsoletos, pero que aun as, sirvan para cumplir con funciones de seguridad. A continuacin, algunos proyectos similares que se han encontrado en otros pases: 6.3 Purdue Firewall Appliance

The IT Security & Policy department at Purdue University has developed a firewall appliance based on open source software and recycled PCs from oncampus labs. The software consists of a customized OpenBSD platform configured to run as a bridging firewall. These bridging firewalls are also known as stealth firewalls because, unlike traditional routing firewalls, they can be configured without IP addresses, which means they are largely invisible to other devices outside the physical network. The platform used for the firewall appliance is a customized installation of OpenBSD. Additional installation tasks were added to the base install to ease configuration of the machine as a bridging firewall and further secure the distribution. OpenBSD was chosen for this platform because of the secureby-default nature of the distribution. Firewall functions are performed by the in-kernel stateful packet filter, pf, which is controlled by the pfctl tool. Firewall logging is done in pcap format, which allows for easy viewing and filtering of logs using tcpdump. The logging is also done through a virtual interface called pflog, so that log records can be viewed in real time by using tcpdump to listen on the virtual interface. This can be very helpful in troubleshooting firewall policy issues. The hardware used for these devices are recycled lab PCs with

additional network interfaces. These mid-range Pentium II desktop machines now act as bridging firewalls for small groups of servers or labs of machines and have been shown in tests to handle a fully saturated 100 Mbps full duplex link without significant performance impact. They have become point solutions for protecting domain controllers from NetBIOS account enumeration, preventing infection of Windows machines used to control real21

time devices that cannot be patched without breaking their functionality, and protecting newly installed Windows machines from infection before patches can be applied. [3] Este proyecto realizado en el 2004, es el ms similar a este proyecto , ya que radica en la construccin de un Firewall basado en OPENBSD, usando los PC'S reciclados de toda la universidad de PURDUE. Es evidente que los dos proyectos tienen el mismo fin, aprovechar al mximo, aquellos equipos de computo que de una u otra forma han sido catalogados como obsoletos, que aun pueden ser tiles para la organizacin, con solo hacerles algunas modificaciones y personalizndolos para que cumplan una funcin en especifico. Cambiando radicalmente de sector, si nos enfocamos en el mbito comercial, podemos encontrar infinidad de compaas que ofrecen dispositivos UTM como negocio, es decir fabrican hardware (incluso en muchos casos, hardware genrico) o tambin desarrollan su propio sistema operativo ( algunos de ellos basndose en GNU/Linux) con el fin de ofrecer en una misma maquina todos los servicios de seguridad integrados. Estos son algunos fabricantes reconocidos en el mercado por sus productos UTM: Fortigate SonicWALL CISCO CheckPoint Cyberoam Astaro en el

En esta caso, se van a definir las caractersticas de las marcas mas relevantes ms completo, el cual no es objeto de este proyecto.

mercado, debido a que si se habla de cada una de ellas, se tendra que realizar otro estudio

6.4 SOLUCIN FORTINET.

3]

SCHROLL, Addam. Effective Practice: Purdue Firewall Appliance

22

FortiGate es un Cortafuegos basado en hardware con funciones de Antivirus que proporciona proteccin a la red en tiempo real. Basado en el revolucionario chip FortiASIC de Fortinet, el sistema de FortiGate es el nico sistema que puede detectar y eliminar virus, gusanos y otras amenazas basadas en contenido, sin afectar al rendimiento de la red, incluso para aplicaciones en tiempo real como la navegacin Web. Las soluciones de FortiGate tambin incluyen Firewall, filtrado de contenido, VPN, deteccin y prevencin de intrusos y gestor de trfico, haciendo de FortiGate la ms rentable, conveniente, potente y segura de las soluciones de seguridad de red disponibles.[4] Fortinet, ofrece appliances llamados Fortigate, las cuales son desarrolladas 100% por Fortinet, desde el hardware, hasta su sistema operativo, y cada uno de los servicios que las integran.

Figura 3. Appliances Fortinet8 Los servicios que prestan los appliances fortigate son:
[ 8

Firewall, VPN, and Traffic Shaping

4 http://www.abox.com http://www.fortinet.com

23

 Intrusion Prevention (IPS) Antivirus/Antispyware/Antimalware Integrated Wireless Controller Application Control IPv6 Support Web Filtering Antispam VoIP Support Layer 2/3 routing WAN Optimization & Web Caching

6.5 SOLUCIN SONICWALL SonicWALL, Inc. ofrece soluciones de seguridad de redes integral, acceso remoto seguro, seguridad de correo electrnico y Web, copias de seguridad y recuperacin de datos y poltica y administracin. Las extensivas soluciones de SonicWALL, que integran productos basados tanto en software como en dispositivos, adems de servicios de suscripcin de valor aadido, permiten a las empresas asegurar una proteccin integral sin comprometer el rendimiento de la red. SonicWall es reconocido internacionalmente como lder de los mercados de la pequea y mediana empresa, y sus soluciones se distribuyen entre entornos empresariales distribuidos, instituciones gubernamentales y los segmentos de salud y puntos de venta minoristas, as como a travs de los proveedores de servicios.[5] Sonicwall por su parte, desarrolla sus propios servicios y hardware pero, en algunos casos usa productos de terceros para brindar un servicio en especfico, un ejemplo claro de esto: el antivirus de permetro que brindan como servicio, los dispositivos de seguridad de SonicWALL usan las firmas de virus de McAfee. Otro ejemplo:, el filtrado web que proveen las cajas de Sonicwall, puede ser integrado con Websense (servicio de filtrado de contenido en lnea), en fin, hay varias situaciones en las
[

Http://www.sonicwall.com

24

que Sonicwall delega la responsabilidad de desarrollo a otras empresas. Como se puede ver, en el mbito comercial, las empresas son muy similares, cada una con ventajas y desventajas, ofreciendo un dispositivo de seguridad que en algunos casos puede ser visto como bastante costoso, costo que pequeas empresas no estaran dispuestas a pagar o que no lo consideran de importancia. El gran reto de este proyecto de grado, consiste en demostrar que con muy pocos recursos y con software libre, se puede lograr una solucin robusta y similar a las soluciones de los grandes fabricantes. Aquellos fabricantes que como negocio cobran millones por una PC con GNU/Linux disfrazada de una gran y robusta solucin 6.6 DIFERENCIAS ENTRE EL PROYECTO Y LAS SOLUCIONES COMERCIALES. Despus de haber hecho un recorrido por el amplio mercado de las soluciones de seguridad que existen hoy, e identificando las caractersticas y el plus de cada una de ellas, pertinente realizar una comparacin entre el e innovador este proyecto. Las principales diferencias entre una solucin comercial, sin importar la marca, con el proyecto que se plantea son: Haciendo nfasis slo a nivel de software (debido a que muchos fabricantes cierran sus drivers), este proyecto es totalmente libre, el proyecto busca implementar una solucin de seguridad a muy bajo costo usando software libre, y por ende aprovecha las bondades del cdigo abierto para construir un appliance, seguro, confiable y con un rendimiento adecuado. Los grandes fabricantes enfocan gran parte de su trabajo en desarrollar hardware especializado. Sin embargo, desarrollar Hardware no es el objetivo, ni hace parte del proyecto, ya que el Hardware que se usar en la implementacin del dispositivo de seguridad sern componentes obsoletos de equipos de cmputo, los cuales han sido 25 es appliance libre que se propone, y las dems

marcas comerciales, ya que de esta manera, se podr determinar y conocer qu hace nico

declarados inservibles. El objetivo principal de todas las soluciones comerciales, es lucrarse econmicamente, producir y comercializar su producto, posicionarse en el mercado, aumentar sus activos, en fin todo lo relacionado con el dinero. El proyecto aqu descrito, tiene un fin social, que consiste en reutilizar aquella tecnologa catalogada por la mayora de las empresas como obsoleta, para disminuir los problemas ambientales que se puedan presentar debido al mal manejo que muchas empresas tecnolgicos. Todos los aplicativos, usados en el proyecto, son desarrollados por diferentes comunidades, ubicadas en diferentes partes geogrficas, los cuales al unirlos, forman una excelente solucin de seguridad. dan a dichos residuos

26

7. MARCO TERICO Para que un sistema de proteccin de informacin sea seguro, debe contar con algunos servicios de seguridad, que nos ayuden a minimizar los riesgos de fuga de informacin, sin embargo, implementar cada uno de estos servicios en un hardware diferente, implica gastos y muchas horas de trabajo. Afortunadamente en la actualidad se cuenta con appliances o utm's los cuales se caracterizan por ofrecer todos los servicios de seguridad en un solo equipo. Pero segn los autores expertos en el tema, que es una Appliance? 7.1 APPLIANCE Es un trmino comn en ingls, utilizado en el lenguaje cotidiano, que se traduce a menudo como dispositivo o aplicacin. Sin embargo, en el mundo de las TIC appliance es un trmino tcnico. Una appliance destaca por el hecho de que ofrece una interaccin ptima entre hardware y software, es decir, hardware y software estn adaptados perfectamente entre s. Una appliance no es un sabelotodo sino que est destinada a un solo campo de actividades que domina perfectamente. Un ejemplo de la vida cotidiana: Con una lavadora no se puede ni telefonear ni hacer caf. 9 7.2 TIPOS DE APPLIANCE Teniendo clara, la definicin del trmino appliance, se deben nombrar los diferentes tipos que existen en el mercado, ya que interesantes y tiles: 7.2.1 Appliance de Telefonia IP: Un Appliance VoIP proporciona todas las aunque en este documento el objetivo principal es un appliance de seguridad, es importante conocer que existen otros tipos, los cuales pueden ser

caractersticas que se esperan de una PBX. Trabaja con voz sobre IP en varios protocolos (SIP, H323) e interopera con casi todo el equipo estndar basado en telefona IP. Provee servicios de correo de voz, comunicacin de llamada, respuesta
9

http://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-unaappliance.html

27

interactiva de voz, cola de llamados, servicio de identificacin de llamados, etc. 7.2.2 Appliance de Correo: Este Appliance permite ser utilizado como servidor de correo para realizar filtrado de correos, ya sea de spam o de virus. Esto es gracias a las herramientas de antivirus y antispam que posee; lo que mantiene el correo de los usuarios libre de virus y con una mnima tasa de spam. La otra posibilidad de uso de este Appliance es como suite de colaboracin de correo, incluyendo la capacidad de compartir calendarios para poder agendar reuniones y otros. 7.2.3 Appliance de Monitoreo: Este Appliance de monitoreo contiene un conjunto de aplicaciones de software que permiten obtener informacin til para el anlisis y monitoreo de enlaces y dispositivos de red. Con este dispositivo se pueden monitorear aspectos importantes como: Host Puertos HTTP Conectividad a base de datos FTP SMTP POP IMAP Servicios personalizados Entre otros

Como pueden ver, un appliance se puede disear para cumplir cualquier funcin o necesidad, es decir, cualquier servicio informtico se puede instalar en una caja negra la cual ser destinada nica y exclusivamente, para cumplir dicho servicio. Ahora bien, el objetivo primordial de este proyecto, es implementar un appliance de 28

seguridad. Este tipo de appliance es ms conocido como UTM y se describe a continuacion:

7.3 UTM: (Robert, Newman, 2009, P281) Gestin unificada de amenazas o algunas veces llamados Firewall de la proxima generacion. Los equipos UTM traen mltiples servicios de seguridad en una sola plataforma. Una plataforma UTM tpica provee servicios de Firewall, VPN, antivirus, filtrado de contenido, un sistema de deteccin y prevencin de intrusos, y antispam. Estos appliances fueron derivados de productos de empresas como: 3COM CISCO JUNIPER SONICWALL FORTINET

La principal ventaja de un UTM, es que incluye mltiples caractersticas de seguridad en un solo aparato, esto hace que el administrador o el cliente final tenga facilidades como: Fcil administracin Administracin centralizada servicios integrados. Alto nivel de seguridad

Debido a que el termino appliance es un termino estandar para describir un aparato o artefacto, en el siguiente apartado, se describiran los servicios de seguridad y redes que proveen los dispositivos UTM, los cuales hacen de este appliance una Solucin demasiado robusta y eficiente, y por tanto son los aspectos fundamentales que hacen que el dispositivo sea un appliance de seguridad. 7.4 SERVICIOS DE SEGURIDAD 7.4.1 FIREWALL: (Maria, Espaa, 2003 P295) Es un sistema de seguridad desarrollado 29

para ubicarse en una red publica (Generalmente Internet) y una red interna perteneciente a una organizacin, o bien entre diferentes secciones de una red interna. Esta compuesto por Hardware y Software que controlan el trafico entre las dos redes, autorizando o impidiendo su transito de una a otra. Para construir un firewall existen bsicamente dos posibilidades: Realizar un filtrado de paquetes a nivel de red. Esta modalidad suele ubicarse en

enrutadores, consiste en un filtro que examina cada paquete que llega al dispositivo y dictamina si aceptar o no su paso hacia uno de los puertos de salida, en funcin de si cumple ciertas reglas especificadas en una base de datos. En la actualidad existen niveles que trabajan a niveles superiores, y admiten una mayor cantidad de criterios como por ejemplo, la ip de origen, la ip destino, el protocolo entre otros. Cortafuegos intermediario en la capa de aplicacin. Acta a nivel de aplicacin, generalmente intermediando la comunicacin, entre un proceso cliente y un proceso servidor. Uno de los cuales pertenece a la red que se desea proteger y el otro a una red externa. 7.4.2 IDS/IPS: (Miquel, Colobran, 2008 P152) Los sistemas de deteccin de intrusos (IDS), monitorizan los contenidos del flujo de informacin, a travs de la red, en la bsqueda y rechazo de posibles ataques. Pueden combinar Hardware y Software, y normalmente se instala en los dispositivos ms externos de la red. Como firewall y proxies. Admiten dos clasificaciones: segn la actividad que realizan: Basados en RED: Monitorean una red, suelen ser elementos pasivos que no sobrecargan la red en exceso. Basados en Hosts: Monitorean un host o un conjunto de ellos y permiten un control mas detallado, registrando los procesos y los usuarios implicados en las actividades registradas por el IDS, consume recursos e incrementa el flujo de la red. Basados en aplicaciones: Monitorean los ficheros de registro o logs de una 30

aplicacin en especfico, para detectar actividades sospechosas segn el tipo de anlisis que realizan: Basados en firmas: De forma similar a los programas antivirus, estos tipos de IDS, monitorean la red en busca de patrones(firmas de ataques) que permitan identificar un ataque previamente conocido, estos requieren que la base de datos de firmas, se encuentre constantemente actualizada Basados en anomalas: El IDS buscara comportamientos anmalos en la red (un escaneo de puertos, paquetes malformados etc.) Puede producir falsos positivos, debido a la ambigedad de la que se podra considerar un comportamiento anmalo, pero permite adaptarse a nuevos ataques sin necesidad de aadir nuevas firmas. Uno de los IDS mas conocido tiene como nombre SNORT(SNORT es una aplicacin libre que funciona como IDS, en captiulos posteriores se entrar mas en detalle en su definicin e instalacin) . 7.4.3 VPN: (Angel, Cobo, P187) Una red privada virtual, se puede definir como una extensin de una red privada, que utiliza enlaces a travs de redes publicas o compartidas como Internet, y que posibilita la transmisin de datos como si se tratase de un enlace punto a punto. Para realizar esto, los datos son encapsulados utilizando un protocolo de tnel que consiste en aadir al paquete original una cabecera que proporciona la informacin de enrutamiento lo cual permite que ste pueda llegar a su destino. Para que el enlace sea privado, los datos viajan cifrados, lo que garantiza la confidencialidad, aun as si estos son interceptados por terceros.

31

Figura 4. Diagrama VPN

Bsicamente existen 3 tipos o esquemas de VPN: VPN de acceso remoto (Damian, Ferrer, 2005) Este es quizs el modelo ms usado actualmente y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones, etc.) utilizando Internet como vnculo de acceso. Una vez autenticados tienen un nivel de acceso muy similar al que tienen en la red local de la empresa. Muchas empresas han reemplazado con esta tecnologa su infraestructura "dial-up" (mdems y lneas telefnicas), aunque por razones de contingencia todava conservan sus viejos mdems. VPN sitio-a-sitio (Damian, Ferrer, 2005) Este esquema se utiliza para conectar oficinas remotas con la sede central de organizacin. El equipo central VPN, que posee un vinculo a Internet permanente, acepta las conexiones va Internet provenientes de los sitios y establece el "tnel" vpn. Los servidores de las sucursales se conectan a Internet utilizando los servicios de su proveedor local de Internet, tpicamente mediante conexiones de banda ancha. Esto permite eliminar los costosos vnculos punto a punto tradicionales, sobre todo en las comunicaciones 32

internacionales. VPN Interna(Damian, Ferrer, 2005) Este esquema es el menos difundido pero uno de los ms poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexin, emplea la misma red Lan (Red de rea local) de la empresa. Sirve para aislar zonas y servicios de la red Lan interna. Esta capacidad lo hace muy conveniente para mejorar las prestaciones de seguridad de las empresas.

7.4.4 PROXY (David, Martinez, 2009, P147) Es un servidor que separa dos redes diferentes, entre sus funciones se destacan: 2. Centralizar el trfico en ambas redes. 3. Acelerar el acceso a contenidos WEB 4. Restringir cierto tipo de trfico, segn una serie de reglas establecidas en el archivo de configuracin. 5. Permitir el acceso a otras redes, como Internet, a servidores ubicados en una red privada. 6. Guardar un registro del trfico de red.

Figura 5. Diagrama Proxy Tal y como se mencionaba anteriormente el proxy puede servir para acelerar la carga de paginas WEB, esto se logra mediante la memoria cache que utiliza. En este tipo de memoria se almacenan datos obtenidos de otras peticiones anteriores con el fin de no tener que 33

conectarse a la pgina WEB

original para descargar un dato requerido, puesto que la

informacin ya la tiene almacenada localmente. El acceso a este dato es muy rpido y por lo tanto la pagina web carga con mayor rapidez y se disminuye el trfico que circula por la red, el proxy mas conocido recibe el nombre de SQUID y es software libre. 7.5 SISTEMAS OPERATIVOS EMBEBIDOS Conociendo ya la definicin de UTM, y los servicios que presta, es necesario hablar sobre

aquella plataforma o sistema operativo, el cual hace posible construir este tipo de Appliance, ya que por razones de rendimiento, capacidad, y personalizacin, no es viable instalar un sistema operativo convencional en un Appliance. Por tal motivo, existen sistemas operativos denominados embebidos, diseados, personalizados y configurados, nica y exclusivamente para este tipo de aparatos. 7.5.1 Sistemas embebidos: (David, Perez, 2009, P4): Un sistema embebido posee

hardware de computador junto con software embebido como uno de sus componentes ms importantes. Es un sistema computacional dedicado para aplicaciones o productos. Puede ser un sistema independiente o parte de un sistema mayor, y dado que usualmente su software est embebido en ROM (Read Only Memory) no necesita memoria secundaria como un computador. Un sistema embebido tiene tres componentes principales: 1. Hardware. 2. Un software primario o aplicacin principal. Este software o aplicacin lleva a cabo una tarea en particular, o en algunas ocasiones una serie de tareas. 3. Un sistema operativo que permite supervisar la(s) aplicacin(es), adems de proveer los mecanismos para la ejecucin de procesos. En muchos sistemas embebidos es requerido que el sistema operativo posea caractersticas de tiempo real. 7.5.2 Sistemas operativos embebidos: (Andrew, Tanenbaum, 2001): Un sistema

operativo embebido es un sistema operativo que se ejecuta sobre un sistema embebido, los 34

cuales han sido descritos previamente. Los sistemas operativos embebidos generalmente se ejecutan sobre dispositivos que difieren de un computador comn, como televisores, hornos microondas, y telfonos mviles. Usualmente tienen algunas caractersticas de sistemas de tiempo real, pero a la vez tienen restricciones de tamao, memoria y energa que los hacen especiales. Otra definicin interesante: Un sistema operativo para un sistema embebido usualmente es diseado para una aplicacin especfica, y por lo tanto es ms esttico que un sistema operativo de propsito general. 10 7.6 ALGUNOS SISTEMAS OPERATIVOS EMBEBIDOS Si bien la mayora de fabricantes desarrollan su propio sistema operativo para construir sus Appliances, existen sistemas operativos libres, para estos dispositivos, desarrollados por la comunidad del software libre, algunos de estos sistemas son: 7.6.1 Symbian OS: el sistema operativo Symbian es una coleccin compacta de cdigo ejecutable y varios archivos, la mayora de ellos son bibliotecas vinculadas dinmicamente (DLL por sus siglas en ingls) y otros datos requeridos, incluyendo archivos de configuracin, de imgenes y de tipografa, entre otros recursos residentes. Symbian se almacena, generalmente, en un circuito flash dentro del dispositivo mvil. Gracias a este tipo de tecnologa, se puede conservar informacin aun si el sistema no posee carga elctrica en la batera, adems de que le es factible reprogramarse, sin necesidad de separarla de los dems circuitos. Pagina web: http://www.symbian.org/ 7.6.2 DD-WRT: DD-WRT es un firmware basado en Linux, una alternativa OpenSource
10

Friedrich, L. A Survey on Operating System Support for Embedded Systems Properties. Departamento de

Informtica e Estatstica.

35

propicia para una gran variedad de routers WLAN y sistemas embebidos. El nfasis principal reside en proporcionar la forma ms fcil posible, la manipulacin y al mismo tiempo apoyar a un gran nmero de funcionalidades en el marco de la respectiva plataforma de hardware utilizada. La interfaz grfica de usuario es lgicamente estructurada, y es operado a travs de un navegador Web estndar, por lo que incluso aquellos usuarios sin conocimientos tcnicos pueden configurar el sistema en tan slo unos sencillos pasos. Pagina web: http://www.dd-wrt.com 7.6.3 OPEN-WRT: OpenWrt se describe como una distribucin de Linux para dispositivos embebidos. En lugar de tratar de crear un firmware nico, esttico, OpenWrt proporciona un sistema de archivos totalmente modificable con la gestin de paquetes. Esto le libera de la seleccin de aplicaciones y la configuracin proporcionada por el proveedor y le permite personalizar el dispositivo mediante el uso de paquetes para adaptarse a cualquier aplicacin. Para el desarrollador, OpenWrt es el marco para construir una aplicacin sin tener que construir un firmware completo alrededor de ella, para los usuarios esto significa la capacidad de personalizacin completa, para usar el dispositivo en formas que nunca imagin. Pagina web: http://openwrt.org/

7.7 RE-USO TECNOLOGICO EN COLOMBIA Desde hace algun tiempo atras cada uno de los grandes fabricantes iniciaron una carrera sin control en la creacin de productos tecnolgicos, esta etapada, denominada por algunos autores como la revolucin tecnolgica, se basa fundamentalmente en la evolucion de la electrnica y su incorporacin a la vida cotidiana de todos los seres humanos, haciendo la vida mucho mas facil diseando dispositivos como telfonos moviles, PC'S, impresoras, etc. En Colombia existen millones de articulos electronicos, que con el paso del tiempo se

convertirn en una gran amenaza al medio ambiente, y es importante que la generacion actual, se pregunte a donde irar a para esta basura tecnologica o tambien llamada E-Waste. Debido al consumismo y a los grandes fabricantes, hoy en dia, es muy comun cambiar de 36

celular o PC en muy corto tiempo, gracias a que siempre llegan al mercado nuevos equipos con nuevas funcionalidades, Pero a donde iran a parar todos estos equipos que se dejan de usar, que son reemplazados por un equipo de mejor tecnologia? Hay varias formas de concientizar a la sociedad, y colaborar con esta gran problemtica, inicialmente se deben seguir los siguientes consejos: Rehso. Reduccin. Donacin. Reciclaje.

Actualmente, en nuestro pas se cuenta con un proyecto el cual busca, re-usar estos equipos obsoletos en la educacin de todos los nios alejados de las zonas urbanas. Se trata de Computadores para educar Es un programa de reuso tecnolgico cuyo objetivo es brindar acceso a las tecnologas de informacin y comunicaciones a instituciones educativas pblicas del pas, mediante el reacondicionamiento y mantenimiento de equipos, promoviendo su uso y aprovechamiento significativo en los procesos educativos, a travs de la implementacin de estrategias de acompaamiento educativo y apropiacin de TICs.11 Como se puede observar, computadores para educar brinda una alternativa para la

problemtica de la E-waste, Sin embargo, en este proyecto, se mostrara otra alternativa, usando equipos obsoletos, para desarrollar una solucin de seguridad, robusta y confiable

11

http://www.computadoresparaeducar.gov.co

37

8. DEFINICIN OPERACIONAL DE TRMINOS SEGURIDAD INFORMATICA: (Jose, Salvador, 2003, P101)La seguridad informtica es definida por 3 aspectos fundamentales. La confidencialidad Asegura que la informacin no este disponible o sea

descubierta por personas no autorizadas. En otras palabras, se refiere a la capacidad del sistema para evitar que terceros puedan acceder a la informacin. La disponibilidad Un sistema seguro debe mantener, la informacin disponible para los usuarios, significa que el sistema, tanto en hardware y software se debe mantener funcionando eficientemente, y que es capaz de recuperarse rpidamente en caso de fallo. La integridad Garantiza que la informacin pueda ser modificada, incluyendo su creacin y borrado, solo por el personal autorizado. El sistema no debe modificar o corromper la informacin, que almacene, o permitir que alguien no autorizado lo haga. El orden de importancia de estos tres factores es diferente, e incluso entran en juego otros elementos como la autenticidad, y el no repudio.

38

9. ENFOQUE METODOLOGICO. 9.1 Instalacin del sistema operativo. Es claro que todo Hardware necesita de un software que lo controle y administre los recursos fsicos de la mejor manera, con el nico fin de cumplir las tareas para las cuales el dispositivo fue diseado. Hablando especficamente de los routers, los fabricantes crean su propio firmware, cerrado, para que controle sus maquinas. Sin embargo, gracias al software libre, existen firmware libres, los cuales son mantenidos por la comunidad, estos en muchos casos mejoran el rendimiento de los dispositivos, debido a que algunos fabricantes, restringen funciones y capacidades de sus equipos. Pero al instalar algn firmware libre, se evidencian caractersticas que con el firmware propietario no es posible realizar. Existen muchos firmware libres, entre los ms destacados estn: DD-WRT: DD-WRT es un firmware no-oficial para Linksys WRT54G/GS/GL y otros routers 802.11g basados en un diseo de referencia similar o igual al Broadcom. Todos estos routers estn diseados para utilizar linux en el firmware oficial y su cdigo fuente esta disponible bajo licencia GPL. El firmware lo desarrolla BrainSlayer y su pgina web es dd-wrt.com. Las primeras versiones de DD-WRT se basaron en el firmware "Alchemy" de Sveasoft Inc, que a su vez se basa en el firmware original GPL de Linksys y en otros proyectos. DD-WRT se cre debido a que Sveasoft comenz a cobrar 20$ por descargar su software. Entre otras caractersticas que el firmware oficial de linksys no incluye, DD-WRT aade el Demonio Kai para el Kai Console Gaming network12, WDS Puente de red/repetidor, Autenticacin Radius para comunicaciones Wireless ms seguras, avanzado control de balanceo de cargas o Calidad de servicio (QOS), y software para que funcionen las tarjetas SD/MMC que se le pueden instalar haciendo algunas modificaciones al dispositivo.13
12

Kai es una red global de juegos que rene a diferentes consolas, en una comunidad integrada. Se trata de software que se ejecuta en su PC que le permite jugar con interconexin de sistemas de juegos habilitados en lnea de forma gratuita.

http://www.teamxlink.co.uk/ 13 http://www.dd-wrt.com/wiki

39

Sveasoft: firmware Sveasoft suele ser anunciada como la posibilidad de aumentar el radio de transmisin de energa de un router a partir del 28 mW a 251 mW, as como la posibilidad de utilizar 14 canales para 802.11b transmisiones en lugar de los 11 normalmente permitidas en EE.UU. o 13 permitidos en otras partes. Las modificaciones de potencia y frecuencia pueden interferir con otros aparatos electrnicos, y puede ser ilegal en algunas jurisdicciones. Otras caractersticas incluyen la calidad de servicio, Sistema de Distribucin Inalmbrico, bridging inalmbrico, el modo de soporte al cliente (CPE), un servidor PPTP VPN y el cliente, los paquetes descargados y soporte IPV6. La ltima versin del firmware Talisman admite hasta 16 VLANs Ethernet, hasta 15 VLAN virtual inalmbrico cada uno con su propia gestin de ancho de banda WEP, WPA o WPA2 y el SSID, y ya cuenta con servidor de seguridad. Sveasoft ha lanzado varias nuevas versiones de firmware Talisman incluyendo Talismn / hotspot, Talismn / VPN (con soporte IPSec), Talismn / malla (red de malla automtica).

Openwrt: Se describir posteriormente.

Para este proyecto , se eligi OpenWRT, por las razones que se explicaran seguidamente. Que es OpenWRT? En lugar de tratar de crear un firmware nico y esttico, OpenWrt proporciona plenamente el sistema de archivos con permisos de escritura de gestin de paquetes. Esto libera las restricciones de la seleccin de aplicaciones y la configuracin proporcionada por el proveedor y le permite utilizar los paquetes para personalizar su dispositivo adaptndose a cualquier aplicacin. Para los desarrolladores, OpenWrt proporciona un marco para crear una aplicacin sin tener que crear una imagen completa del firmware y la distribucin. Algunas caractersticas son: Libre y de cdigo abierto. El proyecto es totalmente libre y de cdigo abierto, 40

licenciado bajo la GPL. El proyecto tiene intencin de ser siempre alojado en un sitio de fcil acceso, con el cdigo fuente completo disponible y fcil de construir. Impulsado por la comunidad. No se trata de "nosotros" que ofrece algo a "ti", es casi todo el mundo unido para trabajar y colaborar hacia una meta comn. OpenWrt ha sido establecido como la mejor solucin de firmware de su clase. Es muy superior a otras soluciones integradas en el rendimiento, la estabilidad, extensibilidad, robustez y diseo. Es la meta clara de los desarrolladores OpenWrt seguir ampliando el desarrollo y garantizar que OpenWrt sea el marco principal para las soluciones innovadoras y genuinas.14 OpenWRT, se puede instalar en diferentes arquitecturas y multiples dispositivos, si se desea ver el listado completo de los dispositivos soportados pueden visitar este link http://wiki.openwrt.org/toh/start

Por que OpenWRT? Se decidi usar OpenWRT por las siguientes razones: Software Libre Impulsado por la comunidad. Gestor de paquetes incluido Gran cantidad de aplicaciones disponibles. Estable y mejor rendimiento. El mas usado actualmente. Disponible para instalar en arquitecturas X86 Amplio soporte de Hardware. Interfaz web de administracin

14

Http://www.openwrt.org

41

Proceso de instalacin. OpenWRT Se instalar en un PC con las siguientes caractersticas: Disco duro de 10GB Memoria RAM 128MB Procesador Intel Celeron 333MHZ 2 tarjetas de Red. Unidad de CD

Figura 7. Equipo usado para el proyecto. Elaboracin propia

42

Figura 8. Equipo usado para el proyecto. Elaboracion Propia Se descarga la imagen precompilada de OpenWRT para arquitecturas X86: http://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.image Se copia la imagen a un dispositivo USB: cp openwrt-x86-ext2.image /media/USB/ Instalamos la imagen, para esto es necesario usar un LiveCD cualquiera, en este caso

usaremos Slitaz por que es un LiveCD de muy poco tamao. Iniciamos desde el LiveCD Montamos la unidad USB Instalamos la imagen en nuestro Disco duro.

43

"dd if=/media/USB/openwrt-x86-ext2.image of=/dev/hda bs=1M count=100" Donde: /media/USB es la unidad USB /dev/hda es el disco duro donde se desea instalar la imagen Reiniciamos el equipo y ya tendremos nuestro sistema operativo instalado.

Figura 9. Instalacin OpenWRT. Elaboracin propia

44

9.2 INSTALACIN DE SERVICIOS 9.2.1 Configuracin Bsica Despus de tener el sistema operativo instalado (OpenWRT), es necesario realizar una configuracin bsica con el fin de que el dispositivo tenga salida a Internet y poder descargar cada uno de los servicios de seguridad haciendo uso del gestor de paquetes incluido en OpenWRT denominado OPKG. (Jesus, Nio, P 198) La descarga e instalacin de paquetes se realiza mediante el sistema de gestin de paquetes que tambin se conoce como gestor de paquetes, cada uno de estos programas (o Administradores de paquetes) sirven para gestionar paquetes de instalacin/desinstalacin de diversas aplicaciones de forma muy sencilla haciendo uso de paquetes precompilados que se encuentran en los repositorios oficiales. En primer lugar, OpenWRT asigna la ip 192.168.1.1/24 en la interfaz principal; para ingresar al Appliance desde un PC, es necesario conectarse fsicamente con un cable utp directo, y configurar una direccin IP de esa red, en la interfaz del equipo. Para este caso se usar la direccin 192.168.1.2/24. Despus de aplicar esta configuracin en el PC, comprobamos que el dispositivo responda adecuadamente.

Figura 10. Pruebas de Ping. Elaboracin propia Ahora ingresamos a la IP 192.168.1.1 a travs de un navegador:

45

Figura 11. Ventana de logueo de OpenWRT. Elaboracion propia Previamente, para ingresar va web, o SSH, fue necesario asignar una contrasea al usuario ROOT de forma local con el comando passwd, de la siguiente forma:

Figura 11. Cambiando el password de root. Elaboracion propia Ingresamos a travs del navegador, con el usuario ROOT y la contrasea, que se asigno en el paso anterior:

46

Figura 12. Interfaz WEB OpenWRT. Elaboracin propia Este es el panel de administracin del dispositivo, este panel, da informacin importante del appliance, como versin del firmware, kernel, y su respectiva arquitectura, entre otros. 9.2.1.1 Configuracin de la interfaz WAN. Teniendo acceso al panel de administracin va WEB, el siguiente paso es configurar la interfaz WAN, la cual ser al encargada de recibir el servicio de INTERNET que brindara el proveedor respectivo. OpenWRT, permite diferentes modos con los cuales recibir el servicio de internet que nos brinda el proveedor, es decir, es necesario tener claro con que tecnologa y de que forma, el proveedor entrega el servicio, para as realizar la configuracin adecuada en la interfaz WAN. Los modos de configuracin que trae el sistema operativo son: IP esttica Adecuado cuando el proveedor entrega una IP esttica, generalmente una publica. DHCP El proveedor entrega el servicio con una IP dinmica. PPPoE Es til cuando el proveedor, entrega un servicio de banda ancha mediante servicios como cablemodem y xDSL. 47

PPPoA Es til cuando el proveedor, entrega un servicio de banda ancha mediante servicios como cablemodem y xDSL. Tiene ventajas de calidad sobre PPPoE PPTP Protocolo de Microsoft, se usa cuando el proveedor da el acceso a Internet a travs de una VPN. WWAN Cuando la conexin es inalmbrica.

De acuerdo al proveedor de servicio, para este caso se configurar la interfaz WAN, por medio del DHCP. Posteriormente, se realiza la conexin fsica, del cablemodem al dispositivo por la interfaz WAN, y se comprueba que el dispositivo tenga salida a internet.

48

Figura 13. Diagnosticos Con esto se verifica que el dispositivo ya tiene acceso a internet. 9.2.1.2 Configuracin de la Interfaz LAN Ahora que el dispositivo tiene salida a internet, el siguiente paso, es configurar la interfaz local, la cual brindara la conexin a internet a toda la red LAN, es decir, a todos los computadores que conforman la red. Desde la interfaz web, en el apartado de red- DHCP, se activa el servidor DHCP para la interfaz local, de esta forma, cualquier equipo que se conecte, tomara la IP, la ruta por defecto y los DNS de forma automtica.

49

Figura 14. Configuracin DHCP. Elaboracin propia Se guardan los cambios, y se verifica conectando un equipo a dicha interfaz, y se comprueba que le haya asignado una direccin valida, y por ende que exista acceso a INTERNET.

Figura 15.Configuracion interface equipo cliente. Elaboracin propia En la imagen se puede evidenciar, la direccin IP que asigno el dispositivo: 192.168.1.184. 50

Por ltimo verificamos conexin a internet.

Figura 16. Pruebas de Ping. Elaboracin propia Y si es necesario, se verifica que el trafico si este pasando a travs del appliance OpenWRT, por medio del comando traceroute, el cual es usado para identificar cada uno de los saltos que hace un paquete, antes de llegar a su destino.

Figura 17. Pruebas de traceroute. Elaboracion propia En algunos dispositivos, es necesario configurar manualmente lo que se denomina NAT, con el fin de enmascarar la direccin IP local para acceder a internet, esta salida debe hacerse desde una direccin IP pblica, por ello se usa el NAT. (Luis, Corrales, 2006, P83), NAT, es un servicio por el que cualquier dispositivo o aplicacin software, puede cambiar la direccin IP origen o destino, por otra direccin previamente definida, se puede utilizar para dar salida a redes publicas a ordenadores que se encuentran con direccionamiento privado o para proteger maquinas publicas.

51

Figura 18. Esquema NAT. Elaboracion propia Sin embargo, debido a que OpenWRT es un sistema operativo para router, en la configuracin por defecto, trae incluidas las reglas necesarias para hacer el NAT respectivo.

Figura 19. Reglas por defecto firewall . Elaboracin propia 9.2.1.3 Actualizando Gestor de paquetes Antes de empezar a configurar cada uno de los servicios, es necesario actualizar la lista de repositorios del gestor de paquetes que trae OpenWRT: OPKG, con el fin de obtener las ltimas versiones de cada uno de los diferentes aplicativos. Para realizar dicha tarea, se debe realizar el siguiente proceso: En el apartado Sistema Packages, se pueden encontrar algunos procesos muy tiles para el manejo de los paquetes de OPKG. Entre estas opciones se tienen: 52

Aadir un nuevo repositorio: Con esta opcin, es posible aadir un nuevo servidor donde se encuentren algunas aplicaciones empaquetadas para OPKG, es decir, un servidor generalmente publicado en Internet, donde hay una gran recopilacin de programas y utilidades adaptadas para instalarlas en OpenWRT haciendo uso de OPKG. Instalar paquete desde URL: En algunos casos, hay herramientas que no se encuentran en ninguno de los repositorios de OpenWRT publicados en Internet; sin embargo, algn miembro de la comunidad se ha tomado la tarea de adaptar dicha aplicacin para OPKG, y ha publicado el paquete en su blog personal, para estos casos, esta opcin es la adecuada, ya que con la simple url, se instala el paquete, sin necesidad de descargarlo en nuestro appliance directamente. Actualizar lista de paquetes: Este proceso permite mantener una lista actualizada de todos los paquetes que estn incluidos en los diferentes repositorios. Paquetes instalados: Muestra una lista de todos los paquetes que estn instalados en el Appliance. Paquetes disponibles: Muestra una lista de todos los paquetes que estn disponibles en los repositorios y listos para ser instalados.

53

54

Paquetes instalados.

Figura 20. Paquetes instalados. Elaboracin propia

55

Figura 21. Paquetes disponibles. Elaboracin propia

Para actualizar la lista de paquetes disponibles en los repositorios, simplemente se debe dar click en el boton: Update package list. No esta de ms aclarar, que para actualizar la lista de paquetes, es necesario que el appliance tenga acceso a Internet, y que configurados los DNS adecuados. Con estos sencillos pasos, se ha realizado la configuracin bsica del appliance, y ya se encuentra lista para empezar a instalar y configurar cada uno de los servicios de seguridad que se van a implementar en el UTM. Es muy importante realizar esta configuracin ya que facilita mucho el trabajo de instalacin de la aplicacin, es decir, si no se configurara el gestor de paquetes OPKG, la nica opcin de instalar los aplicativos, seria compilar, y como es sabido, la compilacin lleva mucho tiempo y esfuerzo, solucionando problemas de libreras, entre otros. tenga

Teniendo el dispositivo listo, con conexin a internet, y la lista de paquetes actualizada, el siguiente paso, es la instalacin de los servicios de seguridad que va a prestar el UTM. Cabe recordar que para efectos de este proyecto, los servicios que se van a instalar son: FIREWALL IDS VPN 56

PROXY

Antes de iniciar con el proceso, es muy recomendable realizar un backup de la configuracin bsica del dispositivo, con el fin de poder restablecerla, en caso de que la instalacin de alguna aplicacin, dae el buen funcionamiento y rendimiento del dispositivo. Gracias a la interfaz web que provee OpenWRT, realizar un backup de la configuracin es bastante sencillo, en la opcion sistema Backup & restore, simplemente asignamos un nombre al backup y se da click en el boton backup:

Figura 22. Backup y restaurar. Elaboracin propia Este archivo configuracion-inicial.tgz, es el resultado del backup, en el se encuentra la configuracin bsica actual. En caso de restaurarlo, se debe ir a sistema Backup & restore y restaurar la configuracin. 9.2.2 Instalacin Firewall. Implementar un firewall o un cortafuegos (como se conoce en el idioma espaol), en una red LAN, es quizs la poltica de seguridad ms usada a nivel corporativos por los directores 57

de IT. Normalmente,

de acuerdo a la experiencia, muchos ingenieros piensan que

implementar un firewall en su red, los proteger de todas las amenazas que existen en Internet, sin embargo, es un error grave, pensar de esa forma, por que hoy en da, existen tcnicas muy avanzadas que permiten evadir sin ningn problema un firewall convencional, adems el firewall tiene limitantes como: No protege la red de ataques internos. Con un firewall no es posible proteger una red lan contra la transferencia de archivos infectados por virus o algn tipo de software malicioso. Por esta razn es fundamental, implementar todo un conjunto de mecanismos de seguridad en la red LAN, y no quedarse simplemente con un firewall que puede ser evadido, esto es posible sin necesidad de tener altos conocimientos en tcnicas de intrusin. Un firewall, es un dispositivo o software, que permite aplicar diferentes politicas de seguridad entre la red LAN e Internet, El sistema determina gracias a la configuracion realizada por el administrador, que servicios de red pueden ser accedidos, desde la red LAN hacia Internet y viceverza. El esquema tradicional de un firewall en la red LAN, se muestra a continuacin:

58

Figura 22. Diagrama firewall. Elaboracin propia 9.2.2.1 Objetivos de un Firewall Todo el trafico, desde el interior (LAN) hacia exterior (Internet) debe pasar a travs del firewall, para que la red este completamente protegida, es decir, si la organizacin tiene varias salidas a Internet, o a otra red externa, es necesario implementar otro firewall, con el fin de proteger cada una de las entradas por las cuales se comunican redes diferentes. As mismo, ocurre cuando dentro de la organizacin, ciertos funcionarios, tienen acceso a Internet a travs de un Modem 3G, dichas situaciones, representan un riesgo potencial para la organizacin, puesto que de esta forma, abren una puerta no segura, que cualquier delincuente informtico, podra aprovechar. Se permitir pasar solamente el trafico autorizado previamente por medio de las polticas implementadas por el administrador de red. Siempre se buscara, que el firewall sea muy seguro hasta tal punto que sea inmune a la penetracin, es claro que ningn sistema ser 100% seguro, pero se har lo posible por que el sistema tenga muy poco riesgo de intrusin. Teniendo claro, qu es un firewall o cortafuegos, podemos continuar con el proceso de 59

instalacin, en el dispositivo UTM. En OpenWRT, y en cualquier GNU/Linux en general, viene incluido dentro del kernel, un sistema de procesamiento de paquetes de red denominado IPTABLES, el cual se caracteriza por su rendimiento y buen funcionamiento. IPTABLES, permite al administrador definir reglas acerca de que hacer con los paquetes de red, dichas reglas se agrupan en cadenas, una cadena es una lista ordenada de reglas, y as mismo dichas cadenas se agrupan en tablas, cada tabla esta asociada con un tipo diferente de procesamiento de paquetes. Generalmente se manejan 5 cadenas bsicas, sin embargo, en cualquier momento, se pueden crear cadenas. Las cadenas bsicas son:

Figura 23. Cadenas de firewall. Gregor N. Purdy Linux Iptables Gregor N. Purdy en su libro Linux Iptables: Pocket Reference nos muestra una tabla la cual muestra las 5 cadenas bsicas, y describe los puntos en el flujo de paquetes donde se puede especificar el procesamiento. Bsicamente, las cadenas son: Forward: (Cadena de REDIRECCIN) Todos los paquetes pasan por este sistema para ser encaminados a su destino 60

Input: (Cadena de ENTRADA) Todos los paquetes destinados a este sistema Ouput: Todos los paquetes creados por este sistema Postrouting: Los paquetes salientes pasan por esta cadena despus de haberse tomado la decisin del ruteo (SNAT) Prerouting: Todos los paquetes que logran entrar a este sistema, antes de que el ruteo decida si el paquete debe ser reenviado

Adicionalmente, iptables define targets o destinos, los cuales consisten en la accin que se el sistema deber realizar cuando un paquete, concuerde con algunas de las reglas preestablecidas, existen 4 tipos de targets:

Figura 24. Targets del firewall. Gregor N. Purdy Bsicamente, cada uno de los targets son: Accept: Este target hace que iptables acepte el paquete Drop: Este target hace que iptables descarte el paquete 61

Queue: Este destino hace que el paquete sea enviado a una cola Return: Hace que el paquete en cuestin deje de circular por la cadena en cuya regla se ejecut el destino RETURN

Implementar y administrar el firewall (IPTABLES), en OpenWRT, es demasiado sencillo, ya que, si se desea se puede hacer de forma tradicional, es decir, desde la consola, entrando al equipo por SSH, o se puede configurar mucho ms fcil a travs de la interfaz WEB, muy til para aquellos usuarios que no se sienten muy familiarizado con la consola:

Figura 25. Menu firewall. Elaboracin propia Para entrar a este men, se debe hacer click, en RED FIREWALL, desde all, se pueden crear todas las reglas necesarias por el administrador, cada regla debe tener los siguientes parmetros: Name: Un nombre que describa la funcin o el objetivo de la regla. Source: Interface de origen 62

Destination: Interface de destino. Protocolo: Ya sea TCP, UDP o ambos IP source: Direccin IP de origen IP Destination: Alguna direccin ip de destino, si no se tiene una se deja en blanco. Port: Numero de puerto por donde se establece la conexin Action: Que funcin cumplir la regla, descartar, aceptar, rechazar etc.

9.2.3 Instalacin IDS Un sistema de deteccin de intrusos, tambin conocido como un IDS, es un sistema encargado de vigilar todo el permetro de red, ante ataques o intrusiones, previamente conocidos, es decir, el sistema contiene un gran nmero de ataques conocidos, ya sea por experimentados delincuentes informticos, o scriptkiddies, usando herramientas automticas. Cuando el IDS, detecta un patrn similar, a alguno de los ataques que tiene en su base de datos, lanza una alarma, que puede ser un sonido o un email al administrador, donde muestra informacin relevante sobre el ataque. Gonzalo Asensio, en su libro Seguridad en Internet: Una gua practica para proteger su PC define varios tipos de IDS: 1. HIDS (Host IDS): Es un IDS que controla una sola maquina, se encarga de monitorear el comportamiento de dicha maquina, gracias a este IDS es posible detectar, problemas de malware y virus, entre otros. 2. NIDS (Network IDS): Son IDS que analizan todo el trafico de la red 3. DIDS: Este es un hibrido que mezcla el HIDS con NIDS, Funcionamiento. El funcionamiento de un Sistema de Deteccin de intrusos, bsicamente consiste en el anlisis muy detallado del trfico de red, el cual al entrar al sistema y es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como pueden ser: 63

el escaneo de puertos. paquetes malformados vulnerabilidades conocidas

El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente con otros servicios de seguridad, como el firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos los cuales sirven como patrn para comparar el trafico con todos estos tipos de ataques.. Dichas firmas permiten al IDS distinguir el trafico normal, de cualquier trafico invasivo que desee atacar la red, y poder enviar una alerta al administrador del evento ocurrido.

9.2.3.1 SNORT

Figura 26. Snort. http://snort.org

Es claro que, en el mercado actual, existen diversas alternativas de IDS, unas opciones privativas y otras libres, cada una con sus ventajas y desventajas. Sin embargo, para efectos de este proyecto, se usara Snort, un IDS completamente libre, para sistemas UNIX (Aunque tambin es posible instalar en plataformas Microsoft) el cual se caracteriza, por su poder, eficacia y rendimiento. 64

La pgina oficial del proyecto http://www.snort.org, dice: Snort is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol, and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and nearly 400,000 registered users, Snort has become the de facto standard for IPS.

El proceso de instalacin en nuestro appliance es bastante sencillo, simplemente se debe hacer uso de OPKG; para esto vamos a la interfaz web, y en el men Sistema-Packages , damos click en el boton update package list

Si todo ha salido bien, debe salir en pantalla un mensaje como este:

Figura 27.Instalacion SNORT. Elaboracin propia

Si por alguna razn, no sale un mensaje de esta forma debe ser por alguno de los siguientes aspectos: El appliance no esta conectado a internet: Para poder usar el gestor de paquetes OPKG, es necesario que el dispositivo este conectado a Internet, por tal motivo se deben hacer pruebas de ping desde el prompt de OpenWRT hacia Internet, si el ping 65

no responde, habr que configurar nuevamente el equipo para que tenga salida a internet. Si el ping hacia internet responde, es necesario hacer ping hacia un dominio, con el fin de verificar problemas de DNS. Si el dominio no responde, pero el ping a una ip si, se debe configurar los dns en el archivo /etc/resolv.conf de OpenWRT

Despus de que hemos actualizado los repositorios, en la lista de paquetes disponibles buscamos snort, y se instalan dos paquetes esenciales para el buen funcionamiento del IDS:

Figura 28. Instalacin SNORT. Elaboracin propia Por ltimo se deben descargar las reglas actualizadas del IDS, para ello descargamos el paquete disponible en la pgina web oficial del proyecto, sin embargo para realizar la descarga, es necesarios suscribirse al proyecto. https://www.snort.org/signup Luego de suscribirse, procedemos a descargar las reglas necesarias para el IDS: https://www.snort.org/downloads/1189 Teniendo ya el paquete con las reglas en nuestro PC, es necesario enviar dicho paquete a nuestro dispositivo, se puede hacer de muchas formas, con una simple usb, o a travs de SSH: scp paquete-rules.tar.gz root@192.168.1.107:/home De esa forma enviaremos el paquete-rules a nuestro appliance, cabe resaltar que se debe reemplazar la direccin IP y el usuario por el que se haya configurado para el appliance.

Solo nos queda descomprimir el archivo en el directorio /etc/snort/rules/ lo hacemos de la 66

siguiente forma: cd /home tar xvvf paquete-rules.tar.gz cp rules/* /etc/snort/rules cp prepoc_rules/* /etc/snort/prepoc_rules cp etc/* /etc/snort/

Con esto nuestro IDS quedara listo para configurar y empezar a vigilar la red local.

9.2.4 Instalacin VPN El siguiente servicio a instalar, es el servidor VPN, a lo largo del documento se ha definido que es una VPN, y cada uno de los tipos existentes, por tal motivo no se entrara a definir qu es y cmo funciona Para brindar el servicio de conectividad VPN en nuestro dispositivo, se instalara el paquete OPENVPN. OpenVPN es un aplicacin libre licenciada bajo la licencia GPL la cual permite ofrecer conectividad punto-a-punto con validacin jerrquica de usuarios y host conectados remotamente. En su pgina oficial http://www.openvpn.net define: OpenVPN Access Server is a full featured SSL VPN software solution that integrates OpenVPN server capabilities, enterprise management capabilities, simplified OpenVPN Connect UI, and OpenVPN Client software packages that accommodate Windows, MAC, and Linux OS environments. OpenVPN Access Server supports a wide range of configurations, including secure and granular remote access to internal network and/ or private cloud network resources and applications with fine-grained access control.. El proceso de instalacin es muy sencillo, en la lista de paquetes disponibles, buscamos el paquete openvpn-devel y procedemos con la instalacin: 67

Figura 29. Paquete OPENVPN. Elaboracin propia De esta manera, el servidor VPN estar instalado y listo para ser configurado.

Figura 30. Paquete OPENVPN. Elaboracin propia Como se puede observar en la imagen, cada uno de los paquetes necesarios ya se encuentran instalados: openvpn openvpn-devel openvpn-easy-rsa snort snort-mysql

9.2.5 Instalacin Proxy

68

El ltimo servicio a instalar, es el servidor proxy, este servicio es fundamental para cualquier red local a nivel corporativo, debido a que gracias a este se puede controlar el trfico web que circula por la red, es decir, con el servidor proxy, es posible controlar a que sitios web los usuarios pueden acceder y a cules no. El funcionamiento de un servidor proxy es sencillo, el cliente establece la conexin con el servidor proxy, que a su vez establece otra conexin, como cliente, con el servidor final, cuando el proxy recibe el mensaje de peticin del cliente puede generar una respuesta propia o retransmitirlo al servidor final. En otro caso, el servidor puede realizar modificaciones en la peticin segn la aplicacin para que est diseado, y cuando reciba la respuesta del servidor final, la retransmitir al cliente, tambin con la posibilidad de efectuar cambios:

Figura 31. Esquema proxy. Jose M. Barcelo: Protocolos y aplicaciones Internet Segun Jose M. Barcelo en su libro protocolos y aplicaciones Internet, existen diversas aplicaciones de un servidor proxy, las ms importantes son: Actuar como un cortafuegos que asle la red local de las dems redes externas, en esta configuracin, los clientes no tienen acceso directo al exterior de su red y toda comunicacin con los servidores remotos tiene lugar por medio del proxy. Tener una memoria cache compartida entre los usuarios de la red local. Si diferentes clientes, solicitan directamente un mismo recurso, por norma general guardara la 69

misma copia de la respuesta en sus respectivas memorias cache, si lo solicitan por medio de un proxy, la primera peticin necesitar un acceso al servidor remoto. Sin embargo, las siguientes pueden aprovechar la copia ya guardada en la memoria cache del servidor proxy, aunque provengan de clientes diferentes. Construir una jerarqua de memorias cache de proxies. En el nivel mas bajo se encuentran los proxies a que acceden directamente los clientes, en un segundo nivel existen los proxies a los que acceden los de primer nivel, y as sucesivamente, incluso pueden haber proxies a escala de todo un pas. 9.2.5.1 Squid Squid es una aplicacin multiplataforma libre, la cual brinda el servicio de Proxy, en el mundo tecnolgico, squid es ampliamente reconocido por ser la solucin proxy lder, por su rendimiento y amplias caractersticas. E n su pgina oficial15 lo definen como: Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more. It reduces bandwidth and improves response times by caching and reusing frequently-requested web pages. Squid has extensive access controls and makes a great server accelerator. It runs on most available operating systems, including Windows and is licensed under the GNU GPL. La instalacin de Squid en OpenWRT, se hace igual que otras aplicaciones, usando el gestor de paquetes OPKG, en la lista de paquetes disponibles buscamos squid y damos click en instalar.

15

http://www.squid-cache.org/ 70

Figura 32. Instalacion SQUID. Elaboracin propia De esta forma, tendremos nuestro servidor proxy listo para configurar bajo los parmetros que el administrador de red crea conveniente. Hasta este punto, hemos descrito el proceso de instalacin de cada uno de los servicios propuestos, como se pudo evidenciar, administrar nuestro appliance desde la interfaz web es muy sencillo, adems haciendo uso del poder de OPKG, este ultimo quizs fue el factor mas determinante para seleccionar un sistema operativo liviano pero que tuviera la suficiente robustez para instalar servicios como proxy y VPN. Antes de continuar es pertinente aclarar, que el objetivo del proyecto es demostrar cmo de manera sencilla se puede construir un appliance de seguridad con los servicios principales usando aquellos equipos que generalmente se encuentran archivados en un cuarto de la empresa, por esta razn, en ningn servicio se describi como realizar la configuracin, ya que es responsabilidad del administrador de red configurar cada uno de los aplicativos de la forma que lo requiera.

71

9.3 PRUEBAS DE RENDIMIENTO. Es importante, que a estos equipos que funcionan como gateway de la red, se les realicen algunas pruebas de rendimiento, con el fin de diagnosticar y dimensionar, la cantidad de equipos que pueden llegar a proteger. Para esto, se realizan las pruebas de rendimiento Benchmark como se le conoce en Ingls. En general, la realizacin de pruebas benchmark no suele ser una tarea fcil debido a que se requiere hacerlo de forma repetitiva para llegar a conclusiones tiles, encontrar patrones de comportamientos similares, y deducir de acuerdo a los resultados, ademas, asi como es complicado realizar las pruebas, es mas difcil aun interpretar los resultados de las mismas, se debe tener conocimiento del campo. Dentro del amplio espectro de pruebas de benchmarking existen infinidad de pruebas metodologas y aplicaciones para evaluar el rendimiento de casi cualquier componente software o hardware, como por ejemplo: Bases de datos Networking Servicios WEB Computadores de escritorio Tarjetas Graficas Sistemas operativos Entre otros..

De igual forma, existen aplicaciones, desarrolladas para realizar este tipo de test, de forma automatizada, las cuales lo realizan, y organizan toda la informacin recolectada para mostrarla de una manera mas amigable al tester. Algunas de estas aplicaciones son: TPC BenchmarkTM C (TPC-C): Aplicacin propietaria utilizada para el procesamiento online de transacciones (en ingls, OLTP). Es considerado como el estndar para OLTP en cuanto a benchmarks para gestores de bases de datos. http://www.tpc.org 72

eWeeks Nile benchmark: diseado para comparar los resultados de varios gestores de bases de datos (entre otros MySQL, Microsoft SQL Server, IBM DB2, Oracle y Sybase). http://www.eweek.com/article2/0,4149,293,00.asp ApacheBench: Herramienta libre, diseada para evaluar servidores HTTP de Apache. En particular muestra cuantas peticiones por Segundo es capaz de servir (viene incluida con el servidor Apache). http://httpd.apache.org/docs/2.0/programs/ab.html LoadRunner: Herramienta propietaria para la evaluacin del comportamiento y rendimiento de aplicaciones web. Puede simular miles de usuarios y utiliza monitores de rendimiento para identificar y aislar problemas. Evaluacin de servidores de aplicaciones web, servidores de streaming, gestores de bases de datos, aplicaciones Java y ERP. http://www-svca.mercuryinteractive.com/products/loadrunner

Mausezahn: Es un generador de trfico licenciado bajo la licencia GPL, escrito en C para GNU/Linux, muy verstil y rpido, que permite generar y enviar prcticamente todos los paquetes posibles con una sintaxis bastante sencilla. principalmente se utiliza para probar VoIP o redes multicast, aunque tambin puede usarse en auditoras de seguridad para chequear si los sistemas estn suficientemente fortificados o, para comprobar los IDS, y dems elementos de seguridad perimetral. http://www.perihel.at/sec/mz/ D-ITG: (Generador de Trfico distribuido en Internet) es una plataforma capaz de producir trfico a nivel de paquetes con precisin, replicando apropiadamente los procesos estocsticos tanto para IDT (Entre la hora de Salida) y PS (Tamao del paquete) variables aleatorias (exponencial, uniforme, cauchy, normal, Pareto, ...). DITG soporta la generacin de trfico IPV4 e IPV6 y es capaz de generar trfico en las capas de red, transporte y aplicacin. Se Cree que D-ITG muestra propiedades interesantes cuando es comparado con otros generadores de trfico. http://www.grid.unina.it/software/ITG/index.php 73

Para este proyecto, se usaran las ltimas 2 herramientas mencionadas, ya que son las herramientas adecuadas para medir el rendimiento en la red. 9.3.1 Escenario de las pruebas Se realizaran 2 laboratorios, uno por cada aplicacin , es necesario hacer 2 esquemas diferentes, puesto que cada herramienta funciona de forma diferente, y lo mejor es simular el entorno ideal, para que las pruebas tengan los resultados esperados: Laboratorio A: Internet llega al dispositivo a travs de un cableModem que entrega el proveedor, en este caso UNE, dicho cableModem entrega una direccin IP publica por medio de un servidor DHCP. Igualmente, detrs del appliance de seguridad, se encuentra un equipo el cual ser el encargado de generar el trfico. La siguiente es la topologa del laboratorio:

74

Figura 32. Laboratorio A. Elaboracion propia

Bsicamente, en este laboratorio se busca medir la carga del sistema de nuestro appliance, a medida que viajan paquetes de red, por medio de l. Se hicieron los siguientes envos de paquetes usando la herramienta Mausezahn: Para 1.000.000 de paquetes: epsilon@C3PO:~$ sudo mz eth0 -c 1000000 \ "ff:ff:ff:ff:ff:ff ff:ff:ff:ff:ff:ff cc:dd 00:00:00:ca:fe:ba:be" 4.25 seconds (235294 packets per second)

Para 10.000.000 de paquetes: epsilon@C3PO:~$ sudo mz eth0 -c 10000000 \ "ff:ff:ff:ff:ff:ff ff:ff:ff:ff:ff:ff cc:dd 00:00:00:ca:fe:ba:be" 40.24 seconds (248509 packets per second)

Para 100.000.000 de paquetes: epsilon@C3PO:~$ sudo mz eth0 -c 100000000 \ "ff:ff:ff:ff:ff:ff ff:ff:ff:ff:ff:ff cc:dd 00:00:00:ca:fe:ba:be" 436.54 seconds (229074 packets per second)

Laboratorio B: Para esta prueba, el esquema es similar, sin embargo, ya que la herramienta D-ITG trabaja bajo una arquitectura cliente/servidor, es necesario contar con un servidor externo publicado en Internet el cual tendr corriendo la aplicacin servidor de D-ITG y el PC detrs del appliance lanzar la aplicacin cliente de dicha 75

herramienta:

Figura 33. Laboratorio B. Elaboracin propia En este laboratorio, se genera diferente tipo de trfico VoIP, Telnet y DNS destinos diferentes, con el fin de medir el throughput de nuestro dispositivo. Se realizaron los siguientes pasos: 1. Iniciar la aplicacin servidor. 2. Se debe crear un script donde se definen cada tipo de trfico que ser generado. 3. Se ejecuta la aplicacin cliente recibiendo como parmetro el script previamente creado. 4. Se cierra la aplicacin servidor. 5. Se decodifica el archivo de log, con el fin de observar los datos. hacia dos

76

9.4 ANALISIS DE LOS RESULTADOS Laboratorio A. Para este laboratorio, cuando se realizo cada uno de los envos de paquetes, se evidencio un aumento en la carga del sistema, lo cual se puede observar en las graficas del consumo de CPU Para 1.000.000 de paquetes:

Figura 34. Grafica Consumo CPU. Elaboracion propia Como se puede ver en las graficas de carga del sistema, en el momento que se enva 1.000.000 de paquetes, la carga de la CPU aumenta considerablemente.

77

Para 10.000.000 de paquetes

Figura 35. Grafica consumo CPU. Elaboracin propia En este envi, la carga aumenta demasiado, hasta tal punto que se empieza a observar el dispositivo bloqueado, y el servicio de Internet empieza a sufrir latencias. Para 100.000.000 de paquetes Al momento de iniciar el envi de esta cantidad de paquetes, el equipo queda totalmente bloqueado, no hay gestin del equipo, y el servicio de Internet quedo inoperativo. Para restablecer el servicio se procedi a apagar el dispositivo fsicamente, y volver a encenderlo.

78

Laboratorio B Para este laboratorio, el trfico por las interfaces aument, como se evidencia en la siguiente grfica:

Figura 35. Grafica consumo de red . Elaboracin propia Y los resultados que arrojo la aplicacin usada, fueron los siguientes: Resultados de envi: /---------------------------------------------------------Flow number: 2 From 192.168.0.184:41136 79

To

190.14.237.248:10002

---------------------------------------------------------Total time Total packets Minimum delay Maximum delay Average delay Average jitter = = = = = = 2.300197 s 250 0.000000 s 0.000000 s 0.000000 s 0.000000 s 0.000000 s 510 1.773761 Kbit/s = = 108.686343 pkt/s 0 (0.00 %) 0.000000 pkt

Delay standard deviation = Bytes received Average bitrate Average packet rate Packets dropped = =

Average loss-burst size =

------------------------------------------------------------------------------------------------------------------80

Flow number: 1 From 192.168.0.184:44417 To 190.14.237.248:10001

---------------------------------------------------------Total time Total packets Minimum delay Maximum delay Average delay Average jitter = = = = = = 9.980082 s 500 0.000000 s 0.000000 s 0.000000 s 0.000000 s 0.000000 s 58000 46.492604 Kbit/s = = 50.099789 pkt/s 0 (0.00 %) 0.000000 pkt 81

Delay standard deviation = Bytes received Average bitrate Average packet rate Packets dropped = =

Average loss-burst size =

------------------------------------------------------------------------------------------------------------------Flow number: 3 From 192.168.0.184:45356 To 190.14.237.248:10003

---------------------------------------------------------Total time Total packets Minimum delay Maximum delay Average delay Average jitter = = = = = = 8.930380 s 6 0.000000 s 0.000000 s 0.000000 s 0.000000 s 0.000000 s 1176 1.053483 Kbit/s = 0.671864 pkt/s 82

Delay standard deviation = Bytes received Average bitrate Average packet rate = =

Packets dropped

0 (0.00 %) 0.000000 pkt

Average loss-burst size =

----------------------------------------------------------

__________________________________________________________ **************** TOTAL RESULTS ****************** __________________________________________________________ Number of flows Total time Total packets Minimum delay Maximum delay Average delay Average jitter = = = = = = = 3

10.049101 s 756 0.000000 s 0.000000 s 0.000000 s 0.000000 s 0.000000 s 59686 83

Delay standard deviation = Bytes received =

Average bitrate Average packet rate Packets dropped

= = =

47.515494 Kbit/s 75.230610 pkt/s 0 (0.00 %) 0 pkt 0

Average loss-burst size = Error lines =

---------------------------------------------------------Resultados de recibo: ITGDec version 2.8.0-rc1 (r457:458) Compile-time options: ----------------------------------------------------------Flow number: 2 From 186.0.57.251:41136 To 190.14.237.248:10002

---------------------------------------------------------Total time Total packets = = 2.311910 s 250

84

Minimum delay Maximum delay Average delay Average jitter =

= = =

351.036319 s 351.078388 s 351.051827 s 0.006865 s 0.008848 s 510 1.764775 Kbit/s

Delay standard deviation = Bytes received Average bitrate Average packet rate Packets dropped = = = =

108.135697 pkt/s 0 (0.00 %) 0.000000 pkt

Average loss-burst size =

------------------------------------------------------------------------------------------------------------------Flow number: 1 From 186.0.57.251:44417 To 190.14.237.248:10001

----------------------------------------------------------

85

Total time Total packets Minimum delay Maximum delay Average delay Average jitter

= = =

9.980597 s 499 351.036498 s 351.060237 s 351.038024 s 0.000940 s 0.002069 s 57884 46.397225 Kbit/s = = 49.997009 pkt/s 1 (0.20 %) 1.000000 pkt

= = =

Delay standard deviation = Bytes received Average bitrate Average packet rate Packets dropped = =

Average loss-burst size =

------------------------------------------------------------------------------------------------------------------Flow number: 3 From 186.0.57.251:45356

86

To

190.14.237.248:10003

---------------------------------------------------------Total time Total packets Minimum delay Maximum delay Average delay Average jitter = = = = = = 8.932953 s 6 351.036942 s 351.051918 s 351.041095 s 0.006623 s 0.004997 s 1176 1.053179 Kbit/s = = 0.671670 pkt/s 0 (0.00 %) 0.000000 pkt

Delay standard deviation = Bytes received Average bitrate Average packet rate Packets dropped = =

Average loss-burst size =

----------------------------------------------------------

87

__________________________________________________________ **************** TOTAL RESULTS ****************** __________________________________________________________ Number of flows Total time Total packets Minimum delay Maximum delay Average delay Average jitter = = = = = = = 3

10.046120 s 755 351.036319 s 351.078388 s 351.042619 s 0.003004 s 0.008426 s 59570 47.437220 Kbit/s = = 75.153393 pkt/s 1 (0.13 %) 1.000000 pkt

Delay standard deviation = Bytes received Average bitrate Average packet rate Packets dropped = =

Average loss-burst size =

88

Error lines

----------------------------------------------------------

89

10. CONCLUSIONES Por medio de este proyecto se pudo demostrar que existe una alternativa para el reuso de los equipos de computos catalogados como obsoletos, y que son una bomba de tiempo para el ambiente, es importante concientizar a todas las personas, de que un dispositivo (en este caso un computador) puede llegar a ser muy util sin importar la condicion, solo es necesario adaptarlo y configurarlo para que realice una funcion especifica de forma eficiente. Si bien, en nuestro pis existen proyectos similares, ninguno de los indagados, tienen como objetivo usar los equipos de computo obsoletos para desarrollar una solucion de seguridad para las pymes, no obstante hay proyectos los cuales buscan darle una solucion a la grave situacin de los desechos tecnologicos. Se pudo evidenciar, que para implementar una solucin de seguridad, no es necesario tener hardware sofisticado, ni equipos costosos, si por algn motivo no es posible adquirir una solucin de seguridad profesional, proyectos de este tipo brindan una buena alternativa. Gracias a las pruebas se identific que con un equipo utilizado en la elaboracin del prototipo: Disco duro de 10GB Memoria RAM 128MB Procesador Intel Celeron 333MHZ 2 tarjetas de Red. Unidad de CD

Es posible implementar una solucin de seguridad que proteja alrededor de 25 a 30 usuarios, es decir, el equipo esta en la capacidad de soportar el trafico generado por este numero de maquinas, ,de ahi en adelante, podran aparcer problemas de saturacin y sobrecarga del procesador. Alli se puede concluir, que existe una relacion directamente proporcional entre el Hardware usado y la cantidad de usuarios que el equipo pueda soportar, de esta forma, entre mejor sea el hardware usado, mayor sera 90

la cantidad de usuarios que pueda proteger. De acuerdo a las investigaciones e indagaciones, se pudo observar, que los requerimientos mas urgentes en el campo de la seguridad informatica son: Proteger el activo mas importante: La informacon Controlar las aplicaciones de ocio que a diario usan los usuarios de la red. Ya que hoy en dia, es fundamental estar siempre conectado a sus sistemas de informacin se debe cifrar todas las conexiones. Realizar un analisis de trafico en tiempo real, con el fin de evitar ataques previamente establecidos y conocidos.

11. RECOMENDACIONES La nica recomendacin para instalar el firmware utilizado, es determinar si el kernel de Linux, trae soporte para el hardware en donde se desea instalar, ya que este seria el unico inconveniente que se puede presentar a la hora de implementar OpenWRT. Igualmente es recomendable, que si desea implementar la solucin se tenga conocimientos basico en el manejo y administracion de GNU/Linux. Es fundamental, concientizar a las pymes, que con muy poco se puede llegar a construir soluciones adecuadas e innovadoras.

91

12. REFERENCIAS BIBLIOGRAFICAS

http://www.cisco.com/en/US/products/ps6120/index.html http://www.fortinet.com/products/fortigate/111C.html

http://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.html FLETSCHER BOCANEGRA,Luis Alejandro. Implementacin de clusters beowulf como firewall GOMEZ GUERRA, John Alexis. modelo de solucin de enrutamiento de datos a bajo costo basado en software libre SCHROLL, Addam. Effective Practice: Purdue Firewall Appliance http://www.abox.com Http://www.sonicwall.com http://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliancesmatrix/que-es-una-appliance.html Robert, Newman, 2009: Computer Security: Protecting Digital Resources Maria, Espaa: Firewall 2003, P95 Miquel, Colobran: Administracin de sistemas operativos en red, 2008 P152

Angel, Cobo: Estudio cientfico de las redes de ordenadores, P187 Damian Ferrer: Servicios en red, 2005 92

David Martinez: UNIX a base de ejemplos. 2009, P159 Andrew Tanenbaum: Sistemas operativos embebidos, 2001 Friedrich, L. A Survey on Operating System Support for Embedded Systems Properties. Departamento de Informtica e Estatstica. http://www.symbian.org/ http://www.dd-wrt.com http://openwrt.org/ http://www.computadoresparaeducar.gov.co Jose, Salvador: Ingeniera de procesos informticos. 2003, P101 Jesus Nio: Sistema operativo monopuesto, P198 Luis, Corrales: Diseo e implantacion de arquitecturas seguras,2006, P186 http://www.snort.org/ http://www.openvpn.net/ http://www.squid-cache.org/

93

13. BIBLIOGRAFA Sistemas operativos Modernos Andrew Tanenbaum Linux appliance design: a hands-on guide to building Linux appliances - Bob Smith,John Hardin,Graham Phillips,Bill Pierce

Network Security Using Linux - Michael Sweeney TCP/IP John Ray Security Sage's guide to hardening the network infrastructure - Andrs, S., Kenyon, B., Marc Cohn, J., Johnson, N. & Dolly, J. Network security hacks - Andrew Lockhart Intrusion detection systems with Snort: advanced IDS techniques using Snort. Escrito por Rafeeq Ur Rehman Linux iptables: pocket reference - Escrito por Gregor N. Purdy Combat Training 2.0 Base 4 security.

94