REPBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD BICENTENARIA DE ARAGUA COORDINACION DE PASANTA NCLEO PUERTO ORDAZ SAN FLIX ESTADO BOLIVAR

INFORME DE PASANTA ELABORACION DE UN LABORATORIO PARA LA INSTALACION DEL FIREWALL CISCO PIX515E, EN LA RED PRIVADA DE FERROMINERA ORINOCO (Regular)

PASANTE: JAHAZIEL I. CARRILLO M. C.I.: 17.041.931

CIUDAD GUAYANA, ABRIL DEL 2012

INDICE Datos Generales Introduccion Descripcion de la Empresa Razn Social Ubicacin Antecedentes de la Empresa Msion Vison Estructura Organizativa Descripcion Departamento Objetivos Funciones Estructura Organizativa Cronograma de Actividades Actividades Realizadas Aportes del Pasante a la Empresa Conclusiones Recomendaciones Anexos

DATOS GENERALES Empresa: Ubicacin de la Empresa: Nombre del Tutor Industrial: Nombre Pasante: Coordinador de Pasantia C.V.G. FERROMINERA ORINOCO Avenida Via Caracas, Puerto Ordaz, Estado Bolivar Ingeniero Luis Mejias Jahaziel I. Carrillo M. Lic. Violeta Odreman

INTRODUCCION Actualmente la empresa FERROMINERA ORINOCO cuenta con dos conexiones hacia el exterior para su red privada interna que son: por medio de Movistar con un ancho de banda de 4 mb y con un Frame Relay CANTV con un ancho de banda de 2 mb, la cual se encuentra en proceso para actualizarse a 8 mb. Ambas empresas le suministran conexion hacia Internet por medio un bloque de Ip's asignado. Dicho bloque es administrado mediante un metodo conocido como NAT a travez de los Routers salientes, el cual se encarga de traducir las IP's de la red privada de Ferrominera a las IP's publicas proporcianada por lo proveedores. Sin embargo para aumentar y garantizar la seguridad en el flujo de datos que pasa por la red privada de CVG Ferrominera con respecto a su salida/entrada con la conexion a internet el Departamento de Infraestructura Tecnologico se ve en la necesidad de implementar un Firewall fisico que deniegue o autorice las conexiones desde el exterior al interior, y la vez permita, limite, cifre, descifre, el trfico entre los diferentes ambitos. Debido a que la Empresa posee un Firewall Cisco Pix 515e, se desea hacer la simulacion y laboratorio del uso del dispositvo, antes de su instalacion y configuracion a la red, para la examinacion de los procesos que conlleva a una utilizacion optima del dispositivo. El cual se encargara de proporcionar seguridad a la red bloqueando o denegadndo el acceso a personas no autorizadas y a su vez permitiendo el acceso para aquellos que se encuentren autorizados por medio de una serie de normas y criterios establecidos por un Administrador de Seguridad de la Empresa.

GENERALIDADES DE LA EMPRESA

Descripcion de la Empresa Antecedentes de la Empresa CVG Ferrominera Orinoco, nace luego de una de serie de conceciones para la extraccion del hierro otrogada por el gobierno de Venezuela a partir del ao 1743, en la cual se le otorgan permisos de extraccion, desarrollo de plantas y tratamiento del mineral de hierro por distintas compaias extranjeras. Para 1975, se nacionaliza la industria del hierro en Venezuela y se revocan las concesiones mineras a las transnacionales Iron Mines Company y Orinoco Mining Company, es de esta fusin de estas dos ex concesionarias que se constituye CVG Ferrominera Orinoco. Y para 1976 Inicia operaciones CVG Ferrominera. En los aos 90's se reactivan las distintas plantas de la empresa: Briquetas, Pellas, Procesamiento de Mineral de Hierro, las cuales inician su produccion. Tambien se ponen en marcha Proyectos de Recuperacion Ambiental y las operaciones de la Planta de Trituracion Los Barrancos, en la mina los Barrancos. Por estos mismos aos es instalada la red de comunicaciones de CVG Ferrominera, se construye la planta de reduccin directa de Orinoco Iron y CVG Ferrominera Orinoco es certificada con la norma ISO 9002:95. Para el ao 2000, es modernizado el sistema de trfico centralizado de trenes, se efecta el ltimo embarque de mineral grueso desde el muelle de Pala y la planta de reduccin directa Posven inicia sus operaciones. En el 2004 CVG Ferrominera Orinoco es re-certificada bajo el estndar de la norma Covenin ISO 9001:2000, en todos los procesos de la empresa. Arrancan los trabajos preliminares para la construccin de la Planta de Concentracin de Cuarcitas Friablesy se firma de contrato para ampliar la capacidad de produccin de la Planta de Pellas a 4 millones de toneladas, con lo cual la industria del hierro logra cinco nuevas marcas histricas: produccin total de mineral (20.021.000 t), produccin de Planta Los Barrancos (3.756.640 t), produccin en Planta de Pellas (3.081.161 t), ventas al mercado nacional (12.160.000 t) y ventas al mercado internacional (9.302.662 t). En el 2009, Ferrominera Orinoco es re-certificada bajo el estndar de la norma Covenin ISO 9001:2008 En el 2010, El 2 de julio, Ferrominera Orinoco consolid el primer cono de mineral concentrado, muestra procesada en la Planta de Concentracin Magntica instalada en la Laguna Acapulco, en Pala. Este importante proyecto permitir la recuperacin de aproximadamente 10 millones de toneladas de finos, depositados all durante 40 aos de procesamiento del mineral extrado en los yacimientos ubicados en El Pao. La obra presentaba un avance de 97.5 %. Ubicacion

Ferrominera Orinoco, se encuentra ubicada en Venezuela (Amrica del Sur), especficamente en el estado Bolvar. Cuenta con dos centros de operaciones: Ciudad Piar, donde se encuentran los principales yacimientos de mineral de hierro, y es denominado Cuadriltero Ferrfero San Isidro; y Puerto Ordaz, lugar en el que estn las plantas de procesamiento de mineral de hierro, pellas y briquetas, as como el muelle, parte de las operaciones ferroviarias y oficinas principales. Mision Extraer, beneficiar, transformar y comercializar mineral de hierro y derivados con productividad, calidad y sustentabilidad, abasteciendo prioritariamente al sector siderrgico nacional, manteniendo relaciones de produccin que reconozcan como nico valor creador al trabajo y apoyando la construccin de una estructura social incluyente. Vision Ser una empresa socialista del pueblo venezolano, administrada por el Estado, base del desarrollo siderrgico del pas, que responda al bienestar humano, donde la participacin en la gestin de todos los actores, el reconocimiento del trabajo como nico generador de valor y la conservacin del medio ambiente, sean las fortalezas del desarrollo de nuestra organizacin. Estructura Organizativa

DEPARTAMENTO DONDE SE REALIZO LA PASANTIA

Descripcion Departamento Objetivos El apoyo tecnico prestado fue realizado en la Gerencia Telematica, en el Departamento de Infraestructura Tecnologica, Seccion Redes en Puerto Ordaz, el cual tiene como objetivo principal el mejoramiento continuo de los requerimientos de la Empresa en el area de Telematica y como objetivo estrategico la consolidar el dominio productivo de la organizacion, como empresa socialista de produccion. Funciones La finalidad, razon, y funcionamiento del Departamento se encuentra reflejado en: Cumplir oportunamente con los planes de mantenimiento preventivo de los equipos telematicos. Realizar con Oportunidad y calidad los servicios requeridos por los usuarios. Ejecutar los programas de Medio Ambiente. Ejecutar los planes de trabajo de seguridad y salud laboral. Implementar acciones de mejora asociadas a los sistemas de gestion de la calidad, medio ambiente y seguridad y salud laboral.

PLAN DE TRABAJO Semanas Actividades Induccion y Recorrido por la Gerencia de Telematica Asignacion de Tema, Situacion Actual de la Red de Ferrominera Orinoco Levantamiento de informacion sobre el Pix Cisco515e Esquema de instalacion del Pix Cisco 515e a la red de Ferrominera Orinoco Laboratorio de configuracion e instalacion del Firewall Pix Cisco 515e. Basico Presentacion del Laboratorio y Simulacion al Departamento de Infraestructura Tecnologica 1 2 3 4 5 6 7 8 9 10 11 12

DESCRIPCION DE LAS ACTIVIDADES De acuerdo con el plan de trabajo presentado anteriormente, el desarrollo de las actividades se llevo a cabo en el lapso de tiempo comprendido entre el 13 /02/2120 hasta el 13/05/2012 de la siguiente manera: Induccion y recorrido por la Gerencia de Telematica En cumplimiento con las politicas y normas de la empresa, todo trabajador que ingresa a CVG Ferrominera Orinoco, cualquiera sea su condicion (Pasante, Trabajador fijo o contratante, aprendiz, etc) debe recibir una charla de seguridad, prevencion y control de accidentes suministrado por el personal de Seguridad Industrial el cual tiene una duracion de ocho (8) horas. Una vez culminada dicha charla y registrada por el Departamento de Aprendizaje y Beca, se procede a la tramitacion de la Ficha de entrada y asignacion a la Gerencia en donde se llevara a cabo el desarrollo de la Pasantia. El desarrollo de la pasantia se llevo a cabo en la Gerencia de Telematica, Departamento de Infraestructura Tecnologica, donde se llevo a cabo una charla de bienvenida y recorrido por cada uno de los departamentos. Asignacion de Tema y Situacion de la red de CVG Ferrominera Orinoco El tema planteado a tratar, sera la elaboracion de una practica para la instalacion y uso del PIX Cisco 515e, el cual sera instalado en la empresa para aumentar las politicas de seguridad en la red a travez de permisos, limitacion, cifrado, descifrado y trafico de datos que fluyen a traves de ella desde el exterior (internet) hacia el interior (red privada FMO) y viciversa. Debido a que la red se encuentra con politicas de seguridad basicas a nivel de red y unas mas a nivel de software, el Departamento de Infraestructura Tecnologica se ve en la necesidad de aumentar dichas politicas de red por medio de la instalacion de un Firewall para ofrecer una mayor confiabilidad y resguardo de los datos e informacion de CVG Ferrominera Orinoco, Levantamiento de la informacion: Firewall y Pix Cisco515e La palabra Firewall (traducido al espaol como, cortafuego) viene del mundo de la arquitectura; dicese de la pared toda de fabrica, sin madera alguna, y de un grueso competente, que se eleva desde la parte inferior del edificio hasta mas arriba del caballete, con el fin de que si hay fuego en un lado, no se pueda comunicar al otro. Esta definicion aplicada a la informatica ilustra bastante el proposito de estos sistemas. Un Firewall sirve para impedir que un atacante pase de una red a otra. En el caso tipico un Firewall se situa entre una red no fiable (Internet) y una fiable (una red interna). Actualmente mas y mas empresas colocan tambien un cortafuegos interno. Por ejemplo, entre el departamento de nominas y el resto de la organizacion.

El filtro de paquetes es la forma mas basica de filtro. En el se toman decisiones sobre si continuar con el direccionamiento del paquete basandose en la informacion que se encuentra en la capas IP o TCP/UDP. En efecto, un filtro de paquetes es un router con un poco de inteligencia. sin embargo, este filtro se encarga de los paquetes individualmente sin tener en cuenta las sesiones TCP. Por tanto, dificilmente podra detectar un paquete proviniente del exterior con la ip manipulada (spoofed) y con la bandera ACK activada en la cabecera TCP pretendiendo ser un paquete de una conexion ya existente. Los filtros de paquetes esta configurados para permitir o bloquear el acceso de paquetes basandose en las direcciones IP origen y destino, puertos origen y destino y tipo del protocolo (TCP, UDP, ICMP, y demas). Los cortafuegos PIX de cisco llevan empotrado un sistema operativo, no UNIX, muy seguro y de tiempo real. Una aplicacion dedicada a la gestion de la maquina permite evitar los bugs, backdoors y demas problemas de seguridad tipicos de un sistema operativo de proposito general. Un esquema de proteccion basado en ASA (Adaptive Security Algorithm). ASA tiene en cuenta las direcciones origen y destino, los numeros de secuencia TCP, numeros de puerto y banderas TCP adicionales. Es decir, el esquema ASA ofrece seguridad basada en el estado y orientada a conexion. Toda la informacion de los paquetes se almacena en una tabla. Todo el trafico entrante y saliente se compara con las entradas de esta tabla para detectar trafico erroneo, no deseado o con problemas con la seguridad o el enrutamiento. Hay que recordar que el PIX no es necesariamente la primera linea de defensa. El gateway a internet debe proveer un nivel inicial de seguridad para la red. En caso de que un intruso logre sobrepasar esta primera barrera, debes de tener un PIX protegiendo la red interna. Un cortafuegos PIX: Elimina el riesgo asociado a cortafuegos basados en el sistema operativo. Puede manipular hasta 256000 conexiones simultaneas. Adaptive Security Algorithm, es un algoritmo de seguridad denominado ASA, y abarca lo que es el corazon del cortafuegos PIX. ASA esta basado en estado y orientado a conexion. El diseo ASA crea flujos de sesion basados en: direcciones origen y destino, numeros de secuencia TCP, numeros de puerto, banderas TCP; aplicando la politica de seguridad a cada conexion basandose en las entradas en la tabla de conexiones se controla el trafico entrante y saliente. El PIX utiliza un metodo denominado "cut-through proxy" que permite verificar si los usuarios tienen permisos para ejecutar una aplicacion TCP o UDP antes de llegar a la aplicacion, es decir, verifica a los usuarios en el mismo firewall. El Filtrado URL, el cortafuegos PIX chequea las peticiones URL salientes contra las politicas de seguridad definidas en el servidor UNIX o NT (WebSense). El PIX permite conexiones basandose en las politicas de seguridad. La carga no esta situada en el PIX sino en una maquina separada que lleva a

cabo el filtrado URL. Opcion de Failover/Hot Standby Upgrade, la opcion de failover nos provee de una gran seguridad y elimina el caso de que en caso de que falle el PIX la red se quede sin funcionar. Si un PIX funciona incorrectamente, o si estan configurados incorrectamente, automaticamente el trafico pasa al otro PIX. Esquema de instalacion del Pix Cisco 515e

Esquema de Instalacion del PIX 515e

Laboratorio de Configuracion del Firewall Pix Cisco 515e

Configuracion Switch Catalyst 3560 series PoE-24 para la Interfaz Inside y Outisde Partiendo desde la configuracion global, procedemos a realizar al siguiente configuracion sobre el Switch Inside Configuracion de la Interfaz de Salida hacia el Pix Swinside(config)#interface fastethernet 0/1 Swinside(config-if)# description Hacia el Firewall Swinside(config-if)#no switchport Swinside(config)#ip address 10.0.0.1 255.255.255.0 Configuracion Interfaz Vlan Swinside(config)#interface vlan1 Swinside(config-if)#ip address 10.10.10.1 255.255.255.0 Swinside(config)ip default-gateway 10.10.10.1 Configuracion de la Ruta estatica hacia el Pix Swinside(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2 Para efecto de este Laboratorio trabajaremos en la Vlan1 q trae por defecto el equipo, sin embargo se recomienda crear otra Vlan, mover las interfaces y trabajar en ellas para mayor seguridad

Switch Outside:

Configuracion de la Interfaz de Salida hacia el Pix Swoutside(config)#interface fastethernet 0/1 Swoutside(config-if)# description Hacia el Firewall Swoutside(config-if)#no switchport Swoutside(config)#ip address 172.15.1.2 255.255.255.0 Configuracion Interfaz Vlan Swoutside(config)#interface vlan1 Swoutside(config-if)#ip address 172.20.1.2 255.255.255.0 Swoutside(config) ip default-gateway 172.20.1.2 Configuracion de la Ruta estatica hacia el Pix Swoutside(config)#ip route 0.0.0.0 0.0.0.0 172.15.1.1 Configuracion basica del Pix Cisco 515e La primera vez que se accede al PIX es en modo no privilegiado y nos aparecera (">") en el prompt, pasamos al modo privilegiado usando el comando "enable". Al hacer esto por primera vez, no nos pedira password ya que aun no lo hemos configurado. Siguiente a esto pasamos modo de configuracion utilizando el comando "configure terminal" y desde aqui empezamos a configurar cada interfaz en nuestro PIX para establecer la comunicacion entre ellas. pix> pix>enable Password: pix# pix#configure terminal pix(config)# El siguiente paso sera cambiar el hostname del PIX y configurar los passwords del modo no privilegiado y el modo privilegiado. pix(config)# hostname FmoPix FmoPix(config)# password noLaDigas FmoPix(config)# enable password noLaDigasTampoco Una vez establecida la limitacion del uso del PIX se procede a travez del Modo de Configuracion,lo siguiente es configurar las interfaces de red del PIX en donde se deber tener en cuenta el nivel de seguridad de cada una de ellas. El nivel de seguridad indica la confianza que se tiene de una interfaz

respecto a otra en relacion a la red que tiene conectada. Por ejemplo, una interfaz conectada a Internet va a ser de menor confianza que otra conectada a nuestra red privada. Algo muy importante de los niveles de seguridad, es que una interfaz con un nivel de seguridad alto, puede acceder a otra interfaz con un nivel de seguridad bajo, y una interfaz con un nivel de seguridad bajo, no podra acceder a otra interfaz con un nivel de seguridad alto. La interfaz de red conectada a la red interna ("inside"), poseera el nivel de seguridad mas alto que corresponde a 100. Mientras que la interfaz conectada a Internet, ("outside"), poseera el nivel de seguridad mas bajo que corresponde a 0. Los niveles de seguridad del 1 al 99, pueden ser asignados a otras interfaces segun el nivel de confianza que le tengamos. Como son por ejemplo, las red o redes DMZ que podemos poseer, en nuestro esquema de red. Una vez establecidos los niveles de seguridad lo siguiente es identificar los nombres de cada interfaz con su nivel de seguridad de la siguiente manera: FmoPix(config)# nameif ethernet0 outside sec0 FmoPix(config)# nameif ethernet1 inside sec100 FmoPix(config)# nameif ethernet2 dmz sec50 FmoPix(config)# show nameif Luego debemos utilizar el comando "interface", para configurar la velocidad cada interfaz y que quede completamente activa. FmoPix(config)# interface ethernet0 100full FmoPix(config)# interface ethernet1 100full FmoPix(config)# interface ethernet2 100full FmoPix(config)# show interface Se debe tener presente que cada interfaz del PIX debe poseer una direccion IP con la cual se mantendra la comunicacion con las distintas redes conectadas al PIX. Esto es hecho a traves del comando "ip address", donde a la interfaz la podemos llamar con el nombre que le pusimos FmoPix(config)# ip address outside 172.15.1.1 FmoPix(config)# ip address dmz FmoPixo(config)# show ip address Una vez realizado lo anterior, se declaran la ruta de encaminamiento estatica por defecto al Router de Internet (outside) y a la Red Interna (inside) con coste 1: FmoPix(config)# route outside 0.0.0.0 0.0.0.0 172.15.1.1 1 FmoPix(config)# route inside 10.0.0.0 255.255.255.0 172.15.1.1 1 0.0.0.0 255.255.255.0 255.255.255.0 FmoPix(config)# ip address inside 10.0.0.2 255.255.255.0

FmoPix(config)# show route Por ultimo nos queda habilitar la comunicacion entre las distintas interfaces (inside, outside, dmz), segun sus niveles de seguridad respectivamente, recordando la regla que aplica en el PIX. Esto se hace mediante el uso del NAT el cual conlleva la configuracion de dos (2) comandos: nat que asocia a la interfaz de entrada indicando qu IP interna entra en el NAT y global que se asocia a la interfaz de salida, donde se especifica la IP (o IPs) externa. Ambos comandos, quedan mutuamente asociados por un identificativo numrico (en este caso 1). En el caso de utilizar una sola IP en global, el NAT se realizara overload o extendido o tambin llamado PAT (Port Address Traslation). Desde Inside a Outside: FmoPix(config)# nat (inside) 1 10.10.10.0 255.255.255.0 0 0 FmoPix(config)# global (outisde) 1 172.15.1.10-172.15.15 netmask 255.255.255.0 FmoPix(config)# show global FmoPix(config)# show nat (Con estos comandos visualizamos la tabla de traducciones NAT) FmoPix(config)# show xlate FmoPix(config)# show xlate debug Y por ultimo vemos lo introducido, verificamos y salvamos: FmoPix(config)# write terminal (Para visualizar la configuracion introducida) FmoPix(config)# write memory (Para salar la configuracion) Por ultimo verificamos las conexiones a cada interfaz para colaborar la conectividad: FmoPix(config)# ping 172.15.1.1 FmoPix(config)# ping 10.0.0.1 FmoPix(config)# ping 10.0.0.2 FmoPix(config)# ping 10.10.10.11 Desde un host inside a outside /ping 172.15.1.11 Al obtener las respuestas correspondientes, ya tenemos la puesta en marcha de manera basica el funcionamiento del Cisco Pix 515e protegiendo la direcciones privadas de la empresa con respecto a lo externo por medio de traducciones NAT (outside) (inside) (ruta interna) (host interno)

Para ver la configuracion actual que esta corriendo en la RAM usamos el comando "show running-

config", para guardar la configuracion en la memoria Flash usamos el comando "write memory", y para ver la configuracion de la Flash usamos el comando "show startup-config". Y asi de esta manera se tiene el PIX listo para conectarse a travez de las interfaces, con las distintas redes a comunicar y proteger por medio de las politicas que establezcamos como adminitradores. Si se desea establacer una comunicacion desde una interfaz de menor seguridad a una mayor (inside o dmz) se deben establecer permisos y rutas a travez de los comandos static (usado para crear un mapeo permanente entre una IP en inside y una IP global) o conduit (comando que genera una excepcion en el ASA para la conexion del host entrante) FmoPix(config)# conduit permit icmp any any (permite el trafico ICMP por las interfaces desde outside) Desde outside a inside FmoPix(config)# static (inside,outside) 172.15.1.30 10.10.10.0 FmoPix(config)# show xlate

-----------------------------------------------------------------------------------------Politicas de seguridad a ser aplicadas en CVG Ferrominera Orinoco ------------------------------------------------------------------------------------------

Aportes del Pasante a la Empresa Concluisiones Recomendaciones

Justificacion Al mantener la conectividad por medio de un enlace WAN por medio de dos routers la Red Privada FMO, es vulnerable a posibles ataques desde la Internet, como virus, troyanos, gusanos o personas no autorizadas navegando y obteniendo acceso a informacion que solo concierne a la empresa y las politicas de seguridad basicas suministrada por los proveedores o por algun otro medio no proporcianaran una seguridad completa, es por ello que en la red se debe hacer implementacion que de Firewalls, los cuales son equipos fisicos que aumentaran la seguridad y dificultara el acceso por parte de terceros a la red red privada de FERROMINERA, todo esto a traves de los distintos protocolos y metodos de seguridad, se estableceran niveles de conectividad, los cuales permitira tener un mejor control de del flujo de datos desde el exterior (Internet) hacia el interior (Red Privada FMO). Alcance Con la implantacion de este equipo Firewall, se lograra un aumento considerable en la seguridad de la red Privada de FERROMINERA tanto a nivel interno, como a nivel externo con la Internet. El Pix Cisco515e permitira limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios establecidos por el administrador de la red de la empresa. De tal manera se debe tener en cuenta que un Firewall correctamente configurado aade una proteccin necesaria a la red, pero que en ningn caso debe considerarse como suficiente. La seguridad informatica abarca aun ms mbitos y ms niveles de trabajo y proteccin por lo que constantemente se debe estar explorando y buscando tendencias aun mayores para garantizar aun mas seguridad.

-------------------------------------------------------------ANEXOS