TOMO I Línea de Investigación Redes y Sistema Operativo Nombre del Egresado Marixelinda Lisbeth España Escobar Nombre del Tema Guía de Implementación de una DMZ (Zona Desmilitarizada) para la Empresa ITCORP Número de Proyecto 16 Nombre del Tutor Ing. Francisco Palacios UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES GUÍA DE IMPLEMENTACIÓN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA EMPRESA IT/CORP TESIS DE GRADO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES AUTOR: MARIXELINDA LISBETH ESPAÑA ESCOBAR TUTOR: ING. FRANCISCO PALACIOS ORTIZ GUAYAQUIL – ECUADOR 2011 i UNIVERSIDAD DE GUAYAQUIL PORTADA FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES GUÍA DE IMPLEMENTACIÓN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA EMPRESA IT/CORP TESIS DE GRADO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES MARIXELINDA LISBETH ESPAÑA ESCOBAR TUTOR: ING. FRANCISCO PALACIOS ORTIZ GUAYAQUIL – ECUADOR 2011 Guayaquil,……………………….del 2011 APROBACION DEL TUTOR En mi calidad de Tutor del trabajo de investigación, “GUÍA DE IMPLEMENTACIÓN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA EMPRESA IT/CORP” elaborado por el Srta. MARIXELINDA LISBETH ESPAÑA ESCOBAR, egresado de la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la Apruebo en todas sus partes. Atentamente …………………………………. Ing. Francisco Palacios Ortiz TUTOR DEDICATORIA Dedico esta tesis primeramente a Dios y a mis seres más queridos y a todas las personas que estuvieron a mi lado, por haberme apoyado a lo largo de la trayectoria de esta carrera. A mis padres que han sabido guiarme y proporcionarme orientación moral, a mis hermanas, por su sustento incondicional y creer en mí para poder lograr este triunfo profesional. AGRADECIMIENTO Al culminar esta carrera valiosa, tengo a bien agradecer de manera especial a Dios por proporcionarme la fuerza para seguir adelante, a los profesores y compañeros con quienes compartimos grandes momentos de apoyo, ayuda, alegría, y sabias enseñanzas durante esta carrera profesional, debido a que logramos cultivar la preciada semilla del saber y el amor por el estudio. A mis padres que de alguna manera han estado junto a mí, ayudándome, apoyándome en todo momento para que concluya esta carrera profesional, debido a que es un sueño hecho realidad para ellos y para mí, igualmente quiero agradecer a todas las personas que estuvieron a mi lado brindándome su apoyo incondicional, les quedo eternamente agradecida. TRIBUNAL DE GRADO Ing. Fernando Abad Montero DECANO DE LA FACULTAD CIENCIAS MATEMATICAS Y FISICAS Ing. Francisco Palacios Ortiz TUTOR Ing. Juan Chanabá Alcócer DIRECTOR Nombre y Apellidos PROFESOR DEL ÁREA - TRIBUNAL AB. Juan Chávez A. SECRETARIO UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES GUÍA DE IMPLEMENTACIÓN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA EMPRES IT/CORP Proyecto de trabajo de grado que se presenta como requisito para optar por el título de INGENIERO en SISTEMAS COMPUTACIONALES Autor/a: Marixelinda Lisbeth España Escobar. C.I.: 120611239-1 Tutor: Ing. Francisco Palacios Ortiz. Guayaquil, ______ de 2011 Mes ii CERTIFICADO DE ACEPTACIÓN DEL TUTOR En mi calidad de Tutor del Segundo Curso de Fin de Carrera, nombrado por el Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil, CERTIFICO: Que he analizado el Proyecto de Grado presentado por el/el egresado (a) Marixelinda Lisbeth España Escobar, como requisito previo para optar por el título de Ingeniero cuyo problema es: ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ ______________________________________________________________ Presentado por: España Escobar Marixelinda Lisbeth 120611239-1 Apellidos y Nombres Completos Cédula de ciudadanía N° _________________________ Tutor: Ing. Francisco Palacios Ortiz. Guayaquil, ______ de 2011 Mes iii ÍNDICE GENERAL PORTADA ................................................................................................................................ i CERTIFICADO DE ACEPTACIÓN DEL TUTOR ........................................................... ii ÍNDICE GENERAL .............................................................................................................. iii ÍNDICE DE CUADROS ....................................................................................................... vii ÍNDICE DE GRÁFICOS .................................................................................................... viii RESUMEN............................................................................................................................. xii INTRODUCCIÓN .................................................................................................................. 1 CAPITULO I ........................................................................................................................... 3 EL PROBLEMA ..................................................................................................................... 3 PLANTEAMIENTO DEL PROBLEMA.............................................................................. 3 UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ....................................................................3 SITUACIÓN CONFLICTO NUDOS CRÍTICOS ..............................................................................4 CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................................................5 DELIMITACIÓN DEL PROBLEMA .................................................................................................6 FORMULACIÓN DEL PROBLEMA ................................................................................................7 EVALUACIÓN DEL PROBLEMA ...................................................................................................8 OBJETIVOS............................................................................................................................ 9 OBJETIVO GENERAL .................................................................................................................9 OBJETIVOS ESPECÍFICOS .......................................................................................................10 ALCANCES........................................................................................................................... 11 JUSTIFICACIÓN E IMPORTANCIA ............................................................................... 12 CAPÍTULO II ....................................................................................................................... 14 MARCO TEÓRICO ............................................................................................................. 14 ANTECEDENTES DEL ESTUDIO .................................................................................................14 FUNDAMENTACIÓN TEÓRICA ...................................................................................................17 RED DE COMPUTADORAS ......................................................................................................17 MODELO OSI .............................................................................................................................. 17 Capas Del Modelo OSI ............................................................................................................19 Capa Física .......................................................................................................................... 19 Capa De Enlace ...................................................................................................................19 iv Capa De Red .......................................................................................................................19 Capa De Transporte.............................................................................................................20 Capa De Sesión ...................................................................................................................21 Capa De Presentación .........................................................................................................21 Capa De Aplicación ............................................................................................................21 MODELO TCP/IP ........................................................................................................................ 22 Capas Del Modelo TCP/IP.......................................................................................................23 Capa De Acceso A La Red ..................................................................................................23 Capa De Internet .................................................................................................................23 Capa De Transporte.............................................................................................................23 Capa De Aplicación ............................................................................................................24 DIRECCIONES IP .......................................................................................................................24 Clases De Direcciones IP .........................................................................................................25 Direcciones De Clase A ......................................................................................................25 Direcciones De Clase B.......................................................................................................26 Direcciones De Clase C.......................................................................................................26 Direcciones De Clase D, E y F ............................................................................................ 26 SEGURIDAD INFORMÁTICA ..................................................................................................27 POLÍTICAS DE SEGURIDAD ...................................................................................................27 TIPOS DE ATAQUE ...................................................................................................................28 Spoofing ...................................................................................................................................28 Sniffing ....................................................................................................................................28 Negaciones de Servicio (DoS) .................................................................................................28 Barridos PING ......................................................................................................................... 29 Escaneo de puertos ...................................................................................................................29 PARA EVITAR ATAQUES EN LA RED ...................................................................................30 SERVIDORES ............................................................................................................................. 30 Servidor DNS ........................................................................................................................... 30 Servidor DHCP ........................................................................................................................ 31 Servidor De Correo ..................................................................................................................31 Servidor de FTP .......................................................................................................................32 ZONA DESMILITARIZADA (DMZ) ......................................................................................... 32 HISTORIA DE LA DMZ .............................................................................................................35 FIREWALL ..................................................................................................................................35 Categorías De Los Firewall .....................................................................................................36 Firewalls de Filtración de Paquetes (choke) ........................................................................36 v Servidores Proxy a Nivel de Aplicación (Proxy Gateway de Aplicaciones) .......................38 Firewalls de Inspección de Paquetes (SPI, Stateful Packet Inspection). ............................. 40 TIPOS DE FIREWALL ...........................................................................................................41 Firewall Appliance (Basados En Hardware) .......................................................................41 Firewall Basados En Software ............................................................................................ 55 ANÁLISIS COMPARATIVO .................................................................................................62 FUNDAMENTACIÓN LEGAL .......................................................................................................64 HIPÓTESIS .......................................................................................................................................64 VARIABLES DE LA INVESTIGACIÓN ........................................................................................ 65 VARIABLE INDEPENDIENTE..................................................................................................65 VARIABLE DEPENDIENTE ......................................................................................................66 DEFINICIONES CONCEPTUALES ................................................................................................ 67 CAPÍTULO III ...................................................................................................................... 69 METODOLOGÍA ................................................................................................................. 69 DISEÑO DE LA INVESTIGACIÓN .................................................................................. 69 MODALIDAD DE LA INVESTIGACIÓN ......................................................................................69 TIPO DE INVESTIGACIÓN .......................................................................................................70 POBLACIÓN Y MUESTRA ............................................................................................................70 OPERACIONALIZACIÓN DE VARIABLES .................................................................................71 INSTRUMENTOS DE RECOLECCIÓN DE DATOS .....................................................................72 LA TÉCNICA .............................................................................................................................. 72 INSTRUMENTOS DE LA INVESTIGACIÓN ...........................................................................73 VALIDACIÓN ............................................................................................................................. 74 PROCEDIMIENTOS DE LA INVESTIGACIÓN ............................................................................75 RECOLECCIÓN DE LA INFORMACIÓN .....................................................................................76 PROCESAMIENTO Y ANÁLISIS ...................................................................................................77 CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ..................................................................78 CAPÍTULO IV ...................................................................................................................... 79 GUÍA DE IMPLEMENTACIÓN DE UNA DMZ EN LA RED DE LA EMPRESA IT/CORP ................................................................................................................................ 79 DESCRIPCIÓN DEL DISEÑO ACTUAL DE LA EMPRESA IT/CORP .......................................80 DESCRIPCIÓN DEL DISEÑO RECOMENDADO PARA LA EMPRESA IT/CORP ...................83 CONFIGURACIÓN DE LOS SERVICIOS DE LA EMPRESA IT/CORP .................... 86 SERVIDOR FTP ............................................................................................................................... 87 SERVIDOR DE CORREO ................................................................................................................93 vi SERVIDOR PROXY....................................................................................................................... 102 SERVIDOR DNS Y DHCP .............................................................................................................111 CONFIGURACION DEL FIREWALL............................................................................ 115 POLÍTICAS DE LA DMZ ................................................................................................. 116 CAPÍTULO V...................................................................................................................... 126 MARCO ADMINISTRATIVO.......................................................................................... 126 CRONOGRAMA ............................................................................................................................ 126 PRESUPUESTO ............................................................................................................................. 129 CAPÍTULO VI .................................................................................................................... 131 CONCLUSIONES Y RECOMENDACIONES ................................................................ 131 CONCLUSIONES ........................................................................................................................... 131 RECOMENDACIONES .................................................................................................................133 REFERENCIAS BIBLIOGRÁFICAS ................................................................................ 96 ANEXOS .............................................................................................................................. 101 vii ÍNDICE DE CUADROS CUADRO N°. 1: 5CAUSAS Y CONSECUENCIAS DEL PROBLEMA........................... 5 CUADRO N°. 2: CARACTERÍSTICAS Y DESCRIPCIÓN 3COM OFFICECONNECT ................................................................................................. 44 CUADRO N°. 3: CARACTERÍSTICAS Y DESCRIPCIÓN CISCO ASA 5505……………….. ........................................................................................ 46 CUADRO N°. 4: CARACTERÍSTICAS Y DESCRIPCIÓN SONICWALL PRO 2040 ..................................................................................................... 48 CUADRO N°. 5: CARACTERÍSTICAS Y DESCRIPCIÓN------------------------ NETGEAR PROSECURE UTM25 ..................................................................................... 50 CUADRO N°. 6: CARACTERÍSTICAS Y DESCRIPCIÓN --------------------------ZYXEL ZYWALL USG 100 ................................................................................................ 52 CUADRO N°. 7: CARACTERÍSTICAS Y DESCRIPCIÓN BARRACUDA 660 ................................................................................................................ 54 CUADRO N°. 8: LISTA DE PRECIOS DE FIREWALL ................................................. 62 CUADRO N°. 9: MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES ............. 71 CUADRO N°. 10: DETALLE DE INGRESOS ................................................................ 129 CUADRO N°. 11: DETALLE DE EGRESOS .................................................................. 130 CUADRO N°. 12: RESULTADOS PREGUNTA 1 DE LA ENCUESTA ...................... 106 CUADRO N°. 13: RESULTADOS PREGUNTA 2 DE LA ENCUESTA ...................... 107 CUADRO N°. 14: RESULTADOS PREGUNTA 3 DE LA ENCUESTA ...................... 108 CUADRO N°. 15: RESULTADOS PREGUNTA 4 DE LA ENCUESTA ...................... 109 CUADRO N°. 16: RESULTADOS PREGUNTA 5 DE LA ENCUESTA ...................... 110 viii ÍNDICE DE GRÁFICOS GRÁFICO N°. 1: CAPAS DE MODELO OSI ................................................................... 18 GRÁFICO N°. 2: CAPAS DE MODELO TCP/IP ............................................................. 22 GRÁFICO N°. 3: CAPAS DE MODELO SCREENED SUBNET ................................... 34 GRÁFICO N°. 4: FILTRACIÓN DE PAQUETES (CHOKE) ......................................... 37 GRÁFICO N°. 5: PROXY GATEWAY.............................................................................. 39 GRÁFICO N°. 6: INSPECCIÓN DE PAQUETES ............................................................ 40 GRÁFICO N°. 7: 3COM OFFICECONNECT .................................................................. 43 GRÁFICO N°. 8: ASA 5505 ................................................................................................. 45 GRÁFICO N°. 9: SONICWALL PRO 2040....................................................................... 47 GRÁFICO N°. 10: NETGEAR PROSECURE UTM25 .................................................... 49 GRÁFICO N°. 11: ZYXEL ZYWAL USG100 ................................................................... 51 GRÁFICO N°. 12: BARRACUDA 660 ............................................................................... 53 GRAFICO N°. 13: DISEÑO ACTUAL DE LA EMPRESA IT/CORP............................ 80 GRAFICO N°. 14: DISEÑO DE RED RECOMENDADO ............................................... 83 GRÁFICO N°. 15: CONFIGURACION DEL SERVIDOR FTP ..................................... 91 GRÁFICO N°. 16: CONFIGURACION DE ARCHIVO HOST ----------------------------PARA ZIMBRA .................................................................................................................... 94 GRÁFICO N°. 17: LIBRERIAS FALTANTES EN LA INSTALACIÓN-------------------DE ZIMBRA.......................................................................................................................... 95 GRÁFICO N°. 18: LIBRERIAS FALTANTES EN LA INSTALACIÓN-------------------DE ZIMBRA.......................................................................................................................... 96 GRÁFICO N°. 19: PROCESO DE INSTALACIÓN DE ZIMBRA ................................. 97 GRÁFICO N°. 20: ERROR DE DNS EN INSTALACIÓN DE ZIMBRA ...................... 98 ix GRÁFICO N°. 21: MENU DE CONFIGURACIÓN DE ZIMBRA ................................. 99 GRÁFICO N°. 22: SERVICIOS DE ZIMBRA ................................................................ 100 GRÁFICO N°. 23: CONSOLA DE ADMINISTRACIÓN DE ZIMBRA ...................... 101 GRÁFICO N°. 24: CONFIGURACION SERVIDOR PROXY ...................................... 110 GRÁFICO N°. 25: ASISTENTE DE CONFIGURACION DE DNS Y DHCP ............. 112 GRÁFICO N°. 26: CONFIGURACION DE DNS Y DHCP ........................................... 113 GRÁFICO N°. 27: CONFIGURACION DE FIREWALL .............................................. 122 GRÁFICO N°. 28: AÑADIR REGLAS EN EL FIREWALL ......................................... 124 GRÁFICO N°. 29: CRONOGRAMA DE ACTIVIDADES ........................................... 126 GRÁFICO N°. 30: DIAGRAMA DE GANTT – PARTE #1 ........................................... 127 GRÁFICO N°. 31: DIAGRAMA DE GANTT – PARTE #2 ........................................... 128 GRÁFICO N°. 32: PREGUNTA 1 .................................................................................... 106 GRÁFICO N°. 33: PREGUNTA 2 .................................................................................... 107 GRÁFICO N°. 34: PREGUNTA 3 .................................................................................... 108 GRÁFICO N°. 35: PREGUNTA 4 .................................................................................... 109 GRÁFICO N°. 36: PREGUNTA 5 .................................................................................... 110 GRÁFICO N°. 37: INSTALACION DE CENTOS .......................................................... 112 GRÁFICO N°. 38: PROCESO DE VERIFICACION DEL DISCO .............................. 113 GRÁFICO N°. 39: INICIO DE CENTOS ........................................................................ 114 GRÁFICO N°. 40: IDIOMA DE INSTALACIÓN .......................................................... 115 GRÁFICO N°. 41: IDIOMA DEL TECLADO ................................................................ 116 GRÁFICO N°. 42: PARTICIÓN DE LA UNIDAD ......................................................... 117 GRÁFICO N°. 43: PARTICIÓN DE LA UNIDAD ......................................................... 118 GRÁFICO N°. 44: ASIGNACIÓN DE ESPACIO EN LA UNIDAD ............................. 119 GRÁFICO N°. 45: ESPACIO DISPONIBLE................................................................... 120 x GRÁFICO N°. 46: PARTICIO SWAP ............................................................................. 121 GRÁFICO N°. 47: PARTICIONES CONFIGURADAS ................................................. 122 GRÁFICO N°. 48: GESTOR DE ARRANQUE ............................................................... 123 GRÁFICO N°. 49: CONFIGURACIÓN DE RED ........................................................... 124 GRÁFICO N°. 50: ZONA HORARIA .............................................................................. 125 GRÁFICO N°. 51: CONTRASEÑA ROOT ..................................................................... 126 GRÁFICO N°. 52: MODO GRAFICO GNOME ............................................................. 127 GRÁFICO N°. 53: SELECCIÓN DE SERVIDORES ..................................................... 128 GRÁFICO N°. 54: ASISTENTE DE CONFIGURACIÓN ............................................. 129 GRÁFICO N°. 55: CONFIGURACIÓN DE CONTAFUEGOS..................................... 130 GRÁFICO N°. 56: CONFIGURACIÓN DE SELINUX .................................................. 131 GRÁFICO N°. 57: CREACIÓN DE USUARIO .............................................................. 132 GRÁFICO N°. 58: INICIO DE WINDOWS 2003 SERVER .......................................... 133 GRÁFICO N°. 59: LICENCIA DE WINDOWS SERVER 2003 .................................... 134 GRÁFICO N°. 60: PARTICIÓN DEL DISCO DURO.................................................... 135 GRÁFICO N°. 61: ASIGNACÓN DE ESPACIO ............................................................ 136 GRÁFICO N°. 62: UNIDAD DE INSTALACIÓN DE WINDOWS .............................. 137 GRÁFICO N°. 63: ASIGNACÓN DE ESPACIO ............................................................ 138 GRÁFICO N°. 64: SELECCIÓN DE IDIOMA ............................................................... 139 GRÁFICO N°. 65: NÚMERO DE CONEXIONES CONCURRENTES ....................... 140 GRÁFICO N°. 66: CONTRSEÑA DE ADMINISTRADOR .......................................... 141 GRÁFICO N°. 67: CONFIGURACIÓN DE RED ........................................................... 142 GRÁFICO N°. 68: GRUPO DE TRABAJO ..................................................................... 143 GRÁFICO N°. 69: SCRIPT DE WEBMIN ...................................................................... 145 GRÁFICO N°. 70: CONFIGURACIÓN WEBMIN ........................................................ 146 xi GRÁFICO N°. 71: IP DE RED LAN (eth0)...................................................................... 149 GRÁFICO N°. 72: IP DE INTERFAZ WAN (eth1) ........................................................ 150 GRÁFICO N°. 73: IP DE LA DMZ (eth2)........................................................................ 150 GRÁFICO N°. 74: RED LOCAL ...................................................................................... 151 GRÁFICO N°. 75: PING A LA INTERFAZ DE LA LAN ............................................. 152 GRÁFICO N°. 76: PING A LA INTERFAZ DE LA WAN ............................................ 152 GRÁFICO N°. 77: TELNET A LA INTERFAZ DE LA LAN ....................................... 153 GRÁFICO N°. 78: TELNET DE UN SERVIDOR DE LA DMZ A UN---------------------EQUIPO DE LA LAN ........................................................................................................ 153 xii UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES GUÍA DE IMPLEMENTACIÓN DE UNA DZM (ZONA DESMILITARIZADA) PARA LA EMPRES IT/CORP Autor/a: Marixelinda Lisbeth España Escobar. Tutor: Ing. Francisco Palacios Ortiz. RESUMEN Actualmente la seguridad de la información en la red es un tema predominante para las organizaciones, ya que de ello depende su comunicación con otras organizaciones y la confiabilidad de los datos que manejan en la red. Por ello la necesidad de contar con una DMZ debido a que nos proporciona un nivel de protección adicional en la red de la organización. Una DMZ (Zona Desmilitarizada) es una pequeña red que se sitúa entre la red interna o LAN de la organización y la red externa o internet, la cual ofrece fiabilidad en el intercambio de la información y permite reducir los efectos de ataques maliciosos en la red interna de la organización. El objetivo de una DMZ es controlar los accesos que provienen desde el exterior de la red hacia interior de la red de la organización y proteger la confidencialidad de los datos manejados a través de la red. La importancia del presente proyecto radica en ofrecer una guía de implementación de una DMZ en la empresa IT/CORP, como parte del contenido se encontrara las diferentes alternativas hardware y software que pueden ser utilizadas como Firewall en la red de la empresa, la configuración de los servicios que estarán contenidos en la DMZ y las políticas que maneja la empresa para los accesos a la red. Se concluyó que una DMZ ofrece un nivel adicional en la red de una organización, además se puede contener aislados los servicios de la empresa. Además por medio de la utilización de un software libre se puede disminuir el nivel de inversión de la empresa para implementar una DMZ en la red. Se recomienda tener cuidado en la configuración de la reglas del Firewall para evitar tener problemas posteriores con los colaboradores de la organización. UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS CARRERA DE INGENIERIA EN SISTEMAS COMPUTACIONALES GUÍA DE IMPLEMENTACIÓN DE UNA DZM (ZONA DESMILITARIZADA) PARA LA EMPRES IT/CORP Autor/a: Marixelinda Lisbeth España Escobar. Tutor: Ing. Francisco Palacios Ortiz. ABSTRACT Currently, the information security in the network is a predominant theme for organizations, because it depends on your communication with other organizations and the reliability of data used in the network. Hence the need for a DMZ because it provides an additional level of protection in the network of the organization. A DMZ (Demilitarized Zone) is a small network that sits between your internal network or LAN of the organization and the external network or the Internet, which provides reliability in the exchange of information and reduces the effects of malicious attacks on the network internal organization. The purpose of a DMZ is to control the accesses come from outside the network to the inside of the organization's network and protect the confidentiality of data handled by the network. The importance of this project is to provide guidance for implementing a DMZ in the enterprise IT/CORP, as part of the content found different hardware and software alternatives that can be used as a firewall on the corporate network, configuring services that will be contained in the DMZ and the company that manages policies for network access. It was concluded that a DMZ provides an extra layer in the network of an organization and can contain isolated services company. Also through the use of free software can reduce the level of investment by the company to implement a DMZ on the network. Caution is advised in the configuration of the firewall rules to avoid future problems with employees of the organization. INTRODUCCIÓN El presente proyecto tiene como finalidad realizar una guía con los pasos adecuados para implementar una DMZ (Zona Desmilitarizada), como medio de protección de la red interna de la empresa IT/CORP1, con el objetivo de mejorar la seguridad de la institución a fin de salvaguardar toda la infraestructura tecnológica (Software, Hardware) que se pueda comprometer cuando algún intruso pretenda violar la seguridad. En la actualidad la seguridad es un tema fundamental para las organizaciones, las cuales son cada vez más dependientes de sus redes informáticas y un problema, por mínimo que sea, puede llegar afectar en sus operaciones diarias, la falta de medidas de seguridad para proteger la información confidencial y la popularidad del internet es un tema que va creciendo diariamente, por ello la importancia de tener una arquitectura que proporcione un nivel de seguridad mayor, como contar con una DMZ en la estructura de red de la empresa IT/CORP. 1 IT/CORP, es una empresa asesora en recursos de IT, asesoría tecnología, ofrecen servicios especializados en mantenimiento, helpdesk y administración de infraestructura, redes, etc. Fuente: http://www.it-corp.com/ Una DMZ (Zona Desmilitarizada) o Red Perimetral, es una red que se ubica entre la red interna (LAN) de una organización y la red pública (internet) que incorpora segmentos de red para acceder a los equipos internos de la empresa y la red pública; el objetivo de una DMZ es asegurar el intercambio de información entre la red externa y la red interna sin comprometer la seguridad de la empresa IT/CORP. Contar con una DMZ en la red proporciona un mayor nivel de seguridad y fiabilidad en la empresa, debido a que se consigue reducir los efectos de un ataque exitoso al proporcionar un aislamiento de la red interna con la red externa de la organización, sin comprometer la seguridad de la red de la institución y causar algún tipo de daño. Si la confidencialidad de la información es importante para cualquier individuo, en una empresa adquiere mayor magnitud, uno de los sistemas operativos utilizados para implementar una DMZ es Linux debido a que ofrece programas Open Source, lo cual es beneficioso para la economía de las PYMES (Pequeñas Y Medianas Empresas), sin embargo, no es el único que puede ser utilizado por cuanto en esta guía trataremos de recomendar la mejor solución a implementar, que se adapte al costo/beneficio de la empresa. 3 CAPITULO I EL PROBLEMA PLANTEAMIENTO DEL PROBLEMA UBICACIÓN DEL PROBLEMA EN UN CONTEXTO La necesidad de mejorar la seguridad en la red para reducir amenazas de seguridad que se presentan en las labores diarias, nos conlleva a mejorar las distribuciones de acceso en la red de la empresa IT/CORP, de manera que nos permita realizar un intercambio de información confiable. Actualmente el acceso a las tecnologías, incrementa las amenazas de seguridad en la red, debido a los múltiples conocimientos que se adquieren mediante la utilización de internet, los cuales no siempre son utilizados con fines benéficos, por lo cual debemos mantener protegida la red de la empresa día a día, esto se puede lograr mediante la utilización de una DMZ que es un complemento adicional de la infraestructura de red. 4 SITUACIÓN CONFLICTO NUDOS CRÍTICOS Muchos inconvenientes se inician por la falta de estrategias de protección contra las diferentes vulnerabilidades que se presentan diariamente, esto conlleva a que la red se encuentre expuesta a graves problemas de seguridad, a comprometer su información sensible y por ende su imagen corporativa. Al principio, las amenazas de internet no eran más que una molestia, sin embargo, los maliciosos ataques de hoy en día pueden llegar a entorpecer la actividad comercial de la empresa IT/CORP, por lo cual se debe disminuir los accesos no autorizados a la red e incrementar la seguridad para contar una mayor protección en la transferencia y acceso a la información. En esta Guía de Implementación de una DMZ, se expondrá la información relevante que permita al lector conocer como implementar una DMZ dentro de la red de la empresa IT/CORP, las configuraciones básicas de los servicios que son accedidos desde el exterior en la empresa IT/CORP y que estarán contenidos en la DMZ. 5 CAUSAS Y CONSECUENCIAS DEL PROBLEMA Las causas que motivan al problema, es incrementar el nivel de seguridad en los accesos a los servicios externos que proporciona la empresa IT/CORP, mediante la utilización de una DMZ para cubrir aun más las vulnerabilidades que se presentan en la situación laboral. CUADRO N°. 1 CAUSAS Y CONSECUENCIAS DEL PROBLEMA CAUSAS CONSECUENCIAS Exposición de la información Utilizar confidencial de la empresa con contenida en los servidores. Libre acceso de personal no de fines perjudiciales. Pérdida autorizado a la red. Transferencia datos autorizados. Incremento de tráfico en la red información no de información contenida en la red. Baja confiablidad en el intercambio de información. Disminución de acceso a la red por lo cual se formarían los cuellos de botella. Elaboración: Marixelinda España Escobar. Fuente: Marixelinda España Escobar. 6 DELIMITACIÓN DEL PROBLEMA Se debe tener en cuenta que a diario incrementan la cantidad de personas que desean violar la seguridad de la red de la empresa IT/CORP, por lo cual contar con una DMZ es un factor importante debido a que ésta se convierte en un callejón sin salida para cualquiera que desee conectarse ilegalmente a la red. Para obtener el diseño de red que maneja actualmente la empresa IT/CORP, se realizara una entrevista al jefe del departamento de redes e infraestructura de la organización, esta entrevista será realizada con el fin de obtener la información necesaria para la correcta elaboración del presente proyecto. Adicionalmente se investigara el diseño de red manejado actualmente por la empresa IT/CORP. Se efectuaran investigaciones para determinar el tipo de estructura adecuado que se puede utilizar con una DMZ, el cual se adapte al diseño de red de la empresa IT/CORP, y determinar el modelo de estructura de DMZ que será sugerido como referencia para el diseño de red de la empresa. 7 Se investigara el software, hardware que podrían ser utilizados cuando se realice la implementación de la DMZ que se sugiere en el presente proyecto para la red de la empresa IT/CORP, el cual se debe adaptar costo/beneficio que posee actualmente la organización. Se investigara y configurara los servicios de acceso que se van a restringir y permitir para los usuarios de la organización, con la finalidad de realizar una correcta configuración de la DMZ que será sugerida para la empresa IT/CORP. FORMULACIÓN DEL PROBLEMA Entonces, ¿Por qué no contar con una Zona Desmilitarizada para tener una mayor protección en la arquitectura de red de la empresa IT/CORP?, para prevenir de accesos no autorizados que pueden comprometer la estabilidad de red de la empresa y obtener un mayor nivel de seguridad en la organización. 8 EVALUACIÓN DEL PROBLEMA La elaboración de la presente guía está orientada a la red de la empresa IT/CORP, la cual no cuentan con una DMZ en la red, sin embargo, esta guía se orientara en establecer la mejor forma de implementar una DMZ y que ayude a tener controlado los accesos a la red que se realizan diariamente en esta institución. Contar con una guía de implementación de una DMZ, es de vital importancia debido a que será de gran ayuda para el personal técnico, el mismo que conocerá como realizar la implementación y la alta seguridad que se brinda por medio de una Zona Desmilitarizada. Una DMZ ayuda a minimizar los riegos de acceso de usuarios no autorizados que intentan comprometer la seguridad de la red de la empresa IT/CORP, debido a los distintos riesgos que van creciendo día a día en el entorno tecnológico. La guía de implementación de la DMZ será redactada de manera precisa y clara con los pasos adecuados para realizar una implementación de una DMZ, con la finalidad de que sea de utilidad para personal técnico de la empresa IT/CORP. 9 En la actualidad la inseguridad de las redes es un tema que va creciendo constantemente, por ello se debe mantener una alta seguridad en la red, para prohibir los accesos no autorizados y minimizar el nivel de riesgo al que está expuesta la información de la empresa IT/CORP. OBJETIVOS OBJETIVO GENERAL Elaborar una guía para realizar una implementación de una DMZ para la empresa IT/CORP, con la finalidad de asegurar la infraestructura de red, garantizando la confiabilidad de los sistemas de información e intercambio de servicios que proporciona esta Mediana Empresa y evitar los accesos indebidos de personal no autorizado a la red. 10 OBJETIVOS ESPECÍFICOS Evaluar las políticas de seguridad que deben ser tomadas en cuenta en la implementación de una DMZ (Zona Desmilitarizada) en la empresa IT/CORP y eliminar las comunicaciones directas entre la red corporativa interna y la red pública o internet. Estudiar la configuración adecuada de los accesos que debe tener el firewall para la correcta elaboración de la guía de implementación de la DMZ (Zona Desmilitarizada). Establecer los lineamientos para elaborar la guía de implementación de una DMZ (Zona Desmilitarizada) en la empresa IT/CORP, como un mecanismo de seguridad en la red de esta Mediana Empresa. 11 ALCANCES Se entrevistará al jefe de redes para determinar el diseño de red que se maneja en la empresa IT/CORP. Investigar el diseño de red que maneja actualmente la empresa IT/CORP. Investigar los tipos de estructura de red que se puedan manejar cuando se utiliza una DMZ. Determinar el modelo de estructura de DMZ que será sugerido como referencia para ser incorporado en la red de la empresa IT/CORP. Investigar el software, hardware adecuado que podría ser utilizado cuando se implemente una DMZ en la red, que mejor se adapte al costo/beneficio de la empresa IT/CORP. Investigar los servicios que se deben configurar para la adecuada utilización de la DMZ en la red de la empresa IT/CORP. Configurar los servicios que se van a restringir y permitir para los usuarios de la empresa IT/CORP. 12 JUSTIFICACIÓN E IMPORTANCIA La seguridad de la información y los equipos son cada vez más importante en una empresa ya que de ellos depende su comunicación con otras empresas y la integridad de su información, es por ello que se debe contar con una red cada vez más segura. Con la elaboración de la guía de implementación se verá beneficiada la empresa IT/CORP, la cual podrá realizar de manera práctica una implementación de una DMZ para asegurar la red de personal no autorizado que desea dañarla, y así contar con una protección adicional en esta organización. Así mismo se sabrá cómo mantener segura la información de personal no autorizado, cuya modificación solo sea realizada por las personas que se encuentren acreditadas y dentro de los límites de autorización establecidos por la empresa. En consecuencia, ayudará a que el personal tenga conocimientos de cómo realizar una DMZ en la organización, para proteger la integridad de la información y la imagen tecnológica que refleja la empresa al exterior. 13 El personal competente al analizar los riesgos que conlleva no tener protegida la información confidencial que se maneja en la empresa, los conduce a la necesidad de manejar una mejor estructura en la red en la organización, es por ello que nace el interés de contar con una guía de implementación de una DMZ, con el propósito de tener una propuesta de estructura de red, que pueda ser utilizada en la empresa IT/CORP. 14 CAPÍTULO II MARCO TEÓRICO ANTECEDENTES DEL ESTUDIO Para dar inicio a la comprensión del problema planteado, en el presente proyecto se analizaron varios trabajos de investigación, que de manera indirecta proporcionaron una base para el proceso de inicio de desarrollo del problema planteado, a continuación se mencionan los que sirvieron de antecedentes para la realización del presente proyecto. Entre los trabajos de investigación se encuentran el de Ferrer Berbejal, Mónica (Enero, 2006), para optar por el título de Ingeniería Técnica de Telecomunicaciones en la Universidad Politécnica de Cataluña, titulada “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa”; en este trabajo se plantea un estudio, implementación y análisis de tres tipos de firewall, los cuales están implementados en diferentes Sistemas Operativos como: Debian Sarge de Linux, Windows Server 2003 y OpenBSD, en los cuales se configuran los servicios más comunes que ofrece una empresa y que deben ser protegidos por medio de un firewall, además se realiza una simulación y análisis de las vulnerabilidades que 15 presentan los firewalls por medio de la herramienta Nessus. Este trabajo de investigación está disponible en: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf Arellano, Gabriel (Marzo, 2005), Facultad Regional Concepción del Uruguay en la Universidad Tecnológica Nacional, titulada “Seguridad Perimetral”, plantea alternativas de implantación para obtener una mayor seguridad en la red, como: DMZ con Muro Doble, Router “Apantallados”, Firewall, utilización de servicios Proxys e indica los diseños que se pueden considerar cuando se utilizan cada una de las alternativas de implantación. Esta investigación está disponible en la siguiente dirección: www.gabriel-arellano.com.ar/file_download/14 Zárate Pérez, Jorge A. y Farias Elinos Mario (Abril, 2006), titulada “Implementación de una DMZ”, en esta investigación muestra las líneas de configuración para el sistema OpenBSD, NetFlow, la sintaxis de reglas para realizar un filtrado de paquetes en la red, bloquea los paquetes falsificados (spoofing), ofrece como realizar NAT (Network Address Translation) y varias configuraciones para poder implementar una DMZ; una de las conclusiones a las cuales llego esta investigación es que la DMZ permite tener un nivel de seguridad aceptable, obtener un mayor control usuarioservicio, además que se requiere de un bajo mantenimiento de la misma y ofrece la 16 inspección de paquetes a nivel de aplicación. Esta investigación está disponible en la siguiente dirección: http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf Conza Gonsález, Andrea Elizabeth (Septiembre, 2009), para optar por el título de Tecnólogo en Análisis de Sistemas Informáticos en la Escuela Politécnica Nacional de Quito, titulada “Diseño e Implementación de un prototipo de DMZ y la interconexión segura mediante VPN utilizando el Firewall Fortigate 60”, este trabajo de investigación plantea diferentes alternativas de hardware y software que se pueden utilizar en la implementación de una DMZ, la alternativa de diseño de red que se puede implementar en el LTI (Laboratorios de Tecnologías de Información), la configuración de los servicios que se van a ofrecer en la DMZ a través del Firewall Fortigate, configuraciones de VPN en la red LTI, además se realizan pruebas del funcionamiento de la DMZ y la VPN. Una de las recomendaciones que se estableció en el trabajo de investigación es que se deben analizar las políticas que se implementen en el Firewall para evitar conflictos con los usuarios de la organización. Esta investigación está disponible en la siguiente http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf dirección: 17 Estos trabajos de investigación proporcionaron puntos importantes a tener en cuenta en la realización del presente proyecto, como son la adecuada utilización de las reglas que se vayan implementar en el Firewall y de los servicios que se vayan a utilizar en la DMZ, además sirvieron como adquisición de conocimientos en la utilización de diferentes Sistemas Operativos y hardware que se pueden utilizar en la implementación de una DMZ en la red. FUNDAMENTACIÓN TEÓRICA RED DE COMPUTADORAS Una red es un conjunto de equipos conectados entre sí, a través de cables de red, ondas o cualquier método de transmisión de datos, que se encargan de trasmitir información a quienes lo requieran y a su vez compartir recursos y servicios. MODELO OSI Se refiere al conjunto de etapas definidas por las que tienen que pasar las transferencias de datos en las redes. El Modelo de Referencia de Interconexión de Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System Interconnection), fue creado por el ISO (Organización Internacional de Estándares), 18 con la finalidad de hacer más fácil la comunicación entre las redes a pesar de sistemas operativos, arquitecturas, localización y fabricantes distintos. En las capas del modelo OSI cada dato se prepara para ir a la siguiente capa.2 GRÁFICO N°. 1 CAPAS DE MODELO OSI Elaboración: Cecilia Urbina Fuente:http://cecilia-urbina.blogspot.com/2010/08/modeloosi.html 2 Fuente: http://cecilia-urbina.blogspot.com/2010/08/modelo-osi.html 19 Capas Del Modelo OSI Capa Física Es el primer nivel del Modelo OSI y se encarga de las conexiones físicas que debe cumplir el sistema para que el computador pueda operar normalmente en la red, como el cableado, las conexiones entre las computadoras de la red, velocidad de transferencia, comunicación entre equipos o host y el flujo de bits. Capa De Enlace Esta capa obtiene los bits transmitidos por la capa física, además se encarga de la detección y control de errores que ocurren en esta capa, para esto agrupa la información que se va transmitir en unidades llamadas trama (bits ordenados) o bloques y los transmite a través del medio (LAN y WAN) e incluye en cada trama algoritmos los cuales permiten comprobar la integridad física de la trama. Capa De Red Esta capa es la encargada de determinar la transmisión de los paquetes, la forma en que serán enviados los datos y de encaminar cada uno a la dirección adecuada. Este nivel puede subdividirse en transporte y conmutación. 20 Transporte.- Es la encargada de encapsular los datos que van a ser transmitidos, en este nivel se encuentra el protocolo IP (Internet Protocol) encargada de encapsular los datos que se van a transmitir. Conmutación.- Es la encargada de intercambiar información de conectividad de la red, los router son dispositivos que trabajan en este nivel de la capa del Modelo OSI, en este nivel se encuentra el protocolo ICMP (Internet Control Message Protocol), este protocolo es el responsable de generar los mensaje cuando ocurre algún problema en la transmisión. Capa De Transporte Esta capa garantiza la calidad de la comunicación debido a que se asegura la integridad de los datos por medio de algoritmos de detección y corrección de errores, es aquí donde se envían los paquetes de la ruta de origen a la ruta destino, determina cómo y cuando se deben dividir los mensajes en trozos (datagramas), además de utilizarse la retransmisión para asegurase que lleguen los paquetes. 21 Capa De Sesión Es la encargada de controlar la conexión entre dos computadoras que estén realizando una transmisión de los datos, es un espacio de tiempo que se asigna para acceder al sistema por medio del login y obtener acceso a los recursos del computador, además si ocurre una interrupción se encarga de reanudar la conexión. Capa De Presentación Es la primera capa que se encarga de la representación de los datos a la capa de aplicación, esta capa utiliza los datos recibidos y los transforma en formatos que puedan ser entendidos por la capa de aplicación como son: imágenes, sonio, video, audio, etc. Capa De Aplicación Es la capa más cercana al usuario y a diferencia de los demás niveles no proporciona ningún servicio a ningún otro nivel, lo que realiza es una interacción con la capa de presentación y se refiere a las aplicaciones de red que se van a utilizar, además determina los protocolos que se van a utilizar para intercambiar datos como: HTTP, SMTP, POP, IMAP, etc. 22 MODELO TCP/IP El Modelo TCP/IP es un software, el cual puede ser implementado en cualquier tipo de red, está compuesto por cuatro capas o niveles, no define una capa física ni de enlace, en este modelo cada nivel se encarga de determinados aspectos de la comunicación. Todos los protocolos TCP/IP se encuentran en los tres niveles superiores de este modelo. GRÁFICO N°. 2 CAPAS DE MODELO TCP/IP Elaboración: Microsoft Fuente:http://technet.microsoft.com/es-es/library/cc786900%28WS.10% 29.aspx 23 Capas Del Modelo TCP/IP Capa De Acceso A La Red Esta capa especifica cómo se envían físicamente los datos a través de la red, incluye todos los detalles de la capa Física y Enlace del Modelo OSI, realiza asignaciones IP a las direcciones Físicas, encapsulamiento de los paquetes IP en tramas, además definirá la conexión con los medios físicos. Capa De Internet En esta capa realiza un enrutamiento de los datos en datagramas IP, que contendrán la dirección origen y destino, tiene como propósito seleccionar la mejor ruta para el envió de los paquetes por la red. Se utiliza el Protocolo de Internet (IP, Internet Protocol) para el servicio de encaminamiento a través de varias redes. Capa De Transporte Proporciona servicios de transporte entre el host origen y el host destino, aquí se forma la conexión lógica entre los puntos de la red, además proporciona una segmentación de los datos de la capa superior y es el encargado de definir el nivel de servicio y el estado de la conexión utilizada al transportar datos. El protocolo que se 24 utiliza en esta capa es el TCP (Transmission Control Protocol) Protocolo que Controla la Transmisión. Capa De Aplicación Esta capa maneja los protocolos de alto nivel, aspectos de representación, codificación y control de diálogo, también contiene las especificaciones para efectuar las aplicaciones comunes y cómo se conectan los programas de host a los servicios del nivel de transporte para utilizar la red, TCP/IP tiene protocolos que soportan la transferencia de archivos, e-mail, y conexión remota, como son los protocolos: FTP, TFTP, NFS, SMTP, TELNET, SSH. DIRECCIONES IP Los equipos para comunicarse en una red, requieren de una dirección de red única, se utiliza esta dirección IP para diferenciar un equipo de otro y ayuda a localizar donde se encuentra este equipo en la red. Existen cuatro clase de direcciones IP que se utilizan para ser asignadas a los equipos, la clase dependerá del tamaño y tipo de red que se utilice. 25 Una dirección IP está formada por 32 bits que se agrupan en octetos, además está compuesta por dos partes: ID de Red.- Es la primera parte de la dirección de red, es la que define el segmento de red al que pertenece el equipo. Todos los equipos del mismo segmento deben tener el mismo ID de Red. Están colocados siempre a la izquierda en la dirección de red. ID de Host.- Es la segunda parte de la dirección de red, son los bits que distinguen a un equipo de otro dentro de una red. Estos bits están colocados en la parte derecha de la dirección de red. Clases De Direcciones IP Existen cuatro clases de direcciones IP según el tamaño de la red de la organización, se optara por un tipo u otro. Direcciones De Clase A Las direcciones de clase A, son asignadas a redes con un número alto de equipos. Solo existen 124 redes, los tres bytes de la izquierda representan los equipos de la red. Esta clase corresponde a redes que pueden direccionar hasta 16.777.214 máquinas 26 cada una, lo cual indica que para las Direcciones de Clase A, las redes van de 1.0.0.0 a 126.0.0.0. Además el primer bit siempre es 0. La dirección de red 127.0.0.0 se reserva para las pruebas loopback. Direcciones De Clase B Las direcciones de red de clase B, permiten direccionar 65.534 máquinas cada una, donde los primeros dos bits son siempre 0 y 1. Esto significa que hay 16.382 redes posibles, es decir, por lo cual una Dirección de Clase B, va de 128.0.0.0 a 191.255.0.0. Direcciones De Clase C Las direcciones de red de clase C, se utilizan para redes de área local pequeña LAN, permiten direccionar 254 máquinas. Existen 2.097.152 direcciones de red de clase C, por lo tanto, las direcciones van desde 192.0.0.0 a 223.255.255.0. Donde los primeros tres bits son 1,1 y 0. Direcciones De Clase D, E y F Las direcciones de clase D, E y F son un grupo especial no se las asigna a host, se las utiliza para multicast, un servicio que permite trasmitir material a muchos puntos en 27 una internet a la vez. Donde los cuatro primeros bits son 1110, para una dirección de clase D, E y F, las direcciones van 224.0.0.0 hasta 254.0.0.0 SEGURIDAD INFORMÁTICA La seguridad es la ausencia de peligro, que tiende a garantizar la estabilidad, integridad y confiabilidad de algo o alguien. La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) sean utilizados de la manera correcta y que el acceso a la información almacenada, así como su modificación, sólo sea posible por las personas autorizadas. POLÍTICAS DE SEGURIDAD Una política de seguridad es tener una directiva predeterminada y una colección de acciones a realizar en respuesta a tipos de mensajes específicos. Cada paquete se compara, uno a uno, con cada regla de la lista hasta que se encuentra una coincidencia. Si el paquete no coincide con ninguna regla, fracasa y se aplica la directiva predeterminada al paquete.3 3 Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa” Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf 28 TIPOS DE ATAQUE Spoofing El intruso simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. El propósito de estos ataques es tentar al host atacado, para que acepte datos como si vinieran de la fuente original o bien para recibir datos que deberían ir hacia la máquina suplantada y alterarlos.34 Sniffing El Sniffing (“husmear en la red”) es un tipo de ataque de interceptación en el que una máquina diferente a la máquina destino lee los datos de la red. Esto tiene que ver con el uso de una interfaz de red para recibir datos no destinados a la máquina donde se encuentra dicha interfaz. 3 Negaciones de Servicio (DoS) Las negaciones de servicio o Denial of Service son ataques dirigidos contra un recurso informático con el objetivo de degradar total o parcialmente los servicios 43 Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa” Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf 29 prestados por ese recurso. En entornos donde la disponibilidad es valorada por encima de otros parámetros de la seguridad global puede convertirse en un serio problema, ya que se podría interrumpir constantemente un servicio sin necesidad de grandes recursos. Por otra parte este tipo de ataques constituyen en muchos casos uno de los ataques más sencillos y contundentes contra todo tipo de servicios. La inhabilitación de un servicio se suele hacer porque el atacante lo ha bloqueado totalmente o porque el propio servicio ha estado sometido a constantes ataques DoS.35 Barridos PING Uno de los ataques más comunes de Denegación de Servicio es el envío continuado de paquetes ICMP contra una dirección IP, de manera que respondan todas las máquinas que se encuentren en esa red. Este tipo de ataque puede ser fácilmente detectado por el administrador de la red ya que genera una gran cantidad de tráfico.3 Escaneo de puertos Este tipo de ataque es utilizado con herramientas que verifican los puertos que se encuentran abiertos en la red para de esta manera poner ingresar y controlar la red, también son utilizados para verificar los fallos en la red. 3 Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa” Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf 30 PARA EVITAR ATAQUES EN LA RED Para evitar ataques se debe codificar o cifrar la información, es decir, tener contraseñas de acceso, las cuales sean difíciles de averiguar a partir de datos personales del individuo. Realizar una vigilancia y monitoreo de la red, contar con una Zona Desmilitarizada, contar con tecnologías protectoras como los cortafuegos o Firewall, sistema de detección de intrusos antispyware, antivirus, llaves para protección de software, etc., proteger los sistemas de información con las actualizaciones de seguridad más importantes. SERVIDORES Servidor DNS Un servidor DNS (Domain Name Service), se utiliza para proporcionar a las computadoras de los clientes un nombre similar a las direcciones IP. Este servidor trabaja de forma jerárquica para intercambiar información y obtener direcciones IP de otras LAN. El uso de este servidor es transparente para los usuarios cuando éste está bien configurado. 31 Servidor DHCP Para que un equipo pueda comunicarse y realizar intercambio de información a través de la red, requiere de una dirección IP y una máscara, el Servidor DHCP (Dynamic Host Configuration Protocol), es el encargado de proporcionar una configuración dinámica de las direcciones IP para los equipos que se encuentran dentro de la red de la organización, además con la utilización de este servidor se puede evitar la asignación de IP de manera manual. Servidor De Correo El correo electrónico es el servicio más utilizado hoy en día y que ofrece la posibilidad de comunicarse rápidamente con todo el mundo desde una estación de trabajo, en el cual intervienen tres agentes el remitente, el agente de trasporte de correo y el destinatario. El remitente es el que da el formato, lo dirige y entrega al agente de transporte de correo, este agente es el encargado de aceptar los mensajes de los usuarios y encamina el mensaje por la red adecuada y el reenvío y finalmente el destinatario, entrega los mensajes al receptor. 32 Servidor de FTP El servidor FTP (File Transfer Protocol), ofrece transferencia de ficheros de un directorio a otro, se utiliza de modo cliente-servidor, el cliente FTP indica que desea acceder a los datos contenidos en el servidor, el servidor proporciona la dirección y el puerto aleatorio para permitir el acceso, luego el cliente se conecta y descarga la información deseada. ZONA DESMILITARIZADA (DMZ) Una Zona Desmilitarizada (DMZ, Demilitarized Zone) o también conocida como Red Perimetral, es una pequeña red local que se ubica entre la red interna de la organización y la red externa generalmente el internet. El objetivo de una DMZ es controlar los accesos desde el exterior hacia el interior de la red de la organización para proteger la confidencialidad de los datos que son manejados en la red y controlar los accesos desde la red interna hacia el exterior de la red, en caso de que intrusos intente comprometer la seguridad de los equipos situados en la red, por lo cual con la utilización de una DMZ se pude obtener un mayor nivel de seguridad en la red de la organización. 33 Una DMZ se la utiliza frecuentemente para ubicar servidores que se requieren que sean accedidos desde el exterior de la red, como lo son Correo, FTP, Web, etc., una DMZ se crea a través de las configuraciones del Firewall, por lo cual existen varios tipos y diseños de Firewall. Contar una DMZ en la red nos ofrecerá ciertas ventajas como tener mayor tolerancia a fallos, se podrá tener un mayor control de los accesos permitidos a los usuarios, mayor flexibilidad debido a que se pueden definir varias DMZ tanto como se necesite para proteger la red de accesos inseguros, además no se tendrá accesos directos a la red interna de la empresa. Es posible agregar varios niveles de DMZ agregando mas Router o Firewall, pero las reglas que se le apliquen a cada uno deben ser distintas, de lo contrario los niveles de DMZ se especificarian como si se tuviera uno solo. El siguiente grafico se utilizan dos Firewall, el exterior tiene como mision evitar el trafico hacia la red interna y hacia la red externa, el Firewall interior evita el trafico entre la red interna y la DMZ, la configuracion de los sistemas Dual – Host pueden ser complicados. 34 GRÁFICO N°. 3 CAPAS DE MODELO SCREENED SUBNET Elaboración: Unión Internautas Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16 &t=3611 Pero si se realiza una adecuada configuracion y administracion brinda algunas ventajas de seguridad, como: ocultamiento de la informacion, registro y autenticación de actividades, reglas de filtrado menos complejas, entre otras. Sin embargo, la DMZ también tiene ciertas limitaciones como: dificultad en la administración de reglas del Firewall que deben trabajar en conjunto para los accesos a la red, si las reglas no están bien elaboradas se puede tener una sensación de falsa seguridad en la red de la organización. 35 HISTORIA DE LA DMZ El nombre al sistema DMZ, es tomado de una franja de terreno neutral que separa a Corea del Sur con Corea del Norte, es tomado de la Guerra de Corea que se encontraba vigente y en tregua desde 1953, a pesar de que esta zona desmilitarizada es un terreno neutral es una de las más peligrosas del planeta, por lo cual DMZ se refiere a un área entre dos enemigos. FIREWALL Un Firewall o Cortafuegos es un sistema de seguridad de redes en el que se protege una máquina o subred de servicios que desde el exterior puedan suponer una amenaza a su seguridad. Dicho en otras palabras, es un sistema de aislamiento entre dos o más redes para evitar comunicaciones indeseadas. El Firewall actúa de filtro, de manera que examina todos y cada uno de los paquetes de información en base a unas reglas definidas. Es bajo una política de seguridad que decide qué paquetes puede aceptar, cuáles modificar o cuáles bloquear.36 3 Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa” Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf 36 Categorías De Los Firewall Identificar los distintos firewall que existen, nos permitirá tener una idea más clara de las configuraciones que se deben realizar para implementar una DMZ en la red de la empresa IT/CORP. Se indicara una descripción general de las categorías de Firewall que existe, como son: Firewalls de Filtración de Paquetes (Choke), Servidores Proxy a Nivel de Aplicación (Proxy Gateway de Aplicaciones) y Firewalls de Inspección de Paquetes (SPI, Stateful Packet Inspection). Firewalls de Filtración de Paquetes (choke) En esta categoría se aprovecha la utilidad del router para realizar el Filtrado de Paquetes, permite al administrador de red definir un conjunto de reglas para aceptar o denegar un paquete que se vaya a transmitir a través de la interfaz de red. El Firewall verifica esta dirección IP, de donde proviene el tráfico entrante y rechaza todo tráfico que no coincida con la lista de direcciones que se manejan en el Firewall. El Firewall de Filtración de Paquetes trabaja a nivel de la capa de transporte y capa de red del modelo OSI y están conectados a ambos perímetros de la red (interior y exterior). 37 El filtrado de paquetes se lo realiza según la información contenida en un paquete, como: IP origen y destino Puerto origen y destino Protocolo usado TCP/UDP. GRÁFICO N°. 4 FILTRACIÓN DE PAQUETES (CHOKE) Elaboración: Grupo de Seguridad del CEM Fuente: Firewall.ppt El filtrado de paquetes mediante direcciones IP y puertos, permite al administrador de la red establecer los servicios que estarán disponibles y determinar para que usuarios y por cuales puertos estarán disponibles. 38 Estos Firewalls tienen las ventajas de ser transparentes para los usuarios conectados en la red y tiene alta velocidad. Sin embargo presenta debilidades como: IP spoofing (Espionaje IP), la idea de este ataque es que los datos parecen originarse de una fuente confiable o incluso de una dirección IP propia de la red, no protege las capas superiores del modelo OSI, además las reglas de filtrado de paquete son difíciles de configurar y monitorear, cualquier error en la configuración puede dejarlo vulnerable ante los ataques. Servidores Proxy a Nivel de Aplicación (Proxy Gateway de Aplicaciones) Es un software de aplicación, el cual ser encarga de examinar las aplicaciones utilizadas por los paquetes, con la finalidad de comprobar la autenticación de los mismos. Estas aplicaciones se las conoce como Servidores Proxy y la maquina donde se ejecuta recibe el nombre de Gateway de Aplicaciones o Bastión Host. El proxy actúa como intermediario entre el servidor que se desea acceder y los equipos de una organización, siendo transparente para ambas partes, cuando un usuario desea un servicio en realidad no acceda directamente al servidor, sino que realiza una petición al proxy. Este realiza la conexión con el servicio que se desea acceder y devuelve el resultado al usuario que solicito el servicio. Su función es la de analizar el tráfico en busca de algún contenido que viole la seguridad de la red. 39 GRÁFICO N°. 5 PROXY GATEWAY Elaboración: Unión Internautas Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16 &t=3611 El trafico de cada aplicación requiere de una instalación y configuración para cada servicio como: HTTP, FTP, SMTP/POP3. Las ventajas que muestra este Firewall es que ofrece una mayor seguridad que el de Filtrado de Paquetes, sin embargo también tiene sus desventajas, como que no utilizan reglas de control de acceso para garantizar la conexión, la posibilidad de que personas puedan navegar anónimamente, además puede convertirse en un limitador al no permitir acceder a ciertos puertos y protocolos. 40 Firewalls de Inspección de Paquetes (SPI, Stateful Packet Inspection). Este Firewall examina todos los componentes de los paquetes que circulan por la red, con la finalidad de decidir si es aceptado o rechazado, inspecciona la comunicación entrante y saliente para verificar si realmente fue solicitada entonces podrá aceptarla, de lo contrario la rechazara. GRÁFICO N°. 6 INSPECCIÓN DE PAQUETES Elaboración: Grupo de Seguridad del CEM Fuente: Firewall.ppt Los datos que son aprobados pasan al siguiente nivel de inspección y el software determinar el estado de cada paquete de datos, así como también la procedencia y destino del mismo. Este Firewall se aplica desde la capa de red hasta la capa de transporte del Modelo OSI. 41 TIPOS DE FIREWALL Unos de los mayores inconvenientes que puede presentar un Firewall es que no protege de los ataques internos que se puedan producir en la red de la empresa, por ello es conveniente utilizar Firewalls internos, con la finalidad de brindar una protección desde el interior de la red. Para determinar el tipo de Firewall adecuado para proteger la red de la empresa, hay que tener en consideración los requerimientos de negocio de la empresa y el tamaño de red de la misma, de acuerdo a la implementación un Firewall se clasifican en: Firewall Appliance (Basados en Hardware) Firewall Basados en Software (gratuitos y comerciales) Firewall Appliance (Basados En Hardware) La mayoría de los Firewall Appliance son dispositivos hardware dedicados, estos equipos son colocados entre la red de la empresa y el internet, cuya función es la de implementar una política de acceso, son máquinas diseñadas exclusivamente para trabajar como Firewall especialmente para realizar filtrado de paquetes, la diferencia con los Firewall por Software es que estos equipos son elaborados para realizar esta 42 función y suelen venir preconfigurados, de modo que solo sea necesario conectarlo a la red, las actualizaciones son automáticas y pueden ser menos susceptibles a las fallas de seguridad que se presentan en los Sistemas Operativos utilizados para Firewall, debido a que estos Firewalls integran Sistemas Operativos desarrollados específicamente para ser utilizados como Firewall. Por lo general, los dispositivos de Firewall son más fáciles de instalar y configurar que los productos de Firewall de Software, además reducen la necesidad de escoger entre hardware, sistema operativo y software de filtrado debido a que todo viene configurado en un solo paquete, requieren un nivel de mantenimiento menor que los Firewall por Software y proporcionan un mayor nivel de seguridad aunque pueden ser muy costosos. 43 Alternativas De Firewalls Appliance 3Com® Office Connect® Internet Firewall DMZ GRÁFICO N°. 7 3COM OFFICECONNECT Elaboración: 3Com Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features &sku=3C16771-US&pathtype=support Este firewall bloquea el acceso no autorizado de la red, vienen preconfigurados y previene de ataques de denegación, ataques de hackers de servicio, disponible para 100 usuarios. Un puerto DMZ permite a los clientes acceder a su sitio sin exponer su red a los ataques. Para la seguridad global, también puede controlar y monitorear el acceso a Internet por los usuarios de LAN.47 4 Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support 44 CUADRO N°. 2 CARACTERÍSTICAS Y DESCRIPCIÓN 3COM OFFICECONNECT Características Hardware Descripción Sistemas operativos compatibles: Windows 2000 / 98 / 95/NT, Windows para Trabajo en Grupo, UNIX, Mac OS 7.5.3 y anteriores. Tenga en cuenta que este producto requiere de un módem o router con una 10BASE-T o la conexión Ethernet 10/100 BASE-TX. 3 Puertos RJ-45 10BASE-T 1 Puerto DMZ Interface 1 Puerto LAN a una red Ethernet de 10 Mbps o 10/100 Mbps switch. Conexión ISP Networking Protocolos soportados: TCP / IP, Dynamic Host Configuration Protocol, Network Address Translation Soporta hasta 100 usuarios Detalles Evita los ataques de denegación de servicios de hackers tales como: Ping de la Muerte, inundaciones SYN, ataque por tierra, suplantación de IP, y Bonk Elaboración: Marixelinda España Escobar Fuentes: http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16 771-US&pathtype=support http://latam.preciomania.com/search_techspecs_full.php/masterid=256926 /st=product_tab 45 Cisco ASA 5505 Firewall Edition Bundle GRÁFICO N°. 8 ASA 5505 Elaboración: Preciomania Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2 56926/st=product_tab El Cisco ASA 5505 Adaptive Security Appliance, es un dispositivo de seguridad con todas las funciones para las pequeñas empresas, sucursales y entornos empresariales que ofrece firewall de alto rendimiento, SSL e IPsec, VPN, redes y servicios ricos en un sistema modular, "plug-and-play" aparato. Uso de la Web integrado basado en Cisco Adaptive Security Device Manager, que puede ser desplegado rápidamente y de fácil manejo, permite a las empresas minimizar los costos de operaciones. El Cisco ASA 5505 ofrece un switch de 8 puertos 10/100 Fast Ethernet, cuyos puertos se pueden agrupar de forma dinámica para crear hasta tres VLAN separada para el hogar, los negocios y el tráfico de Internet para la segmentación de red mejorada y la seguridad.58 5 Fuente:http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_adaptativo _seguridad_series_asa5500.html 46 CUADRO N°. 3 CARACTERÍSTICAS Y DESCRIPCIÓN CISCO ASA 5505 Características Hardware Descripción RAM instalada (máx.) 256 MB Memoria flash (máx.) 64 MB Flash Protocolo de interconexión de datos Ethernet, Fast Ethernet Red / Protocolo de transporte: IPSec Interface Capacidad Peers VPN IPSec: 25 ¦ Peers VPN SSL : 2 Sesiones concurrentes: 25000 Interfaces virtuales (VLAN): 20 1 Puerto DMZ Networking Rendimiento Capacidad cortafuegos: 150 Mbps del Capacidad de la VPN: 100 Mbps Soporte para dos VPN para comunicación entre oficinas, con expansión de hasta 25 empleados Detalles Soporte para cualquier tipo de red de área local desde 5 usuarios. Appliance de seguridad que integra VPN. Switch de 8 puertos 10/100 que pueden ser agrupados en 3 VLans. Elaboración: Marixelinda España Escobar Fuentes: http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispo sitivo_adaptativo_seguridad_series_asa5500.html http://latam.preciomania.com/search_techspecs_full.php/masterid=256926/st =product_tab 47 SonicWall PRO 2040 VPN/Firewall GRÁFICO N°. 9 SONICWALL PRO 2040 Elaboración: Preciomania Fuente:http://latam.preciomania.com/search_techspecs_full.php/maste rid=2378586/st=product_tab SonicWall ofrece la serie PRO es una plataforma de seguridad multiservicio para empresas que requieren sólida protección de red, junto con un rápido y seguro acceso a VPN para trabajadores remotos.69 Vinculado a organizaciones que mueven grandes cantidades de datos críticos a través de extensas topologías de red complejas. Optimizado para redes de 200 o 50 lugares en la red, PRO 2040 reúne las ventajas del sistema operativo SonicOS en un dispositivo económico, rack montado, combina cortafuegos de inspección profunda de paquetes y capacidades de VPN IPSec. Con soporte para Gateway anti-virus, antispyware, prevención de intrusiones, filtrado de contenido y bloqueo de spam para ofrecer seguridad en capas de red.710 6 7 Fuente: http://www.sonicwall.com/lat/TotalSecure_Solutions.html Fuente: http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=product_tab 48 CUADRO N°. 4 CARACTERÍSTICAS Y DESCRIPCIÓN SONICWALL PRO 2040 Características Descripción RAM instalada 128 MB Hardware Interface Memoria flash instalada (máx.) 64 MB Flash 1 puerto LAN RJ-45 10/100Base-TX 1 puerto WAN RJ-45 10/100Base-TX 1 puerto DMZ RJ-45 10/100Base-TX 1 puerto Management RJ-45 Console Escanea más de 50 protocolos de red Networking Túneles VPN 50 de Sitio a Sitio Clientes VPN (máximo) 200 25 Interfaces VLAN Optimizado para redes de hasta 200 nodos o 50 lugares en la red. Detalles Es un tipo de producto Appliance VPN 25.000 Firmas de Amenazas Elaboración: Marixelinda España Escobar Fuentes: http://www.sonicwall.com/lat/TotalSecure_Solutions.html http://latam.preciomania.com/search_techspecs_full.php/masterid=23785 86/st=product_tab 49 Netgear ProSecure UTM25 GRÁFICO N°. 10 NETGEAR PROSECURE UTM25 Elaboración: Preciomania Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2 378586/st=product_tab Ideal para empresas que buscan ampliar la eficacia de puerta de enlace de seguridad en un paquete de alto rendimiento. Incluyen anti-malware/anti-virus líderes en la industria de exploración, híbrido en la nube, filtrado de URL, distribuidas Análisis de Spam y Anti-Spam con una en el arquitectura de las nubes, HTTP / HTTPS de inspección, SSL e IPSec VPN y soporte VoIP.811 NETGEAR ProSecure Gestión Unificada de Amenazas (UTM) combinan rendimiento con cobertura de la seguridad global. Pendiente de patente de tecnología Stream Scanning permite el uso de una extensa base de datos de virus y software malicioso, manteniendo un alto nivel de rendimiento y minimizar la latencia de exploración.912 8 Fuente: http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=product_tab 9 50 CUADRO N°. 5 CARACTERÍSTICAS Y DESCRIPCIÓN NETGEAR PROSECURE UTM25 Características Descripción 2 Puertos RJ-45 WAN 10/100/1000 Base-T 1 Zona de despeje Interface 4 Puertos LAN RJ-45 10/100/1000 Base-T 1 puerto consola administración RS-232 de 1 puerto USB Filtrado de URL HTTP / HTTPS de inspección SSL e IPSec VPN Networking Soporte VoIP. 8.000 conexiones máximo concurrentes 90 Mbps de Inspección de Paquetes Detalles Dimensiones: 1,70 cm Altura x 13 "de ancho x 8.20" de profundidad 15 Mbps promedio de Lucha contra el virus de rendimiento Elaboración: Marixelinda España Escobar Fuentes: http://www.prosecure.netgear.com/products/prosecure-utmseries/models.php http://latam.preciomania.com/search_techspecs_full.php/masterid=743185 679/st=product_tab 51 ZyXEL ZyWALL USG 100 GRÁFICO N°. 11 ZYXEL ZYWAL USG100 Elaboración: ZyXel Fuente: http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=200 40908175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A El ZyWALL USG 100 es de alto rendimiento, inspección profunda de paquetes plataforma de seguridad para pequeñas y medianas oficinas. Se incorpora un firewall, detección de intrusiones y prevención (IDP), filtrado de contenido, anti-virus, antispam, y VPN en una sola caja.1013 10 Fuente:http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&Category GroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A 52 CUADRO N°. 6 CARACTERÍSTICAS Y DESCRIPCIÓN ZYXEL ZYWALL USG 100 Características Hardware Descripción Memoria 256 MB DDR2 RAM 256 MB de memoria Flash 1 Puerto RJ-45 10/100/1000 Base-T DMZ Interface 4 Puertos LAN RJ-45 10/100/1000 Base-T 2 Puertos WAN RJ-45 10/100/1000 Base-T 2 Puertos USB 1 Puerto de consola DB-9 RS-232 de administración. IPSec VPN SSL VPN Networking filtro de contenido Anti-Virus IDP (detección y prevención de intrusiones) 25 Usuarios PC Certificado por ICSA Detalles Dimensiones del Producto: 1,40 cm Altura x 9,50 cm Anchura x 6,90 cm Profundidad. Elaboración: Marixelinda España Escobar Fuentes: http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908 175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A http://latam.preciomania.com/search_techspecs_full.php/masterid=91750 290/st=product_tab 53 Barracuda 660 Web Application Firewall GRÁFICO N°. 12 BARRACUDA 660 Elaboración: Barracuda Fuente:http://www.barracudanetworks.com/ns/products/web-sitefirewall-overview.php El Barracuda Web Application Firewall ofrece una protección completa de las aplicaciones Web y está diseñado para hacer cumplir las políticas, tanto para las normas de seguridad internas y externas de datos, tales como Payment Card Industry Estándar de Seguridad Informática (PCI DSS). Al mismo tiempo, el Barracuda Web Application Firewall 460 y modelos superiores disponen de un amplio conjunto de capacidades de entrega de aplicaciones diseñada para mejorar el rendimiento, escalabilidad y capacidad de gestión de datos más exigentes de hoy en día centro de las infraestructuras.1114 11 Fuente: http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php 54 CUADRO N°. 7 CARACTERÍSTICAS Y DESCRIPCIÓN BARRACUDA 660 Características Hardware Descripción Firewall Appliance 2 x RJ-45 10/100/1000Base-T LAN, Interface 1 x RJ-45 10/100/1000Base-T DMZ, 1 x DB-9 Serial RS-232 Management Dimensiones 1.70" Alto x 16.80" Ancho x 22.60" Profundidad HTTP / HTTPS / FTP Protocolo de validación Sitio Web encubrimiento Respuesta de Control Salida de Protección de Datos de Robo Políticas granulares a elementos Detalles Protocolo de cheques Carga de archivos de control Registro, Supervisión y Presentación de Informes Alta Disponibilidad Descarga de SSL Autenticación y autorización Elaboración: Marixelinda España Escobar Fuentes: http://www.barracudanetworks.com/ns/products/web-site-firewalloverview.php http://latam.preciomania.com/search_techspecs_full.php/masterid=804877 140/st=product_tab 55 Firewall Basados En Software Los Firewall Basados en software, resultan más económicos que los Firewall basados en Hardware, estos Firewalls se pueden configurar en base a la política de acceso que el administrador de redes implemente, sin embargo, presentan algunas situaciones que se deben considerar adecuadamente como la plataforma de hardware y el sistema operativo a utilizar debido a que en los sistemas como Windows o Unix se corren servicios que no son requeridos si la máquina va a funcionar como Firewall únicamente. Lo que hacen estos Firewall es analizar la peticiones de entrada / salida para bloquearlas o aceptarlas dependiendo de las políticas, sin embargo, su implementación dependerá de la dificultad de acceso que se requiera que tenga el Firewall, la velocidad de la máquina, la memoria, el procesador, etc. El administrador del sistema deberá monitorearlo constantemente, con la finalidad de instalar manualmente las actualizaciones más recientes de seguridad y del sistema operativo, que en algunos casos no es una tarea sencilla. Sin estas actualizaciones de seguridad, el software que utiliza el Firewall puede volverse totalmente inservible, como medio de protección de la red. 56 Actualmente también existen los Firewall personales, los cuales se pueden ejecutar en la maquinas de los usuarios con la finalidad de protegerlas del trafico que se genera dentro de la misma red, además permiten definir el trafico permitido hacia y desde cada host de la red. Alternativas De Firewalls Por Software Firestarter Firestarter es una herramienta cortafuegos gratuito para máquinas Linux, sea para proteger su estación de trabajo personal o si tiene una red de ordenadores. El software tiene como objetivo combinar la facilidad de uso con características de gran alcance, por lo tanto sirve para usuarios de escritorio Linux y administradores de sistemas.1215 Características: 12 Software de código abierto, disponible de forma gratuita La interfaz gráfica es fácil de usar. Un asistente le guiará a través de la configuración de su servidor de seguridad en su primera vez. Adecuado para uso en equipos de sobremesa, servidores y gateways. Servidor de seguridad en tiempo real de eventos. 12 Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html 57 Muestra los intentos de intrusión a medida que ocurren. Permite compartir la conexión a Internet, opcionalmente con DHCP servicio para los clientes. Le permite definir tanto la política de acceso de entrada y de salida. Abrir los puertos, la configuración de la directiva de servidor de seguridad con sólo unos clics del ratón. Habilitar el reenvío de puertos para la red local en cuestión de segundos. Opción para el tráfico en lista blanca o lista negra Zorp GPL Es una nueva generación de proxy privado de cortafuegos, se utiliza a nivel de proxies de aplicación, es modular y basado en componentes, se utiliza un lenguaje de script para describir las decisiones de política, que permite monitorear el tráfico cifrado, vamos a anular las acciones del cliente, que le permite proteger sus servidores con su construcción en las capacidades de IDS. La lista es interminable. Le da todo el poder que necesita para implementar su política de seguridad local.1216 12 Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html 58 Características: 12 Con un lenguaje script como el lenguaje de configuración y decisión (Python) Admite protocolos: HTTP, FTP, SSL, TELNET, etc. La utilización de puertas de enlace de aplicaciones modulares Capaz de analizar los sub-protocolos (por ejemplo, HTTP en SSL ) Puede añadir o eliminar reglas de filtrado de paquetes a la carta Turtle Permite realizar un servidor de seguridad de Linux de manera rápida y sencilla, basado en 2.4.x/2.6.x kernel e Iptables.13 Su forma de trabajar es fácil de entender, se 17 pueden definir elementos de servidor de seguridad diferentes (zonas, anfitriones, redes) y luego configurar los servicios que desea habilitar entre los diferentes elementos o grupos de elementos. Usted puede hacer esto simplemente editando un archivo XML o mediante la interfaz web, cómodo, Webmin. 12 Características: 12 12 13 Zonas, Redes, Anfitriones y Definiciones por Grupos. Las reglas de filtrado, definiciones basadas en servicios. NAT (traducción de Direcciones Web). Enmascaramiento. Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html Fuente: http://www.turtlefirewall.com/ 59 LutelWall Es una herramienta de configuración Linux de alto nivel, proporciona una fácil configuración para instalar Netfilter de manera segura. Su flexibilidad de permite a los administradores de Firewall construir desde muy simples cortafuegos a los más complejos, con múltiples subredes, DMZ y cambios de dirección del tráfico.1418 Puede ser utilizado en un sistema de servidor de seguridad un multi-función de Gateway / router / servidor o en un sistema autónomo. Este servidor de seguridad está diseñado para ser lo más simple posible, sin perder la flexibilidad de Netfilter y sus características de seguridad.14 LutelWall es un script de Shell Linux Iptables escrito en bash para su uso como un firewall y NAT / router para las redes de una o varias subredes.12 Características: 12 12 14 Detección automática del tipo de conexión (estático/dinámico externo/interno) Actualización automática de la herramienta de servidor de seguridad. Muestra estadísticas de firewall en iptables, o en formato HTML. Fácil implementación en todas las distribuciones. Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html Fuente: http://firewall.lutel.pl/ 60 Endian Endian es una "llave en mano" de distribución de seguridad de Linux que convierte cada sistema en un dispositivo de seguridad con todas las funciones de gestión unificada de amenazas (UTM). El software ha sido diseñado con la facilidad de uso y es muy fácil de instalar, utilizar y gestionar, sin perder su flexibilidad. 1519 Características: 12 Firewall de inspección de paquetes con estado. Proxies a nivel de aplicación para los distintos protocolos (HTTP, FTP, POP3, SMTP) con el apoyo de antivirus, virus. Filtrado de spam para el tráfico de correo electrónico (POP y SMTP). Filtrado de contenido de tráfico de Internet Smoothwall SmoothWall Express es una distribución de código fuente abierto basado en firewall de GNU / Linux de sistema operativo. SmoothWall incluye un subconjunto endurecido del sistema operativo GNU / Linux, por lo cual no se lo puede separar del sistema operativo al instalar. Diseñado para la facilidad de uso, SmoothWall se 12 15 Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html Fuente: http://www.endian.com/en/community/overview 61 configura a través de un GUI basado en web, y no requiere absolutamente ningún conocimiento de Linux para instalar o utilizar.12 20 CentOS Es una de las distribuciones de Linux que ofrece más robustez y dinamismo con respecto al trabajo y lo necesario de cualquier índole, esta distribución ofrece varias funciones entre la cuales tenemos: Servidor web Apache (SSL), Servidor de correo Postfix con SMTP-AUTH y TLS, Servidor DNS BIND, Servidor FTP ProFTP, Servidor MySQL, Servidor POP3/IMAP POP3/IMAP, Firewall, etc. 12 Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html 62 ANÁLISIS COMPARATIVO A continuación se mostraran los costos de los dispositivos Firewall, los cuales fueron nombrados anteriormente, considerando el tamaño de la organización. CUADRO N°. 8 LISTA DE PRECIOS DE FIREWALL Firewalls Tamaño Empresa Precio 3Com® OfficeConnect® Internet Firewall DMZ Pequeña y Mediana Empresa $ 252.10 Cisco ASA 5505 Firewall Edition Bundle Pequeña y Mediana Empresa $ 549.00 SonicWall PRO 2040 VPN/Firewall Medianas Empresas $ 1,770.00 Netgear ProSecure UTM25 Pequeña y Mediana Empresa $ 379.00 ZyXEL ZyWALL USG 100 Pequeña y Mediana Empresa $ 361.00 Barracuda 660 Web Application Firewall Pequeña y Mediana Empresa $ 16,054.00 Elaboración: Marixelinda España Escobar Fuentes: http://www2.shopping.com/firewall/products?CLT=SCH http://latam.preciomania.com 63 Selección De La Mejor Alternativa De Firewall Considerando que la empresa IT/CORP es una Mediana Empresa, que no realiza inversión anual para los equipos del área de redes, se concluye que es necesario utilizar un Firewall Software para la configuración de la DMZ en la red, como el software CentOS 5.2 que es utilizado actualmente en el Firewall. Sin embargo, si la empresa en un futuro desea invertir en equipos de redes se recomienda la utilización de un Firewall Appliance, debido a que son equipos dedicados y son fáciles de implementar y configurar debido a que proporcionan un Sistema Operativo creado para Firewall. El Firewall Appliance que se recomienda para la empresa IT/CORP es CISCO ASA 5505 Firewall Edition Bundle, debido a que se ajusta a las necesidades que posee actualmente la empresa, le proporciona 8 puertos de red, para un futuro crecimiento proporciona 25000 sesiones recurrentes, posee un bajo costo de inversión al minimizar los costes de operaciones y varias características adicionales que están expuestas anteriormente. 64 FUNDAMENTACIÓN LEGAL La autoría de esta tesis de grado corresponde exclusivamente a los subscritos, pertenecientes a la Universidad de Guayaquil los derechos que generen la aplicación de la misma. (Reglamento de Graduación de la Carrera de Ingeniería en Sistemas Computacionales, Articulo 26). HIPÓTESIS Si se configura adecuadamente los parámetros de la DMZ para la empresa IT/CORP se lograra tener una mayor seguridad en la red de la empresa. Si la empresa IT/CORP no tiene configuradas adecuadamente las políticas de seguridad y no lleva un control de su Firewall se comprobara que las comunicaciones son directas entre la red interna y la red externa. 65 VARIABLES DE LA INVESTIGACIÓN Las variables a considerar en la realización del proyecto “Guia de Implementacion de una DMZ” son las siguientes: VARIABLE INDEPENDIENTE Guía De Implementación De Una DMZ Una guía de implementación de una DMZ es un documento que contiene información adecuada y comprensiva acerca de cómo se debe implementar una DMZ en la red, con la finalidad de llevar a cabo el funcionamiento de la DMZ en la red de la empresa IT/CORP, es realizada para los usuarios que poseen poca experiencia acerca de este tema, e incluso podrá ser utilizada para mejorar la seguridad en la red que posee actualmente la empresa. 66 VARIABLE DEPENDIENTE Firewall Como Medio De Protección En La Red Un Firewall sirve como medio de protección para la red interna de la empresa, además ayuda a tener un mejor control de los accesos e intercambio de información en la red, adicionalmente por medio del Firewall se determinan las políticas y accesos que se permiten a los diferentes usuarios en la red haciendo uso de la DMZ. 67 DEFINICIONES CONCEPTUALES BIT.- Es la unidad mínima de información, con el cual se pueden representar valores en informática. PROTOCOLO IP (INTERNET PROTOCOLO).- Es un protocolo usado para la comunicación de datos a través de una red. DATAGRAMAS.- Son datos que viajan a través de la red que son tratados de forma independiente, los que contienen una dirección IP y los datos que van a ser enviados al destino. ENRUTAMIENTO.- También conocido como encaminamiento o ruteo, es el camino o ruta por el que viajan los datos que son enviados desde un origen para llegar a su destino. ENCAPSULAMIENTO.- Es el ocultamiento del estado de un objeto de la red de manera que solo pueda cambiar mediante operaciones establecidas para ese objeto. 68 LAN (LOCAL ÁREA NETWORK).- Es una red de área local o red interna, que conecta los ordenadores en un área pequeña de una organización. WAN (WIDE AREA NETWORK).- Es una red de área amplia o red externa, la cual contiene varias maquinas a grandes distancias geográficas para la comunicación entre LAN. VLAN (VIRTUAL LAN O RED DE ÁREA LOCAL VIRTUAL).- Es una red de ordenadores lógicamente conectados dentro de una misma red física. DMZ.- Pequeña red que se ubica entre la red Interna o LAN de una organización y la red externa comúnmente conocido como el Internet. FIREWALL.- Un firewall es un dispositivo que funciona como medio de protección entre las redes, permitiendo o negando las transmisiones de una red hacia otra, lo más común es situarlo entre la red interna y la red externa, para evitar que intrusos accedan a la información confidencial de una organización. 69 CAPÍTULO III METODOLOGÍA DISEÑO DE LA INVESTIGACIÓN MODALIDAD DE LA INVESTIGACIÓN Para la realización del tema de acuerdo al problema planteado se determinó que la modalidad de investigación es bibliográfica, la cual consta de 30% campo y 70% bibliográfica. La modalidad escogida es debido a que el proyecto se basa en establecer los pasos para implementar una DMZ en el diseño de red que utiliza actualmente la empresa IT/CORP, obtener una configuración adecuada y los servicios que se deben configurar para implementar una DMZ en la red, para ello se procedió a recopilar y verificar material bibliográfico, con la finalidad de alcanzar los objetivos planteados. La investigación Bibliográfica, se basa en el estudio que se realiza a partir de la revisión de diferentes fuentes bibliográficas o documentales sobre el tema de investigación, en esta modalidad predomina el análisis, la investigación y opinión. 70 La investigación y recolección de información que permite estudiar y evaluar el proyecto de estudio se efectuó sobre la misma empresa donde se realiza el proyecto, como es la empresa IT/CORP. TIPO DE INVESTIGACIÓN Se determino que el tipo de investigación a utilizar, es descriptivo, puesto que pretende ante todo expresar los pasos de como implementar una DMZ en la red de la empresa IT/CORP, para aumentar la seguridad y prevenir de accesos no autorizados en la red. Asimismo este tipo de investigación nos permite realizar una descripción de la situación o realidad de la red de la empresa IT/CORP. POBLACIÓN Y MUESTRA Se estableció como población de estudio el Departamento de Infra-Net, el cual está referido a cuatro personas responsables de manejar la red de la empresa IT/CORP, la muestra se definió como no probabilística, debido a que la elección de los elementos no dependen de la probabilidad y estas son las unidades directamente involucradas en el problema de estudio. 71 OPERACIONALIZACIÓN DE VARIABLES CUADRO N°. 9 MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES Variables Dimensiones Indicadores Guía Información del trabajo de investigación. Variable Independiente Guía de implementación de una DMZ para la empresa IT/CORP. Técnicas y/o Instrumentos Ejecución de cada Implementación paso para el logro Bibliografía, de La Guía de cómo de los objetivos. implementación es un estructurar una documento que contiene DMZ Red pequeña información adecuada y entre la red comprensiva acerca de interna y la red cómo se debe DMZ externa como implementar una DMZ medio de en la red de la empresa seguridad. IT/CORP. Variable Dependiente Firewall Medio de Protección en la red. Seguridad Configuraciones del Firewall para protección de la información. El Firewall Es la variable dependiente debido a que depende de las configuraciones que se le realicen para contar con una DMZ en la red e la empresa IT/CORP. Red Elaboración: Marixelinda España Escobar Fuente: Marixelinda España Escobar Bibliográfica, acerca del Firewall, configuraciones de seguridad. Conjunto de equipos conectados que Entrevistas. proporcionan diferentes recursos 72 INSTRUMENTOS DE RECOLECCIÓN DE DATOS LA TÉCNICA La técnica utilizada para la recolección de información, es de campo, debido a que se realizo una entrevista al Gerente del área de Redes e Infraestructura de la empresa IT/CORP, la cual nos ayudara a conseguir los objetivos propuestos en el presente proyecto y obtener una amplia información de la empresa IT/CORP. Además se realizo una entrevista a la Junta de Beneficencia que posee DMZ, con la finalidad de obtener información adicional acerca del diseño de red utilizado y la configuración de los servicios protegidos en la DMZ, para el correcto desarrollo del presente proyecto. 73 INSTRUMENTOS DE LA INVESTIGACIÓN Los instrumentos utilizados para la recopilación de la información son la entrevista y la investigación bibliográfica. La entrevista, está conformada por preguntas abiertas, para recabar la mayor información posible acerca de la estructura de red utilizada en las empresas, los accesos que se permiten y procedimientos para la elaboración adecuada del presente proyecto de investigación. Asimismo se realizo una observación directa, en el sitio donde se suscitan los hechos, es decir, la empresa IT/CORP, la cual tuvo como finalidad comprobar la veracidad de los datos obtenidos. Se escogió este tipo de observación debido a que permite participar en el proceso investigativo desde el mismo lugar donde acontecen los hechos. En la investigación bibliográfica, se reviso en primer lugar los antecedentes de estudio, las cuales nos permiten tener una amplia visión acerca del tema y comprender su desarrollo; al mismo tiempo se hizo uso del internet para obtener 74 información útil e importante en el desarrollo del tema, para posteriormente proceder a la interpretación y adaptación de la información recabada de acuerdo a los objetivos que persigue el presente proyecto. VALIDACIÓN La validación de los instrumento utilizados para realizar la entrevista al personal de la empresa IT/CORP y la encuesta realizada a los Profesores de Sistemas Operativos y Redes y/o tutores del segundo seminario de fin de carrera, para la correcta elaboración de la Guía de Implementación de la DMZ, se entrego a los siguientes expertos los cuales evaluaron y aprobaron los instrumentos utilizados. Los expertos que evaluaron los instrumentos de recolección de datos son: Oswaldo Aguilar Villena Lcda. Rosa Pérez Ramírez Abg. Miguel Sarmiento Abg. Juan Chávez Ing. Luis Dier. 75 PROCEDIMIENTOS DE LA INVESTIGACIÓN Los procedimientos a seguir para el desarrollo de la investigación son los siguientes: Problema Planteamiento del problema Alcances de la Investigación Objetivos de la Investigación Justificación o importancia de la investigación Marco Teórico Fundamentación teórica Fundamentación legal Hipótesis Variables de la Investigación Definición de términos Metodología Diseño de Investigación (Tipo de Investigación) Población y Muestra Instrumentos de Recolección de Datos Operacionalización de variables, dimensiones e indicadores Procedimiento de la Investigación Criterios para la elaboración de la propuesta 76 RECOLECCIÓN DE LA INFORMACIÓN La técnica utilizada para recolectar información es la entrevista, la misma que fue realizada en la empresa IT/CORP, mediante la cual se logro obtener los datos necesarios para el desarrollo del presente proyecto. Además se realizo una entrevista a la Junta de Beneficencia de Guayaquil, para tener referencia acerca de la estructura de la DMZ que poseen en su red, las políticas y los accesos permitidos en la red que poseen actualmente. Para la recolección de datos se realizaron las siguientes actividades: a. Visita a la empresa IT/CORP para proceder con la entrevista y el levantamiento de información necesaria para la realización del proyecto. b. Observación directa en la empresa IT/CORP para comprobar la veracidad de los datos obtenidos. c. Realización de la entrevista al Gerente de la Junta de Beneficencia de Guayaquil, para recolectar información adicional acerca de la estructura de una DMZ. 77 d. Análisis cualitativo de las entrevistas realizadas, para determinar la estructura de red utilizada por las empresas. e. Elaboración de una encuesta aplicada a los profesores de Sistemas Operativos y Redes y/o tutores del Segundo Seminario de Fin de Carrera que trabajan en la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil, con el objetivo de validar el problema plateado. f. Revisión bibliográfica de textos referentes a implementación de una DMZ en la red con la finalidad de poder elaborar adecuadamente el presente proyecto. PROCESAMIENTO Y ANÁLISIS Una vez realizada la entrevista en la empresa IT/CORP y en la Junta de Beneficencia de Guayaquil, se procedió a realizar un análisis general de los datos obtenidos, acerca de la situación presentada por los entrevistados en las empresas, el análisis se puede observar en el Anexo #2. 78 CRITERIOS DE VALIDACIÓN DE LA PROPUESTA La técnica utilizada para validar la propuesta del presente proyecto, fueron las encuestas realizadas a los profesores de Sistemas Operativo y Redes y/o a los tutores del Segundo Seminario de Fin de Carrera que trabajan en la Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil. En donde se realizo un cuestionario de preguntas cerradas. (Ver Anexo #3) La técnica utilizada para el análisis de los datos en la validación de la propuesta es cuantitativa, debido a que se realizo un conteo y tabulación de los datos obtenidos en un archivo de Excel para su posterior análisis y representación grafica. El resultado de las mismas se puede observar en el Anexo #4. 79 CAPÍTULO IV GUÍA DE IMPLEMENTACIÓN DE UNA DMZ EN LA RED DE LA EMPRESA IT/CORP IT/CORP es una empresa asesora en recursos tecnológicos, desarrolla e implementa proyectos de software acorde a las necesidades de cada cliente, cuenta con 24 profesionales capacitados para cumplir con los requerimientos del cliente y ofrecer de la mejor forma un servicio e información confiable al usuario, profesionales especializados en brindar sus servicios para obtener el mayor índice de satisfacción del cliente. Cada servicio que ofrece es de manera rápida y efectiva dando a notar su profesionalismo en las diferentes áreas de la empresa. En esta sección se indicaran los pasos adecuados que se deben para realizar para la correcta configuración de una DMZ en el diseño de red que posee actualmente la empresa IT/CORP y se indicara la configuración de cada uno de los servicios con los que cuenta la empresa en la red. 80 GRAFICO N°. 13 DISEÑO ACTUAL DE LA EMPRESA IT/CORP Elaboracion: Empresa IT/CORP Fuente: Empresa IT/CORP DESCRIPCIÓN DEL DISEÑO ACTUAL DE LA EMPRESA IT/CORP Actualmente la empresa IT/CORP, en su infraestructura de red cuenta con lo siguiente: Poseen un Router Cisco 800, que es el proveedor del servicio de internet el cual se encuentra ubicado entre el Firewall externo proporcionado por la empresa Telconet como un medio adicional de seguridad y el equipo que funciona como Firewall en la 81 red de la empresa, el cual además de funcionar como Firewall, tiene integrado el Proxy, Correo y FTP. El equipo que funciona como Firewall es un PC-Clon, el cual se encuentra entre el Router Cisco 800 que provee internet a la empresa y el switch que reparte la red a los usuarios de la LAN, este equipo posee la siguientes características: Mainboard Intel DG43BT, un procesador Core 2 duo 3.0 GHZ, 500 GB de Disco Duro y 2 GB de memoria RAM, el software que opera en este equipo es una distribución Linux CentOS 5.2, como software de Correo poseen Zimbra 5.6 El switch que proporciona la red a los usuarios de la LAN de la organización, es un Switch TPLINK, modelo TLF-1024, con 24 puertos disponibles. El Servidor de Dominio y DHCP que es utilizado en la red LAN de la empresa IT/CORP, es un equipo HP-ML150, procesador Intel Xeon E5520 (4 núcleos, 2,26 GHz, 8 MB L3, 80W), memoria RAM de 4 GB; el software que opera en este equipo es Windows Server 2003. Como conexión a la red utilizan cable categoría 5e y los equipos de los usuarios poseen los siguientes Sistemas Operativos: Windows7 Professional, Windows Vista 82 Ultimate y Windows XP Professional SP3. La empresa Telconet proporciona un ancho de banda de 1 Mb. Adicionalmente la empresa IT/CORP posee 1 equipo Wireless. Actualmente en la red LAN existen 24 usuarios, de los cuales 4 son de Administración, 9 Desarrolladores, 6 Técnicos, 3 de Networking y 2 del área Comercial. Las maquinas existentes en la empresa actualmente son 11 laptops y 13 Desktop. 83 GRAFICO N°. 14 DISEÑO DE RED RECOMENDADO Elaboracion: Marixelinda España Escobar. Fuente: Marixelinda España Escobar. DESCRIPCIÓN DEL DISEÑO RECOMENDADO PARA LA EMPRESA IT/CORP En el Diseño que se recomienda para la empresa IT/CORP, se utilizan los dispositivos de red con los que cuenta actualmente la empresa en su infraestructura, el cual se recomienda de la siguiente manera: 84 Router Cisco 800, que es el proveedor del servicio de internet el cual se mantendrá ubicado entre el Firewall externo proporcionado por la empresa Telconet y el equipo que funciona como Firewall en la red de la empresa, el cual funcionara en una PCClon, con las siguientes características: Mainboard Intel DP55KG, procesador I5 Core 2 Duo, 500 GB de Disco Duro y 8 GB de memoria RAM, el cual operara bajo la distribución de Linux CentOS 5.2 La DMZ contendrá un Servidor FTP y el Servidor de Correo, que permitirá las conexiones externas de la empresa, bajo Distribución CentOS 5.2, esto debido a que la empresa actualmente no invierte en equipos dedicados para la red, ya que utilizan distribuciones libres, las cuales pueden ser implementadas en un equipo normal, estos servidores podrán funcionar bajo un equipo PC-CLON con similares características al equipo que funciona como Firewall y para el Servidor de Correo se mantendrá utilizado Zimbra 5.6 que es el maneja actualmente la empresa y sus usuarios ya se encuentran familiarizados con el mismo. El Switch TLF-1024 seguirá proporcionando red a los usuarios y a los servidores que se encuentran dentro de la red de la empresa IT/CORP, el cual se mantendrá entre la red LAN y el Firewall de protección para la red. 85 El Servidor Proxy, funcionara bajo el equipo PC-CLON que poseen actualmente como Firewall, bajo el sistema operativo CentOS 5.2 que es el utilizado actualmente por la empresa. El servidor de Dominio y DHCP continuara funcionando en el servidor HP-ML150 el cual es utilizado actualmente por la empresa, bajo el sistema operativo Windows 2003 Server. Lo restante de la infraestructura que posee la empresa seguirá funcionando como lo hace actualmente, con Sistemas Operativos: Windows 7 Professional, Windows Vista Ultimate y Windows XP Professional SP3, para los equipos de la red LAN. 86 CONFIGURACIÓN DE LOS SERVICIOS DE LA EMPRESA IT/CORP Con el fin de comprobar el diseño recomendado para la empresa IT/CORP, se utilizaron maquinas virtuales, para levantar cada uno de los servicios con los que cuenta actualmente la empresa y comprobar las configuraciones que se deben realizar para incluir una DMZ en la red de la empresa IT/CORP. Los servicios que estarán contenidos en la DMZ son los siguientes: Servidor FTP Servidor de Correo Los servicios que estarán contenidos en la Red Interna de la empresa IT/CORP son los siguientes: Servidor Proxy Servidor DNS y DHCP Previo a la configuración de cada uno de los servicios con los que cuenta la empresa, se debe realizar la instalación de CentOS 5.2 (Ver Anexo #5), para el Firewall, Correo, FTP, Proxy, además en el Servidor que funcionara como DNS y DHCP se debe instalar Windows Server 2003 Standard Edition (Ver Anexo #6). 87 A continuación se indicaran los pasos para configurar los servicios con los que cuenta actualmente la empresa IT/CORP y los servicios que estarán contenidos en la DMZ. SERVIDOR FTP En el equipo que funcionara como servidor FTP, posterior a la instalación de CentOS 5.2 (Ver Anexo #5), se procederá a instalar el servicio que será utilizado para el Servidor FTP, para iniciar la instalación se debe ingresar como root o administrador en el Servidor, se puede iniciar el servicio vsftpd el cual será utilizado en el Servidor FTP, en caso de que el servicio ya se encuentre instalado en el servidor se debe dirigir al menú sistema, administración, Configuración de Servidores, Servicio y posteriormente buscar el servicio vsftpd e iniciarlo para poder utilizarlo el servidor FTP, en caso de que no exista el servicio se puede instalar el paquete vsftpd para lo cual se debe abrir un terminal y digitar lo siguiente: yum install –y vsftpd, para descargar el paquete para utilizar el FTP FTP utiliza un archivo de configuración localizado en /etc/vsftpd/vsftpd.conf, en el cual existen un gran número de parámetros que pueden ser habilitados o negados, si no requiere cambiar la configuración por defecto entonces no se deben descomentar las líneas de configuración predefinidas, el signo # indica que la línea esta comentada, 88 si requiere modificar el archivo vsftpd se deben descomentar los parámetros de configuración que el administrador considere necesarios, caso contrario puede provocar problemas en tiempo de ejecución, además se debe evitar dejar espacios cuando se modifican los parámetros de configuración. Además se deberá crear manualmente un archivo en la siguiente ruta /etc/vsftpd/ el cual será nombrado como chroot_list, en donde se indica una lista de usuarios que ingresaran como invitado al servidor FTP, si no se crea este archivo no se configurarán los usuarios invitados para el servidor FTP El fichero denominado chroot_list contendrá los nombres de los usuarios FTP que trabajaran únicamente en su directorio de trabajo, de esta manera es restringido el acceso a otras partes del sistema operativo, cualquier otro usuario que no esté agregado en este archivo podrá ingresar a cualquier parte del sistema operativo. Se debe abrir el archivo de configuración vsftpd.conf con el editor de preferencia, para realizar las modificaciones que considere convenientes el administrador, en cada una de los parámetros se debe digitar YES o No de acuerdo a lo que se requiera, los parámetros de configuración para el servidor FTP son los siguientes: 89 El parámetro anonymus_enable, se utiliza para habilitar o negar el acceso de usuarios anónimos al servidor FTP, este parámetro está habilitado de manera predefinida. El parámetro local_enable, se utiliza para habilitar o negar el acceso de usuarios autenticados al servidor FTP, este parámetro está habilitado de manera predefinida. El parámetro write_enable, se utiliza para habilitar o negar la escritura en el servidor FTP, este parámetro está habilitado de manera predefinida. El parámetro ftpd_banner, se utiliza para establecer un mensaje de bienvenida en el servidor FTP el cual se mostrara cada vez que un usuario acceda al servidor FTP, de manera predefinida este parámetro esta comentado en el archivo de configuración. El parámetro chroot_list_enable, se utiliza para limitar a los usuarios a trabajar en su carpeta de trabajo, además se deberá habilitar el parámetro chroot_list_file, este parámetro contiene la ruta donde se encuentra el archivo en el cual se indica los usuarios que ingresaran como invitado al servidor FTP, este archivo se debió crear 90 previamente con los usuarios que ingresaran como invitado al servidor FTP, lo cual será indicado más adelante, este parámetro está deshabilitado de manera predefinida. El parámetro anon_upload_enable, se utiliza para habilitar o negar a los usuarios anónimos subir archivos al servidor FTP, este parámetro está deshabilitado de manera predefinida. El parámetro anon_mkdir_write_enable, se utiliza para habilitar o negar al usuario crear carpetas en el servidor FTP, este parámetro está deshabilitado de manera predefinida. El parámetro local_umask, se utiliza para establecer permisos de lectura, escritura y ejecución al contenido que se encuentra en el servidor FTP, de manera predefinida tiene los permisos de escritura para el grupo y los demás, es decir, contiene el valor 022, si se desea agregar otro tipo de permisos se deberá modificar el valor por defecto (Ver Anexo #8). 91 El parámetro max_clients, se utiliza para indicar el número máximo de conexiones que podrán acceder de manera simultánea al servidor FTP, de manera predefinida establece que se podrán accesos 3 veces al servidor. Para la configuración del archivo que contiene la lista de los usuarios que ingresaran como invitado al Servidor FTP, se deberá crear el archivo en cualquier directorio del disco duro y en seguida se deberán ingresar los nombres de los usuarios que serán limitados a trabajar en su carpeta personal de trabajo. Las configuraciones realizas en el Servidor FTP que será utilizado por la empresa IT/CORP son las siguientes: GRÁFICO N°. 15 CONFIGURACION DEL SERVIDOR FTP Elaboración: Marixelinda España Escobar Fuente: Archivo de Configuración de FTP 92 Una vez concluida las configuraciones del archivo vsftpd.conf se debe guardar las configuraciones y restaurar el servicio de vsftpd y añadir el servicio al arranque del inicio del sistema, para lo cual se debe digitar lo siguiente: /etc/init.d/vsftpd restart, para restaurar el servicio, si se inicia por primera vez se lo debe iniciar con start. chkconfig vsftpd on, para añadir el servicio al arranque del sistema. A continuación se realizará la creación de las cuentas de los usuarios FTP, en primera instancia para que el servidor FTP permita el acceso a los directorios de inicio /home, para que los usuarios puedan ingresar a su carpeta de trabajo se debe abrir un terminal y digitar lo siguiente: setsebool –P ftp_home_dir=1 Para iniciar la creación de las cuentas de los usuarios FTP, en un terminal se debe digitar lo siguiente: useradd -d /home/ftp/Jose, con esto se indica que se está creando el usuario FTP en la carpeta de trabajo ubicada en el directorio /home/ftp/ 93 Luego de que el cliente establezca una comunicación con el servidor FTP, este le pedirá que se autentique, para lo cual deberá digitar su usuario y contraseña Para los usuarios que tendrán acceso al servicio FTP, se debe instalar un aplicativo que facilite el acceso al servidor, uno de los aplicativos que se puede utilizar es el Filezilla que es libre y fácil de utilizar para los usuarios de la empresa. SERVIDOR DE CORREO En el equipo que será utilizado como Servidor de Correo, luego de la instalación de CentOS 5.2 (Ver Anexo #5), se procederá a descargar Zimbra 5.6 de 32 bits en el directorio /root/zimbra creado previamente, el paquete de instalación de Zimbra será descargado de la página siguiente página web www.zimbra.com Previo al inicio de la instalación, se debe desactivar el servicio Sendmail en caso de estar activo, debido a que puede causar conflicto con los puertos que utiliza Zimbra. Para desactivar este servicio se ingresa como root o administrador al Servidor de Correo, abrir un terminal y digitar lo siguiente: service sendmail stop, para detener el servicio de sendmail. 94 chkconfig sendmail off, para apagar el servicio sendmail. Además se debe cambiar el archivo de configuración hosts, que se encuentra en el directorio /etc/hostsr , en el cual se añade la dirección IP y el Dominio del Servidor en el que se va instalar Zimbra. GRÁFICO N°. 16 CONFIGURACION DE ARCHIVO HOST PARA ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Archivo host de Servidor de Correo. Una vez realizado los cambios indicados anteriormente y concluida la descarga del paquete para utilizar Zimbra se inicia la instalación, para lo cual se debe digitar lo siguiente: cd zimbra, para posicionarse en la carpeta donde se encuentre el paquete para Zimbra. tar xzvf nombre del paquete descargado, para descomprimir el paquete descargado. 95 cd nombre de la carpeta descomprimida, para posicionarse dentro de la carpeta extraída del paquete de Zimbra. ./install.sh –platform-override, para iniciar la instalación de Zimbra, se utiliza –platform-override para indicarle que al momento de instalar omita la versión del sistema operativo. A continuación empieza a verificar los requisitos de las librerías para la instalación, en este caso se observaran que hacen falta librerías. GRÁFICO N°. 17 LIBRERIAS FALTANTES EN LA INSTALACIÓN DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Instalación de Zimbra. 96 Para lo cual se debe proceder a instalar cada librería faltante digitando yum –y install : el nombre de la librería que hace falta, por ejemplo, en este caso las librerías que hacen falta son gmp, compat-libstdc++-296, compat-libstdc++-33, libtool-ltdl, entonces se debe digitar yum –y install : gmp, con cada una de las librerías. Una vez concluida la instalación de las librerías faltantes, se vuelve a digitar ./install.sh–platform-override, para iniciar nuevamente el proceso de instalación y se observa que los requisitos para la instalación están completos. Posteriormente comienza a verificar los paquetes para la instalación y preguntara que paquetes se desea instalar, en este caso se instalaran todos menos el proxy. GRÁFICO N°. 18 LIBRERIAS FALTANTES EN LA INSTALACIÓN DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Instalación de Zimbra. 97 Consecutivamente pregunta si se desea continuar con la instalación ya que los paquetes descargados son diferentes a la versión del sistema operativo y muestra la versión del sistema operativo y la versión del paquete de zimbra, se indica que si se desea continuar con la instalación y se procederá a instalar los paquetes de zimbra. GRÁFICO N°. 19 PROCESO DE INSTALACIÓN DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Instalación de Zimbra 98 Es posible que aparezca un error DNS, se debe a que no encuentra el nombre del servidor de DNS, de ser el caso indica si se desea cambiar el hostname, digitar “Y” y digitar itcorp.com, si indica nuevamente el mismo error se debe digitar no, debido a que ya se indico el nombre del Servidor DNS. GRÁFICO N°. 20 ERROR DE DNS EN INSTALACIÓN DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Instalación de Zimbra Posteriormente mostrara un menú de configuración, en el cual se puede digitar la contraseña del administrador, para ello se selecciona la opción 3 y luego 4 para cambiar la contraseña del administrador. Para regresar al menú principal se digita “r”, además se puede cambiar la zona horaria para lo cual se digita 1 y luego 6, aquí se mostrara un listado de diversas zonas horarias, se debe seleccionar la que corresponda 99 a la zona horario del país, en este caso es la 16 que corresponde a Lima. Regresamos al menú anterior para cambiar la URL por la cual se desea que ingresen al correo, para lo cual se digita 18 y se indica la URL por la cual accederán al correo Zimbra, en este caso se indico “mail.itcorp.com”. Una vez concluida las configuraciones necesarias, se debe digitar “a” para aplicar los cambios realizados. GRÁFICO N°. 21 MENU DE CONFIGURACIÓN DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Instalación de Zimbra 100 Una vez zimbra concluya las configuraciones finales, se debe abrir otro terminal como usuario zimbra para verificar si los servicios de zimbra están corriendo, para lo cual se digita lo siguiente: su –zimbra zmcontrol status GRÁFICO N°. 22 SERVICIOS DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Instalación de Zimbra Una vez que los servicios estén corriendo, se puede ingresar a la consola de administración de zimbra https://mail.itcorp.com:7071/zimbraAdmin. de la siguiente manera 101 En la consola de administración se llevaran a cabo todas las acciones de administración del servidor de correo como dar de alta cuentas, borrarlas, editarlas, asignarles alias, etc. Para ingresar al mail de Zimbra se deberá digitar la http://mail.itcorp.com/ GRÁFICO N°. 23 CONSOLA DE ADMINISTRACIÓN DE ZIMBRA Elaboracion: Marixelinda España Escobar. Fuente: Consola de Zimbra 102 SERVIDOR PROXY En el equipo que funcionara como servidor Proxy, posterior a la instalación de CentOS 5.2 (Ver Anexo #5), se procederá a instalar Squid de CentOS que será utilizado como Proxy, habitualmente los servidores Proxy trabajan simultáneamente como Firewall, pero en este caso el servidor Proxy estará separado del Firewall. Para iniciar la instalación del Proxy Squid se debe ingresar como root o administrador al servidor, se puede iniciar el servicio de Squid, en caso de que el servicio ya se encuentre instalado en el servidor se debe dirigir al menú sistema, administración, Configuración de Servidores, Servicio y posteriormente buscar el servicio Squid e iniciar el servicio y a continuación se podrá utilizar el servidor Proxy con Squid, en caso de que no exista el servicio se puede instalar el paquete de Squid para lo cual se debe abrir un terminal y digitar lo siguiente: yum install –y squid, para descargar el paquete Squid que se va utilizar el Proxy. Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, en el cual existen un gran número de parámetros que pueden ser habilitados o negados, si no requiere cambiar la configuración por defecto entonces no se deben descomentar las líneas de configuración predefinidas, el signo # indica que la línea esta comentada, 103 si requiere modificar el archivo Squid se deben descomentar los parámetros de configuración del Squid que el administrador considere necesarios, caso contrario puede provocar problemas en tiempo de ejecución, además se debe evitar dejar espacios cuando se modifican los parámetros de configuración. Se debe abrir el archivo de configuración squid.conf con el editor de preferencia, para realizar las modificaciones que consideren convenientes el administrador, los parámetros básicos que se sugieren configurar en el servidor Proxy son los siguientes: http_port cache_mem cache_dir Al menos una Lista de Control de Acceso Al menos una Regla de Control de Acceso maximum_object_size hierarchy_stoplist error_directory access_log cache_log 104 Parámetro http_port, indica las direcciones donde Squid escuchara a los clientes HTTP, en este parámetro se puede indicar la dirección de varias formas, para lo cual existen tres formas de hacerlo: Solo el puerto donde escuchara el Squid. Ejemplo: http_port 3128 Nombre del Host con el puerto. Ejemplo: servidor:3128 Dirección IP con el puerto 192.168.20.3:3128 El puerto predeterminado por donde escucha el servidor Proxy es el puerto 3128, sin embargo, se puede indicar que lo haga por cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez. Parámetro cache_mem, indica el tamaño máximo de memoria para almacenar los objetos de transito, objetos frecuentemente utilizados y objetos negativamente almacenados en cache, este parámetro está limitado por la memoria RAM que posea 105 el servidor, de manera predefinida se establecen 8 MB, se puede especificar mayor cantidad de memoria si se considera necesario dependiendo de las necesidades establecidas por el administrador. Parámetro cache_dir, indica el tamaño que va tener el caché en el disco duro para Squid, se debe tener cuidado al especificar el tamaño de caché debido a que si este excede el tamaño disponible del disco duro, squid se bloqueara irrevocablemente. De modo predefinido Squid utiliza una caché de 100 MB, el cual contendrá 16 directorios de 256 niveles cada uno, esto no es necesario modificarlo, lo que se puede incrementar es el tamaño del caché hasta donde lo considere necesario el administrador, mientras más grande sea el caché más objetos se almacenaran y se utilizara menos ancho de banda. Listas de Control de Acceso, es necesario establecer listas de control de accesos para tener un mayor control del Squid, asimismo se deben asignar reglas de control a las listas para que permitirá o deniegue el acceso al Servidor Proxy. Existen algunos tipos de reglas que se pueden utilizar en Squid como: src, time, url_regex, urlpath_regex, 106 dts, srcdomain, dstdomain, req_mime, srcdom_regex, macaddress, dstdom_regex, password. Sin embargo, los tipos de reglas que va a ser utilizadas en esta guía son las que se adapten a las necesidades de la empresa IT/CORP, la sintaxis de la lista de control de acceso es la siguiente: acl [nombre de la lista] tipo de regla [lo que compone a la lista] El tipo de regla src, es utilizada para especificar direcciones IP que tendrán acceso a Squid, en la cual se puede indicar una dirección IP y máscara de la sub-red o especificar un fichero que contenga una lista de direcciones de red. Existen tres formas de especificar la dirección IP: En la regla llamada lan se permitirá el acceso al segmento de red 192.168.10.0 con mascara 255.255.255.0, es decir, esta regla abarca todo el segmento de red indicado. acl lan src 192.168.10.0/255.255.255.0 107 Se indica cada dirección IP que tendrá acceso al Servidor Proxy acl lan src 192.168.10.10 192.168.10.20 Se define un archivo que contiene una lista de direcciones IP, en donde se especificara cada una de las direcciones de red que tendrán acceso a Squid, este archivo está localizado en cualquier parte del disco duro del servidor. acl lan src "/etc/squid/permitidos" El tipo de regla time, se establece para especificar un tiempo límite de conexión que se tendrá acceso al Squid dentro de una semana. La abreviatura de los días de la semana son los siguientes: S – Domingo, M - Lunes, T – Martes, W – Miércoles, H – Jueves, F – Viernes, A – Sábado. El tipo de regla url_regex, permite especificar expresiones regulares para comprobar en una url, para este tipo de regla se recomienda tener un archivo con las palabras que se crean convenientes. 108 El tipo de regla urlpath_regex, permite administrar las descargas por medio de la extensión de los archivos, para lo cual se recomienda tener un archivo que contenga las extensiones que se consideren necesarias. Reglas de Control de Acceso, estas reglas definen si se permite o deniega el acceso al Servidor Proxy, las cuales se aplican a las Listas de Control de Acceso, las mismas que deben colocarse en la sección de reglas de control de acceso las cuales serán definidas por el administrador, la sintaxis es la siguiente: http_access [deny o allow] [lista de control de acceso] Se puede utilizar denegar o aceptar (deny o allow), se debe iniciar primeramente con los accesos que se van a denegar en el Servidor Squid, adicionalmente se puede utilizar la expresión “!” la cual significa no. Por ejemplo, que existan dos listas de control de acceso, en la cual se indica que se permite el acceso a Squid a todo lo que comprenda la lista llamada permitidos excepto aquello que comprenda la lista llamada negados, la sintaxis de la regla indicada es la siguiente: http_access allow permitidos !negados 109 Parámetro maximum_object_size, indica el tamaño máximo que tendrán los objetos que se van almacenar en la cache del servidor Proxy, de modo predefinido el tamaño de los objetos es de 4096 KB el cual se puede incrementar de acuerdo a las necesidades establecidas por el administrador. Parámetro hierarchy_stoplist, indica a Squid que las páginas que contengan ciertos caracteres no sean almacenadas en caché, además se pueden incluir páginas locales de la red y sitios de webmail, de manera predefinida no viene especificado ningún carácter que contengan las páginas que no serán almacenadas en caché. Parámetro error_directory, indica el idioma en que serán mostrados los mensajes de error, de manera predefinida muestra los mensajes de error en Inglés, sin embargo, se puede configurar de acuerdo a las necesidades del administrador. Parámetro access_log, indica el directorio donde se almacena los registros de los accesos al squid, de manera predefinida se almacenan en /var/log/squid/access.log. 110 Parámetro cache_log, indica el directorio donde se almacenan los mensajes del comportamiento de la cache del servidor Squid, de manera predefinida este parámetro viene desactivado en el archivo de configuración del Squid cache_log /var/log/squid/cache.log. Las configuraciones realizas en el Servidor Proxy Squid que será utilizado por la empresa IT/CORP son las siguientes: GRÁFICO N°. 24 CONFIGURACION SERVIDOR PROXY Elaboración: Marixelinda España Escobar Fuente: Archivo de Configuración PROXY 111 Una vez concluida las configuraciones del archivo squid.conf se debe guardar las configuraciones y restaurar el servicio de squid y añadir el servicio al arranque del inicio del sistema, para lo cual se debe digitar lo siguiente: service squid restart, para restaurar el servicio, si se inicia por primera vez se lo debe iniciar con start chkconfig squid on, para añadir el servicio al arranque del sistema. SERVIDOR DNS Y DHCP El equipo que será utilizado como Servidor DNS y DHCP funcionara sobre Windows 2003 Server Standart Edition (Ver Anexo #6), se procederá a realizar la configuración del equipo. Previo a la configuración el servidor se debe asignar una IP estática, debido a que si tienen una asignación dinámica de IP podría hacer que los clientes pierdan contacto con el servidor DNS. Lo más sencillo para realizar la configuración del Servidor es utilizar el asistente de configuración, el cual nos permitirá añadir los roles del servidor de manera más práctica. 112 En caso de que el asistente de configuración no se inicie automáticamente cuando inicia sesión al Servidor, entonces lo podrá iniciar dirigiéndose a Panel de Control, Herramientas Administrativas y seleccionar Asistente de configuración del Servidor. GRÁFICO N°. 25 ASISTENTE DE CONFIGURACION DE DNS Y DHCP Elaboración: Marixelinda España Escobar Fuente: Configuración de DNS y DHCP A continuación se añadirán los roles que realizara el Servidor en este caso funcionara como DNS y DHCP, para lo cual dar clic en add or remove a role, una vez seleccionada el tipo de configuración a realizar mostrara una lista de roles que se 113 pueden configurar en el servidor. Seleccionar el role DNS a continuación dar clic en Next para iniciar la configuración del role. GRÁFICO N°. 26 CONFIGURACION DE DNS Y DHCP Elaboración: Marixelinda España Escobar Fuente: Configuración de DNS y DHCP Una vez iniciada la configuración se pedirá que indique una nueva zona ya que es el primer controlador de dominio que se va crear, a continuación se indica si es un servidor primario que guardara la zona o si es una copia secundaria que reside en este 114 servidor, consecutivamente se debe indicar el nombre de la zona, en este caso el nombre indicado será itcorp.com, posteriormente preguntara si se debe tener actualizaciones automáticas para el servidor en la cual se debe seleccionar la que considere conveniente el administrador de red, consecutivamente solicita una dirección IP en caso de que todas las solicitudes sean remitidas al servidor DNS, de esta manera se complementa la configuración del DNS. A continuación se indicara la configuración del role DHCP, para lo cual se debe seleccionar el role DHCP, dar clic en next para iniciar la configuración en la cual solicita el nombre que tendrá el scope del DHCP en este se indico el nombre de la empresa itcorp, esto ayuda a la rápida identificación del scope que es usado en la red dar clic en next para continuar con la configuración. Posteriormente se debe indicar el rango de IP que serán distribuidas por el servidor DHCP, donde se indicia la IP inicial y la IP final y la máscara de la subred, a continuación se debe configurar el rango de IP que serán excluidas por el servidor DHCP, consecutivamente se debe indicar el límite de tiempo en que el servidor distribuirá la dirección IP, en seguida indicara si desea configurar las demás opciones para el servidor DHCP, dar clic en next para continuar con la configuración. 115 A continuación se debe añadir la dirección IP para el router que va ser utilizado por los clientes, consecutivamente solicita el nombre del Servidor padre en caso de poseerlo además el nombre del servidor DNS y la IP del servidor DNS que es usado en la red, luego indica la configuración del WINS, posteriormente pregunta si desea activar el scope ahora y finaliza la configuración del DHCP. Una vez realizadas las configuraciones indicadas y finalizadas cada una de las configuraciones se podrá comenzar a utilizar el Servidor DNS y DHCP. CONFIGURACION DEL FIREWALL En el equipo que será utilizado como Firewall funcionara sobre CentOS 5.2 (Ver Anexo #5), además para facilitar la administración del Firewall se va a instalar Webmin (Ver Anexo #7), el cual es una herramienta de configuración vía web que permitirá a los administradores del Firewall gestionar de manera fácil e interactiva los accesos y políticas a configurar en el Firewall. Con Webmin se pueden establecer de manera práctica reglas para filtrado de paquetes, alteración de paquetes (mangle) y traducción de dirección de red (nat). A 116 continuación se indicaran las políticas a configurar en el Firewall utilizando la herramienta Webmin. POLÍTICAS DE LA DMZ Todos los Firewall se deben regir por una política de seguridad definida previamente antes de realizar la configuración, es decir, se debe contar con un conjunto de acciones a realizar en el Firewall. Además se debe verificar cada regla que se desea configurar y realizar la acción correspondiente. En este punto se indicaran las políticas a considerar para elaborar las reglas de acceso que serán sugeridas para la implementación de un DMZ en la red de la empresa IT/CORP. Existen dos políticas básicas de seguridad para un Firewall, las cuales son: Denegar todo de forma predeterminada y permitir que pasen paquetes seleccionados de forma explícita. Aceptar todo de forma predeterminada y denegar que pasen paquetes seleccionados de forma explícita. 117 La política de denegar todo es la propuesta más segura debido a que facilita la configuración de un Firewall seguro, sin embargo, es necesario ir habilitando cada servicios de acuerdo al protocolo de comunicación. Por lo tanto, para obtener una mayor seguridad en el Firewall se trabajará con esta política. La política de aceptar todo de forma predeterminada facilita la configuración de un Firewall, pero se deberá prevenir todo tipo de acceso que se quiera deshabilitar. Sin embargo, no se podrá prevenir si un tipo de acceso es peligroso hasta que sea demasiado tarde o habilitar un servicio inseguro sin bloquear primero el acceso externo. Es por ello que aceptar todo implica más trabajo, mayor dificultad y es más propenso a errores. Definiremos las políticas de seguridad y los permisos de entrada o salida para las redes utilizadas, siguiendo la política de seguridad de denegar todos los paquetes e ir habilitando los que se considere necesario: Acceso de la red interna a la DMZ está permitido Se habilitara el acceso de los usuarios de la red interna a los servicios que se ofrecen en la DMZ, como el Servidor FTP y Servidor de Correo. 118 Acceso de la DMZ a la red interna está prohibido. Se va descartar cualquier paquete que provenga de la DMZ, puesto que no es necesario permitir el paso de ningún tipo de tráfico que provenga de la DMZ, debido a que se podría provocar un agujero de seguridad que podría llegar desde la red externa a la red interna. Acceso de la red externa a la DMZ está permitido Todo cliente podrá ver los servicios que ofrece la empresa a través de la DMZ, la misma que contendrá el Servidor FTP y el Servidor de Correo. Se habilitará el tráfico desde cualquiera de las redes externas (0.0.0.0) a la red de la DMZ (192.168.30.0/24). Acceso de la DMZ a la red externa no está permitido En este sentido no se habilitará el tráfico, debido a que en la DMZ solo se encuentran los servicios que ofrecen la empresa y ninguna máquina de usuario para acceder a la red externa. Accesos de la red interna a la red externa o internet está permitido. Los usuarios tendrán acceso a los servicios más comunes como es el WEB, el resto deben ser cerrados. 119 Acceso de la red externa a la red interna está prohibido No se permitirá el tráfico en este sentido puesto que si se permite se perdería el sentido de colocar una Zona Desmilitarizada que proteja la red interna. De acuerdo a las políticas de seguridad mencionadas anteriormente las reglas que se deben aplicar en el firewall son las siguientes: Redireccionamientos de correos Se re-direccionará las cuentas de correo de los usuarios de la empresa con la finalidad de que lleguen a una cuenta redireccionada y que sea admitida por el Firewall. Enrutar tráfico de los demás a Internet. Las peticiones de servicios de envió de paquetes que requieran los usuarios, serán enrutadas en las diferentes redes. Permitir acceso selectivo a la red local Solo se permitirá el ingreso a la red de la empresa a los usuarios que estén autorizados y de esta forma evitar que cualquier intruso invada la red causando serios daños y proteger la confidencialidad de la información. 120 Enmascaramiento de la red local para que puedan salir hacia internet. La red será enmascarada de manera que los usuarios puedan salir al internet siempre protegiendo la dirección de la red de tal forma que no sea vulnerable frente a cualquier individuo. Redireccionamiento del servicio HTTP a SQUID. El servicio será redireccionado para que trabaje como una cache de páginas web, esto permite realizar un proxy para requerimientos de los usuarios y permitir que la navegación se realice de una forma más fácil. Cerrar el acceso de la DMZ a la LAN. No se permitirán los accesos de la DMZ a red LAN de la empresa debido a que se pueden dejar abiertas brechas de seguridad en la red. Cerrar el acceso de la DMZ al propio firewall. Los accesos de la DMZ al Firewall serán cerrados, debido que en la DMZ no existirán PC que requieran el acceso al Firewall. 121 Una vez establecidas las políticas que se van a configurar en el Firewall, iniciamos la configuración a través de Webmin, además este indica la ruta donde se almacenara la configuración de las reglas del Firewall, además el Webmin ofrece múltiples configuraciones que se pueden realizar de manera grafica y facilitar el trabajo del administrador así como una forma de simplificar la creación de las reglas del cortafuegos o Firewall. Una vez iniciada la sesión en Webmin, para iniciar la configuración de las reglas del Firewall se debe dirigir a red o Networking, Configuración del Firewall y mostrara la siguiente pantalla en donde mostrara una lista de todas las reglas que posee actualmente en el Firewall, es aquí donde se iniciará la configuración de las reglas de Firewall. 122 GRÁFICO N°. 27 CONFIGURACION DE FIREWALL Elaboración: Marixelinda España Escobar Fuente: Webmin 123 La página principal del Webmin muestra tres opciones de configuración en la parte superior izquierda, en la cual podrá añadir reglas acorde a estas tres opciones o de lo contrario añadir una nueva cadena conforme a los requerimientos que considere necesarias el administrador de red. Se pueden establecer las políticas por defecto para paquetes de entrada (input), salida (output) y redirigidos (forward), por cada una de las cadenas seleccionadas y añadir las reglas para cada una de las políticas. Para grabar y aplicar las configuraciones realizadas se debe presionar el botón Aplicar Configuración, de esta manera se almacenan las reglas añadidas en el Firewall. Adicionalmente para activar las reglas configuradas al arrancar el Firewall se debe seleccionar Si y presionar el botón Activar al arrancar, igualmente se puede Revertir la configuración y Resetear del Firewall. El Firewall contiene tres interfaces de red; la interfaz eth1 es la conectada al Router, eth0 a la LAN y eth2 la DMZ, cada interfaz contiene una dirección IP las cuales en la realización de pruebas fueron asignadas manualmente para verificar las reglas configuradas en el Firewall (Ver Anexo #9). 124 Para ir añadiendo las reglas necesarias, dar clic en el botón añadir regla en la cual se podrá indicar el comentario que se le puede asignar a la regla y la acción que se va ejecutar. GRÁFICO N°. 28 AÑADIR REGLAS EN EL FIREWALL Elaboración: Marixelinda España Escobar Fuente: Webmin En la parte posteriormente se podrán establecer los detalles de la regla, en donde se indicara: la dirección IP origen y destino, se podrá indicar la máscara de la red, la interfaz de red, el protocolo, puerto y varias opciones de configuración para la regla que se está estableciendo. Se podrá observar que hay muchas condiciones disponibles 125 que se pueden combinar para crear reglas muy complejas o muy sencillas acorde a las necesidades de la red de la empresa. Una vez concluida la configuración de la regla presionar el botón crear, para crear la regla que se está configurando, en caso de que la regla no haya sido configurada adecuadamente Webmin mostrara un mensaje de error y deberá indicar las condiciones adecuadas para la creación de la regla. Una vez que se almacena una regla y se desea editarla se deberá dar clic en la condición de la regla y se abrirá una ventana como la utilizada para añadir una nueva regla y a continuación podrá realizar las modificaciones adecuadas. De esta manera se deben ir añadiendo las reglas que se consideren convenientes a configurar en el Firewall. 126 CAPÍTULO V MARCO ADMINISTRATIVO CRONOGRAMA GRÁFICO N°. 29 CRONOGRAMA DE ACTIVIDADES Elaboración: Marixelinda España Escobar. Fuente: Marixelinda España Escobar. 127 GRÁFICO N°. 30 DIAGRAMA DE GANTT – PARTE #1 Elaboración: Marixelinda España Escobar. Fuente: Marixelinda España Escobar. 128 GRÁFICO N°. 31 DIAGRAMA DE GANTT – PARTE #2 Elaboración: Marixelinda España Escobar. Fuente: Marixelinda España Escobar. 129 PRESUPUESTO CUADRO N°. 10 DETALLE DE INGRESOS Detalle de Ingresos Del Proyecto Expresado en Dólares INGRESOS MENSUALES AL TERMINO (5 MESES) Sueldo $ 200.00 $ 1000.00 Otros Ingresos $ 20.00 $ 100.00 TOTAL………………………………………..... $ Elaboración: Marixelinda España Escobar Fuente: Marixelinda España Escobar 220.00 $ 1100.00 130 CUADRO N°. 11 DETALLE DE EGRESOS Detalle De Egresos Del Proyecto Expresado en Dólares EGRESOS AL TERMINO (5 MESES) 7.00 $ 35.00 MENSUALES Suministros de oficina y computación $ Fotocopias e impresiones $ 17.00 $ 85.00 Libros, documentos $ 50.00 $ 250.00 Computadora y Servicios de Internet. $ 43.00 $ 215.00 Transporte $ 8.00 $ 40.00 Refrigerio $ 5.00 $ 25.00 Empastado de la Tesis de Grado $ 20.00 $ 100.00 Servicios (Electricidad, Agua, Alimentación) $ 50.00 $ 250.00 Otros $ 20.00 $ 100.00 TOTAL……………………………………… $ 220.00 $ 1100.00 Elaboración: Marixelinda España Escobar Fuente: Marixelinda España Escobar 131 CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES Luego del análisis e interpretación de los instrumentos aplicados, se observa que hay una factibilidad para la realización de un proyecto como la implementación de una DMZ en el diseño de red que posee actualmente la empresa IT/CORP, permitiendo obtener un mayor control de los servicios que posee actualmente la empresa. Con la utilización de la Guía se facilita la implementación de la DMZ en el diseño de red de la empresa IT/CORP, debido que una DMZ permite proteger los servicios privados que posea una organización, puesto que estos son un punto vulnerable. Se demostró que el gasto en que se incurre en la implementación de una DMZ en la empresa IT/CORP incluye únicamente la compra de equipos hardware, ya que el software que se utiliza por ser de código abierto, se distribuye gratuitamente por internet. 132 El Diseño de Red Recomendado presenta flexibilidad y expansión, porque la DMZ cubre los servicios que serán accedidos desde el exterior de la red y se pueden ir añadiendo servicios que la empresa desee que sean accedidos. Se concluyo que el Diseño Recomendado no solo es funcional para la empresa IT/CORP, sino que puede ser tomado como base para cualquier mediana empresa o institución que desee realizar la implementación de una DMZ de este tipo en su red. 133 RECOMENDACIONES Las políticas que se establecen en el Firewall deben ser analizadas previo a la instalación, con la finalidad de evitar conflictos posteriores con los usuarios de la organización y evitar contratiempos en la configuración del Firewall. Previo a una nueva configuración del firewall, es necesario tener un respaldo de la configuración del firewall existente, para proteger futuros cambios erróneos. Se recomienda tener un equipo adicional de Firewall en caso de que el equipo que está funcionando presente algún inconveniente con la finalidad de no dejar desprotegida la red en ningún momento y seguir controlando los accesos. Si la empresa invierte en un futuro en un Firewall se recomienda utilizar un hardware debido a que son equipos dedicados para dicha función y presentan facilidades en la configuración y administración de la red en la organización. 96 REFERENCIAS BIBLIOGRÁFICAS PUBLICACIONES Ferrer Berbegal, Mónica. (2006). Trabajo de Fin de Carrera: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa”. España: Universidad Politécnica de Cataluña. Disponible en: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf Conza Gonsález, Andrea Elizabeth. (2009), Proyecto de Grado: “Diseño e Implementación de un prototipo de DMZ y la interconexión segura mediante VPN utilizando el Firewall Fortigate 60”. Quito: Escuela Politécnica Nacional. Disponible en: http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf DIRECCIONES WEB IT/CORP. Información de la empresa IT-CORP. Extraído el 14 de Julio del 2010 desde http://www.it-corp.com/ Modelo OSI. Extraído el 05 de Agosto del 2010 desde http://ceciliaurbina.blogspot.com/2010/08/modelo-osi.html 97 3Com Officeconnect. Extraído el 25 de Agosto del 2010 desde http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support ASA5500. Extraído el 25 de Agosto del 2010 desde http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_ad aptativo_seguridad_series_asa5500.html SONICWALL. Extraído el 27 de Agosto del 2010 desde http://www.sonicwall.com/lat/TotalSecure_Solutions.html Precios y Productos Firewall. Información de diferentes Firewall y precios del producto. Extraído el 30 de Agosto del 2010 desde http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=produ ct_tab NETGEAR. Extraído el 26 de Agosto del 2010 desde http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php Precios y Productos Firewall. Información de diferentes Firewall y precios del producto. Extraído el 30 de Agosto del 2010 desde 98 http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=pro duct_tab ZYXEL. Extraído el 26 de Agosto del 2010 desde http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&C ategoryGroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A BARRACUDA. Extraído el 28 de Agosto del 2010 desde http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php Firewall Software. Las diferentes alternativas de Firewall Software. Extraído el 03 de Septiembre del 2010 desde http://www.tech-faq.com/free-firewall-software.html TURTLE. Información de Firewall Software Turtle. Extraído el 05 de Septiembre del 2010 desde http://www.turtlefirewall.com/ LUTEL. Información de Firewall Software Lutel. Extraído el 05 de Septiembre del 2010 desde http://firewall.lutel.pl/ ENDIAN. Información de Firewall Software Endian. Extraído el 06 de Septiembre del 2010 desde http://www.endian.com/en/community/overview 99 Zárate Pérez, Jorge A. y Farias Elinos, Mario. (Abril del 2006). Implementación de una DMZ. Extraído el 12 de Julio del 2010 desde http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf Arellano E., Gabriel. (Marzo del 2005). Seguridad Perimetral. Extraído el 12 de Julio del 2010 desde www.gabriel-arellano.com.ar/file_download/14 Gutiérrez Riffo, Alejandro Marcelo. (2009 – Chile). Vulnerabilidades de las Redes TCP/IP y Principales Mecanismos de Seguridad. Extraído el 13 de Julio del 2010 desde http://cybertesis.uach.cl/tesis/uach/2009/bmfcir564v/doc/bmfcir564v.pdf Gerardo de la Fraga, Luis. (Noviembre del 2006). Redes de Computadoras y Cortafuegos con GNU/Linux. Extraído el 13 de Julio del 2010 desde http://delta.cs.cinvestav.mx/~fraga/Charlas/redeslinux.pdf DMZ. Información acerca de la DMZ. Extraído el 15 de Julio del 2010 desde zeus.lci.ulsa.mx/divulgacion/Material/pdf/DMZ.pdf Modelos TCP/IP. Extraído el 05 de Agosto del 2010 http://technet.microsoft.com/es-es/library/cc786900%28WS.10%29.aspx desde 100 Firewalls. Información de los Firewalls. Extraído el 05 de Agosto del 2010 desde http://www.google.com.ec/url?sa=t&source=web&cd=1&ved=0CBgQFjAA&url=htt p%3A%2F%2Fhomepage.cem.itesm.mx%2Frogomez%2Fseguridad%2FFirewalls.pp t&rct=j&q=Firewalls.ppt&ei=gX_ETLzQFcH38Ab46q3oBg&usg=AFQjCNEakIMV ASrKnsguGx5bjv7pkD97rA&cad=rja DNS. Que es un DNS y como Funciona. Extraído el 13 de Agosto del 2010 desde http://www.ccm.itesm.mx/dinf/redes/sdns.html ¿Qué es una DMZ? Extraído el 07 de Septiembre del 2010 desde http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16&t=3611 Precios y Productos Firewall. Extraído el 09 de Septiembre del 2010 desde http://www2.shopping.com/firewall/products?CLT=SCH 101 ANEXOS ANEXO #1: ENTREVISTA UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES La siguiente entrevista es con la finalidad de facilitar información de la estructura la red de la empresa, las políticas de seguridad que manejan en el Firewall, los servicios con los que cuentan y toda la información que facilite la elaboración de una Guía de Implementación de una DMZ (Zona Desmilitarizada). DATOS DE IDENTIFICACION Nombre de la Empresa: Nombre del Entrevistado: Cargo Del Entrevistado: e-mail: Dirección: Teléfono: Sitio web: 1. ¿Cuáles son sus responsabilidades en la empresa? 2. ¿Cómo está estructurado el Departamento de Sistemas? 3. ¿Cómo está estructurada la Red de la empresa? 4. Tienen implementada una DMZ en la Red y cómo está diseñada la DMZ? 5. ¿Cuántos Firewall tienen en la Red y de qué forma está estructurado cada Firewall? 6. ¿En qué plataforma trabaja el Firewall? 7. ¿Qué versión o Distribución utiliza la plataforma del firewall? 8. ¿Cuáles son las políticas de seguridad implementadas en el firewall? 9. ¿Qué accesos están configurados en el firewall? 102 10. ¿Qué puertos están abiertos en el firewall? 11. ¿Cada cuánto tiempo son verificadas las políticas configuradas en el firewall? 12. ¿Qué servicios están prohibidos para ser accedidos en la red? 13. ¿Cuál es el ancho de banda que tiene la red? 14. ¿Cuántos servidores tienen en la red de la empresa? 15. ¿Qué clase de servidores utiliza en la empresa? 16. ¿Quiénes tienen acceso a los servidores? 17. La red de la empresa esta segmentada 18. La empresa tiene agencias y cuantas agencias se conectan a la red 19. Tiene VLAN en la red de la empresa 20. Tienen acceso VPN a los servidores de la red 21. ¿Qué tipo de amenazas han intentado vulnerar la DMZ? 22. ¿Con qué frecuencia los usuarios externos acceden a la red y qué cantidad de usuarios acceden? 23. ¿Qué tipo de software utilizan para controlar la DMZ? 24. ¿Cuán beneficioso es para la empresa contar con una DMZ? 25. ¿Cuál es el nivel de inversión anual de hardware/software en la empresa? 26. Cuentan con certificaciones digitales en la red 103 ANEXO #2: ANALISIS GENERAL DE LAS ENTREVISTAS Análisis General De La Entrevista Realizada en la Empresa IT/CORP El análisis de los datos recolectados permitió conocer la situación actual de la red de la empresa IT/COP, en la cual los servicios como Correo, FTP, Proxy y el Firewall están contenidos en un mismo servidor realizando varias funciones. La red que maneja es pequeña, aunque tratan de asegurar los servicios que posee actualmente y de mantener protegida la red de accesos no autorizados. El Firewall es monitoreado diariamente y se configuran los accesos de acuerdo a las necesidades que se presenten en la empresa, actualmente no tienen planificado la ampliación de la empresa en su infraestructura, asimismo el software que manejan es open source lo que ayuda en el costo/beneficio actual de la empresa. 104 Análisis General De La Entrevista Realizada en la Junta de Beneficencia El análisis de los datos recolectados permitió conocer la situación actual de la red de la Junta de Beneficencia, la red que posee actualmente es compleja, pero por fines confidenciales no fue facilitada en la realización de esta entrevista, poseen como Firewall Checkpoint. El Firewall es monitoreado diariamente y se realizan configuraciones del mismo cada 6 meses de acuerdo a las necesidades que se presenten en la empresa, poseen un alto nivel de inversión anual lo cual ayuda a mantener actualizados sus equipos e infraestructura de red. 105 ANEXO #3: ENCUESTA UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES La siguiente encuesta es con la finalidad de obtener información de lo que opinan los profesores de Redes y Sistemas Operativos acerca de la realización de una Guía de Implementación de una DMZ (Zona Desmilitarizada). Anote una “X” en la respuesta que usted considere más adecuada, solo seleccione una opción. No deje respuestas en blanco. 1. ¿Cómo califica usted que una PYME (Pequeña y Mediana Empresa) no posea DMZ dentro de su diseño de red? Buena ( ) Regular ( ) Mala ( ) 2. ¿Cómo considera usted la implementación de una DMZ dentro del diseño de red de una PYME (Pequeña y Mediana Empresa)? Muy prioritario ( ) Medianamente prioritario ( ) No prioritario ( ) 3. En caso de que una PYME (Pequeña y Mediana Empresa) no cuente con una DMZ, considera usted que la inversión y reestructuración del diseño de red es: Muy prioritario ( ) Medianamente prioritario ( ) No prioritario ( ) 4. ¿Conoce o ha escuchado de una Guía que facilite a los colaboradores del área de redes la implementación de una DMZ en una PYME (Pequeña y Mediana Empresa)? Si conoce ( ) No conoce ( ) 5. ¿Cómo catalogaría usted, por el nivel de prioridad la realización de una Guía de Implementación de una DMZ para las PYME (Pequeña y Mediana Empresa) donde se explique paso a paso la implementación y se facilite el trabajo de los colaboradores del área de redes? Muy prioritario ( ) Medianamente prioritario ( ) No prioritario ( ) 106 ANEXO #4: RESULTADO ENCUESTAS 1. ¿Cómo califica usted que una PYME (Pequeña y Mediana Empresa) no posea DMZ dentro de su diseño de red? CUADRO N°. 12 RESULTADOS PREGUNTA 1 DE LA ENCUESTA Respuesta Buena Regular Mala Valor 0 3 2 Porcentaje 0% 60 % 40 % Elaboración: Marixelinda España Escobar Fuente: Encuestas GRÁFICO N°. 32 PREGUNTA 1 Elaboración: Marixelinda España Escobar Fuente: Encuestas Las personas encuestadas califican como regular, el que una PYME no posea una DMZ dentro del diseño de red de la empresa. 107 2. ¿Cómo considera usted la implementación de una DMZ dentro del diseño de red de una PYME (Pequeña y Mediana Empresa)? CUADRO N°. 13 RESULTADOS PREGUNTA 2 DE LA ENCUESTA Respuesta Muy prioritario Medianamente Prioritario No prioritario Valor 3 Porcentaje 60 % 2 40 % 0 0% Elaboración: Marixelinda España Escobar Fuente: Encuestas GRÁFICO N°. 33 PREGUNTA 2 Elaboración: Marixelinda España Escobar Fuente: Encuestas La implementación de una DMZ en el diseño de red de una PYME es considerado Muy Prioritario por las personas encuestadas, debido a que es una pequeña red que proporciona una seguridad adicional en la red interna de la empresa. 108 3. En caso de que una PYME (Pequeña y Mediana Empresa) no cuente con una DMZ, considera usted que la inversión y reestructuración del diseño de red es: CUADRO N°. 14 RESULTADOS PREGUNTA 3 DE LA ENCUESTA Respuesta Valor Porcentaje Muy prioritario 3 60 % Medianamente 2 40 % Prioritario No prioritario 0 0% Elaboración: Marixelinda España Escobar Fuente: Encuestas GRÁFICO N°. 34 PREGUNTA 3 Elaboración: Marixelinda España Escobar Fuente: Encuestas Se considera Muy Prioritario realizar una inversión y reestructuración del diseño de red en una PYME que no cuente con una DMZ, debido a que esto ayudara a obtener un mayor nivel de seguridad en la red. 109 4. ¿Conoce o ha escuchado de una Guía que facilite a los colaboradores del área de redes la implementación de una DMZ en una PYME (Pequeña y Mediana Empresa)? CUADRO N°. 15 RESULTADOS PREGUNTA 4 DE LA ENCUESTA Respuesta Si conoce No conoce Valor 0 5 Porcentaje 0% 100 % Elaboración: Marixelinda España Escobar Fuente: Encuestas GRÁFICO N°. 35 PREGUNTA 4 Elaboración: Marixelinda España Escobar Fuente: Encuestas La grafica resultante indica que las personas encuestadas no conocen de la existen de una Guia que facilite a los colaboradores del área de redes realizar una implementacion de una DMZ en la red de una empresa. 110 5. ¿Cómo catalogaría usted, por el nivel de prioridad la realización de una Guía de Implementación de una DMZ para las PYME (Pequeña y Mediana Empresa) donde se explique paso a paso la implementación y se facilite el trabajo de los colaboradores del área de redes? CUADRO N°. 16 RESULTADOS PREGUNTA 5 DE LA ENCUESTA Respuesta Muy Prioritario Medianamente Prioritario No Prioritario Valor 2 Porcentaje 40 % 3 60 % 0 0% Elaboración: Marixelinda España Escobar Fuente: Encuestas GRÁFICO N°. 36 PREGUNTA 5 Elaboración: Marixelinda España Escobar Fuente: Encuestas 111 La mayoría de las personas encuestadas indican que es Medianamente Prioritario realizar una Guía de Implementación de una DMZ para una pequeña y mediana empresa. Como resultado de las encuestas realizadas indica que la realización una Guía de Implementación de una DMZ para una Pequeña y Mediana es medianamente prioritario, sin embargo, no se descarta completamente la realización de la Guía la cual será realizada para una Mediana Empresa como es la empresa IT/CORP. 112 ANEXO #5: INSTALACION DE CENTOS 5.2 Los pasos de instalación diferirán si se seleccionan múltiples componentes del software para su instalación en una computadora. Los pasos que se proporcionan son los recomendados para la instalación y configuración del Servicio que se esté levantando. PASOS DE LA INSTALACIÓN Insertar el disco de CentOS 5.2 o superior, iniciar el equipo desde el disco, a continuación mostrara la pantalla de bienvenida de CentOS, presionar Enter. GRÁFICO N°. 37 INSTALACION DE CENTOS Elaboración: Marixelinda España Escobar. Fuente: CentOS 113 Si desea comprobar que el disco este grabado correctamente antes de la instalación seleccionar OK, de lo contrario elegir Skip y presionar ENTER. GRÁFICO N°. 38 PROCESO DE VERIFICACION DEL DISCO Elaboración: Marixelinda España Escobar. Fuente: CentOS 114 Mostrara la pantalla de Bienvenida de CentOS, para iniciar con la instalación dar clic en next. GRÁFICO N°. 39 INICIO DE CENTOS Elaboración: Marixelinda España Escobar. Fuente: CentOS 115 Los siguientes pasos están relacionados al lenguaje y el teclado, se deben seleccionar los apropiados de acuerdo al entorno. Seleccionar el idioma que se utilizara durante la instalación. GRÁFICO N°. 40 IDIOMA DE INSTALACIÓN Elaboración: Marixelinda España Escobar. Fuente: CentOS 116 Seleccionar el idioma del teclado para el sistema en este caso se selecciona español. En seguida pregunta si se desea inicializar en esa unidad y eliminar todos los datos dar clic en Sí. GRÁFICO N°. 41 IDIOMA DEL TECLADO Elaboración: Marixelinda España Escobar. Fuente: CentOS 117 A continuación mostrara la pantalla para realizar particiones en el disco duro, para lo cual se puede utilizar la configuración por defecto o crear una partición, una vez seleccionada la opción que se desea dar clic en siguiente. GRÁFICO N°. 42 PARTICIÓN DE LA UNIDAD Elaboración: Marixelinda España Escobar. Fuente: CentOS 118 Al seleccionar la opción Crear Disposición Personalizada, mostrara la herramienta de particiones, para iniciar la partición del disco dar clic en el botón Nuevo, para realizar una partición nueva en el disco. GRÁFICO N°. 43 PARTICIÓN DE LA UNIDAD Elaboración: Marixelinda España Escobar. Fuente: CentOS 119 Para realizar la partición del disco, seleccionamos “/” en el punto de montaje y digitamos el tamaño de la unidad, posteriormente dar clic en aceptar. GRÁFICO N°. 44 ASIGNACIÓN DE ESPACIO EN LA UNIDAD Elaboración: Marixelinda España Escobar. Fuente: CentOS 120 En el espacio que permanece disponible, dar clic en el botón modificar para asignar el espacio disponible. GRÁFICO N°. 45 ESPACIO DISPONIBLE Elaboración: Marixelinda España Escobar. Fuente: CentOS 121 Seleccionar SWAP para el tipo de sistema de archivo, asignar el espacio disponible y dar clic en aceptar. GRÁFICO N°. 46 PARTICIO SWAP Elaboración: Marixelinda España Escobar. Fuente: CentOS 122 Una vez concluida la partición del disco, mostrara las particiones realizadas dar clic en siguiente para continuar la instalación de CentOS. GRÁFICO N°. 47 PARTICIONES CONFIGURADAS Elaboración: Marixelinda España Escobar. Fuente: CentOS 123 Mostrara la configuración del gestor de arranque, dar clic en siguiente. GRÁFICO N°. 48 GESTOR DE ARRANQUE Elaboración: Marixelinda España Escobar. Fuente: CentOS 124 Posteriormente se configura la red y el nombre del host, de lo contrario dejar que se seleccione de forma automática a través de DHCP, además se podrá modificar la red del servidor en el botón modificar o configurarla al iniciar CentOS, dar clic en siguiente. GRÁFICO N°. 49 CONFIGURACIÓN DE RED Elaboración: Marixelinda España Escobar. Fuente: CentOS 125 Consecutivamente se define la zona horaria, seleccionar la región adecuada y dar clic en siguiente. GRÁFICO N°. 50 ZONA HORARIA Elaboración: Marixelinda España Escobar. Fuente: CentOS 126 Definir la contraseña para el root del servidor. GRÁFICO N°. 51 CONTRASEÑA ROOT Elaboración: Marixelinda España Escobar. Fuente: CentOS 127 En la siguiente pantalla se activada la opción Desktop - Gnome para instalarlo en modo grafico, si se desea instalar CentOS en modo texto dejar desactivadas todas las opciones. Se activa la opción de personalizar ahora, con el propósito de poder elegir el software a instalar, dar clic en siguiente. GRÁFICO N°. 52 MODO GRAFICO GNOME Elaboración: Marixelinda España Escobar. Fuente: CentOS 128 Se inicia la configuración de los paquetes de instalación, en la cual se debe seleccionar lo que se requiera dar clic en siguiente para iniciar la instalación el servidor. Durante la instalación se indica donde se puede encontrar la documentación de CentOS. Una vez concluida la instalación, dar clic en el botón reiniciar. GRÁFICO N°. 53 SELECCIÓN DE SERVIDORES Elaboración: Marixelinda España Escobar. Fuente: CentOS 129 Una vez reiniciado el servidor se inicia el asistente de Primer inicio de CentOS, dar clic en Adelante para continuar la configuración. GRÁFICO N°. 54 ASISTENTE DE CONFIGURACIÓN Elaboración: Marixelinda España Escobar. Fuente: CentOS 130 Consecutivamente se especifica los servicios que serán confiables para el servidor. GRÁFICO N°. 55 CONFIGURACIÓN DE CONTAFUEGOS Elaboración: Marixelinda España Escobar. Fuente: CentOS 131 Se especifica la configuración de SELinux. Posteriormente mostrara una ventana donde se ingresar la fecha y hora del sistema. GRÁFICO N°. 56 CONFIGURACIÓN DE SELINUX Elaboración: Marixelinda España Escobar. Fuente: CentOS 132 Posteriormente se podra crear un usuario que podra ingresar al servidor diferente al usuario administrador. GRÁFICO N°. 57 CREACIÓN DE USUARIO Elaboración: Marixelinda España Escobar. Fuente: CentOS Después mostrara una pantalla donde se configura la tarjeta de sonido, si no se desea ninguna modificación dar clic en Adelante, inmediatamente se muestra una pantalla para instalación de software adicional, si no cuenta con ningun disco adicional pulsar finalizar para concluir la instalación de CentOS. 133 ANEXO #6: INSTALACION DE WINDOWS SERVER 2003 STANDART EDITION Los pasos de instalación diferirán de acuerdo a las múltiples opciones que se elijan a medida que avanza la instalación del servidor bajo Windows 2003 Server. Pasos de la Instalación Insertar el disco de Windows 2003 Server Standard Edition o superior. Arrancar el equipo desde el disco. Al iniciar Windows Server muestra la pantalla en la cual se podrá Crear una instalación, reparar una existente y quitar una instalación, en cada opción se indica la tecla para escoger la acción deseada, en este caso seleccionaremos crear una nueva dando Enter. GRÁFICO N°. 58 INICIO DE WINDOWS 2003 SERVER Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 134 Enseguida muestra la licencia de Windows Server 2003, digitamos F8 para aceptar los términos de la licencia. GRÁFICO N°. 59 LICENCIA DE WINDOWS SERVER 2003 Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 135 Mostrara la ventana para realizar la partición de disco e instalación del sistema, dar Enter si se desea instalar el sistema en el espacio disponible, en este caso se realizar una partición para los respaldos y digitar C. GRÁFICO N°. 60 PARTICIÓN DEL DISCO DURO Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 136 Indicara el espacio disponible para particionar el disco duro, se digita el espacio en MB que se le asignara a la primer partición y precionar Enter. GRÁFICO N°. 61 ASIGNACÓN DE ESPACIO Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server En seguida se mostrara el espacio disponible para la siguiente particion, se presiona Enter para crear la nueva partición y se digita el espacio que se le asignara a la nueva partición; una vez asignado el espacio precionar Enter. 137 Posteriormente se debe seleccionar la partición en la que se instalará el Sistema Operativo, como es la partición C, presionar Enter para iniciar la instalación del Sistema Operativo GRÁFICO N°. 62 UNIDAD DE INSTALACIÓN DE WINDOWS Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 138 Enseguida mostrar el tipo de formato que se desea dar a la unidad donde se instalara el sistema operativo, en la cual se seleccionara usando Formato NTFS, esperamos que se realice el Formateo de la partición, que se copien los archivos de instalación de Windows Server y se reinicie el Servidor. GRÁFICO N°. 63 ASIGNACÓN DE ESPACIO Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 139 Una vez reiniciado el servidor, se podrá configurar la región y lenguaje de teclado, una vez realizada la configuración dar clic en Next o Siguiente y a continuación se muestra la pantalla para digitar la clave del producto, clic en Next. GRÁFICO N°. 64 SELECCIÓN DE IDIOMA Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 140 Posteriormente mostrara el número de conexiones recurrentes que se desea que tenga el servidor, dar clic en Next. GRÁFICO N°. 65 NÚMERO DE CONEXIONES CONCURRENTES Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 141 Enseguida mostrara la pantalla para establecer el nombre del Servidor y la contraseña del administrador. GRÁFICO N°. 66 CONTRSEÑA DE ADMINISTRADOR Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 142 Mostrara el tipo de configuración que desea realizar para la red de servidor. GRÁFICO N°. 67 CONFIGURACIÓN DE RED Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 143 Pregunta si el Servidor pertenecerá a un Grupo de Trabajo de la red. Dar clic en next y se finalizara la instalación de Windows 2003 Standart Edition. GRÁFICO N°. 68 GRUPO DE TRABAJO Elaboración: Marixelinda España Escobar. Fuente: Windows 2003 Server 144 ANEXO #7: INSTALACION DE WEBMIN Para la instalación de Webmin se debe realizar la descarga del paquete de Webmin, el cual está disponible en www.webmin.com, para utilizar Webmin deben estar instaladas las herramientas de desarrollo de CentOS como: perl (lenguaje de programación utilizados por webmin), openssl (para acceder a las pagina de Webmin de manera segura) y perl-Net-SSLeay (extensión de perl para el uso de openssl). En caso de que el equipo no tenga instaladas estas herramientas, se las puede instalar digitando lo siguiente: yum install perl yum install openssl yum install perl-Net-SSLeay Una vez concluida la descarga de Webmin, se debe posicionar en la carpeta en que se desea instalar Webmin y donde debe estar el paquete descargado, para lo cual se debe abrir un terminal y digitar lo siguiente: cd /usr, para posicionarse en la carpeta donde se encuentra el paquete de Webmin en la cual va ser instalado. tar –xf nombre del paquete, para descomprimir el paquete descargado. 145 cd webmin-1.520 (nombre de la carpeta), para posicionarse en la carpeta creada por el paquete descomprimido. ./setup.sh, para iniciar la instalación de Webmin. Una vez que se iniciada la instalación de Webmin, se mostrara una ventana de configuración como la siguiente, donde muestra el directorio por defecto: GRÁFICO N°. 69 SCRIPT DE WEBMIN Elaboración: Marixelinda España Escobar. Fuente: Webmin Consecutivamente empezara a indicar los directorios de Webmin, presionar Enter hasta que muestre el puerto de Webmin, que por defecto es el puerto 10000, en esta opción se puede elegir el puerto desde el cual se podrá acceder a Webmin, si se desea 146 que sea accedido desde el puerto 10000 presionar Enter, caso contrario indicar el puerto, en este caso se indicara el puerto 25000. A continuación se debe indicar el usuario que será utilizado para ingresar a Webmin, el cual por defecto está asignado admin, además se debe indicar la contraseña para acceder a Webmin, elegimos usar SSL e indicar si se desea que Webmin arranque al inicio del servidor Linux. GRÁFICO N°. 70 CONFIGURACIÓN WEBMIN Elaboración: Marixelinda España Escobar. Fuente: Webmin Una vez concluida la instalación del paquete se puede acceder a Webmin mediante: http://localhost.localdomain:25000, donde se digitara el usuario y contraseña que se indico en la instalación para comenzar a utilizar Webmin. 147 ANEXO #8: PERMISOS DE ACCESOS DE ARCHIVOS Para la configuración de los permisos de accesos se tienen tres tipos de permiso: ejecución, lectura y escritura, en donde se establecen tres tipos de usuarios como: Propietario.- Es la persona que creo o subio el archivo al servidor FTP. Grupo.- Se refiere al grupo de usuarios al que probablemente pertenece el propietario. Otros.- Son todos los demás usuarios anónimos o que no pertenecen al grupo indicado. Para configurar correctamente el parámetro local_umask del archivo vsftpd.conf, en el cual se indican los permisos que tendrán los usuarios para los archivos contenidos en el Servidor FTP, la manera usual de asignar los permisos es numéricamente, en donde: 0= sin acceso 2= escritura 1= ejecución 148 Los permisos se asignan acorde a la suma de estos números, por ejemplo: 3 (2+1)= escritura y ejecución 5 (4+1)= lectura y ejecución 6 (4+2)= lectura y escritura 7 (4+2+1)= lectura, escritura y ejecución En donde las combinaciones se deben realizar en el orden: propietario, grupo y otros. Por ejemplo: 664, asigna permisos de lectura y escritura al propietario y al grupo, a otros le asigna solo permisos de lectura. Otro ejemplo: 022, sin acceso para el propietario y al grupo y otros usuarios solo le asigna permisos de escritura. De esta manera se pueden combinar y establecer los permisos que tendrán los archivos que contenga el Servidor FTP. 149 ANEXO #9: IP CONFIGURADAS PARA PRUEBAS Las interfaces de red del Firewall están configuradas con las siguientes IP. Para la realizar las pruebas del Firewall. GRÁFICO N°. 71 IP DE RED LAN (ETH0) Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Firewall 150 GRÁFICO N°. 72 IP DE INTERFAZ WAN (ETH1) Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Firewall GRÁFICO N°. 73 IP DE LA DMZ (ETH2) Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Firewall 151 La dirección IP para el cliente que será utilizado para las pruebas fue asignada por DHCP. GRÁFICO N°. 74 RED LOCAL Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Cliente para Pruebas 152 ANEXO #10: PRUEBAS DE SEGURIDAD DE LA DMZ Las pruebas permitirán conocer si la Zona Desmilitarizada (DMZ) está cumpliendo con su función para lo cual se utilizaran ping y telnet. GRÁFICO N°. 75 PING A LA INTERFAZ DE LA LAN Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Cliente para Pruebas GRÁFICO N°. 76 PING A LA INTERFAZ DE LA WAN Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Cliente para Pruebas 153 GRÁFICO N°. 77 TELNET A LA INTERFAZ DE LA LAN Elaboración: Marixelinda España Escobar. Fuente: VMware Equipo Cliente para Pruebas GRÁFICO N°. 78 TELNET DE UN SERVIDOR DE LA DMZ A UN EQUIPO DE LA LAN Elaboración: Marixelinda España Escobar. Fuente: VMware Servidor de la DMZ