propuesta e implementacion de un appliance de segurida.pdf
TRANSCRIPT
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
1/94
PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDAD APARTIR DEL RE-USO TECNOLOGICO
DANIEL ECHEVERRY MATIAS
UNIVERSIDAD CATOLICA DE PEREIRAFACULTAD DE CIENCIAS BSICAS E INGENIERAS
PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONESPEREIRA
2011
1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
2/94
PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDAD APARTIR DEL RE-USO TECNOLOGICO
DANIEL ECHEVERRY MATIAS
Infor! F"n#$
TUTOR%INGENIERO DANIEL FELIPE BLANDON
UNIVERSIDAD CATOLICA DE PEREIRAFACULTAD DE CIENCIAS BSICAS E INGENIERAS
PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONESPEREIRA
2011
2
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
3/94
RESUMEN
Este proyecto, busca desarrollar y construir una solucin de seguridad, usando el
re-uso tecnolgico, aprovechando aquellas maquinas que cumplieron su vida util,pero que aun as pueden llegar a cumplir ciertas funciones dentro de una red.
Usando esta tecnologa antigua, el proyecto aporta una alternativa de solucin a
la grande problemtica que est viviendo el mundo actual, en cuanto a los
desechos tecnolgicos, de esta forma, se beneficiaran las peque!as y medianas
empresas, implementando soluciones de seguridad a ba"o costo, y
adicionalmente, se beneficiara el medio ambiente.
#his pro"ect see$s to develop and build a %or$around of security, using the
technological reuse, ta$ing advantage of these machines that complete their useful
life, but these yet are useful to perform certain functions %ithin a net%or$. Using
this old technology, the pro"ect contribute an alternative of %or$around to the big
problematic that is living the today&s %orld, %ith regard to technological %aste, thus,
to benefit small and medium enterprises, implementing security %or$arounds at
lo% cost, and additionally, %ill benefit the environment.
'
Palabras claves: Dispositivo de seguridad, UTM, Firewall, Seguridad informatica,
Redes, appliance de seguridad.
ABSTRACT
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
4/94
TABLA DE CONTENIDO
1 (ntroduccin 1)
2 *ormulacin del problema 12
' +b"etivos 1
ustificacin 1
/ronograma de actividades 10
arco /onte3tual 14
.1 5(mplementacin 6e /lusters 7eo%ulf /omo *ire%all8 14
.2 5odelo de solucin de enrutamiento de datos a ba"o costo basado ensoft%are libre8 2)
.' 59urdue *ire%all :ppliance8 21
. ;olucin *ortinet 22
. ;olucin ;onic
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
5/94
=.1 :ppliance 2=
=.2 #ipos de :ppliance 2=
=.2.1 :ppliance de telefona (9 2=
=.2.2 :ppliance de correo 20
=.2.' :ppliance de onitoreo 24
=.' U# 24
=. ;ervicios de seguridad 24
=..1 *ire%all 24
=..2 (6;>(9; ')
=..' ?9@ '1
=.. 9ro3y ''
=. ;istemas operativos embebidos '
=..1 ;istemas embebidos '
=..2 ;istemas operativos embebidos '
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
6/94
=. :lgunos sistemas operativos embebidos '
=..1 ;ymbian +; '
=..2 66-
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
7/94
4.2.2.1 +b"etivos de un fire%all 4
4.2.' (nstalacin (6; '
4.2.'.1 ;nort
4.2. (nstalacin ?9@ =
4.2. (nstalacin 9ro3y 0
4.2..1 ;quid =)
4.' 9ruebas de rendimiento =2
4.'.1 Escenario de las pruebas =
4. :nlisis de los resultados ==
1) /onclusiones 4)
11 Aecomendaciones 41
12 Aeferencias bibliogrficas 42
1' 7ibliografa 4
=
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
8/94
TABLA DE IMAGENES&
*igura 1. 6esechos tecnolgicos 1'
*igura 2. @umero de transistores por chip a escala logartmica 1
*igura '. :ppliance *ortinet 2'
*igura . 6iagrama ?9@ '2
*igura . 6iagrama 9A+F ''
*igura . Equipo usado para el proyecto 2
*igura =. Equipo usado para el proyecto '*igura 0. (nstalacin +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
9/94
*igura 22. 9aquetes instalados
*igura 2'. 9aquetes disponibles
*igura 2. 7ac$up y restaurar =*igura 2. Esquema *ire%all 4
*igura 2. /adenas bsicas de fire%all )
*igura 2=. #argets de un fire%all 1
*igura 20. enu *ire%all 2
*igura 24. ;nort
*igura '). (nstalacion ;@+A#
*igura '1. 9aquete +9E@?9@ 0
*igura '2. 9aquete +9E@?9@ - 6E?ED 0
*igura ''. Esquema 9ro3y 4
*igura '. 9aquete ;quid =)
*igura '. Daboratorio : =
*igura '. Daboratrio 7 =
*igura '=. Hrafica /onsumo /9U ==
*igura '0. Hrafica /onsumo /9U =0
*igura '4. Hrafica /onsumo /9U =0
*igura ). Hrafica Aendimiento interfaces =4
4
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
10/94
1& INTRODUCCI'N
Goy en da, la seguridad informtica "uega un papel fundamental en cualquier
empresa, ya que estas se concientiCan de cuidar su activo ms importanteI 5Dainformacin8. ;in embargo, implementar la infraestructura necesaria Jhard%are y
soft%areK para reducir los riesgos y aumentar la proteccin de los datos requiere
de una cantidad de dinero que algunas empresas no tienen, o los recursos no
son destinados, o simplemente no estn dispuestas a pagar por algo que ven
como un gasto y no como una inversin.
En el mercado e3isten appliances de seguridad JtambiBn llamadas U#K, queproporcionan toda la seguridad perimetral necesaria para cualquier sistema
informtico, estos equipos traba"ando a nivel de aplicacin, analiCan y permiten el
paso del trfico en funcin de las polticas implementadas en el dispositivo, en
otras palabras estos equipos son una 5ca"a negra8 en la cual estn todos los
servicios de seguridad integrados. E3isten muchos fabricantes de este tipo de
equipos, desde /isco1 hasta *ortinent2, pero los precios son algo elevados, por
e"emplo, un equipo *ortigate *11)/, ideal para redes de 1) usuarios, cuesta
2.0)) U;6' con todas las licencias activas, mientras que un equipo /isco :;:
) con caractersticas similares cuesta alrededor de 2.1)) U;6
:hora bien, hay una problemtica que surge en las empresas LMuB hacer con los
9/&s obsoletosN, generalmente los equipos catalogados como obsoletos terminan
en la basura, sin darse cuenta que estn cometiendo dos grandes errores. El
primero es la contaminacin del medio ambiente, ya que los dispositivos
electrnicos no se pueden tratar como basura convencional, dado su contenidode sustancias t3icas como el cromo, el cadmio y el mercurio. F el segundo error
1 httpI>>%%%.cisco.com>en>U;>products>ps12)>inde3.html2 httpI>>%%%.fortinet.com>products>fortigate>111/.html' http I>>%%% .avfire%alls .com >*ortiHate -11) / .asp http I>>%%% .router -s%itch .com >9rice -cisco -fire%alls -security -cisco -asa -))- series O c 2 http I>>%%% .elmundo .es >elmundosalud >2))>)>')>industria >1110=0'.html
1)
http://www.avfirewalls.com/FortiGate-110C.asphttp://www.avfirewalls.com/FortiGate-110C.asphttp://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26http://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26http://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.avfirewalls.com/FortiGate-110C.asphttp://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26http://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.html -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
11/94
que cometen las empresas, es asumir que dichos equipos por ser de tecnologa
antigua, no se les puede dar otra utilidad, esto es un error grave ya que si bien no
son equipos de Pltima tecnologa, son equipos que pueden soportar una funcin
limitada.
Este proyecto plantea una solucin a dicha problemtica. En primer lugar,
proponer e implementar una solucin de seguridad perimetral, usando aquellas
mquinas de tecnologa antigua, y en segundo lugar, hacer re-uso de aquellos
equipos anticuados, pero todava Ptiles, contribuyendo as al medio ambiente.
11
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
12/94
2. FORMULACI'N DEL PROBLEMA
6ebido a que en la actualidad la informacin importante de cualquier empresa se
encuentra sistematiCada, e3iste cada veC ms el riesgo de que personas noautoriCadas observen o roben dicha informacin, por tal motivoQ hay soluciones
de Gard%are y ;oft%are que tienen como Pnico fin minimiCar los riesgos de que
suceda un acceso no autoriCado a la informacin o una fuga de la misma.
6esafortunadamente este tipo de soluciones son costosas, e inasequibles para
peque!as empresas. 9or tal motivo hay empresas que no estn protegiendo su
informacin de forma adecuada, poniendo as en riesgo la privacidad no solo dela organiCacin sino tambiBn de sus clientes, Esto se deriva por carencia de
recursos econmicos, o por factores comoI 6esconocimiento, o simplemente
porque no se cuenta con el personal capacitado para administrar este tipo de
herramientas.
Un problema con el que se enfrentan las empresas es , quB hacer con aquellos
equipos que ya han llegado a un nivel de obsolescencia . Es claro que estos
dispositivos electrnicos se demoran varios a!os en descomponerse y adems de
esto si son desechados pueden contaminar el medio ambiente por las sustancias
to3icas con las que fueron dise!ados.
12
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
13/94
*igura 1I 6esechos tecnolgicos
Da idea principal de este proyecto es ayudar en la solucin de estas dos
problemticas que hoy en da son ms evidentes.
;e Usarn equipos con tecnologa obsoleta para configurar un appliance que se
encargue de proteger la seguridad de la informacin en las 9FE; Jpeque!as y
medianas empresasK, las cuales, por alguna raCn no pueden tener un equipo de
marca dedicado para este fin.
httpI>>greennatureboo$.blogspot.com>2)11>)>desechos-tecnologicos.html
1'
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
14/94
'. OB(ETIVO GENERAL
9roponer un :ppliance de seguridad que provea servicios deI (6;, ?9@, pro3y,
*ire%all y enrutamiento a partir del re-uso tecnolgico, para suplir las necesidadesque tienen las pymes en cuanto a la seguridad de su informacin.
OB(ETIVOS ESPECFICOS
9roponer una nueva alternativa a la grave problemtica ambiental que sufre
hoy en da el mundo, referente a los desechos tecnolgicos.
(ndagar sobre antecedentes de traba"os similares que se hayan realiCadoen este sentido.
/onsultar sobre cual es el me"or Gard%are y soft%are para implementar la
solucin
6efinir cuales son los requerimientos mas urgentes para las pymes en
cuanto a seguridad.
1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
15/94
)& (USTIFICACI'N
/on este proyecto, se demostrar que con aquellos equipos catalogados como 5obsoletos8
se pueden construir dispositivos muy Ptiles para cualquier empresa u organiCacin,
contribuyendo de esta forma al recicla"e de equipos electrnicos, pero LquB se puede definircomo 5+bsoleto8N *T+,!$$# I& . V"$#/!# (& *200 ;egPn la ley de oore, fundador y
primer directivo de (@#ED, cada ' a!os la potencia de los ordenadores se multiplica por .
Esto quiere decir, que un equipo de cmputo fabricado en el a!o 1440, ser 1 veces ms
limitado que un equipo actual.
*igura 2. @umero de transistores por chip a escala logartmica. :utorI J#ubella, (. R ?ilaseca, . J2))KK
/abe resaltar que si un equipo es vie"o no quiere decir que ya no sirve, se debe e3plotar la
tecnologa al m3imo, antes de darla como obsoleta. Gay funciones o servicios los cuales no
requieren una capacidad de procesamiento considerable y son estos equipos los adecuados
para prestar dichos servicios.
Da pertinencia y la innovacin del proyecto, radican en que fcilmente se puede construir y
administrar una plataforma de seguridad a un costo muy ba"o, sin necesidad de adquirir
hard%are adicional como dispositivos fsicos dedicados a servicios de seguridadQ con esta
propuesta, las empresas que no velaban por la seguridad de sus sistemas, argumentando
lo costoso que es adquirir la infraestructura necesaria, se darn cuenta que el factor
econmico no es un obstculo para preocuparse por su seguridad informtica.1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
16/94
:simismo, es muy importante crear una cultura del re-uso tecnolgico, ya que as se
concientiCa sobre lo importante que es no desechar irresponsablemente dispositivos
electrnicos.
Dos pases desarrollados generan miles de toneladas de basura tecnolgica cada da. Estos
dispositivos contienen elementos altamente t3icos, que al entrar en contacto con la
naturaleCa causan da!os irreversibles en la salud y el medio ambiente. Estas sustancias son
nocivas para el ser humano, y al desechar estos equipos pueden llegar a las fuentes
hidrogrficas y ocasionar serios problemas ambientales, para la poblacin. Jose luis,
Hallego, 2))4, 90K
Dos ciudadanos europeos generamos anualmente ms de 1 $ilos de chatarra tecnolgica
por persona, se trata de ordenadores personales, telBfonos celulares, agendas electrnicas y
toda una larga serie de consumibles que entran en desuso al de"ar de funcionar o ser
sustituidos por un modelo con mayores prestaciones. Estos productos se han incorporado en
pocos a!os al sector del gran consumo generando un importante problema ambiental debido
a su especial circunstancia en el mercado. F es que a menudo antes de poner un pie fuera
del comercio donde lo acabamos de adquirir, se quedan obsoletos.
:ctualmente se busca una forma efectiva de realiCar el recicla"e tecnolgico. F no es tan
complicado. Este proyecto da una alternativa a colaborar con el recicla"e tecnolgico dando
otra forma de uso a estos equipos vie"os y alargando el tiempo de vida Ptil de los mismos,
evitando as, la contaminacin, y el desperdicio.=
En el desarrollo de este proyecto se podrn aplicar conceptos vistos a lo largo de la
formacin profesional como ingenieros de sistemas y telecomunicaciones. ;e aplicarn no
solo los temas relacionados con las telecomunicaciones sino tambiBn relacionados con la
formulacin de proyectos, conceptos que en el mundo laboral son fundamentales para un
(ngeniero de sistemas de la actualidad. :lgunos de estos sonI
= httpI>>%%%.uv.m3>cienciahombre>revistae>vol2'num1>articulos>basuras>inde3.html1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
17/94
(nnovacin.
Emprendimiento.
9ro actividad.
Aecursividad.
/reatividad.
(nvestigacin.
1=
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
18/94
. CRONOGRAMA DE ACTIVIDADES
A (+n"o (+$"o A3o/4o S!54"!,r! O4+,r! No6"!,r!
1 2 7 ) 1 2 7 ) 1 2 7 ) 1 2 7 ) 1 2 7 ) 1 2 7 ):1 8 8 8 8:2 8 8 8 8:' 8 8: 8 8: 8: 8:= 8 8 8 8:0 8 8:4 8 8
:) 8
:1I Elaborar arco terico:2I AealiCar el estado del arte:'I Eleccin del hard%are disponible.:I Eleccin del sistema operativo.:I (nstalacin sistema operativo base.:I /onfiguracin bsica del dispositivo.:=I (nstalacin de los servicios propuestos.
:0I9ruebas benchmar$ del dispositivo.:4I :lgunas modificaciones y customiCaciSn.:1)I 9uesta en marcha dispositivo U#
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
19/94
. MARCO CONTE8TUAL
:ntes de entrar materia, es necesario hacer un recorrido por el mundo de la tecnologa,
buscando aquellas entidades, universidades, y otras organiCaciones las cuales han
investigado sobre el amplio tema de la seguridad, dise!ando, o estudiando la forma deimplementar equipos JGard%areK a ba"o costo, los cuales integren todos los servicios que
ayuden aumentar la proteccin de las redes D:@.
En cuanto al re-uso tecnolgico, en /olombia se han hecho grandes esfuerCos, por brindar
una solucin a tantos artefactos electrnicos JcomputadoresK que quedan en desuso debido
la tecnologa entrante, por esta problemtica nace 5/omputadores para educar8, un proyecto
el cual trata de darle un uso a aquellos computadores que no se utiliCan en las grandes
compa!as, reensamblandolos y envindolos a diferentes Conas ale"adas del pas, con el fin
de que aquellas personas que se encuentran ale"adas de las ciudades, puedan aprender,
estudiar, y navegar a travBs de (nternet. Esta es una buena solucin para los desechos
tecnolgicos, educando y dndole la oportunidad a las personas a usar un computador.
En nuestro pas, no se han evidenciado proyectos cuyo ob"etivo, tengan como fin
aprovechar el hard%are en des-uso para construir una plataforma integral de seguridad
JtambiBn llamada U#K.
@o obstante, se han desarrollados proyectos similares que han buscado implementar
soluciones de seguridad de diferente ndole. : continuacin, algunos de los proyectos
relacionados que se han realiCadoI
9&1 :IMPLEMENTACI'N DE CLUSTERS BEO;ULF COMO FIRE;ALLDinu3K con el fin de ofrecer
en una misma maquina todos los servicios de seguridad integrados. Estos son algunos
fabricantes reconocidos en el mercado por sus productos U#I
5*ortigate8
5;onic
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
23/94
#orti>%%% .abo3 .com0 httpI>>%%%.fortinet.com
2'
http://www.abox.com/http://www.abox.com/http://www.abox.com/ -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
24/94
(ntrusion 9revention J(9;K
:ntivirus>:ntispy%are>:ntimal%are
(ntegrated
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
25/94
que ;onic%all delega la responsabilidad de desarrollo a otras empresas.
/omo se puede ver, en el mbito comercial, las empresas son muy similares, cada una con
venta"as y desventa"as, ofreciendo un dispositivo de seguridad que en algunos casos puede
ser visto como 5bastante costoso8, costo que peque!as empresas no estaran dispuestas apagar o que no lo consideran de importancia.
El gran reto de este proyecto de grado, consiste en demostrar que con muy pocos recursos
y con soft%are libre, se puede lograr una solucin robusta y similar a las soluciones de los
grandes fabricantes. :quellos fabricantes que como negocio cobran millones por una 9/ con
H@U>Dinu3 disfraCada de una 5gran y robusta solucin8
9&9 DIFERENCIAS ENTRE EL PROYECTO Y LAS SOLUCIONES COMERCIALES&
6espuBs de haber hecho un recorrido por el amplio mercado de las soluciones de seguridad
que e3isten hoy, e identificando las caractersticas y el plus de cada una de ellas, es
pertinente realiCar una comparacin entre el appliance libre que se propone, y las dems
marcas comerciales, ya que de esta manera, se podr determinar y conocer quB hace Pnico
e innovador este proyecto.
Das principales diferencias entre una solucin comercial, sin importar la marca, con elproyecto que se plantea sonI
Gaciendo Bnfasis slo a nivel de soft%are Jdebido a que muchos fabricantes cierran
sus driversK, este proyecto es totalmente libre, el proyecto busca implementar una
solucin de seguridad a muy ba"o costo usando soft%are libre, y por ende aprovecha
las bondades del cdigo abierto para construir un appliance, seguro, confiable y con
un rendimiento adecuado.
Dos grandes fabricantes enfocan gran parte de su traba"o en desarrollar hard%are
especialiCado. ;in embargo, desarrollar Gard%are no es el ob"etivo, ni hace parte del
proyecto, ya que el Gard%are que se usar en la implementacin del dispositivo de
seguridad sern componentes obsoletos de equipos de cmputo, los cuales han sido
2
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
26/94
declarados inservibles.
El ob"etivo principal de todas las soluciones comerciales, es lucrarse econmicamente,
producir y comercialiCar su producto, posicionarse en el mercado, aumentar sus
activos, en fin todo lo relacionado con el dinero. El proyecto aqu descrito, tiene un finsocial, que consiste en reutiliCar aquella tecnologa catalogada por la mayora de las
empresas como 5obsoleta8, para disminuir los problemas ambientales que se puedan
presentar debido al mal mane"o que muchas empresas dan a dichos residuos
tecnolgicos.
#odos los aplicativos, usados en el proyecto, son desarrollados por diferentes
comunidades, ubicadas en diferentes partes geogrficas, los cuales al unirlos, forman
una e3celente solucin de seguridad.
2
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
27/94
=. :A/+ #EVA(/+
9ara que un sistema de proteccin de informacin sea seguro, debe contar con algunos
servicios de seguridad, que nos ayuden a minimiCar los riesgos de fuga de informacin, sin
embargo, implementar cada uno de estos servicios en un hard%are diferente, implica gastos
y muchas horas de traba"o. :fortunadamente en la actualidad se cuenta con appliances o
utm&s los cuales se caracteriCan por ofrecer todos los servicios de seguridad en un solo
equipo. 9ero LsegPn los autores e3pertos en el tema, que es una :pplianceN
=&1 APPLIANCE
Es un tBrmino comPn en inglBs, utiliCado en el lengua"e cotidiano, que se traduce a menudocomo 5dispositivo8 o 5aplicacin8. ;in embargo, en el mundo de las #(/ 5appliance8 es un
tBrmino tBcnico. Una appliance destaca por el hecho de que ofrece una interaccin ptima
entre hard%are y soft%are, es decir, hard%are y soft%are estn adaptados perfectamente
entre s. Una appliance no es un 5sabelotodo8 sino que est destinada a un solo campo de
actividades que domina perfectamente. Un e"emplo de la vida cotidianaI /on una lavadora no
se puede ni telefonear ni hacer cafB. 4
=&2 TIPOS DE APPLIANCE
#eniendo clara, la definicin del tBrmino appliance, se deben nombrar los diferentes tipos que
e3isten en el mercado, ya que aunque en este documento el ob"etivo principal es un
appliance de seguridad, es importante conocer que e3isten otros tipos, los cuales pueden ser
interesantes y PtilesI
=&2&1 A55$"#n! >! T!$!fon"# IP% Un :ppliance ?o(9 proporciona todas lascaractersticas que se esperan de una 97. #raba"a con voC sobre (9 en varios
protocolos J;(9, G'2'K e interopera con casi todo el equipo estndar basado en
telefona (9. 9rovee servicios de correo de voC, comunicacin de llamada, respuesta
4 http I>>%%% .dallmeier -electronic .com >es >productos >dvr -nvr >videoip -appliance -smatri3 >que -es -una -appliance .html
2=
http://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.html -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
28/94
interactiva de voC, cola de llamados, servicio de identificacin de llamados, etc.
=&2&2 A55$"#n! >! Corr!o% Este :ppliance permite ser utiliCado como servidor de
correo para realiCar filtrado de correos, ya sea de spam o de virus. Esto es gracias a
las herramientas de antivirus y antispam que poseeQ lo que mantiene el correo de losusuarios libre de virus y con una mnima tasa de spam.
Da otra posibilidad de uso de este :ppliance es como suite de colaboracin de correo,
incluyendo la capacidad de compartir calendarios para poder agendar reuniones y otros.
=&2&7 A55$"#n! >! Mon"4or!o% Este :ppliance de monitoreo contiene un con"unto de
aplicaciones de soft%are que permiten obtener informacin Ptil para el anlisis y
monitoreo de enlaces y dispositivos de red.
/on este dispositivo se pueden monitorear aspectos importantes comoI
Gost
9uertos
G##9
/onectividad a base de datos
*#9
;#9
9+9
(:9
;ervicios personaliCados
Entre otros
/omo pueden ver, un appliance se puede dise!ar para cumplir cualquier funcin o
necesidad, es decir, cualquier servicio informtico se puede instalar en una 5ca"a negra8 la
cual ser destinada Pnica y e3clusivamente, para cumplir dicho servicio.
:hora bien, el ob"etivo primordial de este proyecto, es implementar un appliance de
20
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
29/94
seguridad. Este tipo de appliance es ms conocido como U# y se describe a continuacionI
=&7 UTM% *Ro,!r4 N!?#n 200@ P21 Hestin unificada de amenaCas o algunas veces
llamados 5*ire%all de la pro3ima generacion8. Dos equipos U# traen mPltiples servicios deseguridad en una sola plataforma. Una plataforma U# tpica provee servicios de *ire%all,
?9@, antivirus, filtrado de contenido, un sistema de deteccin y prevencin de intrusos, y
antispam. Estos appliances fueron derivados de productos de empresas comoI
7COM
CISCO
(UNIPER
SONIC;ALL
FORTINET
Da principal venta"a de un U#, es que incluye mPltiples caractersticas de seguridad en un
solo aparato, esto hace que el administrador o el cliente final tenga facilidades comoI
*cil administracin
:dministracin centraliCada
servicios integrados.
:lto nivel de seguridad
6ebido a que el termino appliance es un termino estandar para describir un aparato o
artefacto, en el siguiente apartado, se describiran los servicios de seguridad y redes que
proveen los dispositivos U#, los cuales hacen de este appliance una ;olucin demasiado
robusta y eficiente, y por tanto son los aspectos fundamentales que hacen que el dispositivo
sea un appliance de seguridad.
=&) SERVICIOS DE SEGURIDAD
=&)&1 FIRE;ALL% *M#r"# E/5## 2007 P2@Es un sistema de seguridad desarrollado24
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
30/94
para ubicarse en una red publica JHeneralmente (nternetK y una red interna perteneciente a
una organiCacin, o bien entre diferentes secciones de una red interna. Esta compuesto por
Gard%are y ;oft%are que controlan el trafico entre las dos redes, autoriCando o impidiendo
su transito de una a otra. 9ara construir un fire%all e3isten bsicamente dos posibilidadesI
R!#$"#r +n f"$4r#>o >! 5#+!4!/ # n"6!$ >! r!>& Esta modalidad suele ubicarse en
enrutadores, consiste en un filtro que e3amina cada paquete que llega al dispositivo y
dictamina si aceptar o no su paso hacia uno de los puertos de salida, en funcin de si
cumple ciertas reglas especificadas en una base de datos. En la actualidad e3isten
niveles que traba"an a niveles superiores, y admiten una mayor cantidad de criterios
como por e"emplo, la ip de origen, la ip destino, el protocolo entre otros.
Cor4#f+!3o/ "n4!r!>"#r"o !n $# #5# >! #5$"#"n& :ctPa a nivel de aplicacin,
generalmente intermediando la comunicacin, entre un proceso cliente y un proceso
servidor. Uno de los cuales pertenece a la red que se desea proteger y el otro a una red
e3terna.
=&)&2 IDSIPS% *M"+!$ Co$o,r#n 200 P12Dos sistemas de deteccin de intrusos J(6;K,
monitoriCan los contenidos del flu"o de informacin, a travBs de la red, en la bPsqueda y
rechaCo de posibles ataques. 9ueden combinar Gard%are y ;oft%are, y normalmente seinstala en los dispositivos ms e3ternos de la red. /omo fire%all y pro3ies. :dmiten dos
clasificacionesI
segPn la actividad que realiCanI
B#/#>o/ !n RED%onitorean una red, suelen ser elementos pasivos que no
sobrecargan la red en e3ceso. B#/#>o/ !n Ho/4/I onitorean un host o un con"unto de ellos y permiten un
control mas detallado, registrando los procesos y los usuarios implicados en las
actividades registradas por el (6;, consume recursos e incrementa el flu"o de la
red.
B#/#>o/ !n #5$"#"on!/% onitorean los ficheros de registro o logs de una
')
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
31/94
aplicacin en especfico, para detectar actividades sospechosas
segPn el tipo de anlisis que realiCanI
7asados en firmasI 6e forma similar a los programas antivirus, estos tipos de(6;, monitorean la red en busca de patronesJfirmas de ataquesK que permitan
identificar un ataque previamente conocido, estos requieren que la base de
datos de firmas, se encuentre constantemente actualiCada
7asados en anomalasI El (6; buscara comportamientos anmalos en la red
Jun escaneo de puertos, paquetes malformados etc.K
9uede producir falsos positivos, debido a la ambigYedad de la que se podra considerar un
5comportamiento anmalo8, pero permite adaptarse a nuevos ataques sin necesidad de
a!adir nuevas firmas. Uno de los (6; mas conocido tiene como nombre ;@+A#J;@+A# es
una aplicacin libre que funciona como (6;, en captiulos posteriores se entrar mas en
detalle en su definicin e instalacinK.
=&)&7 VPN% *An3!$ Co,o P1= Una red privada virtual, se puede definir como una
e3tensin de una red privada, que utiliCa enlaces a travBs de redes publicas o compartidas
como (nternet, y que posibilita la transmisin de datos como si se tratase de un enlace puntoa punto.
9ara realiCar esto, los datos son encapsulados utiliCando un protocolo de tPnel que consiste
en a!adir al paquete original una cabecera que proporciona la informacin de enrutamiento
lo cual permite que Bste pueda llegar a su destino. 9ara que el enlace sea privado, los datos
via"an cifrados, lo que garantiCa la confidencialidad, aun as si estos son interceptados por
terceros.
'1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
32/94
*igura . 6iagrama ?9@
7sicamente e3isten ' tipos o esquemas de ?9@I
VPN >! #!/o r!o4o *D#"#n F!rr!r 200
Este es quiCs el modelo ms usado actualmente y consiste en usuarios o
proveedores que se conectan con la empresa desde sitios remotos Joficinas
comerciales, domicilios, hoteles, aviones, etc.K utiliCando (nternet como vnculo
de acceso. Una veC autenticados tienen un nivel de acceso muy similar al que
tienen en la red local de la empresa. uchas empresas han reemplaCado con
esta tecnologa su infraestructura Zdial-upZ Jmdems y lneas telefnicasK,
aunque por raCones de contingencia todava conservan sus vie"os mdems.
VPN /"4"o-#-/"4"o *D#"#n F!rr!r 200
Este esquema se utiliCa para conectar oficinas remotas con la sede central de
organiCacin. El equipo central ?9@, que posee un vinculo a (nternet
permanente, acepta las cone3iones va (nternet provenientes de los sitios y
establece el ZtPnelZ vpn. Dos servidores de las sucursales se conectan a
(nternet utiliCando los servicios de su proveedor local de (nternet, tpicamente
mediante cone3iones de banda ancha. Esto permite eliminar los costosos
vnculos punto a punto tradicionales, sobre todo en las comunicaciones
'2
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
33/94
internacionales.
VPN In4!rn#*D#"#n F!rr!r 200
Este esquema es el menos difundido pero uno de los ms poderosos para
utiliCar dentro de la empresa. Es una variante del tipo Zacceso remotoZ pero, en
veC de utiliCar (nternet como medio de cone3in, emplea la misma red Dan JAed
de rea localK de la empresa. ;irve para aislar Conas y servicios de la red Dan
interna. Esta capacidad lo hace muy conveniente para me"orar las prestaciones
de seguridad de las empresas.
=&)&) PRO8Y *D#6"> M#r4"n! 200@ P1)= Es un servidor que separa dos redes diferentes,
entre sus funciones se destacanI
2. /entraliCar el trfico en ambas redes.
'. :celerar el acceso a contenidos
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
34/94
conectarse a la pgina o/% *D#6"> P!r! 200@ P)% Un sistema embebido posee
hard%are de computador "unto con soft%are embebido como uno de sus componentes ms
importantes. Es un sistema computacional dedicado para aplicaciones o productos. 9uede
ser un sistema independiente o parte de un sistema mayor, y dado que usualmente su
soft%are est embebido en A+ JAead +nly emoryK no necesita memoria secundaria
como un computador. Un sistema embebido tiene tres componentes principalesI
1. Gard%are.
2. Un soft%are primario o aplicacin principal. Este soft%are o aplicacin lleva a cabo
una tarea en particular, o en algunas ocasiones una serie de tareas.
'. Un sistema operativo que permite supervisar laJsK aplicacinJesK, adems de proveer los
mecanismos para la e"ecucin de procesos. En muchos sistemas embebidos es requerido
que el sistema operativo posea caractersticas de tiempo real.
=&&2 S"/4!#/ o5!r#4"6o/ !,!,">o/% *An>r!? T#n!n,#+ 2001% Un sistema
operativo embebido es un sistema operativo que se e"ecuta sobre un sistema embebido, los
'
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
35/94
cuales han sido descritos previamente. Dos sistemas operativos embebidos generalmente se
e"ecutan sobre dispositivos que difieren de un computador comPn, como televisores, hornos
microondas, y telBfonos mviles. Usualmente tienen algunas caractersticas de sistemas de
tiempo real, pero a la veC tienen restricciones de tama!o, memoria y energa que los hacen
especiales.
+tra definicin interesanteI
"n sistema operativo para un sistema embebido usualmente es dise*ado para una
aplicacin especfica, y por lo tanto es m-s est-tico que un sistema operativo de propsito
general). 1)
=&9 ALGUNOS SISTEMAS OPERATIVOS EMBEBIDOS
;i bien la mayora de fabricantes desarrollan su propio sistema operativo para construir sus
:ppliances, e3isten sistemas operativos libres, para estos dispositivos, desarrollados por la
comunidad del soft%are libre, algunos de estos sistemas sonI
=&9&1 S,"#n OS% el sistema operativo ;ymbian es una coleccin compacta de cdigo
e"ecutable y varios archivos, la mayora de ellos son bibliotecas vinculadas dinmicamenteJ6DD por sus siglas en inglBsK y otros datos requeridos, incluyendo archivos de configuracin,
de imgenes y de tipografa, entre otros recursos residentes. ;ymbian se almacena,
generalmente, en un circuito flash dentro del dispositivo mvil. Hracias a este tipo de
tecnologa, se puede conservar informacin aun si el sistema no posee carga elBctrica en la
batera, adems de que le es factible reprogramarse, sin necesidad de separarla de los
dems circuitos.
9agina %ebI http I>>%%% .symbian .org >
=&9&2 DD-;RT% 66-
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
36/94
propicia para una gran variedad de routers %%% .dd - %rt.com
=&9&7 OPEN-;RT% +pen
=&= RE-USO TECNOLOGICO EN COLOMBIA
6esde hace algun tiempo atras cada uno de los grandes fabricantes iniciaron una carrera sin
control en la creacin de productos tecnolgicos, esta etapada, denominada por algunos
autores como la revolucin tecnolgica, se basa fundamentalmente en la evolucion de la
electrnica y su incorporacin a la vida cotidiana de todos los seres humanos, haciendo la
vida mucho mas facil dise!ando dispositivos como telBfonos moviles, 9/&;, impresoras, etc.
En /olombia e3isten millones de articulos electronicos, que con el paso del tiempo se
convertirn en una gran amenaCa al medio ambiente, y es importante que la generacion
actual, se pregunte a donde irar a para esta basura tecnologica o tambien llamada E-
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
37/94
celular o 9/ en muy corto tiempo, gracias a que siempre llegan al mercado nuevos equipos
con nuevas funcionalidades, L9ero a donde iran a parar todos estos equipos que se de"an
de usar, que son reemplaCados por un equipo de me"or tecnologiaN
Gay varias formas de concientiCar a la sociedad, y colaborar con esta gran problemtica,inicialmente se deben seguir los siguientes conse"osI
AehPso.
Aeduccin.
6onacin.
Aecicla"e.
:ctualmente, en nuestro pas se cuenta con un proyecto el cual busca, re-usar estos equipos
obsoletos en la educacin de todos los ni!os ale"ados de las Conas urbanas. ;e trata de
5/omputadores para educar8
&s un programa de reuso tecnolgico cuyo objetivo es brindar acceso a las
tecnologas de informacin y comunicaciones a instituciones educativas p=blicas
del pas, mediante el reacondicionamiento y mantenimiento de equipos,
promoviendo su uso y aprovechamiento significativo en los procesos educativos,
a trav>s de la implementacin de estrategias de acompa*amiento educativo y
apropiacin de 1CBs!)77
/omo se puede observar, computadores para educar brinda una alternativa para la
problemtica de la E-%aste, ;in embargo, en este proyecto, se mostrara otra alternativa,
usando equipos obsoletos, para desarrollar una solucin de seguridad, robusta y confiable
11 http I>>%%% .computadoresparaeducar .gov .co'=
http://www.computadoresparaeducar.gov.co/http://www.computadoresparaeducar.gov.co/http://www.computadoresparaeducar.gov.co/ -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
38/94
0. DEFINICI'N OPERACIONAL DE TRMINOS
SEGURIDAD INFORMATICA% *(o/! S#$6#>or 2007 P101Da seguridad informtica es
definida por ' aspectos fundamentales.
Da confidencialidad [ :segura que la informacin no este disponible o sea
descubierta por personas no autoriCadas. En otras palabras, se refiere a la capacidad
del sistema para evitar que terceros puedan acceder a la informacin.
Da disponibilidad [ Un sistema seguro debe mantener, la informacin disponible
para los usuarios, significa que el sistema, tanto en hard%are y soft%are se debe
mantener funcionando eficientemente, y que es capaC de recuperarse rpidamente
en caso de fallo.
Da integridad [ HarantiCa que la informacin pueda ser modificada, incluyendo su
creacin y borrado, solo por el personal autoriCado. El sistema no debe modificar o
corromper la informacin, que almacene, o permitir que alguien no autoriCado lo haga.
El orden de importancia de estos tres factores es diferente, e incluso entran en "uego otros
elementos como la autenticidad, y el no repudio.
'0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
39/94
4. ENFOUE METODOLOGICO&
@&1 In/4#$#"n >!$ /"/4!# o5!r#4"6o&
Es claro que todo Gard%are necesita de un soft%are que lo controle y administre los recursos
fsicos de la me"or manera, con el Pnico fin de cumplir las tareas para las cuales el dispositivofue dise!ado.
Gablando especficamente de los routers, los fabricantes crean su propio firm%are, cerrado,
para que controle sus maquinas. ;in embargo, gracias al soft%are libre, e3isten firm%are
libres, los cuales son mantenidos por la comunidad, estos en muchos casos me"oran el
rendimiento de los dispositivos, debido a que algunos fabricantes, restringen funciones y
capacidades de sus equipos. 9ero al instalar algPn firm%are libre, se evidencian
caractersticas que con el firm%are propietario no es posible realiCar.
E3isten muchos firm%are libres, entre los ms destacados estnI
66-/ que se le pueden instalar haciendo algunas
modificaciones al dispositivo.1'
12]ai es una red global de "uegos que rePne a diferentes consolas, en una comunidad integrada. ;e trata de soft%are quese e"ecuta en su 9/ que le permite "ugar con intercone3in de sistemas de "uegos habilitados en lnea de forma gratuita.http I>>%%% .team3lin$ .co .u$ >1' http I>>%%% .dd -%rt.com >%i$ i
'4
http://www.teamxlink.co.uk/http://www.teamxlink.co.uk/http://www.dd-wrt.com/wikhttp://www.dd-wrt.com/wikhttp://www.dd-wrt.com/wikhttp://www.teamxlink.co.uk/http://www.dd-wrt.com/wik -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
40/94
;veasoftI firm%are ;veasoft suele ser anunciada como la posibilidad de aumentar el
radio de transmisin de energa de un router a partir del 20 m< a 21 m
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
41/94
licenciado ba"o la H9D. El proyecto tiene intencin de ser siempre alo"ado en un sitio
de fcil acceso, con el cdigo fuente completo disponible y fcil de construir.
(mpulsado por la comunidad. @o se trata de ZnosotrosZ que ofrece algo a ZtiZ, es casi
todo el mundo unido para traba"ar y colaborar hacia una meta comPn.
+pen>%%%.open%rt.org1
http://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/start -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
42/94
Pro!/o >! "n/4#$#"n&
+pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
43/94
*igura 0. Equipo usado para el proyecto. Elaboracion 9ropia
;e descarga la imagen precompilada de +pen>do%nloads .open%rt.org >$ami$aCe >0.)4.2>3 0>open%rt- 3 0- e3t2.image
;e copia la imagen a un dispositivo U;7I
5cp open%rt-30-e3t2.image >media>U;7>8
(nstalamos la imagen, para esto es necesario usar un Dive/6 cualquiera, en este caso
usaremos ;litaC por que es un Dive/6 de muy poco tama!o.
(niciamos desde el Dive/6
ontamos la unidad U;7
(nstalamos la imagen en nuestro 6isco duro.
'
http://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.image -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
44/94
Zdd if^>media>U;7>open%rt-30-e3t2.image of^>dev>hda bs^1 count^1))Z
6ondeI
>media>U;7 [ es la unidad U;7
>dev>hda [ es el disco duro donde se desea instalar la imagen
Aeiniciamos el equipo y ya tendremos nuestro sistema operativo instalado.
*igura 4. (nstalacin +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
45/94
@&2 INSTALACI'N DE SERVICIOS
@&2&1 Conf"3+r#"n B/"#
6espuBs de tener el sistema operativo instalado J+pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
46/94
*igura 11. ?entana de logueo de +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
47/94
*igura 12. (nterfaC
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
48/94
999o: [ Es Ptil cuando el proveedor, entrega un servicio de banda ancha mediante
servicios como cablemodem y 36;D. #iene venta"as de calidad sobre 999oE
99#9 [ 9rotocolo de icrosoft, se usa cuando el proveedor da el acceso a (nterneta travBs de una ?9@.
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
49/94
*igura 1'. 6iagnosticos
/on esto se verifica que el dispositivo ya tiene acceso a internet.
@&2&1&2 Conf"3+r#"n >! $# In4!rf# LAN
:hora que el dispositivo tiene salida a internet, el siguiente paso, es configurar la interfaC
local, la cual brindara la cone3in a internet a toda la red D:@, es decir, a todos los
computadores que conforman la red.
6esde la interfaC %eb, en el apartado de red- 6G/9, se activa el servidor 6G/9 para la
interfaC local, de esta forma, cualquier equipo que se conecte, tomara la (9, la ruta por
defecto y los 6@; de forma automtica.
4
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
50/94
*igura 1. /onfiguracin 6G/9. Elaboracin propia
;e guardan los cambios, y se verifica conectando un equipo a dicha interfaC, y se comprueba
que le haya asignado una direccin valida, y por ende que e3ista acceso a (@#EA@E#.
*igura 1./onfiguracion interface equipo cliente. Elaboracin propia
En la imagen se puede evidenciar, la direccin (9 que asigno el dispositivoI 142.10.1.10.
)
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
51/94
9or Pltimo verificamos cone3in a internet.
*igura 1. 9ruebas de 9ing. Elaboracin propia
F si es necesario, se verifica que el trafico si este pasando a travBs del appliance +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
52/94
*igura 10. Esquema @:#. Elaboracion propia
;in embargo, debido a que +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
53/94
A#>"r +n n+!6o r!5o/"4or"o% /on esta opcin, es posible a!adir un nuevo servidor
donde se encuentren algunas aplicaciones empaquetadas para +9]H, es decir, un
servidor generalmente publicado en (nternet, donde hay una gran recopilacin de
programas y utilidades adaptadas para instalarlas en +pen!/>! URL% En algunos casos, hay herramientas que no se
encuentran en ninguno de los repositorios de +pen! 5#+!4!/% Este proceso permite mantener una lista actualiCada
de todos los paquetes que estn incluidos en los diferentes repositorios.
P#+!4!/ "n/4#$#>o/% uestra una lista de todos los paquetes que estn instalados
en el :ppliance.
P#+!4!/ >"/5on",$!/%uestra una lista de todos los paquetes que estn disponibles
en los repositorios y listos para ser instalados.
'
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
54/94
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
55/94
P#+!4!/ "n/4#$#>o/&
*igura 2). 9aquetes instalados. Elaboracin propia
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
56/94
*igura 21. 9aquetes disponibles. Elaboracin propia
9ara actualiCar la lista de paquetes disponibles en los repositorios, simplemente se debe dar
clic$ en el botonI 5Update pac$age list8. @o esta de ms aclarar, que para actualiCar la lista
de paquetes, es necesario que el appliance tenga acceso a (nternet, y que tenga
configurados los 6@; adecuados.
/on estos sencillos pasos, se ha realiCado la configuracin bsica del appliance, y ya se
encuentra lista para empeCar a instalar y configurar cada uno de los servicios de seguridad
que se van a implementar en el U#. Es muy importante realiCar esta configuracin ya que
facilita mucho el traba"o de instalacin de la aplicacin, es decir, si no se configurara elgestor de paquetes +9]H, la Pnica opcin de instalar los aplicativos, seria compilar, y como
es sabido, la compilacin lleva mucho tiempo y esfuerCo, solucionando problemas de
libreras, entre otros.
#eniendo el dispositivo listo, con cone3in a internet, y la lista de paquetes actualiCada, el
siguiente paso, es la instalacin de los servicios de seguridad que va a prestar el U#.
/abe recordar que para efectos de este proyecto, los servicios que se van a instalar sonI
*(AE
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
57/94
9A+F
:ntes de iniciar con el proceso, es muy recomendable realiCar un bac$up de la configuracin
bsica del dispositivo, con el fin de poder restablecerla, en caso de que la instalacin de
alguna aplicacin, da!e el buen funcionamiento y rendimiento del dispositivo.
Hracias a la interfaC %eb que provee +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
58/94
de (#. @ormalmente, de acuerdo a la e3periencia, muchos ingenieros piensan que
implementar un fire%all en su red, los proteger de todas las amenaCas que e3isten en
(nternet, sin embargo, es un error grave, pensar de esa forma, por que hoy en da, e3isten
tBcnicas muy avanCadas que permiten evadir sin ningPn problema un fire%all convencional,
adems el fire%all tiene limitantes comoI
@o protege la red de ataques internos.
/on un fire%all no es posible proteger una red lan contra la transferencia de archivos
infectados por virus o algPn tipo de soft%are malicioso.
9or esta raCn es fundamental, implementar todo un con"unto de mecanismos de seguridad
en la red D:@, y no quedarse simplemente con un fire%all que puede ser evadido, esto es
posible sin necesidad de tener altos conocimientos en tBcnicas de intrusin.
Un fire%all, es un dispositivo o soft%are, que permite aplicar diferentes politicas de seguridad
entre la red D:@ e (nternet, El sistema determina gracias a la configuracion realiCada por el
administrador, que servicios de red pueden ser accedidos, desde la red D:@ hacia (nternet y
viceverCa.
El esquema tradicional de un fire%all en la red D:@, se muestra a continuacinI
0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
59/94
*igura 22. 6iagrama fire%all. Elaboracin propia
@&2&2&1 O,!4"6o/ >! +n F"r!?#$$
#odo el trafico, desde el interior JD:@K hacia e3terior J(nternetK debe pasar a travBs del
fire%all, para que la red este completamente protegida, es decir, si la organiCacin
tiene varias salidas a (nternet, o a otra red e3terna, es necesario implementar otro
fire%all, con el fin de proteger cada una de las entradas por las cuales se comunicanredes diferentes. :s mismo, ocurre cuando dentro de la organiCacin, ciertos
funcionarios, tienen acceso a (nternet a travBs de un odem 'H, dichas situaciones,
representan un riesgo potencial para la organiCacin, puesto que de esta forma, abren
una puerta no segura, que cualquier delincuente informtico, podra aprovechar.
;e permitir pasar solamente el trafico autoriCado previamente por medio de las
polticas implementadas por el administrador de red.
;iempre se buscara, que el fire%all sea muy seguro hasta tal punto que sea inmune a
la penetracin, es claro que ningPn sistema ser 1))X seguro, pero se har lo posible
por que el sistema tenga muy poco riesgo de intrusin.
#eniendo claro, quB es un fire%all o cortafuegos, podemos continuar con el proceso de
4
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
60/94
instalacin, en el dispositivo U#.
En +penDinu3 en general, viene incluido dentro del $ernel, un
sistema de procesamiento de paquetes de red denominado (9#:7DE;, el cual se caracteriCa
por su rendimiento y buen funcionamiento.
(9#:7DE;, permite al administrador definir reglas acerca de que hacer con los paquetes de
red, dichas reglas se agrupan en cadenas, una cadena es una lista ordenada de reglas, y as
mismo dichas cadenas se agrupan en tablas, cada tabla esta asociada con un tipo diferente
de procesamiento de paquetes. Heneralmente se mane"an cadenas bsicas, sin embargo,
en cualquier momento, se pueden crear cadenas. Das cadenas bsicas sonI
*igura 2'. /adenas de fire%all. Hregor @. 9urdy _ 5Dinu3 (ptables8
Hregor @. 9urdy en su libro 5Dinu3 (ptablesI 9oc$et Aeference8 nos muestra una tabla la cual
muestra las cadenas bsicas, y describe los puntos en el flu"o de paquetes donde se
puede especificar el procesamiento.
7sicamente, las cadenas sonI
For?#r>% (/adena de AE6(AE//(V@K ` #odos los paquetes pasan por este sistema
para ser encaminadosa su destino
)
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
61/94
In5+4%J/adena de E@#A:6:K ` #odos los paquetes destinados a este sistema
O+5+4% #odos los paquetes creados por este sistema
Po/4ro+4"n3% Dos paquetes salientes pasan por esta cadena despuBs de haberse
tomado la decisin del ruteo J;@:#K
Pr!ro+4"n3% #odos los paquetes que logran entrar a este sistema, antes de que elruteo decida si el paquete debe ser reenviado
:dicionalmente, iptables define targets o destinos, los cuales consisten en la accin que se el
sistema deber realiCar cuando un paquete, concuerde con algunas de las reglas
preestablecidas, e3isten tipos de targetsI
*igura 2. #argets del fire%all. Hregor @. 9urdy
7sicamente, cada uno de los targets sonI
:cceptI Este target hace que iptables acepte el paquete
6ropI Este target hace que iptables descarte el paquete
1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
62/94
MueueI Este destino hace que el paquete sea enviado a una cola
AeturnI Gace que el paquete en cuestin de"e de circular por la cadena en cuya regla
se e"ecut el destino AE#UA@
(mplementar y administrar el fire%all J(9#:7DE;K, en +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
63/94
6estinationI (nterface de destino.
9rotocoloI Fa sea #/9, U69 o ambos
(9 sourceI 6ireccin (9 de origen
(9 6estinationI :lguna direccin ip de destino, si no se tiene una se de"a en blanco.
9ortI @umero de puerto por donde se establece la cone3in
:ctionI Mue funcin cumplir la regla, descartar, aceptar, rechaCar etc.
@&2&7 In/4#$#"n IDS
Un sistema de deteccin de intrusos, tambiBn conocido como un (6;, es un sistema
encargado de vigilar todo el permetro de red, ante ataques o intrusiones, previamente
conocidos, es decir, el sistema contiene un gran nPmero de ataques conocidos, ya sea por
e3perimentados delincuentes informticos, o script$iddies, usando herramientas automticas./uando el (6;, detecta un patrn similar, a alguno de los ataques que tiene en su base de
datos, lanCa una alarma, que puede ser un sonido o un email al administrador, donde
muestra informacin relevante sobre el ataque.
HonCalo :sensio, en su libro 5;eguridad en (nternetI Una gua practica para proteger su 9/8
define varios tipos de (6;I
1. G(6; JGost (6;KI Es un (6; que controla una sola maquina, se encarga de monitorear
el comportamiento de dicha maquina, gracias a este (6; es posible detectar,
problemas de mal%are y virus, entre otros.
2. @(6; J@et%or$ (6;KI ;on (6; que analiCan todo el trafico de la red
'. 6(6;I Este es un hibrido que meCcla el G(6; con @(6;,
F+n"on#"!n4o&
El funcionamiento de un ;istema de 6eteccin de intrusos, bsicamente consiste en el
anlisis muy detallado del trfico de red, el cual al entrar al sistema y es comparado con
firmas de ataques conocidos, o comportamientos sospechosos, como pueden serI
'
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
64/94
el escaneo de puertos.
paquetes malformados
vulnerabilidades conocidas
El (6; no slo analiCa quB tipo de trfico es, sino que tambiBn revisa el contenido y su
comportamiento. @ormalmente esta herramienta se integra con un fire%all. El detector de
intrusos es incapaC de detener los ataques por s solo, e3cepto los que traba"an
con"untamente con otros servicios de seguridad, como el fire%all, convirtiBndose en una
herramienta muy poderosa ya que se une la inteligencia del (6; y el poder de bloqueo del
fire%all, al ser el punto donde forCosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red. Dos (6; suelen disponer de una base de datos de5firmas8 de ataques conocidos los cuales sirven como patrn para comparar el trafico con
todos estos tipos de ataques.. 6ichas firmas permiten al (6; distinguir el trafico normal, de
cualquier trafico invasivo que desee atacar la red, y poder enviar una alerta al administrador
del evento ocurrido.
@&2&7&1 SNORT
*igura 2. ;nort. httpI>>snort.org
Es claro que, en el mercado actual, e3isten diversas alternativas de (6;, unas opciones
privativas y otras libres, cada una con sus venta"as y desventa"as. ;in embargo, para efectos
de este proyecto, se usara ;nort, un (6; completamente libre, para sistemas U@( J:unque
tambiBn es posible instalar en plataformas icrosoftK el cual se caracteriCa, por su poder,
eficacia y rendimiento.
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
65/94
Da pgina oficial del proyectohttp I>>%%% .snort.org , diceI
Snort is an open source net$or6 intrusion prevention and detection system D5SE+SF
developed by ;ourcefire!Combining the benefits of signature, protocol, and anomaly3based
inspection, Snort is the most $idely deployed 5SE+S technology $orld$ide! (ith millions of
do$nloads and nearly @88,888 registered users, Snort has become the de facto standard for
+S!
El proceso de instalacin en nuestro appliance es bastante sencillo, simplemente se debe
hacer uso de +9]HQ para esto vamos a la interfaC %eb, y en el menP ;istema-9ac$ages ,
damos clic$ en el boton 5update pac$age list8
;i todo ha salido bien, debe salir en pantalla un mensa"e como esteI
*igura 2=.(nstalacion ;@+A#. Elaboracin propia
;i por alguna raCn, no sale un mensa"e de esta forma debe ser por alguno de los siguientes
aspectosI
El appliance no esta conectado a internetI 9ara poder usar el gestor de paquetes
+9]H, es necesario que el dispositivo este conectado a (nternet, por tal motivo se
deben hacer pruebas de ping desde el prompt de +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
66/94
no responde, habr que configurar nuevamente el equipo para que tenga salida a
internet.
;i el ping hacia internet responde, es necesario hacer ping hacia un dominio, con el fin
de verificar problemas de 6@;. ;i el dominio no responde, pero el ping a una ip si, se
debe configurar los dns en el archivo >etc>resolv.conf de +pen>%%% .snort.org >signup Duego desuscribirse, procedemos a descargar las reglas necesarias para el (6;I
httpsI>>%%%.snort.org>do%nloads>1104
#eniendo ya el paquete con las reglas en nuestro 9/, es necesario enviar dicho paquete a
nuestro dispositivo, se puede hacer de muchas formas, con una simple usb, o a travBs de
;;GI
scp paquete-rules.tar.gC root142.10.1.1)=I>home
6e esa forma enviaremos el paquete-rules a nuestro appliance, cabe resaltar que se debe
reemplaCar la direccin (9 y el usuario por el que se haya configurado para el appliance.
;olo nos queda descomprimir el archivo en el directorio >etc>snort>rules> lo hacemos de la
https://www.snort.org/signuphttps://www.snort.org/signuphttps://www.snort.org/signupmailto:[email protected]:[email protected]://www.snort.org/signupmailto:[email protected] -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
67/94
siguiente formaI
cd >home
tar 3vvf paquete-rules.tar.gC
cp rules> >etc>snort>rules
cp prepocOrules> >etc>snort>prepocOrulescp etc> >etc>snort>
/on esto nuestro (6; quedara listo para configurar y empeCar a vigilar la red local.
@&2&) In/4#$#"n VPN
El siguiente servicio a instalar, es el servidor ?9@, a lo largo del documento se ha definidoque es una ?9@, y cada uno de los tipos e3istentes, por tal motivo no se entrara a definir quB
es y cmo funciona
9ara brindar el servicio de conectividad ?9@ en nuestro dispositivo, se instalara el paquete
+9E@?9@. +pen?9@ es un aplicacin libre licenciada ba"o la licencia H9D la cual permite
ofrecer conectividad punto-a-punto con validacin "errquica de usuarios y host conectados
remotamente.
En su pgina oficial http I>>%%% .openvpn .net defineI
4pen?+: ccess Server is a full featured SSL ?+: soft$are solution that
integrates 4pen?+: server capabilities, enterprise management capabilities,
simplified 4pen?+: Connect ", and 4pen?+: Client soft$are pac6ages that
accommodate (indo$s, 9C, and Linu% 4S environments! 4pen?+: ccess
Server supports a $ide range of configurations, including secure and granular
remote access to internal net$or6 andE or private cloud net$or6 resources and
applications $ith fine3grained access control!! )
El proceso de instalacin es muy sencillo, en la lista de paquetes disponibles, buscamos el
paquete openvpn-devel y procedemos con la instalacinI=
http://www.openvpn.net/http://www.openvpn.net/http://www.openvpn.net/http://www.openvpn.net/ -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
68/94
*igura 24. 9aquete +9E@?9@. Elaboracin propia
6e esta manera, el servidor ?9@ estar instalado y listo para ser configurado.
*igura '). 9aquete +9E@?9@. Elaboracin propia
/omo se puede observar en la imagen, cada uno de los paquetes necesarios ya se
encuentran instaladosI
openvpn
openvpn-devel
openvpn-easy-rsa
snort
snort-mysql
@&2& In/4#$#"n Pro
0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
69/94
El Pltimo servicio a instalar, es el servidor pro3y, este servicio es fundamental para cualquier
red local a nivel corporativo, debido a que gracias a este se puede controlar el trfico %eb
que circula por la red, es decir, con el servidor pro3y, es posible controlar a que sitios %eb los
usuarios pueden acceder y a cules no.
El funcionamiento de un servidor pro3y es sencillo, el cliente establece la cone3in con el
servidor pro3y, que a su veC establece otra cone3in, como cliente, con el servidor final,
cuando el pro3y recibe el mensa"e de peticin del cliente puede generar una respuesta
propia o retransmitirlo al servidor final. En otro caso, el servidor puede realiCar
modificaciones en la peticin segPn la aplicacin para que estB dise!ado, y cuando reciba la
respuesta del servidor final, la retransmitir al cliente, tambiBn con la posibilidad de efectuar
cambiosI
*igura '1. Esquema pro3y. ose . 7arceloI 9rotocolos y aplicaciones (nternet
;egun ose . 7arcelo en su libro 5protocolos y aplicaciones (nternet8, e3isten diversas
aplicaciones de un servidor pro3y, las ms importantes sonI
:ctuar como un cortafuegos que asle la red local de las dems redes e3ternas, en
esta configuracin, los clientes no tienen acceso directo al e3terior de su red y toda
comunicacin con los servidores remotos tiene lugar por medio del pro3y.
#ener una memoria cache compartida entre los usuarios de la red local. ;i diferentes
clientes, solicitan directamente un mismo recurso, por norma general guardara la4
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
70/94
misma copia de la respuesta en sus respectivas memorias cache, si lo solicitan por
medio de un pro3y, la primera peticin necesitar un acceso al servidor remoto. ;in
embargo, las siguientes pueden aprovechar la copia ya guardada en la memoria
cache del servidor pro3y, aunque provengan de clientes diferentes.
/onstruir una "erarqua de memorias cache de pro3ies. En el nivel mas ba"o se
encuentran los pro3ies a que acceden directamente los clientes, en un segundo nivel
e3isten los pro3ies a los que acceden los de primer nivel, y as sucesivamente,
incluso pueden haber pro3ies a escala de todo un pas.
@&2&&1 S+">
;quid es una aplicacin multiplataforma libre, la cual brinda el servicio de 9ro3y, en el mundo
tecnolgico, squid es ampliamente reconocido por ser la solucin pro3y lder, por su
rendimiento y amplias caractersticas.
E n su pgina oficial1lo definen comoI
Squid is a caching pro%y for the (eb supporting G11+, G11+S, #1+, and more!
t reduces band$idth and improves response times by caching and reusing
frequently3requested $eb pages! Squid has e%tensive access controls and ma6es
a great server accelerator! t runs on most available operating systems, including
(indo$s and is licensed under the
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
71/94
*igura '2. (nstalacion ;MU(6. Elaboracin propia
6e esta forma, tendremos nuestro servidor pro3y listo para configurar ba"o los parmetros
que el administrador de red crea conveniente.
Gasta este punto, hemos descrito el proceso de instalacin de cada uno de los serviciospropuestos, como se pudo evidenciar, administrar nuestro appliance desde la interfaC %eb
es muy sencillo, adems haciendo uso del poder de +9]H, este ultimo quiCs fue el factor
mas determinante para seleccionar un sistema operativo liviano pero que tuviera la suficiente
robusteC para instalar servicios como pro3y y ?9@.
:ntes de continuar es pertinente aclarar, que el ob"etivo del proyecto es demostrar cmo de
manera sencilla se puede construir un appliance de seguridad con los servicios principales
usando aquellos equipos que generalmente se encuentran archivados en un cuarto de la
empresa, por esta raCn, en ningPn servicio se describi como realiCar la configuracin, ya
que es responsabilidad del administrador de red configurar cada uno de los aplicativos de la
forma que lo requiera.
=1
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
72/94
@&7 PRUEBAS DE RENDIMIENTO&
Es importante, que a estos equipos que funcionan como gate%ay de la red, se les realicen
algunas pruebas de rendimiento, con el fin de diagnosticar y dimensionar, la cantidad de
equipos que pueden llegar a proteger. 9ara esto, se realiCan las pruebas de rendimiento7enchmar$ como se le conoce en (nglBs.
En general, la realiCacin de pruebas benchmar$ no suele ser una tarea fcil debido a que se
requiere hacerlo de forma repetitiva para llegar a conclusiones Ptiles, encontrar patrones de
comportamientos similares, y deducir de acuerdo a los resultados, ademas, asi como es
complicado realiCar las pruebas, es mas difcil aun interpretar los resultados de las mismas,
se debe tener conocimiento del campo.
6entro del amplio espectro de pruebas de benchmar$ing e3isten infinidad de pruebas
metodologas y aplicaciones para evaluar el rendimiento de casi cualquier componente
soft%are o hard%are, como por e"emploI
7ases de datos
@et%or$ing
;ervicios
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
73/94
!;!!Q/ N"$! ,!n#r% dise!ado para comparar los resultados de varios gestores
de bases de datos Jentre otros y;MD, icrosoft ;MD ;erver, (7 672, +racle y
;ybaseK8. http I>>%%% .e%ee$ .com >article 2>),14,24',)).asp
A5#!B!n% Gerramienta libre, dise!ada para evaluar servidores G##9 de :pache.
En particular muestra cuantas peticiones por ;egundo es capaC de servir Jviene
incluida con el servidor :pacheK. http I>>httpd .apache .org >docs >2.)>programs >ab .html
Lo#>R+nn!r% Gerramienta propietaria para la evaluacin del comportamiento y
rendimiento de aplicaciones %eb. 9uede simular miles de usuarios y utiliCa monitores
de rendimiento para identificar y aislar problemas. Evaluacin de servidores de
aplicaciones %eb, servidores de streaming, gestores de bases de datos, aplicaciones
ava y EA9. http I>>%%% - svca .mercuryinteractive .com >products >loadrunner
M#+/!#n% Es un generador de trfico licenciado ba"o la licencia H9D, escrito en /
para H@U>Dinu3, muy verstil y rpido, que permite generar y enviar prcticamente
todos los paquetes posibles con una sinta3is bastante sencilla. principalmente se
utiliCa para probar ?o+ o redes multicast, aunque tambiBn puede usarse en auditoras
de seguridad para chequear si los sistemas estn suficientemente fortificados o, para
comprobar los (6;, y dems elementos de seguridad perimetral.
http I>>%%% .perihel.at>sec >mC >
D-ITG% JHenerador de #rfico distribuido en (nternetK es una plataforma capaC de
producir trfico a nivel de paquetes con precisin, replicando apropiadamente los
procesos estocsticos tanto para (6# JEntre la hora de ;alidaK y 9; J#ama!o delpaqueteK variables aleatorias Je3ponencial, uniforme, cauchy, normal, 9areto, ...K. 6-
(#H soporta la generacin de trfico (9? e (9? y es capaC de generar trfico en las
capas de red, transporte y aplicacin. ;e /ree que 6-(#H muestra propiedades
interesantes cuando es comparado con otros generadores de trfico.
http I>>%%% .grid .unina .it>soft%are >(#H >inde3 .php
='
http://www.eweek.com/article2/0,4149,293,00.asphttp://www.eweek.com/article2/0,4149,293,00.asphttp://www.eweek.com/article2/0,4149,293,00.asphttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://www-svca.mercuryinteractive.com/products/loadrunnerhttp://www-svca.mercuryinteractive.com/products/loadrunnerhttp://www.perihel.at/sec/mz/http://www.perihel.at/sec/mz/http://www.perihel.at/sec/mz/http://www.perihel.at/sec/mz/http://www.grid.unina.it/software/ITG/index.phphttp://www.grid.unina.it/software/ITG/index.phphttp://www.grid.unina.it/software/ITG/index.phphttp://www.eweek.com/article2/0,4149,293,00.asphttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://www-svca.mercuryinteractive.com/products/loadrunnerhttp://www.perihel.at/sec/mz/http://www.grid.unina.it/software/ITG/index.php -
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
74/94
9ara este proyecto, se usaran las Pltimas 2 herramientas mencionadas, ya que son las
herramientas adecuadas para medir el rendimiento en la red.
@&7&1 E/!n#r"o >! $#/ 5r+!,#/
;e realiCaran 2 laboratorios, uno por cada aplicacin , es necesario hacer 2 esquemas
diferentes, puesto que cada herramienta funciona de forma diferente, y lo me"or es simular el
entorno ideal, para que las pruebas tengan los resultados esperadosI
L#,or#4or"o A% (nternet llega al dispositivo a travBs de un cableodem que entrega el
proveedor, en este caso U@E, dicho cableodem entrega una direccin (9 publica
por medio de un servidor 6G/9. (gualmente, detrs del appliance de seguridad, se
encuentra un equipo el cual ser el encargado de generar el trfico. Da siguiente es la
topologa del laboratorioI
=
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
75/94
*igura '2. Daboratorio :. Elaboracion propia
7sicamente, en este laboratorio se busca medir la carga del sistema de nuestro
appliance, a medida que via"an paquetes de red, por medio de Bl. ;e hicieron lossiguientes envos de paquetes usando la herramienta auseCahnI
P#r# 1&000&000 >! 5#+!4!/%
epsilon/'9+I\ sudo mC eth) -c 1)))))) ZffIffIffIffIffIff ffIffIffIffIffIff ccIdd
))I))I))IcaIfeIbaIbeZ
.2 seconds J2'24 pac$ets per secondK
P#r# 10&000&000 >! 5#+!4!/%
epsilon/'9+I\ sudo mC eth) -c 1))))))) ZffIffIffIffIffIff ffIffIffIffIffIff ccIdd
))I))I))IcaIfeIbaIbeZ
).2 seconds J20)4 pac$ets per secondK
P#r# 100&000&000 >! 5#+!4!/%
epsilon/'9+I\ sudo mC eth) -c 1)))))))) ZffIffIffIffIffIff ffIffIffIffIffIff ccIdd
))I))I))IcaIfeIbaIbeZ
'. seconds J224)= pac$ets per secondK
L#,or#4or"o B% 9ara esta prueba, el esquema es similar, sin embargo, ya que la
herramienta 6-(#H traba"a ba"o una arquitectura cliente>servidor, es necesario contar
con un servidor e3terno publicado en (nternet el cual tendr corriendo la aplicacin
servidor de 6-(#H y el 9/ detrs del appliance lanCar la aplicacin cliente de dicha
=
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
76/94
herramientaI
*igura ''. Daboratorio 7. Elaboracin propia
En este laboratorio, se genera diferente tipo de trfico ?o(9, #elnet y 6@; hacia dos
destinos diferentes, con el fin de medir el throughput de nuestro dispositivo.
;e realiCaron los siguientes pasosI
1. (niciar la aplicacin servidor.
2. ;e debe crear un script donde se definen cada tipo de trfico que ser generado.'. ;e e"ecuta la aplicacin cliente recibiendo como parmetro el script previamente
creado.
. ;e cierra la aplicacin servidor.
. ;e decodifica el archivo de log, con el fin de observar los datos.
=
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
77/94
@&) ANALISIS DE LOS RESULTADOS
L#,or#4or"o A&
9ara este laboratorio, cuando se realiCo cada uno de los envos de paquetes, se evidencioun aumento en la carga del sistema, lo cual se puede observar en las graficas del consumo
de /9U
P#r# 1&000&000 >! 5#+!4!/%
*igura '. Hrafica /onsumo /9U. Elaboracion propia
/omo se puede ver en las graficas de carga del sistema, en el momento que se enva
1.))).))) de paquetes, la carga de la /9U aumenta considerablemente.
==
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
78/94
P#r# 10&000&000 >! 5#+!4!/
*igura '. Hrafica consumo /9U. Elaboracin propia
En este envi, la carga aumenta demasiado, hasta tal punto que se empieCa a observar el
dispositivo bloqueado, y el servicio de (nternet empieCa a sufrir latencias.
P#r# 100&000&000 >! 5#+!4!/
:l momento de iniciar el envi de esta cantidad de paquetes, el equipo queda totalmentebloqueado, no hay gestin del equipo, y el servicio de (nternet quedo inoperativo. 9ara
restablecer el servicio se procedi a apagar el dispositivo fsicamente, y volver a encenderlo.
=0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
79/94
L#,or#4or"o B
9ara este laboratorio, el trfico por las interfaces aument, como se evidencia en la siguiente
grficaI
*igura '. Hrafica consumo de red . Elaboracin propia
F los resultados que arro"o la aplicacin usada, fueron los siguientesI
R!/+$4#>o/ >! !n6"%
>----------------------------------------------------------
*lo% numberI 2
*rom 142.10.).10I11'
=4
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
80/94
#o 14).1.2'=.20I1)))2
----------------------------------------------------------
#otal time ^ 2.'))14= s
#otal pac$ets ^ 2)
inimum delay ^ ).)))))) s
a3imum delay ^ ).)))))) s
:verage delay ^ ).)))))) s
:verage "itter ^ ).)))))) s
6elay standard deviation ^ ).)))))) s
7ytes received ^ 1)
:verage bitrate ^ 1.=='=1 ]bit>s
:verage pac$et rate ^ 1)0.0'' p$t>s
9ac$ets dropped ^ ) J).)) XK
:verage loss-burst siCe ^ ).)))))) p$t
----------------------------------------------------------
----------------------------------------------------------
0)
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
81/94
*lo% numberI 1
*rom 142.10.).10I1=
#o 14).1.2'=.20I1)))1
----------------------------------------------------------
#otal time ^ 4.40))02 s
#otal pac$ets ^ ))
inimum delay ^ ).)))))) s
a3imum delay ^ ).)))))) s
:verage delay ^ ).)))))) s
:verage "itter ^ ).)))))) s
6elay standard deviation ^ ).)))))) s
7ytes received ^ 0)))
:verage bitrate ^ .42) ]bit>s
:verage pac$et rate ^ ).)44=04 p$t>s
9ac$ets dropped ^ ) J).)) XK
:verage loss-burst siCe ^ ).)))))) p$t
01
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
82/94
----------------------------------------------------------
----------------------------------------------------------
*lo% numberI '
*rom 142.10.).10I'
#o 14).1.2'=.20I1)))'
----------------------------------------------------------
#otal time ^ 0.4')'0) s
#otal pac$ets ^
inimum delay ^ ).)))))) s
a3imum delay ^ ).)))))) s
:verage delay ^ ).)))))) s
:verage "itter ^ ).)))))) s
6elay standard deviation ^ ).)))))) s
7ytes received ^ 11=
:verage bitrate ^ 1.)'0' ]bit>s
:verage pac$et rate ^ ).=10 p$t>s
02
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
83/94
9ac$ets dropped ^ ) J).)) XK
:verage loss-burst siCe ^ ).)))))) p$t
----------------------------------------------------------
OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
#+#:D AE;UD#;
OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
@umber of flo%s ^ '
#otal time ^ 1).)41)1 s
#otal pac$ets ^ =
inimum delay ^ ).)))))) s
a3imum delay ^ ).)))))) s
:verage delay ^ ).)))))) s
:verage "itter ^ ).)))))) s
6elay standard deviation ^ ).)))))) s
7ytes received ^ 40
0'
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
84/94
:verage bitrate ^ =.14 ]bit>s
:verage pac$et rate ^ =.2')1) p$t>s
9ac$ets dropped ^ ) J).)) XK
:verage loss-burst siCe ^ ) p$t
Error lines ^ )
----------------------------------------------------------
R!/+$4#>o/ >! r!",o%
(#H6ec version 2.0.)-rc1 Jr=I0K
/ompile-time optionsI
-----------------------------------------------------------
*lo% numberI 2
*rom 10.).=.21I11'
#o 14).1.2'=.20I1)))2
----------------------------------------------------------
#otal time ^ 2.'1141) s
#otal pac$ets ^ 2)
0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
85/94
inimum delay ^ '1.)''14 s
a3imum delay ^ '1.)=0'00 s
:verage delay ^ '1.)102= s
:verage "itter ^ ).))0 s
6elay standard deviation ^ ).))000 s
7ytes received ^ 1)
:verage bitrate ^ 1.=== ]bit>s
:verage pac$et rate ^ 1)0.1'4= p$t>s
9ac$ets dropped ^ ) J).)) XK
:verage loss-burst siCe ^ ).)))))) p$t
----------------------------------------------------------
----------------------------------------------------------
*lo% numberI 1
*rom 10.).=.21I1=
#o 14).1.2'=.20I1)))1
----------------------------------------------------------
0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
86/94
#otal time ^ 4.40)4= s
#otal pac$ets ^ 44
inimum delay ^ '1.)'40 s
a3imum delay ^ '1.))2'= s
:verage delay ^ '1.)'0)2 s
:verage "itter ^ ).)))4) s
6elay standard deviation ^ ).))2)4 s
7ytes received ^ =00
:verage bitrate ^ .'4=22 ]bit>s
:verage pac$et rate ^ 4.44=))4 p$t>s
9ac$ets dropped ^ 1 J).2) XK
:verage loss-burst siCe ^ 1.)))))) p$t
----------------------------------------------------------
----------------------------------------------------------
*lo% numberI '
*rom 10.).=.21I'
0
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
87/94
#o 14).1.2'=.20I1)))'
----------------------------------------------------------
#otal time ^ 0.4'24' s
#otal pac$ets ^
inimum delay ^ '1.)'42 s
a3imum delay ^ '1.)1410 s
:verage delay ^ '1.)1)4 s
:verage "itter ^ ).))2' s
6elay standard deviation ^ ).))44= s
7ytes received ^ 11=
:verage bitrate ^ 1.)'1=4 ]bit>s
:verage pac$et rate ^ ).=1=) p$t>s
9ac$ets dropped ^ ) J).)) XK
:verage loss-burst siCe ^ ).)))))) p$t
----------------------------------------------------------
0=
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
88/94
OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
#+#:D AE;UD#;
OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO
@umber of flo%s ^ '
#otal time ^ 1).)12) s
#otal pac$ets ^ =
inimum delay ^ '1.)''14 s
a3imum delay ^ '1.)=0'00 s
:verage delay ^ '1.)214 s
:verage "itter ^ ).))')) s
6elay standard deviation ^ ).))02 s
7ytes received ^ 4=)
:verage bitrate ^ =.'=22) ]bit>s
:verage pac$et rate ^ =.1''4' p$t>s
9ac$ets dropped ^ 1 J).1' XK
:verage loss-burst siCe ^ 1.)))))) p$t
00
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
89/94
Error lines ^ )
----------------------------------------------------------
04
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
90/94
10&CONCLUSIONES
9or medio de este proyecto se pudo demostrar que e3iste una alternativa para el
reuso de los equipos de computos catalogados como obsoletos, y que son una bomba
de tiempo para el ambiente, es importante concientiCar a todas las personas, de queun dispositivo Jen este caso un computadorK puede llegar a ser muy util sin importar la
condicion, solo es necesario adaptarlo y configurarlo para que realice una funcion
especifica de forma eficiente.
;i bien, en nuestro pis e3isten proyectos similares, ninguno de los indagados, tienen
como ob"etivo usar los equipos de computo obsoletos para desarrollar una solucion
de seguridad para las pymes, no obstante hay proyectos los cuales buscan darle una
solucion a la grave situacin de los desechos tecnologicos.
;e pudo evidenciar, que para implementar una solucin de seguridad, no es necesario
tener hard%are sofisticado, ni equipos costosos, si por algPn motivo no es posible
adquirir una solucin de seguridad profesional, proyectos de este tipo brindan una
buena alternativa. Hracias a las pruebas se identific que con un equipo utiliCado en la
elaboracin del prototipoI
6isco duro de 1)H7
emoria A: 1207
9rocesador (ntel /eleron '''GW
2 tar"etas de Aed.
Unidad de /6
Es posible implementar una solucin de seguridad que prote"a alrededor de 2 a ')usuarios, es decir, el equipo esta en la capacidad de soportar el trafico generado por
este numero de maquinas, ,de ahi en adelante, podran aparcer problemas de
saturacin y sobrecarga del procesador. :lli se puede concluir, que e3iste una relacion
directamente proporcional entre el Gard%are usado y la cantidad de usuarios que el
equipo pueda soportar, de esta forma, entre me"or sea el hard%are usado, mayor sera
4)
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
91/94
la cantidad de usuarios que pueda proteger.
6e acuerdo a las investigaciones e indagaciones, se pudo observar, que los
requerimientos mas urgentes en el campo de la seguridad informatica sonI
9roteger el activo mas importanteI Da informacon
/ontrolar las aplicaciones de ocio que a diario usan los usuarios de la red.
Fa que hoy en dia, es fundamental estar siempre conectado a sus sistemas de
informacin se debe cifrar todas las cone3iones.
AealiCar un analisis de trafico en tiempo real, con el fin de evitar ataques
previamente establecidos y conocidos.
11&RECOMENDACIONES
Da Pnica recomendacin para instalar el firm%are utiliCado, es determinar si el $ernel
de Dinu3, trae soporte para el hard%are en donde se desea instalar, ya que este seria
el unico inconveniente que se puede presentar a la hora de implementar +pen
-
7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf
92/94
12.REFERENCIAS BIBLIOGRAFICAS
http I>>%%% .cisco .com >en >U; >products >ps 12)>inde3 .html
http I>>%%% .fortinet.com >products >fortigate >111 / .html
httpI>>%%%.elmundo.es>elmundosalud>2))>)>')>industria>1110=0'.html
*DE#;/GEA 7+/:@EHA:,Duis :le"andro. (mplementacin de clusters beo%ulf
como fire%all
H+EW HUEAA:, ohn :le3is. modelo de solucin de enrutamiento de datos a ba"o
costo basado en soft%are libre
;/GA+DD, :ddam. Effective 9racticeI 9urdue *ire%all :ppliance
httpI>>%%%.abo3.com
GttpI>>%%%.sonic%all.com
httpI>>%%%.dallmeier-electronic.com>es>productos>dvr-nvr>videoip-appliance-
smatri3>que-es-una-appliance.html
Aobert, @e%man, 2))4I /omputer ;ecurityI 9rotecting 6igital Aesources
aria, Espa!aI *ire%all 2))', 94
iquel, /olobranI :dministracin de sistemas operativos en red, 2))0 912
:ngel, /oboI Estudio cientfico de las redes de ordenadores, 910=
6amian *errerI ;ervicios en red,