2012 uesjls-1d-1at-carlosalfonsoguevaraamaya-120807005048-phpapp01-120808103116-phpapp01
aministracionderedesunidadv-130529015856-phpapp01
-
Upload
hidrochaco -
Category
Documents
-
view
20 -
download
0
Transcript of aministracionderedesunidadv-130529015856-phpapp01
29-5-2013
INSTITUTO TECNOLÓGICO DE TEHUACÁN
SEGURIDAD EN REDES, PFSENSE, UNTAGLE Y FORTINET Administración de redes
José Abel Garcia Herrera
1
TIPOS DE ATAQUES
Un ataque de red se produce cuando un atacante ut iliza vulnerabilidades
y fallos en la seguridad a diferentes niveles (TCP, IPv4, WiFi, DNS,
aplicaciones…) para intentar comprometer la seguridad de una red.
Existen mult itud de t ipos de ataques de red, los cuatro t ipos básicos:
Ataques de denegación de servicio.
Ataques contra la autentificación.
Ataques de modificación y daño.
Ataques de puerta trasera o backdoor.
Ataques de denegación de servicio.
Un "ataque por denegación de servicio" (DoS, Denial of service) t iene como
objet ivo imposibilitar el acceso a los servicios y recursos de una organización
durante un período indefinido de t iempo. Por lo general, este t ipo de
ataques está dirigido a los servidores de una compañía, para que no
puedan ut ilizarse ni consultarse. La denegación de servicio es una
complicación que puede afectar a cualquier servidor de la compañía o
individuo conectado a Internet. Su objet ivo no reside en recuperar ni alterar
datos, sino en dañar la reputación de las compañías con presencia en
Internet y potencialmente impedir el desarrollo normal de sus actividades en
caso de que éstas se basen en un sistema informático. En términos técnicos,
estos ataques no son muy complicados, pero no por ello dejan de ser
eficaces contra cualquier t ipo de equipo que cuente con Windows (95, 98,
NT, 2000, XP, etc.), Linux (Debían, Mandrake, RedHat, Suse, etc.),
Commercial Unix (HP-UX, AIX, IRIX, Solaris, etc.) o cualquier otro sistema
operativo. La mayoría de los ataques de denegación de servicio
aprovechan las vulnerabilidades relacionadas con la implementación de un
protocolo TCP/IP modelo.
Generalmente, estos ataques se dividen en dos clases:
Las denegaciones de servicio por saturación, que saturan un equipo con
solicitudes para que no pueda responder a las solicitudes reales.
Las denegaciones de servicio por explotación de vulnerabilidades, que
aprovechan una vulnerabilidad en el sistema para volverlo inestable.
2
Los ataques por denegación de servicio envían paquetes IP o datos de
tamaños o formatos at ípicos que saturan los equipos de dest ino o los vuelven
inestables y, por lo tanto, impiden el funcionamiento normal de los servicios
de red que brindan.Cuando varios equipos activan una denegación de
servicio, el proceso se conoce como "sistema distribuido de denegación de
servicio" (DDOS, Distributed Denial of Service). Los más conocidos son Tribal
Flood Network (TFN) y Trinoo.
los ataques de denegación pueden ser enviados desde un PC o por varios,
pero también existe la posibilidad de que potentes servidores actúen de la
misma forma, a esto se le llama un ataques distribuidos. Estos servidores se
les llaman zombies, ya que actúan a la orden del Hacker, el cual con
antelación intervino aquella máquina sin que el administrador se diera
cuenta por supuesto.
Protegerse de estos ataques es facil, la mayoria de ellos se basa en mandar
muchas peticiones a una base de datos, lo cual se puede evitar haciendo
un script ant iflood. Atacar una base de datos es facil, un server se cae
facilmente mandando muchas peticiones sql, que si se mandaran http.
Ataques contra la autentificación
Este t ipo de ataque t iene como objet ivo engañar al sistema de la víct ima
para ingresar al mismo. Generalmente este engaño se realiza tomando las
sesiones ya establecidas por la víct ima u obteniendo su nombre de usuario
y contraseña. (SAFORAS, 2007)
Spoofing-Looping
Spoofing puede traducirse como "hacerse pasar por otro" y el objet ivo de esta técnica, justamente, es actuar en nombre de otros usuarios,
usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación Daño).
Una forma común de Spoofing es conseguir el nombre y password de un
usuario legít imo para, una vez ingresado al sistema, tomar acciones en nombre de él.
El intruso usualmente ut iliza un sistema para obtener información e ingresar en otro, y luego ut iliza este para entrar en otro, y así sucesivamente. Este
proceso, llamado Looping, t iene la finalidad de "evaporar" la identificación
y la ubicación del atacante. El camino tomado desde el origen hasta el dest ino puede tener muchas
estaciones, que exceden obviamente los límites de un país. Otra
consecuencia del Looping es que una compañía o gobierno pueden
3
suponer que están siendo atacados por un competidor o una agencia de
gobierno extranjera, cuando en realidad están seguramente siendo
atacado por un Insider, o por un estudiante a miles de Kilómetros de distancia, pero que ha tomado la identidad de otros.
Spoofing Este t ipo de ataques (sobre protolocos) suele implicar un buen conocimiento
del protocolo en el que se va a basar el ataque. Los ataques t ipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing
IPSpoofing Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el
dest inatario del paquete. Su ut ilización más común es enviar los paquetes
con la dirección de un tercero, de forma que la víct ima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso.
El esquema con dos puentes es el siguiente:
Nótese que si la Vict ima descubre el ataque verá a la PC_2 como su atacante y no el verdadero origen.
Este ataque se hizo famoso al usarlo Kevin Mitnick (ver Anexo I I).
DNS Spoofing Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain
Name Server–DNS) de Windows NT©. Si se permite el método de recursión en
la resolución de "Nombre «Dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de
un servidor de nombres para resolver una petición de dirección IP a part ir de un nombre que no figura en su base de datos. Este es el método de
funcionamiento por defecto.
Web Spoofing
4
En el caso Web Spoofing el atacante crea un sit io web completo (falso)
similar al que la víct ima desea entrar. Los accesos a este sit io están dirigidos
por el atacante, permit iéndole monitorear todas las acciones de la víct ima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc.
El atacante también es libre de modificar cualquier dato que se esté
transmit iendo entre el servidor original y la víct ima o viceversa.
Ataques de modificación y daño
Tampering o Data Diddling
Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víct ima (incluyendo borrado de archivos).
Son part icularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier
comando y por ende alterar o borrar cualquier información que puede
incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante;
el Administrador posiblemente necesite darlo de baja por horas o días
hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada.
Como siempre, esto puede ser realizado por Insiders u Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un
competidor.
Son innumerables los casos de este t ipo: empleados bancarios (o externos) que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes
que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule una deuda imposit iva. Borrado de Huellas
El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta
su ingreso, el administrador buscará como conseguir "tapar el hueco" de
seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo
general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo.
Los archivos Logs son una de las principales herramientas (y el principal
enemigo del atacante) con las que cuenta un administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos.
5
Ataques Mediante Java Applets
Java es un lenguaje de programación interpretado, desarrollado
inicialmente por la empresa SUN. Su mayor popularidad la merece por su alto grado de seguridad. Los más usados navegadores actuales,
implementan Máquinas Virtuales Java (MVJ) para ser capaces de ejecutar
programas (Applets) de Java. Estos Applets, al fin y al cabo, no son más que código ejecutable y como
tal, susceptible de ser manipulado por intrusos. Sin embargo, part iendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las
restricciones a las que somete a los Applets son de tal envergadura
(imposibilidad de trabajar con archivos a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco
directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos(1) especializados en descubrir fallas
de seguridad(2) en las implementaciones de las MVJ.
Ataques Mediante JavaScript y VBScript
JavaScript (de la empresa Netscape®) y VBScript (de Microsoft®) son dos
lenguajes usados por los diseñadores de sit ios Web para evitar el uso de Java. Los programas realizados son interpretados por el navegador.
Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript, actualmente se ut ilizan para explotar vulnerabilidades
específicas de navegadores y servidores de correo ya que no se realiza
ninguna evaluación sobre si el código.
Ataques Mediante ActiveX
ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft®. Mediante ActiveX es posible reut ilizar código, descargar
código totalmente funcional de un sit io remoto, etc. Esta tecnología es considerada la respuesta de Microsoft®Java.
ActiveX soluciona los problemas de seguridad mediante cert ificados y
firmas digitales. Una Autoridad Cert ificadora (AC) expende un cert ificado que acompaña a los controles activos y a una firma digital del
programador. Cuando un usuario descarga una página con un control, se le preguntará
si confía en la AC que expendió el cert ificado y/o en el control ActiveX. Si
el usuario acepta el control, éste puede pasar a ejecutarse sin ningún t ipo de restricciones (sólo las propias que tenga el usuario en el sistema
operativo). Es decir, la responsabilidad de la seguridad del sistema se deja
en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la acción o un perfecto novato en la materia.
Esta últ ima característ ica es el mayor punto débil de los controles ActiveX
6
ya que la mayoría de los usuarios aceptan el cert ificado sin siquiera leerlo,
pudiendo ser esta la fuente de un ataque con un control dañino.
La filosofía ActiveX es que las Autoridades de Cert ificación se fían de la palabra del programador del control. Es decir, el programador se
compromete a firmar un documento que asegura que el control no es
nocivo. Evidentemente siempre hay programadores con pocos escrúpulos o con ganas de experimentar.
Así, un conocido grupo de hackers alemanes(3), desarrolló un control ActiveX maligno que modificaba el programa de Gest ión Bancaria
Personal Quicken95© de tal manera que si un usuario aceptaba el control,
éste realizaba la tarea que supuestamente tenía que hacer y además modificaba el Quicken, para que la próxima vez que la víct ima se
conectara a su banco, se iniciara automáticamente una transferencia a una cuenta del grupo alemán .
Ataques de puerta trasera o backdoor
"Cualquier medio capaz de ampliar el alcance del hombre es lo
suficientemente poderoso como para derrocar su mundo. Conseguir que la
magia de ese medio trabaje para los fines de uno, antes que en contra de
ellos, es alcanzar el conocimiento."
"Es extraña la ligereza con que los malvados creen que todo les saldrá bien."
El término es adaptación directa del inglés backdoor que comúnmente
significa "puerta de atrás". A pesar de que no se consideran propiamente
como virus, representan un riesgo de seguridad importante, y usualmente
son desconocidas la inmensa gama de problemas que estas puedan llegar
a producir. Al hablar de ellas nos referimos genéricamente a una forma "no
oficial" de acceso a un sistema o a un programa.
Algunos programadores dejan puertas traseras a propósito, para poder
entrar rápidamente en un sistema; en otras ocasiones existen debido a fallos
o errores. Ni decir que una de las formas t ípicas de actuación de los piratas
informáticos es localizar o introducir a los diversos sistemas una puerta trasera
y entrar por ella. Estos programas no se reproducen solos como los virus, sino
que usualmente nos son enviados con el fin de tener acceso a nuestros
equipos a través del correo electrónico, por lo que no son fáciles de detectar
y por si solos no siempre causan daños ni efectos inmediatos por su sola
presencia, por lo que pueden llegar a permanecer activos mucho t iempo
sin que nos percatemos de ello.
7
as puertas traseras (backdoors) son programas que permiten acceso
prácticamente ilimitado a un equipo de forma remota. El problema, para
quien quiere usar este ataque, es que debe convencerlo a usted de que
instale el servidor. Por eso, si aparece un desconocido ofreciéndole algún
programa maravilloso y tentador, no le crea de inmediato. Lo que están
probablemente a punto de darle es un troyano, un servidor que le
proporcionará a algún intruso acceso total a su computadora.
Con todo el riesgo que esto implica, hay una forma simple y totalmente
segura de evitarlo: no acepte archivos ni mucho menos ejecute programas
que le hayan mandado sobre todo si son de procedencia dudosa. Los
programas que se clasifican como "backdoors" o "puertas traseras" son
ut ilerías de administración remota de una red y permiten controlar las
computadoras conectadas a ésta.
INFRACCIONES EN LA RED
Aunque hay un montón de personas que ut ilizan el Internet y las computadoras de manera responsable y honestamente, no son
depredadores y piratas que hay que estropear la diversión para todos, si sus hechos sucios fuera de control. Hay un montón de maneras para que esta
gente ponga en peligro el equipo y la red. A continuación vamos a revisar
algunas de las formas en que puede ser su red comprometida.
La red nos atrapa, y sus consecuencias se manifiestan físicamente. La
cuest ión es que venimos presenciando la difusión diaria de noticias relacionadas con toda clase de abusos y delitos cometidos a través de
Internet: estafas, injurias, amenazas, acoso, pedofilia… ¿Significa esto que en Internet no hay control posible? Desde el punto de vista de los autores
del comportamiento ilícito hay control, tanto jurídico como técnico. Desde
el punto de vista de las víct imas, también hay control, pero pasa forzosamente por la “prudencia” y la “enseñanza”.
Vemos y oímos que determinadas infracciones legales, de carácter
delict ivo, cada vez se producen con más frecuencia en el entorno de
Internet, y eso, en vez de incentivarnos para conocer mejor cómo nos puede afectar, o para acercarnos a un uso responsable de la Red, nos lleva
generalmente al rechazo.
Esto en el mundo de los adultos es grave, muy grave (véase sino lo que viene
ocurriendo con el legislador a la hora de poner controles a la Red), pero si lo llevamos hoy al terreno de los menores de edad, entonces el efecto se
torna en perverso. Nadie duda que Internet va a estar ahí mañana, que
8
cada vez ofrecerá más recursos y, que cada vez ocupará más espacio en
nuestras vidas, por eso, mantener a un niño o adolescente lejos del
ordenador en el “analfabetismo digital”, no hará sino perjudicarle gravemente en su madurez. Cuando quieran superar esta carencia, es muy
posible que las oportunidades perdidas por el camino sean ya del todo
irrecuperables para él. Dos infracciones red destruct ivos entran en una categoría conocida como
"comportamiento destruct ivo". Uno de ellos implica la destrucción completa de datos dentro de su red. Se llama "la destrucción dedatos", y es justo lo
que parece. Esto ocurre cuando alguien violaciones de la red y los datos
borrados. Si la red está relacionada con el negocio, esto puede ser devastador. Los expertos dicen que no lo es menos destruct ivo que el fuego
que destruye a su equipo informático. Algunos autores han más que la simple destrucción de la mente. Ellos hacen
algo que se llama "diddling de datos" lo que significa que alterar los datos
en su sistema. Pueden cambiar los datos en hojas de cálculo u otros documentos, o pueden alterar el sistema de contabilidad. Algunos ejemplos
de cosas que han sucedido realmente implica el sistema de contabilidad
en part icular. "Hackers" han entrado en una red, acceder al sistema contable, y cambia los números de cuenta de cheques de pago de
depósito directo para ir a sus propias cuentas. Los robos de este tomará algún t iempo para rastrear - en primer lugar que el empleado no t iene que
recibir el pago, las invest igaciones t ienen que hacerse, y alguien t iene que
pensar en volver a verificar la directa cuenta de depósito de la información. En algunos casos, las empresas han reducido nuevos cheques de papel y se
ha tomado meses para recuperar los fondos perdidos.
Otra forma en que las redes son vulnerables en el ámbito de la
confidencialidad. Muchas veces, las empresas disponen de información que, de ser compart ida con un competidor, puede ser muy malo para los
negocios. En este caso, los depredadores no busca alterar o destruir los
datos, que simplemente están tratando de encontrar información que no se supone que sabe. Si alguien fuera a encontrar información financiera antes
de una versión pública de dicha información podría afectar negativamente a la acción. Si a empresa está planeando lanzar un nuevo producto y que
alguien se de la información y se lo da a un competidor, o fugas de la
información al público, que podría afectar las ventas de la compañía. Aún más alarmante es la posibilidad de que alguien que se rompe para ver
confidenciales relacionados con los empleados de datos - como la
dirección postal, números de seguridad social, y la información de la cuenta bancaria.
odos estos ataques a la red ocurren porque los usuarios externos pueden obtener acceso no autorizado a una red. Para acceder a la información, los
datos de cambiar o eliminar datos, el atacante obtiene acceso a una red y
9
es capaz de ejecutar órdenes ilegales - ya sea a nivel de usuario normal o
en el nivel de administrador. Las dos son malas, pero por suerte ambos se
pueden evitar si se toma en serio esas amenazas y desarrollar las polít icas adecuadas en relación con su de seguridad de red.
CERTIFICACIONES Las cert ificaciones no pueden compensar lo que se gana con la experiencia
real, aunque la demanda creciente y la proliferación de cert ificaciones
pueden dejar rezagadas a aquellas personas que no las t ienen. La mayoría de las cert ificaciones deben ser renovadas después de algunos años, por lo
general antes de cinco años.
ALGUNAS CERTIFICACIONES CISSP: Cert ified Information System Security Professional CompTIA: Security+ Professional CISA: Cert ified Information
System Auditor CISM: Cert ified Information System Manager GIAC: Global Information Assurance Cert ificat ion CCSP: Cisco Cert ified Security
Professional CCNA: Cisco Cert ified Network Associate CCSP: Cisco Cert ified
Security Professional MCP: Microsoft Cert ified System Professional MCSA: Microsoft Cert ified System Associate MCSE: Microsoft Cert ified System
Engineer CCSE: Check Point Cert ified Security Expert CPP: Cert ified Protection Professional CIA: Cert ified Internal Auditor.
CISSP Cert ified Information System Security Professional Primera cert ificación
reconocida por la ANSI . Se apoya en la Norma 17024:2003 de la ISO La cert ificación CISSP acredita conocimiento en los diez dominios del CBK
(Common Body of Knowledge), designados por (ISC)2 (International
Información Systems Security Cert ificat ion Consort ium). s. DOMINIOS DEL CBK Sistema de Control de Acceso y Metodología Seguridad
en el Desarrollo de Sistemas y Aplicaciones Plan de Continuidad del Negocio (BCP) y Plan de Recuperación Ante Desastres (DRP). Criptografía Leyes,
Invest igaciones y Ét ica Seguridad de Operaciones Seguridad Física
Arquitectura de Seguridad y Modelos Prácticas en la Gest ión de la Seguridad Seguridad en Redes, Telecomunicaciones e Internet.
PFSENSE
INTRODUCCIÓN
pfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su
objet ivo es tener un cortafuego (firewall) fácilmente configurable a través de una interfase web e instalable en cualquier PC, incluyendo los miniPC de
una sola tarjeta.
Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto, de libre distribución. El cortafuego forma parte del Kernel del sistema.
De hecho, se trata del Packet Filter (PF) originario de OpenBSD, considerado
10
com el sistema operativo más seguro del mundo. Packet Filter (PF) está
presente como estándar en FreeBSD desde noviembre de 2004. Incluye
funcionalidades como el regulador de caudal ALTQ, que permite asignar prioridades por t ipo de tráfico. Los desarrolladores de pfSense escogieron
FreeBSD en lugar de OpenBSD por su facilidad de instalación en el mundo
de lps PCs y porqué ya exist ía BSD Installer, una versión muy, muy reducida de FreeBSD. Todo ello da una gran flexibilidad a la solución pfSense, ya que
se puede montar tanto en equipos miniPC (basados en una sola placa) que emplean como disco una Compact Flash como en PC estándar con disco
duro. En este últ imo caso se pueden añadir paquetes como Snort, Squid,
Radius, etc. En esta web se explica cómo se ha configurado un pfSense 1.0.1 (octubre/noviembre 2006) que está en producción. En ningún caso es una
web donde se tratan todas las posibilidades de este cortafuego de código libre.
INSTALACIÓN
Antes de la implantación definit iva de pfSense se tuvieron que hacer los
siguientes cambios en la red:
Dividir el cableado existente en seis redes físicas. Ello se hizo pasando algunos
cables más del armario secundario al armario primario, instalando más concentradores (switch) en ambos armarios y cambiando el conexionado
de equipos en los armarios. No hay más de dos concentradores encadenados (tal como estaba antes de los cambios).
Adoptar DHCP en todos los ordenadores clientes. Ello se hizo activando
provisionalmente DHCP en uno de los routers ADSL. Cambiar todos los procesos por lotes (archivos BAT y CMD en Windows, scripts de shell en
máquinas Unix/Linux) que empleaban direcciones IP locales, poniendo su
correspondiente nombre de máquina. Cambiar todos los puertos de impresora que estaban por dirección IP local, poniendo su correspondiente
nombre de máquina. Asegurarse que el DNS local resuelve correctamente todos los nombres de máquina. Asegurarse que el archivo hosts de las
máquinas sólo contiene la línea: 127.0.0.1 localhost. Es decir, que no se
emplea para resolver nombres de máquina, excepto localhost. Cambiar la configuración proxy de los navegadores de Internet, poniendo la
configuración automática http://www.dominio.ejemplo/proxy.pac.
Deshabilitar el acceso sin hilos de todas las impresoras que t ienen esta
funcionalidad, dejando sólo el acceso por red cableada.
Hardware ut ilizado
11
Se trata de un miniPC de FabiaTech, modelo FX5620. El equipo t iene 5
puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede incorporar un disco duro de 2,5" (como los que llevan los portát iles) y una Compact Flash
(que actúa como disco duro).Se adquirió en Gran Bretaña,
http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido el domingo por la noche (pago con tarjeta de crédito) y el martes por la
mañana ya llegaba (cerca de Barcelona)... Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a un
proveedor local.
Descarga de pfSense Se puede ir a la web oficial www.pfsense.org, pero hay otros repositorios con
configuraciones ajustadas. Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se encuentran
versiones preparadas según la unidad que reconoce pfSense para la
Compact Flash y según su tamaño.
FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2
(tercer disco ATA en FreeBSD).
En uno de nuestros servidores FreeBSD hicimos:
mkdir pfSense
cd pfSense vi fetch.sh
#!/bin/sh fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-
ad2.img.gz.md5 fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-
ad2.img.gz
chmod +x fetch.sh
./fetch.sh Comprobamos la firma del archivo:
md5 pfSense-1.0.1-512-ad2.img.gz cat pfSense-1.0.1-512-ad2.img.gz.md5
Descarga de physdiskwrite
physdiskwrite es una pequeña ut ilidad que permite escribir imágenes de disco. Se la puede encontrar en:
http://m0n0.ch/wall/physdiskwrite.php
12
La descargamos en D:\CompactFlash y descomprimimos el archivo ZIP
para obtener el EXE.
Grabación de la CompactFlash Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-
DOS) d:
cd /compactflash Ejecutamos:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Obtendremos una respuesta similar a: Searching for physical drives ...
Information for \\.\PhysicalDrive0: Wich disk do you want to write <0..0>?
Cancelamos la ejecución mediante Ctl+C
Con ello hemos visto qué discos físicos t iene nuestra máquina. Insertamos ahora la Compact Flash y volvemos a ejecutar:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Vemos que nos detecta un disco físico más y cambia la pregunta final: Wich disk do you want to write <0..2>?
Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2).
El proceso de grabación empieza y dura un buen rato (media hora
aproximadamente).
Configuración inicial de pfSense Una vez instalada la Compact Flash en el FX5620 (con el equipo sin
alimentación) lo ponemos en marcha con un monitor, teclado y cable de red conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s
y que pfSense reconoce como re0).
Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la WAN:
Do you want to set up VLANs now [y|n]? n Enter the LAN interface name or 'a' for auto-detection: re0
Enter the WAN interface name or 'a' for auto-detection: rl0
Enter the Optional 1 interface name or 'a' for auto-detection (or nothing is finished):
Y confirmar la operación:
LAN -> re0 WAN -> rl0
Do you want to proceed [y|n]? y El sistema carga su configuración por defecto y presenta al final la
indicación de que la LAN es 192.168.1.1 y su menú de consola.
13
Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiar
de 192.168.1.1 a 192.168.XXX.1
Enter the new LAN IP address: 192.168.XXX.1 Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16 255.0.0.0 = 8
Enter the new LAN subnet bit count: 24 Do you want to enable the DHCP server on LAN [y|n]? n
Confirmando la operación se nos informará de la nueva dirección.
A part ir de aquí, normalmente emplearemos el configurador web, yendo a http://192.168.XXX.1
El acceso directo a la consola de los cortafuegos t iene la pega de estar configurado con el teclado inglés. En caso de querer acceder al
cortafuegos vía consola siempre será más cómodo hacerlo por SSH. Este
acceso sí que nos reconocerá nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [Configuración base] explico cómo activar el acceso por
SSH.
UNTANGLE El Servidor Untangle le da una forma sencilla de proteger, controlar y
supervisar el equipo red. Ofrece la tecnología necesaria para protegerse de amenazas como virus, spyware y ataques. Protege la productividad
mediante el control de Web ilegít ima surf, y da una en profundidad vista de
la actividad de la red. Todo esto en un solo ut ilizable interfaz. Reports proporciona informes claros y concisos acerca tráfico de red y la
polít ica de violaciónes. Con este información que puede detectar los problemas relacionados con virus o spyware, así como supervisar ilegít ima
comportamiento de los usuarios, tales como navegación por Internet o
instantánea de mensajería. El Servidor Untangle se ejecuta en un PC situado entre la conexión a Internet
(módem de cable o DSL, etc) y el interrupt or de red informática. Se puede sust ituir o complementar una ya existente o router Firewall.
Requisitos de hardware
Resource Minimum Recommended Note: CPU: 1.0 GHz 2.0+ GHz
You must have a bootable Memory: 512 MB 1-2 GB CD/DVD drive installed in
Hard Drive: 20 GB 40+ GB order to install Untangle Network Cards: 2 3+ (for DMZ) server on your computer.
Paso 1. Conecte el servidor
14
Conecte el servidor de Untangle en su red como se lo vaya a ut ilizar,
haciendo esto ahora ayudará en las etapas posteriores de la instalación. Los
siguientes diagramas muestran los dos métodos más comúnmente ut ilizados. Si necesita que su servidor Untangle preparados fuera de la primera línea,
asegúrese de que el servidor Untangle t iene acceso a Internet. Usted será
capaz de conectarlo según lo previsto más adelante. Si ya t ienes un router / firewall y quieres mantenga instalado, instale el
servidor Untangle entre el firewall y el conmutador interno principal. En este escenario, el servidor Untangle funcionará como un puente. No es necesario
cambiar la ruta por defecto (gateway) en cualquier equipo detrás del
firewall, ni el cambio de las rutas en el router. Si no t ienes una ya existente o un router que desea reemplazar su enrutador
existentes, conecte el Untangle servidor como se muestra aquí. Además, proporcionará servicios de enrutamiento para su red, así como protección
de firewall.
Paso 2. El asistente de instalación de CD Esta serie de pasos que se instalará Untangle y su sistema operativo en su
ordenador. Conecte un monitor, teclado y ratón para el ordenador. Si ut iliza
un teclado / monitor cambiar, no cambie de distancia durante la instalación y configuración, los pasos 1 a 4.
ADVERTENCIA: Esto borrará todos los datos en el disco duro que usted elija.
PASOS PARA LA INSTALACIÓN
1) Comience por iniciar su equipo con el Untangle Instalar el CD insertado.
2) Si después de un par de minutos no aparece la página Elegir pantalla Idioma, puede que tenga que instruir a su
ordenador para que arranque desde la unidad de CD .*
3) Seguir los pasos del asistente. 4) Cuando la instalación se haya completado, el sistema
reiniciar el sistema. Recuerde que debe ret irar el CD. Usted está listos para empezar a configurar Untangle.
* Es posible que deba modificar el BIOS para establecer el orden de
arranque a unidad de CD / DVD primero.
Paso 3. Untangle básicos de configuración del servidor
Cuando el sistema se hace reiniciar el sistema, éste se iniciará automáticamente el asistente para ayudarle a configurar Untangle para su
uso en la red. Siga los pasos del asistente.
Paso 4. Descarga de aplicaciones
15
Usted ha instalado sat isfactoriamente Untangle en su ordenador y configurar
la conexión en red.
Ahora ya está listo para descargar aplicaciones. Si no está seguro de la prensa ¿Qué aplicaciones debo
ut ilizar? botón y el Application Wizard le ayudará. Si sabes lo que quieres
instalar, hacer lo siguiente:
• Haga clic en la aplicación que desea descargar. (Paso 1). • Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora",
dependiendo de lo que le gustaría hacer
y qué opciones están disponibles (paso 2). Las solicitudes de primas están disponibles en 14 días
versión de prueba gratuita. • La aplicación aparecerá en su estante después de que haya sido
descargado (paso 3).
Paso 5. Configuración de las aplicaciones
Casi todas las aplicaciones Untangle automáticamente instalar y ejecutar
(como se ve por el verde "en la luz". Si desea cambiar la configuración predeterminada, haga clic en el botón Configuración para exponer
personalizable ajustes. Después de hacer cambios, haga clic en Guardar para aceptar los cambios. Haga clic en Cancelar si no desea guardar los
cambios. Ut ilice el botón "Power" para desactivar o reactivar la demanda.
Ut ilice el botón "Eliminar" para eliminar una aplicación de la parrilla si ya no lo necesite.
Asistencia Técnica
Estamos encantados de ayudarle! Para obtener asistencia técnica con la instalación, configuración y funcionamiento de su servidor Untangle:
• Soporte en línea: http://www.untangle.com/support • Manual del usuario en línea: http://wiki.untangle.com
• Untangle Comunidad Foros: http://forums.untangle.com
suscriptores de pago pueden recibir asistencia en vivo. Consulte nuestra página de soporte para obtener más detalles
¿Cómo puedo obtener una Untangle CD de instalación? Usted puede descargar un CD de instalación en Untangle
http://www.untangle.com/download, a continuación, grabar
mismo mediante un software de grabación de CD (como Nero o CD Burner XP). Nota: Esta es una imagen ISO. Para
grabar un CD de instalación desde una imagen ISO, consulte la
documentación del software para quemar CD. Asi lo veras cuando los usuarios ejecuten una pagina ke ya este configurada
en el Untangle.
16
FORTINET
INTRODUCCIÓN
Fort inet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica especialmente al diseño y fabricación de
componentes y disposit ivos de seguridad de redes (firewalls, UTM...).
La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran proyección en el mundo de la seguridad de las
comunicaciones. Actualmente es la marca de referencia en sistemas de
seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado. En los últ imos años
Fort igate produce una amplia gama de disposit ivos para la protección de redes: Fort iGate-60C, Fort iGate-50B, Fort iGate-60B, Fort iGate-100A,
Fort iGate-200A, Fort iGate-300A, Fort iGate-310B, Fort iGate-400A, Fort iGate-
500A, Fort iGate-800, Fort iGate-1000A, Fort iGate-3600A, Fort iGate-3810A, Fort iGate-3016B y Fort iGate-5000 series.
Además de estos, también cuenta con disposit ivos wifi, y servidores para centralizar la seguridad de una empresa con múlt iples fort igates dispersos en
la red.
17
INSTALACIÓN
Conectarnos por consola y configuraciones básicas,
Lo primero de todo despues de desempaquetar el FW es asignarle una IP
fija para la interfaz INTERNAL y poder administrarlo vía web que es más cómodo que por comandos. Así que o cambiamos la IP a nuestro PC o se
la cambiamos al FW. La IP que trae por defecto el FW es la 192.168.1.99, lo
mejor es NO conectar el FW a la red hasta que no se le asigne una IP fija ya que puede causarnos una IP duplicada, y además que trae el servicio
DHCP habilitado por defecto para la interfaz INTERNAL. Así que conectamos el cable de consola al FW y al PC, abrimos en nuestro PC el
"HyperTerminal" desde "Inicio" > "Programas" > "Accesorios" >
"Comunicaciones" > "HyperTerminal" y creamos una nueva conexión.
t
Le ponemos un nombre cualquiera y "Aceptar".
18
Nos conectamos al puerto COM al que está conect ado nuestro FW y
aceptamos,
Para conectarnos ponemos: 9600
8
N 1
N
19
Y a part ir de ahora por consola podremos administrarlo, para logearnos nos
autenticamos con el usuario que viene por defecto que es "admin" y sin contraseña.
Lo único que haré por consola será indicarle una IP fija a la pata de la INTERNAL que será la 172.16.0.1, para ello:
# config system interface # edit internal
20
# set ip 172.16.0.1 255.255.255.0
# show (para comprobar que los datos introducidos son correctos)
# end (para guardar los cambios)
Ahora ya podremos conectarnos al FW, lo haremos por HTTPS ya que el
t ráfico va cifrado y la contraseña no va en texto plano por la red. Así que https://172.16.0.1, usuario: admin y sin password.
21
Hay dos cosas que hacer nada más comenzar, la primera cambiar la
fecha del sistema para que cuando configuremos VPN's no tengamos
problemas de sincronizaciones; y la otra cambiar la contraseña del administrador del FW. Lo primero se hace desde la misma pantalla de
"Status" en "System Time" pinchando en "Change".
Seleccionamos nuestra zona horaria y pulsamos OK, luego en la pantalla
de "Status" volvemos a comprobar que está OK.
22
Para cambiar la contraseña del administrador se hace desde "System" >
"Admin" y pulsando sobre el últ imo icono.
Metemos la clave actual (ninguna) y la que queremos tener dos veces,
pulsamos sobre OK.