29-5-2013

INSTITUTO TECNOLÓGICO DE TEHUACÁN

SEGURIDAD EN REDES, PFSENSE, UNTAGLE Y FORTINET Administración de redes

José Abel Garcia Herrera

1

TIPOS DE ATAQUES

Un ataque de red se produce cuando un atacante ut iliza vulnerabilidades

y fallos en la seguridad a diferentes niveles (TCP, IPv4, WiFi, DNS,

aplicaciones…) para intentar comprometer la seguridad de una red.

Existen mult itud de t ipos de ataques de red, los cuatro t ipos básicos:

Ataques de denegación de servicio.

Ataques contra la autentificación.

Ataques de modificación y daño.

Ataques de puerta trasera o backdoor.

Ataques de denegación de servicio.

Un "ataque por denegación de servicio" (DoS, Denial of service) t iene como

objet ivo imposibilitar el acceso a los servicios y recursos de una organización

durante un período indefinido de t iempo. Por lo general, este t ipo de

ataques está dirigido a los servidores de una compañía, para que no

puedan ut ilizarse ni consultarse. La denegación de servicio es una

complicación que puede afectar a cualquier servidor de la compañía o

individuo conectado a Internet. Su objet ivo no reside en recuperar ni alterar

datos, sino en dañar la reputación de las compañías con presencia en

Internet y potencialmente impedir el desarrollo normal de sus actividades en

caso de que éstas se basen en un sistema informático. En términos técnicos,

estos ataques no son muy complicados, pero no por ello dejan de ser

eficaces contra cualquier t ipo de equipo que cuente con Windows (95, 98,

NT, 2000, XP, etc.), Linux (Debían, Mandrake, RedHat, Suse, etc.),

Commercial Unix (HP-UX, AIX, IRIX, Solaris, etc.) o cualquier otro sistema

operativo. La mayoría de los ataques de denegación de servicio

aprovechan las vulnerabilidades relacionadas con la implementación de un

protocolo TCP/IP modelo.

Generalmente, estos ataques se dividen en dos clases:

Las denegaciones de servicio por saturación, que saturan un equipo con

solicitudes para que no pueda responder a las solicitudes reales.

Las denegaciones de servicio por explotación de vulnerabilidades, que

aprovechan una vulnerabilidad en el sistema para volverlo inestable.

2

Los ataques por denegación de servicio envían paquetes IP o datos de

tamaños o formatos at ípicos que saturan los equipos de dest ino o los vuelven

inestables y, por lo tanto, impiden el funcionamiento normal de los servicios

de red que brindan.Cuando varios equipos activan una denegación de

servicio, el proceso se conoce como "sistema distribuido de denegación de

servicio" (DDOS, Distributed Denial of Service). Los más conocidos son Tribal

Flood Network (TFN) y Trinoo.

los ataques de denegación pueden ser enviados desde un PC o por varios,

pero también existe la posibilidad de que potentes servidores actúen de la

misma forma, a esto se le llama un ataques distribuidos. Estos servidores se

les llaman zombies, ya que actúan a la orden del Hacker, el cual con

antelación intervino aquella máquina sin que el administrador se diera

cuenta por supuesto.

Protegerse de estos ataques es facil, la mayoria de ellos se basa en mandar

muchas peticiones a una base de datos, lo cual se puede evitar haciendo

un script ant iflood. Atacar una base de datos es facil, un server se cae

facilmente mandando muchas peticiones sql, que si se mandaran http.

Ataques contra la autentificación

Este t ipo de ataque t iene como objet ivo engañar al sistema de la víct ima

para ingresar al mismo. Generalmente este engaño se realiza tomando las

sesiones ya establecidas por la víct ima u obteniendo su nombre de usuario

y contraseña. (SAFORAS, 2007)

Spoofing-Looping

Spoofing puede traducirse como "hacerse pasar por otro" y el objet ivo de esta técnica, justamente, es actuar en nombre de otros usuarios,

usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación Daño).

Una forma común de Spoofing es conseguir el nombre y password de un

usuario legít imo para, una vez ingresado al sistema, tomar acciones en nombre de él.

El intruso usualmente ut iliza un sistema para obtener información e ingresar en otro, y luego ut iliza este para entrar en otro, y así sucesivamente. Este

proceso, llamado Looping, t iene la finalidad de "evaporar" la identificación

y la ubicación del atacante. El camino tomado desde el origen hasta el dest ino puede tener muchas

estaciones, que exceden obviamente los límites de un país. Otra

consecuencia del Looping es que una compañía o gobierno pueden

3

suponer que están siendo atacados por un competidor o una agencia de

gobierno extranjera, cuando en realidad están seguramente siendo

atacado por un Insider, o por un estudiante a miles de Kilómetros de distancia, pero que ha tomado la identidad de otros.

Spoofing Este t ipo de ataques (sobre protolocos) suele implicar un buen conocimiento

del protocolo en el que se va a basar el ataque. Los ataques t ipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing

IPSpoofing Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el

dest inatario del paquete. Su ut ilización más común es enviar los paquetes

con la dirección de un tercero, de forma que la víct ima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso.

El esquema con dos puentes es el siguiente:

Nótese que si la Vict ima descubre el ataque verá a la PC_2 como su atacante y no el verdadero origen.

Este ataque se hizo famoso al usarlo Kevin Mitnick (ver Anexo I I).

DNS Spoofing Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain

Name Server–DNS) de Windows NT©. Si se permite el método de recursión en

la resolución de "Nombre «Dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de

un servidor de nombres para resolver una petición de dirección IP a part ir de un nombre que no figura en su base de datos. Este es el método de

funcionamiento por defecto.

Web Spoofing

4

En el caso Web Spoofing el atacante crea un sit io web completo (falso)

similar al que la víct ima desea entrar. Los accesos a este sit io están dirigidos

por el atacante, permit iéndole monitorear todas las acciones de la víct ima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc.

El atacante también es libre de modificar cualquier dato que se esté

transmit iendo entre el servidor original y la víct ima o viceversa.

Ataques de modificación y daño

Tampering o Data Diddling

Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víct ima (incluyendo borrado de archivos).

Son part icularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier

comando y por ende alterar o borrar cualquier información que puede

incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante;

el Administrador posiblemente necesite darlo de baja por horas o días

hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada.

Como siempre, esto puede ser realizado por Insiders u Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un

competidor.

Son innumerables los casos de este t ipo: empleados bancarios (o externos) que crean falsas cuentas para derivar fondos de otras cuentas, estudiantes

que modifican calificaciones de exámenes, o contribuyentes que pagan para que se les anule una deuda imposit iva. Borrado de Huellas

El borrado de huellas es una de las tareas más importantes que debe realizar el intruso después de ingresar en un sistema, ya que, si se detecta

su ingreso, el administrador buscará como conseguir "tapar el hueco" de

seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo

general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo.

Los archivos Logs son una de las principales herramientas (y el principal

enemigo del atacante) con las que cuenta un administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos.

5

Ataques Mediante Java Applets

Java es un lenguaje de programación interpretado, desarrollado

inicialmente por la empresa SUN. Su mayor popularidad la merece por su alto grado de seguridad. Los más usados navegadores actuales,

implementan Máquinas Virtuales Java (MVJ) para ser capaces de ejecutar

programas (Applets) de Java. Estos Applets, al fin y al cabo, no son más que código ejecutable y como

tal, susceptible de ser manipulado por intrusos. Sin embargo, part iendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las

restricciones a las que somete a los Applets son de tal envergadura

(imposibilidad de trabajar con archivos a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco

directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos(1) especializados en descubrir fallas

de seguridad(2) en las implementaciones de las MVJ.

Ataques Mediante JavaScript y VBScript

JavaScript (de la empresa Netscape®) y VBScript (de Microsoft®) son dos

lenguajes usados por los diseñadores de sit ios Web para evitar el uso de Java. Los programas realizados son interpretados por el navegador.

Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript, actualmente se ut ilizan para explotar vulnerabilidades

específicas de navegadores y servidores de correo ya que no se realiza

ninguna evaluación sobre si el código.

Ataques Mediante ActiveX

ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft®. Mediante ActiveX es posible reut ilizar código, descargar

código totalmente funcional de un sit io remoto, etc. Esta tecnología es considerada la respuesta de Microsoft®Java.

ActiveX soluciona los problemas de seguridad mediante cert ificados y

firmas digitales. Una Autoridad Cert ificadora (AC) expende un cert ificado que acompaña a los controles activos y a una firma digital del

programador. Cuando un usuario descarga una página con un control, se le preguntará

si confía en la AC que expendió el cert ificado y/o en el control ActiveX. Si

el usuario acepta el control, éste puede pasar a ejecutarse sin ningún t ipo de restricciones (sólo las propias que tenga el usuario en el sistema

operativo). Es decir, la responsabilidad de la seguridad del sistema se deja

en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la acción o un perfecto novato en la materia.

Esta últ ima característ ica es el mayor punto débil de los controles ActiveX

6

ya que la mayoría de los usuarios aceptan el cert ificado sin siquiera leerlo,

pudiendo ser esta la fuente de un ataque con un control dañino.

La filosofía ActiveX es que las Autoridades de Cert ificación se fían de la palabra del programador del control. Es decir, el programador se

compromete a firmar un documento que asegura que el control no es

nocivo. Evidentemente siempre hay programadores con pocos escrúpulos o con ganas de experimentar.

Así, un conocido grupo de hackers alemanes(3), desarrolló un control ActiveX maligno que modificaba el programa de Gest ión Bancaria

Personal Quicken95© de tal manera que si un usuario aceptaba el control,

éste realizaba la tarea que supuestamente tenía que hacer y además modificaba el Quicken, para que la próxima vez que la víct ima se

conectara a su banco, se iniciara automáticamente una transferencia a una cuenta del grupo alemán .

Ataques de puerta trasera o backdoor

"Cualquier medio capaz de ampliar el alcance del hombre es lo

suficientemente poderoso como para derrocar su mundo. Conseguir que la

magia de ese medio trabaje para los fines de uno, antes que en contra de

ellos, es alcanzar el conocimiento."

"Es extraña la ligereza con que los malvados creen que todo les saldrá bien."

El término es adaptación directa del inglés backdoor que comúnmente

significa "puerta de atrás". A pesar de que no se consideran propiamente

como virus, representan un riesgo de seguridad importante, y usualmente

son desconocidas la inmensa gama de problemas que estas puedan llegar

a producir. Al hablar de ellas nos referimos genéricamente a una forma "no

oficial" de acceso a un sistema o a un programa.

Algunos programadores dejan puertas traseras a propósito, para poder

entrar rápidamente en un sistema; en otras ocasiones existen debido a fallos

o errores. Ni decir que una de las formas t ípicas de actuación de los piratas

informáticos es localizar o introducir a los diversos sistemas una puerta trasera

y entrar por ella. Estos programas no se reproducen solos como los virus, sino

que usualmente nos son enviados con el fin de tener acceso a nuestros

equipos a través del correo electrónico, por lo que no son fáciles de detectar

y por si solos no siempre causan daños ni efectos inmediatos por su sola

presencia, por lo que pueden llegar a permanecer activos mucho t iempo

sin que nos percatemos de ello.

7

as puertas traseras (backdoors) son programas que permiten acceso

prácticamente ilimitado a un equipo de forma remota. El problema, para

quien quiere usar este ataque, es que debe convencerlo a usted de que

instale el servidor. Por eso, si aparece un desconocido ofreciéndole algún

programa maravilloso y tentador, no le crea de inmediato. Lo que están

probablemente a punto de darle es un troyano, un servidor que le

proporcionará a algún intruso acceso total a su computadora.

Con todo el riesgo que esto implica, hay una forma simple y totalmente

segura de evitarlo: no acepte archivos ni mucho menos ejecute programas

que le hayan mandado sobre todo si son de procedencia dudosa. Los

programas que se clasifican como "backdoors" o "puertas traseras" son

ut ilerías de administración remota de una red y permiten controlar las

computadoras conectadas a ésta.

INFRACCIONES EN LA RED

Aunque hay un montón de personas que ut ilizan el Internet y las computadoras de manera responsable y honestamente, no son

depredadores y piratas que hay que estropear la diversión para todos, si sus hechos sucios fuera de control. Hay un montón de maneras para que esta

gente ponga en peligro el equipo y la red. A continuación vamos a revisar

algunas de las formas en que puede ser su red comprometida.

La red nos atrapa, y sus consecuencias se manifiestan físicamente. La

cuest ión es que venimos presenciando la difusión diaria de noticias relacionadas con toda clase de abusos y delitos cometidos a través de

Internet: estafas, injurias, amenazas, acoso, pedofilia… ¿Significa esto que en Internet no hay control posible? Desde el punto de vista de los autores

del comportamiento ilícito hay control, tanto jurídico como técnico. Desde

el punto de vista de las víct imas, también hay control, pero pasa forzosamente por la “prudencia” y la “enseñanza”.

Vemos y oímos que determinadas infracciones legales, de carácter

delict ivo, cada vez se producen con más frecuencia en el entorno de

Internet, y eso, en vez de incentivarnos para conocer mejor cómo nos puede afectar, o para acercarnos a un uso responsable de la Red, nos lleva

generalmente al rechazo.

Esto en el mundo de los adultos es grave, muy grave (véase sino lo que viene

ocurriendo con el legislador a la hora de poner controles a la Red), pero si lo llevamos hoy al terreno de los menores de edad, entonces el efecto se

torna en perverso. Nadie duda que Internet va a estar ahí mañana, que

8

cada vez ofrecerá más recursos y, que cada vez ocupará más espacio en

nuestras vidas, por eso, mantener a un niño o adolescente lejos del

ordenador en el “analfabetismo digital”, no hará sino perjudicarle gravemente en su madurez. Cuando quieran superar esta carencia, es muy

posible que las oportunidades perdidas por el camino sean ya del todo

irrecuperables para él. Dos infracciones red destruct ivos entran en una categoría conocida como

"comportamiento destruct ivo". Uno de ellos implica la destrucción completa de datos dentro de su red. Se llama "la destrucción dedatos", y es justo lo

que parece. Esto ocurre cuando alguien violaciones de la red y los datos

borrados. Si la red está relacionada con el negocio, esto puede ser devastador. Los expertos dicen que no lo es menos destruct ivo que el fuego

que destruye a su equipo informático. Algunos autores han más que la simple destrucción de la mente. Ellos hacen

algo que se llama "diddling de datos" lo que significa que alterar los datos

en su sistema. Pueden cambiar los datos en hojas de cálculo u otros documentos, o pueden alterar el sistema de contabilidad. Algunos ejemplos

de cosas que han sucedido realmente implica el sistema de contabilidad

en part icular. "Hackers" han entrado en una red, acceder al sistema contable, y cambia los números de cuenta de cheques de pago de

depósito directo para ir a sus propias cuentas. Los robos de este tomará algún t iempo para rastrear - en primer lugar que el empleado no t iene que

recibir el pago, las invest igaciones t ienen que hacerse, y alguien t iene que

pensar en volver a verificar la directa cuenta de depósito de la información. En algunos casos, las empresas han reducido nuevos cheques de papel y se

ha tomado meses para recuperar los fondos perdidos.

Otra forma en que las redes son vulnerables en el ámbito de la

confidencialidad. Muchas veces, las empresas disponen de información que, de ser compart ida con un competidor, puede ser muy malo para los

negocios. En este caso, los depredadores no busca alterar o destruir los

datos, que simplemente están tratando de encontrar información que no se supone que sabe. Si alguien fuera a encontrar información financiera antes

de una versión pública de dicha información podría afectar negativamente a la acción. Si a empresa está planeando lanzar un nuevo producto y que

alguien se de la información y se lo da a un competidor, o fugas de la

información al público, que podría afectar las ventas de la compañía. Aún más alarmante es la posibilidad de que alguien que se rompe para ver

confidenciales relacionados con los empleados de datos - como la

dirección postal, números de seguridad social, y la información de la cuenta bancaria.

odos estos ataques a la red ocurren porque los usuarios externos pueden obtener acceso no autorizado a una red. Para acceder a la información, los

datos de cambiar o eliminar datos, el atacante obtiene acceso a una red y

9

es capaz de ejecutar órdenes ilegales - ya sea a nivel de usuario normal o

en el nivel de administrador. Las dos son malas, pero por suerte ambos se

pueden evitar si se toma en serio esas amenazas y desarrollar las polít icas adecuadas en relación con su de seguridad de red.

CERTIFICACIONES Las cert ificaciones no pueden compensar lo que se gana con la experiencia

real, aunque la demanda creciente y la proliferación de cert ificaciones

pueden dejar rezagadas a aquellas personas que no las t ienen. La mayoría de las cert ificaciones deben ser renovadas después de algunos años, por lo

general antes de cinco años.

ALGUNAS CERTIFICACIONES CISSP: Cert ified Information System Security Professional CompTIA: Security+ Professional CISA: Cert ified Information

System Auditor CISM: Cert ified Information System Manager GIAC: Global Information Assurance Cert ificat ion CCSP: Cisco Cert ified Security

Professional CCNA: Cisco Cert ified Network Associate CCSP: Cisco Cert ified

Security Professional MCP: Microsoft Cert ified System Professional MCSA: Microsoft Cert ified System Associate MCSE: Microsoft Cert ified System

Engineer CCSE: Check Point Cert ified Security Expert CPP: Cert ified Protection Professional CIA: Cert ified Internal Auditor.

CISSP Cert ified Information System Security Professional Primera cert ificación

reconocida por la ANSI . Se apoya en la Norma 17024:2003 de la ISO La cert ificación CISSP acredita conocimiento en los diez dominios del CBK

(Common Body of Knowledge), designados por (ISC)2 (International

Información Systems Security Cert ificat ion Consort ium). s. DOMINIOS DEL CBK Sistema de Control de Acceso y Metodología Seguridad

en el Desarrollo de Sistemas y Aplicaciones Plan de Continuidad del Negocio (BCP) y Plan de Recuperación Ante Desastres (DRP). Criptografía Leyes,

Invest igaciones y Ét ica Seguridad de Operaciones Seguridad Física

Arquitectura de Seguridad y Modelos Prácticas en la Gest ión de la Seguridad Seguridad en Redes, Telecomunicaciones e Internet.

PFSENSE

INTRODUCCIÓN

pfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su

objet ivo es tener un cortafuego (firewall) fácilmente configurable a través de una interfase web e instalable en cualquier PC, incluyendo los miniPC de

una sola tarjeta.

Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto, de libre distribución. El cortafuego forma parte del Kernel del sistema.

De hecho, se trata del Packet Filter (PF) originario de OpenBSD, considerado

10

com el sistema operativo más seguro del mundo. Packet Filter (PF) está

presente como estándar en FreeBSD desde noviembre de 2004. Incluye

funcionalidades como el regulador de caudal ALTQ, que permite asignar prioridades por t ipo de tráfico. Los desarrolladores de pfSense escogieron

FreeBSD en lugar de OpenBSD por su facilidad de instalación en el mundo

de lps PCs y porqué ya exist ía BSD Installer, una versión muy, muy reducida de FreeBSD. Todo ello da una gran flexibilidad a la solución pfSense, ya que

se puede montar tanto en equipos miniPC (basados en una sola placa) que emplean como disco una Compact Flash como en PC estándar con disco

duro. En este últ imo caso se pueden añadir paquetes como Snort, Squid,

Radius, etc. En esta web se explica cómo se ha configurado un pfSense 1.0.1 (octubre/noviembre 2006) que está en producción. En ningún caso es una

web donde se tratan todas las posibilidades de este cortafuego de código libre.

INSTALACIÓN

Antes de la implantación definit iva de pfSense se tuvieron que hacer los

siguientes cambios en la red:

Dividir el cableado existente en seis redes físicas. Ello se hizo pasando algunos

cables más del armario secundario al armario primario, instalando más concentradores (switch) en ambos armarios y cambiando el conexionado

de equipos en los armarios. No hay más de dos concentradores encadenados (tal como estaba antes de los cambios).

Adoptar DHCP en todos los ordenadores clientes. Ello se hizo activando

provisionalmente DHCP en uno de los routers ADSL. Cambiar todos los procesos por lotes (archivos BAT y CMD en Windows, scripts de shell en

máquinas Unix/Linux) que empleaban direcciones IP locales, poniendo su

correspondiente nombre de máquina. Cambiar todos los puertos de impresora que estaban por dirección IP local, poniendo su correspondiente

nombre de máquina. Asegurarse que el DNS local resuelve correctamente todos los nombres de máquina. Asegurarse que el archivo hosts de las

máquinas sólo contiene la línea: 127.0.0.1 localhost. Es decir, que no se

emplea para resolver nombres de máquina, excepto localhost. Cambiar la configuración proxy de los navegadores de Internet, poniendo la

configuración automática http://www.dominio.ejemplo/proxy.pac.

Deshabilitar el acceso sin hilos de todas las impresoras que t ienen esta

funcionalidad, dejando sólo el acceso por red cableada.

Hardware ut ilizado

11

Se trata de un miniPC de FabiaTech, modelo FX5620. El equipo t iene 5

puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede incorporar un disco duro de 2,5" (como los que llevan los portát iles) y una Compact Flash

(que actúa como disco duro).Se adquirió en Gran Bretaña,

http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido el domingo por la noche (pago con tarjeta de crédito) y el martes por la

mañana ya llegaba (cerca de Barcelona)... Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a un

proveedor local.

Descarga de pfSense Se puede ir a la web oficial www.pfsense.org, pero hay otros repositorios con

configuraciones ajustadas. Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se encuentran

versiones preparadas según la unidad que reconoce pfSense para la

Compact Flash y según su tamaño.

FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2

(tercer disco ATA en FreeBSD).

En uno de nuestros servidores FreeBSD hicimos:

mkdir pfSense

cd pfSense vi fetch.sh

#!/bin/sh fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-

ad2.img.gz.md5 fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-

ad2.img.gz

chmod +x fetch.sh

./fetch.sh Comprobamos la firma del archivo:

md5 pfSense-1.0.1-512-ad2.img.gz cat pfSense-1.0.1-512-ad2.img.gz.md5

Descarga de physdiskwrite

physdiskwrite es una pequeña ut ilidad que permite escribir imágenes de disco. Se la puede encontrar en:

http://m0n0.ch/wall/physdiskwrite.php

12

La descargamos en D:\CompactFlash y descomprimimos el archivo ZIP

para obtener el EXE.

Grabación de la CompactFlash Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-

DOS) d:

cd /compactflash Ejecutamos:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Obtendremos una respuesta similar a: Searching for physical drives ...

Information for \\.\PhysicalDrive0: Wich disk do you want to write <0..0>?

Cancelamos la ejecución mediante Ctl+C

Con ello hemos visto qué discos físicos t iene nuestra máquina. Insertamos ahora la Compact Flash y volvemos a ejecutar:

physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz

Vemos que nos detecta un disco físico más y cambia la pregunta final: Wich disk do you want to write <0..2>?

Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2).

El proceso de grabación empieza y dura un buen rato (media hora

aproximadamente).

Configuración inicial de pfSense Una vez instalada la Compact Flash en el FX5620 (con el equipo sin

alimentación) lo ponemos en marcha con un monitor, teclado y cable de red conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s

y que pfSense reconoce como re0).

Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la WAN:

Do you want to set up VLANs now [y|n]? n Enter the LAN interface name or 'a' for auto-detection: re0

Enter the WAN interface name or 'a' for auto-detection: rl0

Enter the Optional 1 interface name or 'a' for auto-detection (or nothing is finished):

Y confirmar la operación:

LAN -> re0 WAN -> rl0

Do you want to proceed [y|n]? y El sistema carga su configuración por defecto y presenta al final la

indicación de que la LAN es 192.168.1.1 y su menú de consola.

13

Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiar

de 192.168.1.1 a 192.168.XXX.1

Enter the new LAN IP address: 192.168.XXX.1 Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.

e.g. 255.255.255.0 = 24

255.255.0.0 = 16 255.0.0.0 = 8

Enter the new LAN subnet bit count: 24 Do you want to enable the DHCP server on LAN [y|n]? n

Confirmando la operación se nos informará de la nueva dirección.

A part ir de aquí, normalmente emplearemos el configurador web, yendo a http://192.168.XXX.1

El acceso directo a la consola de los cortafuegos t iene la pega de estar configurado con el teclado inglés. En caso de querer acceder al

cortafuegos vía consola siempre será más cómodo hacerlo por SSH. Este

acceso sí que nos reconocerá nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [Configuración base] explico cómo activar el acceso por

SSH.

UNTANGLE El Servidor Untangle le da una forma sencilla de proteger, controlar y

supervisar el equipo red. Ofrece la tecnología necesaria para protegerse de amenazas como virus, spyware y ataques. Protege la productividad

mediante el control de Web ilegít ima surf, y da una en profundidad vista de

la actividad de la red. Todo esto en un solo ut ilizable interfaz. Reports proporciona informes claros y concisos acerca tráfico de red y la

polít ica de violaciónes. Con este información que puede detectar los problemas relacionados con virus o spyware, así como supervisar ilegít ima

comportamiento de los usuarios, tales como navegación por Internet o

instantánea de mensajería. El Servidor Untangle se ejecuta en un PC situado entre la conexión a Internet

(módem de cable o DSL, etc) y el interrupt or de red informática. Se puede sust ituir o complementar una ya existente o router Firewall.

Requisitos de hardware

Resource Minimum Recommended Note: CPU: 1.0 GHz 2.0+ GHz

You must have a bootable Memory: 512 MB 1-2 GB CD/DVD drive installed in

Hard Drive: 20 GB 40+ GB order to install Untangle Network Cards: 2 3+ (for DMZ) server on your computer.

Paso 1. Conecte el servidor

14

Conecte el servidor de Untangle en su red como se lo vaya a ut ilizar,

haciendo esto ahora ayudará en las etapas posteriores de la instalación. Los

siguientes diagramas muestran los dos métodos más comúnmente ut ilizados. Si necesita que su servidor Untangle preparados fuera de la primera línea,

asegúrese de que el servidor Untangle t iene acceso a Internet. Usted será

capaz de conectarlo según lo previsto más adelante. Si ya t ienes un router / firewall y quieres mantenga instalado, instale el

servidor Untangle entre el firewall y el conmutador interno principal. En este escenario, el servidor Untangle funcionará como un puente. No es necesario

cambiar la ruta por defecto (gateway) en cualquier equipo detrás del

firewall, ni el cambio de las rutas en el router. Si no t ienes una ya existente o un router que desea reemplazar su enrutador

existentes, conecte el Untangle servidor como se muestra aquí. Además, proporcionará servicios de enrutamiento para su red, así como protección

de firewall.

Paso 2. El asistente de instalación de CD Esta serie de pasos que se instalará Untangle y su sistema operativo en su

ordenador. Conecte un monitor, teclado y ratón para el ordenador. Si ut iliza

un teclado / monitor cambiar, no cambie de distancia durante la instalación y configuración, los pasos 1 a 4.

ADVERTENCIA: Esto borrará todos los datos en el disco duro que usted elija.

PASOS PARA LA INSTALACIÓN

1) Comience por iniciar su equipo con el Untangle Instalar el CD insertado.

2) Si después de un par de minutos no aparece la página Elegir pantalla Idioma, puede que tenga que instruir a su

ordenador para que arranque desde la unidad de CD .*

3) Seguir los pasos del asistente. 4) Cuando la instalación se haya completado, el sistema

reiniciar el sistema. Recuerde que debe ret irar el CD. Usted está listos para empezar a configurar Untangle.

* Es posible que deba modificar el BIOS para establecer el orden de

arranque a unidad de CD / DVD primero.

Paso 3. Untangle básicos de configuración del servidor

Cuando el sistema se hace reiniciar el sistema, éste se iniciará automáticamente el asistente para ayudarle a configurar Untangle para su

uso en la red. Siga los pasos del asistente.

Paso 4. Descarga de aplicaciones

15

Usted ha instalado sat isfactoriamente Untangle en su ordenador y configurar

la conexión en red.

Ahora ya está listo para descargar aplicaciones. Si no está seguro de la prensa ¿Qué aplicaciones debo

ut ilizar? botón y el Application Wizard le ayudará. Si sabes lo que quieres

instalar, hacer lo siguiente:

• Haga clic en la aplicación que desea descargar. (Paso 1). • Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora",

dependiendo de lo que le gustaría hacer

y qué opciones están disponibles (paso 2). Las solicitudes de primas están disponibles en 14 días

versión de prueba gratuita. • La aplicación aparecerá en su estante después de que haya sido

descargado (paso 3).

Paso 5. Configuración de las aplicaciones

Casi todas las aplicaciones Untangle automáticamente instalar y ejecutar

(como se ve por el verde "en la luz". Si desea cambiar la configuración predeterminada, haga clic en el botón Configuración para exponer

personalizable ajustes. Después de hacer cambios, haga clic en Guardar para aceptar los cambios. Haga clic en Cancelar si no desea guardar los

cambios. Ut ilice el botón "Power" para desactivar o reactivar la demanda.

Ut ilice el botón "Eliminar" para eliminar una aplicación de la parrilla si ya no lo necesite.

Asistencia Técnica

Estamos encantados de ayudarle! Para obtener asistencia técnica con la instalación, configuración y funcionamiento de su servidor Untangle:

• Soporte en línea: http://www.untangle.com/support • Manual del usuario en línea: http://wiki.untangle.com

• Untangle Comunidad Foros: http://forums.untangle.com

suscriptores de pago pueden recibir asistencia en vivo. Consulte nuestra página de soporte para obtener más detalles

¿Cómo puedo obtener una Untangle CD de instalación? Usted puede descargar un CD de instalación en Untangle

http://www.untangle.com/download, a continuación, grabar

mismo mediante un software de grabación de CD (como Nero o CD Burner XP). Nota: Esta es una imagen ISO. Para

grabar un CD de instalación desde una imagen ISO, consulte la

documentación del software para quemar CD. Asi lo veras cuando los usuarios ejecuten una pagina ke ya este configurada

en el Untangle.

16

FORTINET

INTRODUCCIÓN

Fort inet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica especialmente al diseño y fabricación de

componentes y disposit ivos de seguridad de redes (firewalls, UTM...).

La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran proyección en el mundo de la seguridad de las

comunicaciones. Actualmente es la marca de referencia en sistemas de

seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado. En los últ imos años

Fort igate produce una amplia gama de disposit ivos para la protección de redes: Fort iGate-60C, Fort iGate-50B, Fort iGate-60B, Fort iGate-100A,

Fort iGate-200A, Fort iGate-300A, Fort iGate-310B, Fort iGate-400A, Fort iGate-

500A, Fort iGate-800, Fort iGate-1000A, Fort iGate-3600A, Fort iGate-3810A, Fort iGate-3016B y Fort iGate-5000 series.

Además de estos, también cuenta con disposit ivos wifi, y servidores para centralizar la seguridad de una empresa con múlt iples fort igates dispersos en

la red.

17

INSTALACIÓN

Conectarnos por consola y configuraciones básicas,

Lo primero de todo despues de desempaquetar el FW es asignarle una IP

fija para la interfaz INTERNAL y poder administrarlo vía web que es más cómodo que por comandos. Así que o cambiamos la IP a nuestro PC o se

la cambiamos al FW. La IP que trae por defecto el FW es la 192.168.1.99, lo

mejor es NO conectar el FW a la red hasta que no se le asigne una IP fija ya que puede causarnos una IP duplicada, y además que trae el servicio

DHCP habilitado por defecto para la interfaz INTERNAL. Así que conectamos el cable de consola al FW y al PC, abrimos en nuestro PC el

"HyperTerminal" desde "Inicio" > "Programas" > "Accesorios" >

"Comunicaciones" > "HyperTerminal" y creamos una nueva conexión.

t

Le ponemos un nombre cualquiera y "Aceptar".

18

Nos conectamos al puerto COM al que está conect ado nuestro FW y

aceptamos,

Para conectarnos ponemos: 9600

8

N 1

N

19

Y a part ir de ahora por consola podremos administrarlo, para logearnos nos

autenticamos con el usuario que viene por defecto que es "admin" y sin contraseña.

Lo único que haré por consola será indicarle una IP fija a la pata de la INTERNAL que será la 172.16.0.1, para ello:

# config system interface # edit internal

20

# set ip 172.16.0.1 255.255.255.0

# show (para comprobar que los datos introducidos son correctos)

# end (para guardar los cambios)

Ahora ya podremos conectarnos al FW, lo haremos por HTTPS ya que el

t ráfico va cifrado y la contraseña no va en texto plano por la red. Así que https://172.16.0.1, usuario: admin y sin password.

21

Hay dos cosas que hacer nada más comenzar, la primera cambiar la

fecha del sistema para que cuando configuremos VPN's no tengamos

problemas de sincronizaciones; y la otra cambiar la contraseña del administrador del FW. Lo primero se hace desde la misma pantalla de

"Status" en "System Time" pinchando en "Change".

Seleccionamos nuestra zona horaria y pulsamos OK, luego en la pantalla

de "Status" volvemos a comprobar que está OK.

22

Para cambiar la contraseña del administrador se hace desde "System" >

"Admin" y pulsando sobre el últ imo icono.

Metemos la clave actual (ninguna) y la que queremos tener dos veces,

pulsamos sobre OK.