Avance Proyecto RESIDENCIA
-
Upload
arthur-bustamante-zurita -
Category
Documents
-
view
226 -
download
0
description
Transcript of Avance Proyecto RESIDENCIA
INSTITUTO TECNOLÓGICO DE OAXACA
INFORME DE RESIDENCIA PROFESIONAL
19 DE FEBRERO DEL 2015
BUSTAMANTE ZURITA ARTURO IGNACIO
SUBSECRETARÍA DE EDUCACIÓN SUPERIORDIRECCIÓN GENERAL DE EDUCACIÓN SUPERIOR
TECNOLÓGICA
INSTITUTO TECNOLÓGICO DE OAXACA
10160548
Carretera Internacional 12-A col. Centro. San Pablo Villa de Mitla, Oaxaca de Juárez Oax.
ING. ELECTRÓNICA
PERIODO:
FECHA DE INICIO: 3 DE FEBRERO 2015
FECHA DE TERMINACION: 5 DE JUNIO 2015
EMPRESA:
SPECTRA SISTEMAS ELECTRÓNICOS DE OAXACA S.A. DE C.V.
AVENIDA MORELOS NO. 1308, COLONIA CENTRO, OAXACA DE JUÁREZ, OAX.
PROYECTO:
DISEÑO E IMPLEMENTACIÓN DE UN SERVIDOR DE SEGURIDAD PERIMETRAL BASADO EN OPEN SOURCE
REVISO Y APROBO
_____________________________
NOMBRE Y FIRMA DEL ASESOR INTERNO
INDICE GENERAL
INDICE GENERAL..........................................................................................................................2
INTRODUCCIÓN.............................................................................................................................3
JUSTIFICACIÓN.............................................................................................................................4
OBJETIVOS GENERALES Y ESPECIFICOS.............................................................................4
CARACTERIZACION DEL AREA EN QUE PARTICIPO...........................................................4
PROBLEMAS A RESOLVER, PRIORIZANDOLOS...................................................................5
ALCANCES Y LIMITACIONES.....................................................................................................5
FUNDAMENTO TEORICO............................................................................................................6
Requisito de instalación..........................................................................................................6
Arquitectura pfsence...................................................................................................................6
Requisitos mínimos de hardware..............................................................................................6
Requisitos generales:.................................................................................................................6
Rendimiento requerido...............................................................................................................7
Selección de tarjetas de red.......................................................................................................7
Selección CPU...........................................................................................................................8
Característica Consideraciones.................................................................................................9
Proveedores de hardware recomendados...............................................................................9
Tipos de Tecnologías.............................................................................................................10
1. Iptables................................................................................................................................11
2. IPCop Firewall......................................................................................................................11
3. Shorewall.............................................................................................................................12
4. UFW - Firewall sin complicaciones......................................................................................12
5. Vuurmuur............................................................................................................................13
6. pfSense...............................................................................................................................13
7. IPFire....................................................................................................................................13
8. SmoothWall y SmoothWall expreso....................................................................................14
9. Endian..................................................................................................................................14
10. ConfigServer Seguridad....................................................................................................15
¿Pero porque elegir Pfsence BCD?....................................................................................16
PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS....................17
RESULTADOS, PLANOS, GRAFICAS, PROTOTIPOS Y PROGRAMAS............................17
CONCLUSIONES Y RECOMENDACIONES............................................................................17
REFERENCIAS BIBLIOGRAFICA..............................................................................................17
INTRODUCCIÓN
JUSTIFICACIÓN
El residente pondrá a prueba sus conocimientos y su capacidad de aprendizaje para poder seleccionar las tecnologías adecuadas para el desarrollo del servidor montando sobre ello herramientas basadas en open Source. Con ello el residente podrá reforzar su capacidad para el análisis de requerimientos necesarios y la solución de problemas en el proyecto que se realiza durante la estancia profesional. La empresa contará con un nuevo sistema que podrá implementar en el campo o en la misma, con la facilidad de Monitorear la red las 24 hrs, a través del servidor.
OBJETIVOS GENERALES Y ESPECIFICOS
Implementar un servidor de seguridad perimetral basado en open Source.
Instalar herramientas open Source Configurar el servidor Implementar y probar el desempeño del servidor
CARACTERIZACION DEL AREA EN QUE PARTICIPO
PROBLEMAS A RESOLVER, PRIORIZANDOLOS
Las organizaciones en la actualidad se enfrentan a múltiples amenazas, muchas de ellas causadas por una sofisticación tecnológica y complejidad en los requerimientos de acceso y gestión de la información que pueden llegar a ser explotados por diversas vulnerabilidades, por lo que se da la oportunidad de crear un servidor de seguridad perimetral para evitar ataques desde el exterior de la red.
ALCANCES Y LIMITACIONES
Para la realización de este proyecto considero que no tendré ninguna restricción para el alcance del objetivo.
FUNDAMENTO TEORICO
Requisito de instalación
Como requisito fundamental es que cuando arranquemos el equipo, nos va a pedir como mínimo 2 placas de red, una WAN y otra LAN, en la configuración podemos setear los parámetros de nuestro servidor DHCP LAN.
Arquitectura pfsence
Starting with pfSense 2.0, there are versions for both i386 (32-bit) and amd64 (64-bit) architectures. This architecture is noted in each of the filenames for download. The amd64 architecture (which does work even on Intel 64-bit CPUs) can address more memory and may have other performance advantages, but requires a compatible CPU. If you have a 64-bit capable CPU, use the amd64 version.
Requisitos mínimos de hardware
A continuación se describen los requisitos mínimos de hardware para pfSense 2.x. Tenga en cuenta los requisitos mínimos no son adecuados para todos los entornos, consulte el Hardware Guidlines Dimensionamiento para más información. Usted puede ser capaz de llegar a funcionar con menos del mínimo, pero con menos memoria puede comenzar a intercambiar en el disco, lo que retrasará dramáticamente su sistema.
Requisitos generales:
CPU - Pentium II
RAM - 256 MB
Requisitos específicos para las plataformas individuales:
Live CD
Unidad de CD-ROM
Unidad flash USB o una unidad de disco flexible para mantener el archivo de configuración
Instalación de disco duro
CD-ROM para la instalación inicial
Disco duro de 1 GB
Embedded
Tarjeta de 1 GB Compact Flash
Puerto serie para la consola
Hardware Orientación Dimensionamiento
Al dimensionar el hardware para poner el software en pfSense, dos factores principales deben ser considerados.
Rendimiento requeridoCaracterísticas de software pfSense utilizados
Consideraciones de rendimiento
Las siguientes directrices se basan en nuestra amplia experiencia en pruebas y despliegue. Estas directrices son muy conservadores para la mayoría de los ambientes.
Selección de tarjetas de red
La selección de tarjetas de red (NIC) es a menudo el factor de rendimiento más importante en su configuración. NIC de bajo costo puede saturar su CPU con manejo de interrupciones, causando paquetes perdidos y su CPU para ser el cuello de botella. Una calidad NIC puede aumentar sustancialmente el rendimiento del sistema. Al utilizar el software pfSense para proteger su red o múltiples
segmento segmentos LAN inalámbricas, el rendimiento entre las interfaces vuelve más importante que el rendimiento de la interfaz WAN (s).
NIC basados en chipsets Intel tienden a ser el mejor rendimiento y más fiable cuando se utiliza con el software pfSense. En comparación chipsets Realtek realizan bastante mal. Por ello, recomendamos fuertemente la compra de tarjetas de Intel, o sistemas con una función de NIC Intel hasta 1Gbps. Por encima de 1 Gbps, otros factores, y otros proveedores de NIC dominan el rendimiento.
Selección CPU
Los números indicados en las secciones siguientes se pueden aumentar ligeramente para los NICs de calidad, y la disminución (posiblemente sustancialmente) con NICs de baja calidad. Todos los siguientes números también asumen no se instalan los paquetes.
10-20 Mbps
Recomendamos un moderno (menos de 4 años de edad) de Intel o AMD CPU velocidad de reloj de al menos 500 MHz.
21-100 Mbps
Recomendamos un moderno 1.0 GHz Intel o AMD CPU
101-500 Mbps
Hardware tipo servidor con adaptadores de red PCI-e, o hardware de escritorio más reciente con los adaptadores de red PCI-e. Nada menos que un moderno CPU Intel o AMD velocidad de reloj de 2,0 GHz.
501+ Mbps
Hardware tipo servidor con adaptadores de red PCI-e. Se requieren múltiples núcleos a> 2.0GHz.
Recuerde que si usted desea utilizar su instalación pfSense para proteger su red inalámbrica, o múltiples segmento segmentos de LAN, el rendimiento entre las interfaces debe ser tenido en cuenta. En entornos donde se requiere un rendimiento extremadamente alto a través de varias interfaces, especialmente con interfaces Gigabit, velocidad del bus PCI debe tenerse en cuenta. Al utilizar múltiples interfaces en el mismo sistema, el ancho de banda del bus PCI puede convertirse fácilmente en un cuello de botella.
Característica Consideraciones
La mayoría de las características no tener en cuenta en el hardware utilizado, aunque algunos tendrán un impacto significativo en la utilización del hardware:
VPN - El uso intensivo de cualquiera de los servicios VPN incluido en el software pfSense aumentará los requisitos de CPU. Cifrar y descifrar el tráfico es la CPU. El número de conexiones es mucho menos de una preocupación que el rendimiento requerido. Aceleración AES-NI de IPsec reduce significativamente los requisitos de CPU en las plataformas que lo soportan.
Portal Cautivo - Mientras que la principal preocupación es por lo general el rendimiento, entornos con cientos de usuarios del portal cautivo simultáneas (de los cuales hay muchos) se requiere un poco más de energía de la CPU de lo recomendado anteriormente.
Las grandes tablas de estado - entradas de la tabla del estado requieren alrededor de 1 KB de RAM cada uno. El tamaño de la tabla de estado por defecto se calcula sobre la base de 10% de la RAM disponible en el servidor de seguridad. Por ejemplo, un servidor de seguridad con 1 GB de RAM por defecto a 100 mil estados que cuando está llena usaría unos 100 MB de RAM. Para grandes entornos que requieren tablas de estado con cientos de miles de conexiones, o millones de conexiones, asegúrese de RAM adecuada está disponible.
Paquetes - Algunos de los paquetes aumentan significativamente los requisitos de RAM. Snort y ntop son dos que no debe ser instalado en un sistema con menos de 1 GB de RAM.
Proveedores de hardware recomendadosLas siguientes compañías venden el hardware que los desarrolladores utilizan. Esto significa la compra de estos proveedores asegura que el dispositivo se prueba a fondo, y si los problemas de compatibilidad vienen en versiones futuras que probablemente conseguirá fijo más rápidamente.
Además de los beneficios de hardware probado bien, es importante para nuestra comunidad de usuarios para apoyar a las empresas que mantienen a este proyecto en marcha. Varios revendedores de hardware han hecho contribuciones muy necesarios de hardware y dinero para ayudar a nuestros esfuerzos de desarrollo, financiar características específicas, y cubrir los demás gastos de la ejecución de este proyecto durante los últimos 9 años.
Sistemas de cortafuegos vendedor de pfSense base, principal soporte financiero del proyecto pfSense - Netgate.
Hacom - Vendedor de una variedad de hardware firewall.
www.OsNet.eu - Reseller francesa de tableros de Alix y electrodomésticos de alta gama, documentación y servicios de consultoría.
Hardware CompatibilityList
pfSense 2.2 se basa en FreeBSD 10.1, y comparte su lista de compatibilidad de hardware. El kernelpfSense incluye todos los conductores de FreeBSD.
FreeBSD 10.1 Hardware CompatibilityList
Tipos de Tecnologías
Hay docenas de aplicaciones de firewall de código abierto disponibles para su
descarga en internet. Aquí en este avance le hare un listado de los que
actualmente existen, se han encontrado hasta con 10 servidores de seguridad de
código abierto más populares que podrían ser muy útiles para seleccionar uno que
se adapte a tus necesidades del cliente o bien de la empresa.
1. IptablesIptables / Netfilter es el más popular firewall basado en la línea de comandos. Es
la primera línea de defensa de la seguridad del servidor Linux. Muchos
administradores de sistemas lo utilizan para el ajuste fino de sus servidores. Filtra
los paquetes en la pila de red dentro del propio núcleo. Puede encontrar una
descripción más detallada de Iptables aquí.Características de IPtables
En él se enumeran los contenidos del conjunto de reglas de filtrado de
paquetes.
Es rápido relámpago porque inspecciona sólo los encabezados de los
paquetes.
Puede Añadir / Eliminar / Modificar reglas de acuerdo a sus necesidades en
los conjuntos de reglas de filtrado de paquetes.
Añadir / puesta a cero contadores de cada regla de los conjuntos de reglas de
filtrado de paquetes.
Soporta copia de seguridad y restauración con los archivos.
2. IPCop FirewallIPCop es una distribución de servidor de seguridad de código abierto Linux,
equipo IPCop está trabajando continuamente para ofrecer un estable, más seguro,
el usuario del sistema de gestión de Firewall amable y altamente configurable a
sus usuarios. IPCop proporciona una interfaz web bien diseñada para administrar
el servidor de seguridad. Es muy útil y bueno para las pequeñas empresas y los
PC locales.
Puede configurar un PC antiguo como una VPN segura de proporcionar un
entorno seguro en internet. También se mantiene un poco de información que se
utiliza con frecuencia para ofrecer una mejor experiencia de navegación web a sus
usuarios.
Características de Firewall IPCop
Su interfaz web de código de colores le permite controlar los gráficos de
rendimiento de CPU, memoria y disco, así como el rendimiento de red.
Se ve y rotación automática de registros.
Apoyar Soporte para múltiples idiomas.
Proporciona muy seguro actualización estable y de fácil implementación y
añadir parches.
3. ShorewallShorewall o Shoreline Firewall es otro servidor de seguridad de código abierto muy
popular especializado para GNU / Linux. Está construido sobre el sistema Netfilter
integrado en el kernel de Linux que también es compatible con IPv6.
Característica de Shorewall Utiliza las instalaciones de seguimiento de conexiones de Netfilter para el
filtrado de paquetes de estado.
Soporta una amplia gama de aplicaciones de routers / cortafuegos / puerta de
enlace.
Administración del cortafuegos centralizado.
Una interfaz gráfica de usuario con el panel de control de Webmin.
Apoyo ISP múltiple.
Soporta enmascaramiento y reenvío de puertos.
Soporta VPN
4. UFW - Firewall sin complicacionesUFW es la herramienta de servidor de seguridad predeterminada para los
servidores de Ubuntu, que está básicamente diseñado para menor la complejidad
del firewall iptables y hace que sea más fácil de usar. Una interfaz gráfica de
usuario de la UFW, Gufw también está disponible para los usuarios de Ubuntu y
Debian.
Características de la UFW Soporta IPV6
Extended Opciones de registro con On instalación / Off
Supervisión del estado
Marco Extensible
Puede ser integrado con las aplicaciones
Añadir / Eliminar / Modificar reglas de acuerdo a sus necesidades.
5. VuurmuurVuurmuur es otro potente gestor de firewall de Linux incorporado o es propietario
de reglas de iptables para su servidor o red. Al mismo tiempo es muy fácil de usar
para administrar, no hay iptables previos conocimientos de trabajo necesarios para
utilizar Vuurmuur.
Características de Vuurmuur Soporte IPv6
La asignación de tráfico
Más funciones de vigilancia avanzadas
Conexión de monitoreo en tiempo real y el uso de ancho de banda
Se puede configurar fácilmente con NAT.
Tienen características anti-spoofing.
6. pfSensepfSense es otro de código abierto y un firewall muy fiable para los servidores de
FreeBSD. Su basado en el concepto de filtrado de estado de paquetes. Ofrece
amplias gamas de característica que normalmente está disponible en sólo firewalls
comerciales caros.
Características de pfSense Altamente configurable y actualizado de su Web - interfaz basada.
Se puede desplegar como un servidor de seguridad perimetral, router, DHCP
y DNS.
Configurado como punto de acceso inalámbrico y un punto final de VPN.
La asignación de tráfico y la información en tiempo real sobre el servidor.
Balanceo de carga entrante y saliente.
7. IPFire
IPFire es otro de los firewalls basados código abierto Linux para Small Office,
Home Office (SOHO) entornos. Su diseñado con modularidad y altamente
flexibilidad. Comunidad IPFire también se hizo cargo de la Seguridad y la
desarrolló como un StatefulPacketInspection (SPI).Características de IPFire
Puede ser desplegado como un firewall, un servidor proxy o una puerta de
enlace VPN.
El filtrado de contenidos
Incorporado sistema de detección de intrusiones
Soporta través Wiki, foros y chats
Hipervisores de apoyo como KVM, VMware y Xen para entornos de
virtualización
8. SmoothWall y SmoothWall expresoSmoothWall es un servidor de seguridad de código abierto Linux con una interfaz
basada en Web altamente configurable. Su interfaz basada en la Web es conocida
como WAM (gerente Web Access). Una versión libre distribución de SmoothWall
se conoce como SmoothWall Express.
Características de SmoothWall Soporta LAN, DMZ, y redes inalámbricas, más externa.
Filtrado de contenido real Tiempo
El filtrado HTTPS
Proxies de Apoyo
Entrar visualización y la actividad del firewall del monitor
Tráfico Estadísticas gestión en por IP, la interfaz y base visita
Facilidad de copia de seguridad y restauración similares.
9. EndianEndian Firewall es otro firewall StatefulInspection concepto de paquetes basado
que puede ser desplegado como routers, delegación y puerta de enlace VPN con
OpenVPN. Su originalmente desarrollado a partir de cortafuegos IPCop que
también es un tenedor de Smoothwall.
Características de Endian Firewall bidireccional
Prevención de intrusiones Snort
Puede asegurar servidor web con HTTP y FTP proxy, antivirus y URL lista
negra.
Puede proteger los servidores de correo con SMTP y POP3 proxies, spam
Auto-aprendizaje, lista gris.
VPN con IPSec
Registro de tráfico de red en tiempo real
10. ConfigServer SeguridadPor último, pero no el último de seguridad y cortafuegos ConfigServer. Es una
plataforma cruzada y un cortafuegos muy versátil, también se basa en el concepto
de inspección de estado de paquetes (SPI). Es compatible con casi todos los
entornos de virtualización como Virtuozzo, OpenVZ, VMware, Xen, KVM y
VirtualBox.
Características de CSF Su proceso demonio LFD (Entrar demonio fracaso) comprueba inicio de
sesión fracasos de servidores sensibles como ssh, SMTP, Exim, IMAP,
Pure&ProFTP, vsftpd, Suhosin y fracasos mod_security.
Puede configurar alertas de correo electrónico para notificar si algo sale
inusual o detectar cualquier tipo de intrusión en su servidor.
Puede ser fácilmente integrado paneles de control de alojamiento web
populares como cPanel, DirectAdmin y Webmin.
Notifica usuario recurso excesivo y proceso sospechoso a través de alertas de
correo electrónico.
Avanzado sistema de detección de intrusiones.
Puede proteger su máquina Linux con los ataques como Syn inundaciones y
ping de la muerte.
Comprueba la existencia de exploits
Fácil de inicio / reinicio / parada y mucho más
Aparte de estos servidores de seguridad hay muchos otros servidores de
seguridad como Sphirewall, Checkpoint, ClearOS, Monowall disponibles en la
web.
¿Pero porque elegir Pfsence BCD?
La interfaz web es amigable para el usuario permitiendo mejor el uso este y tiene
muchas funcionalidades tales como fw/router entre otras que explicaremos mas
adelante.
Fácil configuración
Potente y robusto firewall
Bloqueo de páginas web
Balanceo de ancho de banda
Mínimos requerimientos
Escalabilidad
Gratuito
Innovador
Características sobresalientes que ningún otro firewall provee.
PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS
RESULTADOS, PLANOS, GRAFICAS, PROTOTIPOS Y PROGRAMAS
CONCLUSIONES Y RECOMENDACIONES
REFERENCIAS BIBLIOGRAFICA