INSTITUTO TECNOLÓGICO DE OAXACA

INFORME DE RESIDENCIA PROFESIONAL

19 DE FEBRERO DEL 2015

BUSTAMANTE ZURITA ARTURO IGNACIO

SUBSECRETARÍA DE EDUCACIÓN SUPERIORDIRECCIÓN GENERAL DE EDUCACIÓN SUPERIOR

TECNOLÓGICA

INSTITUTO TECNOLÓGICO DE OAXACA

10160548

Carretera Internacional 12-A col. Centro. San Pablo Villa de Mitla, Oaxaca de Juárez Oax.

ING. ELECTRÓNICA

PERIODO:

FECHA DE INICIO: 3 DE FEBRERO 2015

FECHA DE TERMINACION: 5 DE JUNIO 2015

EMPRESA:

SPECTRA SISTEMAS ELECTRÓNICOS DE OAXACA S.A. DE C.V.

AVENIDA MORELOS NO. 1308, COLONIA CENTRO, OAXACA DE JUÁREZ, OAX.

PROYECTO:

DISEÑO E IMPLEMENTACIÓN DE UN SERVIDOR DE SEGURIDAD PERIMETRAL BASADO EN OPEN SOURCE

REVISO Y APROBO

_____________________________

NOMBRE Y FIRMA DEL ASESOR INTERNO

INDICE GENERAL

INDICE GENERAL..........................................................................................................................2

INTRODUCCIÓN.............................................................................................................................3

JUSTIFICACIÓN.............................................................................................................................4

OBJETIVOS GENERALES Y ESPECIFICOS.............................................................................4

CARACTERIZACION DEL AREA EN QUE PARTICIPO...........................................................4

PROBLEMAS A RESOLVER, PRIORIZANDOLOS...................................................................5

ALCANCES Y LIMITACIONES.....................................................................................................5

FUNDAMENTO TEORICO............................................................................................................6

Requisito de instalación..........................................................................................................6

Arquitectura pfsence...................................................................................................................6

Requisitos mínimos de hardware..............................................................................................6

Requisitos generales:.................................................................................................................6

Rendimiento requerido...............................................................................................................7

Selección de tarjetas de red.......................................................................................................7

Selección CPU...........................................................................................................................8

Característica Consideraciones.................................................................................................9

Proveedores de hardware recomendados...............................................................................9

Tipos de Tecnologías.............................................................................................................10

1. Iptables................................................................................................................................11

2. IPCop Firewall......................................................................................................................11

3. Shorewall.............................................................................................................................12

4. UFW - Firewall sin complicaciones......................................................................................12

5. Vuurmuur............................................................................................................................13

6. pfSense...............................................................................................................................13

7. IPFire....................................................................................................................................13

8. SmoothWall y SmoothWall expreso....................................................................................14

9. Endian..................................................................................................................................14

10. ConfigServer Seguridad....................................................................................................15

¿Pero porque elegir Pfsence BCD?....................................................................................16

PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS....................17

RESULTADOS, PLANOS, GRAFICAS, PROTOTIPOS Y PROGRAMAS............................17

CONCLUSIONES Y RECOMENDACIONES............................................................................17

REFERENCIAS BIBLIOGRAFICA..............................................................................................17

INTRODUCCIÓN

JUSTIFICACIÓN

El residente pondrá a prueba sus conocimientos y su capacidad de aprendizaje para poder seleccionar las tecnologías adecuadas para el desarrollo del servidor montando sobre ello herramientas basadas en open Source. Con ello el residente podrá reforzar su capacidad para el análisis de requerimientos necesarios y la solución de problemas en el proyecto que se realiza durante la estancia profesional. La empresa contará con un nuevo sistema que podrá implementar en el campo o en la misma, con la facilidad de Monitorear la red las 24 hrs, a través del servidor.

OBJETIVOS GENERALES Y ESPECIFICOS

Implementar un servidor de seguridad perimetral basado en open Source.

Instalar herramientas open Source Configurar el servidor Implementar y probar el desempeño del servidor

CARACTERIZACION DEL AREA EN QUE PARTICIPO

PROBLEMAS A RESOLVER, PRIORIZANDOLOS

Las organizaciones en la actualidad se enfrentan a múltiples amenazas, muchas de ellas causadas por una sofisticación tecnológica y complejidad en los requerimientos de acceso y gestión de la información que pueden llegar a ser explotados por diversas vulnerabilidades, por lo que se da la oportunidad de crear un servidor de seguridad perimetral para evitar ataques desde el exterior de la red.

ALCANCES Y LIMITACIONES

Para la realización de este proyecto considero que no tendré ninguna restricción para el alcance del objetivo.

FUNDAMENTO TEORICO

Requisito de instalación

Como requisito fundamental es que cuando arranquemos el equipo, nos va a pedir como mínimo 2 placas de red, una WAN y otra LAN, en la configuración podemos setear los parámetros de nuestro servidor DHCP LAN.

Arquitectura pfsence

Starting with pfSense 2.0, there are versions for both i386 (32-bit) and amd64 (64-bit) architectures. This architecture is noted in each of the filenames for download. The amd64 architecture (which does work even on Intel 64-bit CPUs) can address more memory and may have other performance advantages, but requires a compatible CPU. If you have a 64-bit capable CPU, use the amd64 version.

Requisitos mínimos de hardware

A continuación se describen los requisitos mínimos de hardware para pfSense 2.x. Tenga en cuenta los requisitos mínimos no son adecuados para todos los entornos, consulte el Hardware Guidlines Dimensionamiento para más información. Usted puede ser capaz de llegar a funcionar con menos del mínimo, pero con menos memoria puede comenzar a intercambiar en el disco, lo que retrasará dramáticamente su sistema.

Requisitos generales:

CPU - Pentium II

RAM - 256 MB

Requisitos específicos para las plataformas individuales:

Live CD

Unidad de CD-ROM

Unidad flash USB o una unidad de disco flexible para mantener el archivo de configuración

Instalación de disco duro

CD-ROM para la instalación inicial

Disco duro de 1 GB

Embedded

Tarjeta de 1 GB Compact Flash

Puerto serie para la consola

Hardware Orientación Dimensionamiento

Al dimensionar el hardware para poner el software en pfSense, dos factores principales deben ser considerados.

Rendimiento requeridoCaracterísticas de software pfSense utilizados

Consideraciones de rendimiento

Las siguientes directrices se basan en nuestra amplia experiencia en pruebas y despliegue. Estas directrices son muy conservadores para la mayoría de los ambientes.

Selección de tarjetas de red

La selección de tarjetas de red (NIC) es a menudo el factor de rendimiento más importante en su configuración. NIC de bajo costo puede saturar su CPU con manejo de interrupciones, causando paquetes perdidos y su CPU para ser el cuello de botella. Una calidad NIC puede aumentar sustancialmente el rendimiento del sistema. Al utilizar el software pfSense para proteger su red o múltiples

segmento segmentos LAN inalámbricas, el rendimiento entre las interfaces vuelve más importante que el rendimiento de la interfaz WAN (s).

NIC basados en chipsets Intel tienden a ser el mejor rendimiento y más fiable cuando se utiliza con el software pfSense. En comparación chipsets Realtek realizan bastante mal. Por ello, recomendamos fuertemente la compra de tarjetas de Intel, o sistemas con una función de NIC Intel hasta 1Gbps. Por encima de 1 Gbps, otros factores, y otros proveedores de NIC dominan el rendimiento.

Selección CPU

Los números indicados en las secciones siguientes se pueden aumentar ligeramente para los NICs de calidad, y la disminución (posiblemente sustancialmente) con NICs de baja calidad. Todos los siguientes números también asumen no se instalan los paquetes.

10-20 Mbps

Recomendamos un moderno (menos de 4 años de edad) de Intel o AMD CPU velocidad de reloj de al menos 500 MHz.

21-100 Mbps

Recomendamos un moderno 1.0 GHz Intel o AMD CPU

101-500 Mbps

Hardware tipo servidor con adaptadores de red PCI-e, o hardware de escritorio más reciente con los adaptadores de red PCI-e. Nada menos que un moderno CPU Intel o AMD velocidad de reloj de 2,0 GHz.

501+ Mbps

Hardware tipo servidor con adaptadores de red PCI-e. Se requieren múltiples núcleos a> 2.0GHz.

Recuerde que si usted desea utilizar su instalación pfSense para proteger su red inalámbrica, o múltiples segmento segmentos de LAN, el rendimiento entre las interfaces debe ser tenido en cuenta. En entornos donde se requiere un rendimiento extremadamente alto a través de varias interfaces, especialmente con interfaces Gigabit, velocidad del bus PCI debe tenerse en cuenta. Al utilizar múltiples interfaces en el mismo sistema, el ancho de banda del bus PCI puede convertirse fácilmente en un cuello de botella.

Característica Consideraciones

La mayoría de las características no tener en cuenta en el hardware utilizado, aunque algunos tendrán un impacto significativo en la utilización del hardware:

VPN - El uso intensivo de cualquiera de los servicios VPN incluido en el software pfSense aumentará los requisitos de CPU. Cifrar y descifrar el tráfico es la CPU. El número de conexiones es mucho menos de una preocupación que el rendimiento requerido. Aceleración AES-NI de IPsec reduce significativamente los requisitos de CPU en las plataformas que lo soportan.

Portal Cautivo - Mientras que la principal preocupación es por lo general el rendimiento, entornos con cientos de usuarios del portal cautivo simultáneas (de los cuales hay muchos) se requiere un poco más de energía de la CPU de lo recomendado anteriormente.

Las grandes tablas de estado - entradas de la tabla del estado requieren alrededor de 1 KB de RAM cada uno. El tamaño de la tabla de estado por defecto se calcula sobre la base de 10% de la RAM disponible en el servidor de seguridad. Por ejemplo, un servidor de seguridad con 1 GB de RAM por defecto a 100 mil estados que cuando está llena usaría unos 100 MB de RAM. Para grandes entornos que requieren tablas de estado con cientos de miles de conexiones, o millones de conexiones, asegúrese de RAM adecuada está disponible.

Paquetes - Algunos de los paquetes aumentan significativamente los requisitos de RAM. Snort y ntop son dos que no debe ser instalado en un sistema con menos de 1 GB de RAM.

Proveedores de hardware recomendadosLas siguientes compañías venden el hardware que los desarrolladores utilizan. Esto significa la compra de estos proveedores asegura que el dispositivo se prueba a fondo, y si los problemas de compatibilidad vienen en versiones futuras que probablemente conseguirá fijo más rápidamente.

Además de los beneficios de hardware probado bien, es importante para nuestra comunidad de usuarios para apoyar a las empresas que mantienen a este proyecto en marcha. Varios revendedores de hardware han hecho contribuciones muy necesarios de hardware y dinero para ayudar a nuestros esfuerzos de desarrollo, financiar características específicas, y cubrir los demás gastos de la ejecución de este proyecto durante los últimos 9 años.

Sistemas de cortafuegos vendedor de pfSense base, principal soporte financiero del proyecto pfSense - Netgate.

Hacom - Vendedor de una variedad de hardware firewall.

www.OsNet.eu - Reseller francesa de tableros de Alix y electrodomésticos de alta gama, documentación y servicios de consultoría.

Hardware CompatibilityList

pfSense 2.2 se basa en FreeBSD 10.1, y comparte su lista de compatibilidad de hardware. El kernelpfSense incluye todos los conductores de FreeBSD.

FreeBSD 10.1 Hardware CompatibilityList

Tipos de Tecnologías

Hay docenas de aplicaciones de firewall de código abierto disponibles para su

descarga en internet. Aquí en este avance le hare un listado de los que

actualmente existen, se han encontrado hasta con 10 servidores de seguridad de

código abierto más populares que podrían ser muy útiles para seleccionar uno que

se adapte a tus necesidades del cliente o bien de la empresa.

1. IptablesIptables / Netfilter es el más popular firewall basado en la línea de comandos. Es

la primera línea de defensa de la seguridad del servidor Linux. Muchos

administradores de sistemas lo utilizan para el ajuste fino de sus servidores. Filtra

los paquetes en la pila de red dentro del propio núcleo. Puede encontrar una

descripción más detallada de Iptables aquí.Características de IPtables

En él se enumeran los contenidos del conjunto de reglas de filtrado de

paquetes.

Es rápido relámpago porque inspecciona sólo los encabezados de los

paquetes.

Puede Añadir / Eliminar / Modificar reglas de acuerdo a sus necesidades en

los conjuntos de reglas de filtrado de paquetes.

Añadir / puesta a cero contadores de cada regla de los conjuntos de reglas de

filtrado de paquetes.

Soporta copia de seguridad y restauración con los archivos.

2. IPCop FirewallIPCop es una distribución de servidor de seguridad de código abierto Linux,

equipo IPCop está trabajando continuamente para ofrecer un estable, más seguro,

el usuario del sistema de gestión de Firewall amable y altamente configurable a

sus usuarios. IPCop proporciona una interfaz web bien diseñada para administrar

el servidor de seguridad. Es muy útil y bueno para las pequeñas empresas y los

PC locales.

Puede configurar un PC antiguo como una VPN segura de proporcionar un

entorno seguro en internet. También se mantiene un poco de información que se

utiliza con frecuencia para ofrecer una mejor experiencia de navegación web a sus

usuarios.

Características de Firewall IPCop

Su interfaz web de código de colores le permite controlar los gráficos de

rendimiento de CPU, memoria y disco, así como el rendimiento de red.

Se ve y rotación automática de registros.

Apoyar Soporte para múltiples idiomas.

Proporciona muy seguro actualización estable y de fácil implementación y

añadir parches.

3. ShorewallShorewall o Shoreline Firewall es otro servidor de seguridad de código abierto muy

popular especializado para GNU / Linux. Está construido sobre el sistema Netfilter

integrado en el kernel de Linux que también es compatible con IPv6.

Característica de Shorewall Utiliza las instalaciones de seguimiento de conexiones de Netfilter para el

filtrado de paquetes de estado.

Soporta una amplia gama de aplicaciones de routers / cortafuegos / puerta de

enlace.

Administración del cortafuegos centralizado.

Una interfaz gráfica de usuario con el panel de control de Webmin.

Apoyo ISP múltiple.

Soporta enmascaramiento y reenvío de puertos.

Soporta VPN

4. UFW - Firewall sin complicacionesUFW es la herramienta de servidor de seguridad predeterminada para los

servidores de Ubuntu, que está básicamente diseñado para menor la complejidad

del firewall iptables y hace que sea más fácil de usar. Una interfaz gráfica de

usuario de la UFW, Gufw también está disponible para los usuarios de Ubuntu y

Debian.

Características de la UFW Soporta IPV6

Extended Opciones de registro con On instalación / Off

Supervisión del estado

Marco Extensible

Puede ser integrado con las aplicaciones

Añadir / Eliminar / Modificar reglas de acuerdo a sus necesidades.

5. VuurmuurVuurmuur es otro potente gestor de firewall de Linux incorporado o es propietario

de reglas de iptables para su servidor o red. Al mismo tiempo es muy fácil de usar

para administrar, no hay iptables previos conocimientos de trabajo necesarios para

utilizar Vuurmuur.

Características de Vuurmuur Soporte IPv6

La asignación de tráfico

Más funciones de vigilancia avanzadas

Conexión de monitoreo en tiempo real y el uso de ancho de banda

Se puede configurar fácilmente con NAT.

Tienen características anti-spoofing.

6. pfSensepfSense es otro de código abierto y un firewall muy fiable para los servidores de

FreeBSD. Su basado en el concepto de filtrado de estado de paquetes. Ofrece

amplias gamas de característica que normalmente está disponible en sólo firewalls

comerciales caros.

Características de pfSense Altamente configurable y actualizado de su Web - interfaz basada.

Se puede desplegar como un servidor de seguridad perimetral, router, DHCP

y DNS.

Configurado como punto de acceso inalámbrico y un punto final de VPN.

La asignación de tráfico y la información en tiempo real sobre el servidor.

Balanceo de carga entrante y saliente.

7. IPFire

IPFire es otro de los firewalls basados código abierto Linux para Small Office,

Home Office (SOHO) entornos. Su diseñado con modularidad y altamente

flexibilidad. Comunidad IPFire también se hizo cargo de la Seguridad y la

desarrolló como un StatefulPacketInspection (SPI).Características de IPFire

Puede ser desplegado como un firewall, un servidor proxy o una puerta de

enlace VPN.

El filtrado de contenidos

Incorporado sistema de detección de intrusiones

Soporta través Wiki, foros y chats

Hipervisores de apoyo como KVM, VMware y Xen para entornos de

virtualización

8. SmoothWall y SmoothWall expresoSmoothWall es un servidor de seguridad de código abierto Linux con una interfaz

basada en Web altamente configurable. Su interfaz basada en la Web es conocida

como WAM (gerente Web Access). Una versión libre distribución de SmoothWall

se conoce como SmoothWall Express.

Características de SmoothWall Soporta LAN, DMZ, y redes inalámbricas, más externa.

Filtrado de contenido real Tiempo

El filtrado HTTPS

Proxies de Apoyo

Entrar visualización y la actividad del firewall del monitor

Tráfico Estadísticas gestión en por IP, la interfaz y base visita

Facilidad de copia de seguridad y restauración similares.

9. EndianEndian Firewall es otro firewall StatefulInspection concepto de paquetes basado

que puede ser desplegado como routers, delegación y puerta de enlace VPN con

OpenVPN. Su originalmente desarrollado a partir de cortafuegos IPCop que

también es un tenedor de Smoothwall.

Características de Endian Firewall bidireccional

Prevención de intrusiones Snort

Puede asegurar servidor web con HTTP y FTP proxy, antivirus y URL lista

negra.

Puede proteger los servidores de correo con SMTP y POP3 proxies, spam

Auto-aprendizaje, lista gris.

VPN con IPSec

Registro de tráfico de red en tiempo real

10. ConfigServer SeguridadPor último, pero no el último de seguridad y cortafuegos ConfigServer. Es una

plataforma cruzada y un cortafuegos muy versátil, también se basa en el concepto

de inspección de estado de paquetes (SPI). Es compatible con casi todos los

entornos de virtualización como Virtuozzo, OpenVZ, VMware, Xen, KVM y

VirtualBox.

Características de CSF Su proceso demonio LFD (Entrar demonio fracaso) comprueba inicio de

sesión fracasos de servidores sensibles como ssh, SMTP, Exim, IMAP,

Pure&ProFTP, vsftpd, Suhosin y fracasos mod_security.

Puede configurar alertas de correo electrónico para notificar si algo sale

inusual o detectar cualquier tipo de intrusión en su servidor.

Puede ser fácilmente integrado paneles de control de alojamiento web

populares como cPanel, DirectAdmin y Webmin.

Notifica usuario recurso excesivo y proceso sospechoso a través de alertas de

correo electrónico.

Avanzado sistema de detección de intrusiones.

Puede proteger su máquina Linux con los ataques como Syn inundaciones y

ping de la muerte.

Comprueba la existencia de exploits

Fácil de inicio / reinicio / parada y mucho más

Aparte de estos servidores de seguridad hay muchos otros servidores de

seguridad como Sphirewall, Checkpoint, ClearOS, Monowall disponibles en la

web. 

¿Pero porque elegir Pfsence BCD?

La interfaz web es amigable para el usuario permitiendo mejor el uso este y tiene

muchas funcionalidades tales como fw/router entre otras que explicaremos mas

adelante.

Fácil configuración

Potente y robusto firewall

Bloqueo de páginas web

Balanceo de ancho de banda

Mínimos requerimientos

Escalabilidad

Gratuito

Innovador

Características sobresalientes que ningún otro firewall provee.

PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS

RESULTADOS, PLANOS, GRAFICAS, PROTOTIPOS Y PROGRAMAS

CONCLUSIONES Y RECOMENDACIONES

REFERENCIAS BIBLIOGRAFICA