SEGURIDAD PERIMETRAL PYMES.repository.udistrital.edu.co/bitstream/11349/4847/1...SEGURIDAD...

SEGURIDAD PERIMETRAL PYMES.

DUBÁN MAURICIO MELO

ROGER FABIÁN MORENO RUIZ

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELECOMUNICACIONES

BOGOTÁ

2015


DUBÁN MAURICIO MELO

ROGER FABIÁN MORENO RUIZ

Monografía presentada como requisito parcial para optar al título de:

Ingeniería en Telecomunicaciones

Tutor

Ing. Edwar Jacinto Gómez

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERÍA EN TELECOMUNICACIONES

BOGOTÁ

2015


Nota de aceptación:

____________________________________________

____________________________________________

____________________________________________

____________________________________________

____________________________________ Ing. Edwar Jacinto Gómez

Director del Proyecto

____________________________________ Ing. Luis Alejandro Rojas

Jurado 1

Bogotá DC., 14 de Septiembre de 2015

A nuestros hijos, Esposa y a nuestras madres, por ser la bendición más grande que

Dios nos ha dado en este mundo, porque con su compañía han permitido llenarnos

de una fuerte motivación para continuar avanzando en nuestra vida profesional,

porque mi hija con su inocencia, con su amor y con sus palabras, ha logrado

transformar el mundo que resultaba monótono.

El mayor logro que con este trabajo se ha logrado alcanzar, ascender un escalón

en la montaña del profesionalismo, viene acompañado de la fuerte motivación que

ustedes representaron durante todo este ciclo para llegar hasta este punto, donde

el camino se llena de piedras y se hace lento avanzarlo, pero que con seres como

ustedes, gracias a Dios, se ha logrado llegar hasta esta meta. Para ustedes, con

amor infinito.

AGRADECIMIENTOS

En primer lugar agradecemos a Dios, quien fue la fuerza motivadora desde el

comienzo de nuestras carreras para trabajar día a día con vocación y con esmero y

llevar a cabo la realización de este proyecto, además nos brindó la posibilidad de

tener sabiduría para idearlo y ejecutarlo con la mayor precisión, también a nuestras

madres que siempre serán la guía de nuestros caminos a seguir; a nuestras

esposas e hijos, una razón más para luchar y continuar por ese camino para el

beneficio de ellos, a todos los docentes que cruzaron por nuestro camino para

enseñarnos, exigirnos y alentarnos a ser mejores profesionalmente, gracias a todos

porque por cada granito de arena de cada uno de ustedes, hicieron posible que este

proyecto se hiciera realidad.

RESUMEN

Las vulnerabilidades de seguridad a las que están expuestas las empresas pymes

con una conexión directa a internet le permiten a personas inescrupulosas y con

fines específicos robar información o dañarla, o no se centraliza la información vital

de la empresa la cual es almacenada en cada una de las estaciones de trabajo;

aunque se ve un acelerado crecimiento de las empresas pymes, la organización y

planeación de estas se hace desordenada, descuidando sectores importantes en

materia de seguridad de sus aplicaciones y sistemas de información,

adicionalmente las pymes no cuentan con una infraestructura para soportar una

solución de seguridad por considerarla costosa. Tomando en consideración estas

ventajas, al realizar una investigación más detallada, se hace necesario que las

empresas tomen conciencia de estos riesgos y mantengan una actitud preventiva,

así como establecer un control de sus sistemas mediante evaluaciones periódicas,

dando indicadores que permitan conocer el grado de exposición a sufrir ataques

informáticos, y de esta manera, instaurar las medidas técnicas necesarias para

proteger sus sistemas adecuadamente.

La ejecución de este proyecto está orientado a la empresa pyme Soporte Viajes

S.A.S dándole a conocer en primera instancia los potenciales riesgos a los que está

expuesta y ofreciéndole las opciones de seguridad informática sin pagos de

licencias, utilizados actualmente como base en la fabricación de sistemas de

seguridad perimetral.

ABSTRACT

Security vulnerabilities the SMEs with a direct connection to the internet allow to

which they are exposed to unscrupulous people and specific purposes to steal

information or damage it, or not centralizes vital information of the company which

is stored in each of the workstations; Although it is a rapid growth of the SMEs, the

Organization and planning of these becomes disordered, neglecting important

sectors in the field of security of information systems and their applications, in

addition SMEs do not have an infrastructure to support a security solution as costly.

Taking into consideration these advantages, to carry out a more detailed

investigation, it is necessary that the companies become aware of these risks and

maintain a preventive attitude, as well as establish control of their systems through

periodic assessments, providing indicators that allow us to know the degree of

exposure to computer attacks, and in this way, establish technical measures

necessary to protect their systems properly.

The implementation of this project is enterprise-oriented SME support travel S.A.S

informing you in the first instance the potential risks to which it is exposed and

offering computer security without licensing fees, used currently as options based

on the manufacture of perimeter security systems.

8

CONTENIDO

pág.

INTRODUCCIÓN 14

1. DESCRIPCIÓN DEL PROYECTO 16

1.1 PLANTEAMIENTO DEL PROBLEMA 16

2. OBJETIVOS 17

2.1 OBJETIVO GENERAL 17

2.2 OBJETIVOS ESPECÍFICOS 17

3. MARCO DE REFERENCIA 18

3.1 MARCO TEÓRICO 18

3.1.1 Introducción seguridad informática 18

3.1.2 Seguridad 19

3.1.3 Seguridad perimetral 20

3.1.4 Hardware 20

3.1.5 Software 20

3.1.6 Datos 21

3.1.7 Tipos de ataques 21

3.1.8 Virus 22

9

3.1.9 Gusanos 22

3.1.10 UTM 22

3.1.11 Firewall o cortafuego 23

3.1.12 Máquina o host bastión 24

3.1.13 Filtrado de paquetes 24

3.1.14 Proxy 24

3.2 MARCO DE ANTECEDENTES 25

3.2.1 Implantación de un sistema de seguridad perimetral 25

3.2.2 La universidad de Oviedo enseña con éxito su proyecto en

seguridad perimetral 26

3.2.3 Viladecans se blinda con seguridad perimetral 27

3.3 MARCO LEGAL 28

3.3.1 Ley estatutario 1581 de 2012 Colombia 28

3.3.2 Ley 57 de 5 de junio de 1985 28

3.3.3 Ley 44, de 5 de Febrero de 1993 28

3.3.4 Ley 232 de 26 de diciembre de 1995 28

3.3.5 Proyecto de Ley 227 de 21 de abril de 1998 28

3.3.6 Decreto 1487/ 1999, de 12 de Agosto 28

3.3.7 Ley 527 de 18 de agosto de 1999 28

3.3.8 Resolución 270/2000, de 4 de marzo de 2000 29

3.3.9 Acción pública de inconstitucionalidad contra la Ley 527 29

10

3.3.10 Decreto 1747 de 11 de septiembre de 2000 29

3.3.11 Resolución 7652/2000, de 22 de septiembre de la Dirección

General de Impuestos y Aduanas Nacionales 29

3.3.12 Resolución 307/2000, de 2 de octubre de la Comisión de

Regulación de Telecomunicaciones 29

3.3.13 Ley 679 de 3 de agosto de 2001 29

3.3.14 Decreto 55 de 15 de febrero de 2002 de la Alcaldía Mayor de

Bogotá 29

3.3.15 Decreto 1524 de 24 de julio de 2002 29

3.3.16 Ley 765 de 31 de Julio de 2002 30

3.3.17 Proyecto de Ley 71, de 4 de septiembre de 2002, del Senado de

la República 30

3.3.18 Ley 892 de 7 de julio 2004 30

3.3.19 Decreto 4540 de 22 de diciembre de 2006 30

3.3.20 Acuerdo 279 del 29 de marzo de 2007 30

3.3.21 Ley 1266 de 31 de diciembre de 2008 30

3.3.22 Ley 1273 de 5 de enero de 2009 30

3.3.23 Decreto 1727 de 15 de mayo de 2009 31

3.3.24 Resolución 2554 de 19 de mayo de 2010 31

3.3.25 Resolución 2556 de 27 de mayo de 2010 31

3.3.26 Comisión de Regulación de Comunicaciones de 30 de junio de

11

2010 31

3.3.27 Decreto 3942 de 25 de octubre de 2010 31

3.3.28 Proyecto de Ley de abril de 2011 31

4. ESQUEMA TEMÁTICO 32

5. METODOLOGÍA 33

6. DESARROLLO DEL PROYECTO 35

6.1 CONFIGURACIÓN FASE 1 38

6.2 CONFIGURACIÓN FASE 2 39

6.2.1 Solución Proxy 39

6.3 IDENTIFICACION DE VULNERABILIDADES DE SEGURIDAD 41

6.4 ADMINISTRACIÓN DE SERVIDOR ZENTYAL DESDE WINDOWS

7 44

6.5 SOLUCIÓN IMPLEMENTADA 47

6.5.1 Filtro de contenido 48

6.6 ACCESO TOTAL 51

6.7 RESTRINGIDOS 51

7. CONCLUSIONES 54

BIBLIOGRAFÍA 57

12

LISTA DE TABLAS

pág.

Tabla 1. Pruebas en distribuciones propuestas. 35

Tabla 2. Reporte diario de navegación usando Sarq. 49

Tabla 3. Reporte semanal de navegación usando Sarq. 49

Tabla 4. Top sitios visitados. 50

Tabla 5. Top 20 tráfico de IPs. 52

13

LISTA DE FIGURAS

pág.

Figura 1. Arquitectura de seguridad integral. 32

Figura 2. Metodología Propuesta. 34

Figura 3. VPN con zentyal 4.0. 37

Figura 4. VPN con pfsense 2.2. 37

Figura 5. VPN: IPsec con pfsense 2.2 fase 1. 38

Figura 6. VPN, encriptación AES128 con pfsense 2.2 fase 1. 38

Figura 7. VPN con pfsense 2.2 fase 2. 39

Figura 8. Acceso a pfsense. 40

Figura 9. Configuración proxy. 40

Figura 10. Escaneo servidor de archivos y controlador de dominio. 41

Figura 11. Escaneo de puertos servidor web. 42

Figura 12. Servicios controlador de dominio, servidor de archivos. 43

Figura 13. Servicios servidor web. 44

Figura 14. Herramienta de administración remota Windows 45

Figura 15. Mantenimiento de Internet Explorer. 46

Figura 16. Diagrama de red implementada. 47

Figura 17. Perfiles de filtrado proxy. 51

Figura 18. Perfiles de filtrado. 52

Figura 19. Direcciones IPs sospechosas. 53

14

INTRODUCCIÓN

Las vulnerabilidades de seguridad a las que están expuestas las empresas pymes

con una conexión directa a internet le permiten a personas inescrupulosas y con

fines específicos robar información o dañarla, o no se centraliza la información vital

de la empresa la cual es almacenada en cada una de las estaciones de trabajo;

aunque se ve un acelerado crecimiento de las empresas pymes, la organización y

planeación de estas se hace desordenada, descuidando sectores importantes en

materia de seguridad de sus aplicaciones y sistemas de información,

adicionalmente las pymes no cuentan con una infraestructura para soportar una

solución de seguridad por considerarla costosa.

Estos vacíos en los sistemas de información son una de las principales

vulnerabilidades que pueden ser aprovechadas por atacantes mediante exploits,

para acceder a los sistemas con fines maliciosos. Tomando en consideración estas

ventajas, se hace necesario que las empresas tomen conciencia de estos riesgos y

mantengan una actitud preventiva, así como establecer un control de sus sistemas

mediante evaluaciones periódicas, dando indicadores que permitan conocer el

grado de exposición a sufrir ataques informáticos, y de esta manera, instaurar las

medidas técnicas necesarias para proteger sus sistemas adecuadamente.

Desde el punto de vista de la entidad que maneja los datos, no solo existen

amenazas de origen externo como las agresiones técnicas, naturales o humanas;

también amenazas de origen interno como la negligencia del propio personal o las

condiciones técnicas y procesos operativos internos.

Muchos de los ataques pasan desapercibidos para las organizaciones durante

largos periodos de tiempo, hasta que son descubiertos, y sólo en algunos casos,

estos ataques se hacen públicos por el impacto que pueden tener en los usuarios o

clientes de la empresa, afectando el nombre de estas empresas y de sus clientes,

llevando a demandas o pérdidas por el robo o eliminación de información vital para

el negocio.

15

Gracias a los cambios tecnológicos que se presentan constantemente, las personas

y empresas ven en Internet una herramienta de gran ayuda para la consulta, por

ejemplo, de información sobre estados financieros, bancarios, datos personales,

entre otros como por ejemplo el cuidado de la salud, consulta de fármacos y de

diferentes tratamientos para el mejoramiento de la calidad de vida. A la vez son más

los médicos y aseguradoras que usan la red para proporcionar a otros médicos y a

pacientes información médica, resultados de laboratorio, cobertura de planes y

recetas, esto aprovechando las ventajas que concede el compartir información en

tiempo real y el utilizar los bancos de almacenamiento de datos de servidores en

red.

Debido a esta información tan importante y confidencial, con la ejecución de este

proyecto se garantiza al usuario y a las empresas un acceso a este y otro tipo de

información sin el riesgo de exponer la seguridad de sus equipos, con esto el usuario

que acceda a las redes no será vulnerable durante la realización de sus consultas

y la información que se comparta por este medio, tendrá garantizada su

confidencialidad y privacidad.

La ejecución de este proyecto está orientado a las empresas pymes dándoles a

conocer los potenciales riesgos a las que están expuestas cuando no cuentan con

una protección de sus sistemas de información o sus aplicaciones, al considerar

innecesaria y costosa la implementación de algún sistema de seguridad que les

proteja de sufrir pérdidas de información, y así poner en peligro su integridad,

disponibilidad y confidencialidad.

Al realizar la implementación de los sistemas de seguridad sin pagos de licencias,

se le garantiza a las pymes un total ahorro en el recurso de protección de su

información y sus sistemas y también en el recurso de intento de recuperación de

estos, vital para las empresas, ya que de ser vulnerada en muchos de los casos se

hace irrecuperable y pone en riesgo el sostenimiento y la continuidad del negocio.

16

1. DESCRIPCIÓN DEL PROYECTO

1.1 PLANTEAMIENTO DEL PROBLEMA

Las pérdidas de información y robo de la misma generan reprocesos de trabajo;

utilización del tiempo productivo del personal en ocio como redes sociales por falta

de seguridad perimetral o seguridad deficiente y filtros de contenido producen

gastos a las empresas, la información vital para el negocio se almacena en cada

una de las estaciones de trabajo el cual puede sufrir daños o robo.

En Colombia el 96% de las empresas son pymes, y Bogotá concentra el mayor

número con el 96,4% de las 23.000 existentes de sectores del comercio, banca,

industria, entre otros, las cuales en el afán por reducir gastos en sus balances

descuidan una parte vital para su funcionamiento y sostenimiento, así como la

calidad de los servicios que se prestan debido al riesgo al que exponen su

información al no contar con un sistema de seguridad que les prevenga y proteja de

sufrir ataques o incidentes a sus sistemas de información y aplicaciones, por

considerar que es demasiado costoso y de poca importancia. En su lugar, solo

contratan un canal de internet para la navegación con cualquier proveedor de

servicios de Internet (ISP), dejando expuesta su seguridad.

17

2. OBJETIVOS

2.1 OBJETIVO GENERAL

Verificar el sistema de seguridad actual e implantar un sistema de seguridad de

protección de datos perimetral para la empresa Soporte Viajes S.A.S, como

protección contra los ataques en la red, apoyados en sistemas de uso libre.

2.2 OBJETIVOS ESPECÍFICOS

Restringir acceso a internet no deseado para aumentar la productividad del

personal.

Centralizar el almacenamiento de datos.

Disminuir las vulnerabilidades y los riesgos a los cuales se encuentra expuesta

la empresa Soporte Viajes S.A.S.

18

3. MARCO DE REFERENCIA

3.1 MARCO TEÓRICO

3.1.1 Introducción seguridad informática. Hasta finales de 1988 muy poca gente

tomaba en serio el tema de la seguridad en redes de computadores de propósito

general. Mientras que por una parte Internet iba creciendo exponencialmente con

redes importantes que se adherían a ella, como bitnet o hepnet, por otra el auge de

la informática de consumo unido a factores menos técnicos iba produciendo un

aumento espectacular en el número de piratas informáticos. Sin embargo, el 22 de

noviembre de 1988 Robert T. Morris protagonizó el primer gran incidente de la

seguridad informática: uno de sus programas se convirtió en el famoso worm o

gusano de Internet. Miles de ordenadores conectados a la red se vieron inutilizados

durante días, y las pérdidas se estiman en millones de dólares. Desde ese momento

el tema de la seguridad en sistemas operativos y redes ha sido un factor a tener

muy en cuenta por cualquier responsable o administrador de sistemas informáticos.

Poco después de este incidente, y a la vista de los potenciales peligros que podía

entrañar un fallo o un ataque a los sistemas informáticos estadounidenses la

agencia darpa (Defense Advanced Research Projects Agency) creó el cert

(Computer Emergency Response Team), un grupo formado en su mayor parte por

voluntarios cualificados de la comunidad informática, cuyo objetivo principal es

facilitar una respuesta rápida a los problemas de seguridad que afecten a hosts de

Internet.

Han pasado más de diez años desde la creación del primer cert, y cada día se hace

patente la preocupación por los temas relativos a la seguridad en la red y sus

equipos, y también se hace patente la necesidad de esta seguridad. Si hace unos

años cualquiera que quisiera adentrarse en el mundo underground casi no tenía

más remedio que conectar a alguna BBS donde se tratara el tema, generalmente

con una cantidad de información muy limitada, hoy en día tiene a su disposición

gigabytes de información electrónica publicada en Internet1.

------------

(1) VILLALÓN, Antonio. Seguridad en Unix y redes. Valencia: Autoedición, 2002.

p. 19. Versión 2.1.

19

3.1.2 Seguridad. Se puede entender como seguridad una característica de

cualquier sistema (informático o no) que indica que ese sistema está libre de todo

peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta

característica, particularizando para el caso de sistemas operativos o redes de

computadores, es muy difícil de conseguir (según la mayoría de expertos,

imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad

(probabilidad de que un sistema se comporte tal y como se espera de él) más que

de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de

sistemas seguros.

A grandes rasgos se entiende que mantener un sistema seguro (o fiable) consiste

básicamente en garantizar tres aspectos: confidencialidad, integridad y

disponibilidad. Algunos estudios integran la seguridad dentro de una propiedad más

general de los sistemas, la confiabilidad, entendida como el nivel de calidad del

servicio ofrecido. Consideran la disponibilidad como un aspecto al mismo nivel que

la seguridad y no como parte de ella, por lo que dividen esta última en sólo las dos

facetas restantes, confidencialidad e integridad.

La confidencialidad explica que los objetos de un sistema han de ser accedidos

únicamente por elementos autorizados a ello, y que esos elementos autorizados no

van a convertir esa información en disponible para otras entidades; la integridad

significa que los objetos sólo pueden ser modificados por elementos autorizados, y

de una manera controlada, y la disponibilidad indica que los objetos del sistema

tienen que permanecer accesibles a elementos autorizados; es el contrario de la

negación de servicio.

Generalmente tienen que existir los tres aspectos descritos para que haya

seguridad: un sistema Unix puede conseguir confidencialidad para un determinado

fichero haciendo que ningún usuario (ni siquiera el root) pueda leerlo, pero este

mecanismo no proporciona disponibilidad alguna. Dependiendo del entorno en que

un sistema Unix trabaje, a sus responsables les interesará dar prioridad a un cierto

aspecto de la seguridad. Por ejemplo, en un sistema militar se antepondrá la

confidencialidad de los datos almacenados o transmitidos sobre su disponibilidad:

seguramente, es preferible que alguien borre información confidencial (que se

podría recuperar después desde una cinta de backup) a que ese mismo atacante

pueda leerla, o a que esa información esté disponible en un instante dado para los

usuarios autorizados.

20

En cambio, en un servidor NFS de un departamento se premiará la disponibilidad

frente a la confidencialidad: importa poco que un atacante lea una unidad, pero que

esa misma unidad no sea leída por usuarios autorizados va a suponer una pérdida

de tiempo y dinero. En un entorno bancario, la faceta que más ha de preocupar a

los responsables del sistema es la integridad de los datos, frente a su disponibilidad

o su confidencialidad: es menos grave que un usuario consiga leer el saldo de otro

que el hecho de que ese usuario pueda modificarlo2.

3.1.3 Seguridad perimetral. La seguridad perimetral basa su filosofía en la

protección de todo el sistema informático de una empresa desde “fuera”, es decir,

componer una coraza que proteja todos los elementos sensibles de ser atacados

dentro de un sistema informático.

Esto implica que cada paquete de tráfico transmitido debe de ser diseccionado,

analizado y aceptado o rechazado en función de su potencial riesgo de seguridad

para las redes propias.

Los tres elementos principales a proteger en cualquier sistema informático son el

software, el hardware y los datos3.

3.1.4 Hardware. Es el conjunto formado por todos los elementos físicos de un

sistema informático, como CPUs, terminales, cableado, medios de almacenamiento

secundario (cintas, CD-ROMs, diskettes, entre otros) o tarjetas de red.

3.1.5 Software. Es el conjunto de programas lógicos que hacen funcional al

hardware, tanto sistemas operativos como aplicaciones.

------------

(2) Ibid., p. 20.

(3) TABOADA, Eduardo, CONGRESO DE INTERNET, TELECOMUNICACIONES

Y SOCIEDAD DE LA INFORMACIÓN, MUNDO INTERNET 2005. (10: 13-15, abril,

2005: Madrid, España). Seguridad perimetral en redes. Madrid: Palacio de

Congresos de Madrid, 2005. p. 1.

21

3.1.6 Datos. Es el conjunto de información lógica que manejan el software y el

hardware, como por ejemplo paquetes que circulan por un cable de red o entradas

de una base de datos.

Los datos constituyen el principal elemento de los tres a proteger, ya que es el más

amenazado y seguramente el más difícil de recuperar4.

3.1.7 Tipos de ataques. En los sistemas de información existen dos tipos básicos

de ataques los internos y los externos.

- Los tipos de ataque externos se producen por virus, ataques de hackers,

explotación de vulnerabilidades del sistema.

Los problemas relacionados con ataques externos no son demasiado conocidos por

los administradores de sistemas, sobre todo en las Pyme, cuando se habla con el

responsable de una Pyme o con el responsable de informática de una Pyme sobre

los problemas relacionados con Hackers y otros problemas de seguridad, la

respuesta es casi siempre la misma al suponer que no tienen nada en el sistema

que pueda interesar a nadie. Este es el más común de los errores en la seguridad.

- Los internos se producen por empleados descontentos y consisten en robos o

borrados de información del sistema, sabotaje, etc.

Uno de los problemas menos tratado en las empresas es la seguridad interna,

normalmente los responsables de seguridad de las empresas se limitan a establecer

una serie de criterios para prevenir estos problemas basados en la creación de

carpetas o discos con acceso restringido y claves de usuario5.

------------

(4) VILLALÓN. Op. cit., p. 21.

(5) TABOADA. Op. cit., p. 2.

22

3.1.8 Virus. Un virus es una secuencia de código que se inserta en un fichero

ejecutable denominado host, de forma que al ejecutar el programa también se

ejecuta el virus; generalmente esta ejecución implica la copia del código viral – o

una modificación del mismo – en otros programas. El virus necesita

obligatoriamente un programa donde insertarse para poderse ejecutar, por lo que

no se puede considerar un programa o proceso independiente.

3.1.9 Gusanos. El término gusano, acuñado en 1975 en la obra de ciencia ficción

de John Brunner The Shockwave Rider hace referencia a programas capaces de

viajar por sí mismos a través de redes de computadores para realizar cualquier

actividad una vez alcanzada una máquina; aunque esta actividad no tiene por qué

entrañar peligro, los gusanos pueden instalar en el sistema alcanzado un virus,

atacar a este sistema como haría un intruso, o simplemente consumir excesivas

cantidades de ancho de banda en la red afectada. Aunque se trata de malware

muchísimo menos habitual que por ejemplo los virus o las puertas traseras, ya que

escribir un gusano peligroso es una tarea muy difícil, los gusanos son una de las

amenazas que potencialmente puede causar mayores daños6.

3.1.10 UTM. Gestión Unificada de Amenazas o (Unified Threat Management). Las

soluciones UTM, son dispositivos de red que se encargan de proteger las redes de

amenazas. Son considerados la evolución de un firewall tradicional, ya que incluye

productos de seguridad que permiten el desempeño de múltiples funcionalidades

de servicios de seguridad en un solo dispositivo.

Estos servicios de seguridad generalmente incluyen: Firewall, Detección y

Prevención de Intrusos, Antivirus y Antispyware de red, VPN, Proxy, Control de

Contenido, Balanceo de Cargas, QoS y Reportes.

Los dispositivos UTM permiten que las amenazas se gestionen desde consolas

centralizadas, que permiten que todas las soluciones de seguridad puedan ser

controladas y configuradas.

------------


23

Las soluciones UTM integran funcionalidades de administración, monitoreo, y

capacidades de hacer más eficiente la implementación y mantenimiento del equipo.

Las principales características de una solución UTM son:

- Reducción de costos: Solución de seguridad única.

- Simplicidad: Evita la instalación de múltiples plataformas de control.

- Fácil administración: GUI basada en interfaces web para fácil manejo.

- Desempeño: Protección sin degradar el desempeño de la red.

Las soluciones UTM incluyen las siguientes opciones:

- Firewall

- MultiWAN

- Proxy web

- Control de Contenido7

3.1.11 Firewall o cortafuego. Un firewall o cortafuego es un sistema o grupo de

sistemas que hace cumplir una política de control de acceso entre dos redes. Se

puede definir un cortafuegos como cualquier sistema (desde un simple router hasta

varias redes en serie) utilizado para separar – en cuanto a seguridad se refiere –

una máquina o subred del resto, protegiéndola así de servicios y protocolos que

desde el exterior puedan suponer una amenaza a la seguridad. El espacio

protegido, denominado perímetro de seguridad, suele ser propiedad de la misma

organización, y la protección se realiza contra una red externa, no confiable, llamada

zona de riesgo.

------------

(7) BERRÍO, Hassan, Seguridad Perimetral (UTM) [blog en línea]. Publicado por Unknown.

[Medellín, Colombia]: Grupo Tic Digital S.A.S., sábado, 6 de agosto de 2011 [citado el 31

de Mayo, 2015]. Disponible desde Internet: <URL:http://seguridadperimetral-

utm.blogspot.com/2011/08/seguridad-perimetral-utm.html>.

24

3.1.12 Máquina o host bastión. También se denominan gates. Se conoce a un

sistema especialmente asegurado, pero en principio vulnerable a todo tipo de

ataques por estar abierto a Internet, que tiene como función ser el punto de contacto

de los usuarios de la red interna de una organización con otro tipo de redes. El host

bastión filtra tráfico de entrada y salida, y también esconde la configuración de la

red hacia afuera.

3.1.13 Filtrado de paquetes. Por filtrado de paquetes se entiende la acción de

denegar o permitir el flujo de tramas entre dos redes (por ejemplo la interna,

protegida con el firewall, y el resto de Internet) de acuerdo a unas normas

predefinidas; aunque el filtro más elemental puede ser un simple router, trabajando

en el nivel de red del protocolo OSI, esta actividad puede realizarse además en un

puente o en una máquina individual. El filtrado también se conoce como screening,

y a los dispositivos que lo implementan se les denomina chokes; el choke puede ser

la máquina bastión o un elemento diferente.

3.1.14 Proxy. Un proxy es un programa (trabajando en el nivel de aplicación de

OSI) que permite o niega el acceso a una aplicación determinada entre dos redes.

Los clientes proxy se comunican sólo con los servidores proxy, que autorizan las

peticiones y las envían a los servidores reales, o las deniegan y las devuelven a

quien las solicitó. Desde el punto de vista lógico, en el cortafuego, suelen existir

servidores proxy para las aplicaciones que han de atravesar el sistema, y que se

sitúan habitualmente en el host bastión.

También se implementa en el choke un mecanismo de filtrado de paquetes, y en

alguno de los dos elementos se suele situar otro mecanismo para poder monitorizar

y detectar la actividad sospechosa8.

------------


25

3.2 MARCO DE ANTECEDENTES

3.2.1 Implantación de un sistema de seguridad perimetral. Este proyecto está

desarrollado sobre la seguridad de redes y más concretamente en la seguridad

perimetral.

El contenido se ha desglosado en dos partes fundamentales, la primera incide en la

base teórica relativa a la seguridad perimetral y los elementos más importantes que

intervienen en ella, y la segunda parte, que es la implantación de un sistema de

seguridad perimetral habitual en un entorno empresarial.

La motivación de este proyecto resulta de la problemática cada vez mayor de

ataques e incidencias de seguridad en redes, ya sean a nivel local, a nivel

empresarial, u otros tipos de escenarios. Los elementos que se encuentran en

dichas redes son susceptibles de diversos tipos de ataques, ya sea para la

apropiación de datos, para la denegación del servicio que prestan, para la

realización de estafas, etc.

Este proyecto ofrece un sistema de seguridad perimetral típico, con el que no se

garantiza una seguridad total, pero sí garantiza un importante nivel de seguridad a

la empresa. Con un sistema como el que se implanta, una correcta gestión de los

elementos e incidencias, y una buena política de seguridad, la empresa estará libre

de la mayor parte de las amenazas del exterior9.

------------

(9) FABUEL, Carlos. Implantación de un sistema de seguridad perimetral. Proyecto

fin de carrera / Trabajo de grado. Madrid: Escuela Universitaria de Ingeniería

Técnica de Telecomunicación, Universidad Politécnica de Madrid – UPM [antigua

denominación]. Ingeniería y Arquitecturas Telemáticas [hasta 2014], 2013. p. 4-9.

26

3.2.2 La universidad de Oviedo enseña con éxito su proyecto en seguridad

perimetral. Por la gran cantidad de usuarios concurrentes, unas 32.700 conexiones

simultáneas de media, la Universidad de Oviedo partía de la siguiente problemática

asociada a dicha infraestructura: falta de visibilidad, control y seguridad del tráfico

que corría por la misma. Dicha situación impedía tener una visión específica sobre

los contenidos y actividad de los usuarios, debido a la incapacidad de los sistemas

implantados en ese momento, dos Firewall de otro fabricante, para generar políticas

de seguridad basadas en aplicaciones o usuarios. Ante tales circunstancias, el

objetivo del proyecto consistía en crear una política de seguridad basada en

aplicación y no en direcciones y puertos, para poder atajar y eliminar la

problemática.

En este sentido, y después de analizar todas sus necesidades, la Universidad de

Oviedo optó por dos firewall modelo PA-5050, y no solo porque Palo Alto ofreciera

un producto capaz de trabajar en la capa 7 sin penalizar el rendimiento del sistema,

sino también, por su facilidad de uso, integración con otros sistemas, y flexibilidad

a la hora de implementar políticas de seguridad. Para esta labor contó con la

colaboración de Acuntia, partner integrador del proyecto.

El objetivo inicial del proyecto fue la modernización de la seguridad perimetral de la

red universitaria, mejorando la capacidad de análisis de tráfico y adecuando el

equipamiento al nuevo caudal de conexión hacia Red IRIS-NOVA, red avanzada de

investigación de I+D.

Según el estudio realizado para la implantación del proyecto, se requería de una

solución que permitiera consolidar muchos de los servicios tanto de “firewalling”

como “helpers” de la red perimetral en una única máquina, y que, además,

asegurase la visibilidad de los equipos en la red.

A pocos días de la solución implantada, la universidad pasó de contar con cuadros

estadísticos de número de bytes a una lista de amenazas, aplicaciones y usos en

general de la infraestructura de comunicaciones, lo que les permite definir y aplicar

medidas tanto reactivas como proactivas en este campo10.

------------

(10) CONTRERAS, Rufino. La Universidad de Oviedo enseña con éxito su proyecto

en seguridad perimetral. En: computing. Enero, 2013. no. 700. p. 18.

27

3.2.3 Viladecans se blinda con seguridad perimetral. El departamento de TI del

Ayuntamiento de Viladecans da servicio a más de 400 usuarios internos y gestiona

también una serie de servicios ciudadanos como la oficina electrónica o una

plataforma de Open Data. Su compromiso con la seguridad y la necesidad de

renovación tecnológica y de ahorro de costes les ha hecho plantearse un proyecto

de mejora de su seguridad perimetral. Este proyecto ha sido adjudicado a Abast

Systems, que ha implantado una solución basada en firewalls de nueva generación

Fortinet y balanceadores Radware.

El sistema de seguridad perimetral del que disponía el Ayuntamiento de Viladecans

estaba compuesto por dos firewalls, dos proxys y dos balanceadores, pero se había

llegado a una situación en la que se detectaron varias limitaciones y problemáticas:

Bajo rendimiento, costes cada vez mayores de mantenimiento y se quería prescindir

de los dos dispositivos Proxy.

Para implantar y mejorar la seguridad perimetral del Ayuntamiento de Viladecans

colaboraron técnicos de Abast Systems y del equipo de informática de la entidad

pública. Los objetivos fueron implementar la seguridad máxima y la disponibilidad

de las infraestructuras del ayuntamiento frente a Internet, reducir los costes de

mantenimiento, simplificar la administración y la gestión de los equipos e

incrementar las funcionalidades y el rendimiento11.

------------

(11) REDACCIÓN, Computing. Viladecans se blinda con seguridad perimetral [en

línea]. BPS Business Publications Spain S.L. [España]. 26 de agosto de 2014

[citado el 31 de mayo de 2015]. Disponible desde Internet:

<URL:http://www.computing.es/e-administracion/casos-

exito/1076038000901/viladecans-blinda-seguridad-perimetral.1.html>.

28

3.3 MARCO LEGAL

En Colombia existen leyes para la protección de la información, las empresas

pueden estar implicadas en pérdidas de información hacia otras empresas por no

proteger su red y desde allí atacar otras empresas infringiendo algunas de las leyes

que se indican a continuación:

3.3.1 Ley estatutario 1581 de 2012 Colombia. Por la cual se dictan disposiciones

generales para la protección de datos personales.

3.3.2 Ley 57 de 5 de junio de 1985. Por la cual se ordena la publicidad de los actos

y documentos oficiales.

3.3.3 Ley 44 de 5 de Febrero de 1993. Sobre Obras de Empleados Públicos y

Derechos de Autor, por la que se Modifica y Adiciona la Ley nº 23 de 1982 y se

Modifica la Ley nº 29 de 1944.

3.3.4 Ley 232 de 26 de diciembre de 1995. Por medio de la cual se dictan normas

para el funcionamiento de los establecimientos comerciales. (Diario Oficial 42.162,

de 26 de diciembre de 1995).

3.3.5 Proyecto de Ley 227 de 21 de abril de 1998. Por medio del cual se define y

Reglamenta el Acceso y el uso del Comercio Electrónico.

3.3.6 Decreto 1487/ 1999, de 12 de Agosto. Por Medio del Cual se Autoriza el

Sistema Declaración y Pago Electrónico de la DIAN y se Establecen algunos

Parámetros Operativos para la Presentación de las Declaraciones Tributarias y el

Pago de los Impuestos por Vía Electrónica.

3.3.7 Ley 527 de 18 de agosto de 1999. Sobre Mensajes de Datos, Comercio

electrónico y Firma Digital.

29

3.3.8 Resolución 270/2000, de 4 de marzo de 2000. Por la cual se Dictan Normas

sobre Protección a los Usuarios para la Prestación de Servicios Públicos No

Domiciliarios de Telecomunicaciones.

3.3.9 Acción pública de inconstitucionalidad contra la Ley 527. Sobre Mensajes de

Datos, Comercio Electrónico y Firma Digital de 8 de junio de 2000.

3.3.10 Decreto 1747 de 11 de septiembre de 2000. Por el cual se reglamenta

parcialmente la Ley 527 certificados y firmas digitales.

3.3.11 Resolución 7652/2000, de 22 de septiembre de la Dirección General de

Impuestos y Aduanas Nacionales. Por la cual se reglamenta la administración,

publicación y uso de la información electrónica vía INTRANET e INTERNET en la

Dirección de Impuestos y Aduanas Nacionales.

3.3.12 Resolución 307/2000, de 2 de octubre de la Comisión de Regulación de

Telecomunicaciones. Por la cual se promueve el acceso a Internet a través de

planes tarifarios para el servicio de Tpbcl y se dictan otras disposiciones.

3.3.13 Ley 679 de 3 de agosto de 2001. Sobre Abuso y pornografía de menores en

Internet. (Diario Oficial número 44509 del 4 de agosto de 2001).

3.3.14 Decreto 55 de 15 de febrero de 2002 de la Alcaldía Mayor de Bogotá. Por

medio del cual se establece “El Sistema de Declaración y Pago de Impuestos

Distritales a través de medios electrónicos”.

3.3.15 Decreto 1524 de 24 de julio de 2002. "Por el cual se reglamenta el artículo

5 de la Ley 679 de 2001".

30

3.3.16 Ley 765 de 31 de Julio de 2002. Por medio de la cual se aprueba el

"Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la

venta de niños, la prostitución infantil y la utilización de los niños en la pornografía",

adoptado en Nueva York, el 25 de mayo de 2000. (Diario Oficial número 44.889, de

5 de agosto de 2002).

3.3.17 Proyecto de Ley 71, de 4 de septiembre de 2002, del Senado de la

República. Por la cual se reglamentan los bancos de datos financieros o de

solvencia patrimonial y crediticia y se dictan otras disposiciones.

3.3.18 Ley 892 de 7 de julio 2004. Voto electrónico.

3.3.19 Decreto 4540 de 22 de diciembre de 2006. Por medio del cual se adoptan

controles en aduana, para proteger la Propiedad Intelectual.

3.3.20 Acuerdo 279 del 29 de marzo de 2007, del Consejo de Bogotá. Por el cual

se dictan los lineamientos para la Política de Promoción y Uso del Software libre en

el Sector Central, el Sector Descentralizado y el Sector de las Localidades del

Distrito Capital.

3.3.21 Ley 1266 de 31 de diciembre de 2008. Por la cual se dictan las disposiciones

generales del habeas data y se regula el manejo de la información contenida en

bases de datos personales, en especial la financiera, crediticia, comercial, de

servicios y la proveniente de terceros países y se dictan otras disposiciones. (Diario

Oficial nº 47.219).

3.3.22 Ley 1273 de 5 de enero de 2009. Por medio de la cual se modifica el Código

Penal, se crea un nuevo bien jurídico tutelado -denominado "de la protección de la

información y de los datos"- y se preservan integralmente los sistemas que utilicen

las tecnologías de la información y las comunicaciones, entre otras disposiciones

(Diario Oficial nº 47.223).

31

3.3.23 Decreto 1727 de 15 de mayo de 2009, del Ministerio de Hacienda y Crédito

Público. Por el cual se determina la forma en la cual los operadores de los bancos

de datos de información financiera, crediticia, comercial, de servicios y la

proveniente de terceros países, deben presentar la información de los titulares de

la información.

3.3.24 Resolución 2554 de 19 de mayo de 2010, de la Comisión de Regulación de

las Comunicaciones. Modificación al Régimen de Protección de los Derechos de los

Usuarios de Servicios de Telecomunicaciones.

3.3.25 Resolución 2556 de 27 de mayo de 2010, de la Comisión de Regulación de

las Comunicaciones. Reguladora de la Administración de Bases de Datos del

Sistema de Portabilidad Numérica.

3.3.26 Comisión de Regulación de Comunicaciones de 30 de junio de 2010. Acceso

a Redes por parte de proveedores de contenidos y aplicaciones. (Documento de

consulta pública).

3.3.27 Decreto 3942 de 25 de octubre de 2010. Por el cual se reglamentan las

Leyes 23 de 1982,44 de 1993 y el artículo 2, literal c) de la Ley 232 de 1995, en

relación con las sociedades de gestión colectiva de derecho de autor o de derechos

conexos y la entidad recaudadora y se dictan otras disposiciones.

3.3.28 Proyecto de Ley de abril de 2011. Por el cual se regula la responsabilidad

por las infracciones al derecho de autor y los derechos conexos en Internet.

32

4. ESQUEMA TEMÁTICO

De acuerdo a la figura 1, implantar una solución perimetral a bajo costo con las

funcionalidades de un sistema de seguridad que se puede comparar con soluciones

costosas como Cisco Small Business o Fortinet, constituyen el diagrama de bloques

de la solución.

Figura 1. Arquitectura de seguridad integral.

Las diferentes distribuciones OpenSource que se indican en la tabla 1, llegan al

punto de proteger la oficina pyme de los ataques de internet y la protección de la

información de los ataques internos a un costo muy inferior de los que requieren

licencia.

Las alternativas se encuentran expuestas en la tabla 1 de distribuciones con todas

las funcionalidades que presta cada una, incluyendo el controlador de dominio (DC)

el cual no tiene límite de usuarios conectados (call en Windows 2008 o 2012 server),

esta limitante en los sistemas OpenSource se encuentra en el hardware a

implementar. Teniendo en cuenta que esta solución está orientada a empresas

pymes el máximo número de usuarios es cercado a 25 usuarios, muchas de las

funcionalidades que se encuentran en la tabla no son ofrecidas por los sistemas con

pago.

33

5. METODOLOGÍA

Inicialmente se realizan estudios de las 3 posibles distribuciones a implementar de

acuerdo a las necesidades de la compañía y los alcances de cada una,

posteriormente se realiza un análisis con herramientas forenses para detectar las

vulnerabilidades de la red, con estos resultados se le da a conocer al personal del

área de sistemas las ventajas de un dispositivo de seguridad perimetral; protegiendo

tanto de las vulnerabilidades internas como externas, se da a conocer los conceptos

básicos del funcionamiento y tipología implementada en la solución de seguridad

informática e interconexión de redes en la pyme Viajes S.A.S.

Teniendo presente que para la ejecución de este proyecto inicialmente se realizó

una investigación la cual permitió obtener datos sobre la infraestructura de la red de

datos de la pyme, con el propósito de abordar la implementación apropiada para su

seguridad informática y según el presupuesto de esta compañía, se implementa una

solución de software libre y el servidor actual de Windows 2008 server, realizando

pruebas iniciales sobre las distribuciones más representativas del mercado con sus

respectivas ventajas y desventajas de los mismos, las cuales serán presentadas

más adelante.

34

Figura 2. Metodología Propuesta.

35

6. DESARROLLO DEL PROYECTO

Tabla 1. Pruebas en distribuciones propuestas.

Nombre DESCRIPCION VPN

IPSEC IDS

CONTROLADOR DE DOMINIO

PROXY INFORMES DESEMPEÑO

Endian Firewall

Distribución Utm con firewall, anti-spam and anti-virus for web, FTP and e-mail, OpenVPN, IPsec, hotspot functionality, y portal cautivo. Endian Firewall Community (EFW) es una versión x86. El anti-virus para EFW es Sophos or ClamAV. Ids snort.

AES 256

SI, no posee opciones avanzadas de configuración

No

limitaciones en filtro de contenido, por perfiles, las credenciales no pueden ser obtenidas de base externa

los Informes son muy básicos, es necesario instalar herramientas adicionales para interpretar la información

Al no instalarse entorno grafico se aprovechan los recursos, necesarios 8GB en RAM y procesador Intel core i5

pfSense

Distribución para firewall, router, DHCP server, Gateway, OpenVPN, IPsec, proxy and anti-virus (Snort).

AES 256

opciones avanzadas de configuración, fácil manejo

No

avanzado, las credenciales de los usuarios puedes ser obtenidas desde un controlador de dominio o servidor radius

Presenta gran variedad de informes y herramientas de análisis por tipos de servicio, los paquetes puedes ser instalados directamente desde la consola web

Al no instalarse entorno grafico se aprovechan los recursos, necesarios 8GB en RAM y procesador Intel core i5

Sphirewall

Directa hook into Linux kernel packet stream, LDAP and user-based autenticación, user quotas, QOS, advanced analíticas, IDS, utilidades web, basado en distribución debian.

3DES


YES



se instala entorno gráfico, necesarios 8GB en RAM y procesador Intel core i7

Zentyal (formerly

eBox Plataforma)

Zentyal es una distribución open-source router/firewall y small business server, hasta su versión 4.0 tenía soporte de firewall, vpn, IDS. En la última versión 4.1 solo soporte de correo, controlador de dominio, mensajería, firewall básico

3DES


YES, reemplazo 100% de

Windows 2008, puede ser

administrado desde estación

de trabajo Windows con las herramientas de

Microsoft



se instala entorno gráfico, necesarios 16GB en RAM y procesador Intel core i7

36

De acuerdo a las pruebas realizadas en las diferentes distribuciones, se

seleccionaron dos de estas que se presentaban como las más fuertes candidatas

con las necesidades expuestas por esta compañía, necesidades como seguridad

perimetral y centralización de datos. Aunque la distribución que presentaba más

bondades y características para ser elegida era zentyal 4.0 que tiene soporte para

módulos “Gateway”, el cual contiene firewall avanzado, VPN, proxy, filtro de

contenido y balanceo de tráfico, en su última versión estable 4.1 no se encuentra

soportado, se centran en la parte de soporte de usuario final como alternativa de

controlador de dominio de Windows 2008 y 2012 server.

Para el funcionamiento de la VPN con zentyal, fue necesario modificar el código

fuente para soportar la configuración hacia los routers remotos RV42, esta

distribución Linux está desarrollada para conectar VPN remotas con direcciones de

red públicas directamente en la interface WAN; en todas las sedes el enrutador está

configurado detrás de NAT (Network Address Translation), el cambio fue realizado

en el código del servidor y se debe configurar de la siguiente manera:

ddip_publicaddip_privada, las letras dd se utilizan para separar la IP pública y la IP

privada que tiene configurada el enrutador, como por ejemplo:

dd186.28.234.210dd10.1.3.100.

La VPN IPsec de zentyal solo tiene la opción de configuración de algoritmo de

encriptación 3DES y algoritmo de autenticación MD5 y no puede ser modificado con

facilidad.

37

Figura 3. VPN con zentyal 4.0.

La configuración de la VPN en pfsense es más compleja con más opciones,

teniendo soporte de algoritmo de encriptación hasta AES 256, algoritmo de

autenticación SHA1, DH key group .brainpol ecp512 con mayores niveles de

seguridad que los soportados por zentyal,

Figura 4. VPN con pfsense 2.2.

38

6.1 CONFIGURACIÓN FASE 1

IPsec Aes 128 se implementa en esta solución:

Figura 5. VPN: IPsec con pfsense 2.2 fase 1.

Figura 6. VPN: Encriptación AES128 con pfsense 2.2 fase 1.

39

6.2 CONFIGURACIÓN FASE 2

La fase 2 soporta multidominio de cifrado, lo cual permite configurar varias subredes

IP sobre la misma VPN, soporte de perfiles móviles.

Figura 7. VPN con pfsense 2.2 fase 2.

6.2.1 Solución Proxy. Para la solución proxy se realiza la modificación de zentyal a

pfsense, debido a las mejoras que presenta este último como mayor cantidad de

filtros y mejoras de seguridad en el IDS (Detector de intrusos). Para el acceso al

firewall se realiza a través de https://192.168.100.202:10443.

40

Figura 8. Acceso a pfsense.

El servidor proxy implementado es squid3 y se configura con el puerto 8080, el cual

debe ser configurado en cada uno de los navegadores de las estaciones de trabajo

de los usuarios. Las pruebas realizadas con zentyal tienen las mismas opciones de

configuración y el desempeño fue el mismo, pero las diferencias notorias en la

seguridad de las VPN permiten tomar la decisión de usar pfsense como proxy.

Figura 9. Configuración proxy.

41

Por estas notorias deferencias se toma la decisión de implementar pfsense como

servidor de seguridad perimetral.

El lugar donde se alojará los archivos de los usuarios en bases de datos, como las

claves de acceso a las estaciones de trabajo y que serán custodiados y bien

protegidos (proceso que se identifica como Centralización de la Información), se

realiza a través de Windows 2008 server. Debido a que la compañía ya contaba con

la licencia para utilizar este servidor, fue ubicado en la DMZ (conocido como Zona

Desmilitarizada), para que pueda ser protegido de los ataques internos; en caso que

no contara con la licencia, este servidor podía ser reemplazado por zentyal 4.1, que

cumplía con todas las funcionalidades básicas del servidor de Microsoft sin

necesidad de pagar licenciamiento, representando igualmente una ventaja

económica para la pyme.

6.3 IDENTIFICACIÓN DE VULNERABILIDADES DE SEGURIDAD

Uno de los objetivos a lograr en la ejecución de este proyecto es la diminución de

las vulnerabilidades de seguridad a las que se encuentran expuestos los servidores,

para lograrlo primero era necesario realizar la identificación de estas

vulnerabilidades y este proceso se logró con el uso de herramientas forenses, como

por ejemplo, el uso de la máquina virtual de Kali Linux. Esta herramienta permite

realizar auditorías de seguridad y pruebas de penetración o evaluaciones de los

sistemas de seguridad.

Con esta herramienta se puede capturar información, identificar vulnerabilidades,

para lograr el bloqueo de estas amenazas, garantizar la correcta implementación

del sistema de seguridad y proteger toda la información importante de la pyme.

En primera instancia se escanearon los puertos y se hizo una verificación de sistema

operativo del servidor de archivos y el servidor web.

42

Figura 10. Escaneo servidor de archivos y controlador de dominio.

43

Figura 11. Escaneo de puertos servidor web.

En el análisis también es indispensable la verificación de los servicios y versiones

que pueden ser vulneradas y que se encuentran en funcionamiento en cada uno

de los servidores mencionados anteriormente.

44

Figura 12. Servicios controlador de dominio, servidor de archivos.

45

Figura 13. Servicios servidor web.

A diferencia del servidor Windows que se encuentra sin protección de firewall, el

servidor Linux tiene políticas de acceso a servicios, los cuales pueden ser accedidos

desde la red.

6.4 ADMINISTRACIÓN DE SERVIDOR ZENTYAL DESDE WINDOWS 7

Para administrar el servidor zentyal desde una estación de trabajo Windows 7, esta

debe iniciar sesión como administrador del dominio y descargar el paquete de

administración de servidor remoto, una vez descargado e instalado (Siguiente,

Siguiente...) en el equipo a gestionar el dominio, se habilita las características de

gestión, para ello se ingresa a Equipo > Desinstalar o Cambiar un programa >

Activar o desactivar las características de Windows, y una vez allí se configura:

46

Figura 14. Herramienta de administración remota Windows 7.

Posteriormente se configura las funcionalidades seleccionadas en la figura anterior

y se configura el servidor tal como se configura un servidor Windows Server 2008.

47

Figura 15. Mantenimiento de Internet Explorer.

48

6.5 SOLUCIÓN IMPLEMENTADA

Figura 16. Diagrama de red implementada.

SEDES CONEXIONES VPN

SERVIDOR WEB LINUX

SERVIDOR WINDOWS 2008 SERVER

ESTACIONES DE TRABAJO

FIREWALL

La solución comprende la instalación de UTM (en inglés: Unified Threat

Management) o Gestión Unificada de Amenazas. El término fue utilizado por

primera vez por Charles Kolodgy, de International Data Corporation (IDC), en 2004.

Se utiliza para describir los cortafuegos de red que engloban múltiples

funcionalidades en una misma máquina. Algunas de las funcionalidades que puede

incluir son las siguientes: UDP, VPN, Antispam, Antiphishing, Antispyware, Filtro de

contenidos, Antivirus, Detección/Prevención de Intrusos (IDS/IPS).

Se trata de cortafuegos a nivel de capa de aplicación que pueden trabajar de dos

modos:

49

NAT de salida. Se permite el tráfico de salida hacia internet desde la red interna con

restricciones de puertos específicos, el historial de tráfico no es almacenado para

futuras valoraciones del mismo, se implementa en las fases iniciales de los

proyectos y las estaciones de trabajo, que por su naturaleza no requieren acceso

por proxy y puertos adicionales de acceso para servicios específicos como

actualizaciones y consola de antivirus.

- Modo proxy implícito. Hacen uso de proxies para procesar y redirigir todo el tráfico

interno, este debe ser configurado en cada una de las estaciones de trabajo (se

deshabilita el NAT en el firewall para impedir que los usuarios desactiven el proxy

en los navegares y puedan navegan sin restricciones), todo el historial del tráfico es

almacenado en el servidor para futuros análisis del mismo y tomar decisiones de

boqueo del tipo de tráfico. Se descarta modo proxy transparente por que no

redirigen ningún paquete que pase por la línea, simplemente lo procesan y son

capaces de analizar en tiempo real los paquetes. Este modo, como es de suponer,

requiere de unas altas prestaciones hardware, implementación de entidad

certificadora para poder utilizar el certificado SSL y posteriormente enviárselo a las

estaciones de trabajo y capturar el trafico https, esta opción no es recomendable

por seguridad e integridad de la red y el tráfico de transacciones bancarias.

Actualmente cuenta con dos salidas a internet el primero con conexión de 5Mb/s a

través de fibra óptica, la segunda con canal ADSL de 10Mb/s, se configura balanceo

de cargas en los canales con ruta predeterminada el canal ADSL, según solicitud

del cliente, se configura prioridad sobre los puertos de voz sobre IP y postgress

para la conexión de datos de cada una de las sedes, el UTM utilizado para esta

solución es pfsense 2.2 el cual es GNU y no requiere licencia.

En la primera fase se configura el proxy en las estaciones de trabajo, permitiendo

todo el flujo de datos (modo monitoreo), para capturarlo y así analizar todo el tipo

de información que viaja desde y hacia el interior de la red de datos de la pyme.

6.5.1 Filtro de contenido. El filtro de contenido se realiza a través de squidguard.

En la etapa inicial se permite todo el tráfico hacia internet y de esta forma capturar

la información de los sitios frecuentados por el personal de la oficina. Para estos

reportes se utiliza sarg, la ruta para acceder a este informe es status/sarg reports.

Se definen tres reportes: diario, semanal y mensual.

50

Tabla 2. Reporte diario de navegación usando Sarq.

Tabla 3. Reporte semanal de navegación usando Sarq.

Se entrega informe de los sitios más visitados por los usuarios y de esta forma pasar

a la fase dos donde se restringen sitios; el proxy está muy ligado al detector de

intrusos, el cual bloqueará las direcciones IP que representen algún riesgo para la

seguridad de la red.

51

Tabla 4. Top sitios visitados.

En la primera fase se detectó navegación a sitios de ocio y streaming que consumen

ancho de banda innecesarios y disminuyen la productividad del personal, en esta

fase todo el tráfico http y https es permitido, los demás puertos fueron bloqueados

restringiendo el paso a servicios como torrents y otros posibles ataques.

En la segunda fase se implementan los tres filtros definidos inicialmente.

52

Figura 17. Perfiles de filtrado proxy.

6.6 ACCESO TOTAL

Para permitir el acceso sin restricción para las áreas de gerencia y sistemas, las

direcciones IP de las estaciones se definen en el DHCP para que no cambien y no

puedan ser arrendadas o prestadas a otros dispositivos. Para todos los diferentes

perfiles de filtrado se usan las listas negras descargadas de la página de pfsense.

6.7 RESTRINGIDOS

Sitios restringidos como adultos, streaming y redes sociales. Se define el rango de

direcciones IP que estarán limitadas en este perfil.

53

Figura 18. Perfiles de filtrado.

En esta fase se disminuyó un 40% el consumo de internet mejorando la velocidad

en el tráfico, indispensable para el negocio.

Tabla 5. Top 20 tráfico de direcciones IPs.

54

Mediante el análisis de los reportes se detectaron y bloquearon 200 direcciones IP

sospechosas que intentaron ingresar a la red interna desde internet, esto se logró

con el detector de intrusos IDS SNORT.

Figura 19. Direcciones IPs sospechosas.

55

7. CONCLUSIONES

Se cumplieron los objetivos, el general y los específicos propuestos en el desarrollo

del proyecto, realizando la implementación de seguridad perimetral en la empresa

pyme.

El aseguramiento de los servidores para los ataques más comunes desde la red

interna y la red externa con bloqueos a 200 sitios sospechosos, permitió cumplir con

la disminución de las vulnerabilidades y riesgos a los que estaba expuesta la

seguridad informática de la pyme.

Para cumplir con la restricción a sitios de Internet no deseado, fue necesario realizar

el bloqueo de páginas no deseadas tales como páginas de adultos, logrando

bloquear 30 sitios de esta categoría y en la categoría de streaming se bloquearon

50 sitios, esto gracias a la configuración de la fase 1 con el uso del servidor proxy.

Posterior al bloqueo, el personal dejó de navegar a sitios web no deseados

corporativamente, cumpliendo con las normas sobre protección de la información,

además se reflejó un incremento en la productividad de los empleados.

Para reemplazar los servidores Microsoft Windows la mejor opción de las validadas

es zentyal. De acuerdo a las pruebas y las funcionalidades, pfsense solo puede

compartir directorios pero no puede llegar a tomar control de las estaciones de

trabajo Windows, la cual puede ser administrada desde herramientas de escritorio

de servidor remoto de Windows y no requiere licencia de servidor. Entre las

características se encuentran.

- Manejo de usuarios (creación, modificación, eliminación).

- Creación de Gpos (políticas de grupo), con las cuales se pueden definir políticas

corporativas como fondo de escritorio, restricción de dispositivos, permisos sobre

software específicos.

- Creación de unidades organizativas Idap para definición de áreas en la compañía

y aplicar perfiles de filtrado diferenciales en el proxy y políticas de GPO.

- Manejo de grupos para compartir carpetas con diferentes niveles de permisos.

56

- Manejo de credenciales centralizadas por medio de Ldap. Estas credenciales

pueden ser utilizadas para logueo de otras plataformas como servidor de correo y

aplicaciones web.

- Establecer un puno central de almacenamiento de datos de usuarios con manejo

de perfiles móviles sincronizando la información entre el servidor y las estaciones

de trabajo.

Para seguridad perimetral la opción con más funcionalidades para este caso fue

pfsense, que cumple los requerimientos de este proyecto, entre las que se

encuentran:

- Configuración de Rigth Id para VPNS (esta opción es utilizada para los routers

VPNS que se encuentran ubicados detrás de un NAT y en su interface WAN no

tienen una IP pública). Para zentyal fue necesario modificar el código fuente.

- Configuración de diferentes perfiles de cifrado en cada VPN, la fase 1 y fase 2 de

VPN son independientes y pueden configurarse más de uno en la fase 2.

- Configuración de diferentes tipos de cifrado siendo más compatible con los router

y firewall que existen en el mercado.

- Ids con opciones de configuración de niveles de restricciones y validaciones antes

de bloquear los sitios sospechosos hasta el límite de bloquear cada posible ataque.

- Validación del proxy con reglas definidas de acuerdo a los grupos de directorio

activo y unidades organizativas de Idap.

- Configuración de proxy transparente con soporte https, para esto se requiere

configurar la entidad certificadora local para entregar un certificado para las

estaciones de trabajo de cada usuario, en zentyal el proxy transparente no cuenta

con soporte para https.

- Balanceo de cargas de acuerdo a las direcciones IP de origen o puerto de destino.

La empresa no se dio cuenta de los riesgos a los que estaba expuesta sino hasta

después de la implementación, de acuerdo a las siguientes pruebas realizadas.

- Bloqueo de puertos a los cuales los usuarios no deben tener acceso.

- Acceso a los sitios principales para el negocio.

57

- Restricción a sitios de ocio donde se puede descargar software malicioso.

- Escaneo de virus en los archivos descargados por medio de antivirus GNU

instalado como aplicación adicional en el servidor de seguridad.

Se redujeron gastos en comunicaciones con la implementación de VPNs, ya que

este servicio utiliza los canales de internet y no canales dedicados que son 500%

más costosos que los canales de internet normales.

El monitoreo de las direcciones IP provenientes de internet, hizo que se tomara las

medidas de seguridad necesarias bloqueando estas direcciones.

58

BIBLIOGRAFÍA

BERRÍO, Hassan, Seguridad Perimetral (UTM) [blog en línea]. Publicado por

Unknown. [Medellín, Colombia]: Grupo Tic Digital S.A.S., sábado, 6 de agosto de

2011 [citado el 31 de Mayo, 2015]. Disponible desde Internet:

<URL:http://seguridadperimetral-utm.blogspot.com/2011/08/seguridad-perimetral-

utm.html>.

CABALLERO, Alonso. Hacking con Kali Linux. Perú. 2015. 87 p. Versión 2.5 [citado

el 26 de Agosto, 2015]. Disponible desde Internet:

<URL:http://www.reydes.com/archivos/Kali_Linux_v2_ReYDeS.pdf>.

CONGRESO DE INTERNET, TELECOMUNICACIONES Y SOCIEDAD DE LA

INFORMACIÓN, MUNDO INTERNET 2005. (10: 13-15, abril, 2005: Madrid,

España). Seguridad perimetral en redes. Madrid: Palacio de Congresos de Madrid,

2005. 6 p.

CONTRERAS, Rufino. La Universidad de Oviedo enseña con éxito su proyecto en

seguridad perimetral. En: computing. Enero, 2013. no. 700. 32 p.

Erb, Markus. Gestión de Riesgo. Nicaragua. 6 Amenazas y Vulnerabilidades. 2008

[citado el 31 de Mayo, 2015]. Disponible desde Internet:

<URLhttps://protejete.wordpress.com/gdr_principal/>.

FABUEL, Carlos. Implantación de un sistema de seguridad perimetral. Proyecto fin

de carrera / Trabajo de grado. Madrid: Escuela Universitaria de Ingeniería Técnica

de Telecomunicación, Universidad Politécnica de Madrid – UPM [antigua

denominación]. Ingeniería y Arquitecturas Telemáticas [hasta 2014], 2013. 228 p.

HERZOG, Pete. Open Source Security Testing Methodology Manual (OSSTMM).

Isecom.org, [citado el 26 de Agosto, 2015]. Disponible desde Internet:

<URL: http://www.isecom.org/research/>

MEUCCI, Matteo y MULLER, Andrew. Open web application security Project

(OWASP). Testing guide 4.0. Estados Unidos. 2014. Creative commons (Última

modificación el 3 de Agosto, 2015 a las 12:05), [citado el 26 de Agosto, 2015].

Disponible desde Internet:

<URL: https://www.owasp.org/index.php/Category:OWASP_Testing_Project>

59

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Technical guide to

information security testing and assessment. Estados Unidos. 2008, [citado el 26 de

Agosto, 2015]. Disponible desde Internet:

<URL: http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf>

NOEL, Greg. Build your own IDS firewall with pfsense. Pudai LLC. 2011, [citado el

26 de Agosto, 2015]. Disponible desde Internet:

<URL: http://www.smallnetbuilder.com/other/security/security-howto/31406-build-

your-own-ids-firewall-with-pfsense>

OJEDA-Pérez, Jorge Eliécer; RINCÓN-Rodríguez, Fernando; ARIAS-Flórez, Miguel

Eugenio y DAZA-Martínez, Libardo Alberto. Delitos informáticos y entorno jurídico

vigente en Colombia. Cuadernos de Contabilidad. Bogotá D.C. Diciembre, 2010, vol.

11, no. 28. ISSN 0123-1472.

ORREY, Kevin. Penetration testing framework 0.59. Reino Unido. 2011, [citado el

26 de Agosto, 2015]. Disponible desde Internet:

<URL: http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html>

PASAMAR, Daniel. Guías y tutoriales para implantar las nuevas tecnologías en las

PYMEs. Zentyal: Configuración de proxy transparente. (Última modificación el 25 de

Abril, 2012), [citado el 26 de Agosto, 2015]. Disponible desde Internet: <URL:

http://cerowarnings.blogspot.com/2012/04/zentyal-configuracion-de-proxy.html>

PASAMAR, Daniel. Guías y tutoriales para implantar las nuevas tecnologías en las

PYMEs. Administrar zentyal PDC desde Windows 7. (Última modificación el 20 de

Mayo, 2013), [citado el 26 de Agosto, 2015]. Disponible desde Internet: <URL:

http://cerowarnings.blogspot.com/2013/05/Administar-Zentyal-PDC-Windows-

7.html>

PENTEST-STANDARD.ORG. High level organization of the standard. The

penetration testing execution standard (PTES). Mediawiki. (Última modificación el

16 de Agosto, 2014 a las 20:14 horas), [citado el 26 de Agosto, 2015]. Disponible

desde Internet: <URL: http://www.pentest-standard.org/index.php/Main_Page>

PFSENSE.ORG. Setup snort package. Mediawiki. (Última modificación el 7 de

Enero, 2015 a las 15:00 horas), [citado el 26 de Agosto, 2015]. Disponible desde

Internet: <URL: https://doc.pfsense.org/index.php/Setup_Snort_Package>

60

SANZ, Jonathan. Configuración zentyal proxy. Wordpress. 2013, [citado el 26 de

Agosto, 2015]. Disponible desde Internet: <URL:

https://jonathandcsanz.files.wordpress.com/2013/03/configuracic3b3n-zentyal-

proxy.pdf >

SUÁREZ, Jesús. Administración de sistemas y seguridad. Pfsense: Proxy Squid3

instalación y configuración. España, [citado el 26 de Agosto, 2015]. Disponible

desde Internet: <URL: http://mjesussuarez.blogspot.com/2014/02/pfsense-proxy-

squid3-instalacion-y.html>

VILLALÓN, Antonio. Seguridad en Unix y redes. 2 Ed. Valencia: Autoedición, 2002.

503 p. Versión 2.1.

WIKIPEDIA.ORG. Distribuciones Linux para seguridad perimetral. Wikimedia

Foundation. (Última modificación el 1 Mayo, 2015 a las 20:44 horas), [citado el 31

de Mayo, 2015]. Disponible desde Internet:

<URL:http://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions>.

SEGURIDAD PERIMETRAL PYMES.repository.udistrital.edu.co/bitstream/11349/4847/1...SEGURIDAD...

Documents

Transcript of SEGURIDAD PERIMETRAL PYMES.repository.udistrital.edu.co/bitstream/11349/4847/1...SEGURIDAD...