FACULTAD TECNOLÓGICA
Monografía presentada como requisito parcial para optar al título de:
Ingeniería en Telecomunicaciones
FACULTAD TECNOLÓGICA
Bogotá DC., 14 de Septiembre de 2015
A nuestros hijos, Esposa y a nuestras madres, por ser la bendición más grande que
Dios nos ha dado en este mundo, porque con su compañía han permitido llenarnos
de una fuerte motivación para continuar avanzando en nuestra vida profesional,
porque mi hija con su inocencia, con su amor y con sus palabras, ha logrado
transformar el mundo que resultaba monótono.
El mayor logro que con este trabajo se ha logrado alcanzar, ascender un escalón
en la montaña del profesionalismo, viene acompañado de la fuerte motivación que
ustedes representaron durante todo este ciclo para llegar hasta este punto, donde
el camino se llena de piedras y se hace lento avanzarlo, pero que con seres como
ustedes, gracias a Dios, se ha logrado llegar hasta esta meta. Para ustedes, con
amor infinito.
AGRADECIMIENTOS
En primer lugar agradecemos a Dios, quien fue la fuerza motivadora desde el
comienzo de nuestras carreras para trabajar día a día con vocación y con esmero y
llevar a cabo la realización de este proyecto, además nos brindó la posibilidad de
tener sabiduría para idearlo y ejecutarlo con la mayor precisión, también a nuestras
madres que siempre serán la guía de nuestros caminos a seguir; a nuestras
esposas e hijos, una razón más para luchar y continuar por ese camino para el
beneficio de ellos, a todos los docentes que cruzaron por nuestro camino para
enseñarnos, exigirnos y alentarnos a ser mejores profesionalmente, gracias a todos
porque por cada granito de arena de cada uno de ustedes, hicieron posible que este
proyecto se hiciera realidad.
RESUMEN
Las vulnerabilidades de seguridad a las que están expuestas las empresas pymes
con una conexión directa a internet le permiten a personas inescrupulosas y con
fines específicos robar información o dañarla, o no se centraliza la información vital
de la empresa la cual es almacenada en cada una de las estaciones de trabajo;
aunque se ve un acelerado crecimiento de las empresas pymes, la organización y
planeación de estas se hace desordenada, descuidando sectores importantes en
materia de seguridad de sus aplicaciones y sistemas de información,
adicionalmente las pymes no cuentan con una infraestructura para soportar una
solución de seguridad por considerarla costosa. Tomando en consideración estas
ventajas, al realizar una investigación más detallada, se hace necesario que las
empresas tomen conciencia de estos riesgos y mantengan una actitud preventiva,
así como establecer un control de sus sistemas mediante evaluaciones periódicas,
dando indicadores que permitan conocer el grado de exposición a sufrir ataques
informáticos, y de esta manera, instaurar las medidas técnicas necesarias para
proteger sus sistemas adecuadamente.
La ejecución de este proyecto está orientado a la empresa pyme Soporte Viajes
S.A.S dándole a conocer en primera instancia los potenciales riesgos a los que está
expuesta y ofreciéndole las opciones de seguridad informática sin pagos de
licencias, utilizados actualmente como base en la fabricación de sistemas de
seguridad perimetral.
ABSTRACT
Security vulnerabilities the SMEs with a direct connection to the internet allow to
which they are exposed to unscrupulous people and specific purposes to steal
information or damage it, or not centralizes vital information of the company which
is stored in each of the workstations; Although it is a rapid growth of the SMEs, the
Organization and planning of these becomes disordered, neglecting important
sectors in the field of security of information systems and their applications, in
addition SMEs do not have an infrastructure to support a security solution as costly.
Taking into consideration these advantages, to carry out a more detailed
investigation, it is necessary that the companies become aware of these risks and
maintain a preventive attitude, as well as establish control of their systems through
periodic assessments, providing indicators that allow us to know the degree of
exposure to computer attacks, and in this way, establish technical measures
necessary to protect their systems properly.
The implementation of this project is enterprise-oriented SME support travel S.A.S
informing you in the first instance the potential risks to which it is exposed and
offering computer security without licensing fees, used currently as options based
on the manufacture of perimeter security systems.
8
CONTENIDO
pág.
2. OBJETIVOS 17
3.1 MARCO TEÓRICO 18
3.1.2 Seguridad 19
3.1.8 Virus 22
3.1.12 Máquina o host bastión 24
3.1.13 Filtrado de paquetes 24
3.1.14 Proxy 24
3.2.1 Implantación de un sistema de seguridad perimetral 25
3.2.2 La universidad de Oviedo enseña con éxito su proyecto en
seguridad perimetral 26
3.3 MARCO LEGAL 28
3.3.2 Ley 57 de 5 de junio de 1985 28
3.3.3 Ley 44, de 5 de Febrero de 1993 28
3.3.4 Ley 232 de 26 de diciembre de 1995 28
3.3.5 Proyecto de Ley 227 de 21 de abril de 1998 28
3.3.6 Decreto 1487/ 1999, de 12 de Agosto 28
3.3.7 Ley 527 de 18 de agosto de 1999 28
3.3.8 Resolución 270/2000, de 4 de marzo de 2000 29
3.3.9 Acción pública de inconstitucionalidad contra la Ley 527 29
10
3.3.10 Decreto 1747 de 11 de septiembre de 2000 29
3.3.11 Resolución 7652/2000, de 22 de septiembre de la Dirección
General de Impuestos y Aduanas Nacionales 29
3.3.12 Resolución 307/2000, de 2 de octubre de la Comisión de
Regulación de Telecomunicaciones 29
3.3.13 Ley 679 de 3 de agosto de 2001 29
3.3.14 Decreto 55 de 15 de febrero de 2002 de la Alcaldía Mayor de
Bogotá 29
3.3.15 Decreto 1524 de 24 de julio de 2002 29
3.3.16 Ley 765 de 31 de Julio de 2002 30
3.3.17 Proyecto de Ley 71, de 4 de septiembre de 2002, del Senado de
la República 30
3.3.19 Decreto 4540 de 22 de diciembre de 2006 30
3.3.20 Acuerdo 279 del 29 de marzo de 2007 30
3.3.21 Ley 1266 de 31 de diciembre de 2008 30
3.3.22 Ley 1273 de 5 de enero de 2009 30
3.3.23 Decreto 1727 de 15 de mayo de 2009 31
3.3.24 Resolución 2554 de 19 de mayo de 2010 31
3.3.25 Resolución 2556 de 27 de mayo de 2010 31
3.3.26 Comisión de Regulación de Comunicaciones de 30 de junio de
11
3.3.27 Decreto 3942 de 25 de octubre de 2010 31
3.3.28 Proyecto de Ley de abril de 2011 31
4. ESQUEMA TEMÁTICO 32
6.2.1 Solución Proxy 39
7 44
6.6 ACCESO TOTAL 51
Tabla 2. Reporte diario de navegación usando Sarq. 49
Tabla 3. Reporte semanal de navegación usando Sarq. 49
Tabla 4. Top sitios visitados. 50
Tabla 5. Top 20 tráfico de IPs. 52
13
Figura 2. Metodología Propuesta. 34
Figura 3. VPN con zentyal 4.0. 37
Figura 4. VPN con pfsense 2.2. 37
Figura 5. VPN: IPsec con pfsense 2.2 fase 1. 38
Figura 6. VPN, encriptación AES128 con pfsense 2.2 fase 1. 38
Figura 7. VPN con pfsense 2.2 fase 2. 39
Figura 8. Acceso a pfsense. 40
Figura 9. Configuración proxy. 40
Figura 10. Escaneo servidor de archivos y controlador de dominio. 41
Figura 11. Escaneo de puertos servidor web. 42
Figura 12. Servicios controlador de dominio, servidor de archivos. 43
Figura 13. Servicios servidor web. 44
Figura 14. Herramienta de administración remota Windows 45
Figura 15. Mantenimiento de Internet Explorer. 46
Figura 16. Diagrama de red implementada. 47
Figura 17. Perfiles de filtrado proxy. 51
Figura 18. Perfiles de filtrado. 52
Figura 19. Direcciones IPs sospechosas. 53
14
INTRODUCCIÓN
Las vulnerabilidades de seguridad a las que están expuestas las empresas pymes
con una conexión directa a internet le permiten a personas inescrupulosas y con
fines específicos robar información o dañarla, o no se centraliza la información vital
de la empresa la cual es almacenada en cada una de las estaciones de trabajo;
aunque se ve un acelerado crecimiento de las empresas pymes, la organización y
planeación de estas se hace desordenada, descuidando sectores importantes en
materia de seguridad de sus aplicaciones y sistemas de información,
adicionalmente las pymes no cuentan con una infraestructura para soportar una
solución de seguridad por considerarla costosa.
Estos vacíos en los sistemas de información son una de las principales
vulnerabilidades que pueden ser aprovechadas por atacantes mediante exploits,
para acceder a los sistemas con fines maliciosos. Tomando en consideración estas
ventajas, se hace necesario que las empresas tomen conciencia de estos riesgos y
mantengan una actitud preventiva, así como establecer un control de sus sistemas
mediante evaluaciones periódicas, dando indicadores que permitan conocer el
grado de exposición a sufrir ataques informáticos, y de esta manera, instaurar las
medidas técnicas necesarias para proteger sus sistemas adecuadamente.
Desde el punto de vista de la entidad que maneja los datos, no solo existen
amenazas de origen externo como las agresiones técnicas, naturales o humanas;
también amenazas de origen interno como la negligencia del propio personal o las
condiciones técnicas y procesos operativos internos.
Muchos de los ataques pasan desapercibidos para las organizaciones durante
largos periodos de tiempo, hasta que son descubiertos, y sólo en algunos casos,
estos ataques se hacen públicos por el impacto que pueden tener en los usuarios o
clientes de la empresa, afectando el nombre de estas empresas y de sus clientes,
llevando a demandas o pérdidas por el robo o eliminación de información vital para
el negocio.
15
Gracias a los cambios tecnológicos que se presentan constantemente, las personas
y empresas ven en Internet una herramienta de gran ayuda para la consulta, por
ejemplo, de información sobre estados financieros, bancarios, datos personales,
entre otros como por ejemplo el cuidado de la salud, consulta de fármacos y de
diferentes tratamientos para el mejoramiento de la calidad de vida. A la vez son más
los médicos y aseguradoras que usan la red para proporcionar a otros médicos y a
pacientes información médica, resultados de laboratorio, cobertura de planes y
recetas, esto aprovechando las ventajas que concede el compartir información en
tiempo real y el utilizar los bancos de almacenamiento de datos de servidores en
red.
Debido a esta información tan importante y confidencial, con la ejecución de este
proyecto se garantiza al usuario y a las empresas un acceso a este y otro tipo de
información sin el riesgo de exponer la seguridad de sus equipos, con esto el usuario
que acceda a las redes no será vulnerable durante la realización de sus consultas
y la información que se comparta por este medio, tendrá garantizada su
confidencialidad y privacidad.
La ejecución de este proyecto está orientado a las empresas pymes dándoles a
conocer los potenciales riesgos a las que están expuestas cuando no cuentan con
una protección de sus sistemas de información o sus aplicaciones, al considerar
innecesaria y costosa la implementación de algún sistema de seguridad que les
proteja de sufrir pérdidas de información, y así poner en peligro su integridad,
disponibilidad y confidencialidad.
Al realizar la implementación de los sistemas de seguridad sin pagos de licencias,
se le garantiza a las pymes un total ahorro en el recurso de protección de su
información y sus sistemas y también en el recurso de intento de recuperación de
estos, vital para las empresas, ya que de ser vulnerada en muchos de los casos se
hace irrecuperable y pone en riesgo el sostenimiento y la continuidad del negocio.
16
1. DESCRIPCIÓN DEL PROYECTO
1.1 PLANTEAMIENTO DEL PROBLEMA
Las pérdidas de información y robo de la misma generan reprocesos de trabajo;
utilización del tiempo productivo del personal en ocio como redes sociales por falta
de seguridad perimetral o seguridad deficiente y filtros de contenido producen
gastos a las empresas, la información vital para el negocio se almacena en cada
una de las estaciones de trabajo el cual puede sufrir daños o robo.
En Colombia el 96% de las empresas son pymes, y Bogotá concentra el mayor
número con el 96,4% de las 23.000 existentes de sectores del comercio, banca,
industria, entre otros, las cuales en el afán por reducir gastos en sus balances
descuidan una parte vital para su funcionamiento y sostenimiento, así como la
calidad de los servicios que se prestan debido al riesgo al que exponen su
información al no contar con un sistema de seguridad que les prevenga y proteja de
sufrir ataques o incidentes a sus sistemas de información y aplicaciones, por
considerar que es demasiado costoso y de poca importancia. En su lugar, solo
contratan un canal de internet para la navegación con cualquier proveedor de
servicios de Internet (ISP), dejando expuesta su seguridad.
17
2.1 OBJETIVO GENERAL
Verificar el sistema de seguridad actual e implantar un sistema de seguridad de
protección de datos perimetral para la empresa Soporte Viajes S.A.S, como
protección contra los ataques en la red, apoyados en sistemas de uso libre.
2.2 OBJETIVOS ESPECÍFICOS
Restringir acceso a internet no deseado para aumentar la productividad del
personal.
Centralizar el almacenamiento de datos.
Disminuir las vulnerabilidades y los riesgos a los cuales se encuentra expuesta
la empresa Soporte Viajes S.A.S.
18
3.1 MARCO TEÓRICO
3.1.1 Introducción seguridad informática. Hasta finales de 1988 muy poca gente
tomaba en serio el tema de la seguridad en redes de computadores de propósito
general. Mientras que por una parte Internet iba creciendo exponencialmente con
redes importantes que se adherían a ella, como bitnet o hepnet, por otra el auge de
la informática de consumo unido a factores menos técnicos iba produciendo un
aumento espectacular en el número de piratas informáticos. Sin embargo, el 22 de
noviembre de 1988 Robert T. Morris protagonizó el primer gran incidente de la
seguridad informática: uno de sus programas se convirtió en el famoso worm o
gusano de Internet. Miles de ordenadores conectados a la red se vieron inutilizados
durante días, y las pérdidas se estiman en millones de dólares. Desde ese momento
el tema de la seguridad en sistemas operativos y redes ha sido un factor a tener
muy en cuenta por cualquier responsable o administrador de sistemas informáticos.
Poco después de este incidente, y a la vista de los potenciales peligros que podía
entrañar un fallo o un ataque a los sistemas informáticos estadounidenses la
agencia darpa (Defense Advanced Research Projects Agency) creó el cert
(Computer Emergency Response Team), un grupo formado en su mayor parte por
voluntarios cualificados de la comunidad informática, cuyo objetivo principal es
facilitar una respuesta rápida a los problemas de seguridad que afecten a hosts de
Internet.
Han pasado más de diez años desde la creación del primer cert, y cada día se hace
patente la preocupación por los temas relativos a la seguridad en la red y sus
equipos, y también se hace patente la necesidad de esta seguridad. Si hace unos
años cualquiera que quisiera adentrarse en el mundo underground casi no tenía
más remedio que conectar a alguna BBS donde se tratara el tema, generalmente
con una cantidad de información muy limitada, hoy en día tiene a su disposición
gigabytes de información electrónica publicada en Internet1.
------------
(1) VILLALÓN, Antonio. Seguridad en Unix y redes. Valencia: Autoedición, 2002.
p. 19. Versión 2.1.
3.1.2 Seguridad. Se puede entender como seguridad una característica de
cualquier sistema (informático o no) que indica que ese sistema está libre de todo
peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta
característica, particularizando para el caso de sistemas operativos o redes de
computadores, es muy difícil de conseguir (según la mayoría de expertos,
imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad
(probabilidad de que un sistema se comporte tal y como se espera de él) más que
de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de
sistemas seguros.
A grandes rasgos se entiende que mantener un sistema seguro (o fiable) consiste
básicamente en garantizar tres aspectos: confidencialidad, integridad y
disponibilidad. Algunos estudios integran la seguridad dentro de una propiedad más
general de los sistemas, la confiabilidad, entendida como el nivel de calidad del
servicio ofrecido. Consideran la disponibilidad como un aspecto al mismo nivel que
la seguridad y no como parte de ella, por lo que dividen esta última en sólo las dos
facetas restantes, confidencialidad e integridad.
La confidencialidad explica que los objetos de un sistema han de ser accedidos
únicamente por elementos autorizados a ello, y que esos elementos autorizados no
van a convertir esa información en disponible para otras entidades; la integridad
significa que los objetos sólo pueden ser modificados por elementos autorizados, y
de una manera controlada, y la disponibilidad indica que los objetos del sistema
tienen que permanecer accesibles a elementos autorizados; es el contrario de la
negación de servicio.
Generalmente tienen que existir los tres aspectos descritos para que haya
seguridad: un sistema Unix puede conseguir confidencialidad para un determinado
fichero haciendo que ningún usuario (ni siquiera el root) pueda leerlo, pero este
mecanismo no proporciona disponibilidad alguna. Dependiendo del entorno en que
un sistema Unix trabaje, a sus responsables les interesará dar prioridad a un cierto
aspecto de la seguridad. Por ejemplo, en un sistema militar se antepondrá la
confidencialidad de los datos almacenados o transmitidos sobre su disponibilidad:
seguramente, es preferible que alguien borre información confidencial (que se
podría recuperar después desde una cinta de backup) a que ese mismo atacante
pueda leerla, o a que esa información esté disponible en un instante dado para los
usuarios autorizados.
20
En cambio, en un servidor NFS de un departamento se premiará la disponibilidad
frente a la confidencialidad: importa poco que un atacante lea una unidad, pero que
esa misma unidad no sea leída por usuarios autorizados va a suponer una pérdida
de tiempo y dinero. En un entorno bancario, la faceta que más ha de preocupar a
los responsables del sistema es la integridad de los datos, frente a su disponibilidad
o su confidencialidad: es menos grave que un usuario consiga leer el saldo de otro
que el hecho de que ese usuario pueda modificarlo2.
3.1.3 Seguridad perimetral. La seguridad perimetral basa su filosofía en la
protección de todo el sistema informático de una empresa desde “fuera”, es decir,
componer una coraza que proteja todos los elementos sensibles de ser atacados
dentro de un sistema informático.
Esto implica que cada paquete de tráfico transmitido debe de ser diseccionado,
analizado y aceptado o rechazado en función de su potencial riesgo de seguridad
para las redes propias.
Los tres elementos principales a proteger en cualquier sistema informático son el
software, el hardware y los datos3.
3.1.4 Hardware. Es el conjunto formado por todos los elementos físicos de un
sistema informático, como CPUs, terminales, cableado, medios de almacenamiento
secundario (cintas, CD-ROMs, diskettes, entre otros) o tarjetas de red.
3.1.5 Software. Es el conjunto de programas lógicos que hacen funcional al
hardware, tanto sistemas operativos como aplicaciones.
------------
(3) TABOADA, Eduardo, CONGRESO DE INTERNET, TELECOMUNICACIONES
Y SOCIEDAD DE LA INFORMACIÓN, MUNDO INTERNET 2005. (10: 13-15, abril,
2005: Madrid, España). Seguridad perimetral en redes. Madrid: Palacio de
Congresos de Madrid, 2005. p. 1.
21
3.1.6 Datos. Es el conjunto de información lógica que manejan el software y el
hardware, como por ejemplo paquetes que circulan por un cable de red o entradas
de una base de datos.
Los datos constituyen el principal elemento de los tres a proteger, ya que es el más
amenazado y seguramente el más difícil de recuperar4.
3.1.7 Tipos de ataques. En los sistemas de información existen dos tipos básicos
de ataques los internos y los externos.
- Los tipos de ataque externos se producen por virus, ataques de hackers,
explotación de vulnerabilidades del sistema.
Los problemas relacionados con ataques externos no son demasiado conocidos por
los administradores de sistemas, sobre todo en las Pyme, cuando se habla con el
responsable de una Pyme o con el responsable de informática de una Pyme sobre
los problemas relacionados con Hackers y otros problemas de seguridad, la
respuesta es casi siempre la misma al suponer que no tienen nada en el sistema
que pueda interesar a nadie. Este es el más común de los errores en la seguridad.
- Los internos se producen por empleados descontentos y consisten en robos o
borrados de información del sistema, sabotaje, etc.
Uno de los problemas menos tratado en las empresas es la seguridad interna,
normalmente los responsables de seguridad de las empresas se limitan a establecer
una serie de criterios para prevenir estos problemas basados en la creación de
------------
22
3.1.8 Virus. Un virus es una secuencia de código que se inserta en un fichero
ejecutable denominado host, de forma que al ejecutar el programa también se
ejecuta el virus; generalmente esta ejecución implica la copia del código viral – o
una modificación del mismo – en otros programas. El virus necesita
obligatoriamente un programa donde insertarse para poderse ejecutar, por lo que
no se puede considerar un programa o proceso independiente.
3.1.9 Gusanos. El término gusano, acuñado en 1975 en la obra de ciencia ficción
de John Brunner The Shockwave Rider hace referencia a programas capaces de
viajar por sí mismos a través de redes de computadores para realizar cualquier
actividad una vez alcanzada una máquina; aunque esta actividad no tiene por qué
entrañar peligro, los gusanos pueden instalar en el sistema alcanzado un virus,
atacar a este sistema como haría un intruso, o simplemente consumir excesivas
cantidades de ancho de banda en la red afectada. Aunque se trata de malware
muchísimo menos habitual que por ejemplo los virus o las puertas traseras, ya que
escribir un gusano peligroso es una tarea muy difícil, los gusanos son una de las
amenazas que potencialmente puede causar mayores daños6.
3.1.10 UTM. Gestión Unificada de Amenazas o (Unified Threat Management). Las
soluciones UTM, son dispositivos de red que se encargan de proteger las redes de
amenazas. Son considerados la evolución de un firewall tradicional, ya que incluye
productos de seguridad que permiten el desempeño de múltiples funcionalidades
de servicios de seguridad en un solo dispositivo.
Estos servicios de seguridad generalmente incluyen: Firewall, Detección y
Prevención de Intrusos, Antivirus y Antispyware de red, VPN, Proxy, Control de
Contenido, Balanceo de Cargas, QoS y Reportes.
Los dispositivos UTM permiten que las amenazas se gestionen desde consolas
centralizadas, que permiten que todas las soluciones de seguridad puedan ser
controladas y configuradas.
23
Las soluciones UTM integran funcionalidades de administración, monitoreo, y
capacidades de hacer más eficiente la implementación y mantenimiento del equipo.
Las principales características de una solución UTM son:
- Reducción de costos: Solución de seguridad única.
- Simplicidad: Evita la instalación de múltiples plataformas de control.
- Fácil administración: GUI basada en interfaces web para fácil manejo.
- Desempeño: Protección sin degradar el desempeño de la red.
Las soluciones UTM incluyen las siguientes opciones:
- Firewall
- MultiWAN
- Control de Contenido7
3.1.11 Firewall o cortafuego. Un firewall o cortafuego es un sistema o grupo de
sistemas que hace cumplir una política de control de acceso entre dos redes. Se
puede definir un cortafuegos como cualquier sistema (desde un simple router hasta
varias redes en serie) utilizado para separar – en cuanto a seguridad se refiere –
una máquina o subred del resto, protegiéndola así de servicios y protocolos que
desde el exterior puedan suponer una amenaza a la seguridad. El espacio
protegido, denominado perímetro de seguridad, suele ser propiedad de la misma
organización, y la protección se realiza contra una red externa, no confiable, llamada
zona de riesgo.
------------
(7) BERRÍO, Hassan, Seguridad Perimetral (UTM) [blog en línea]. Publicado por Unknown.
[Medellín, Colombia]: Grupo Tic Digital S.A.S., sábado, 6 de agosto de 2011 [citado el 31
de Mayo, 2015]. Disponible desde Internet: <URL:http://seguridadperimetral-
utm.blogspot.com/2011/08/seguridad-perimetral-utm.html>.
24
3.1.12 Máquina o host bastión. También se denominan gates. Se conoce a un
sistema especialmente asegurado, pero en principio vulnerable a todo tipo de
ataques por estar abierto a Internet, que tiene como función ser el punto de contacto
de los usuarios de la red interna de una organización con otro tipo de redes. El host
bastión filtra tráfico de entrada y salida, y también esconde la configuración de la
red hacia afuera.
3.1.13 Filtrado de paquetes. Por filtrado de paquetes se entiende la acción de
denegar o permitir el flujo de tramas entre dos redes (por ejemplo la interna,
protegida con el firewall, y el resto de Internet) de acuerdo a unas normas
predefinidas; aunque el filtro más elemental puede ser un simple router, trabajando
en el nivel de red del protocolo OSI, esta actividad puede realizarse además en un
puente o en una máquina individual. El filtrado también se conoce como screening,
y a los dispositivos que lo implementan se les denomina chokes; el choke puede ser
la máquina bastión o un elemento diferente.
3.1.14 Proxy. Un proxy es un programa (trabajando en el nivel de aplicación de
OSI) que permite o niega el acceso a una aplicación determinada entre dos redes.
Los clientes proxy se comunican sólo con los servidores proxy, que autorizan las
peticiones y las envían a los servidores reales, o las deniegan y las devuelven a
quien las solicitó. Desde el punto de vista lógico, en el cortafuego, suelen existir
servidores proxy para las aplicaciones que han de atravesar el sistema, y que se
sitúan habitualmente en el host bastión.
También se implementa en el choke un mecanismo de filtrado de paquetes, y en
alguno de los dos elementos se suele situar otro mecanismo para poder monitorizar
y detectar la actividad sospechosa8.
------------
25
3.2 MARCO DE ANTECEDENTES
3.2.1 Implantación de un sistema de seguridad perimetral. Este proyecto está
desarrollado sobre la seguridad de redes y más concretamente en la seguridad
perimetral.
El contenido se ha desglosado en dos partes fundamentales, la primera incide en la
base teórica relativa a la seguridad perimetral y los elementos más importantes que
intervienen en ella, y la segunda parte, que es la implantación de un sistema de
seguridad perimetral habitual en un entorno empresarial.
La motivación de este proyecto resulta de la problemática cada vez mayor de
ataques e incidencias de seguridad en redes, ya sean a nivel local, a nivel
empresarial, u otros tipos de escenarios. Los elementos que se encuentran en
dichas redes son susceptibles de diversos tipos de ataques, ya sea para la
apropiación de datos, para la denegación del servicio que prestan, para la
realización de estafas, etc.
Este proyecto ofrece un sistema de seguridad perimetral típico, con el que no se
garantiza una seguridad total, pero sí garantiza un importante nivel de seguridad a
la empresa. Con un sistema como el que se implanta, una correcta gestión de los
elementos e incidencias, y una buena política de seguridad, la empresa estará libre
de la mayor parte de las amenazas del exterior9.
------------
(9) FABUEL, Carlos. Implantación de un sistema de seguridad perimetral. Proyecto
fin de carrera / Trabajo de grado. Madrid: Escuela Universitaria de Ingeniería
Técnica de Telecomunicación, Universidad Politécnica de Madrid – UPM [antigua
denominación]. Ingeniería y Arquitecturas Telemáticas [hasta 2014], 2013. p. 4-9.
26
3.2.2 La universidad de Oviedo enseña con éxito su proyecto en seguridad
perimetral. Por la gran cantidad de usuarios concurrentes, unas 32.700 conexiones
simultáneas de media, la Universidad de Oviedo partía de la siguiente problemática
asociada a dicha infraestructura: falta de visibilidad, control y seguridad del tráfico
que corría por la misma. Dicha situación impedía tener una visión específica sobre
los contenidos y actividad de los usuarios, debido a la incapacidad de los sistemas
implantados en ese momento, dos Firewall de otro fabricante, para generar políticas
de seguridad basadas en aplicaciones o usuarios. Ante tales circunstancias, el
objetivo del proyecto consistía en crear una política de seguridad basada en
aplicación y no en direcciones y puertos, para poder atajar y eliminar la
problemática.
En este sentido, y después de analizar todas sus necesidades, la Universidad de
Oviedo optó por dos firewall modelo PA-5050, y no solo porque Palo Alto ofreciera
un producto capaz de trabajar en la capa 7 sin penalizar el rendimiento del sistema,
sino también, por su facilidad de uso, integración con otros sistemas, y flexibilidad
a la hora de implementar políticas de seguridad. Para esta labor contó con la
colaboración de Acuntia, partner integrador del proyecto.
El objetivo inicial del proyecto fue la modernización de la seguridad perimetral de la
red universitaria, mejorando la capacidad de análisis de tráfico y adecuando el
equipamiento al nuevo caudal de conexión hacia Red IRIS-NOVA, red avanzada de
investigación de I+D.
Según el estudio realizado para la implantación del proyecto, se requería de una
solución que permitiera consolidar muchos de los servicios tanto de “firewalling”
como “helpers” de la red perimetral en una única máquina, y que, además,
asegurase la visibilidad de los equipos en la red.
A pocos días de la solución implantada, la universidad pasó de contar con cuadros
estadísticos de número de bytes a una lista de amenazas, aplicaciones y usos en
general de la infraestructura de comunicaciones, lo que les permite definir y aplicar
medidas tanto reactivas como proactivas en este campo10.
------------
(10) CONTRERAS, Rufino. La Universidad de Oviedo enseña con éxito su proyecto
en seguridad perimetral. En: computing. Enero, 2013. no. 700. p. 18.
27
3.2.3 Viladecans se blinda con seguridad perimetral. El departamento de TI del
Ayuntamiento de Viladecans da servicio a más de 400 usuarios internos y gestiona
también una serie de servicios ciudadanos como la oficina electrónica o una
plataforma de Open Data. Su compromiso con la seguridad y la necesidad de
renovación tecnológica y de ahorro de costes les ha hecho plantearse un proyecto
de mejora de su seguridad perimetral. Este proyecto ha sido adjudicado a Abast
Systems, que ha implantado una solución basada en firewalls de nueva generación
Fortinet y balanceadores Radware.
El sistema de seguridad perimetral del que disponía el Ayuntamiento de Viladecans
estaba compuesto por dos firewalls, dos proxys y dos balanceadores, pero se había
llegado a una situación en la que se detectaron varias limitaciones y problemáticas:
Bajo rendimiento, costes cada vez mayores de mantenimiento y se quería prescindir
de los dos dispositivos Proxy.
Para implantar y mejorar la seguridad perimetral del Ayuntamiento de Viladecans
colaboraron técnicos de Abast Systems y del equipo de informática de la entidad
pública. Los objetivos fueron implementar la seguridad máxima y la disponibilidad
de las infraestructuras del ayuntamiento frente a Internet, reducir los costes de
mantenimiento, simplificar la administración y la gestión de los equipos e
incrementar las funcionalidades y el rendimiento11.
------------
(11) REDACCIÓN, Computing. Viladecans se blinda con seguridad perimetral [en
línea]. BPS Business Publications Spain S.L. [España]. 26 de agosto de 2014
[citado el 31 de mayo de 2015]. Disponible desde Internet:
<URL:http://www.computing.es/e-administracion/casos-
exito/1076038000901/viladecans-blinda-seguridad-perimetral.1.html>.
28
3.3 MARCO LEGAL
En Colombia existen leyes para la protección de la información, las empresas
pueden estar implicadas en pérdidas de información hacia otras empresas por no
proteger su red y desde allí atacar otras empresas infringiendo algunas de las leyes
que se indican a continuación:
3.3.1 Ley estatutario 1581 de 2012 Colombia. Por la cual se dictan disposiciones
generales para la protección de datos personales.
3.3.2 Ley 57 de 5 de junio de 1985. Por la cual se ordena la publicidad de los actos
y documentos oficiales.
3.3.3 Ley 44 de 5 de Febrero de 1993. Sobre Obras de Empleados Públicos y
Derechos de Autor, por la que se Modifica y Adiciona la Ley nº 23 de 1982 y se
Modifica la Ley nº 29 de 1944.
3.3.4 Ley 232 de 26 de diciembre de 1995. Por medio de la cual se dictan normas
para el funcionamiento de los establecimientos comerciales. (Diario Oficial 42.162,
de 26 de diciembre de 1995).
3.3.5 Proyecto de Ley 227 de 21 de abril de 1998. Por medio del cual se define y
Reglamenta el Acceso y el uso del Comercio Electrónico.
3.3.6 Decreto 1487/ 1999, de 12 de Agosto. Por Medio del Cual se Autoriza el
Sistema Declaración y Pago Electrónico de la DIAN y se Establecen algunos
Parámetros Operativos para la Presentación de las Declaraciones Tributarias y el
Pago de los Impuestos por Vía Electrónica.
3.3.7 Ley 527 de 18 de agosto de 1999. Sobre Mensajes de Datos, Comercio
electrónico y Firma Digital.
29
3.3.8 Resolución 270/2000, de 4 de marzo de 2000. Por la cual se Dictan Normas
sobre Protección a los Usuarios para la Prestación de Servicios Públicos No
Domiciliarios de Telecomunicaciones.
3.3.9 Acción pública de inconstitucionalidad contra la Ley 527. Sobre Mensajes de
Datos, Comercio Electrónico y Firma Digital de 8 de junio de 2000.
3.3.10 Decreto 1747 de 11 de septiembre de 2000. Por el cual se reglamenta
parcialmente la Ley 527 certificados y firmas digitales.
3.3.11 Resolución 7652/2000, de 22 de septiembre de la Dirección General de
Impuestos y Aduanas Nacionales. Por la cual se reglamenta la administración,
publicación y uso de la información electrónica vía INTRANET e INTERNET en la
Dirección de Impuestos y Aduanas Nacionales.
3.3.12 Resolución 307/2000, de 2 de octubre de la Comisión de Regulación de
Telecomunicaciones. Por la cual se promueve el acceso a Internet a través de
planes tarifarios para el servicio de Tpbcl y se dictan otras disposiciones.
3.3.13 Ley 679 de 3 de agosto de 2001. Sobre Abuso y pornografía de menores en
Internet. (Diario Oficial número 44509 del 4 de agosto de 2001).
3.3.14 Decreto 55 de 15 de febrero de 2002 de la Alcaldía Mayor de Bogotá. Por
medio del cual se establece “El Sistema de Declaración y Pago de Impuestos
Distritales a través de medios electrónicos”.
3.3.15 Decreto 1524 de 24 de julio de 2002. "Por el cual se reglamenta el artículo
5 de la Ley 679 de 2001".
30
3.3.16 Ley 765 de 31 de Julio de 2002. Por medio de la cual se aprueba el
"Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la
venta de niños, la prostitución infantil y la utilización de los niños en la pornografía",
adoptado en Nueva York, el 25 de mayo de 2000. (Diario Oficial número 44.889, de
5 de agosto de 2002).
3.3.17 Proyecto de Ley 71, de 4 de septiembre de 2002, del Senado de la
República. Por la cual se reglamentan los bancos de datos financieros o de
solvencia patrimonial y crediticia y se dictan otras disposiciones.
3.3.18 Ley 892 de 7 de julio 2004. Voto electrónico.
3.3.19 Decreto 4540 de 22 de diciembre de 2006. Por medio del cual se adoptan
controles en aduana, para proteger la Propiedad Intelectual.
3.3.20 Acuerdo 279 del 29 de marzo de 2007, del Consejo de Bogotá. Por el cual
se dictan los lineamientos para la Política de Promoción y Uso del Software libre en
el Sector Central, el Sector Descentralizado y el Sector de las Localidades del
Distrito Capital.
3.3.21 Ley 1266 de 31 de diciembre de 2008. Por la cual se dictan las disposiciones
generales del habeas data y se regula el manejo de la información contenida en
bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras disposiciones. (Diario
Oficial nº 47.219).
3.3.22 Ley 1273 de 5 de enero de 2009. Por medio de la cual se modifica el Código
Penal, se crea un nuevo bien jurídico tutelado -denominado "de la protección de la
información y de los datos"- y se preservan integralmente los sistemas que utilicen
las tecnologías de la información y las comunicaciones, entre otras disposiciones
(Diario Oficial nº 47.223).
31
3.3.23 Decreto 1727 de 15 de mayo de 2009, del Ministerio de Hacienda y Crédito
Público. Por el cual se determina la forma en la cual los operadores de los bancos
de datos de información financiera, crediticia, comercial, de servicios y la
proveniente de terceros países, deben presentar la información de los titulares de
la información.
3.3.24 Resolución 2554 de 19 de mayo de 2010, de la Comisión de Regulación de
las Comunicaciones. Modificación al Régimen de Protección de los Derechos de los
Usuarios de Servicios de Telecomunicaciones.
3.3.25 Resolución 2556 de 27 de mayo de 2010, de la Comisión de Regulación de
las Comunicaciones. Reguladora de la Administración de Bases de Datos del
Sistema de Portabilidad Numérica.
3.3.26 Comisión de Regulación de Comunicaciones de 30 de junio de 2010. Acceso
a Redes por parte de proveedores de contenidos y aplicaciones. (Documento de
consulta pública).
3.3.27 Decreto 3942 de 25 de octubre de 2010. Por el cual se reglamentan las
Leyes 23 de 1982,44 de 1993 y el artículo 2, literal c) de la Ley 232 de 1995, en
relación con las sociedades de gestión colectiva de derecho de autor o de derechos
conexos y la entidad recaudadora y se dictan otras disposiciones.
3.3.28 Proyecto de Ley de abril de 2011. Por el cual se regula la responsabilidad
por las infracciones al derecho de autor y los derechos conexos en Internet.
32
4. ESQUEMA TEMÁTICO
De acuerdo a la figura 1, implantar una solución perimetral a bajo costo con las
funcionalidades de un sistema de seguridad que se puede comparar con soluciones
costosas como Cisco Small Business o Fortinet, constituyen el diagrama de bloques
de la solución.
Figura 1. Arquitectura de seguridad integral.
Las diferentes distribuciones OpenSource que se indican en la tabla 1, llegan al
punto de proteger la oficina pyme de los ataques de internet y la protección de la
información de los ataques internos a un costo muy inferior de los que requieren
licencia.
Las alternativas se encuentran expuestas en la tabla 1 de distribuciones con todas
las funcionalidades que presta cada una, incluyendo el controlador de dominio (DC)
el cual no tiene límite de usuarios conectados (call en Windows 2008 o 2012 server),
esta limitante en los sistemas OpenSource se encuentra en el hardware a
implementar. Teniendo en cuenta que esta solución está orientada a empresas
pymes el máximo número de usuarios es cercado a 25 usuarios, muchas de las
funcionalidades que se encuentran en la tabla no son ofrecidas por los sistemas con
pago.
33
5. METODOLOGÍA
Inicialmente se realizan estudios de las 3 posibles distribuciones a implementar de
acuerdo a las necesidades de la compañía y los alcances de cada una,
posteriormente se realiza un análisis con herramientas forenses para detectar las
vulnerabilidades de la red, con estos resultados se le da a conocer al personal del
área de sistemas las ventajas de un dispositivo de seguridad perimetral; protegiendo
tanto de las vulnerabilidades internas como externas, se da a conocer los conceptos
básicos del funcionamiento y tipología implementada en la solución de seguridad
informática e interconexión de redes en la pyme Viajes S.A.S.
Teniendo presente que para la ejecución de este proyecto inicialmente se realizó
una investigación la cual permitió obtener datos sobre la infraestructura de la red de
datos de la pyme, con el propósito de abordar la implementación apropiada para su
seguridad informática y según el presupuesto de esta compañía, se implementa una
solución de software libre y el servidor actual de Windows 2008 server, realizando
pruebas iniciales sobre las distribuciones más representativas del mercado con sus
respectivas ventajas y desventajas de los mismos, las cuales serán presentadas
más adelante.
Nombre DESCRIPCION VPN
Endian Firewall
Distribución Utm con firewall, anti-spam and anti-virus for web, FTP and e-mail, OpenVPN, IPsec, hotspot functionality, y portal cautivo. Endian Firewall Community (EFW) es una versión x86. El anti- virus para EFW es Sophos or ClamAV. Ids snort.
AES 256
No
limitaciones en filtro de contenido, por perfiles, las credenciales no pueden ser obtenidas de base externa
los Informes son muy básicos, es necesario instalar herramientas adicionales para interpretar la información
Al no instalarse entorno grafico se aprovechan los recursos, necesarios 8GB en RAM y procesador Intel core i5
pfSense
Distribución para firewall, router, DHCP server, Gateway, OpenVPN, IPsec, proxy and anti-virus (Snort).
AES 256
No
avanzado, las credenciales de los usuarios puedes ser obtenidas desde un controlador de dominio o servidor radius
Presenta gran variedad de informes y herramientas de análisis por tipos de servicio, los paquetes puedes ser instalados directamente desde la consola web
Al no instalarse entorno grafico se aprovechan los recursos, necesarios 8GB en RAM y procesador Intel core i5
Sphirewall
Directa hook into Linux kernel packet stream, LDAP and user-based autenticación, user quotas, QOS, advanced analíticas, IDS, utilidades web, basado en distribución debian.
3DES
YES
avanzado, las credenciales de los usuarios puedes ser obtenidas desde un controlador de dominio o servidor radius
los Informes son muy básicos, es necesario instalar herramientas adicionales para interpretar la información
se instala entorno gráfico, necesarios 8GB en RAM y procesador Intel core i7
Zentyal (formerly
eBox Plataforma)
Zentyal es una distribución open- source router/firewall y small business server, hasta su versión 4.0 tenía soporte de firewall, vpn, IDS. En la última versión 4.1 solo soporte de correo, controlador de dominio, mensajería, firewall básico
3DES
YES, reemplazo 100% de
Windows 2008, puede ser
Microsoft
avanzado, las credenciales de los usuarios puedes ser obtenidas desde un controlador de dominio o servidor radius
los Informes son muy básicos, es necesario instalar herramientas adicionales para interpretar la información
se instala entorno gráfico, necesarios 16GB en RAM y procesador Intel core i7
36
De acuerdo a las pruebas realizadas en las diferentes distribuciones, se
seleccionaron dos de estas que se presentaban como las más fuertes candidatas
con las necesidades expuestas por esta compañía, necesidades como seguridad
perimetral y centralización de datos. Aunque la distribución que presentaba más
bondades y características para ser elegida era zentyal 4.0 que tiene soporte para
módulos “Gateway”, el cual contiene firewall avanzado, VPN, proxy, filtro de
contenido y balanceo de tráfico, en su última versión estable 4.1 no se encuentra
soportado, se centran en la parte de soporte de usuario final como alternativa de
controlador de dominio de Windows 2008 y 2012 server.
Para el funcionamiento de la VPN con zentyal, fue necesario modificar el código
fuente para soportar la configuración hacia los routers remotos RV42, esta
distribución Linux está desarrollada para conectar VPN remotas con direcciones de
red públicas directamente en la interface WAN; en todas las sedes el enrutador está
configurado detrás de NAT (Network Address Translation), el cambio fue realizado
en el código del servidor y se debe configurar de la siguiente manera:
ddip_publicaddip_privada, las letras dd se utilizan para separar la IP pública y la IP
privada que tiene configurada el enrutador, como por ejemplo:
dd186.28.234.210dd10.1.3.100.
La VPN IPsec de zentyal solo tiene la opción de configuración de algoritmo de
encriptación 3DES y algoritmo de autenticación MD5 y no puede ser modificado con
facilidad.
37
Figura 3. VPN con zentyal 4.0.
La configuración de la VPN en pfsense es más compleja con más opciones,
teniendo soporte de algoritmo de encriptación hasta AES 256, algoritmo de
autenticación SHA1, DH key group .brainpol ecp512 con mayores niveles de
seguridad que los soportados por zentyal,
Figura 4. VPN con pfsense 2.2.
38
Figura 5. VPN: IPsec con pfsense 2.2 fase 1.
Figura 6. VPN: Encriptación AES128 con pfsense 2.2 fase 1.
39
6.2 CONFIGURACIÓN FASE 2
La fase 2 soporta multidominio de cifrado, lo cual permite configurar varias subredes
IP sobre la misma VPN, soporte de perfiles móviles.
Figura 7. VPN con pfsense 2.2 fase 2.
6.2.1 Solución Proxy. Para la solución proxy se realiza la modificación de zentyal a
pfsense, debido a las mejoras que presenta este último como mayor cantidad de
filtros y mejoras de seguridad en el IDS (Detector de intrusos). Para el acceso al
firewall se realiza a través de https://192.168.100.202:10443.
40
Figura 8. Acceso a pfsense.
El servidor proxy implementado es squid3 y se configura con el puerto 8080, el cual
debe ser configurado en cada uno de los navegadores de las estaciones de trabajo
de los usuarios. Las pruebas realizadas con zentyal tienen las mismas opciones de
configuración y el desempeño fue el mismo, pero las diferencias notorias en la
seguridad de las VPN permiten tomar la decisión de usar pfsense como proxy.
Figura 9. Configuración proxy.
41
Por estas notorias deferencias se toma la decisión de implementar pfsense como
servidor de seguridad perimetral.
El lugar donde se alojará los archivos de los usuarios en bases de datos, como las
claves de acceso a las estaciones de trabajo y que serán custodiados y bien
protegidos (proceso que se identifica como Centralización de la Información), se
realiza a través de Windows 2008 server. Debido a que la compañía ya contaba con
la licencia para utilizar este servidor, fue ubicado en la DMZ (conocido como Zona
Desmilitarizada), para que pueda ser protegido de los ataques internos; en caso que
no contara con la licencia, este servidor podía ser reemplazado por zentyal 4.1, que
cumplía con todas las funcionalidades básicas del servidor de Microsoft sin
necesidad de pagar licenciamiento, representando igualmente una ventaja
económica para la pyme.
6.3 IDENTIFICACIÓN DE VULNERABILIDADES DE SEGURIDAD
Uno de los objetivos a lograr en la ejecución de este proyecto es la diminución de
las vulnerabilidades de seguridad a las que se encuentran expuestos los servidores,
para lograrlo primero era necesario realizar la identificación de estas
vulnerabilidades y este proceso se logró con el uso de herramientas forenses, como
por ejemplo, el uso de la máquina virtual de Kali Linux. Esta herramienta permite
realizar auditorías de seguridad y pruebas de penetración o evaluaciones de los
sistemas de seguridad.
Con esta herramienta se puede capturar información, identificar vulnerabilidades,
para lograr el bloqueo de estas amenazas, garantizar la correcta implementación
del sistema de seguridad y proteger toda la información importante de la pyme.
En primera instancia se escanearon los puertos y se hizo una verificación de sistema
operativo del servidor de archivos y el servidor web.
42
Figura 10. Escaneo servidor de archivos y controlador de dominio.
43
Figura 11. Escaneo de puertos servidor web.
En el análisis también es indispensable la verificación de los servicios y versiones
que pueden ser vulneradas y que se encuentran en funcionamiento en cada uno
de los servidores mencionados anteriormente.
44
45
Figura 13. Servicios servidor web.
A diferencia del servidor Windows que se encuentra sin protección de firewall, el
servidor Linux tiene políticas de acceso a servicios, los cuales pueden ser accedidos
desde la red.
6.4 ADMINISTRACIÓN DE SERVIDOR ZENTYAL DESDE WINDOWS 7
Para administrar el servidor zentyal desde una estación de trabajo Windows 7, esta
debe iniciar sesión como administrador del dominio y descargar el paquete de
administración de servidor remoto, una vez descargado e instalado (Siguiente,
Siguiente...) en el equipo a gestionar el dominio, se habilita las características de
gestión, para ello se ingresa a Equipo > Desinstalar o Cambiar un programa >
Activar o desactivar las características de Windows, y una vez allí se configura:
46
Posteriormente se configura las funcionalidades seleccionadas en la figura anterior
y se configura el servidor tal como se configura un servidor Windows Server 2008.
47
48
SEDES CONEXIONES VPN
SERVIDOR WEB LINUX
FIREWALL
La solución comprende la instalación de UTM (en inglés: Unified Threat
Management) o Gestión Unificada de Amenazas. El término fue utilizado por
primera vez por Charles Kolodgy, de International Data Corporation (IDC), en 2004.
Se utiliza para describir los cortafuegos de red que engloban múltiples
funcionalidades en una misma máquina. Algunas de las funcionalidades que puede
incluir son las siguientes: UDP, VPN, Antispam, Antiphishing, Antispyware, Filtro de
contenidos, Antivirus, Detección/Prevención de Intrusos (IDS/IPS).
Se trata de cortafuegos a nivel de capa de aplicación que pueden trabajar de dos
modos:
49
NAT de salida. Se permite el tráfico de salida hacia internet desde la red interna con
restricciones de puertos específicos, el historial de tráfico no es almacenado para
futuras valoraciones del mismo, se implementa en las fases iniciales de los
proyectos y las estaciones de trabajo, que por su naturaleza no requieren acceso
por proxy y puertos adicionales de acceso para servicios específicos como
actualizaciones y consola de antivirus.
- Modo proxy implícito. Hacen uso de proxies para procesar y redirigir todo el tráfico
interno, este debe ser configurado en cada una de las estaciones de trabajo (se
deshabilita el NAT en el firewall para impedir que los usuarios desactiven el proxy
en los navegares y puedan navegan sin restricciones), todo el historial del tráfico es
almacenado en el servidor para futuros análisis del mismo y tomar decisiones de
boqueo del tipo de tráfico. Se descarta modo proxy transparente por que no
redirigen ningún paquete que pase por la línea, simplemente lo procesan y son
capaces de analizar en tiempo real los paquetes. Este modo, como es de suponer,
requiere de unas altas prestaciones hardware, implementación de entidad
certificadora para poder utilizar el certificado SSL y posteriormente enviárselo a las
estaciones de trabajo y capturar el trafico https, esta opción no es recomendable
por seguridad e integridad de la red y el tráfico de transacciones bancarias.
Actualmente cuenta con dos salidas a internet el primero con conexión de 5Mb/s a
través de fibra óptica, la segunda con canal ADSL de 10Mb/s, se configura balanceo
de cargas en los canales con ruta predeterminada el canal ADSL, según solicitud
del cliente, se configura prioridad sobre los puertos de voz sobre IP y postgress
para la conexión de datos de cada una de las sedes, el UTM utilizado para esta
solución es pfsense 2.2 el cual es GNU y no requiere licencia.
En la primera fase se configura el proxy en las estaciones de trabajo, permitiendo
todo el flujo de datos (modo monitoreo), para capturarlo y así analizar todo el tipo
de información que viaja desde y hacia el interior de la red de datos de la pyme.
6.5.1 Filtro de contenido. El filtro de contenido se realiza a través de squidguard.
En la etapa inicial se permite todo el tráfico hacia internet y de esta forma capturar
la información de los sitios frecuentados por el personal de la oficina. Para estos
reportes se utiliza sarg, la ruta para acceder a este informe es status/sarg reports.
Se definen tres reportes: diario, semanal y mensual.
50
Tabla 2. Reporte diario de navegación usando Sarq.
Tabla 3. Reporte semanal de navegación usando Sarq.
Se entrega informe de los sitios más visitados por los usuarios y de esta forma pasar
a la fase dos donde se restringen sitios; el proxy está muy ligado al detector de
intrusos, el cual bloqueará las direcciones IP que representen algún riesgo para la
seguridad de la red.
Tabla 4. Top sitios visitados.
En la primera fase se detectó navegación a sitios de ocio y streaming que consumen
ancho de banda innecesarios y disminuyen la productividad del personal, en esta
fase todo el tráfico http y https es permitido, los demás puertos fueron bloqueados
restringiendo el paso a servicios como torrents y otros posibles ataques.
En la segunda fase se implementan los tres filtros definidos inicialmente.
52
6.6 ACCESO TOTAL
Para permitir el acceso sin restricción para las áreas de gerencia y sistemas, las
direcciones IP de las estaciones se definen en el DHCP para que no cambien y no
puedan ser arrendadas o prestadas a otros dispositivos. Para todos los diferentes
perfiles de filtrado se usan las listas negras descargadas de la página de pfsense.
6.7 RESTRINGIDOS
Sitios restringidos como adultos, streaming y redes sociales. Se define el rango de
direcciones IP que estarán limitadas en este perfil.
53
Figura 18. Perfiles de filtrado.
En esta fase se disminuyó un 40% el consumo de internet mejorando la velocidad
en el tráfico, indispensable para el negocio.
Tabla 5. Top 20 tráfico de direcciones IPs.
54
Mediante el análisis de los reportes se detectaron y bloquearon 200 direcciones IP
sospechosas que intentaron ingresar a la red interna desde internet, esto se logró
con el detector de intrusos IDS SNORT.
Figura 19. Direcciones IPs sospechosas.
55
7. CONCLUSIONES
Se cumplieron los objetivos, el general y los específicos propuestos en el desarrollo
del proyecto, realizando la implementación de seguridad perimetral en la empresa
pyme.
El aseguramiento de los servidores para los ataques más comunes desde la red
interna y la red externa con bloqueos a 200 sitios sospechosos, permitió cumplir con
la disminución de las vulnerabilidades y riesgos a los que estaba expuesta la
seguridad informática de la pyme.
Para cumplir con la restricción a sitios de Internet no deseado, fue necesario realizar
el bloqueo de páginas no deseadas tales como páginas de adultos, logrando
bloquear 30 sitios de esta categoría y en la categoría de streaming se bloquearon
50 sitios, esto gracias a la configuración de la fase 1 con el uso del servidor proxy.
Posterior al bloqueo, el personal dejó de navegar a sitios web no deseados
corporativamente, cumpliendo con las normas sobre protección de la información,
además se reflejó un incremento en la productividad de los empleados.
Para reemplazar los servidores Microsoft Windows la mejor opción de las validadas
es zentyal. De acuerdo a las pruebas y las funcionalidades, pfsense solo puede
compartir directorios pero no puede llegar a tomar control de las estaciones de
trabajo Windows, la cual puede ser administrada desde herramientas de escritorio
de servidor remoto de Windows y no requiere licencia de servidor. Entre las
características se encuentran.
- Manejo de usuarios (creación, modificación, eliminación).
- Creación de Gpos (políticas de grupo), con las cuales se pueden definir políticas
corporativas como fondo de escritorio, restricción de dispositivos, permisos sobre
software específicos.
- Creación de unidades organizativas Idap para definición de áreas en la compañía
y aplicar perfiles de filtrado diferenciales en el proxy y políticas de GPO.
- Manejo de grupos para compartir carpetas con diferentes niveles de permisos.
56
- Manejo de credenciales centralizadas por medio de Ldap. Estas credenciales
pueden ser utilizadas para logueo de otras plataformas como servidor de correo y
aplicaciones web.
- Establecer un puno central de almacenamiento de datos de usuarios con manejo
de perfiles móviles sincronizando la información entre el servidor y las estaciones
de trabajo.
Para seguridad perimetral la opción con más funcionalidades para este caso fue
pfsense, que cumple los requerimientos de este proyecto, entre las que se
encuentran:
- Configuración de Rigth Id para VPNS (esta opción es utilizada para los routers
VPNS que se encuentran ubicados detrás de un NAT y en su interface WAN no
tienen una IP pública). Para zentyal fue necesario modificar el código fuente.
- Configuración de diferentes perfiles de cifrado en cada VPN, la fase 1 y fase 2 de
VPN son independientes y pueden configurarse más de uno en la fase 2.
- Configuración de diferentes tipos de cifrado siendo más compatible con los router
y firewall que existen en el mercado.
- Ids con opciones de configuración de niveles de restricciones y validaciones antes
de bloquear los sitios sospechosos hasta el límite de bloquear cada posible ataque.
- Validación del proxy con reglas definidas de acuerdo a los grupos de directorio
activo y unidades organizativas de Idap.
- Configuración de proxy transparente con soporte https, para esto se requiere
configurar la entidad certificadora local para entregar un certificado para las
estaciones de trabajo de cada usuario, en zentyal el proxy transparente no cuenta
con soporte para https.
- Balanceo de cargas de acuerdo a las direcciones IP de origen o puerto de destino.
La empresa no se dio cuenta de los riesgos a los que estaba expuesta sino hasta
después de la implementación, de acuerdo a las siguientes pruebas realizadas.
- Bloqueo de puertos a los cuales los usuarios no deben tener acceso.
- Acceso a los sitios principales para el negocio.
57
- Restricción a sitios de ocio donde se puede descargar software malicioso.
- Escaneo de virus en los archivos descargados por medio de antivirus GNU
instalado como aplicación adicional en el servidor de seguridad.
Se redujeron gastos en comunicaciones con la implementación de VPNs, ya que
este servicio utiliza los canales de internet y no canales dedicados que son 500%
más costosos que los canales de internet normales.
El monitoreo de las direcciones IP provenientes de internet, hizo que se tomara las
medidas de seguridad necesarias bloqueando estas direcciones.
58
BIBLIOGRAFÍA
BERRÍO, Hassan, Seguridad Perimetral (UTM) [blog en línea]. Publicado por
Unknown. [Medellín, Colombia]: Grupo Tic Digital S.A.S., sábado, 6 de agosto de
2011 [citado el 31 de Mayo, 2015]. Disponible desde Internet:
<URL:http://seguridadperimetral-utm.blogspot.com/2011/08/seguridad-perimetral-
utm.html>.
CABALLERO, Alonso. Hacking con Kali Linux. Perú. 2015. 87 p. Versión 2.5 [citado
el 26 de Agosto, 2015]. Disponible desde Internet:
<URL:http://www.reydes.com/archivos/Kali_Linux_v2_ReYDeS.pdf>.
INFORMACIÓN, MUNDO INTERNET 2005. (10: 13-15, abril, 2005: Madrid,
España). Seguridad perimetral en redes. Madrid: Palacio de Congresos de Madrid,
2005. 6 p.
CONTRERAS, Rufino. La Universidad de Oviedo enseña con éxito su proyecto en
seguridad perimetral. En: computing. Enero, 2013. no. 700. 32 p.
Erb, Markus. Gestión de Riesgo. Nicaragua. 6 Amenazas y Vulnerabilidades. 2008
[citado el 31 de Mayo, 2015]. Disponible desde Internet:
<URLhttps://protejete.wordpress.com/gdr_principal/>.
FABUEL, Carlos. Implantación de un sistema de seguridad perimetral. Proyecto fin
de carrera / Trabajo de grado. Madrid: Escuela Universitaria de Ingeniería Técnica
de Telecomunicación, Universidad Politécnica de Madrid – UPM [antigua
denominación]. Ingeniería y Arquitecturas Telemáticas [hasta 2014], 2013. 228 p.
HERZOG, Pete. Open Source Security Testing Methodology Manual (OSSTMM).
Isecom.org, [citado el 26 de Agosto, 2015]. Disponible desde Internet:
<URL: http://www.isecom.org/research/>
MEUCCI, Matteo y MULLER, Andrew. Open web application security Project
(OWASP). Testing guide 4.0. Estados Unidos. 2014. Creative commons (Última
modificación el 3 de Agosto, 2015 a las 12:05), [citado el 26 de Agosto, 2015].
Disponible desde Internet:
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Technical guide to
information security testing and assessment. Estados Unidos. 2008, [citado el 26 de
Agosto, 2015]. Disponible desde Internet:
<URL: http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf>
NOEL, Greg. Build your own IDS firewall with pfsense. Pudai LLC. 2011, [citado el
26 de Agosto, 2015]. Disponible desde Internet:
<URL: http://www.smallnetbuilder.com/other/security/security-howto/31406-build-
Eugenio y DAZA-Martínez, Libardo Alberto. Delitos informáticos y entorno jurídico
vigente en Colombia. Cuadernos de Contabilidad. Bogotá D.C. Diciembre, 2010, vol.
11, no. 28. ISSN 0123-1472.
ORREY, Kevin. Penetration testing framework 0.59. Reino Unido. 2011, [citado el
26 de Agosto, 2015]. Disponible desde Internet:
<URL: http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html>
PASAMAR, Daniel. Guías y tutoriales para implantar las nuevas tecnologías en las
PYMEs. Zentyal: Configuración de proxy transparente. (Última modificación el 25 de
Abril, 2012), [citado el 26 de Agosto, 2015]. Disponible desde Internet: <URL:
http://cerowarnings.blogspot.com/2012/04/zentyal-configuracion-de-proxy.html>
PASAMAR, Daniel. Guías y tutoriales para implantar las nuevas tecnologías en las
PYMEs. Administrar zentyal PDC desde Windows 7. (Última modificación el 20 de
Mayo, 2013), [citado el 26 de Agosto, 2015]. Disponible desde Internet: <URL:
http://cerowarnings.blogspot.com/2013/05/Administar-Zentyal-PDC-Windows-
7.html>
PENTEST-STANDARD.ORG. High level organization of the standard. The
penetration testing execution standard (PTES). Mediawiki. (Última modificación el
16 de Agosto, 2014 a las 20:14 horas), [citado el 26 de Agosto, 2015]. Disponible
desde Internet: <URL: http://www.pentest-standard.org/index.php/Main_Page>
PFSENSE.ORG. Setup snort package. Mediawiki. (Última modificación el 7 de
Enero, 2015 a las 15:00 horas), [citado el 26 de Agosto, 2015]. Disponible desde
Internet: <URL: https://doc.pfsense.org/index.php/Setup_Snort_Package>
60
SANZ, Jonathan. Configuración zentyal proxy. Wordpress. 2013, [citado el 26 de
Agosto, 2015]. Disponible desde Internet: <URL:
https://jonathandcsanz.files.wordpress.com/2013/03/configuracic3b3n-zentyal-
proxy.pdf >
SUÁREZ, Jesús. Administración de sistemas y seguridad. Pfsense: Proxy Squid3
instalación y configuración. España, [citado el 26 de Agosto, 2015]. Disponible
desde Internet: <URL: http://mjesussuarez.blogspot.com/2014/02/pfsense-proxy-
squid3-instalacion-y.html>
VILLALÓN, Antonio. Seguridad en Unix y redes. 2 Ed. Valencia: Autoedición, 2002.
503 p. Versión 2.1.
WIKIPEDIA.ORG. Distribuciones Linux para seguridad perimetral. Wikimedia
Foundation. (Última modificación el 1 Mayo, 2015 a las 20:44 horas), [citado el 31
de Mayo, 2015]. Disponible desde Internet:
<URL:http://en.wikipedia.org/wiki/List_of_router_and_firewall_distributions>.