29-5-2013INSTITUTO TECNOLÓGICO DE TEHUACÁNSEGURIDAD EN REDES,PFSENSE, UNTAGLE Y FORTINETAdministración de redesJosé Abel G...
1TIPOS DE ATAQUESUn ataque de red se produce cuando un atacante utiliza vulnerabilidadesy fallos en la seguridad a diferen...
2Los ataques por denegación de servicio envían paquetes IP o datos detamaños o formatos atípicos que saturan los equipos d...
3suponer que están siendo atacados por un competidor o una agencia degobierno extranjera, cuando en realidad están seguram...
4En el caso Web Spoofing el atacante crea un sitio web completo (falso)similar al que la víctima desea entrar. Los accesos...
5Ataques Mediante Java AppletsJava es un lenguaje de programación interpretado, desarrolladoinicialmente por la empresa SU...
6ya que la mayoría de los usuarios aceptan el certificado sin siquiera leerlo,pudiendo ser esta la fuente de un ataque con...
7as puertas traseras (backdoors) son programas que permiten accesoprácticamente ilimitado a un equipo de forma remota. El ...
8cada vez ofrecerá más recursos y, que cada vez ocupará más espacio ennuestras vidas, por eso, mantener a un niño o adoles...
9es capaz de ejecutar órdenes ilegales - ya sea a nivel de usuario normal oen el nivel de administrador. Las dos son malas...
10com el sistema operativo más seguro del mundo. Packet Filter (PF) estápresente como estándar en FreeBSD desde noviembre ...
11Se trata de un miniPC de FabiaTech, modelo FX5620. El equipo t iene 5puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit...
12La descargamos en D:CompactFlash y descomprimimos el archivo ZIPpara obtener el EXE.Grabación de la CompactFlashVamos a ...
13Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiarde 192.168.1.1 a 192.168.XXX.1Enter the new LAN...
14Conecte el servidor de Untangle en su red como se lo vaya a utilizar,haciendo esto ahora ayudará en las etapas posterior...
15Usted ha instalado satisfactoriamente Untangle en su ordenador y configurarla conexión en red.Ahora ya está listo para d...
16FORTINETINTRODUCCIÓNFortinet es una empresa privada estadounidense, situada en Sunnyvale(California), que se dedica espe...
17INSTALACIÓNConectarnos por consola y configuraciones básicas,Lo primero de todo despues de desempaquetar el FW es asigna...
18Nos conectamos al puerto COM al que está conectado nuestro FW yaceptamos,Para conectarnos ponemos:96008N1N
19Y a partir de ahora por consola podremos administrarlo, para logearnos nosautenticamos con el usuario que viene por defe...
20# set ip 172.16.0.1 255.255.255.0# show (para comprobar que los datos introducidos son correctos)# end (para guardar los...
21Hay dos cosas que hacer nada más comenzar, la primera cambiar lafecha del sistema para que cuando configuremos VPNs no t...
22Para cambiar la contraseña del administrador se hace desde "System" >"Admin" y pulsando sobre el último icono.Metemos la...
Upcoming SlideShare
Loading in …5
×

Seguridad en redes Unidad V

369 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
369
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
11
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Seguridad en redes Unidad V

  1. 1. 29-5-2013INSTITUTO TECNOLÓGICO DE TEHUACÁNSEGURIDAD EN REDES,PFSENSE, UNTAGLE Y FORTINETAdministración de redesJosé Abel Garcia Herrera
  2. 2. 1TIPOS DE ATAQUESUn ataque de red se produce cuando un atacante utiliza vulnerabilidadesy fallos en la seguridad a diferentes niveles (TCP, IPv4, WiFi, DNS,aplicaciones…) para intentar comprometer la seguridad de una red.Existen multitud de tipos de ataques de red, los cuatro tipos básicos: Ataques de denegación de servicio. Ataques contra la autentificación. Ataques de modificación y daño. Ataques de puerta trasera o backdoor.Ataques de denegación de servicio.Un "ataque por denegación de servicio" (DoS, Denial of service) tiene comoobjetivo imposibilitar el acceso a los servicios y recursos de una organizacióndurante un período indefinido de tiempo. Por lo general, este tipo deataques está dirigido a los servidores de una compañía, para que nopuedan utilizarse ni consultarse. La denegación de servicio es unacomplicación que puede afectar a cualquier servidor de la compañía oindividuo conectado a Internet. Su objetivo no reside en recuperar ni alterardatos, sino en dañar la reputación de las compañías con presencia enInternet y potencialmente impedir el desarrollo normal de sus actividades encaso de que éstas se basen en un sistema informático. En términos técnicos,estos ataques no son muy complicados, pero no por ello dejan de sereficaces contra cualquier tipo de equipo que cuente con Windows (95, 98,NT, 2000, XP, etc.), Linux (Debían, Mandrake, RedHat, Suse, etc.),Commercial Unix (HP-UX, AIX, IRIX, Solaris, etc.) o cualquier otro sistemaoperativo. La mayoría de los ataques de denegación de servicioaprovechan las vulnerabilidades relacionadas con la implementación de unprotocolo TCP/IP modelo.Generalmente, estos ataques se dividen en dos clases:Las denegaciones de servicio por saturación, que saturan un equipo consolicitudes para que no pueda responder a las solicitudes reales.Las denegaciones de servicio por explotación de vulnerabilidades, queaprovechan una vulnerabilidad en el sistema para volverlo inestable.
  3. 3. 2Los ataques por denegación de servicio envían paquetes IP o datos detamaños o formatos atípicos que saturan los equipos de destino o los vuelveninestables y, por lo tanto, impiden el funcionamiento normal de los serviciosde red que brindan.Cuando varios equipos activan una denegación deservicio, el proceso se conoce como "sistema distribuido de denegación deservicio" (DDOS, Distributed Denial of Service). Los más conocidos son TribalFlood Network (TFN) y Trinoo.los ataques de denegación pueden ser enviados desde un PC o por varios,pero también existe la posibilidad de que potentes servidores actúen de lamisma forma, a esto se le llama un ataques distribuidos. Estos servidores seles llaman zombies, ya que actúan a la orden del Hacker, el cual conantelación intervino aquella máquina sin que el administrador se dieracuenta por supuesto.Protegerse de estos ataques es facil, la mayoria de ellos se basa en mandarmuchas peticiones a una base de datos, lo cual se puede evitar haciendoun script antiflood. Atacar una base de datos es facil, un server se caefacilmente mandando muchas peticiones sql, que si se mandaran http.Ataques contra la autentificaciónEste tipo de ataque tiene como objetivo engañar al sistema de la víctimapara ingresar al mismo. Generalmente este engaño se realiza tomando lassesiones ya establecidas por la víctima u obteniendo su nombre de usuarioy contraseña. (SAFORAS, 2007)Spoofing-LoopingSpoofing puede traducirse como "hacerse pasar por otro" y el objetivo deesta técnica, justamente, es actuar en nombre de otros usuarios,usualmente para realizar tareas de Snooping o Tampering (ver acontinuación Ataques de Modificación Daño).Una forma común de Spoofing es conseguir el nombre y password de unusuario legítimo para, una vez ingresado al sistema, tomar acciones ennombre de él.El intruso usualmente utiliza un sistema para obtener información e ingresaren otro, y luego utiliza este para entrar en otro, y así sucesivamente. Esteproceso, llamado Looping, tiene la finalidad de "evaporar" la identificacióny la ubicación del atacante.El camino tomado desde el origen hasta el destino puede tener muchasestaciones, que exceden obviamente los límites de un país. Otraconsecuencia del Looping es que una compañía o gobierno pueden
  4. 4. 3suponer que están siendo atacados por un competidor o una agencia degobierno extranjera, cuando en realidad están seguramente siendoatacado por un Insider, o por un estudiante a miles de Kilómetros dedistancia, pero que ha tomado la identidad de otros.SpoofingEste tipo de ataques (sobre protolocos) suele implicar un buen conocimientodel protocolo en el que se va a basar el ataque. Los ataques tipo Spoofingbastante conocidos son el IP Spoofing, el DNS Spoofing y el Web SpoofingIPSpoofingCon el IP Spoofing, el atacante genera paquetes de Internet con unadirección de red falsa en el campo From, pero que es aceptada por eldestinatario del paquete. Su utilización más común es enviar los paquetescon la dirección de un tercero, de forma que la víctima "ve" un ataqueproveniente de esa tercera red, y no la dirección real del intruso.El esquema con dos puentes es el siguiente:Nótese que si la Victima descubre el ataque verá a la PC_2 como suatacante y no el verdadero origen.Este ataque se hizo famoso al usarlo Kevin Mitnick (ver Anexo II).DNS SpoofingEste ataque se consigue mediante la manipulación de paquetes UDPpudiéndose comprometer el servidor de nombres de dominios (DomainName Server–DNS) de Windows NT©. Si se permite el método de recursión enla resolución de "Nombre «Dirección IP" en el DNS, es posible controlaralgunos aspectos del DNS remoto. La recursión consiste en la capacidad deun servidor de nombres para resolver una petición de dirección IP a partir deun nombre que no figura en su base de datos. Este es el método defuncionamiento por defecto.Web Spoofing
  5. 5. 4En el caso Web Spoofing el atacante crea un sitio web completo (falso)similar al que la víctima desea entrar. Los accesos a este sitio están dirigidospor el atacante, permitiéndole monitorear todas las acciones de la víctima,desde sus datos hasta las passwords, números de tarjeta de créditos, etc.El atacante también es libre de modificar cualquier dato que se estétransmitiendo entre el servidor original y la víctima o viceversa.Ataques de modificación y dañoTampering o Data DiddlingEsta categoría se refiere a la modificación desautorizada de los datos o elsoftware instalado en el sistema víctima (incluyendo borrado de archivos).Son particularmente serios cuando el que lo realiza ha obtenido derechosde Administrador o Supervisor, con la capacidad de disparar cualquiercomando y por ende alterar o borrar cualquier información que puedeincluso terminar en la baja total del sistema.Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante;el Administrador posiblemente necesite darlo de baja por horas o díashasta chequear y tratar de recuperar aquella información que ha sidoalterada o borrada.Como siempre, esto puede ser realizado por Insiders u Outsiders,generalmente con el propósito de fraude o de dejar fuera de servicio a uncompetidor.Son innumerables los casos de este tipo: empleados bancarios (o externos)que crean falsas cuentas para derivar fondos de otras cuentas, estudiantesque modifican calificaciones de exámenes, o contribuyentes que paganpara que se les anule una deuda impositiva. Borrado de HuellasEl borrado de huellas es una de las tareas más importantes que deberealizar el intruso después de ingresar en un sistema, ya que, si se detectasu ingreso, el administrador buscará como conseguir "tapar el hueco" deseguridad, evitar ataques futuros e incluso rastrear al atacante.Las Huellas son todas las tareas que realizó el intruso en el sistema y por logeneral son almacenadas en Logs (archivo que guarda la información delo que se realiza en el sistema) por el sistema operativo.Los archivos Logs son una de las principales herramientas (y el principalenemigo del atacante) con las que cuenta un administrador para conocerlos detalles de las tareas realizadas en el sistema y la detección de intrusos.
  6. 6. 5Ataques Mediante Java AppletsJava es un lenguaje de programación interpretado, desarrolladoinicialmente por la empresa SUN. Su mayor popularidad la merece por sualto grado de seguridad. Los más usados navegadores actuales,implementan Máquinas Virtuales Java (MVJ)para ser capaces de ejecutarprogramas (Applets) de Java.Estos Applets, al fin y al cabo, no son más que código ejecutable y comotal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo deldiseño, Java siempre ha pensado en la seguridad del sistema. Lasrestricciones a las que somete a los Applets son de tal envergadura(imposibilidad de trabajar con archivos a no ser que el usuario especifiquelo contrario, imposibilidad de acceso a zonas de memoria y discodirectamente, firma digital, etc.) que es muy difícil lanzar ataques. Sinembargo, existe un grupo de expertos(1) especializados en descubrir fallasde seguridad(2) en las implementaciones de las MVJ.Ataques Mediante JavaScript y VBScriptJavaScript (de la empresa Netscape®) y VBScript (de Microsoft®) son doslenguajes usados por los diseñadores de sitios Web para evitar el uso deJava. Los programas realizados son interpretados por el navegador.Aunque los fallos son mucho más numerosos en versiones antiguas deJavaScript, actualmente se utilizan para explotar vulnerabilidadesespecíficas de navegadores y servidores de correo ya que no se realizaninguna evaluación sobre si el código.Ataques Mediante ActiveXActiveX es una de las tecnologías más potentes que ha desarrolladoMicrosoft®. Mediante ActiveX es posible reutilizar código, descargarcódigo totalmente funcional de un sitio remoto, etc. Esta tecnología esconsiderada la respuesta de Microsoft®Java.ActiveX soluciona los problemas de seguridad mediante certificados yfirmas digitales. Una Autoridad Certificadora (AC) expende un certificadoque acompaña a los controles activos y a una firma digital delprogramador.Cuando un usuario descarga una página con un control, se le preguntarási confía en la AC que expendió el certificado y/o en el control ActiveX. Siel usuario acepta el control, éste puede pasar a ejecutarse sin ningún tipode restricciones (sólo las propias que tenga el usuario en el sistemaoperativo). Es decir, la responsabilidad de la seguridad del sistema se dejaen manos del usuario, ya sea este un experto cibernauta consciente de losriesgos que puede acarrear la acción o un perfecto novato en la materia.Esta última característica es el mayor punto débil de los controles ActiveX
  7. 7. 6ya que la mayoría de los usuarios aceptan el certificado sin siquiera leerlo,pudiendo ser esta la fuente de un ataque con un control dañino.La filosofía ActiveX es que las Autoridades de Certificación se fían de lapalabra del programador del control. Es decir, el programador secompromete a firmar un documento que asegura que el control no esnocivo. Evidentemente siempre hay programadores con pocos escrúpuloso con ganas de experimentar.Así, un conocido grupo de hackers alemanes(3), desarrolló un controlActiveX maligno que modificaba el programa de Gestión BancariaPersonal Quicken95© de tal manera que si un usuario aceptaba el control,éste realizaba la tarea que supuestamente tenía que hacer y ademásmodificaba el Quicken, para que la próxima vez que la víctima seconectara a su banco, se iniciara automáticamente una transferencia auna cuenta del grupo alemán .Ataques de puerta trasera o backdoor"Cualquier medio capaz de ampliar el alcance del hombre es losuficientemente poderoso como para derrocar su mundo. Conseguir que lamagia de ese medio trabaje para los fines de uno, antes que en contra deellos, es alcanzar el conocimiento.""Es extraña la ligereza con que los malvados creen que todo les saldrá bien."El término es adaptación directa del inglés backdoor que comúnmentesignifica "puerta de atrás". A pesar de que no se consideran propiamentecomo virus, representan un riesgo de seguridad importante, y usualmenteson desconocidas la inmensa gama de problemas que estas puedan llegara producir. Al hablar de ellas nos referimos genéricamente a una forma "nooficial" de acceso a un sistema o a un programa.Algunos programadores dejan puertas traseras a propósito, para poderentrar rápidamente en un sistema; en otras ocasiones existen debido a falloso errores. Ni decir que una de las formas típicas de actuación de los piratasinformáticos es localizar o introducir a los diversos sistemas una puerta traseray entrar por ella. Estos programas no se reproducen solos como los virus, sinoque usualmente nos son enviados con el fin de tener acceso a nuestrosequipos a través del correo electrónico, por lo que no son fáciles de detectary por si solos no siempre causan daños ni efectos inmediatos por su solapresencia, por lo que pueden llegar a permanecer activos mucho tiemposin que nos percatemos de ello.
  8. 8. 7as puertas traseras (backdoors) son programas que permiten accesoprácticamente ilimitado a un equipo de forma remota. El problema, paraquien quiere usar este ataque, es que debe convencerlo a usted de queinstale el servidor. Por eso, si aparece un desconocido ofreciéndole algúnprograma maravilloso y tentador, no le crea de inmediato. Lo que estánprobablemente a punto de darle es un troyano, un servidor que leproporcionará a algún intruso acceso total a su computadora.Con todo el riesgo que esto implica, hay una forma simple y totalmentesegura de evitarlo: no acepte archivos ni mucho menos ejecute programasque le hayan mandado sobre todo si son de procedencia dudosa. Losprogramas que se clasifican como "backdoors" o "puertas traseras" sonutilerías de administración remota de una red y permiten controlar lascomputadoras conectadas a ésta.INFRACCIONES EN LA REDAunque hay un montón de personas que utilizan el Internet y lascomputadoras de manera responsable y honestamente, no sondepredadores y piratas que hay que estropear la diversión para todos, si sushechos sucios fuera de control. Hay un montón de maneras para que estagente ponga en peligro el equipo y la red. A continuación vamos a revisaralgunas de las formas en que puede ser su red comprometida.La red nos atrapa, y sus consecuencias se manifiestan físicamente. Lacuestión es que venimos presenciando la difusión diaria de noticiasrelacionadas con toda clase de abusos y delitos cometidos a través deInternet: estafas, injurias, amenazas, acoso, pedofilia… ¿Significa esto queen Internet no hay control posible? Desde el punto de vista de los autoresdel comportamiento ilícito hay control, tanto jurídico como técnico. Desdeel punto de vista de las víctimas, también hay control, pero pasaforzosamente por la “prudencia” y la “enseñanza”.Vemos y oímos que determinadas infracciones legales, de carácterdelictivo, cada vez se producen con más frecuencia en el entorno deInternet, y eso, en vez de incentivarnos para conocer mejor cómo nos puedeafectar, o para acercarnos a un uso responsable de la Red, nos llevageneralmente al rechazo.Esto en el mundo de los adultos es grave, muy grave (véase sino lo que vieneocurriendo con el legislador a la hora de poner controles a la Red), pero silo llevamos hoy al terreno de los menores de edad, entonces el efecto setorna en perverso. Nadie duda que Internet va a estar ahí mañana, que
  9. 9. 8cada vez ofrecerá más recursos y, que cada vez ocupará más espacio ennuestras vidas, por eso, mantener a un niño o adolescente lejos delordenador en el “analfabetismo digital”, no hará sino perjudicarlegravemente en su madurez. Cuando quieran superar esta carencia, es muyposible que las oportunidades perdidas por el camino sean ya del todoirrecuperables para él.Dos infracciones red destructivos entran en una categoría conocida como"comportamiento destructivo". Uno de ellos implica la destrucción completade datos dentro de su red. Se llama "la destrucción dedatos", y es justo loque parece. Esto ocurre cuando alguien violaciones de la red y los datosborrados. Si la red está relacionada con el negocio, esto puede serdevastador. Los expertos dicen que no lo es menos destructivo que el fuegoque destruye a su equipo informático.Algunos autores han más que la simple destrucción de la mente. Ellos hacenalgo que se llama "diddling de datos" lo que significa que alterar los datosen su sistema. Pueden cambiar los datos en hojas de cálculo u otrosdocumentos, o pueden alterar el sistema de contabilidad. Algunos ejemplosde cosas que han sucedido realmente implica el sistema de contabilidaden particular. "Hackers" han entrado en una red, acceder al sistemacontable, y cambia los números de cuenta de cheques de pago dedepósito directo para ir a sus propias cuentas. Los robos de este tomaráalgún tiempo para rastrear - en primer lugar que el empleado no tiene querecibir el pago, las investigaciones tienen que hacerse, y alguien tiene quepensar en volver a verificar la directa cuenta de depósito de la información.En algunos casos, las empresas han reducido nuevos cheques de papel y seha tomado meses para recuperar los fondos perdidos.Otra forma en que las redes son vulnerables en el ámbito de laconfidencialidad. Muchas veces, las empresas disponen de informaciónque, de ser compartida con un competidor, puede ser muy malo para losnegocios. En este caso, los depredadores no busca alterar o destruir losdatos, que simplemente están tratando de encontrar información que no sesupone que sabe. Si alguien fuera a encontrar información financiera antesde una versión pública de dicha información podría afectar negativamentea la acción. Si a empresa está planeando lanzar un nuevo producto y quealguien se de la información y se lo da a un competidor, o fugas de lainformación al público, que podría afectar las ventas de la compañía. Aúnmás alarmante es la posibilidad de que alguien que se rompe para verconfidenciales relacionados con los empleados de datos - como ladirección postal, números de seguridad social, y la información de la cuentabancaria.odos estos ataques a la red ocurren porque los usuarios externos puedenobtener acceso no autorizado a una red. Para acceder a la información, losdatos de cambiar o eliminar datos, el atacante obtiene acceso a una red y
  10. 10. 9es capaz de ejecutar órdenes ilegales - ya sea a nivel de usuario normal oen el nivel de administrador. Las dos son malas, pero por suerte ambos sepueden evitar si se toma en serio esas amenazas y desarrollar las políticasadecuadas en relación con su de seguridad de red.CERTIFICACIONESLas certificaciones no pueden compensar lo que se gana con la experienciareal, aunque la demanda creciente y la proliferación de certificacionespueden dejar rezagadas a aquellas personas que no las tienen. La mayoríade las certificaciones deben ser renovadas después de algunos años, por logeneral antes de cinco años.ALGUNAS CERTIFICACIONES CISSP: Certified Information System SecurityProfessional CompTIA: Security+ Professional CISA: Certified InformationSystem Auditor CISM: Certified Information System Manager GIAC: GlobalInformation Assurance Certification CCSP: Cisco Certified SecurityProfessional CCNA: Cisco Certified Network Associate CCSP: Cisco CertifiedSecurity Professional MCP: Microsoft Certified System Professional MCSA:Microsoft Certified System Associate MCSE: Microsoft Certified SystemEngineer CCSE: Check Point Certified Security Expert CPP: CertifiedProtection Professional CIA: Certified Internal Auditor.CISSP Certified Information System Security Professional Primera certificaciónreconocida por la ANSI . Se apoya en la Norma 17024:2003 de la ISO Lacertificación CISSP acredita conocimiento en los diez dominios del CBK(Common Body of Knowledge), designados por (ISC)2 (InternationalInformación Systems Security Certification Consortium). s.DOMINIOS DEL CBK Sistema de Control de Acceso y Metodología Seguridaden el Desarrollo de Sistemas y Aplicaciones Plan de Continuidad del Negocio(BCP) y Plan de Recuperación Ante Desastres (DRP). Criptografía Leyes,Investigaciones y Ética Seguridad de Operaciones Seguridad FísicaArquitectura de Seguridad y Modelos Prácticas en la Gestión de laSeguridad Seguridad en Redes, Telecomunicaciones e Internet.PFSENSEINTRODUCCIÓNpfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Suobjetivo es tener un cortafuego (firewall) fácilmente configurable a travésde una interfase web e instalable en cualquier PC, incluyendo los miniPC deuna sola tarjeta.Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, portanto, de libre distribución. El cortafuego forma parte del Kernel del sistema.De hecho, se trata del Packet Filter (PF) originario de OpenBSD, considerado
  11. 11. 10com el sistema operativo más seguro del mundo. Packet Filter (PF) estápresente como estándar en FreeBSD desde noviembre de 2004. Incluyefuncionalidades como el regulador de caudal ALTQ, que permite asignarprioridades por tipo de tráfico. Los desarrolladores de pfSense escogieronFreeBSD en lugar de OpenBSD por su facilidad de instalación en el mundode lps PCs y porqué ya existía BSD Installer, una versión muy, muy reducidade FreeBSD. Todo ello da una gran flexibilidad a la solución pfSense, ya quese puede montar tanto en equipos miniPC (basados en una sola placa) queemplean como disco una Compact Flash como en PC estándar con discoduro. En este último caso se pueden añadir paquetes como Snort, Squid,Radius, etc. En esta web se explica cómo se ha configurado un pfSense 1.0.1(octubre/noviembre 2006) que está en producción. En ningún caso es unaweb donde se tratan todas las posibilidades de este cortafuego de códigolibre.INSTALACIÓNAntes de la implantación definitiva de pfSense se tuvieron que hacer lossiguientes cambios en la red:Dividir el cableado existente en seis redes físicas. Ello se hizo pasando algunoscables más del armario secundario al armario primario, instalando másconcentradores (switch) en ambos armarios y cambiando el conexionadode equipos en los armarios. No hay más de dos concentradoresencadenados (tal como estaba antes de los cambios).Adoptar DHCP en todos los ordenadores clientes. Ello se hizo activandoprovisionalmente DHCP en uno de los routers ADSL. Cambiar todos losprocesos por lotes (archivos BAT y CMD en Windows, scripts de shell enmáquinas Unix/Linux) que empleaban direcciones IP locales, poniendo sucorrespondiente nombre de máquina. Cambiar todos los puertos deimpresora que estaban por dirección IP local, poniendo su correspondientenombre de máquina. Asegurarse que el DNS local resuelve correctamentetodos los nombres de máquina. Asegurarse que el archivo hosts de lasmáquinas sólo contiene la línea: 127.0.0.1 localhost. Es decir, que no seemplea para resolver nombres de máquina, excepto localhost. Cambiar laconfiguración proxy de los navegadores de Internet, poniendo laconfiguración automática http://www.dominio.ejemplo/proxy.pac.Deshabilitar el acceso sin hilos de todas las impresoras que tienen estafuncionalidad, dejando sólo el acceso por red cableada.Hardware utilizado
  12. 12. 11Se trata de un miniPC de FabiaTech, modelo FX5620. El equipo t iene 5puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede incorporar undisco duro de 2,5" (como los que llevan los portátiles) y una Compact Flash(que actúa como disco duro).Se adquirió en Gran Bretaña,http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido eldomingo por la noche (pago con tarjeta de crédito) y el martes por lamañana ya llegaba (cerca de Barcelona)...Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a unproveedor local.Descarga de pfSenseSe puede ir a la web oficial www.pfsense.org, pero hay otros repositorios conconfiguraciones ajustadas.Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se encuentranversiones preparadas según la unidad que reconoce pfSense para laCompact Flash y según su tamaño.FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2(tercer disco ATA en FreeBSD).En uno de nuestros servidores FreeBSD hicimos:mkdir pfSensecd pfSensevi fetch.sh#!/bin/shfetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gz.md5fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-ad2.img.gzchmod +x fetch.sh./fetch.shComprobamos la firma del archivo:md5 pfSense-1.0.1-512-ad2.img.gzcat pfSense-1.0.1-512-ad2.img.gz.md5Descarga de physdiskwritephysdiskwrite es una pequeña utilidad que permite escribir imágenes dedisco. Se la puede encontrar en:http://m0n0.ch/wall/physdiskwrite.php
  13. 13. 12La descargamos en D:CompactFlash y descomprimimos el archivo ZIPpara obtener el EXE.Grabación de la CompactFlashVamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS)d:cd /compactflashEjecutamos:physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gzObtendremos una respuesta similar a:Searching for physical drives ...Information for .PhysicalDrive0:Wich disk do you want to write <0..0>?Cancelamos la ejecución mediante Ctl+CCon ello hemos visto qué discos físicos tiene nuestra máquina.Insertamos ahora la Compact Flash y volvemos a ejecutar:physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gzVemos que nos detecta un disco físico más y cambia la pregunta final:Wich disk do you want to write <0..2>?Indicamos pues el número de disco físico para la CompactFlash (en mi casoel 2).El proceso de grabación empieza y dura un buen rato (media horaaproximadamente).Configuración inicial de pfSenseUna vez instalada la Compact Flash en el FX5620 (con el equipo sinalimentación) lo ponemos en marcha con un monitor, teclado y cable dered conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/sy que pfSense reconoce como re0).Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN yla WAN:Do you want to set up VLANs now [y|n]? nEnter the LAN interface name or a for auto-detection: re0Enter the WAN interface name or a for auto-detection: rl0Enter the Optional 1 interface name or a for auto-detection(or nothing is finished):Y confirmar la operación:LAN -> re0WAN -> rl0Do you want to proceed [y|n]? yEl sistema carga su configuración por defecto y presenta al final laindicación de que la LAN es 192.168.1.1 y su menú de consola.
  14. 14. 13Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiarde 192.168.1.1 a 192.168.XXX.1Enter the new LAN IP address: 192.168.XXX.1Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.e.g. 255.255.255.0 = 24255.255.0.0 = 16255.0.0.0 = 8Enter the new LAN subnet bit count: 24Do you want to enable the DHCP server on LAN [y|n]? nConfirmando la operación se nos informará de la nueva dirección.A partir de aquí, normalmente emplearemos el configurador web, yendo ahttp://192.168.XXX.1El acceso directo a la consola de los cortafuegos tiene la pega de estarconfigurado con el teclado inglés. En caso de querer acceder alcortafuegos vía consola siempre será más cómodo hacerlo por SSH. Esteacceso sí que nos reconocerá nuestro teclado (empleando, por ejemplo, elcliente PuTTY). En [Configuración base] explico cómo activar el acceso porSSH.UNTANGLEEl Servidor Untangle le da una forma sencilla de proteger, controlar ysupervisar el equipo red. Ofrece la tecnología necesaria para protegerse deamenazas como virus, spyware y ataques. Protege la productividadmediante el control de Web ilegítima surf, y da una en profundidad vista dela actividad de la red. Todo esto en un solo utilizable interfaz.Reports proporciona informes claros y concisos acerca tráfico de red y lapolítica de violaciónes. Con este información que puede detectar losproblemas relacionados con virus o spyware, así como supervisar ilegítimacomportamiento de los usuarios, tales como navegación por Internet oinstantánea de mensajería.El Servidor Untangle se ejecuta en un PC situado entre la conexión a Internet(módem de cable o DSL, etc) y el interruptor de red informática. Se puedesustituir o complementar una ya existente o router Firewall.Requisitos de hardwareResource Minimum Recommended Note: CPU: 1.0 GHz 2.0+ GHzYou must have a bootable Memory:512 MB 1-2 GB CD/DVD driveinstalled inHard Drive: 20 GB 40+ GB order to install Untangle Network Cards:2 3+ (for DMZ) server on your computer.Paso 1. Conecte el servidor
  15. 15. 14Conecte el servidor de Untangle en su red como se lo vaya a utilizar,haciendo esto ahora ayudará en las etapas posteriores de la instalación. Lossiguientes diagramas muestran los dos métodos más comúnmente utilizados.Si necesita que su servidor Untangle preparados fuera de la primera línea,asegúrese de que el servidor Untangle tiene acceso a Internet. Usted serácapaz de conectarlo según lo previsto más adelante.Si ya tienes un router / firewall y quieres mantenga instalado, instale elservidor Untangle entre el firewall y el conmutador interno principal. En esteescenario, el servidor Untangle funcionará como un puente. No es necesariocambiar la ruta por defecto (gateway) en cualquier equipo detrás delfirewall, ni el cambio de las rutas en el router.Si no tienes una ya existente o un router que desea reemplazar su enrutadorexistentes, conecte el Untangle servidor como se muestra aquí. Además,proporcionará servicios de enrutamiento para su red, así como protecciónde firewall.Paso 2. El asistente de instalación de CDEsta serie de pasos que se instalará Untangle y su sistema operativo en suordenador. Conecte un monitor, teclado y ratón para el ordenador. Si utilizaun teclado / monitor cambiar, no cambie de distancia durante la instalacióny configuración, los pasos 1 a 4.ADVERTENCIA: Esto borrará todos los datos en el disco duro que usted elija.PASOS PARA LA INSTALACIÓN1) Comience por iniciar su equipo con el UntangleInstalar el CD insertado.2) Si después de un par de minutos no aparece la página Elegirpantalla Idioma, puede que tenga que instruir a suordenador para que arranque desde la unidad de CD .*3) Seguir los pasos del asistente.4) Cuando la instalación se haya completado, el sistemareiniciar el sistema. Recuerde que debe retirar el CD. Usted estálistos para empezar a configurar Untangle.* Es posible que deba modificar el BIOS para establecer el orden dearranquea unidad de CD / DVD primero.Paso 3. Untangle básicos de configuración del servidorCuando el sistema se hace reiniciar el sistema, éste se iniciaráautomáticamente el asistente para ayudarle a configurar Untangle para suuso en la red.Siga los pasos del asistente.Paso 4. Descarga de aplicaciones
  16. 16. 15Usted ha instalado satisfactoriamente Untangle en su ordenador y configurarla conexión en red.Ahora ya está listo para descargar aplicaciones. Si no está seguro de laprensa ¿Qué aplicaciones deboutilizar? botón y el Application Wizard le ayudará. Si sabes lo que quieresinstalar, hacerlo siguiente:• Haga clic en la aplicación que desea descargar. (Paso 1).• Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora",dependiendo de lo que le gustaría hacery qué opciones están disponibles (paso 2). Las solicitudes de primas estándisponibles en 14 díasversión de prueba gratuita.• La aplicación aparecerá en su estante después de que haya sidodescargado (paso 3).Paso 5. Configuración de las aplicacionesCasi todas las aplicaciones Untangle automáticamente instalar y ejecutar(como se ve por el verde "en la luz". Si desea cambiar la configuraciónpredeterminada, haga clic en el botón Configuración para exponerpersonalizable ajustes. Después de hacer cambios, haga clic en Guardarpara aceptar los cambios. Haga clic en Cancelar si no desea guardar loscambios. Utilice el botón "Power" para desactivar o reactivar la demanda.Utilice el botón "Eliminar" para eliminar una aplicación de la parrilla si ya nolo necesite.Asistencia TécnicaEstamos encantados de ayudarle! Para obtener asistencia técnica con lainstalación, configuración y funcionamiento de su servidor Untangle:• Soporte en línea: http://www.untangle.com/support• Manual del usuario en línea: http://wiki.untangle.com• Untangle Comunidad Foros: http://forums.untangle.comsuscriptores de pago pueden recibir asistencia en vivo. Consulte nuestrapágina de soporte para obtener más detalles¿Cómo puedo obtener una Untangle CD de instalación?Usted puede descargar un CD de instalación en Untanglehttp://www.untangle.com/download, a continuación, grabarmismo mediante un software de grabación de CD (como Nero o CD BurnerXP). Nota: Esta es una imagen ISO. Paragrabar un CD de instalación desde una imagen ISO, consulte ladocumentación del software para quemar CD.Asi lo veras cuando los usuarios ejecuten una pagina ke ya este configuradaen el Untangle.
  17. 17. 16FORTINETINTRODUCCIÓNFortinet es una empresa privada estadounidense, situada en Sunnyvale(California), que se dedica especialmente al diseño y fabricación decomponentes y dispositivos de seguridad de redes (firewalls, UTM...).La compañía que fue fundada en el año 2000 por Ken Xie y desde entoncesha tenido una gran proyección en el mundo de la seguridad de lascomunicaciones. Actualmente es la marca de referencia en sistemas deseguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha poreste mercado. En los últimos añosFortigate produce una amplia gama de dispositivos para la protección deredes: FortiGate-60C, FortiGate-50B, FortiGate-60B, FortiGate-100A,FortiGate-200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A, FortiGate-800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A,FortiGate-3016B y FortiGate-5000 series.Además de estos, también cuenta con dispositivos wifi, y servidores paracentralizar la seguridad de una empresa con múltiples fortigates dispersos enla red.
  18. 18. 17INSTALACIÓNConectarnos por consola y configuraciones básicas,Lo primero de todo despues de desempaquetar el FW es asignarle una IPfija para la interfaz INTERNAL y poder administrarlo vía web que es máscómodo que por comandos. Así que o cambiamos la IP a nuestro PC o sela cambiamos al FW. La IP que trae por defecto el FW es la 192.168.1.99, lomejor es NO conectar el FW a la red hasta que no se le asigne una IP fija yaque puede causarnos una IP duplicada, y además que trae el servicioDHCP habilitado por defecto para la interfaz INTERNAL. Así queconectamos el cable de consola al FW y al PC, abrimos en nuestro PC el"HyperTerminal" desde "Inicio" > "Programas" > "Accesorios" >"Comunicaciones" > "HyperTerminal" y creamos una nueva conexión.tLe ponemos un nombre cualquiera y "Aceptar".
  19. 19. 18Nos conectamos al puerto COM al que está conectado nuestro FW yaceptamos,Para conectarnos ponemos:96008N1N
  20. 20. 19Y a partir de ahora por consola podremos administrarlo, para logearnos nosautenticamos con el usuario que viene por defecto que es "admin" y sincontraseña.Lo único que haré por consola será indicarle una IP fija a la pata de laINTERNAL que será la 172.16.0.1, para ello:# config system interface# edit internal
  21. 21. 20# set ip 172.16.0.1 255.255.255.0# show (para comprobar que los datos introducidos son correctos)# end (para guardar los cambios)Ahora ya podremos conectarnos al FW, lo haremos por HTTPS ya que eltráfico va cifrado y la contraseña no va en texto plano por la red. Así quehttps://172.16.0.1, usuario: admin y sin password.
  22. 22. 21Hay dos cosas que hacer nada más comenzar, la primera cambiar lafecha del sistema para que cuando configuremos VPNs no tengamosproblemas de sincronizaciones; y la otra cambiar la contraseña deladministrador del FW. Lo primero se hace desde la misma pantalla de"Status" en "System Time" pinchando en "Change".Seleccionamos nuestra zona horaria y pulsamos OK, luego en la pantallade "Status" volvemos a comprobar que está OK.
  23. 23. 22Para cambiar la contraseña del administrador se hace desde "System" >"Admin" y pulsando sobre el último icono.Metemos la clave actual (ninguna)y la que queremos tener dos veces,pulsamos sobre OK.

×