SEGURIDAD EN LA REDADMINISTRACION DE REDESCatedrático:Francisco Vázquez GuzmánElaborado por:Fabiola Aguilar MartínezTehuac...
SEGURIDAD EN LA REDINTRODUCCIONEs muy probable que al dejar la oficina al final del día active el sistema dealarma y bloqu...
solo pueda justificarse en entornos con un reducido número de máquinas permitiendo,concentrar todos los esfuerzos en el co...
TIPOS DE ATAQUESSCANNING (BÚSQUEDA)El Scaneo, como método de descubrir canales de comunicación susceptiblesde ser explotad...
en cambio, suelen ignorar el paquete en cuestión. Fragmentation ScanningEsta no es una nueva técnica de escaneó como tal,...
establecidas por la víctima u obteniendo su nombre de usuario y password. Spoofing-LoopingSpoofing puede traducirse como ...
 IP Splicing-HijackingSe produce cuando un atacante consigue interceptar una sesión yaestablecida. El atacante espera a q...
se ha encontrado la clave de acceso al sistema mediante el usuariocorrespondiente a la clave hallada. Actualmente es posib...
atacante establece mil conexiones y no realiza ninguna petición sobre ellas,monopolizará la capacidad del servidor. Las co...
debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink.ATAQUES DE MODIFICACIÓN-DAÑO Tampering o Da...
Cuando apareció JavaScript, éste permitía el envío de mensajes de correoelectrónico sin el reconocimiento del usuario, la ...
INSTRUSIONES EN LA REDLa detección de ataques e intrusiones parte de la idea que un atacante escapaz de violar nuestra pol...
Un segundo sistema de detección de ataques en tiempo real que hay quedestacar fue Dis- covery, capaz de detectar e impedir...
procesadores de eventos que implementan este esquema analizan los eventos enbusca de patrones de ataque conocidos o activi...
CERTIFICADOS DE SEGURIDADLos certificados de seguridad, mejor conocidos como SSL (Secure SocketsLayer), son un conjunto de...
SSLEl propósito de SSL es proporcionar seguridad a un sitio Web cifrando lascomunicaciones entre el servidor (el equipo do...
en línea con tarjeta de crédito. Si el sitio Web maneja transacciones comerciales,en donde se trasmitan datos de tarjetas ...
Tipos de certificados de seguridadExisten diferentes tipo de certificados SSL que se pueden usar en un sitioWeb, creo que ...
Estos certificados son muy similares a los de validación de dominios, ladiferencia es que para estos es necesario validar ...
True BusinessID: El certificado True BusinessID es válido para un único dominioo subdominio y permite una encriptación de ...
al siguiente linkhttp://www.pfsense.org/?option=com_content&task=view&id=45&Itemid=48CARACTERISTICASPfSense incluye la may...
INSTALACIONBueno para comenzar con la instalacion lo primero que debemos de tener a lamano es la imagen de pfSense, despue...
Interfaces: Este es el paso donde el sistema identifica las interfaceslan y wan. Lascuales se pueden hacer automáticas.Sel...
Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto.En este paso si se comienza a dar la inst...
Geometria disco Selecionamos la geometria del disco.Formato Damos inicio al formato del disco.Particionamiento Se nos pide...
Particionado : Se puede instalar otros sistemas de archivos pero por defecto vieneseleccionado FreBSD.Partición; Nos pregu...
Particionamiento final: Nos muestra como quedo el particionado en nuestro disco.Copiando archivos: En este momento se está...
Password: pfsenseDespués de autenticarte estarás dentro del entorno web que hay que cambiaralgunos parámetros que están po...
UntangleEs una plataforma para desplegar aplicaciones basadas en redes. Laplataforma une estas aplicaciones alrededor de u...
gradualmente. El espacio de seguridad de IT está ahora listo para la entrada, yUntangle está recogiendo la espada.Filosofí...
InstalaciónPASO 1. Conecte el servidor de Untangle en su red como se lo vaya autilizar, haciendo esto ahora ayudará en las...
cambios y Cancelar para rechazarlos. Las aplicaciones se activan o desactivandando clic en el botón de OnPara remover las ...
 Único modo de ofrecer protección completa en tiempo real Líderes en el mercado utm según idc desde 2003 hasta el 2009Fo...
Entre los beneficios de la gama FortiAP cabe destacar los siguientes: Autenticación: la autenticación más fuerte con WPA2...
Los productos de Fortinet ofrecen potección dinámica a través de los servicios desuscripción de seguridad FortiGuard los c...
Seguridad en la red
Upcoming SlideShare
Loading in …5
×

Seguridad en la red

1,678 views

Published on

Trabajo de Seguridad en la Red del Instituto Tecnologico de Tehuacan

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,678
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
38
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad en la red

  1. 1. SEGURIDAD EN LA REDADMINISTRACION DE REDESCatedrático:Francisco Vázquez GuzmánElaborado por:Fabiola Aguilar MartínezTehuacán, Pue; 29 de mayo del 2013
  2. 2. SEGURIDAD EN LA REDINTRODUCCIONEs muy probable que al dejar la oficina al final del día active el sistema dealarma y bloquee la puerta para proteger el equipo y la oficina. También puede quedisponga de un archivador con candado para guardar los documentos confidencialesde la empresa.Su red de computadoras necesita el mismo tipo de protección.Las tecnologías de seguridad de redes protegen su red contra el robo y el usoincorrecto de información confidencial de la empresa y ofrecen protección contraataques maliciosos de virus y gusanos de Internet. Sin ninguna seguridad de la red,su compañía se enfrenta a intrusiones no autorizadas, periodos de inactividad de lared, interrupción del servicio, incumplimiento de las normas e incluso a accioneslegales.Es por eso que muchos sistemas están expuestos a agujeros de seguridad queson explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estasvulnerabilidades ocurren por varias razones y miles de puertas invisibles condescubiertas cada día en sistemas operativos, aplicaciones de software, protocolosde red, browsers de internet, correo electrónico y todas clases de servicios informáticodisponible.Los sistemas operativos abiertos como Unix y Linux tienen agujeros másconocidos y controlados que aquellos que existen en sistemas operativos cerradoscomo Windows. La importancia y ventaja del código abierto radican en miles deusuarios analizan dicho código en busca de posibles bug s y ayudan a obtenersoluciones en forma inmediata.Constantemente encontramos en internet avisos de nuevos descubrimientos deproblemas de seguridad y herramientas de hacking que los explotan, por lo que hoytambién se hace indispensable contar con productos que conocen esas debilidades,puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.La seguridad es un tema que debe inquietar a cualquier organización que hoydía decida conectarse a su red a otras sobre Internet. El número de incidentes contrasistemas conectados casi se duplica cada año, según el Coputer EmergencyResponse Team Coordination Center (CERT-CC).Todas las líneas actuales de investigación en seguridad de redes compartenuna idea: la concentración de la seguridad en un punto. Se obliga a que todo el tráficoentre la red que se pretende proteger y las redes externas pase por un mismo punto.Este punto se conoce con el nombre de firewall, y físicamente puede ser desde unsimple host para un complejo conjunto de redes separadas por routers. El empleo deun firewall presenta enormes ventajas sobre los enfoques de seguridad en redestradicionales que requieren la seguridad individual de cada host conectado, y por tan
  3. 3. solo pueda justificarse en entornos con un reducido número de máquinas permitiendo,concentrar todos los esfuerzos en el control de tráfico a su paso por el firewall.Funcionamiento de la seguridadLa seguridad de la red no se basa en un método concreto, sino que utiliza un conjuntode barreras que defienden su negocio de diferentes formas. Incluso si falla unasolución, se mantendrán otras que protegerán la compañía y sus datos de una granvariedad de ataques a la red.Las capas de seguridad de la red garantizan que tenga a su disponibilidad lainformación importante en la que se basa para dirigir su negocio y que estaráprotegida de las diferentes amenazas. En concreto, la seguridad de la red: Protege contra ataques a la red tanto internos como externos. Las amenazasse pueden originar tanto dentro como fuera de la estructura de su empresa. Unsistema de seguridad efectivo supervisará toda la actividad de la red, detectaráel comportamiento malicioso y adoptará la respuesta adecuada. Garantiza la privacidad de todas las comunicaciones, en cualquier lugar y encualquier momento. Los empleados pueden acceder a la red desde casa omientras se desplazan con la garantía de que sus comunicaciones seránprivadas y estarán protegidas. Controla el acceso a la información mediante la identificación exhaustiva de losusuarios y sus sistemas. La empresa puede establecer sus propias reglassobre el acceso a los datos. La denegación o la aprobación se puede otorgarsegún las identidades de los usuarios, la función del trabajo u otros criteriosespecíficos de la empresa. Le hará más confiable. Puesto que las tecnologías de seguridad permiten a susistema evitar ataques conocidos y adaptarse a las nuevas amenazas, losempleados, clientes y Socio de Negocioss comerciales pueden confiar en quesu información estará segura.
  4. 4. TIPOS DE ATAQUESSCANNING (BÚSQUEDA)El Scaneo, como método de descubrir canales de comunicación susceptiblesde ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantospuertos de escucha como sea posible, y guardar información de aquellos quesean receptivos o de utilidad para cada necesidad en particular. Muchasutilidades de auditoría también se basan en este paradigma.La idea básica es simple: llamar a un número y si el módem devuelve unmensaje de conectado, grabar el número. En otro caso, la computadora cuelga elteléfono y llama al siguiente número. Scanear puertos implica las mismas técnicasde fuerza bruta. Se envía una serie de paquetes para varios protocolos y se deduceque servicios están "escuchando" por las respuestas recibidas o no recibidas.Existen diversos tipos de Scanning según las técnicas, puertos y protocolosexplotados: TCP Connect() ScanningEsta es la forma básica del scaneo de puertos TCP. Si el puerto estáescuchando, devolverá una respuesta de éxito; cualquier otro caso significará queel puerto no está abierto o que no se puede establecer conexión con a él.Las ventajas que caracterizan esta técnica es que no necesita de privilegiosespeciales y su gran velocidad. Su principal desventaja es que este métodoes fácilmente detectable por el Administrador del sistema. Se verá un grannúmero de conexiones y mensajes de error para los servicios en los que se haconseguido conectar la máquina que lanza el scanner e inmediatamente se hadesconectado. TCP SYN ScanningCuando dos procesos establecen una comunicación usan el modeloCliente/Servidor para establecer la conexión. La aplicación del Servidor "escucha"todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a travésde la dirección IP del sistema en el que se ejecuta y del número de puerto del quedepende para la conexión. El Cliente establece la conexión con el Servidor através del puerto disponible para luego intercambiar datos.La información de control llamada HandShake (saludo) se intercambia entre elCliente y el Servidor para establecer un dialogo antes de transmitir datos. TCP FIN Scanning- Stealth Port ScanningEste tipo de Scaneo está basado en la idea de que los puertos cerrados tienden aresponder a los paquetes FIN con el RST correspondiente. Los puertos abiertos,
  5. 5. en cambio, suelen ignorar el paquete en cuestión. Fragmentation ScanningEsta no es una nueva técnica de escaneó como tal, sino unamodificación de las anteriores. En lugar de enviar paquetes completos de sondeo,los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partiruna cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar porlos filtros que pudieran estar ejecutándose en la máquina objetivo.Sin embargo, algunas implementaciones de estas técnicas tienen problemascon la gestión de este tipo de paquetes tan pequeños, causando una caída derendimiento en el sistema del intruso o en el de la víctima. Problemas de estaíndole convierte en detectables a este tipo de ataque. Eavesdropping-Packet SniffingMuchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción(sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, loscuales son programas que monitorean los paquetes que circulan por la red. LosSniffers pueden ser colocados tanto en una estación de trabajo conectada a la red,como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado porun usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.En la cabecera de los paquetes enviados a través de una red, entre otros datos,se tiene, la dirección del emisor y la del destinatario. De esta forma,independientemente de protocolo usado, las tramas llegan a su destino. Cadamáquina conectada a la red (mediante una placa con una dirección única) verificala dirección destino del paquete. Si estas direcciones son iguales asume que elpaquete enviado es para ella, caso contrario libera el paquete para que otrasplacas lo analicen. Snooping-DownloadingLos ataques de esta categoría tienen el mismo objetivo que el Sniffing:obtener la información sin modificarla. Sin embargo los métodos son diferentes.Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos,mensajes de correo electrónico y otra información guardada, realizando en lamayoría de los casos un downloading (copia de documentos) de esa información asu propia computadora, para luego hacer un análisis exhaustivo de la misma. ElSnooping puede ser realizado por simple curiosidad, pero también es realizado confines de espionaje y robo de información o softwareATAQUES DE AUTENTIFICACIÓNEste tipo de ataque tiene como objetivo engañar al sistema de la víctima paraingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya
  6. 6. establecidas por la víctima u obteniendo su nombre de usuario y password. Spoofing-LoopingSpoofing puede traducirse como "hacerse pasar por otro" y el objetivo de estatécnica, justamente, es actuar en nombre de otros usuarios, usualmente pararealizar tareas de Snooping o Tampering (ver a continuación Ataques deModificación y Daño). Una forma común de Spoofing es conseguir el nombre ypassword de un usuario legítimo para, una vez ingresado al sistema, tomar accionesen nombre de él.El intruso usualmente utiliza un sistema para obtener información e ingresar enotro, y luego utiliza este para entrar en otro, y así sucesivamente. Esteproceso, llamado Looping, y tiene la finalidad de "evaporar" la identificación y laubicación del atacante SpoofingEste tipo de ataques (sobre protolocos) suele implicar un buenconocimiento del protocolo en el que se va a basar el ataque. Los ataquestipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el WebSpoofing IP SpoofingCon el IP Spoofing, el atacante genera paquetes de Internet con una direcciónde red falsa en el campo From, pero que es aceptada por el destinatario delpaquete. Su utilización más común es enviar los paquetes con la dirección de untercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y nola dirección real del intruso. DNS SpoofingEste ataque se consigue mediante la manipulación de paquetes UDPpudiéndose comprometer el servidor de nombres de dominios (Domain NameServer-DNS) de Windows NT(c). Si se permite el método de recursión enla resolución de "Nombre"Dirección IP" en el DNS, es posible controlar algunosaspectos del DNS remoto. La recursión consiste en la capacidad de un servidor denombres para resolver una petición de dirección IP a partir de un nombre que nofigura en su base de datos. Este es el método típico (y por defecto) defuncionamiento. Web SpoofingEn el caso Web Spoofing el atacante crea un sitio web completo (falso) similar alque la víctima desea entrar. Los accesos a este sitio están dirigidos por elatacante, permitiéndole monitorizar todas las acciones de la víctima, desde susdatos hasta las passwords, números de tarjeta de créditos, etc. El atacante tambiénes libre de modificar cualquier dato que se esté transmitiendo entre el servidororiginal y la víctima o viceversa.
  7. 7.  IP Splicing-HijackingSe produce cuando un atacante consigue interceptar una sesión yaestablecida. El atacante espera a que la victima se identifique ante el sistema ytras ello le suplanta como usuario autorizado. Utilización de BackDoors"Las puertas traseras son trozos de código en un programa que permiten a quienlas conoce saltarse los métodos usuales de autentificación para realizar ciertastareas. Habitualmente son insertados por los programadores del sistema para agilizarla tarea de probar código durante la fase de desarrollo".Esta situación se convierte en una falla de seguridad si se mantiene,involuntaria o intencionalmente, una vez terminado el producto ya que cualquieraque conozca el agujero o lo encuentre en su código podrá saltarse los mecanismosde control normales. Utilización de ExploitsEs muy frecuente ingresar a un sistema explotando agujeros en losalgoritmos de encriptación utilizados, en la administración de las claves porparte la empresa, o simplemente encontrado un error en los programas utilizados.Los programas para explotar estos "agujeros" reciben el nombre de Exploits ylo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema(hardware o software) para ingresar al mismo. Nuevos Exploits (explotando nuevoserrores en los sistemas) se publican cada día por lo que mantenerse informado delos mismos y de las herramientas para combatirlos es de vital importancia. Obtención de PasswordsEste método comprende la obtención por "Fuerza Bruta" de aquellasclaves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados.Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombreu otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia.En este caso el ataque se simplifica e involucra algún tiempo de prueba y error.Otras veces se realizan ataques sistemáticos (incluso con varias computadoras ala vez) con la ayuda de programas especiales y "diccionarios" que pruebanmillones de posibles claves hasta encontrar la password correcta. La política deadministración de password será discutida en capítulos posteriores. Uso de DiccionariosLos Diccionarios son archivos con millones de palabras, las cualespueden ser passwords utilizadas por los usuarios. Este archivo es utilizado paradescubrir dicha password en pruebas de fuerza bruta. El programa encargado deprobar cada una de las palabras encripta cada una de ellas (mediante elalgoritmo utilizado por el sistema atacado) y compara la palabra encriptada contrael archivo de passwords del sistema atacado (previamente obtenido). Si coinciden
  8. 8. se ha encontrado la clave de acceso al sistema mediante el usuariocorrespondiente a la clave hallada. Actualmente es posible encontrar diccionariosde gran tamaño orientados, incluso, a un área específica de acuerdo al tipo deorganización que se esté atacando.DENIAL OF SERVICE (DOS)Los protocolos existentes actualmente fueron diseñados para ser empleados enuna comunidad abierta y con una relación de confianza mutua. La realidad indicaque es más fácil desorganizar el funcionamiento de un sistema que acceder almismo; así los ataques de Negación de Servicio tienen como objetivo saturar losrecursos de la víctima de forma tal que se inhabilita los servicios brindados por lamisma. Jamming o FloodingEste tipo de ataques desactivan o saturan los recursos del sistema. Aquí elatacante satura el sistema con mensajes que requieren establecer conexión. Sinembargo, en vez de proveer la dirección IP del emisor, el mensaje contienefalsas direcciones IP (usando Spoofing y Looping). El sistema responde almensaje, pero como no recibe respuesta, acumula buffers con información de lasconexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISPs(proveedores de Internet) han sufrido bajas temporales del servicio por ataquesque explotan el protocolo TCP. Muchos Hosts de Internet han sido dados debaja por el "ping de la muerte" (una versión-trampa del comando ping). Mientrasque el ping normal simplemente verifica si un sistema esta enlazado a la red, el pingde la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sidoampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemasvulnerables. Otra acción común es la de enviar millares de e-mails sin sentido atodos los usuarios posibles en forma continua, saturando los sistemas destinos.. Syn FloodComo ya se explicó en el TCP SYN Scanning el protocolo TCP se basaen una conexión en tres pasos. Si el paso final no llega a establecerse, la conexiónpermanece en un estado denominado "semiabierto". El Syn Flood es el más famosode los ataques del tipo Denial of Service, publicado por primera vez en la revistaPhrack. Se basa en un "saludo" incompleto entre los dos hosts. El Cliente envíaun paquete SYN pero no responde al paquete ACK ocasionando que la pilaTCP/IP espere cierta cantidad de tiempo a que el host hostil responda antes decerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no seresponde a ninguna), el Servidor estará inactivo mucho tiempo esperandorespuesta. Esto ocasiona la lentitud en los demás servicios. Connection FloodLa mayoría de las empresas que brindan servicios de Internet (ISP) tienen unlímite máximo en el número de conexiones simultaneas. Una vez que se alcanza eselímite, no se admitirán conexiones nuevas. Así, por ejemplo, un servidor Webpuede tener, por ejemplo, capacidad para atender a mil usuarios simultáneos. Si un
  9. 9. atacante establece mil conexiones y no realiza ninguna petición sobre ellas,monopolizará la capacidad del servidor. Las conexiones van caducando porinactividad poco a poco, pero el atacante sólo necesita intentar nuevas conexiones,(como ocurre con el caso del Syn Flood) para mantener fuera de servicio el servidor. Net FloodEn estos casos, la red víctima no puede hacer nada. Aunque filtre el tráficoen sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolaspara cursar tráfico útil.El atacante envía tantos paquetes de solicitud de conexión que las conexionesauténticas simplemente no pueden competir. En casos así el primer paso a realizares el ponerse en contacto con el Proveedor del servicio para que intentedeterminar la fuente del ataque y, como medida provisional, filtre el ataque en suextremo de la línea. El siguiente paso consiste en localizar las fuentes del ataquee informar a sus Administradores, ya que seguramente se estarán usando susrecursos sin su conocimiento y consentimiento. Si el atacante emplea Ip Spoofing,esto puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a suvez, víctima y el origen último puede ser prácticamente imposible de determinar Land AttackEste ataque consiste en un Bug (error) en la implementación de la pila TCP/IPde las plataformas Windows(c). El ataque consiste en mandar a algún puertoabierto de un servidor (generalmente al 113 o al 139) un paquete, maliciosamenteconstruido, con la dirección y puerto origen igual que la dirección y puerto destino.Por ejemplo se envían un mensaje desde la dirección 10.0.0.1:139 hacia ellamisma. El resultado obtenido es que luego de cierta cantidad de mensajesenviados-recibidos la máquina termina colgándose. Supernuke o WinnukeUn ataque característico (y quizás el más común) de los equipos conWindows(c) es el Nuke, que hace que los equipos que escuchan por el puerto UDP137 a 139 (utilizados por los protocolos Netbios de Wins), queden fuera deservicio (o disminuyan su rendimientos) al enviarle paquetes UDPmanipulados. Generalmente se envían fragmentos de paquetes, que la máquinavíctima detecta como inválidos pasando a un estado inestable Teardrop I y II-Newtear-Bonk-BoinkAl igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan afragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armarcorrectamente los fragmentos que se superponen, haciendo que el sistema secuelgue. Windows NT(c) 4.0 de Microsoft(r) es especialmente vulnerable a esteataque. Aunque existen Patchs (parches) que pueden aplicarse para solucionar elproblema, muchas organizaciones no lo hacen, y las consecuencias puedendevastadoras.Los ataque tipo Teardrop son especialmente peligrosos ya que existen multitudde implementaciones (algunas de ellas forman paquetes), que explotan esta
  10. 10. debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink.ATAQUES DE MODIFICACIÓN-DAÑO Tampering o Data DiddlingEsta categoría se refiere a la modificación desautorizada de los datos o elsoftware instalado en el sistema víctima (incluyendo borrado de archivos). Sonparticularmente serios cuando el que lo realiza ha obtenido derechos deAdministrador o Supervisor, con la capacidad de disparar cualquier comando ypor ende alterar o borrar cualquier información que puede incluso terminar en labaja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por partedel atacante; el Administrador posiblemente necesite darlo de baja por horas odías hasta chequear y tratar de recuperar aquella información que ha sido alteradao borrada. Como siempre, esto puede ser realizado por Insiders o Outsiders,generalmente con el propósito de fraude o de dejar fuera de servicio a uncompetidor. Borrado de HuellasEl borrado de huellas es una de las tareas mas importantes que debe realizar elintruso después de ingresar en un sistema, ya que si se detecta su ingreso elAdministrador buscará como conseguir "tapar el hueco" de seguridad, evitarataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas querealizó el intruso en el sistema y por lo general son almacenadas en Logs (archivoque guarda la información de lo que se realiza en el sistema) por el sistemaoperativo. Los archivos Logs son una de las principales herramientas (y elprincipal enemigo del atacante) con las que cuenta un Administrador para conocerlos detalles de las tareas realizadas en el sistema y la detección de intrusos Ataques Mediante Java AppletsJava es un lenguaje de programación interpretado desarrollado inicialmente porSUN. Su mayor popularidad la merece en su alto grado de seguridad. Losmás usados navegadores actuales, implementan Máquinas Virtuales Java (MVJ)para ser capaces de ejecutar programas (Applets) de Java. Estos Applets, al fin yal cabo no son más que código ejecutable y como tal, susceptible de sermanipulado por intrusos. Sin embargo, partiendo del diseño, Java siempre hapensado en la seguridad del sistema. Las restricciones a las que somete a losApplets son de tal envergadura (imposibilidad de trabajar con ficheros a no ser queel usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria ydisco directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sinembargo, existe un grupo de expertos especializados en descubrir fallas deseguridad en las implementaciones de las MVJ. Ataques Mediante JavaScript y VBScriptJavaScript (de empresa Netscape(r)) y VBScript (de Microsoft(r)) son doslenguajes usados por los diseñadores de sitios Web evitando el uso de Java.Los programas realizados son interpretados por el navegador. Aunque losfallos son mucho más numerosos en versiones antiguas de JavaScript, sepueden encontrar algunos de los siguientes:
  11. 11. Cuando apareció JavaScript, éste permitía el envío de mensajes de correoelectrónico sin el reconocimiento del usuario, la lectura del historial de páginasvisitadas, la lectura de directorios y de archivos. Estas fueron razón más quesuficiente para que cientos de intrusos informáticos se aprovecharan de estasdebilidades. Ataques Mediante ActiveXActiveX es una de las tecnologías más potentes que ha desarrolladoMicrosoft(r). Mediante ActiveX es posible reutilizar código, descargar códigototalmente funcional de un sitio remoto, etc. Esta tecnología es considerada larespuesta de Microsoft(r) a Java. ActiveX soluciona los problemas de seguridadmediante certificados y firmas digitales. Una Autoridad Certificadora (AC) expendeun certificado que acompaña a los controles activos y a una firma digital delprogramador. Cuando un usuario descarga una página con un control, se lepreguntará si confía en la AC que expendió el certificado y/o en el controlActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin ningúntipo de restricciones (sólo las propias que tenga el usuario en el sistema operativo).Es decir, la responsabilidad de la seguridad del sistema se deja en manos delusuario, ya sea este un experto cibernauta consciente de los riesgos que puedeacarrear la acción o un perfecto novato en la materia. Ataques por Vulnerabilidades en los NavegadoresGeneralmente los navegadores no fallan por fallos intrínsecos, sino quefallan las tecnologías que implementan, aunque en este punto analizaremosrealmente fallos intrínsecos de los navegadores, como pueden ser los "BufferOverflow". Los "Buffer Overflows" consisten en explotar una debilidad relacionadacon los buffers que la aplicación usa para almacenar las entradas de usuario. Porejemplo, cuando el usuario escribe una dirección en formato URL ésta se guarda enun buffer para luego procesarla. Si no se realizan las oportunas operaciones decomprobación, un usuario podría manipular estas direcciones.Los protocolo usado pueden ser HTTP, pero también otros menos conocidos,internos de cada explorador, como el "res:" o el "mk:". Precisamente existen fallosde seguridad del tipo "Buffer Overflow" en la implementación de estos dosprotocolos. Para poder lanzar este tipo de ataques hay que tener un buenconocimiento de lenguaje Assembler y de la estructura interna de la memoria delSistema Operativo utilizado. También se puede citar el fallo de seguridaddescubierto por Cybersnot Industries(r) relativo a los ficheros ".lnk" y ".url"deWindows 95(c) y NT(c) respectivamente. Algunas versiones de Microsoft InternetExplorer(c) podían ser utilizadas para ejecutar la aplicación que se deseara siempreque existiera en el ordenador de la víctima (por ejemplo el tan conocido y temidoformat.com).
  12. 12. INSTRUSIONES EN LA REDLa detección de ataques e intrusiones parte de la idea que un atacante escapaz de violar nuestra política de seguridad, atacando parcial o totalmente losrecursos de una red, con el objetivo final de obtener un acceso con privilegios deadministrador.Los mecanismos para la detección de ataques e intrusiones tratan de encontrary reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamenteante un ataque.En la mayoría de los casos es deseable poder identificar el ataque exacto quese está´ produciendo, de forma que sea posible detener el ataque y recuperarse delmismo. En otras situaciones, solo será´ posible detectar e informar de la actividadsospechosa que se ha encontrado, ante la imposibilidad de conocer lo que hasucedido realmente.Generalmente, la detección de ataques trabajara´ con la premisa de que nosencontramos en la peor de las situaciones, suponiendo que el atacante ha obtenidoun acceso al sistema y que es capaz de utilizar o modificar sus recursos.Una instrusión es una secuencia de acciones realizadas por un usuario oproceso deshonesto, con el objetivo final de provocar un acceso no autorizadosobre un equipo o un sistema al completo.La intrusión consistirá en la secuencia de pasos realizados por el atacante queviola una determinada política de seguridad. La existencia de una política deseguridad, en la que se contempla una serie de acciones deshonestas que hay queprevenir, es un requisito clave para la intrusión. Es decir, la violación solo se podrádetectar cuando las acciones observadas puedan se comparadas con el conjunto dereglas definidas en la política de seguridad.La detección de intrusiones es el proceso de identificación y respuesta ante lasactividades ilícitas observadas contra uno o varios recursos de una red.Primeros sistemas para la detección de ataques en tiempo realEl proyecto Instrusion Detection Expert System (IDES), desarrollado entre1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primerossistemas de detección de intrusos en tiempo real. Este proyecto, financiado entreotros por la marina norteamericana, proponía una correspondencia entre actividadmala y abuso o uso indebido.IDES utilizaba perfiles para describir los sujetos del sistema (principalmenteusuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos desistema o ciclos de CPU). Estos elementos permitían establecer mediante me´todosestadísticos las pautas de comportamiento necesarias para detectar posiblesanomalías.
  13. 13. Un segundo sistema de detección de ataques en tiempo real que hay quedestacar fue Dis- covery, capaz de detectar e impedir problemas de seguridad enbases de datos. La novedad del sistema radicaba en la monitorización deaplicaciones en lugar de analizar un sistema operativo al completo. Mediante lautilización de metodos estadísticos desarrollados en COBOL, Discovery pod´ıa detectarposibles abusos.Otros sistemas fueron desarrollados para ayudar a oficiales norteamericanos aencontrar marcas de ataques internos en los ordenadores principales de sus bases aéreas. Estos ordenadores eran principalmente servidores corporativos que trabajabancon informaciónno clasificada pero muy confidencial.MIDAS fue uno de los primeros sistemas de detección de intrusos conectadosa internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster en1990, contribuyendo a fortalecer los mecanismos de autentificación de usuarios.ARQUITECTURA GENERAL DE UN SISTEMA DE DETECCION DE INTRUSIONESDesde el comienzo de la década de los ochenta se han llevado a cabo multitud deestudios referentes a la construcción de sistemas para la detección de intrusos. Entodos estos estudios se han realizado diferentes propuestas y diseños con el objetivode cumplir los siguientes requisitos: Precisión. Un sistema de detección de intrusos no debe que confundiracciones legitimas con acciones deshonestas a la hora de realizar sudetección. Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosano detectada conocida como falsos negativos. Cuanto menor sea la tasa defalso negativos, mayor será la eficiencia del sistema de detección de intrusos.Este es un requisito complicado ya que en ocaciones pueda llegar a serimposible obtener todo el conocimiento necesario sobre ataques pasados,actuales y futuros. Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusosdebe ser suficiente como para poder llegar a realizar una detección en tiemporeal. La detecion en tiempo real responde a la detección de la intrusión antesde que esta llegue a provocar en el sistema. Este tiempo debería de ser inferiora un minuto. Escabilidad. A medida que la red vaya creciendo, también aumentara elnúmero de eventos que deberá tratar el sistema. El detector tiene que sercapaz de soportar este aumento en el número de eventos, si que se produzcaperdida de información. Tolerancia en fallos. El sistema de detección de intrusiones debe ser capa decontinuar ofreciendo su servicio aunque sean atacados distintos elementos delsistema incluyendo la situación de que el propio sistema reciba un ataque ointrusiónDetección basada en usos indebidosLa detección de intrusiones basada en el modelo de usos indebidos cuenta conel conocimiento a priori de secuencias y actividades deshonestas. Los
  14. 14. procesadores de eventos que implementan este esquema analizan los eventos enbusca de patrones de ataque conocidos o actividad que ataque vulnerabilidadestípicas de los equipos.Estas secuencias o patrones se conocen bajo el nombre de firmas de ataquesy podrían ser comparadas con las firmas víricas que utilizan los productos actualesde detección de virus.Detección basada en anomalíasLos procesadores de eventos que basan su detección en un esquema deanomalías trataran de identificar actividades sospechosas comparando elcomportamiento de un usuario, proceso, servicio con el comportamiento de perfilclasificado como normal.Un perfil sirve como métrica de comportamiento normal. Cualquier desviaciónque supere un cierto umbral respecto al perfil almacenado será tratado como unaevidencia de ataque o intrusiónUno de los requisitos de este modelo es la necesidad de inicialización de unperfil por defecto que se ira adaptando progresivamente al comportamiento de unusuario, proceso o servicio no sospechoso.Unidades de respuestaLas unidades de respuesta de un sistema de detección se encargaran de iniciaracciones de respuesta en el momento en que se detecte un ataque o intrusión.Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requeririnteracción humana (respuesta pasiva).Las respuestas activas tienen como objetivo actuar contra el ataque, intentandosu neutralización, en el momento en el que es detectado (o mientras una intrusióntodavía continúa en curso). Un ejemplo de respuesta activa puede ser lacancelación de la conexión en red que origino´ el ataque o el propio seguimientodel ataque que permitiría más adelante el análisis correspondiente. Por contra,las respuestas pasivas se limitan a lanzar una alarma para informar y describir elataque detectado en el administrador del sistema. La mayoría de los componentesde respuesta pasiva ofrecen distintas formas de hacer llegar esta información aladministrador como, por ejemplo, mediante un correo electrónico mediante lautilización de mensajes SMS, et
  15. 15. CERTIFICADOS DE SEGURIDADLos certificados de seguridad, mejor conocidos como SSL (Secure SocketsLayer), son un conjunto de protocolos criptográficos desarrollados en 1994 porNestcape Communcations; su desarrollo inicial está basado en CriptografíaSimétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmasdigitales para conseguir, a través de una negociación, un canal seguro decomunicación entre dos puntos a nivel de socket (máquina + puerto).Básicamente, SSL proporciona autenticación y privacidad. Su uso puede darse endiferentes escenarios, dependiendo de algunos factores.Podríamos decir que SSL se implementa como una capa más del modeloOSI y/o TCP/IP, entre la capa de aplicación y transporte, esto lo hace serindependiente de la aplicación que lo use. De esta forma, proporciona seguridad ala pila de protocolos cifrando los datos salientes de la capa de Aplicación antes deque estos sean segmentados en la capa de Transporte y encapsulados y enviadospor las demás capas. Del mismo modo, se usa en la mayoría de los casos junto aHTTP para formar HTTPS, que es el protocolo usado para asegurar lasconexiones Web.
  16. 16. SSLEl propósito de SSL es proporcionar seguridad a un sitio Web cifrando lascomunicaciones entre el servidor (el equipo donde está corriendo el sitio Web) y elcliente (los equipos que visitan el sitio).Para usar SSL se necesita un certificadoSSL.SSL es un conjunto de protocolos, el certificado de seguridad nos permitehacer uso de ese protocolo; también podríamos decir que los certificados nospermitirán cifrar las comunicaciones a través de SSL, pero tanto el protocolo comolos certificados mismos forman parte de SSL. Este certificado debe estar instaladoen el servidor, debe tener una dirección IP dedicada y los visitantes deben usarun navegador que soporte este protocolo y los certificados usados, que en laactualidad son casi todos.SSL contiene un par de claves, una clave pública y una clave privada, asícomo información verificada sobre la identificación. Básicamente se trata de unarchivo de datos, que está vinculado con los datos del sitio Web y el sistema decifrado. Estos datos pueden ser su nombre de dominio, nombre de servidor ynombre de host; dependiendo del caso también se pueden usar otros datos comoel nombre y la ubicación de la empresa. El cifrado no es otra cosa que un procesomatemático, este es usado para codificar/decodificar la información; el cifrado nosgarantiza que la información estará protegida durante su transferencia.Como vemos, el proceso que hace SSL es de “autenticación”, que esverificar la identidad de un sitio Web; esta verificación la hace un tercero parapoder garantizar la confianza.Existen dos razones principales para querer usar SSL, la primera yposiblemente la más usada, es para el comercio electrónico y poder aceptar pagos
  17. 17. en línea con tarjeta de crédito. Si el sitio Web maneja transacciones comerciales,en donde se trasmitan datos de tarjetas de crédito, cualquier banco y susasociados exigirán el uso de certificados de seguridad, incluso esto estáestandarizado como PCI DSS (Estándar de Seguridad de Datos para la Industriade Tarjeta de Pago). Es requerido por sistemas bancarios y de pago como Visa,MasterCard, Discover Network, American Express, Diners Club, etc.En caso opuesto, si el sitio Web realiza comercio electrónico pero NOrealiza procesos de pago de forma directa sino que se realizan a través desistemas como Paypal, Amazon, etc entonces el uso de SSL no será obligatorio.La segunda razón es para mantener segura la información confidencial quemaneja el sitio Web; normalmente se usa para proteger los inicios de sesión yevitar que los nombres de usuario y contraseñas sean transmitidos en texto plano.Esto también se aplica en caso de que un sitio Web ofrezca servicios de correo,en donde datos de carácter personal son usados diariamente por los usuarios.Hoy en día con el auge de los servicios en la nube (cloud computing) seestan implementando mucho más los certificados de seguridad para podergarantizar la confidencialidad e integridad de la información.Los certificados SSL deben ser emitidos por un certificado raíz, de unaAutoridad de certificación que sea de confianza. Este certificado raíz debe estarpresente en el ordenador del usuario para que el certificado SSL sea confiable,caso contrario, el navegador mostrará al usuario un mensaje advirtiendo que elsitio Web presenta un certificado pero no es de confianza. En el caso del comercioelectrónico, este tipo de errores inducen a perder la confianza por completo de unsitio Web.Ahora bien, este tipo de alertas no necesariamente dice que el sitio Web noes de confianza, simplemente que el navegador no conoce/reconoce su certificadode seguridad. Por ejemplo, si yo creo un certificado SSL (con OpenSSL se podríahacer) porque no quiero o no puedo pagar uno, y este certificado ha sido emitidopor Expresión Binaria, por muy robusto y seguro que este sea, es muy probableque los navegadores Web no lo reconozcan, repito no es porque carece deseguridad, es más bien por un asunto “protocolar y burocrático” ya que ExpresiónBinaria no es una Autoridad Certificadora. En un sitio Web de carácter personalesto quizás no sea un problema, pero en un portal comercial podría generar ciertadesconfianza en los clientes.
  18. 18. Tipos de certificados de seguridadExisten diferentes tipo de certificados SSL que se pueden usar en un sitioWeb, creo que básicamente todo dependerá de las necesidades, gustos ycapacidad monetaria que se tenga, pero principalmente dependerá de lasnecesidades.Certificados compartidos (Shared Certificates)Estos certificados por lo general son gratuitos, y son dados de esta formapara empresas de hospedaje Web como los revendedores (Hosting reseller) o enotros caso pueden ser generados de forma personal (usando OpenSSL porejemplo) o a través de algún servicio que preste un sitio Web. Cumplen su función(de forma básica), pero el hecho de ser “compartidos” no los relacionadirectamente con el nombre de dominio del sitio Web, esto provocará losmensajes de alerta de los que hablé antes. Creo que ese punto quedó claro, perohagamos un ejemplo para ilustrarlo mejor: cuando un usuario visite mi sitio Webdominio.com se intentará verificar/autenticar a través del certificado de seguridadque está emitido por certdominio.com, esto generará “la desconfianza” ya queambos dominios son diferentes.Estos certificados son apropiados para asegurar la conexión con un sitioWeb o el servidor de un sitio Web, pero no serán usados por el todos losvisitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio.Los certificados compartido no son apropiados para el comercio electrónico,en estos casos se usan certificados privados, en donde el certificado estérelacionado/emparentado con el dominio.Certificados de validación de nombre de dominio (Domain ValidatedCertificate)Estos son los certificados SSL más básicos, se enfocan en validar solo elnombre de dominio (dominio.com). Es ideal para situaciones en las que losvisitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresardatos personales (nombre de usuario, contraseña, email, etc) o realizar pagos contarjetas de crédito. A diferencia de los certificados compartidos, estos no seránobjeto de mensajes de advertencia por parte de los navegadores.Estos certificados son apropiados para cualquier situación en donde sequiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden seradquiridos por cualquier persona. Sus costos son bajos en la mayoría de loscasos.Certificados de validación de compañías (Company Validated Certificate)
  19. 19. Estos certificados son muy similares a los de validación de dominios, ladiferencia es que para estos es necesario validar datos de la propia compañía y nosolo su dominio. Más validación, más seguridad.Desde un punto de vista de negocio y reputación, una compañía que useeste tipo de certificado de seguridad, no solo esta validando su dominio(dominio.com) sino también su empresa. Esto es un poco “superficial” pero dealguna manera y hasta cierto punto, el hecho de que un tercero (asociacióncertificadora) valide la empresa (y no solo su dominio) generará mayor confianza asus clientes. Es una cuestión de “reputación” si se quiere.Certificado de validación extendido (Extended Validation Certificates – EV)Estamos ante el “top” de los certificados. El proceso de verificación es aúnmayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Webcomo de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto losrequerimiento como los procedimientos son minuciosos.La barra verde es exclusiva de este certificado. Les asegura a los visitantesque están ante una empresa/organización validada y asegurada. Además, un sitioprotegido mediante este certificado hace que los navegadores web muestren elnombre de la organización junto a la barra de direcciones (en este caso verde) y alnombre de la autoridad de certificación que lo emitió. El navegador y la autoridadde certificación controlan la visualización, lo que hace que las técnicas dephishing sean más difíciles de aplicar.Certificados Wildcard (Wildcard Certificates)Estos certificados permiten usar un único certificado SSL para ser usado enmúltiples subdominios. Por ejemplo, el certificado será usado para dominio.com,compras.dominio.com, contacto.dominio.com, etc.Certificados Multi-dominio (Multi-Domain Certificates)Estos son similares a los Wildcard, la diferencia es que en este caso sonusados para dominios (y no subdominios). Por ejemplo, el certificado será usadopara dominio.com, dominio.net, dominio.org, etc.
  20. 20. True BusinessID: El certificado True BusinessID es válido para un único dominioo subdominio y permite una encriptación de datos de hasta 128/256 bits eintroducir los datos de su empresa o entidad como datos identificativos de sucertificado SSL. El TrueBusinessID es un certificado superior utilizado enempresas que permite, además de proteger los datos que circulan por la página,que la información del certificado que aparece en el navegador sea más completay específica que el RapidSSL. Además se puede poner un sello de SSL dinámicocon toda la información de la empresa. Es compatible con los navegadores; IE5.01+, AOL 5+, Netscape 4.7+, Ópera 7+, Safari, Mozilla 1+ y Firefox 1+.True BusinessID with EV: El certificado True BusinessID with EV es válido paraun único dominio o subdominio y permite una encriptación de datos de hasta128/256 bits e introducir los datos de su empresa o entidad como datosidentificativos de su certificado SSL. Además la tecnología EV, le permitirá ver enla barra de direcciones de su navegador, una pequeña barra verde notificando laautenticidad del certificado de seguridad SSL.Es compatible con los navegadores; IE 5.01+, AOL 5+, Netscape 4.7+, Ópera 7+,Safari, Mozilla 1+ y Firefox 1+.PFSENSEPfsense es una fuente libre, abierto de distribución personalizada de FreeBSDadaptado para su uso como cortafuegos y el router. Además de ser unaplataforma potente, flexible cortafuegos y enrutamiento, que incluye una larga listade características relacionadas y un sistema de paquetes que permite mayorcapacidad de expansión sin añadir hinchazón y posibles vulnerabilidades deseguridad a la distribución base. Pfsense es un proyecto popular, con más de 1millón de descargas desde su creación, y probadas en un sin número deinstalaciones que van desde pequeñas redes domésticas que protegen un soloequipo a las grandes corporaciones, universidades y otras organizaciones deprotección de miles de dispositivos de red.Este proyecto se inició en 2004 como un tenedor del mOnOwall proyecto, peroenfocado hacia instalaciones completas de PC en lugar del enfoque integrado dehardware mOnOwall.Es un sistema basado en FreeBSD que ya viene con software explicito paraseguridad informática.Antes que todo debemos de instalar nuestro Pfsense. Para descargar Pfsense lopuedes hacer a través de este link http://fleximus.org/mirror/pfsense/downloads.Para saber los requerimientos minimos del hardware antes de instalar podemos ir
  21. 21. al siguiente linkhttp://www.pfsense.org/?option=com_content&task=view&id=45&Itemid=48CARACTERISTICASPfSense incluye la mayoría de todas las funciones de cortafuegos comercialescaros, y más en muchos casos. La siguiente es una lista de las funcionesdisponibles en la versión 2.0 de pfSense. Todas estas cosas son posibles en lainterfaz web, sin tocar nada en la línea de comandos.FIREWALL Filtrado de IP de origen y destino, puerto de protocolo, origen y destino IPpara tráfico TCP y UDP Capaz de limitar las conexiones simultáneas en una base por regla pfSense utiliza p0f, una utilidad de fingerprinting OS / red pasivaavanzada que le permite filtrar por el sistema operativo que inicia laconexión. ¿Desea permitir que las máquinas FreeBSD y Linux a través deInternet, pero cuadra máquinas Windows? pfSense puede hacerlo (entremuchas otras posibilidades) mediante la detección pasiva del sistemaoperativo en uso. Opción para registrar o no registrar el tráfico que coincide con cada regla. Altamente flexible de políticas de enrutamiento posible por medio de puertade enlace en una base por regla (para el equilibrio de carga, conmutaciónpor error, múltiples WAN, etc) Alias permiten agrupar y nombrar de IPs, redes y puertos. Esto ayuda amantener el conjunto de reglas de firewall limpio y fácil de entender,especialmente en entornos con múltiples direcciones IP públicas ynumerosos servidores. Capa transparente 2 cortafuegos capaz - puede salvar interfaces y filtran eltráfico entre ellos, incluso teniendo en cuenta un IP-menos firewall(aunque es probable que desee una IP para fines de administración). Normalización de paquetes - Descripción de la documentación matorral pf -"fregado es la normalización de los paquetes para que no haya ambigüedadesen la interpretación por el destino final del paquete de la directiva scrub tambiénreensambla los paquetes fragmentados, protegiendo algunos sistemasoperativos de algunas formas de. ataque, y las gotas de paquetes TCP quetengan combinaciones de indicadores válidos ".o Habilitado en pfSense por defectoo Se puede desactivar si es necesario. Esta opción hace que losproblemas para algunas implementaciones NFS, pero es seguroy se debe dejar activada en la mayoría de instalaciones. Desactivar filtro - se puede desactivar el filtro de firewall por completo sidesea encender pfSense en un router puro.
  22. 22. INSTALACIONBueno para comenzar con la instalacion lo primero que debemos de tener a lamano es la imagen de pfSense, despues de quemarla podremos comenzar con lainstalacionComienzo instalacionAsi es el primer pantallazo que observamos cuando nuestro cd comienza con lainstalacion.Principio de instalacionCrear vlans: En este paso el sistema nos pregunta si queremos crear Vlans. locual decimos que no (n)
  23. 23. Interfaces: Este es el paso donde el sistema identifica las interfaceslan y wan. Lascuales se pueden hacer automáticas.Seleccion de interfaces: Después de haber seleccionado que tarjeta va hacer wany lan. Presionamos enter para continuar, después de este paso este se puededemorar unos cuantos segundos.En este menu escogeremos la opcion 99. Lo cual iniciaria el asistente deinstalacion.
  24. 24. Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto.En este paso si se comienza a dar la instalacion por completo, en este punto sehace el formateo del disco y el particionado del mismo.Formateo del discoSe comenzara el formateo del disco recordar que todos los datos que tengamosgrabados en esta unidad se perderan.
  25. 25. Geometria disco Selecionamos la geometria del disco.Formato Damos inicio al formato del disco.Particionamiento Se nos pide particionar el disco. Esto es para poder instalar elsistema operativo
  26. 26. Particionado : Se puede instalar otros sistemas de archivos pero por defecto vieneseleccionado FreBSD.Partición; Nos pregunta en que partición vamos a instalar pero como en este casosolo tenemos esta presionamos enter.Características de partición :En este paso nos dice que la partición es primaria yque todo se borrara sin forma de recuperar. Que si estamos seguros presionamosenter.
  27. 27. Particionamiento final: Nos muestra como quedo el particionado en nuestro disco.Copiando archivos: En este momento se están copiando todos los archivos aldisco, después de que esto termine prácticamente tendremos instalado nuestroPfSense en nuestro equipo.Reiniciar: Solo queda reiniciar nuestro computador para poder deleitarnos detodos los servicios que trae nuestro PfSense.Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos ladirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pediráautenticarnos lo que realizamos con:User: admin
  28. 28. Password: pfsenseDespués de autenticarte estarás dentro del entorno web que hay que cambiaralgunos parámetros que están por defecto.
  29. 29. UntangleEs una plataforma para desplegar aplicaciones basadas en redes. Laplataforma une estas aplicaciones alrededor de un GUI común, base de datos yseñalamiento. Las aplicaciones sobre la plataforma de Untangle inspeccionan eltráfico de la red simultáneamente, lo cual reduce los requisitos de recurso de cadaaplicación individual enormemente. La plataforma de Untangle soporta muchasaplicaciones de fuentes abiertas y software adicionales de comercial actualmente.Historia de fundación. Dirk Morris y John Irwin estaban hartos. Aumentarun ambiente de la red barato y seguro hacia dentro departamental o ajustes de la"Pequeña empresa" era demasiado difícil. Si el constructor usara productos deversión comercial, era demasiado costoso. Si el software de código abierto fuerausado, era pesado al máximo y requería servidores múltiples.En el invierno seco tibio de 2002, decidieron hacer algo sobre eso. De lamisma manera que muchos soñadores de Silicon Valley antes de ellos, buscarona amigos y familia por fondos y empezaron una compañía. Aprovecharon suscontactos en Carnegie Mellon University y Stanford para construir un equipo dedesarrollo de punto principal fuerte. Y durante los próximos tres años, sedesanimaron y cortaron el proyecto.Para cortar gastos de producción, utilizaron aproximadamente 30 proyectosde código abierto. Para acelerar el desarrollo y hacer que la base de códigoresultara más accesible, implementaron Java. Y para hacerlo funcionar todo sobreun servidor barato sólo inventaron y patentaron una nueva manera de racionalizarla sobrecarga de comunicaciones entre los módulos. Llamaron su solución"canalización virtual."Pruebas beta en 2005-2006 les arrojaron que tenían un producto que erarentable y funcional. En 2006, pidieron y obtuvieron la "financiación serie A”, queusaron para contratar el equipo que adoptaría la compañía. A finales del año, elequipo inicial estaba completo y las ventas estaban en auge. Estaban ahora listospara tomar el próximo paso - la "devolución" para la comunidad de fuentedescubierta y ganar la influencia de cada vez más operaciones simultáneamente.Misión. Untangle existe para utilizar las prácticas de ingeniería abierto -origen para hacerlo más simple y más barato para empresas crear y mantenerinfraestructuras de IT.Creencias. En el mercado de software rápidamente - madurando de hoy, elascendiente de los métodos de fuente abiertos es casi seguro. Este procesocomenzó con software de infraestructura, y está trepando a la pila de software
  30. 30. gradualmente. El espacio de seguridad de IT está ahora listo para la entrada, yUntangle está recogiendo la espada.Filosofía. Nos paramos en los hombros de gigantes - Linus Torvalds,James Ansarino, y muchos otros - y esperamos que otros se paren en nuestroalgún día completamente. Maximizaremos nuestras contribuciones a lacolectividad de software de fuente abierta, y daremos el crédito donde seaapropiado. Nuestro éxito está integralmente relacionado con nuestra conexiónpróspera y vibrante a la comunidad.Ambiciones. Pensamos hacer el software abierto - fuente la manerapreferida que las empresas bien comunican sobre la InternetServidor UntangleEl Servidor Untangle da una forma sencilla de proteger, controlar ysupervisar toda la red. Ofrece la tecnología necesaria para protegerse deamenazas como virus, spyware y ataques. Protege la productividad mediante elcontrol de Web ilegítima surf, y da una en profundidad vista de la actividad de lared. Todo esto en una sola interfaz utilizable.Reports proporciona informes claros y concisos acerca del tráfico de red yviolaciones de las políticas. Con esta información se pueden detectar losproblemas relacionados con virus o spyware, así como supervisar ilegítimocomportamiento de los usuarios, tales como navegación por Internet o mensajeríainstantánea.El Servidor Untangle se ejecuta en un PC situado entre la conexión aInternet (módem de cable o DSL, etc) y el switch. Se puede sustituir ocomplementar una ya existente o router Firewall.Requisitos del hardwareRecursosCPU:Memory:Hard Drive:Network Cards:Mínimo1.0 GHz512 MB20 GB2Recomendado:2.0+ GHz1-2 GB40+ GB3+ (for DMZ)Nota:Se debe tener unaunidad de CD/DVDen el servidor ocomputadora parainstalar Untangle
  31. 31. InstalaciónPASO 1. Conecte el servidor de Untangle en su red como se lo vaya autilizar, haciendo esto ahora ayudará en las etapas posteriores de la instalación.Los siguientes diagramas muestran los dos métodos más comúnmente utilizados.Si necesita que su servidor Untangle preparados fuera de la primera línea,asegúrese de que el servidor Untangle tiene acceso a Internet. Usted será capazde conectarlo según lo previsto más adelante.Si ya tiene un router / firewall y desea que se mantenga instalado, instale elservidor Untangle entre el firewall y el conmutador interno principal. En esteescenario, el servidor Untangle funcionará como un puente. No es necesariocambiar la ruta por defecto (gateway) en cualquier equipo detrás del firewall, ni elcambio de las rutas en el router.PASO 2.Si no tienes una ya existente o un router que desea reemplazar suenrutador existente, conecte el servidor Untangle como se muestra aquí. Además,proporcionará servicios de enrutamiento para su red, así como protección defirewall.PASO 3. Cuando el sistema haya reiniciado automáticamente iniciará elasistente que nos ayudará a la configuración de Untangle para ser usado ennuestra red.Siga los pasos en el asistente.PASO 4. Hemos instalado satisfactoriamente Untangle en el ordenador oservidor y configurado la conexión en red. Ahora ya está listo para descargaraplicaciones. Si no está seguro de las aplicaciones que deseamos descargar¿Qué aplicaciones debemos utilizar? el Asistente de aplicaciones nos ayudará. Sisabemos lo que queremos instalar, hacer lo siguiente:•Haga clic en la aplicación que desea descargar. (Paso 1).• Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora", dependiendode lo que le gustaría hacer y qué opciones están disponibles (paso 2). Lassolicitudes de primas están disponibles en 14 días versión de prueba gratuita.• La aplicación aparecerá en su estante después de que haya sido descargado(paso 3)PASO 5. Casi todas las aplicaciones de Untangle se ejecutan e instalanautomáticamente (se ven cuando están en verde) Si deseamos ajustar lasconfiguraciones iniciales, clic en el botón de Ajustes para poder ajustar dichasconfiguraciones. Únicamente después se hace clic en Aceptar para guardar los
  32. 32. cambios y Cancelar para rechazarlos. Las aplicaciones se activan o desactivandando clic en el botón de OnPara remover las aplicaciones se hace clic en el botón Remover de la listalos aplicativos que consideremos no vamos a necesitarImplementaciónUntangle no solo permite la moderación de acceso a sitios web sino que podemosrestringir la descarga de tipos de archivos que como administradores de red y seguridadinformática consideremos de riesgo para nuestra redFORTINETFortinet es una empresa privada estadounidense, situada en Sunnyvale(California), que se dedica especialmente al diseño y fabricación de componentesy dispositivos de seguridad de redes (firewalls, UTM...).La compañía que fue fundada en el año 2000 por Ken Xie y desde entoncesha tenido una gran proyección en el mundo de la seguridad de lascomunicaciones. Actualmente es la marca de referencia en sistemas de seguridadUTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado. Enlos últimos añosFortigate produce una amplia gama de dispositivos para la protección deredes: FortiGate-60C, FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate-200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A,FortiGate-800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A, FortiGate-3016B y FortiGate-5000 series.Además de estos, también cuenta con dispositivos wifi, y servidores paracentralizar la seguridad de una empresa con múltiples fortigates dispersos en lared.Características Presencia mundial de sus centros de operación, ventas y soporte Sede central en Sunnyvale, California Mas de 75 000 clientes en todo el mundo con más de 450 000 equiposinstalados Mas de 40 oficinas en América, Asia, emea y con cede central europea enFrancia Pioneros en la utilización de circuitos integrados de aplicaciones específicaspara acelerar los procesos de seguridad hasta el nivel de aplicación
  33. 33.  Único modo de ofrecer protección completa en tiempo real Líderes en el mercado utm según idc desde 2003 hasta el 2009Fortinet es la compañía de seguridad de más rápido crecimiento en la historia.Desde su entrada en el mercado anualmente ha duplicado su penetración en elmismo asi como sus beneficios con una inversión constanteLineas de ProductosFortiAP Seguridad redes Wirelesswifi, Seguridad, InalambricaProtección de Redes Wireless utilizando dispositivo FortiGate como controladoraEsta nueva línea de puntos de acceso (AP) amplia la gestión unificada deamenazas de FortiGate al entorno de redes inalámbricas.Cada FortiAP dirige todo su tráfico al controlador inalámbrico integrado en lasplataformas FortiGate. Este tráfico se somete a las políticas de firewall reenviandosólo tráfico wireless autorizado. El motor de inspección de FortiGate identifica lasaplicaciones en la capa 7 y limita la velocidad de las aplicaciones no críticas delnegocio. Desde una única consola puede controlar el acceso de red, actualizar laspolíticas de forma rápida y sencilla, y vigila su cumplimiento. Además, FortiAPutiliza el protocolo estándar basado en CAPWAP (Control and Provisioning ofWireless Access Point) para la conexión de puntos de acceso ligeros frente a losmétodos propietarios utilizados por la competencia.Especialmente diseñada para los entornos de red más exigentes de hoy en día, laserie de FortiAPs se basa en años de experiencia de Fortinet en envíos seguros,protegidos por cable y acceso inalámbrico.Estrategia centrada en redes inalámbricas.La línea de productos FortiAP es el primer fruto de la estrategia de Fortinetcentrada en la seguridad en redes locales inalámbricas de carácter empresarial.Como primeros productos dentro de la gama FortiAP, FortiAP-210 con single-radio/banda dual y FortiAP-220 con banda dual y radio dual, ofrecen coberturafiable, alto rendimiento y un precio competitivo de alto valor comparado conproductos similares de su clase.La línea FortiAP puede ser utilizada para ofrecer acceso a la red inalámbrica aempleados, locales comerciales, almacenes, puntos de venta o hotspots para eluso de invitados.
  34. 34. Entre los beneficios de la gama FortiAP cabe destacar los siguientes: Autenticación: la autenticación más fuerte con WPA2 y un portal cautivointegrado para el acceso de invitados. Inspección profunda de la capa 7: permite la priorización de ancho debanda inalámbrico para aplicaciones críticas. Política de cumplimiento: políticas de identidad-conocimiento, junto con ladetección de puntos y presentación de informes, control granular endpoint,informes de auditoría, análisis específicos y mensurables. Bajo TCO: opciones de despliegue y capacidad flexibles para aprovechar labase instalada de FortiGate, una plataforma común de gestión centralizaday sin derechos de licencia especiales reducen aún más el coste total depropiedad.Todos los dispositivos FortiGate desde la serie FortiGate-60 podrán actuar comocontroladores para FortiAP, dando a los clientes la flexibilidad y escalabilidad paraelegir entre la amplia gama de controladores ofrecidos por otros proveedores. Losdispositivos FortiGate también podrán actuar como puntos únicos de gestión deredes locales inalámbricas y cableadas. Además de las características deseguridad ya existentes ofrecidas por los dispositivos FortiGate, los controladoresde punto de acceso FortiGate incluirán gestión WLAN y sistema inalámbrico dedetección de intrusos.Cada plataforma FortiGate es capaz de ofrecer gestión centralizada de todos lospuntos de acceso y dispositivos. Desde una única consola, los clientes puedencontrolar el acceso a la red, actualizar de forma rápida y sencilla sus políticas yayudar al cumplimiento de las normativas.Nuevos FortiAP-210 y FortiAP-220, que soportan los últimos estándares IEEE802.11n, diseñados para ofrecer capacidades de red inalámbrica para clientes dela mediana empresa y de las operadoras con una base de usuarios totales o redesdistribuidas de 250-5.000 usuarios.FortiGate® Plataformas y dispositivos de seguridad en redesAntispam, UTM, Firewall, Antivirus, VPN, Filtrado web, Cortafuegos, IPS/IDSLa línea FotiGate proporciona una completa protección basada en la red contramúltiples tipos de amenaza sin degradar la disponibilidad de la red.FortiGuard® Servicios de subscripción de seguridadAntispam, Antivirus, Filtrado web, IPS/IDS
  35. 35. Los productos de Fortinet ofrecen potección dinámica a través de los servicios desuscripción de seguridad FortiGuard los cuales proveen actualizacionesautomáticas para los servicios de antivirus, prevención de intrusos, filtrado web yantispam.FortiMail Dispositivos de seguridad de correo electrónicoArchivado, Antispam, Antivirus, Seguridad de e-mailLos dispositivos FotiMail ofrecen avanzadas capacidades de filtrado antispam yantivirus con cuarentena y archivado.Fortinet Análisis y gestiónConsola, Gestión de la seguridad, ReportingLas soluciones de gestión centralizada, registro y reporte de Fortinet ofrecen unpotente aunque sencillo conjunto de herramientas que reducen la sobrecarga deladministrador y las complejidades asociadas con despliegues de gran escala.FortiClient Clientes de seguridad de puestos de trabajoSeguridad del puesto de trabajo, MovilidadFortiClient PC y FortiClient Mobile proveen seguridad dinámica para Pcs, laptops ysmartphones.FortiDB Seguridad y cumplimiento para bases de datosBases de datos, Gestión de vulnerabilidades, Auditoría de seguridad,Monitorización, CumplimientoFortiDB ofrece capacidades de detección de vulnerabilidades, monitorización yauditoría para endurecer bases de datos contra amenazas y trazar el flujo deinformación dentro de la misma.FortiWeb Dispositivos de seguridad para la WebApplication firewall, Cortafuegos de aplicacionesFortiWeb provee firewalls de aplicación y XML para proteger, balancear y acelerarlas aplicaciones Web, las bases de datos y la información intercambiada entreellas

×