UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS
DE SEGURIDAD PARA LA RED ADMINISTRATIVA
DE LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES,
BASADO EN EL ANÁLISIS DE
SU INFRASTRUCTURA DE
RED INTERNA Y DE
PERÍMETRO”
TESIS DE GRADO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: VICTOR ALLAM PARRAGA NUÑEZ
TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c
GUAYAQUIL – ECUADOR
DICIEMBRE - 2014
i
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS
TÍTULO: “ IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED
ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL
ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO” REVISORES:
INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas
y Físicas
CARRERA: Ingeniería en Sistemas Computacionales
FECHA DE PUBLICACIÓN: Diciembre de 2014 N° DE PÁGS.: 157
ÁREA TEMÁTICA: Seguridad en redes perimetrales e internas.
PALABRAS CLAVES: UTM, firewall, VPN, redes de computadoras, Internet, seguridad,
administración centralizada, CISC, servidores.
RESUMEN: La Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil no
cuenta con una herramienta especializada para gestionar de manera centralizada y eficaz las amenazas
informáticas que puedan comprometer la seguridad de los servicios en línea e internos. Este proyecto
de tesis propone la implementación de un gestor unificado de amenazas (UTM) para mitigar las
falencias de seguridad de la red tanto interna como perimetral. N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN:
Nº
DIRECCIÓN URL (tesis en la web
ADJUNTO PDF x
SI
NO
CONTACTO CON AUTOR: VICTOR ALLAM
PARRAGA NÚÑEZ Teléfono:
0992124619
E-mail:
CONTACTO DE LA INSTITUCIÓN Nombre:
Teléfono:
iii
APROBACIÓN DEL TUTOR
En mi calidad de Tutor de Tesis de Grado, “IMPLEMENTACIÓN DE UN
GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED
ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS
COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU
INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO”, elaborado
por el Sr. VICTOR ALLAM PARRAGA NUÑEZ, egresado de la Carrera de
Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y
Físicas de la Universidad de Guayaquil, previo a la obtención del Título de
Ingeniero en Sistemas, me permito declarar que luego de haber orientado,
estudiado y revisado, la apruebo en todas sus partes.
Atentamente
………………………………….
ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c
TUTOR
v
TRIBUNAL DE GRADO
ING.EDUARDO SANTOS B. MS.c ING. INELDA MARTILLO Mgs. DECANO DE LA FACULTAD DIRECTORA
CIENCIAS MATEMÁTICAS Y FÍSICAS CISC, CIN
ING. ISRAEL ORTEGA O. MS.c ING. LORENZO CEVALLOS TORRES
TRIBUNAL TRIBUNAL
ING. ALFONSO GUIJARRO R. MS.c AB. JUAN CHÁVEZ A.
TUTOR SECRETARIO
vi
DECLARACIÓN EXPRESA
“La responsabilidad del contenido de esta Tesis
de Grado, me corresponden exclusivamente; y
el patrimonio intelectual de la misma a la
UNIVERSIDAD DE GUAYAQUIL”
VICTOR ALLAM PARRAGA NÚÑEZ
vii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS
DE SEGURIDAD PARA LA RED ADMINISTRATIVA
DE LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES,
BASADO EN EL ANÁLISIS DE
SU INFRASTRUCTURA DE
RED INTERNA Y DE
PERÍMETRO”
Tesis de Grado que se presenta como requisito para optar por el título de
INGENIERO en SISTEMAS COMPUTACIONALES
Autor: Victor Allam Párraga Núñez
C.I. 0927011007
TUTOR: ING. ALFONSO GUIJARRO R. MS.c
Guayaquil, Diciembre de 2014
viii
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor de Tesis de Grado, nombrado por el Consejo Directivo de
la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.
CERTIFICO:
Que he analizado la Tesis de Grado presentada por el egresado Víctor Allam
Párraga Núñez, como requisito previo para optar por el título de Ingeniero cuyo
problema es: “IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE
AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE
LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES,
BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED
INTERNA Y DE PERÍMETRO”, considero aprobado el trabajo en su totalidad.
Presentado por:
Víctor Allam Párraga Núñez CI: 0927011007
TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c
Guayaquil, Diciembre de 2014
ix
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
Autorización para Publicación de Tesis en Formato Digital
1. Identificación de la Tesis Nombre Alumno: Víctor Allam Párraga Núñez
Dirección: Urbanización La Joya – Ámbar Mz. 7 V. 11
Teléfono: 046029412 E-mail: [email protected]
Facultad: Ciencias Matemáticas y físicas
Carrera: Ingeniería en sistemas Computacionales
Título al que opta: Ingeniero en Sistemas Computacionales
Profesor guía: Ing. Alfonso Guijarro Rodríguez MS.c
Título de la Tesis: “IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE
AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE
INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU
INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO”
Tema Tesis: “IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE
SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU
INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO” 2. Autorización de Publicación de Versión Electrónica de la Tesis A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de esta tesis. Publicación electrónica:
Inmediata X Después de 1 año
Firma Alumno: 3. Forma de envío: El texto de la Tesis debe ser enviado en formato Word, como archivo .Doc.O.RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.
DVDROM CDROM X
x
ÍNDICE GENERAL APROBACIÓN DEL TUTOR........................................................................................... iii
CERTIFICADO DE ACEPTACIÓN DEL TUTOR........................................................ viii
ÍNDICE GENERAL ........................................................................................................... x
ABREVIATURAS ............................................................................................................ xii
ÍNDICE DE CUADROS .................................................................................................. xiv
INDICE DE GRÁFICOS .................................................................................................. xv
RESUMEN ..................................................................................................................... xvii
ABSTRACT ................................................................................................................... xviii
INTRODUCCIÓN ............................................................................................................ 1
CAPÍTULO I: EL PROBLEMA ..................................................................................... 5
PLANTEAMIENTO DEL PROBLEMA ....................................................................... 5
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ............................................... 5
SITUACIÓN CONFLICTO NUDOS CRÍTICOS .......................................................... 7
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ................................................... 8
DELIMITACIÓN DEL PROBLEMA .......................................................................... 10
FORMULACIÓN DEL PROBLEMA .......................................................................... 10
EVALUACIÓN DEL PROBLEMA ............................................................................. 12
OBJETIVOS ................................................................................................................. 15
ALCANCES ................................................................................................................. 16
JUSTIFICACIÓN E lMPORTANCIA ........................................................................ 17
CAPÍTULO II: MARCO TEÓRICO ............................................................................ 19
ANTECEDENTES DEL ESTUDIO ............................................................................. 19
FUNDAMENTACIÓN TEÓRICA............................................................................... 24
QUÉ ES UN GESTOR UNIFICADO DE AMENAZAS ......................................... 24
ORIGEN Y DESARROLLO ACTUAL DE LOS GESTORES UNIFICADOS DE
AMENAZAS ............................................................................................................ 25
ORÍGEN Y EVOLUCIÓN DE LAS REDES DE COMPUTADORAS ................... 26
RAZONES COMUNES POR LAS CUALES ACCEDER A INTERNET .............. 29
FUNDAMENTOS DE REDES DE COMPUTADORAS ........................................ 33
EL MODELO DE REFERENCIA OSI .................................................................... 34
SEGURIDAD INFORMÁTICA DE REDES DE COMPUTADORAS.................. 43
INTRODUCCIÓN DE LOS FIREWALLS COMO DISPOSITIVOS DE
SEGURIDAD EN REDES........................................................................................ 46
xi
EVOLUCIÓN DE LOS FIREWALLS HACIA LOS GESTORES UNIFICADOS
DE AMENAZAS ...................................................................................................... 51
FUNCIONES Y SERVICIOS QUE COMPONEN UN GESTOR UNIFICADO DE
AMENAZAS ............................................................................................................ 53
ANÁLISIS COMPARATIVO DE DISTINTAS SOLUCIONES UTM DEL
MERCADO ............................................................................................................... 54
DESCRIPCIÓN DE CARACTERÍSTICAS DE SOPHOS UTM ............................ 56
MÓDULOS QUE CONTIENE SOPHOS UTM....................................................... 57
IMPLEMENTACIÓN DEL UTM EN LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES ....................................................................... 73
FUNDAMENTACION LEGAL ................................................................................... 77
DECRETO PRESIDENCIAL #1014 ........................................................................ 77
HIPÓTESIS PREGUNTAS A CONTESTARSE ......................................................... 81
VARIABLES DE LA INVESTIGACIÓN ................................................................... 82
DEFINICIONES CONCEPTUALES ........................................................................... 82
CAPÍTULO III: METODOLOGÍA .............................................................................. 84
MODALIDAD DE LA INVESTIGACIÓN ................................................................. 84
TIPO DE INVESTIGACIÓN ................................................................................... 85
POBLACIÓN Y MUESTRA ........................................................................................ 88
OPERACIONALIZACIÓN DE VARIABLES ............................................................ 90
INSTRUMENTOS DE RECOLECCIÓN DE DATOS ................................................ 92
PROCEDIMIENTO DE LA INVESTIGACIÓN ......................................................... 94
PROCESAMIENTO Y ANÁLISIS .............................................................................. 96
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES ............................... 100
RESULTADOS Y ANALISIS DE LA ENCUESTA REALIZADA ..................... 105
CRITERIO PARA LA ELABORACIÓN DE LA PROPUESTA .............................. 122
CRITERIOS DE VALIDACION DE LA PROPUESTA ........................................... 126
CAPÍTULO IV: MARCO ADMINISTRATIVO ....................................................... 127
CRONOGRAMA ........................................................................................................ 127
PRESUPUESTO ......................................................................................................... 130
CAPÍTULO V: CONCLUSI+ON Y RECOMENDACIONES ................................. 131
CONCLUSIONES ...................................................................................................... 131
RECOMENDACIONES ............................................................................................. 133
BIBLIOGRAFÍA........................................................................................................... 135
WEBGRAFÍA ............................................................................................................... 137
xii
ANEXOS ........................................................................................................................ 138
ABREVIATURAS
DoS Denial of Service
DDoS Distributed Denial of Service
SQL Structured Query Language
Pyme Pequeña y mediana empresa
UTM Unified Threat Management
CISC Carrera de Ingeniería en Sistemas Computacionales
IP Internet Protocol
CERT Computer Emergency Response Team
HTTPS Hypertext Transfer Protocol Secure
XSS Cross-site scripting
IDC International Data Corporation
TI Tecnologías de la Información
IPS Intrusion Prevention System
IDS Intrusion Detection System
VPN Virtual Private Network
WAF Web Application Firewall
MRTG Multi Router Traffic Grapher
SNMP Simple Network Management Protocol
SARG Squid Analysis Report Generator
NAT Network Address Translator
SSL Secure Sockets Layer
IPSec Internet Protocol Security
L2TP Layer 2 Tunneling Protocol
PPTP Point to Point Tunneling Protocol
TCP Transmission Control Protocol
UDP User Datagram Protocol
URL Uniform Resource Locator
ARPA Advanced Research Projetcs Agency
UCLA University of California Los Angeles
ARPANET Advanced Research Projects Agency Network
WWW World Wide Web
OSI Open System Interconnection
ISO International Organization for Standardization
MAC Media Access Control
xiii
SMTP Simple Mail Transfer Protocol
POP3 Post Office ProtocoL
HTTP Hypertext Transfer Protocol
FTP File Transfer Protocol
LAN Local Area Network
OSPF Open Shortest Path First
BGP Border Gateway Protocol
DNS Domain Name System
DHCP Dynamic Host Configuration Protocol
NTP Network Time Protocol
BIND Berkeley Internet Name Domain
OWASP Open Web Application Security Project
xiv
ÍNDICE DE CUADROS
CUADRO N° 1 CAUSAS Y CONSECUENCIAS ............................................................. 9
CUADRO N° 2: DESCRIPCIÓN CAPAS MODELO OSI .............................................. 37
CUADRO N° 3: TIPOS DE ADVERSARIOS Y SUS OBJETIVOS AL IRRUMPIR LA
SEGURIDAD EN REDES........................................................................................ 44
CUADRO N° 4: COMPARATIVO DE SOLUCIONES UTM EN EL MERCADO ....... 54
CUADRO N° 5: CARACTERÍSTICAS DE HARDWARE SERVIDOR UTM .............. 74
CUADRO N° 6: DIFERENCIAS ENTRE PROYECTO DE INVESTIGACIÓN Y
PROYECTO FACTIBLE ......................................................................................... 85
CUADRO N° 7: COMUNIDAD ECUCATIVA .............................................................. 88
CUADRO N° 8: POBLACIÓN ........................................................................................ 89
CUADRO N° 9: TAMAÑO DE LA MUESTRA ............................................................. 90
CUADRO N° 10: MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES ............ 91
CUADRO N° 11: CODIFICACIÓN VARIABLE 1 ...................................................... 100
CUADRO N° 12: CODIFICACIÓN VARIABLE 2 ...................................................... 100
CUADRO N° 13: CODIFICACIÓN DE LA VARIABLE 3 .......................................... 101
CUADRO N° 14: CODIFICACIÓN DE LA VARIABLE 4 .......................................... 101
CUADRO N° 15: CODIFICACIÓN DE LA VARIABLE 5 .......................................... 102
CUADRO N° 16: CODIFICACIÓN DE LA VARIABLE 6 .......................................... 102
CUADRO N° 17: CODIFICACIÓN DE LA VARIABLE 7 .......................................... 103
CUADRO N° 18: CODIFICACIÓN DE LA VARIABLE 8 .......................................... 103
CUADRO N° 19: CODIFICACIÓN DE LA VARIABLE 9 .......................................... 104
CUADRO N° 20: CODIFICACIÓN DE LA VARIABLE 10 ........................................ 104
CUADRO N° 21: VALORES ESTADÍSTICOS PREGUNTA 1 .................................. 105
CUADRO N° 22: VALORES ESTADÍSTICOS PREGUNTA 2 .................................. 106
CUADRO N° 23: VALORES ESTADÍSTICA DESCRIPTIVA PREGUNTA 2 .......... 107
CUADRO N° 24: VALORES ESTADÍSTICOS PREGUNTA 3 .................................. 108
CUADRO N° 25: VALORES ESTADÍSTICOS PREGUNTA 4 .................................. 109
CUADRO N° 26: VALORES ESTADÍSTICOS PREGUNTA 5 .................................. 110
CUADRO N° 27: VALORES ESTADÍSTICOS PREGUNTA 6 .................................. 112
CUADRO N° 28: VALORES ESTADÍSTICOS PREGUNTA 7 .................................. 114
CUADRO N° 29: VALORES ESTADÍSTICOS PREGUNTA 8 .................................. 115
CUADRO N° 30: VALORES ESTADÍSTICOS PREGUNTA 9 .................................. 116
CUADRO N° 31: VALORES ESTADÍSTICOS PREGUNTA 10................................. 118
CUADRO N° 32: COMPARATIVO SEXO VS MEJORAR SEGURIDAD ................. 119
CUADRO N° 33: COMPARATIVO SEXO VS DISPONIBILIDAD DE SERVICIOS 120
CUADRO N° 34: COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A
INTERNET ............................................................................................................. 121
CUADRO N° 35: DETALLE DE INGRESOS PARA EL PROYECTO ....................... 130
CUADRO N° 36: DETALLE DE EGRESOS PARA EL PROYECTO ......................... 130
xv
INDICE DE GRÁFICOS GRÁFICO N° 1 DIAGRAMA RESUMEN DE SITUACION ACTUAL DE LA RED .. 20
GRÁFICO N° 2: DIAGRAMA RESUMEN DE SITUACION FINAL DE LA RED ..... 24
GRÁFICO N° 3: CRECIMIENTO DE ARPANET HACIA SEPTIEMBRE DE 1972 ... 28
GRÁFICO N° 4: MODELO DE REFERENCIA OSI ...................................................... 36
GRÁFICO N° 5: TOPOLOGÍAS O ARQUITECTURAS DE RED ................................ 38
GRÁFICO N° 6: FIREWALL SEPARANDO LA RED INTERNA DE LA RED
EXTERNA ................................................................................................................ 47
GRÁFICO N° 7: ACCESOS A LA RED CONTROLADOS POR UN FIREWALL ...... 49
GRÁFICO N° 8: REDES SEPARADAS POR UN ROUTER ......................................... 51
GRÁFICO N° 9: REPRESENTACION DE UN GESTOR UNIFICADO DE
AMENAZAS EN UNA RED ................................................................................... 52
GRÁFICO N° 10: CUADRANTE MÁGICO DE GARTNER PARA SOLUCIONES
UTM 2014 ................................................................................................................. 55
GRÁFICO N° 11: OPCIONES DEL MÓDULO MANAGEMENT ................................ 58
GRÁFICO N° 12: OPCIONES DEL MÓDULO DEFINITIONS & USERS .................. 59
GRÁFICO N° 13: OPCIONES DEL MÓDULO INTERFACES & ROUTING.............. 59
GRÁFICO N° 14: OPCIONES DEL MÓDULO NETWORK SERVICES ..................... 60
GRÁFICO N° 15: OPCIONES DEL MÓDULO NETWORK PROTECTION ............... 62
GRÁFICO N° 16: OPCIONES DEL MÓDULO WEB PROTECTION .......................... 64
GRÁFICO N° 17: OPCIONES DEL MÓDULO EMAIL PROTECTION ...................... 65
GRÁFICO N° 18: OPCIONES DEL MÓDULO WEBSERVER PROTECTION ........... 66
GRÁFICO N° 19: OWASP TOP 10 ................................................................................. 67
GRÁFICO N° 20: OWASP TOP 10 DETALLADO ........................................................ 68
GRÁFICO N° 21: OPCIONES DEL MÓDULO SITE-TO-SITE VPN ........................... 69
GRÁFICO N° 22: DIAGRAMA DE CONEXIÓN VPN SITE-TO-SITE ........................ 70
GRÁFICO N° 23: OPCIONES DEL MÓDULO REMOTE ACCESS ............................ 71
GRÁFICO N° 24: DIAGRAMA DE CONEXIÓN VPN SSL CLIENTE ........................ 71
GRÁFICO N° 25: OPCIONES DEL MÓDULO LOGGING & REPORTING ............... 72
GRÁFICO N° 26: REPORTE DE REGLAS DE ATAQUES DETECTADAS POR EL
IPS ............................................................................................................................. 73
GRÁFICO N° 27: DIAGRAMA DE SITUACION INICIAL DE LA RED CISC .......... 75
GRÁFICO N° 28: DIAGRAMA DE SITUACION FINAL DE LA RED CISC.............. 76
GRÁFICO N° 29: VALORES ESTADÍSTICOS PREGUNTA 1 .................................. 105
GRÁFICO N° 30: VALORES ESTADÍSTICOS DETALLADOS PREGUNTA 2....... 106
GRÁFICO N° 31: VALORES ESTADÍSTICOS PREGUNTA 3 .................................. 108
GRÁFICO N° 32: VALORES ESTADÍSTICOS PREGUNTA 4 .................................. 109
GRÁFICO N° 33: VALORES ESTADÍSTICOS PREGUNTA 5 .................................. 110
GRÁFICO N° 34: VALORES ESTADÍSTICOS PREGUNTA 6 .................................. 113
GRÁFICO N° 35: VALORES ESTADÍSTICOS PREGUNTA 7 .................................. 114
GRÁFICO N° 36: VALORES ESTADÍSTICOS PREGUNTA 8 .................................. 115
GRÁFICO N° 37: VALORES ESTADÍSTICOS PREGUNTA 9 .................................. 116
GRÁFICO N° 38: VALORES ESTADÍSTICOS PREGUNTA 10 ................................ 118
xvi
GRAFICO N° 39: GRÁFICO COMPARATIVO SEXO VS MEJORAR SEGURIDAD
................................................................................................................................ 119
GRAFICO N° 40: GRÁFICOMPARATIVO SEXO VS DISPONIBILIDAD DE
SERVICIOS ............................................................................................................ 120
GRAFICO N° 41: GRAFICO COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A
INTERNET ............................................................................................................. 121
GRÁFICO N° 42: CRONOGRAMA DE ACTIVIDADES DEL PROYECTO ............. 128
GRÁFICO N° 43: DIAGRAMA DE GANTT ................................................................ 129
xvii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS
DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA
DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN
EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE
PERÍMETRO”
Autor: Víctor Allam Párraga Núñez
TUTOR: Ing. Alfonso Guijarro R. MS.c
RESUMEN La seguridad de la información es un aspecto relevante hoy en día en el área de las
redes y comunicaciones, por lo cual es importante contar con soluciones integrales
que permitan gestionar de manera eficiente las amenazas informáticas que tratan
de comprometer la disponibilidad de los servicios o lucrarse con información
confidencial. Este proyecto de tesis tiene como objetivo primordial implementar
una solución tecnológica que permita la gestión unificada de amenazas de
seguridad basado en la modalidad de investigación de proyecto factible ya que el
mismo quedará funcionando al cien por ciento operativo previo una reingeniería
de las estructura de red en la carrera. Los gestores unificados de amenazas o UTM
van más allá del concepto de los firewalls ya que en sí engloba varios servicios de
red en una sola plataforma, tales como VPN, DNS, IPS, WAF, etc. Para este
estudio se utilizó la modalidad de investigación cualitativa y cuantitativa,
realizando encuestas a los estudiantes docentes y personal administrativo,
acogiendo también la opinión emitida por un experto en el área de seguridad y
redes al cual se entrevistó. Con esta propuesta se busca disminuir el impacto que
puedan causar las amenazas de seguridad, facilidad de administración y
configuración, y reportes oportunos que permitan la toma acertadas de decisiones
al administrador de la red, con lo cual resulta beneficiada toda la comunidad
educativa
xviii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS
DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA
DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN
EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE
PERÍMETRO”
Autor: Víctor Allam Párraga Núñez
TUTOR: Ing. Alfonso Guijarro R. MS.c
ABSTRACT
The information security is an important factor nowadays in the area of
networking and communications, so it is important to have comprehensive
solutions to manage cyber threats efficiently that attempt to compromise the
availability of services or profiting with confidential information. This thesis
project aims primarily to implement a technology solution that enables unified
management of security threats based on the type of research project feasible
since it will be running at one hundred percent operating prior reengineer the
network structure the race. Managers UTM Unified Threat or go beyond the
concept of firewalls as itself encompasses various network services on a single
platform, such as VPN, DNS, IPS, WAF, etc. Mode of qualitative and quantitative
research was used, making teachers students and staff surveys, also accepting the
opinion given by an expert in the field of security and networks which were
interviewed for this study. This proposal want to reduce the impact that could
cause security threats, ease of management and configuration, and timely reports
that enable sound decision making by the network administrator, which is
benefiting the entire educational community.
1
INTRODUCCIÓN
Las redes de computadoras en la actualidad son cada vez más complejas, ya que
no solo constituye la comunicación con equipos dentro de nuestro entorno
corporativo sino que es vital estar conectado con otras redes externas a través de
Internet, y el acelerado ritmo de las organizaciones a nivel mundial nos exigen
estar constantemente interconectados mediante el uso de plataformas montadas
sobre Internet, lo cual nos expone a las diversas amenazas que existen dentro del
amplio universo de la Red de Redes.
Conforme avanza la tecnología, crecen, se sofistican y se hacen más complejas las
amenazas provenientes de redes externas desde cualquier lugar del planeta, como
es el caso de la evolución que tuvieron los denominados ataques de Denegación
de Servicios – DoS- convirtiéndose más tarde en ataques Distribuidos de
Denegación de Servicios – DdoS, burlando así los métodos tradicionales de
protección de las redes existentes hasta hace poco.
La finalidad de estos ataques dejar fuera de línea los sistemas y servicios que son
ejecutados sobre los servidores atacados obstruyendo las transacciones tanto para
los usuarios internos y externos lo cual genera retraso en la operatividad de las
actividades planificadas y esto a su vez causa pérdidas de carácter económico
como también deja una mala imagen frente a los clientes.
2
Otro tipo de ataque típico es la inyección de código SQL (en inglés SQL
injection) mediante el cual se puede irrumpir en sistemas vulnerables y con esto
tomar control de equipos críticos dentro de la organización y a su vez sustraer
información sensible la cual puede ser utilizada para generar grandes sumas de
dinero y con ello grandes pérdidas para la compañía que ha sido comprometida.
Es por eso que el administrador de red y seguridad de la información debe estar
preparado frente a estos ataques externos, sin dejar de lado la identificación de
ataques de red provenientes de equipos ubicados en la infraestructura interna;
utilizando una tecnología que le permita facilidad de gestión, tiempos cortos de
respuesta frente a incidentes emergentes presentados y toma de decisiones basadas
en reportes históricos que ayuden a la mejora constante, evitando así que la
continuidad del negocio se vea afectada.
Por este motivo hoy en día para mitigar todo tipo de amenazas de seguridad de
red, la tendencia en la mayoría de las organizaciones Pymes (Pequeña y mediana
empresa) y grandes de todos los sectores, optan por la implementación de
gestores unificados de amenazas ya que estos les permiten facilidad de
administración centralizada y alto rendimiento contra las crecientes amenazas de
la seguridad en red.
3
La estructura general con la que se desarrolló este proyecto de tesis se ha dividido
en 5 capítulos que se detallan en resumen a continuación:
El Capítulo 1 denominado “EL PROBLEMA”, encierra aspectos relacionados a
las causas y consecuencias que generan el desarrollo de este proyecto de tesis,
delimitación y formulación del problema, y se resaltan objetivos, justificación e
importancia y alcances de la solución propuesta.
El Capítulo 2 denominado “MARCO TEÓRICO”, contiene las definiciones
conceptuales inherentes y relacionadas a los gestores unificados de amenazas,
origen y evolución de los mismos, análisis de diversas soluciones UTM en el
mercado, fundamentación legal.
El Capítulo 3 denominado “METODOLOGÍA”, incluye la población y muestra a
estudiarse, resultados de las encuestas realizadas, metodología de la investigación,
tipo de proyecto, tabulación y análisis de las preguntas de las encuestas,
operacionalización de variables.
El Capítulo 4 denominado “MARCO ADMINISTRATIVO” detalla el
cronograma de actividades del proyecto presentado también en formato de
4
Diagrama de Gantt y el presupuesto que contiene los ingresos y gastos
correspondientes a la realización del proyecto.
En el Capítulo 5 denominado “CONLUSIONES Y RECOMENDACIONES”, se
definen los resultados de la culminación del proyecto y se emiten
recomendaciones en base a observaciones encontradas durante la realización del
proyecto de tesis.
5
CAPÍTULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La Carrera de Ingeniería en Sistemas Computacionales (CISC) de la Universidad
de Guayaquil, dispone de una infraestructura de red y servidores propia
compuesta por estaciones de trabajo, switches, routers, puntos de acceso
inalámbrico, servidor web, servidor de base de datos del sistema académico,
enlace de Internet, siendo esta plataforma con la cual se brinda todos los servicios
tecnológicos que la comunidad educativa demanda: estudiantes, profesores y
personal administrativo.
Para esta estructura de red no existe un software/appliance de gestión de
seguridad completo que permita configurar y administrar las reglas de acceso a la
red interna e Internet, se tiene sólo un servidor proxy con sistema operativo Linux
haciendo las veces de firewall donde existen algunas reglas de acceso y
definiciones, el cual es complejo a nivel de administración y configuración ya que
6
todos los cambios se los debe hacer por línea de comando bajo condiciones de
probables errores en la creación manual de reglas.
No existe una bitácora ni documentación que determine las necesidades reales de
acceso entre redes y navegación hacia Internet, ya que no existen registros desde
los cuales se pueda extraer de manera oportuna y eficaz esta información. Si bien
es cierto el gestor haría este trabajo, se necesita la información base sobre la cual
partir para definir reglas de acceso a los servidores, limitaciones apropiadas y
perfiles de navegación ajustadas a la necesidad y demanda del personal, donde el
propósito sea el desarrollo de sus actividades administrativas y de gestión con el
mayor aprovechamiento de las tecnologías.
Así mismo no existe seguridad sobre los servicios web que se consumen desde
Internet hacia los servidores en la red interna, siendo un claros ejemplos el
registro de matriculación, la consulta de notas o el registro que realizan los
docentes con respecto a las notas de los estudiantes, siendo blanco fácil de
personas malintencionadas que buscaran alterar o sustraer esta información para
fines ilícitos, dañinos y de carácter lucrativo.
7
SITUACIÓN CONFLICTO NUDOS CRÍTICOS
El problema de seguridad que enfrenta la red de la CISC no implica solamente
ataques de intrusos desde redes externas, sino que también se puede ver
comprometida por usuarios internos como personal administrativo, docentes o
estudiantes que de manera intencional o no podrían irrumpir con facilidad en los
sistemas que maneja la carrera. Según artículos e informes de varios medios de
comunicación, las organizaciones de todo tipo de sectores en el mundo pierden
grandes cantidades de dinero por el robo o alteración de información, lo cual nos
hace ver con claridad que la CISC no es inmune a este tipo de situaciones.
Con respecto a los nudos críticos que se presentan en torno a la falta de seguridad
aplicada a la red, se puede definir lo siguiente:
- Falta de control de accesos desde usuarios de la red interna hacia los
servidores.
- Falta de control de accesos desde usuarios externos hacia los servidores.
- La navegación web de los usuarios no cuenta con filtrado anti-malware.
- Servidores sin protección contra ataques de red sofisticados.
- Transaccionamiento de la información por canales inseguros.
8
Con respecto a los nudos críticos que se presentan en torno a la administración de
la red, se puede definir lo siguiente:
- Tendencia alta a cometer errores de configuración.
- Complejidad de configuración sobre funcionalidades de seguridad de red.
- Falta de reporteria consolidada para la toma de decisiones.
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
En el siguiente cuadro se detalla las principales causas que originan el problema
de inseguridad en la red administrativa y servidores de la carrera, y las
consecuencias que se tienen o se podrían generar de no tomarse las medidas
correctivas de implementación que se plantean en capítulos posteriores.
9
CUADRO N° 1 CAUSAS Y CONSECUENCIAS
Causas Consecuencias
Complejidad de definición de reglas
de Firewall
Reglas creadas con errores de
definición
Acceso de Personal no autorizado a la
red y servidores Fuga de Información confidencial
Intrusiones a la red y servidores Alteración de la información
comprometiendo la integridad
Saturación y congestionamiento de la
red Servicios informáticos indisponibles
Servidores y equipos clientes con
puertos abiertos de forma
indiscriminada
Generación de ataques, actuando los
equipos como botnets o zombies
consumiendo los recursos de red,
memoria y procesador.
Modificación de la página web de la
carrera con fines perjudiciales
Repercusión en la imagen institucional
de la Carrera
Consumo de ancho de banda no
segmentada
Lentitud en la trasmisión de datos de
subida y bajada de Internet
Ausencia de reporteria y
notificaciones
Toma de acciones correctivas a
destiempo
Accesos hacia sitios no confiables de
Internet
Infección y propagación de malware a
la red interna
Acceso remoto por un canal no seguro Intercepción del tráfico de red
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Carrera de Ingeniería en Sistemas Computacionales y Networking
10
DELIMITACIÓN DEL PROBLEMA
La solución propuesta se ejecutará en el entorno de la red administrativa de la
carrera tomando en cuenta todo el levantamiento de información que de esta se
origine, como subredes, roles de servidores, permisos de navegación, conexiones
físicas, conexiones lógicas, reglas de firewall, direccionamiento IP, etc.
CAMPO: Seguridad de la Información
ÁREA: Red administrativa y servidores de CISC
ASPECTO: Seguridad de red perimetral
TEMA: Implementación de un gestor unificado de amenazas de seguridad para la
red administrativa de la Carrera de Ingeniería de Sistemas computacionales,
basado en un análisis de su infraestructura de red interna y de borde.
FORMULACIÓN DEL PROBLEMA
La estructura de seguridad actual que tiene la red administrativa de la carrera,
permite todavía accesos de navegación no autorizados, penetraciones a la red,
consumos no supervisados de ancho de banda y muchas debilidades expuestas que
afectan la confidencialidad, integridad y disponibilidad de los datos, los intentos
de intromisión por parte de las subredes de los laboratorios de la carrera
11
incrementa la posibilidad y probabilidad de ataques internos y contaminación de
malware. De esto surge la siguiente interrogante:
¿Cómo y por qué integrar un gestor unificado de amenazas de seguridad para
proteger de manera eficiente y oportuna la red de la Carrera de Ingeniería en
Sistemas Computacionales?
"Las organizaciones gastan millones de dólares en firewalls y dispositivos de
seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el
eslabón más débil de la cadena de seguridad: la gente que usa y administra
los ordenadores” (Kevin Mitnick)
Afirmando la anterior cita, ningún sistema de seguridad es totalmente
impenetrable, puesto que en materia de seguridad informática influyen muchos
factores como el humano haciendo que la misma sea relativa, basados en esto, con
la implementación de un sistema gestor unificado de amenazas de seguridad no se
garantiza protección total al 100 % pero si se disminuyen los riesgos inherentes a
los cuales está expuesta la CISC.
12
EVALUACIÓN DEL PROBLEMA
Los aspectos que se han tomado en cuenta para la evaluación del problema
planteado se los detalla a continuación:
Delimitado:
En la actualidad se presentan problemas de seguridad perimetral y falta de
administración de amenazas informáticas en la estructura de red administrativa
que se encuentra en producción en la CISC, quedando así expuestos y vulnerables
los servicios que se prestan a la comunidad académica comprendida por personal
administrativo, profesores y estudiantes.
Evidente:
La ausencia de seguridad perimetral y de red interna provoca algunos
inconvenientes, y están expuestos a amenazas de todo tipo, afectando
directamente a los datos alojados en los servidores y la continuidad de las
actividades académicas que han sido planificadas con anterioridad.
En este momento con estudiantes de una carrera en tecnologías de la información
aumentan los riesgos de poder ser atacados por personas mal intencionadas o que
pueden asumir que es un ambiente de pruebas y generar tráfico no autorizado
sobre la red.
13
Concreto:
“Para descubrir y bloquear ataques del personal de forma inteligente, lo primero
es establecer un programa de prevención de ataques internos” Así lo comunicó
Dawn Cappelli, gerente técnica del CERT Insider Threat Attack Center, de la
Universidad Carnegie Mellon, es lo que la solución busca en sus objetivos
principales, asegurar claramente el entorno interno, después que se haya puesto
mayor énfasis en esto, se buscarán las definiciones apropiadas para asegurar la
red perimetral desde y hacia Internet.
Factible:
La solución propuesta a implementar, nos brinda un sistema integrado que agrupa
soluciones como: firewall full state inspection, sistema prevención de intrusos,
calidad de servicio, control de denegación de servicios, escaneo antivirus,
encriptación de correo, filtrado de navegación, escaneo antispyware, escaneo
HTTPS, control a nivel de aplicaciones, protección contra ataques SQL injection y
XSS.
Estas características pueden adaptarse perfectamente al esquema de la red de la
carrera de Ingeniería de Sistemas Computacionales levantando esta solución en un
solo equipo servidor que se encargue de proporcionar las funcionalidades antes
mencionadas en el marco de licenciamiento sin costo para 50 direcciones IP,
siendo así factible esta solución en cuanto a recursos económicos, humanos y de
tiempo.
14
Original:
Al hablar de este proyecto, estamos frente a un nuevo enfoque, ya que el término
de gestor unificado de amenazas fue empleado por primera vez en 2004 por
Charles Kolodgy, Vicepresidente de Investigación para productos y servicios de
seguridad del IDC (International Data Corporation), para describir este tipo de
soluciones que engloban los múltiples servicios antes mencionados en un solo
servidor.
El uso de este tipo de soluciones está empezando a ser adoptado tanto por grandes,
medianas y pequeñas compañías e industrias privadas y gubernamentales a nivel
internacional y nacional, por su facilidad de administración y oportuna respuesta
frente a incidentes presentados como resultado de las operaciones realizadas.
Identifica los productos esperados:
Así como los gestores unificados de amenazas están siendo poco a poco adaptados
a la infraestructura de red de las compañías, también es un término desconocido
para muchos profesionales de TI en nuestro entorno, es por eso que el estudio para
la implementación de este proyecto dará un valor agregado reflejándose tanto en
la infraestructura de red de la carrera de Ingeniería de Sistemas Computacionales
de la Universidad de Guayaquil, como en el conocimiento que se aportará en el
proceso de implementación al administrador de red en cuanto al manejo de esta
solución.
15
OBJETIVOS
OBJETIVO GENERAL:
Implementar una solución integral tecnológica que permita la gestión unificada de
amenazas de seguridad informática, en la estructura de red de la CISC, aplicando
criterios basados en mejores prácticas de seguridad para proteger de manera
centralizada el equipamiento lógico de la institución a nivel interno y perimetral
asegurando la continuidad y operatividad de los servicios informáticos que son
consumidos por la comunidad académica, y a su vez brindar al administrador de
red facilidad de gestión e inmediata respuesta, frente a problemas o
eventualidades presentados en la red.
OBJETIVOS ESPECÍFICOS:
Identificar la estructura de red de la CISC y la seguridad aplicada sobre la misma,
mediante la recopilación de información, para el posterior análisis de los puntos
de fallo y determinación de las mejoras que se pueden realizar con la integración
del gestor unificado de amenazas.
Rediseñar la estructura de red de la CISC, analizando las necesidades de seguridad
presentes para establecer un nivel de protección robusto basado en buenas
practicas que abarque tanto a usuarios internos, externos y servidores.
16
Dimensionar los recursos de hardware requeridos por el producto, basándose en
las especificaciones dadas por el fabricante para preparar el servidor en el que se
implementará el gestor unificado de amenazas.
Instalar, configurar y poner en producción las funcionalidades del gestor
unificado de amenazas de acuerdo a la información tomada del esquema de red y
la propuesta realizada de niveles de seguridad.
Afinar las políticas y reglas de acceso configuradas en el gestor unificado de
amenazas, tomando decisiones en base a los hallazgos encontrados en los reportes
generados por el gestor unificado de amenazas para garantizar la mejora continua
de la seguridad en la red.
ALCANCES
Análisis interno y perimetral de la situación inicial de la red administrativa y de
servidores de la CISC.
Rediseño y adaptación de la red para así poder integrar el gestor unificado de
amenazas a la misma.
Dimensionar los recursos de hardware necesarios para el servidor en el que se
implementara el gestor unificado de amenazas, basado en el análisis de red
previamente realizado.
17
Implementación del gestor unificado de amenazas de acuerdo a las necesidades
de protección, protegiendo al menos 50 equipos en la red administrativa y
servidores.
Desarrollo de una memoria técnica y un manual de administrador que facilite la
gestión del sistema implementado.
Capacitación al Administrador de Red para la implementación y uso del gestor
unificado de amenazas.
JUSTIFICACIÓN E lMPORTANCIA
La seguridad de la información es un tema primordial dentro del ámbito de la
tecnología en la actualidad, ya que para todas las actividades diarias sean estas
personales, comerciales o académicas dependemos de recursos tecnológicos como
lo son los ordenadores, teléfonos celulares inteligentes, tablets, etc., todos estos
interconectados y con acceso al mundo a través de Internet, tener acceso a este
tipo de tecnologías hoy en día más que un lujo es una necesidad.
La CISC tiene que ofrecer sus servicios académicos ligada netamente a recursos
tecnológicos para garantizar calidad, rapidez y eficiencia en todos sus procesos
operativos, pero estar apoyados con tecnología en sus actividades diarias hace que
18
estos procesos sean vulnerable y se expone a un riesgo muy grave: la pérdida de
información importante por falta de medidas de seguridad informática.
La implementación e integración dentro de la red de un gestor unificado de
amenazas es un muy buen inicio en la mitigación de las vulnerabilidades de
seguridad presentes actualmente, este gestor incluye funcionalidades tales como
firewall, filtrado de navegación y protección antivirus, administración de ancho de
banda, sistema de prevención de intrusos, entre otras características, ayudará a
fortalecer el entorno de la red tanto interno como externo.
Este proyecto permitirá documentar todo el levantamiento de información que
será parte del análisis y la implementación del gestor unificado de amenazas,
eliminando con una solución la complejidad de implementar una variedad de
soluciones que aseguren la red de la CISC frente a virus, spam y ataques de
hackers, beneficiando de esta manera a toda la comunidad académica.
19
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
Siempre hemos podido crear, planear y diseñar la protección de la red, deberíamos
adquirir e implementar un IPS o un IDS, adquirir e implementar una solución de
firewall y otra para crear perfiles en los que se pueda realizar el filtrado de
contenido en la navegación web, adquirir e implementar un módulo para Anti-
Spam, un appliance o un servidor que nos permite tener alta disponibilidad y
balanceo de carga en el enlace de Internet, tal vez depender de terceros para los
accesos remotos vía VPN (Virtual Private Network), implementar una
herramienta WAF (Web Application Firewall) para la protección de ataques hacia
los servidores web.
Generando el uso de estas herramientas gran cantidad de registros, los cuales son
complicados de consolidar y así poder obtener reportería conjunta y oportuna para
poder examinar uno a uno los elementos cuando realizamos troubleshooting.
Tener un especialista para administrar cada uno de los elementos antes detallados,
20
y un proveedor diferente para cada una de estas tecnologías incurre en altos costos
económicos para las organizaciones aumentando así las limitaciones en el
presupuesto destinado para el departamento de Tecnologías de la Información.
Enfocando esto a la estructura de red lógica actualmente configurada en el centro
de datos de la Carrera de Ingeniería en Sistemas Computacionales, mediante un
estudio de la misma se recopiló la información necesaria para así poder
representar en el siguiente GRÁFICO la situación actual de seguridad perimetral
con que cuenta la red del Departamento Administrativo y Servidores, de manera
resumida:
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
GRÁFICO N° 1 DIAGRAMA RESUMEN DE SITUACION
ACTUAL DE LA RED
21
Se puede observar en el anterior gráfico que existen servidores tales como el
servidor web, que están directamente publicados hacia Internet es decir, no hay un
equipo de frontera que pueda protegerlo contra los ataques más comunes y
avanzados que se presentan hoy en día (SQL Injection, Cross-Site Scripting.
DDoS, etc), lo cual puede ocasionar tanto perdida de información confidencial y
denegación de consumo de los servicios en el levantados.
Si bien es cierto, se puede constatar que existen seguridades a nivel de sistema
operativo levantados en este servidor, lo que es correcto y mitiga en gran manera
algún tipo de ataque o intrusión, pero lo ideal y eficiente en temas de seguridad y
rendimiento para el servidor web, es que exista un equipo entre Internet y el
mismo que se encargue de contrarrestar estos ataques con técnicas avanzadas de
detección y prevención como lo son el WAF (Web Application Firewall) y el IPS,
protegiendo y a su vez aligerando así la carga operativa de procesamiento lo cual
se refleja en mayor rapidez y oportuna disponibilidad de acceso a los servicios.
A su vez, este servidor web se conecta punto a punto con un servidor de base de
datos el cual contiene la información del Sistema Académico. También se
identifica en el diagrama de red, que existe un servidor proxy que hace las veces
de firewall para la red del Departamento Administrativo. Este servidor proxy,
tiene como sistema operativo CentOS, dentro del cual se manejan los siguientes
servicios en producción para la gestión de la red, se detalla el uso que se le da a
cada uno de ellos:
22
IPTables: Creación de reglas de firewall y acceso.
Squid: Filtro de contenido de navegación web.
Sarg: Generación de reporteria emitida por Squid.
Htb-gen: Control de ancho de banda.
MRTG y SNMP: Monitoreo de interfaces de red.
Con la solución propuesta se gestiona toda la seguridad desde una sola intuitiva
interfaz de navegación. No son necesarios programas adicionales ni la línea de
comandos obligatoriamente para poder realizar cualquier tipo de cambios en las
configuraciones. Gracias a la gama completa de funciones de nivel empresarial
que ofrece un Gestor Unificado de Amenazas, se tendrá mayor protección frente
a amenazas, facilidad de administración, menos tendencia a cometer errores
involuntarios de configuración y toma de decisiones oportuna con respecto a la
seguridad de la red.
A diferencia del esquema de red actual, en el que un servidor proxy basado en
Sistema Operativo Linux gestiona la seguridad y accesos de red, con limitado
nivel de seguridad, en la solución propuesta se podrá gestionar de manera gráfica
y sencilla los niveles de seguridad representados por las siguientes funciones:
- Firewall Satateful Packet Inspection.
- Network Address Translator (NAT).
23
- Tipos de VPN SSL, IPSec, L2TP, PPTP.
- Iintrusion Prevention System (IPS).
- Control de ancho de banda.
- Monitoreo en tiempo real y bajo demanda del ancho de banda
consumido.
- Redundancia de enlaces de Internet.
- Control DDoS (Flood SYN TCP, flood UDP, flood ICMP
- Filtrado de navegación web HTTP/S por categorías y URL.
- Protección contra virus y spyware en la navegación web.
- Control de aplicaciones.
- Web Application Firewall (Form hardening, URL hardening,
Antivirus, cookie protection)
- Amplia reporteria consolidada y logs intuitivos en tiempo
real. Ver ANEXO N °1 – REPORTE EJECUTIVO.
- Interfaz de usuario totalmente grafica vía browser.
- Copia y respaldo de seguridad automática y periódica de
configuraciones.
Después de la implementación del gestor unificado de amenazas propuesto, el
esquema de red del área administrativa y de servidores de la carrera, quedará en
resumen de la siguiente manera:
24
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
FUNDAMENTACIÓN TEÓRICA
QUÉ ES UN GESTOR UNIFICADO DE AMENAZAS
El término gestor unificado de amenazas o UTM por sus siglas en inglés Unified
Threat Management hoy en día se está empezando dar a conocer como un factor
importante dentro del campo de la seguridad perimetral de redes. Los gestores
unificados de amenazas han sido poco conocidos hasta hace años atrás, ya que el
termino UTM como tal fue mencionado recién por primera vez en el año 2004 por
GRÁFICO N° 2: DIAGRAMA RESUMEN DE
SITUACION FINAL DE LA RED
25
Charles Kolodgy, Vicepresidente de Investigación de Productos de Seguridad del
International Data Corporation.
Kolodgy utilizó el termino UTM para definir la consolidación de distintas
soluciones de seguridad de redes en una única solución ya sea esta de software o
de hardware. La integración de estas soluciones incluye servicios como firewall,
filtrado de contenido web, antivirus de puerta de enlace, prevención y detección
de intrusiones, acceso remoto a través de redes privadas virtuales o VPN (Virtual
Private Network), usados para contrarrestar los más variados ataques de seguridad
informática que sufren las organizaciones. Además, permite el balanceo de carga
de enlaces de Internet lo cual se refleja en la continuidad de negocio.
Es decir, un gestor unificado de amenazas ayuda a la simplificación de la
seguridad de redes, ya que permite al administrador de red centralizar y controlar
todo desde un solo dispositivo sin la necesidad de recurrir a varias soluciones
independientes proporcionadas por distintos proveedores.
ORIGEN Y DESARROLLO ACTUAL DE LOS GESTORES UNIFICADOS
DE AMENAZAS
Para entender el actual desarrollo y origen de los gestores unificados de amenazas
se detallará a continuación la evolución que han tenido a lo largo del tiempo las
26
redes informáticas, viniendo desde lo más simple hacia lo complejas que son hoy
en día, explicando también como componente principal y pionero de los gestores
unificados de amenazas, los firewalls, y por último se detallara cada uno de los
servicios que componen el sistema de un gestor unificado de amenazas.
ORÍGEN Y EVOLUCIÓN DE LAS REDES DE COMPUTADORAS
Una red de computadoras es un conjunto de dispositivos electrónicos conectados
entre sí por medios físicos y protocolos lógicos, lo cual les permite establecer
comunicación bajo demanda o en tiempo real y así poder compartir información
tanto de carácter personal, laboral, comercial, entretenimiento, etc. Estos
dispositivos pueden ser computadores de escritorio, computadores portátiles,
computadores servidores, teléfonos móviles, tablets y televisores inteligentes.
Para poder llegar al nivel actual en el que se encuentran las comunicaciones entre
estos dispositivos y ser algo tan común en la vida cotidiana para la mayoría de
personas alrededor del mundo, el desarrollo y la evolución de las redes de
computadoras ha pasado por decenas de años hasta llegar a ser lo que hoy en día
conocemos como telecomunicaciones modernas.
El origen de las redes de computadores se remonta a la década del 60, época en la
que se creó en Estados Unidos de Norteamérica la Agencia de proyectos de
27
Investigación Avanzada ARPA por sus siglas en inglés (Advanced Research
Projetcs Agency), cuyo objetivo era crear una red de computadoras que uniera las
distintas instituciones gubernamentales.
ARPA convocó concursos para adjudicar el contrato a proveedores y
universidades locales que puedan realizar el diseño y la construcción de la red
que se había ideado en un principio, finalmente y después de algunos años se creó
una red experimental que unía a la University of California Los Angeles (UCLA),
University of California Santa Barbara, Stanford Research University, University
of Utah, esta red que nació fue denominada ARPANET (Advanced Research
Projects Agency Network) lo que les permitía a los científicos compartir material
investigativo y académico, después de tres años ARPANET tuvo un grado de
crecimiento muy alto llegando a abarcar todo Estados Unidos (Tanenbaum,
2003).
Poco a poco se fueron construyendo más redes y uniendo entre sí para establecer
comunicación y es desde aquí que se originó la Red de Redes o también
denominada como Internet, que no es más que la unión de millones de
dispositivos conectados alrededor del mundo constituyendo así una gigante red de
computadoras lo que permite a los usuarios realizar un sinnúmero de actividades
hoy en día.
28
Si bien es cierto, como se comentó en un principio las primeras redes fueron
netamente para desarrollo investigativo y la colaboración científica entre pocas y
limitadas personas, hoy en día con la comercialización del acceso a la Red de
Redes y los bajos costes que implica obtener este recurso ha hecho que sea
totalmente asequible para millones de usuarios en el planeta. Esto ha ocasionado
que revolucione el concepto y la percepción que se tenía de las comunicaciones
hasta hace pocos años, siendo así que hoy en día se puede tener una conversación
en tiempo real entre dos personas observándose cara a cara a pesar de que una de
ellas se encuentre en Singapur y la otra en Alaska.
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición
GRÁFICO N° 3: CRECIMIENTO DE ARPANET HACIA
SEPTIEMBRE DE 1972
29
RAZONES COMUNES POR LAS CUALES ACCEDER A INTERNET
Actividades diarias que en décadas atrás demandaban mucho más tiempo, en la
actualidad son simplificadas con el uso del Internet, se menciona a continuación
los usos más comunes y las razones por las cuales los usuarios domésticos
acceden a Internet:
- Acceso a información remota.
- Comunicación de persona a persona.
- Entretenimiento interactivo.
- Comercio electrónico. (Tanenbaum, 2003, p. 6)
Aquí Tanenbaum menciona las cuatro razones antes expuestas, englobando las
más comunes como lo son el acceso a la información remota que no es más que el
acceso a información alojada en servidores web ubicados geográficamente en
lugares distintos y por lo general muy distantes a donde nos podamos encontrar,
Los usuarios pueden acceder a esta información a través de la WWW (World
Wide Web por sus siglas en inglés) consultando así gran cantidad de documentos
de la web, pudiendo ser esta información de fuentes verídicas o falsas. Como
ejemplo, un ciudadano ecuatoriano que se encuentra de viaje en China, puede
enterarse de los hechos que se han dado en el Ecuador con tan solamente acceder
al sitio del diario local www.eluniverso.com.
30
La comunicación de persona a persona es otra de las ventajas que nos proporciona
el acceso a Internet, siendo así que a través de esta plataforma de carácter mundial
se puede usar la telefonía basada en Voz sobre IP para establecer una llamada
remota en pocos segundos y con una calidad de transmisión excelente, sin retrasos
y en tiempo real, superando así las comunicaciones telefónicas basadas en
plataformas analógicas.
El uso de las redes también ha cambiado la forma en que las personas se
entretienen, hasta hace pocos años las formas de entretenimiento se encontraban
limitadas al aspecto presencial para poderse llevar a cabo, es decir, los
participantes de un juego debían encontrarse físicamente en el mismo lugar para
poder desarrollarlo. Ahora con los juegos en línea los participantes pueden
encontrarse en cualquier lugar del planeta teniendo la experiencia de sentirse
como si estuvieran físicamente uno al lado del otro.
Y no solo en los juegos en línea se evidencia el uso del Internet para consumo de
entretenimiento sino que también es utilizado para realizar compras, ver películas,
ver los resultados de los partidos de futbol, escuchar y descargar música, en fin,
una cantidad casi infinita de usos de entretenimiento que se le da al Internet.
31
El correo electrónico es la abstracción del correo convencional, en el que el
proceso para hacer llegar una carta de un lugar a otro comprende la entrega al
cartero, luego este la envía a la oficina postal para ser distribuida al medio de
transporte por el cual se la enviara al destinatario dependiendo de la ubicación
geográfica del destino, ocasionando que la carta que hemos enviado se demore
días o semanas en llegar hacia el objetivo, y si vemos mucho más atrás cuando no
existía el transporte aéreo y los correos eran transportados por tren o barco, el
tiempo de llegada eran en muchas ocasiones varios meses. Con el desarrollo de la
tecnología, específicamente de Internet, todo este tedioso y demorado proceso se
redujo a tan solo segundos o minutos en el tiempo con el envío de correos
electrónicos, permitiéndonos enviar las fotos que nos hemos tomado al instante o
videos de algún acontecimiento importante en nuestras vidas a nuestros familiares
o amigos.
Así como el Internet es un recurso muy útil para los usuarios domésticos, es tan o
mucho más útil para los usuarios corporativos ya que es un medio por el cual se
puede llevar a cabo un sin número de actividades que aportan con el desarrollo y
productividad de la organización. Entre los usos que le dan los usuarios
corporativos a Internet están:
- Envió y recepción de correos electrónicos.
- Pago en línea de roles a la nómina.
- Consulta de información vía web.
32
- Compra de insumos via web.
- Venta de productos y servicios via web.
- Transacciones bancarias en línea.
- Conexión remota a la oficina.
- Video conferencia.
- Llamadas telefónicas locales e internacionales.
- Colaboración en línea.
- Mercadeo.
Estos, entre otros múltiples usos que se le puede dar a Internet a nivel corporativo
y que han simplificado las tareas cotidianas y acortado el tiempo y distancia que
llevaba realizarlas antes de que se tenga acceso al mismo, contribuyendo así en la
efectividad de los procesos corporativos que se realizan a diario para el
crecimiento de las organizaciones.
Hasta ahora he nombrado varias ventajas y bondades que nos ofrece el acceso a la
Red de Redes y el aporte al desarrollo de las organizaciones y los usuarios
domésticos, pero cabe mencionar también los riesgos que este conlleva, tales
como robo de información confidencial por espías informáticos en busca de
apoderarse de los secretos comerciales e industriales, perdida de dinero por
transacciones bancarias en internet, suplantación de identidad, infección de los
sistemas informáticos por malware, correos no deseado también conocido como
spam, daño a la imagen corporativa de la empresa, entre otros.
33
Esto nos da paso a la siguiente sección en la que se habla acerca de la seguridad
informática en general y específicamente a las medidas de seguridad que se deben
tomar para salvaguardar las redes.
FUNDAMENTOS DE REDES DE COMPUTADORAS
Ahora que sabemos el origen de las redes de computadoras y lo que han llegado a
ser hasta la actualidad para la vida de millones de organizaciones y personas en el
mundo, es necesario revisar los fundamentos de redes y saber cómo funcionan
estas por dentro, es decir, el proceso que se lleva a cabo para establecer la
comunicación entre un computador ubicado en un extremo de la red y otro
ubicado en otro extremo.
Así como los seres humanos nos comunicamos entre sí a través de muchos
medios, siendo el más básico el medio del habla, los computadores se comunican
entre sí con su lenguaje propio de máquinas y para establecer esta comunicación
la deben hacer a través de protocolos. Un protocolo es un conjunto de reglas o
convenciones que se deben cumplir para establecer la comunicación entre dos o
más entes.
Haciendo la analogía humana para que dos personas puedan establecer
comunicación deben hablar el mismo idioma ya que si uno de ellos habla alemán
34
y el otro habla hebreo nunca podrán entenderse ya que no siguen el mismo
protocolo de comunicación por el impedimento del idioma, a menos que haya un
intérprete de por medio. Así mismo los computadores deben hablar el mismo
“idioma” o deben basarse en el mismo protocolo para poder comunicarse.
EL MODELO DE REFERENCIA OSI
En los primeros años de implementación de las redes de computadoras, los
fabricantes de las mismas desarrollaban protocolos de comunicación propietarios
lo cual causaba dificultades al momento de compartir o intercambiar información
con otros computadores de otros fabricantes u otras tecnologías. En un párrafo de
una de las obras de Gheorghe (2006, p. 8), indica cual fue la solución que se
desarrolló para solventar este problema de comunicación:
To solve this problem, the International Organization for
Standardization (ISO) created a network model that helps
vendors to create networks compatible with each other. In 1984,
ISO released the Open Systems Interconnection (OSI) reference
model, which is a well-defined set of specifications that ensures
greater compatibility among various technologies.
35
Traducción al español:
Para resolver este problema, la Organización Internacional de
Normalización (ISO) creó un modelo de red que ayuda a los
fabricantes a crear redes compatibles entre sí. En 1984, la ISO
publicó el modelo de referencia de Interconexión de Sistemas
Abiertos (OSI), que es un conjunto bien definido de
especificaciones que garantiza una mayor compatibilidad entre
las distintas tecnologías.
Y fue bajo esta necesidad que nació el modelo de referencia OSI (por sus siglas en
ingles Open Interconnection System) que consta de siete capas, con una función
específica para cada una de ellas, siendo estas la capa física, capa de enlace de
datos, capa de red, capa de transporte, capa de sesión, capa de presentación y la
capa de aplicación. En el siguiente GRÁFICO se muestra las capas del modelo de
referencia OSI:
36
GRÁFICO N° 4: MODELO DE REFERENCIA OSI
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición
37
En el siguiente cuadro se muestra una breve descripción de cada una de las capas
del modelo de referencia OSI:
CUADRO N° 2: DESCRIPCIÓN CAPAS MODELO OSI
CAPA NOMBRE DESCRIPCION
7 Aplicación Permite a las aplicaciones solicitar servicios de red
6
Presentación Convierte los datos de modo que los sistemas que utilizan diferentes datos formatos pueden intercambiar información.
5 Sesión Establece sesiones entre aplicaciones de red
4 Transporte Provee entrega confiable de paquetes
3 Red Maneja enrutamiento de datos entre distintos segmentos
de red.
2 Enlace de
datos Proporciona direcciones MAC como identificador único para los equipos en la red.
1 Física Incluye los medios físicos como cableado de red,
repetidores, hubs, etc. Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
CAPA FÍSICA
Esta es la capa inferior del modelo de referencia OSI, y se encarga de las
características físicas de la red, es decir, de aquellos componentes tales como
repetidores, hubs, cables de cobre, cables de fibra, tarjetas de red de los
computadores y demás dispositivos dentro de la red, conectores, señales
eléctricas.
Dentro de esta capa entran también las topologías de red, siendo las más
conocidas:
38
- Topología de bus.
- Topología de anillo.
- Topología de árbol
- Topología de estrella.
- Topología de malla.
- Topología totalmente conexa.
- Topología doble anillo.
- Topología mixta.
La siguiente figura muestra de manera gráfica las diferentes topologías de red:
GRÁFICO N° 5: TOPOLOGÍAS O ARQUITECTURAS DE RED
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Wikipedia, http://es.wikipedia.org/wiki/Topolog%C3%ADa_de_red
39
CAPA DE ENLACE DE DATOS
En la capa de enlace de datos se le asigna un sentido a las señales eléctricas que
viajan a través de la red, dentro de esta capa juegan un papel muy importantes los
switches o conmutadores, ya que su función es conmutar los paquetes de datos de
manera tal que estos lleguen intactos hacia su destinatario lo cual se logra con
técnicas propias de estos dispositivos.
En la capa de enlace de datos cada dispositivo dentro de la red tiene asignada una
dirección física como identificador único, esta dirección física es denominada
como dirección MAC por sus siglas en ingles Media Access Control, o control de
acceso a medios. Tal como se mencionó con anterioridad, las direcciones MAC
son únicas para cada dispositivo, es decir, que en todo el mundo no hay dos
dispositivos con la misma dirección.
Las direcciones MAC están compuestas por 6 pares de dígitos hexadecimales,
comprendidos entre los números del “1” al “9” y las letras de la “A” a la “F”,
como por ejemplo 24-1C-99-AF-D6-36.
40
CAPA DE RED
Esta capa es la responsable del enrutamiento para la comunicación de un
dispositivo a otro ubicado en una red distinta. El protocolo de red más utilizado a
nivel mundial y general es el protocolo IP (Internet Protocol), en los protocolos de
capa de red encontramos los conceptos de direccionamiento lógico y
enrutamiento.
En la capa de enlace de datos vimos que cada dispositivo de la red cuenta con una
dirección física llamada dirección MAC, en la capa de red aparece el
direccionamiento lógico o direccionamiento IP, que consiste en configurarle a los
dispositivos una dirección para que pueda comunicarse con otros equipos dentro
de la misma red o de redes foráneas. Las direcciones de red están conformadas por
cuatro octetos, compuesto cada octeto por números decimales. Ejemplo:
10.172.16.30.
CAPA DE TRANSPORTE
Tal como su nombre lo indica, la capa de transporte se encarga de transportar los
mensajes entre los dispositivos de la red, dividiendo cada mensaje en partes más
pequeñas recibiéndolos desde las capas superiores, luego los transmite a la capa
de red asegurándose de que estos lleguen sin errores hacia el dispositivo de
41
destino. Los protocolos de la capa de transporte son TCP (Transmission Control
Protocol – Protocolo de Control de Transmisión) y UDP (User Datagram
Protocol – Protocolo de Datagrama de Usuario).
TCP se encuentra definido dentro de los estándares RFC, encontrando una amplia
descripción de este protocolo en el RFC 793 (http://tools.ietf.org/html/rfc793) y el
RFC 1323 (http://tools.ietf.org/html/rfc1323). TCP es un protocolo orientado a la
conexión, ya que establece operaciones de control para garantizar la correcta
consistencia y entrega de todos los mensajes que se transmitan de un origen hacia
un destino.
UDP es un protocolo sin conexión, es decir permite el envío de mensajes sin que
previamente se haya establecido una conexión, y no tiene controles que garanticen
la recepción de los mensajes o que estos lleguen en el orden conforme se los ha
enviado. UDP se encuentra definido en la RFC 768
(http://tools.ietf.org/html/rfc768).
CAPA DE SESIÓN
La capa de sesión permite que dos dispositivos diferentes puedan establecer
sesiones entre sí, aplicando controles para que no exista errores dentro de la
comunicación garantizando el paso de los datos en correcto estado.
42
CAPA DE PRESENTACIÓN
Andrew Tanenbaum en su libro Redes de Computadoras Cuarta Edición, define a
la capa de presentación de la siguiente manera, (Tanenbaum, 2003, p. 6):
A diferencia de las capas inferiores, a las que les corresponde
principalmente mover bits, a la capa de presentación le
corresponde la sintaxis y la semántica de la información
transmitida. A fin de que las computadoras con diferentes
representaciones de datos se puedan comunicar, las estructuras
de datos que se intercambiarán se pueden definir de una manera
abstracta, junto con una codificación estándar para su uso “en el
cable”. La capa de presentación maneja estas estructuras de
datos abstractas y permite definir e intercambiar estructuras de
datos de un nivel más alto (por ejemplo, registros bancarios).
CAPA DE APLICACIÓN
La capa de aplicación contiene los protocolos usados por los usuarios en
las aplicaciones, como por ejemplo el protocolo SMTP y POP3 que sirven
para el envío y descarga de correos electrónicos, el protocolo de aplicación
FTP que sirve para la transferencia de archivos, o el protocolo HTTP que
sirve para la navegación en las páginas web.
43
SEGURIDAD INFORMÁTICA DE REDES DE COMPUTADORAS
Conforme ha transcurrido el tiempo, las redes de computadoras han evolucionado
hasta el punto actual como las conocemos y como se ha mencionado
anteriormente todas las facilidades que estas nos brindan, y así como han
avanzado las nuevas tecnologías de redes de computadoras se han multiplicado
por millones los usuarios a nivel mundial que hacen uso de las redes.
Esto conlleva a que gente mal intencionada quiera adueñarse de información que
no le pertenece para obtener beneficios económicos o simplemente buscan hacer
daño a una compañía por haberlos despedido, como puede darse el caso de un ex
empleado, o también el típico estudiante que busca por cualquier manera alterar
sus calificaciones accediendo a los registros académicos de su institución.
En el siguiente cuadro, Andrew Tanenbaum ejemplifica los tipos de adversarios
que pueden irrumpir en la seguridad de redes y sus objetivos a la hora de realizar
un ataque (Tanenbaum 2003, p. 722):
44
CUADRO N° 3: TIPOS DE ADVERSARIOS Y SUS OBJETIVOS AL
IRRUMPIR LA SEGURIDAD EN REDES
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición
Antes de entrar en detalle acerca de las seguridades de redes que debemos aplicar
para estar protegidos contra los ataques antes mencionados, es bueno revisar en
que está basada la seguridad informática o los también llamados pilares de la
seguridad:
- Confidencialidad.
- Integridad.
- Disponibilidad.
Confidencialidad: Con este principio se garantiza que nuestra información sea de
acceso exclusivo para las personas que autoricemos, cualquier otra persona que no
esté autorizada no deberá poder visualizar dicha información. Como ejemplo de la
aplicación de este principio de la seguridad podemos tomar el envío de un correo
45
electrónico entre la compañía Arcos S.A y la Superintendencia de Compañías, en
el que la primera hace llegar por este medio digital los estados financieros
correspondientes al ejercicio fiscal 2013, la confidencialidad garantiza que
únicamente la Superintendencia de Compañías sea el receptor de los estados
financieros y no un espía informático que haya interceptado en el camino el correo
electrónico.
Integridad: La integridad garantiza que la información que tenemos no sea
alterada de ninguna manera, entendiéndose por alterada el borrado, omisión o
cambio de los datos que componen la información. Tomando el ejemplo anterior,
aplicando la integridad en la información, ningún extraño podrá cambiar las cifras
de los estados financieros en el transcurso del envió del correo desde su emisor
hacia su receptor.
Disponibilidad: Aplicando este último principio, nos aseguramos de que la
información que poseemos sea siempre accesible para los usuarios autorizados,
sin interrupción de ningún tipo. Volviendo al mismo ejemplo, la compañía Arcos
S.A. deberá contar a la mano con los estados financieros y proporcionarlos de
manera rápida y oportuna cada vez que la Superintendencia de Compañías se lo
solicite.
46
La aplicación de estos tres pilares fundamentales es algo esencial e infaltable en
todo sistema de información o en toda estructura de red, ya que son estos los que
nos permitirán mantener de manera segura y disponible el más preciado bien que
poseen hoy en día tanto las organizaciones como las personas naturales, la
información.
INTRODUCCIÓN DE LOS FIREWALLS COMO DISPOSITIVOS DE
SEGURIDAD EN REDES
Se mencionó en la sección anterior las desventajas o los riesgos inherentes a las
comunicaciones o actividades desarrolladas sobre redes de computadoras, en
especial aquellas que implican el acceso a Internet. Pero el hecho de que el acceso
a Internet sea un riesgo tanto para los usuarios domésticos como para los usuarios
corporativos no implica que el mundo se paralice y retroceda a realizar sus tareas
cotidianas de manera cotidiana como lo hacían antes de que revolucionaran las
comunicaciones, es por esto, que a la par como crecen las amenazas se desarrollan
también medidas de seguridad para salvaguardar la información y así evitar
pérdidas millonarias.
Dentro de todas las medidas de seguridad que se puedan establecer, nos vamos a
centrar únicamente en las seguridades de la comunicación que es la parte donde
entran en acción los gestores unificados de amenaza protegiendo el perímetro que
separa la red interna de las redes externas como Internet.
47
GRÁFICO N° 6: FIREWALL SEPARANDO LA RED INTERNA DE LA
RED EXTERNA
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Para entender que es y cuál es la funcionalidad de un gestor unificado de
amenazas, debemos conocer primeramente los componentes bases de los mismos,
empezando por los cortafuegos o firewalls, que son dispositivos que permiten
separar unas redes de otras permitiendo o denegando los accesos y la
comunicación entre las mismas. Para entender mejor la función de un firewall,
observemos la analogía que hace Tanenbaum acerca de los firewalls,
(Tanenbaum, 2003, p. 776):
Los firewalls (servidores de seguridad) son simplemente una
adaptación moderna de la vieja estrategia medieval de
seguridad: excavar un foso defensivo profundo alrededor de
48
su castillo. Este diseño obligaba a que todos los que entraran
o salieran del castillo pasaran a través de un puente levadizo,
en donde los encargados de la E/S los podían inspeccionar.
En las redes es posible el mismo truco: una compañía puede
tener muchas LANs conectadas de formas arbitrarias, pero
se obliga a que todo el tráfico desde o hacia la compañía pase
a través de un puente levadizo electrónico (firewall).
La analogía hecha por este autor ejemplifica de manera clara cuál es la función de
un firewall, haciendo entender que todo el tráfico de red que viaje desde redes
externas hacia nuestras redes internas y viceversa debe ser inspeccionado en base a
las políticas de seguridad que hayamos aplicado sobre el mismo, protegiendo de
esta manera el perímetro marcando límites y controlando toda la actividad de la
red. De esta manera descartamos los paquetes de información que tengan como
finalidad causarnos daño. Otra comparación que podemos hacer con respecto a los
firewalls o cortafuegos, es la Gran Muralla China construida para protegerse de los
enemigos del Imperio Chino en aquella época.
En el siguiente GRÁFICO se muestra la separación de la red interna con redes
externas a través de un firewall, el usuario de la red interna intenta acceder a al
sitio web www.bajavirus.com pero este acceso es denegado por las políticas del
firewall, así mismo al intentar acceder al sitio www.dominio.com el acceso es
49
permitido. Se ejemplifica también un acceso no autorizado por parte de un usuario
externo el cual quiere iniciar una sesión en el protocolo FTP hacia un equipo de la
red interna y este acceso es bloqueado por el firewall.
GRÁFICO N° 7: ACCESOS A LA RED CONTROLADOS POR UN
FIREWALL
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
50
Con respecto a los dispositivos antecesores a los firewalls, Ingham y Forrest
expresan (Ingham y Forrest, 2002, p. 2):
The predecessors to firewalls for network security were the
routers used in the late 1980s to separate networks from one
another. A network misconfiguration which caused problems on
one side of the router was largely isolated from the network on
the other side.
Traducción al español:
Los predecesores de los cortafuegos para la seguridad de la red
fueron los routers utilizados a finales de 1980 para separar las
redes entre sí. Una red mal configurada que causó problemas en
un lado del router era en gran parte aislada de la red en el otro
lado.
Si bien es cierto, antes de que aparecieran los firewalls en el campo de la
seguridad en redes eran los routers los encargados del trabajo de separar
unas redes de otras garantizando que una mala práctica de configuración en
una red no afecta a las demás, pero estos no pueden aplicar las políticas de
seguridad que se necesita para proteger la red de las amenazas tanto
externas como internas.
51
GRÁFICO N° 8: REDES SEPARADAS POR UN ROUTER
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
EVOLUCIÓN DE LOS FIREWALLS HACIA LOS GESTORES
UNIFICADOS DE AMENAZAS
Si bien es cierto los firewalls o cortafuegos, son en gran parte una medida de
seguridad frente a ataques tanto internos como externos dentro de una red para
permitir o denegar accesos a determinados servicios, no son lo suficientemente
amplios para gestionar la seguridad perimetral en una organización, es por eso que
nace el concepto de los gestores unificados de amenazas como la reunión de
varios servicios de red en un solo equipo o servidor para contrarrestar los intentos
52
provenientes tanto de usuarios internos como externos para violentar la seguridad
de la red.
Bajo la premisa de que no es suficiente contar con solamente un firewall dentro
de la infraestructura de red, surge la necesidad de la implementación de los
gestores unificados de amenazas en las organizaciones como valor agregado para
la protección de sus redes ya que permiten controlar los eventos de manera
centralizada ahorrando costos en equipamiento y administración de los servicios.
GRÁFICO N° 9: REPRESENTACION DE UN GESTOR UNIFICADO DE
AMENAZAS EN UNA RED
Elaborado por: Víctor Parraga Núñez
Fuente: Internet, http://searchnetworking.techtarget.com/How-to-evaluate-and-
manage-UTM-for-network-security
53
FUNCIONES Y SERVICIOS QUE COMPONEN UN GESTOR
UNIFICADO DE AMENAZAS
Para entender mejor a los gestores unificados de amenazas de red, describo a
continuación varios de los componentes de los mismos, dentro de ellos se
encuentran tanto los componentes básicos como los avanzados, cabe aclarar que
los componentes básicos se encontraran siempre en cualquier gestor unificado de
amenazas, y los componentes avanzados se encuentran en algunos, de acuerdo al
fabricante que los produzca:
- Monitoreo en tiempo real de tráfico de red.
- Balanceo y alta disponibilidad de enlaces de internet.
- Calidad de servicio y traffic shaping.
- Enrutamiento: Estático, OSPF, BGP Multicasting.
- Agregado de enlaces.
- Sistema de detección y prevención de intrusos (IPS).
- Alta disponibilidad en hardware.
- Servicios de red: DNS, DHCP, NTP.
- Soporte IPv6.
- NAT: Destination NAT, Source NAT, Full NAT.
- Filtrado de navegación web.
- Protección antivirus y antispyware perimetral.
- Control de aplicaciones.
- Protección antispam y antivirus de correo.
- Cifrado de correo electrónico.
- VPN site-to-site: IPSec y SSL.
- Acceso remoto vía VPN SSl, IPSec, PPTP, L2TP/IPsec.
- Web Application Firewall (Firewall de aplicaciones web).
- Autenticación de doble factor.
- Protección contra amenazas avanzadas.
54
ANÁLISIS COMPARATIVO DE DISTINTAS SOLUCIONES UTM DEL
MERCADO
Para seleccionar el UTM ideal y que cubra las necesidades de protección de la
carrera se realizó un análisis de 4 soluciones UTM disponibles en el mercado,
siendo las siguientes; Sophos UTM, Zentyal Gateway & UTM, Fortigate y
SonicWall.
CUADRO N° 4: COMPARATIVO DE SOLUCIONES UTM EN EL
MERCADO
*Característica dependiente de la versión del UTM
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Características Zentyal Gateway &
UTM
Sophos UTM Fortigate SonicWall
Firewall SI SI SI SI
IPS SI SI SI SI
VPN SI SI SI SI
Filtrado de Navegación SI SI SI SI
QoS (Calidad de servicio) SI SI SI SI
Protección Antivirus doble NO SI NO NO
Firewall de aplicaciones Web
NO SI NO NO
Portal de usuario NO SI NO NO
Reporteria completa CONDICIONADO* SI CONDICIONADO* CONDICIONADO*
Factor de doble autenticación integrado
NO SI NO NO
Protección contra amenazas avanzadas
NO SI NO NO
Control de aplicaciones SI SI SI SI
Versión software SI SI NO NO
Versión libre SI SI NO NO
55
Sophos UTM se ubica como líder dentro del cuadrante mágico de Gartner para el
año 2014, posición en la que se encuentran ubicados otros productos comerciales
reconocidos a nivel mundial:
GRÁFICO N° 10: CUADRANTE MÁGICO DE GARTNER PARA
SOLUCIONES UTM 2014
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Gartner, http://www.gartner.com/technology/reprints.do?id=1-
1Z6XAOX&ct=140807&st=sb
Una vez realizado el análisis comparativo se eligió como UTM idóneo a Sophos
UTM el cual está disponible en versiones comerciales (software y appliance) y en
versión Home Edition (Software), que permite la protección de 50 direcciones IP
dentro de la red o dispositivos de red. Se eligió a Sophos UTM Home Edition por
56
contener las siguientes características que lo diferencian de los demás productos
analizados:
- Versión libre (Home Edition) que contiene todas las características de la
versión comercial, sin restricciones ni costo, a excepción de la protección
de solo 50 direcciones IP. Esta versión puede instalarse en cualquier
servidor y no es inherente a los appliances del fabricante.
- Reportería completa.
- Protección contra amenazas avanzadas.
- Firewall de aplicaciones web.
- Factor de doble autenticación integrado.
DESCRIPCIÓN DE CARACTERÍSTICAS DE SOPHOS UTM
Sophos UTM es una solución basada en el sistema operativo Suse Enterprise
Linux 11 y sus principales componentes están basados en proyectos Open Source,
tales como:
- IPS basado en Snort
- DNS basado en Bind.
- VPN SSL basado en OpenVPN
- Firewall basado en Netfilter.
- Firewall de aplicaciones web basado en ModSecurity.
- IPSec basado en StrongSwam.
- Módulo de encriptación basado en GNU PG.
57
- Datos de configuración, logs y reporteria son guardados en una
base de datos de PostgreSQL.
Los requerimientos de hardware para la instalación de Sophos UTM son los
siguientes:
- Disco Duro: Mínimo 20 Gb en discos IDE, SCSI o S-ATA.
- Procesador: Dual Core de al menos 2.0 Ghz.
- Memoria RAM : Mínimo 1024 MB
- Mínimo 2 tarjetas de red.
MÓDULOS QUE CONTIENE SOPHOS UTM
Los módulos que contiene Sophos UTM y los cuales serán habilitados en la
Carrera son los siguientes:
Módulo Management:
Este módulo permite realizar configuraciones iniciales y básicas del sistema tales
como; fecha y hora, ubicación de zona horaria, aplicación de licencia,
actualizaciones del sistema, configuración de la interfaz de configuración web,
respaldo y restauración de configuraciones, administración de notificaciones,
portal de usuario, administración centralizada de UTM, alta disponibilidad, entre
otras.
58
GRÁFICO N° 11: OPCIONES DEL MÓDULO MANAGEMENT
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Módulo Definitions & Users:
Dentro de este módulo se puede realizar la creación de objetos a ser usados en las
diferentes configuraciones dentro de todos los módulos del UTM, los objetos que
se pueden definir son; objetos de red, objetos de servicios (puertos), objetos de
periodos de tiempo, usuarios y grupos. Así también se puede realizar integración
con servidores de autenticación y habilitar la autenticación de doble factor la cual
se integra con la herramienta Google Authenticator.
59
GRÁFICO N° 12: OPCIONES DEL MÓDULO DEFINITIONS & USERS
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Módulo Interfaces & Routing:
En este módulo se puede configurar las interfaces de red, calidad de servicio,
soporte para el protocolo IPv6, opciones de enrutamiento; estático, OSPF, BGP,
PIM-SM.
GRÁFICO N° 13: OPCIONES DEL MÓDULO INTERFACES &
ROUTING
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
60
Módulo Network Services:
En el módulo Network Services se encuentran los principales servicios de red que
debe haber en toda infraestructura, DNS para la resolución de nombres, DHCP
para la asignación dinámica de direcciones IP y NTP para la sincronización del
tiempo en los distintos dispositivos.
GRÁFICO N° 14: OPCIONES DEL MÓDULO NETWORK SERVICES
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
BIND
Como se mencionó anteriormente el servicio de DNS que usa Sophos UTM es
basado en BIND. El servicio DNS es el encargado de traducir las direcciones IP
que se encuentran en formato numérico, a nombres de dominio que se encuentran
en formato alfanumérico, los cuales son nombres fáciles de recordar para el ser
humano al momento de referirse a determinado servidor local o sitio web alojado
en Internet. Por ejemplo, al servidor con la dirección privada IP 10.10.10.7 está
asociado el nombre de dominio srv00prd01.abc.local, o al sitio web en internet
www.fanaticosdelared.com está asociada la dirección IP pública 23.67.189.74.
En el libro DNS and BIND, 5th Edition, los autores Paul Albitz y Cricket Liu
mencionan una breve historia de BIND (Albitz y Liu, 2006, p.35):
61
The first implementation of the Domain Name System was called
JEEVES, written by Paul Mockapetris himself. A later
implementation was BIND, an acronym for Berkeley Internet
Name Domain, written by Kevin Dunlap for Berkeley's 4.3 BSD
Unix. BIND is now maintained by the Internet Systems
Consortium.
BIND is the implementation we'll concentrate on in this book
and is by far the most popular implementation of DNS today. It
has been ported to most flavors of Unix and is shipped as a
standard part of most vendors' Unix offerings. BIND has even
been ported to Microsoft's Windows NT, Windows 2000, and
Windows Server 2003. (Paul Albitz y Cricket Liu, pag. 35, 2006)
En lo que los autores mencionan que la primera implementación de DNS fue
llamada JEEVES, escrita por Paul Mockapetris. Una posterior implementación fue
BIND, acrónimo de Berkeley Internet Name Domain, escrita por Kevin Dunlap
para BSD Unix 4.3. Hoy en día BIND es la más popular implementación de DNS
y es un standard usado tanto en sistemas operativos Unix y Windows.
62
Módulo Network Protection
Es uno de los módulos más importantes y funcionales en Sophos UTM
para controlar la seguridad en la red, ya que éste contiene funciones como;
firewall, protección contra amenazas avanzadas, sistema de prevención de
intrusos IPS, entre otros.
GRÁFICO N° 15: OPCIONES DEL MÓDULO NETWORK PROTECTION
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
NETFILTER
El firewall de Sophos UTM es basado en el proyecto Netfilter. Netfilter o
también llamado iptables es una herramienta desarrollada para funcionar
como cortafuegos o firewall la cual permite realizar filtrado de paquetes y
también traducción de direcciones de red o NAT (Network Address
Translation por sus siglas en ingles). Con Netfilter se pueden crear reglas
de firewall que procesen a los paquetes aceptándolos, descartándolos o
rechazándolos.
63
SNORT
Snort es un potente proyecto Open Source, el cual es implementado por Sophos
UTM para su sistema de prevención de intrusos. Alejandro Gramajo de Baicom
Networks, define a Snort en su artículo “Introducción a conceptos de IDS y
técnicas avanzadas con Snort” de la siguiente manera:
Snort es rápido, flexible y un NIDS Open Source. Empezó a fines de 1998 como
un sniffer. Con licencia GPL version 2. Por default utiliza técnicas de detección de
firmas y anomalías no estadística. Puede correr en varios modos de ejecución:
- Sniffer.
- Packet Logger.
- NIDS.
- IPS con FlexResp o Inline. Requiere libnet. Para Inline se necesita libipq.
El “engine” del Snort está dividido en componentes:
- Decodificador del paquete (Packet Decoder)
- Toma los datos de libpcap o libipq.
- Preprocesadores (Preprocessors o Input Plugins)
- Motor de detección (Detection Engine)
- Comparación contra firmas
- Logging y sistema de alerta (Logging and Alerting System)
64
- Plugins de salida (Output Plugins). (Gramajo, pag. 4, 2005)
Módulo Web Protection
El modulo Web Protection se encarga del filtrado de navegación y permite
establecer políticas de acceso a Internet mediante perfiles de navegación tanto por
usuario como por direcciones IP. Los perfiles de navegación pueden configurarse
de manera permisiva o restrictiva, permitiendo variedad de opciones como
selección de categorías de sitios web predefinidas, ingreso de sitios web
personalizados, revisión antivirus en el filtrado de navegación.
GRÁFICO N° 16: OPCIONES DEL MÓDULO WEB PROTECTION
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Módulo Email Protection
El modulo Email Protection brinda protección de trafico SMTP y POP3, es decir,
los protocolos encargados del envío y recepción de correos electrónicos, evitando
el SPAM (correo no deseado) y los correos maliciosos que puedan descargarse
65
malware e infectar los equipos de los usuarios. También se puede cifrar o
encriptar los correos electrónicos para evitar la fuga de información sensible.
La implementación de este módulo no es aplicable a la infraestructura de la
carrera ya que la misma cuenta con el servicio de correo de Microsoft Exchange
OnLine, y para ser aplicable se debe contar con un servidor de correos local.
GRÁFICO N° 17: OPCIONES DEL MÓDULO EMAIL PROTECTION
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Módulo Wireless Protection
Este módulo gestiona la seguridad de redes inalámbricas, pero trabaja con
dispositivos Access Point solamente producidos por el fabricante, es decir de la
marca Sophos, por tal motivo no es aplicable tampoco este módulo para la
implementación en la carrera.
66
Módulo Web Server Protection
Web Server Protection es el módulo que contiene el firewall de aplicaciones web,
también llamado WAF, el cual protege a los servidores web ubicados dentro de la
infraestructura y están publicados a Internet contra las más comunes y avanzadas
amenazas que realizan los atacantes a los sitios web, entre las cuales se encuentran
los ataques del tipo SQL Injection y XSS.
GRÁFICO N° 18: OPCIONES DEL MÓDULO WEBSERVER
PROTECTION
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
El proyecto OWASP (Open Web Application Security Project), es una comunidad
abierta dedicada a habilitar a las organizaciones a desarrollar, comprar y mantener
aplicaciones confiables. Esta comunidad publica constantemente un documento
llamado “OWASP Top 10”, el cual es un consenso acerca de los defectos más
críticos de seguridad en aplicaciones web. Ver ANEXO N° 2 – OWASP TOP 10
2013.
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).
67
GRÁFICO N° 19: OWASP TOP 10
Elaborado por: Victor Allam Parraga Núñez
Fuente: Internet,
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
68
GRÁFICO N° 20: OWASP TOP 10 DETALLADO
Fuente: Internet
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Módulo Site-to-Site VPN
69
Con la característica de VPN Site-to-Site se puede realizar configuraciones de
túneles virtuales entre dos o más organizaciones para establecer una relación de
confianza y garantizar el intercambio de información sobre Internet de manera
segura ya que los datos transmitidos por dicho canal pasan cifrados desde el
origen hacia el destino.
GRÁFICO N° 21: OPCIONES DEL MÓDULO SITE-TO-SITE VPN
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Los tipos de VPN Site-to-Site que pueden configurarse en Sophos UTM son:
- Amazon PVC.
- IPsec
- SSL
70
GRÁFICO N° 22: DIAGRAMA DE CONEXIÓN VPN SITE-TO-SITE
Elaborado por: Victor Allam Parraga Núñez
Fuente: Internet http://rtfq.net/security/firewall-pages/quick-and-dirty-vpn/site-to-
site-vpn-problem/.
Módulo Remote Access
Este módulo engloba los diferentes tipos de conexiones VPN (Virtual Private
Network) cliente, para la conexión remota hacia los servidores y equipos de la
carrera de forma segura hacia Internet desde cualquier ubicación. Los tipos de
VPN cliente que soporta Sophos UTM son:
- SSL
- PPTP (conexión insegura)
- L2TP sobre IPsec
- IPsec
- VPN HTMLv5
- VPN Cisco
71
GRÁFICO N° 23: OPCIONES DEL MÓDULO REMOTE ACCESS
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
GRÁFICO N° 24: DIAGRAMA DE CONEXIÓN VPN SSL CLIENTE
Elaborado por: Victor Allam Parraga Núñez
Fuente: Internet www.h3c.com
72
Módulo Logging & Reporting
El último pero no menos importante de los módulos es el de logs y reportería, en
esta sección se pueden revisar los logs y reportes que han generado todas las
funcionalidades del UTM, tales como los logs de hardware, uso de la red,
protección de la red, filtrado de navegación, protección de correos electrónicos,
protección de redes inalámbricas, acceso remoto, protección de servidores web.
GRÁFICO N° 25: OPCIONES DEL MÓDULO LOGGING & REPORTING
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
73
GRÁFICO N° 26: REPORTE DE REGLAS DE ATAQUES DETECTADAS
POR EL IPS
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
IMPLEMENTACIÓN DEL UTM EN LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES
Como se mencionó en párrafos anteriores, la implementación de este proyecto
incluyo una reingeniería de la estructura de red de servidores de la carrera,
posterior a un análisis detallado de la situación inicial de la misma y así poder
aplicar las mejoras a este diseño. Se instaló la versión software de Sophos UTM
74
v9 en un servidor de rack proporcionado por el Departamento Técnico, con las
siguientes características de hardware:
CUADRO N° 5: CARACTERÍSTICAS DE HARDWARE SERVIDOR UTM
SERVIDOR UTM
MARCA IBM
MODELO System X3250 M4
PROCESADOR
Intel(R) Xeon(R) CPU E3-1230 V2 @
3.30GHz
MEMORIA RAM 4 Gb
DISCO DURO 900 Gb
INTERFACES DE RED 4 a 10/100/1000
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
75
El siguiente gráfico muestra la situación inicial de la estructura de red de la
carrera antes del análisis y re-diseño realizado:
GRÁFICO N° 27: DIAGRAMA DE SITUACION INICIAL DE LA RED
CISC
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
76
A su vez, el siguiente GRÁFICO muestra la reingeniería de red realizada después
de la implementación del Gestor Unificado de Amenazas y la re-ingeniería de red
que se aplicó:
GRÁFICO N° 28: DIAGRAMA DE SITUACION FINAL DE LA RED CISC
Elaborado por: Victor Allam Parraga Núñez
Fuente: Victor Allam Parraga Núñez
77
FUNDAMENTACION LEGAL
DECRETO PRESIDENCIAL #1014
El decreto presidencial #1014 que dispone a la Función Ejecutiva utilizar software
libre en todas sus actividades y del cual se le otorgó al presidente un premio por
este decreto, estableció lo siguiente (Ver ANEXO N° 3 – DECRETO
EJECUTIVO 1014:
CONSIDERANDO:
Que en el apartado g) del numeral 6 d la Carta Iberoamericana de Gobierno
Electrónico, aprobada por la IX Conferencia Iberoamericana de Ministros de
Administración Pública y Reforma del Estado, realizada en Chile el 1 de Junio de
2007, se recomienda el uso de estándares abiertos y software libre, como
herramientas informáticas;
Que es el interés del Gobierno alcanzar soberanía y autonomía tecnológica, así
como un significativo ahorro de recursos públicos y que el Software Libre es en
muchas instancias unos instrumentos para alcanzar estos objetivos;
Que el 18 de Julio del 2007 se creó e incorporó a la estructura orgánica de la
Presidencia de la República la Subsecretaría de Informática, dependiente de la
Secretaría General de la Administración Pública mediante Acuerdo Nº119
publicado en el Registro Oficial No. 139 de 1 de Agosto del 2007;
78
Que el numeral 1 del artículo 6 del Acuerdo Nº 119 , faculta a la Subsecretaría de
Informática a elaborar y ejecutar planes, programas, proyectos, estrategias,
políticas, proyectos de leyes y reglamentos para el uso de Software Libre en las
dependencias del gobierno central; y,
En ejercicio de la atribución que le confiere el numeral 9 del artículo 171 de la
Constitución Política de la república;
DECRETA:
Artículo 1.- Establecer como política pública para las entidades de la
Administración Pública Central la utilización de Software Libre en sus sistemas y
equipamientos informáticos.
Artículo 2.- Se entiende por Software Libre, a los programas de computación que
se pueden utilizar y distribuir sin restricción alguna, que permitan su acceso a los
códigos fuentes y que sus aplicaciones puedan ser mejoradas.
Estos programas de computación tienen las siguientes libertades:
a) Utilización del programa con cualquier propósito de uso común
b) Distribución de copias sin restricción alguna 55
c) Estudio y modificación del programa (Requisito: código fuente disponible)
d) Publicación delo programa mejorado (Requisito: código fuente disponible)
79
Artículo 3.- Las entidades de la Administración Pública central previa a la
instalación del software libre en sus equipos, deberán verificar la existencia de
capacidad técnica que brinde el soporte necesario para el uso de este tipo de
software.
Artículo 4.- Se faculta la utilización de software propietario (no libre) únicamente
cuando no exista solución de Software Libre que supla las necesidades requeridas,
o cuando esté en riesgo la seguridad nacional, o cuando el proyecto informático se
encuentre en un punto de no retorno.
Para efectos de este decreto se comprende cómo seguridad nacional, las garantías
para la supervivencia de la colectividad y la defensa del patrimonio nacional.
Para efectos de este decreto se entiende por un punto de no retorno, cuando el
sistema o proyecto informático se encuentre en cualquiera de estas condiciones:
a) Sistema en producción funcionando satisfactoriamente y que un análisis de
costo beneficio muestre que no es razonable ni conveniente una migración a
Software Libre.
b) Proyecto es estado de desarrollo y que un análisis de costo - beneficio muestre
que no es conveniente modificar el proyecto y utilizar Software Libre.
80
Periódicamente se evaluarán los sistemas informáticos que utilizan software
propietario con la finalidad de migrarlos a Software Libre.
Artículo 5.- Tanto para software libre como software propietario, siempre y
cuando se satisfagan los requerimientos, se debe preferir las soluciones en este
orden:
a) Nacionales que permitan autonomía y soberanía tecnológica.
b) Regionales con componente nacional.
c) Regionales con proveedores nacionales.
d) Internacionales con componente nacional.
e) Internacionales con proveedores nacionales.
f) Internacionales.
Artículo 6.- La Subsecretaría de Informática como órgano regulador y ejecutor de
las políticas y proyectos informáticos de las entidades del Gobierno Central
deberá realizar el control y seguimiento de este Decreto.
Para todas las evaluaciones constantes en este decreto la Subsecretaría de
Informática establecerá los parámetros y metodologías obligatorias.
Artículo 7.- Encárguese de la ejecución de este decreto a los señores Ministros
Coordinadores y el señor Secretario General de la Administración Pública y
Comunicación.
81
Dado en el Palacio Nacional en la ciudad de San Francisco de Quito, Distrito
Metropolitano, el día 10 de abril de 2008.
HIPÓTESIS PREGUNTAS A CONTESTARSE
¿Constituye la implementación de un gestor unificado de amenazas la solución a
los problemas de seguridad perimetral de la Carrera de Ingeniería de Sistemas
Computacionales?
¿Se debe establecer canales de comunicación externa segura hacia los servidores
internos de la Carrera?
¿Qué ventajas hay al utilizar una solución UTM frente a las soluciones
tradicionales?
¿La implementación de un UTM en la carrera dará facilidades de gestión al
encargado de las redes y disminuirá el tiempo de respuesta frente a incidentes
presentados?
82
VARIABLES DE LA INVESTIGACIÓN
Variable independiente:
Gestor unificado de amenazas.
Variables dependientes:
Análisis de la red interna.
Análisis de la red perimetral.
DEFINICIONES CONCEPTUALES
UTM: Gestor unificado de amenazas o Unified Threat Management por sus siglas
en inglés, es la reunión de varios servicios de red y soluciones de seguridad
perimetral en una sola plataforma, con la finalidad de reducir la complejidad de
administración y configuración, disminuir costos y tiempos de respuesta frente a
problemas presentados en la red.
Seguridad perimetral: Conjunto de medidas aplicables a asegurar o fortalecer el
perímetro de las redes, es decir, los equipos que se encuentran en la frontera entre
los usuarios internos y los usuarios externos.
VPN: Red privada local o Virtual Private Network por sus siglas en inglés,
permite establecer una extensión de una LAN hacia cualquier ubicación con
83
conexión a Internet, habilitando el envío y recepción de información entre dos
puntos de manera segura a través del túnel seguro que se establece.
IPS: Sistema de Prevención de Intrusos o Intrusion Prevention System por sus
siglas en inglés, son sistemas que controlan el acceso a la red de manera
independiente y automática para evitar que se generen ataques que provoquen la
indisponibilidad de los servicios. Los IPS analizan el tráfico que circula por la red
y detiene dichos ataques basado en firmas, anomalías o en políticas.
WEB GUI: Interfaz Web Gráfica de Usuario o Graphical Interface User Web por
sus siglas en inglés, es una solución informática que permite realizar
configuraciones de manera gráfica a través de un navegador de Internet, evitando
así posibles errores que se pueda cometer al momento de hacer configuraciones
por línea de comandos.
Red de computadoras: conjunto de equipos o dispositivos informáticos
conectados entre sí a través de medios físicos o inalámbricos para, cuyo principal
objetivo es el intercambio de información entre los mismos. El más importante de
los estándares que rige a las redes de computadoras se basa en el modelo de
referencia OSI.
84
CAPÍTULO III
METODOLOGÍA
DISEÑO DE LA INVESTIGACIÓN
MODALIDAD DE LA INVESTIGACIÓN
Siendo la característica principal de los proyectos factibles la resolución de
problemas de una institución, organización o grupo social, este proyecto es
clasificado y considerado como un proyecto factible, puesto que una vez
detectado el problema y las necesidades actuales con respecto a la seguridad
perimetral de la red administrativa y el centro de datos de la CISC-CIN se plantea
como solución un gestor unificado de amenazas, implementando esta herramienta
tecnológica con éxito, cuya puesta en producción es realizada en su totalidad
protegiendo así los servidores y estaciones de trabajo mediante políticas y
buenas prácticas de seguridad para beneficio de la comunidad académica.
85
Como sustento conceptual a la clasificación de mi proyecto como proyecto
factible, la Universidad Pedagógica Experimental Libertador expresa lo siguiente:
“Estudio que consiste en la investigación, elaboración y
desarrollo de una propuesta de un modelo operativo viable para
solucionar problemas, requerimientos o necesidades de
organizaciones o grupos sociales.” (UPEL, 2008, p.7).
TIPO DE INVESTIGACIÓN
El cuadro a continuación detalla las diferencias entre proyecto de investigación y
proyecto factible basado en cuatro criterios:
Elaborado por: Víctor Allam Párraga Núñez
Fuente: De Moya R., Proyecto factible: una modalidad de investigación
CUADRO N° 6: DIFERENCIAS ENTRE PROYECTO DE
INVESTIGACIÓN Y PROYECTO FACTIBLE
86
Por la naturaleza de este proyecto, se encuentra enmarcado dentro de la categoría
de tipos de investigación por la factibilidad, siendo el mismo un proyecto factible,
que, a diferencia de un proyecto de investigación, este tiene como finalidad
plantear y ejecutar una propuesta que solucione un problema previamente
detectado que afecte a una institución u organización, a su vez por las
características del mismo se constituye también como un proyecto cualitativo y
cuantitativo.
Dubs de Moya sostiene que para iniciar el diseño de un proyecto factible se
plantean varias preguntas (De Moya, 2002, p.10), tales como: qué hacer, para que
hacerlo, por qué hacerlo, como hacerlo, donde hacerlo, que magnitud tiene,
cuando se hará, quienes lo harán, con qué medios y recursos se hará, que sucede
durante la ejecución, cuáles son las limitaciones.
Para definir las falencias de seguridad y malas prácticas aplicadas como situación
actual en el centro de datos, se realizó el análisis de la estructura lógica y física de
los dispositivos de red como switches, routers, enlaces de datos, enlaces de
internet, estaciones de trabajo, políticas de firewall, accesos a los sistemas,
accesos a Internet, sacando como conclusión que la solución más adecuada para la
seguridad de red perimetral interna y externa es la implementación de un gestor
unificado de amenazas aplicando configuraciones apegadas a buenas prácticas de
seguridad.
87
Una vez diagnosticados los problemas y planteada la solución de implementar un
gestor unificado de amenazas, se determina que es necesario también volver a
diseñar la estructura de red del centro de datos, para que en conjunto estos dos
elementos constituyan una solución integral al problema.
Para la recolección de información del estado actual de la red del centro de datos
de la CISC-CIN y el posterior análisis se realizó entrevistas con las personas
encargadas de administrar dicha plataforma y para aplicar la solución propuesta se
consulta una amplia bibliografía englobando artículos de seguridad, libros,
revistas, foros de Internet entre otros.
88
POBLACIÓN Y MUESTRA
POBLACIÓN
La implementación de este proyecto beneficiara directamente a la comunidad
académica, conformada por estudiantes y docentes de la Carrera de Ingeniería en
Sistemas Computacionales, estudiantes y docentes de la Carrera de Ingeniería en
Networking, personal administrativo.
CUADRO N° 7: COMUNIDAD ECUCATIVA
INTEGRANTES TAMAÑO
Estudiantes 2654
Docentes 70
Personal administrativo 27
TOTAL 2751
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Departamento Técnico CISC-CIN
Se realizó una encuesta a los estudiantes de quinto, sexto, séptimo y octavo
semestre en la CISC. A este número de estudiantes se los considera como la
población para obtener la muestra y realizar las encuestas. Así mismo para el
personal docente y administrativo se realizó entrevistas como método de
recolección de información.
89
CUADRO N° 8: POBLACIÓN
Muestra
Para determinar el tamaño de la muestra se aplicó la siguiente formula:
Donde:
Reemplazando:
Obtenemos que el resultado global de la muestra es 349 personas. Para el cálculo
de la fracción muestral realizamos la siguiente operación:
ESTUDIANTES TAMAÑO
Quinto Semestre 215
Sexto Semestre 197
Séptimo Semestre 155
Octavo Semestre 204
TOTAL 771
263
925.2
771
1925.1
771
1)770)(0025.0(
771
1)1771()05.0(
7712
n
n
n
n
n
nm
e m
2 1 1( )
m= Tamaño de la población (771)
E= error de estimación (5%)
n = Tamaño de la muestra ?
90
Habiendo obtenido el valor de la fracción muestral, calculamos la muestra
individualmente para cada grupo integrante de la comunidad académica, de la
siguiente manera:
Numero de muestra estudiantes = 771 * 0.3411 = 263
Para realizar la investigación se consideró también entrevistar a un experto en
seguridad informática quien es un docente de la CISC y CIN.
CUADRO N° 9: TAMAÑO DE LA MUESTRA
Elaborado por: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
OPERACIONALIZACIÓN DE VARIABLES
Variable Independiente:
Gestor unificado de amenazas
Variable Dependiente Uno:
Análisis de la red interna.
Variable Dependiente Dos:
Análisis de la red perimetral.
ESTUDIANTES POBLACIÓN MUESTRA
Quinto Semestre 215 73
Sexto Semestre 197 67
Séptimo Semestre 155 53
Octavo Semestre 204 70
TOTAL 771 263
Cálculo de la fracción muestral:
3411.0771
263
N
nf
91
CUADRO N° 10: MATRIZ DE OPERACIONALIZACIÓN DE
VARIABLES
VARIABLES DIMENSIONES INDICADORES TÉCNICAS Y/O
INSTRUMENTOS
VARIABLE
INDEPENDIENTE
Gestor unificado de
amenazas.
Administración
centralizada.
Implementación.
Referencias
bibliográficas.
Configuración.
Entrevista a
expertos de la
CISC.
Corrección de
errores.
Manual del
producto.
Dimensionamiento
de hardware.
Revisión de
mejores prácticas.
Enlaces de
comunicaciones. Estándares
internacionales.
VARIABLES
DEPENDIENTES
Análisis de la red
interna
Diagnóstico del
estado actual de
la red.
Reingeniería de la
red.
Referencias
bibliográficas.
Verificación de
disponibilidad de
servicios de red.
Consulta a docentes
y personal técnico
de la CISC.
Integración del
gestor unificado de
amenazas.
Análisis de la red
perimetral
Observación.
Disminución de
vulnerabilidades.
Elaborado por: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
92
INSTRUMENTOS DE RECOLECCIÓN DE DATOS
Para el planteamiento e implementación de este proyecto factible se utiliza
técnicas de campo, a continuación se describe conceptualmente las técnicas
usadas:
Observación.
Encuesta y cuestionario.
Entrevista
Observación
Para definir la observación, Achaerandio sostiene que:
Investigación por observación significa aquella investigación en la
que se recogen directamente los datos, mediante técnicas adecuadas
y sin manipulación de las variables. En la investigación por
observación se usan diversas técnicas, para recolectar directamente
los datos: la observación libre, la observación participada, la
encuesta, el cuestionario, la entrevista, etc. (Achaerandio, 2010,
p.21).
Para la realización de este proyecto, una de las técnicas utilizadas fue la
observación libre, aplicada directamente en el centro de cómputo de la CISC,
definiendo así la estructura de red actual, ubicación de los servidores, conexiones
físicas y lógicas, conexiones internas y externas, de esta manera se esclareció el
problema presentado y se fijaron los límites y alcances de este estudio.
93
Encuesta y cuestionario
Achaerandio indica que:
Para evaluar actitudes se emplean preferentemente cuestionarios
de diversos tipos; en todos hay que tener en cuenta la calidad y
c1ase de preguntas a plantear. EI cuestionario es una técnica de
investigaci6n por observación, cuya ventaja principal es que, en
poco tiempo, se puede obtener la reacción de numerosos
individuos. Como todos reciben las mismas preguntas o
cuestiones, es más fácil ordenar los datos de las respuestas
conseguidas. (Achaerandio, 2010, p.148).
Debido a las características mencionadas en el párrafo anterior, se eligió como
instrumento recolector de información a la encuesta, para así poder obtener
respuestas concisas con respecto al tema de estudio, para la elaboración de las
preguntas se tomó en cuenta los siguientes criterios definidos por Achaerandio,
publicados en su obra “Iniciación a la práctica de la investigación”, donde expone
la calidad que deben tener las preguntas:
Interesantes, relacionadas con el objetivo, no hace falta que sean interesantes en sí
mismas.
Necesarias, no se debe preguntar 10 que ya se sabe por otras fuentes, o es
irrelevante.
94
Tabulables, es decir, hay que tener en cuenta de alguna manera como se van a
organizar las respuestas para examinarlas.
Precisas, se deben evitar preguntas que den respuestas vagas, no exactas.
Fáciles, que no requiera mucho esfuerzo exponerlas.
Breves, claras, directas, a no ser que se trate de un cuestionario proyectivo.
Se realizó dos tipos de encuestas, una enfocada a los alumnos de la carrera
y otra enfocada al personal docente y administrativo.
Entrevista
Se realizó una entrevista informal a un profesional experto en redes y seguridad
perimetral, el cual con el aporte de sus conocimientos permitió afianzar o
argumentar criterios para enriquecer la tesis con su experiencia y la de demás
colegas de la misma área.
PROCEDIMIENTO DE LA INVESTIGACIÓN
El problema:
Planteamiento del problema
Interrogantes de la investigación
Objetivos de la Investigación
Justificación o importancia de la investigación
95
Marco teórico:
Fundamentación teórica
Fundamentación legal
Preguntas a contestarse
Definición de términos
Metodología:
Diseño de Investigación (Tipo de Investigación)
Población y Muestra
Instrumentos de recolección de datos
Operacionalización de variables, dimensiones e indicadores
Procedimiento de la Investigación
Criterios para la elaboración de la propuesta
Marco Administrativo
Cronograma
Presupuesto
96
Conclusiones y recomendaciones
Conclusiones
Recomendaciones
Referencias bibliográficas
Anexos
Recolección de la información
Durante la recolección de la información se empleó como media la observación y
la encuesta, lo que permitió obtener los datos necesarios para la propuesta e
implementación de la solución al problema actual con respecto a la seguridad
perimetral de la carrera. El cuestionario que se utilizó para la encuesta dirigida a
los estudiantes de la carrera se encuentra como anexo en el ANEXO N° 4. Para el
personal administrativo y docente se realizó una entrevista la cual se encuentra en
el ANEXO N°5.
PROCESAMIENTO Y ANÁLISIS
Después de realizadas las encuestas, estos datos son procesados para
posteriormente ser analizados, se representa los resultados en forma
gráfica y con cuadros estadísticos por cada pregunta, los cuales permitan
comprenderlos de manera más clara.
97
Para el análisis de la pregunta relacionada con la edad del estudiante al ser
una variable cuantitativa, se tomó en cuenta los siguientes valores
estadísticos:
- Media.
- Moda.
- Mediana.
- Varianza.
- Desviación estándar.
- Rango.
- Cuartiles.
- Coeficiente de asimetría.
- Curtosis.
Media: La media aritmética es una medida de tendencia central y es la que
se utiliza con mayor frecuencia. La media aritmética se calcula sumando
todas las observaciones de un conjunto de datos, dividiendo después ese
total entre el número total de elementos involucrados. La media también es
denominada promedio. (Estuardo A, 2012, p. 35)
Mediana: La mediana es el valor que se encuentra en el centro de una
secuencia ordenada de datos. La mediana no se ve afectada por
observaciones extremas en un conjunto de datos. Por ello, cuando se
presenta alguna información extrema, resulta apropiado utilizar la
98
mediana, y no la media, para describir el conjunto de datos. (Estuardo A,
2012, p. 39)
Moda: La moda es el valor de un conjunto de datos que aparece con
mayor frecuencia. Se le obtiene fácilmente a partir de un arreglo ordenado.
A diferencia de la media aritmética, la moda no se afecta ante la ocurrencia
de valores extremos. Sin embargo, sólo se utiliza la moda para propósitos
descriptivos porque es más variable, para distintas muestras, que las demás
medidas de tendencia central. Un conjunto de datos puede tener más de
una moda o ninguna. (Estuardo A, 2012, p. 41)
Rango: Es la diferencia entre el máximo y el mínimo valor de un conjunto
de datos. (Estuardo A, 2012, p. 46)
Varianza: La varianza se define como el promedio aritmético de las
diferencias entre cada uno de los valores del conjunto de datos y la media
aritmética del conjunto elevadas al cuadrado. (Estuardo A, 2012, p. 48)
Desviación estándar: Es la raíz cuadrada positiva de la varianza. La
desviación estándar indica el promedio en que se desvía cada una de las
observaciones de la media aritmética. (Estuardo A, 2012, p. 51)
99
Coeficiente de variación: Constituye la dispersión relativa por la
proporción que existe entre la varianza y la media.
Cuartiles: En un conjunto de datos en el que éstos se hallan ordenados de
acuerdo con su magnitud, el valor de en medio (o la media aritmética de
los dos valores de en medio), que divide al conjunto en dos partes iguales,
es la mediana. Continuando con esta idea se puede pensar en aquellos
valores que dividen al conjunto de datos en cuatro partes iguales. Estos
valores, denotados Q1, Q2 y Q3 son el primero, segundo y tercer cuartiles,
respectivamente; el valor Q2 coincide con la mediana. (Spiegel M.,
Stephens L., 2009, p. 66)
Curtosis: La curtosis indica qué tan puntiaguda es una distribución; esto
por lo regular es en relación con la distribución normal. A una distribución
que tiene un pico relativamente alto se le llama leptocúrtica, en tanto que si
es relativamente aplastada se dice platicúrtica. Una distribución normal,
que no es ni puntiaguda ni muy aplastada se llama mesocúrtica. (Spiegel
M., Stephens L., 2009, p. 126)
100
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES
Variable 1
Sexo: Con esta variable se busca determinar la cantidad de encuestados
pertenecientes al género masculino y la cantidad de encuestados
pertenecientes al género femenino.
CUADRO N° 11: CODIFICACIÓN VARIABLE 1
Sexo Código
Masculino 1
Femenino 2
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Variable 2
Edad: Con la variable edad se busca determinar los rangos de edades en
las que se encuentran los encuestados.
CUADRO N° 12: CODIFICACIÓN VARIABLE 2
Edad Código
18-20 1
21-23 2
24-26 3
27-29 4
30- En adelante 5
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
101
Variable 3
Firewall en la CISC: Con esta variable se busca determinar si la CISC
cuenta o no con un firewall dentro de su infraestructura.
CUADRO N° 13: CODIFICACIÓN DE LA VARIABLE 3
Selección Código
Si 1
No 2
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Variable 4
Mejorar seguridad en CISC: El objetivo de esta variable es determinar si
es necesario mejorar o no la seguridad en los sistemas de la CISC.
CUADRO N° 14: CODIFICACIÓN DE LA VARIABLE 4
Selección Código
Totalmente de acuerdo 5
De acuerdo. 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
102
Variable 5
Ataques informáticos: Con esta variable se busca determinar el grado de
conocimiento por parte de los encuestados con referencia a los ataques
informáticos que pueda sufrir la CISC.
CUADRO N° 15: CODIFICACIÓN DE LA VARIABLE 5
Selección Código
Inyección de código SQL 1
Denegación de servicios 2
Intercepción de tráfico / Escaneo de
puertos 3
Exploits a Sistemas Operativos 4
Botnets 5
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Variable 6
Métodos de aseguramiento de información: Esta variable busca obtener
las recomendaciones para reforzar la seguridad en la CISC por parte de los
encuestados.
CUADRO N° 16: CODIFICACIÓN DE LA VARIABLE 6
Selección Código
Uso de certificados digitales 1
Cifrado de la información
(Encriptación). 2
Firewall 3
Autenticación de usuarios 4
Solución anti-malware 5
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
103
Variable 7
UTM en la CISC: Con esta variable se busca saber el grado de confianza
por parte de los encuestados con respecto a la implementación de un gestor
unificado de amenazas.
CUADRO N° 17: CODIFICACIÓN DE LA VARIABLE 7
Selección Código
Totalmente de acuerdo 5
De acuerdo. 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Variable 8
Disponibilidad de servicios: Con esta variable se busca saber la
importancia de los encuestados con respecto a la permanente
disponibilidad de los servicios informáticos que brinda la CISC.
CUADRO N° 18: CODIFICACIÓN DE LA VARIABLE 8
Selección Código
Totalmente de acuerdo 5
De acuerdo. 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
104
Variable 9
Políticas de acceso a Internet: Con esta variable se busca determinar el
grado de aceptación de los encuestados para la implementación de
políticas de acceso a Internet para el personal administrativo con el fin de
mejorar su productividad.
CUADRO N° 19: CODIFICACIÓN DE LA VARIABLE 9
Selección Código
Totalmente de acuerdo 5
De acuerdo. 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
Variable 10
VPN: Con esta variable se busca determinar si los encuestados consideran
la implementación de redes privadas virtuales como un canal seguro para
el acceso remoto a los sistemas de la CISC.
CUADRO N° 20: CODIFICACIÓN DE LA VARIABLE 10
Selección Código
Totalmente de acuerdo 5
De acuerdo. 4
Indiferente 3
En desacuerdo 2
Totalmente en desacuerdo 1
Elaborado por: Víctor Allam Párraga Núñez
Fuente: Víctor Allam Párraga Núñez
105
RESULTADOS Y ANALISIS DE LA ENCUESTA REALIZADA
Pregunta N°1
Sexo del encuestado:
CUADRO N° 21: VALORES ESTADÍSTICOS PREGUNTA 1
SELECCIÓN FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Masculino 152 58%
Femenino 111 42%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 29: VALORES ESTADÍSTICOS PREGUNTA 1
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis:
De los datos recolectados y tabulados se arroja como resultado que el 58% de los
estudiantes encuestados pertenecen al sexo masculino, frente al 42% de
estudiantes que corresponden al sexo femenino.
58%
42%
0%
10%
20%
30%
40%
50%
60%
70%
Masculino Femenino
106
Pregunta N°2
Edad del encuestado:
CUADRO N° 22: VALORES ESTADÍSTICOS PREGUNTA 2
SELECCION FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
18-20 44 17%
21-23 48 18%
24-26 39 15%
27-29 52 20%
30- En adelante 80 30%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 30: VALORES ESTADÍSTICOS DETALLADOS
PREGUNTA 2
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis:
De los datos recolectados podemos deducir que la mayoría de los estudiantes se
encuentran en edad promedio mayor a 30 años, lo cual representa un 30% de las
personas encuestadas, el 35% representa a estudiantes de edades entre 18 y 23
años y finalmente estudiantes entre 24 y 29 años representan un 35%.
17% 18%15%
20%
30%
0%
5%
10%
15%
20%
25%
30%
35%
18-20
21-23
24-26
27-29
30- En adelante
107
CUADRO N° 23: VALORES ESTADÍSTICA DESCRIPTIVA PREGUNTA
2
Media 26.41064639
Error Estándar 0.315240686
Mediana 27
Moda 28
Desviación Estándar 5.112344807
Varianza 26.13606943
Curtosis -1.153281912
Coeficiente de asimetría -0.035401621
Rango 17
Cuartil 1 22
Cuartil 2 27
Cuartil 3 31
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Con respecto a la media podemos observar que tiene un valor de 26.4
años, con respecto a la moda observamos que la mayor cantidad de
personas encuestadas tienen 28 años de edad. La desviación estándar tiene
un valor de 5.11, esto quiere decir que, la dispersión de los datos con
respecto a la media es de 26.41 +- 5.11 años lo que nos indica que se
obtuvo un intervalo de [31.52 – 21.3]. Con respecto a coeficiente de
asimetría nos damos cuenta que es negativo siendo de -0.0354, esto nos
indica que la dispersión es asimétrica hacia la izquierda, por lo que la
mayor cantidad de los datos se encuentran acumulados hacia la derecha.
108
Pregunta N°3
¿Cree usted que el centro de cómputo de la Carrera posee un firewall?
CUADRO N° 24: VALORES ESTADÍSTICOS PREGUNTA 3
SELECCIÓN FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Si 174 66%
No 89 34%
No se 263 100%
TOTAL 174 66%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 31: VALORES ESTADÍSTICOS PREGUNTA 3
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis:
Con esta pregunta se busca conocer de manera discreta si el encuestado ha tratado
al menos en una ocasión vulnerar las seguridades de la carrera, ya que al
responder que se cree que la misma cuenta con un firewall es porque ha
investigado los medios que ayudan a proteger las redes en la carrera. De los
resultados tabulados se obtiene que el 66% de los estudiantes conoce que las redes
de la carrera están protegidas mediante un firewall, el 34% creen que la carrera no
cuenta con protección perimetral.
66%
34%
0%
20%
40%
60%
80%
Si No
109
Pregunta N°4
¿Considera usted que es necesario mejorar la seguridad de los
sistemas en la carrera?
CUADRO N° 25: VALORES ESTADÍSTICOS PREGUNTA 4
SELECCION FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Totalmente de
acuerdo 49 19%
De acuerdo. 64 24%
Indiferente 53 20%
En desacuerdo 49 19%
Totalmente en
desacuerdo 48 18%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 32: VALORES ESTADÍSTICOS PREGUNTA 4
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis
Existe evidencia suficiente que determina que la mayoría de los encuestados, es
decir un 43% considera necesario mejorar las seguridades en la carrera, frente a
un 20 % para los cuales es indiferente el tema de la seguridad, y 37% no están de
acuerdo con este criterio.
19%
24%20% 19% 18%
0%
5%
10%
15%
20%
25%
30%
Totalmentede acuerdo
Deacuerdo.
Indiferente Endesacuerdo
Totalmenteen
desacuerdo
110
Pregunta N°5
Seleccione uno de los ataques informáticos que usted conozca:
- Inyección de código SQL
- Denegación de servicios
- Intercepción de tráfico / Escaneo de puertos
- Exploits a Sistemas Operativos
- Botnets
CUADRO N° 26: VALORES ESTADÍSTICOS PREGUNTA 5
SELECCIÓN FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Inyección de código SQL 68 26%
Denegación de servicios 40 15%
Intercepción de tráfico / Escaneo de puertos 53 20%
Exploits a Sistemas Operativos 56 21%
Botnets 46 17%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 33: VALORES ESTADÍSTICOS PREGUNTA 5
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
26%
15%20% 21%
17%
Inyección decódigo SQL
Denegaciónde servicios
Intercepciónde tráfico /Escaneo de
puertos
Exploits aSistemas
Operativos
Botnets
0%5%
10%15%20%25%30%
111
Análisis
De la tabulación realizada a los datos obtenidos con esta pregunta, se determina
que el total de los encuestados conocen al menos unos de los ataques informáticos
que se expuso en la pregunta, lo cual indica que existe evidencia suficiente para
asegurar que la carrera no es ajena a recibir el intento de este tipo de ataques por
parte de los estudiantes, ya sea por motivos netamente académicos o maliciosos.
112
Pregunta N°6
De los siguientes métodos de aseguramiento de la información, cuál de ellos
recomendaría:
- Uso de certificados digitales
- Cifrado de la información (Encriptación).
- Firewall
- Autenticación de usuarios (Directorio Activo)
- Solución anti-malware
- Desconozco
CUADRO N° 27: VALORES ESTADÍSTICOS PREGUNTA 6
SELECCION FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Uso de certificados digitales 10 4%
Cifrado de la información (Encriptación). 62 24%
Firewall 43 16%
Autenticación de usuarios 75 29%
Solución anti-malware 73 28%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
113
GRÁFICO N° 34: VALORES ESTADÍSTICOS PREGUNTA 6
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis:
Existe evidencia suficiente que indica que el 73% de los encuestados opina que
recomendaría como opciones de seguridad incluidas en gestores unificados de
amenazas tales como el uso de certificados digitales, firewall y anti-malware, el
29% recomendaría la autenticación de usuarios para asegurar la información.
4%
24%
16%
29% 28%
Uso decertificados
digitales
Cifrado de lainformación
(Encriptación).
Firewall Autenticaciónde usuarios
Solución anti-malware
0%
5%
10%
15%
20%
25%
30%
114
Pregunta N°7
¿Considera usted que la CISC debería contar con herramientas de gestión
unificada de amenazas para protegerse de los ataques informáticos?
CUADRO N° 28: VALORES ESTADÍSTICOS PREGUNTA 7
SELECCIÓN FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Totalmente de acuerdo 68 26%
De acuerdo. 77 29%
Indiferente 79 30%
En desacuerdo 24 9%
Totalmente en desacuerdo 15 6%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 35: VALORES ESTADÍSTICOS PREGUNTA 7
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis:
Existe evidencia suficiente que determina que el 55% de los entrevistados
considera necesaria la implementación de herramientas de gestión unificada de
amenazas para mejorar la seguridad de las redes de la carrera, a su vez el 15 % no
está de acuerdo con esta solución y el 30 % para los cuales es indiferente este
tema.
26%29% 30%
9%6%
Totalmentede acuerdo
Deacuerdo.
Indiferente Endesacuerdo
Totalmenteen
desacuerdo
0%5%
10%15%20%25%30%35%
115
Pregunta N°8
¿Considera usted que los servicios en línea brindados por la Carrera deben
estar siempre disponibles?
CUADRO N° 29: VALORES ESTADÍSTICOS PREGUNTA 8
SELECCION FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Totalmente de acuerdo 88 33%
De acuerdo 56 21%
Indiferente 13 5%
En desacuerdo 66 25%
Totalmente en desacuerdo 40 15%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 36: VALORES ESTADÍSTICOS PREGUNTA 8
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
Análisis:
Existe evidencia suficiente para indicar que el 54% de los estudiantes encuestados
considera que los servicios de la carrera deben estar siempre disponibles, frente a
un 40% de los estudiantes que consideran que los servicios no deben estar siempre
disponibles.
33%
21%
5%
25%
15%
0%
5%
10%
15%
20%
25%
30%
35%
40%
Totalmente deacuerdo
De acuerdo Indiferente En desacuerdo Totalmente endesacuerdo
116
Pregunta N°9
¿Considera usted que para aumentar la productividad del personal
administrativo se debe implementar políticas de acceso a Internet?
CUADRO N° 30: VALORES ESTADÍSTICOS PREGUNTA 9
SELECCION FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Totalmente de acuerdo. 61 23%
De acuerdo. 56 21%
Indiferente 45 17%
En desacuerdo 51 19%
Totalmente en desacuerdo 50 19%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 37: VALORES ESTADÍSTICOS PREGUNTA 9
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
23%21%
17%19% 19%
0%
5%
10%
15%
20%
25%
Totalmentede acuerdo
De acuerdo. Indiferente Endesacuerdo
Totalmenteen
desacuerdo
117
Análisis:
Existe suficiente evidencia que demuestra que el 44% está de acuerdo con
implementar políticas de acceso a Internet para mejorar la productividad del
personal administrativo, el 38% no está de acuerdo con la implementación de este
tipo de políticas. El control de acceso a Internet es determinante para mejorar la
productividad de los usuarios en general, ya que es por este medio que muchos de
los empleados distraen su atención con videos, redes sociales y páginas de ocio,
así mismo el tener abierto totalmente y sin ningún control el acceso a este recurso
puede llevar a descargas de código malicioso infectando todos los ordenadores de
la red.
118
Pregunta N° 10
¿Considera usted que las VPN (Redes privadas virtuales) permiten un canal
seguro, el cual podría ser implementado para garantizar el acceso remoto a
los servidores de la carrera o el ingreso de notas al sistema académico?
CUADRO N° 31: VALORES ESTADÍSTICOS PREGUNTA 10
SELECCION FRECUENCIA
ABSOLUTA
FRECUENCIA
RELATIVA
Totalmente de acuerdo 44 17%
De acuerdo. 79 30%
Indiferente 55 21%
En desacuerdo 36 14%
Totalmente en desacuerdo 49 19%
TOTAL 263 100%
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuestas
GRÁFICO N° 38: VALORES ESTADÍSTICOS PREGUNTA 10
Elaboración: Víctor Allam Parraga Núñez
Fuente: Recolección de datos mediante encuesta
Análisis:
Existe evidencia suficiente que indica que el 47% de los encuestados considera la
implementación de VPNs para establecer una canal seguro de comunicación con
los sistemas de la carrera, mientras que un 32% no está de acuerdo con que se
implemente este tipo de solución, y para el 21% restante es indiferente el tema en
cuestión.
17%
30%
21%
14%
19%
0%
5%
10%
15%
20%
25%
30%
35%
Totalmentede acuerdo
De acuerdo. Indiferente Endesacuerdo
Totalmenteen
desacuerdo
119
ANÁLISIS BIVARIADO DE VARIABLES CUALITATIVAS
Sexo vs. Mejorar Seguridad
CUADRO N° 32: COMPARATIVO SEXO VS MEJORAR SEGURIDAD
Sexo TDS DS I AC TAC Total General
Masculino 28 26 31 37 30 152
Femenino 20 23 22 27 19 111
Total
General 48 49 53 64 49 263
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
GRAFICO N° 39: GRÁFICO COMPARATIVO SEXO VS MEJORAR
SEGURIDAD
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
Basado en los resultados obtenidos de la comparación de ambas variables, se
puede observar que 27 personas del sexo femenino y 37 personas del sexo
masculino están de acuerdo con que se debe mejorar la seguridad en la CISC, así
mismo 30 integrantes del sexo masculino y 19 integrantes del sexo femenino están
de totalmente de acuerdo con el criterio antes expuesto.
28 2631
37
30
2023 22
27
19
0
10
20
30
40
TDS DS I AC TAC
Masculino Femenino
120
Sexo vs. Disponibilidad de servicios
CUADRO N° 33: COMPARATIVO SEXO VS DISPONIBILIDAD DE
SERVICIOS
Sexo TDS DS I AC TAC Total General
Masculino 22 13 22 29 66 152
Femenino 18 31 13 27 22 111
Total General 40 44 35 56 88 263
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
GRAFICO N° 40: GRÁFICOMPARATIVO SEXO VS DISPONIBILIDAD
DE SERVICIOS
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
Basado en los resultados obtenidos de la comparación de ambas variables, se
puede observar que 22 personas del sexo femenino y 66 personas del sexo
masculino están totalmente de acuerdo en que los servicios informáticos que
ofrece la CISC deben estar siempre disponibles, así mismo 29 integrantes del sexo
masculino y 27 integrantes del sexo femenino están de acuerdo con el criterio
antes expuesto.
22
13
2229
66
18
31
13
2722
0
10
20
30
40
50
60
70
TDS DS I AC TAC
Masculino Femenino
121
Sexo vs. Políticas de acceso a Internet
CUADRO N° 34: COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A
INTERNET
Sexo TDS DS I AC TAC Total General
Masculino 28 27 29 31 37 152
Femenino 22 24 16 25 24 111 Total
General 50 51 45 56 61 263
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
GRAFICO N° 41: GRAFICO COMPARATIVO SEXO VS POLÍTICAS DE
ACCESO A INTERNET
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
Basado en los resultados obtenidos de la comparación de ambas variables, se
puede observar que 24 personas del sexo femenino y 37 personas del sexo
masculino están totalmente de acuerdo en la implementación de políticas de
acceso a Internet, así mismo 31 integrantes del sexo masculino y 25 integrantes
del sexo femenino están de acuerdo con el criterio antes expuesto.
28 27 29 3137
22 24
16
25 24
0
10
20
30
40
TDS DS I AC TAC
Masculino Femenino
122
CRITERIO PARA LA ELABORACIÓN DE LA PROPUESTA
Con la implementación de este proyecto de tesis se cubrirá la falta de un sistema
centralizado y unificado para contrarrestar las amenazas informáticas dirigidas a
la Carrera. Se consideró como criterios para la elaboración de la propuesta el
punto antes mencionado, como también la dificultad de administración al tener
todos los servicios que se prestan a la red por separado, servicios como firewall,
filtrado de navegación web, web application firewall, protección antivirus en
navegación web, sistema de prevención de intrusos, etc.
Así mismo la falta consolidación de los logs para la presentación y análisis de la
reporteria impide que se determine con exactitud el estado y los movimientos que
se realicen en la red. Con la culminación de este proyecto, se habrá realizado una
reingeniería de la red de la Carrera para la integración y adaptación del sistema
gestor unificado de amenazas, teniendo como resultado una estructura lógica
robusta frente a ataques de red, con facilidad de administración y visibilidad para
el administrador de redes.
Luego de la implementación del gestor unificado de amenazas quedarán
habilitadas las siguientes funcionalidades:
- Administración centralizada de servicios de red perimetral e internos
en una amigable e intuitiva GUI (Graphical User Interface) o interfaz
gráfica de usuario.
123
- Creación automática y envió de respaldos de configuraciones por
correo electrónico a la cuenta del administrador.
- Envío de notificaciones automáticas de los eventos generados en la red
por correo electrónico.
- Aislamiento de servidores publicados a Internet mediante una DMZ
(Demilitarized Zone) o Zona Desmilitarizada, como buena práctica en
la protección de la red interna en el caso que se hallen comprometidos
por un ataque externo, constituyendo esto en una reingeniería de la
estructura de red.
- Separación de la red de la carrera con la red del centro de cómputo de
la Universidad de Guayaquil a través del firewall, para así asegurar la
protección de ambas estructuras de red.
- Reestructuración y organización de reglas de firewall.
- Bloqueo de tráfico proveniente de determinados países.
- Habilitación de un Sistema de Prevención de Intrusos o IPS,
protegiendo a la red tanto de ataques internos como externos,
cubriendo un amplio ámbito de protección detallado a continuación:
Ataques específicos a Sistemas Operativos:
Windows, Linux y otros.
124
Ataques contra servidores: servidores HTTP,
servidores de correo, servidores de bases de datos,
servidores DNS, servidores SSH, servidores FTp,
servidores de respaldo, servidores SNMP y
servidores de Autenticación.
Ataques contra software cliente: Microsoft Office,
navegadores de Internet (Internet Explorer,
Mozilla), Outlook, reproductores multimedia, etc.
Comportamiento anormal de protocolos.
Malware.
Ataques de denegación de servicio.
Anti-escaneo de puertos.
- Creación de perfiles de navegación, habilitados con control antivirus
en tiempo real, evitando así cualquier filtración de malware que busque
infectar los equipos mientras los usuarios navegan por Internet.
- Protección mediante Web Application Firewall de los servicios web
publicados por la carrera, tales como la página web principal,
evaluación docente, curso de nivelación, repositorio, sistema
académico y sistema docente. Esta protección impide y mitiga ataques
como inyección de código SQL, Cross Site Scripting (XSS) y otros
tipos de ataques dirigidos a aplicaciones web con el objetivo de extraer
o alterar información de las bases de datos.
125
- Habilitación de una VPN Secure Socket Layer, para establecer un canal
seguro sobre Internet con los equipos cliente que se quieran conectar a
los servicios internos desde una ubicación remota, cifrando así los
datos trasferidos entre ambos puntos y evitar el robo de información
por personas mal intencionadas que puedan interceptar el canal de
comunicación.
- Habilitación de reporteria gráfica y sencilla de generar. Los reportes
habilitados son:
Uso de hardware: procesador, memoria RAM,
espacio en disco.
Uso de la red: consumo de ancho de banda por cada
una de las interfaces de red y por direcciones IP.
Protección de la red: Firewall e IPS.
Protección de navegación en Internet.
Protección de correos entrantes y salientes.
Protección wireless.
Acceso remoto: conexiones entrantes mediante
VPN.
Protección de aplicaciones sobre servidores web.
Reportes ejecutivos.
126
CRITERIOS DE VALIDACION DE LA PROPUESTA
Para la elaboración de la propuesta se tomó en cuenta el criterio de un experto
dentro del área de redes y seguridad informática, el cual dentro del tiempo que
lleva de experiencia en este campo ha evaluado distintas soluciones que puedan
cubrir de manera integral las necesidades de seguridad perimetral dentro de las
organizaciones teniendo como resultados satisfactorios la implementación de
herramientas gestoras unificadas de amenazas, ya que este tipo de soluciones
permiten gestionar de manera centralizada entre otras cosas accesos a la red,
ataques dirigidos, protección de virus en navegación web, protección de
aplicaciones web, etc.
La implementación de esta solución en la carrera permite reducir el tiempo de
respuesta frente a incidentes que puedan presentarse en la red y a su vez tomar
decisiones acertadas con respecto a los cambios o acciones que deban ejecutarse
para evitar problemas a futuro gracias a una mejor visibilidad de los eventos que
se generen a través de la gran cantidad de reportes que brinda la herramienta y la
facilidad de administración de la misma.
127
CAPÍTULO IV
MARCO ADMINISTRATIVO
CRONOGRAMA
Para la elaboración del cronograma de las actividades generadas por este
proyecto, se ha hecho uso de la herramienta Microsoft Project.
El siguiente GRÁFICO muestra las actividades desarrolladas para la
implementación y culminación de este proyecto de tesis, el cual ha sido dividido
en 5 fases:
- FASE 1: Levantamiento de información.
- FASE 2: Análisis y diseño de la solución.
- FASE 3: Implementación.
- FASE 4: Pruebas y análisis de rendimiento.
- FASE 5: Puesta en producción.
128
GRÁFICO N° 42: CRONOGRAMA DE ACTIVIDADES DEL PROYECTO
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
129
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
GRÁFICO N° 43: DIAGRAMA DE
GANTT
130
PRESUPUESTO
Los rubros monetarios generados en función de la implementación de este
proyecto de grado se detallan a continuación, desglosados en términos de
INGRESOS y EGRESOS:
CUADRO N° 35: DETALLE DE INGRESOS PARA EL PROYECTO
INGRESOS
Financiamiento propio $930,00
TOTAL DE INGRESOS $930,00
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
CUADRO N° 36: DETALLE DE EGRESOS PARA EL PROYECTO
EGRESOS DÓLARES
Curso especializado de Sophos UTM v9. $ 500.00
Libros de seguridad de redes. 200.00
Empastado y anillado de tesis de grado. 150.00
Transporte 80.00
TOTAL DE EGRESOS $ 930.00
Elaboración: Víctor Allam Parraga Núñez
Fuente: Víctor Allam Parraga Núñez
131
CAPÍTULO V
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
Una vez realizada y culminada la implementación del Gestor Unificado de
Amenazas, se evidenció la falta que hacia contar con una herramienta centralizada
que permita administrar desde un solo servidor todos los servicios de red y que a
su vez permita mitigar, controlar, detectar y neutralizar las variadas amenazas
informáticas presentes en la actualidad provenientes tanto de ambientes externos
(Internet) como internos (usuarios de la red), amenazas que son cada vez más
sofisticadas y potentes a la hora de causar daño a nuestras redes y por
consiguiente a la información que circula por la misma.
Los resultados obtenidos con la implementación de este proyecto se detallan a
continuación:
- Haber culminado con éxito la implementación del gestor unificado de
amenazas en el Centro de Cómputo de la Carrera de Ingeniería de
Sistemas Computacionales bajo el producto seleccionado después de
un análisis comparativo entre soluciones presentes en el mercado.
132
- Se rediseñó la estructura de red tomando en cuenta los fallos de
seguridad, los cuales fueron mitigados abarcando servidores y
estaciones de trabajo administrativas.
- Se fortaleció las políticas y reglas de acceso configuradas, tomando
decisiones basado en la reporteria generada después de la puesta en
producción del gestor unificado de amenazas consolidando así el uso
eficiente de sus funcionalidades.
- La implementación de este proyecto de tesis me permitió de manera
significativa incrementar los conocimientos y habilidades en el campo
profesional.
133
RECOMENDACIONES
Puesto que el proyecto implementado cubre solamente uno de los vectores de la
seguridad informática, como lo es la seguridad de red perimetral, se emiten las
siguientes recomendaciones con respecto a la administración y control de la
infraestructura de red a nivel macro en la carrera:
- Implementar un Gestor Unificado de Amenazas para la red de los
laboratorios y así poder cubrir todos los ámbitos de protección en la
carrera.
- Establecer políticas de cifrado de los enlaces de comunicación entre el
Centro de Datos de la carrera y el Centro de Datos principal de la
Universidad de Guayaquil.
- Implementar una solución antivirus o endpoint corporativa
centralizada, que tenga como ámbito la protección de los servidores y
estaciones de trabajo tanto de la red administrativa como de la red de
laboratorios.
- Definir y establecer políticas y procedimientos de seguridad física y
acceso al Centro de Datos de la carrera.
134
- Implementar un servidor de actualizaciones de seguridad de software y
Sistemas Operativos, tanto para estaciones de trabajo como para
servidores.
- Implementar un sistema de escaneo de vulnerabilidades que dé como
resultado las opciones de remediación de las vulnerabilidades
encontradas en los diversos sistemas y componentes de la red,
programando la ejecución de los análisis periódicos mensualmente.
- Designar a un responsable del cuarto de servidores para que gestione y
monitoree los servicios que están disponibles para el personal
administrativo y comunidad estudiantil.
135
BIBLIOGRAFÍA
Achaerandio L. (2010). Iniciación a la práctica de la investigación. Ciudad de
Guatemala. Karen Cecilia de la Vega Toledo y Gustavo García Fong.
De Moya R., (2002). Proyecto factible: una modalidad de investigación.
Venezuela. Universidad Pedagógica Experimental Libertador.
Gheorge L. (2006). Designing and Implementing Linux Firewalls and QoS using
netfilter, iproute2, NAT, and L7-filter. 32 Lincoln Road Olton Birmingham, B27
6PA, UK. PACKT PUBLISHING.
Gramajo A. (2005). Introducción a conceptos de IDS y técnicas avanzadas con
Snort. Baicom Networks.
Ingham K., Forrest S. (2002). A History and Survey of Network Firewalls.
University of New Mexico.
Keiser H. (2011). Open VPN 2 Cookbook. 32 Lincoln Road Olton Birmingham,
B27 6PA, UK. PACKT PUBLISHING.
Paul A., Cricket L. (2006). DNS and BIND, 5th Edition. 1005 Gravenstein
Highway North, Sebastopol, CA. O’Reilly Media Inc.
136
Rehman R. (2003). Intrusion Detection Systems with Snort Advanced IDS
Techniques Using Snort, Apache, MySQL, PHP, and ACID. New Jersey. Pearson
Education Inc.
Sophos UTM Administration Guide (2014). Sophos Ltd.
Tanenbaum A. (2003). Redes de computadoras 4ta Edición. México. Pearson
Educación.
Estuardo A. (2012). Estadistica y probabilidades. Chile. Universidad Católica de
la Santísima Concepción.
Spiegel M., Stephen L. (2009). Estadistica Schaum Cuarta Edición. México. Mc
Graw Hill.
137
WEBGRAFÍA
Information Sciences Institute University of Southern California . RFC 793:
TRANSMISSION CONTROL PROTOCOL. 4676 Admiralty Way Marina del Rey,
California 90291. http://tools.ietf.org/html/rfc793
Internet Engineering Task Force (IETF) (2014). University of Southern
California. RFC 7323: TCP Extensions for High Performance. 4676 Admiralty
Way Marina del Rey, California 90291. http://tools.ietf.org/html/rfc7323
Kolodgy C. (2004), http://www.sophos.com/en-us/security-news-trends/security-
trends/securing-your-network-with-utm/what-is-utm.aspx
Open Web Application Security Project (2013). OWASP TOP 10.
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Postel J. (1980). RFC 768: USER DATAGRAM PROTOCOL.
http://tools.ietf.org/html/rfc768
ANEXO N°4 - ENCUESTA REALIZADA A ESTUDIANTES
1) Sexo del encuestado:
Masculino. Femenino.
2) Edad del encuestado 18-20 21-23 24-26 27-29 30- En adelante
3) Cree usted que el centro de cómputo de la Carrera posee un firewall?
Sí. No.
4) ¿Considera usted que es necesario mejorar la seguridad de los sistemas en la carrera? Totalmente de acuerdo. De acuerdo.
Indiferente. En desacuerdo.
Totalmente en desacuerdo.
5) Seleccione uno de los ataques informáticos que usted conozca:
Inyección de
código SQL.
Denegación de
servicios.
Intercepción de
tráfico /Escaneo de
puertos.
Exploits a Sistemas
Operativos.
Botnets.
6) De los siguientes métodos de aseguramiento de la información, cuál de ellos
recomendaría: Uso de certificados digitales. Cifrado de la información (Encriptación).
Autenticación de usuarios. Solución anti-malware.
Firewall
7) ¿Considera usted que la CISC debería contar con herramientas de gestión
unificada de amenazas para protegerse de los ataques informáticos?
Totalmente de acuerdo. De acuerdo. Indiferente
En desacuerdo. Totalmente en desacuerdo.
8) ¿Considera usted que los servicios en línea brindados por la Carrera deben estar
siempre disponibles?
Totalmente de acuerdo. De acuerdo. Indiferente
En desacuerdo. Totalmente en desacuerdo.
9) ¿Considera usted que para aumentar la productividad del personal
administrativo se debe implementar políticas de acceso a Internet?
10) ¿Considera usted que las VPN (Redes privadas virtuales) permiten un canal
seguro, el cual podría ser implementado para garantizar el ingreso de notas
al sistema académico?
Totalmente de acuerdo. De acuerdo. Indiferente
En desacuerdo. Totalmente en desacuerdo.
Totalmente de acuerdo. De acuerdo. Indiferente
En desacuerdo. Totalmente en desacuerdo.
ANEXO N°5 - ENTREVISTA REALIZADA A DOCENTES Y
ADMINISTRATIVOS
1) Que opina usted al respecto de la implementación de herramientas de seguridad
informática en la CISC.
2) ¿Al acceder a los sistemas de la Carrera tiene la percepción de que se lo
está realizando de manera segura?
3) ¿Qué impacto cree usted que se generaría al sufrir un ataque
informático en la CISC?
4) ¿Qué medidas de control de riesgo considera usted que debería aplicar
la CISC ante la pérdida de información?
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS
DE SEGURIDAD PARA LA RED ADMINISTRATIVA
DE LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES,
BASADO EN EL ANÁLISIS DE
SU INFRASTRUCTURA DE
RED INTERNA Y DE
PERÍMETRO”
MANUAL TÉCNICO Y DE USUARIO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: VICTOR ALLAM PARRAGA NUÑEZ
TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c
GUAYAQUIL – ECUADOR
DICIEMBRE - 2014
ii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS
COMPUTACIONALES
“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE
SEGURIDAD PARA LA RED ADMINISTRATIVA
DE LA CARRERA DE INGENIERÍA DE
SISTEMAS COMPUTACIONALES,
BASADO EN EL ANÁLISIS DE
SU INFRASTRUCTURA DE
RED INTERNA Y DE
PERÍMETRO”
MANUAL TÉCNICO Y DE USUARIO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: VICTOR ALLAM PARRAGA NUÑEZ
TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c
GUAYAQUIL – ECUADOR
DICIEMBRE - 2014
iii
INDICE GENERAL
INTRODUCCIÓN ............................................................................................................ 1
MANUAL TÉCNICO ...................................................................................................... 2
RECURSOS DE HARDWARE DEL SERVIDOR ..................................................... 2
INSTALACIÓN DEL SISTEMA OPERATIVO DE SOPHOS UTM ........................ 3
SOLICITUD Y DESCARGA DE LICENCIA ........................................................... 12
MANUAL DE USUARIO – ADMINISTRADOR DE RED ......................................... 19
ACCESO A LA INTERFAZ DE CONFIGURACIÓN WEB (WEBADMIN) ......... 19
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “MANAGEMENT”......... 20
Auditoría de sesiones iniciadas .............................................................................. 20
Configuraciones de sistema .................................................................................... 21
Configuración de WebAdmin ................................................................................. 25
Configuración de Licensing.................................................................................... 27
Configuración de actualización de firmware .......................................................... 27
Configuración de respaldos automáticos: ............................................................... 28
Configuración del Portal de Usuario: ..................................................................... 29
Configuración de notificaciones: ............................................................................ 30
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “DEFINITIONS AND
USER” ........................................................................................................................ 31
Configuración de autenticación de doble factor ..................................................... 31
Configuración de políticas de bloqueo de usuarios: ............................................... 32
Configuración de políticas de contraseñas ............................................................. 33
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “INTERFACES AND
ROUTING” ................................................................................................................ 34
Configuración de interfaces de red ......................................................................... 34
Configuración de calidad de servicio ..................................................................... 34
Interfaces and Routing -> Quality of Service -> Bandwidth Pools. Se selecciona en
Bound to interface la interface en la que se quiere aplicar calidad de servicio y se
da clic en New Bandwidth Pools para crear la regla de calidad de servicio, a
continuación se asigna un nombre y la velocidad restringida y límite. Gráfico 54. 35
Configuración de rutas estáticas ............................................................................. 36
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “NETWORK
PROTECTION” ......................................................................................................... 37
Creación de reglas de firewall ................................................................................ 37
iv
Revisión de logs de firewall en tiempo real ........................................................... 39
Configuración de bloqueo por países ..................................................................... 40
Configuración de protección contra amenazas avanzadas ..................................... 40
Configuración de Sistema de Prevención de Intrusos ............................................ 41
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “WEB PROTECTION” ... 42
Configuración de la política global de filtrado ....................................................... 42
Configuración de perfiles de navegación ............................................................... 44
Configuración de control de aplicaciones .............................................................. 49
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “WEBSERVER
PROTECTION” ......................................................................................................... 50
Configuración de Web Application Firewall.......................................................... 50
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “REMOTE ACCESS” ..... 52
Configuración de VPN SSL ................................................................................... 52
Configuración de VPN PPTP ................................................................................. 52
Configuración de VPN L2TP sobre IPSec ............................................................. 53
REVISIÓN DE REPORTES Y LOGS ....................................................................... 54
Ver archivos de log ................................................................................................. 54
Reports de Hardware .............................................................................................. 55
Reportes de uso de red ............................................................................................ 56
Reportes de protección de la red............................................................................. 57
Reportes de navegación web .................................................................................. 59
Reporte de Web Application Firewall .................................................................... 60
Configuración de reporte ejecutivo ........................................................................ 61
v
INDICE DE GRÁFICOS
GRAFICO N° 1: Servidor IBM X3250 M4 ..................................................................... 2
GRAFICO N° 2: Pantalla de bienvenida de instalación ................................................... 3
GRAFICO N° 3: Pantalla de advertencia de borrado de datos ........................................ 3
GRAFICO N° 4: Pantalla de detección de Hardware ...................................................... 4
GRAFICO N° 5: Pantalla de selección de idioma ............................................................ 4
GRAFICO N° 6: Pantalla de selección de Zona Horaria (1) ............................................ 5
GRAFICO N° 7: Pantalla de selección de Zona Horaria (2) ............................................ 5
GRAFICO N° 8: Pantalla de configuración de fecha y hora ............................................ 6
GRAFICO N° 9: Pantalla de selección de interface de administración ........................... 6
GRAFICO N° 10: Pantalla de configuración de red ........................................................ 7
GRAFICO N° 11: Pantalla de soporte para arquitecturas de 64 bits ............................... 7
GRAFICO N° 12: Pantalla de información ...................................................................... 8
GRAFICO N° 13: Pantalla de particionamiento .............................................................. 8
GRAFICO N° 14: Pantalla de formateo de disco (Etaba 2/6) .......................................... 9
GRAFICO N° 15: Pantalla de copia de paquetes (Etapa 3/6) .......................................... 9
GRAFICO N° 16: Pantalla de instalación del Enterprise Toolkit (Etapa 5/6) ............... 10
GRAFICO N° 17: Pantalla de instalación finalizada ..................................................... 10
GRAFICO N° 18: Pantalla de Bienvenida a Sophos UTM ............................................ 11
GRAFICO N° 19: Pantalla de línea de comandos .......................................................... 11
GRAFICO N° 20: Página web de Sophos UTM Home Edition .................................... 12
GRAFICO N° 21: Formulario de información para la licencia ..................................... 12
GRAFICO N° 22: Mensaje informativo de generación de licencia ............................... 13
GRAFICO N° 23: Pantalla de login de Webadmin Sophos UTM ................................. 19
GRAFICO N° 24: Pantalla de dashboard o panel principal ........................................... 19
GRAFICO N° 25: Registro de sesiones iniciadas .......................................................... 20
GRAFICO N° 26: Detalle de cambios en configuraciones por usuario ......................... 20
GRAFICO N° 27: Configuración de informacipon organizacional ............................... 21
GRAFICO N° 28: Configuración de hostname .............................................................. 21
GRAFICO N° 29: Configuración de fecha y hora ......................................................... 22
GRAFICO N° 30: Activación de acceso por línea de comandos shell .......................... 22
GRAFICO N° 31: Configuración de redes permitidas a acceder por shell .................... 23
GRAFICO N° 32: Evitar acceso root por shell .............................................................. 23
GRAFICO N° 33: Configuración de contraseñas de acceso vía shell ............................ 23
GRAFICO N° 34: Configuración del puerto SSH ......................................................... 24
GRAFICO N° 35: Configuración de opciones de escaneo ............................................ 24
GRAFICO N° 36: Configuración de idioma y acceso WebAdmin ................................ 25
GRAFICO N° 37: Configuración de roles por usuario .................................................. 26
GRAFICO N° 38: Configuración avanzada ................................................................... 26
GRAFICO N° 39: Pantalla de instalación de licencia .................................................... 27
GRAFICO N° 40: Actualizaciones disponibles ............................................................. 27
GRAFICO N° 41: Pantalla de instalación de actualizaciones disponibles ..................... 28
vi
GRAFICO N° 42: Planificación de instalación de actualizaciones ................................ 28
GRAFICO N° 43: Configuración de respaldos automáticos .......................................... 29
GRAFICO N° 44: Configuración del Portal de Usuario ................................................ 29
GRAFICO N° 45: Configuración de correo para notificaciones .................................... 30
GRAFICO N° 46: Selección de notificaciones .............................................................. 30
GRAFICO N° 47: Configuración de autenticación de doble factor ............................... 31
GRAFICO N° 48: Escaneo de código QR con Google Authenticator ........................... 32
GRAFICO N° 49: Configuración de políticas de bloqueo ............................................. 32
GRAFICO N° 50: Configuración de política de contraseñas ......................................... 33
GRAFICO N° 51: Configuración de interfaces de red ................................................... 34
GRAFICO N° 52: Configuración de interface para calidad de servicio ........................ 34
GRAFICO N° 53: Configuración de Traffic Selector .................................................... 35
GRAFICO N° 54: Creación de regla de calidad de servicio .......................................... 35
GRAFICO N° 55: Configuración de rutas estáticas ....................................................... 36
GRAFICO N° 56: Habilitación de ruta estática ............................................................. 36
GRAFICO N° 57: Creación de reglas de firewall .......................................................... 37
GRAFICO N° 58: Regla de firewall de acceso permitido ............................................. 38
GRAFICO N° 59: Regla de firewall de acceso denegado .............................................. 38
GRAFICO N° 60: Regla de firewall de acceso rechazado ............................................. 38
GRAFICO N° 61: Abrir logs de fireall en tiempo real .................................................. 39
GRAFICO N° 62: Logs de firewall en tiempo real ........................................................ 39
GRAFICO N° 63: Bloqueo por países ........................................................................... 40
GRAFICO N° 64: Configuración de protección contra amenazas avanzadas ............... 40
GRAFICO N° 65: Habilitación del IPS .......................................................................... 41
GRAFICO N° 66: Configuración de patrones IPS ......................................................... 41
GRAFICO N° 67: Configuración de anti escaneo de puertos ........................................ 42
GRAFICO N° 68: Configuración de política global de filtrado ..................................... 42
GRAFICO N° 69: Configuración de categorías en el perfil de navegación ................... 44
GRAFICO N° 70: Configuración de sitios permitidos y denegados .............................. 45
GRAFICO N° 71: Configuración de sitios web permitidos y denegados (2) ................ 45
GRAFICO N° 72: Bloqueo de archivos por extensiones ............................................... 46
GRAFICO N° 73: Configuración de motor antivirus ..................................................... 46
GRAFICO N° 74: Configuraciones adicionales de la acción de filtrado ....................... 47
GRAFICO N° 75: Creación del perfil de navegación .................................................... 48
GRAFICO N° 76: Selección de acción de filtrado ......................................................... 48
GRAFICO N° 77: Habilitación de control de aplicaciones ............................................ 49
GRAFICO N° 78: Creación de regla de control de aplicaciones ................................... 49
GRAFICO N° 79: Regla de control de aplicaciones de Facebook ................................. 50
GRAFICO N° 80: Perfil de protección avanzado .......................................................... 50
GRAFICO N° 81: Configuración de servidor web ........................................................ 51
GRAFICO N° 82: Configuración de servidor virtual ..................................................... 51
GRAFICO N° 83: Configuración de perfil VPN SSL.................................................... 52
GRAFICO N° 84: Configuración de VPN PPTP ........................................................... 52
GRAFICO N° 85: Configuración de VPN L2TP sobre IPSec ....................................... 53
vii
GRAFICO N° 86: Ver archivos de logs ......................................................................... 54
GRAFICO N° 87: Reporte de Hardware ........................................................................ 55
GRAFICO N° 88: Reportes de uso de red ...................................................................... 56
GRAFICO N° 89: Reporte de violaciones de firewall e IPS .......................................... 57
GRAFICO N° 90: Reporte de IPS .................................................................................. 58
GRAFICO N° 91: Reporte de atacantes detectado por el IPS ........................................ 58
GRAFICO N° 92: Reporte de navegación web .............................................................. 59
GRAFICO N° 93: Detalle de uso de red por usuario o host .......................................... 59
GRAFICO N° 94: Estadisticas de uso de sitios y aplicaciones web locales .................. 60
GRAFICO N° 95: Tipos de ataques detectados por el WAF ......................................... 60
GRAFICO N° 96: Configuración de reporte ejecutivo .................................................. 61
GRAFICO N° 97: Reportes ejecutivos archivados ........................................................ 61
1
INTRODUCCIÓN
Sophos UTM es una solución de seguridad perimetral basada en Suse Linux Enterprise
11, dentro del cual hay disponibles la versión en appliance, software y virtual. Para todas
sus versiones existe el modo comercial, pero para la versión de software (instalable en
cualquier servidor con características de hardware compatibles) existe una versión
llamada Home Edition (licenciamiento libre) que ofrece todas las funcionalidades de la
versión comercial con la única limitante de protección a sólo 50 direcciones IP, sean estos
dispositivos tales como servidores, estaciones de trabajo, impresoras, teléfonos IP, etc.
Este documento se divide en dos secciones, la primera corresponde al Manual Técnico y
la segunda corresponde al Manual de Usuario, es decir, el Administrador de la Red de la
CISC. En el manual técnico se detallará detalles tales como la instalación del Sistema
Operativo de Sophos UTM, adquisición de la licencia, configuraciones establecidas
inicialmente, diagramas de red, etc. En el manual de usuario se detallará como realizar
las distintas configuraciones que se encuentran disponibles en cada uno de los módulos
del producto.
2
MANUAL TÉCNICO
RECURSOS DE HARDWARE DEL SERVIDOR
Para la instalación del UTM se hizo uso de un servidor de rack disponible en el cuarto
de servidores de la CISC, las características de este equipo se detallan a continuación en
el siguiente cuadro:
CUADRO N° 1: Características de hardware servidor UTM
SERVIDOR UTM
MARCA IBM
MODELO System X3250 M4
PROCESADOR
Intel(R) Xeon(R) CPU E3-1230 V2 @
3.30GHz
MEMORIA RAM 4 Gb
DISCO DURO 900 Gb
INTERFACES DE RED 4 a 10/100/1000
GRAFICO N° 1: Servidor IBM X3250 M4
3
INSTALACIÓN DEL SISTEMA OPERATIVO DE SOPHOS UTM
La ventana inicial muestra la bienvenida a la instalación, y realiza la advertencia que se
perderán todos los datos del disco, y la instalación sobrescribirá este dispositivo, ver
Gráfico 2. A continuación se debe presionar la tecla Enter para iniciar el asistente de
instalación.
GRAFICO N° 2: Pantalla de bienvenida de instalación
En el Gráfico 3, vemos nuevamente la advertencia de borrado, y damos clic en Start.
GRAFICO N° 3: Pantalla de advertencia de borrado de datos
4
En el gráfico 4 observaremos la pantalla de visualización del Hardware que ha sido
detectado, y en el gráfico 5 deberemos elegir el idioma del teclado desde donde hacemos
la instalación, en este caso elegimos inglés y ponemos Ok.
GRAFICO N° 4: Pantalla de detección de Hardware
GRAFICO N° 5: Pantalla de selección de idioma
5
Tal como lo muestra el gráfico 6 y gráfico 7, elegimos nuestra zona horaria
correspondiente, en America – Guayaquil, y seguimos con la instalación.
GRAFICO N° 6: Pantalla de selección de Zona Horaria (1)
GRAFICO N° 7: Pantalla de selección de Zona Horaria (2)
6
En el gráfico 8 se muestra que el siguiente paso es configurar la fecha y hora local y
damos clic en Next, luego como lo indica el gráfico 9 se deberá seleccionar la tarjeta de
red que será usada para configurar la interfaz de Administración.
GRAFICO N° 8: Pantalla de configuración de fecha y hora
GRAFICO N° 9: Pantalla de selección de interface de administración
7
A continuación deberemos definir la dirección IP de la red interna administrativa, o
cualquiera que nos sirva para tener conexión para la configuración inicial, mostramos su
configuración en el gráfico 10. Luego se mostrará un aviso para su confirmación
indicando que se recomienda instalar la versión de 64 bits para aprovechar los recursos
actuales del hardware, a lo que contestaremos que sí aceptamos, veamos el gráfico 11.
GRAFICO N° 10: Pantalla de configuración de red
GRAFICO N° 11: Pantalla de soporte para arquitecturas de 64 bits
8
En el gráfico 12, observamos una pantalla de información indicando consideraciones de
hardware previo a la instalación, luego de dar OK tendremos la confirmación de borrado
de la partición donde se instalará Sophos UTM, observar el gráfico13.
GRAFICO N° 12: Pantalla de información
GRAFICO N° 13: Pantalla de particionamiento
9
La instalación procederá a formatear la partición previamente designada y mostrará su
avance en la barra de progreso, terminado esta etapa continuará con la copia de los
paquetes necesarios para su funcionamiento, ver gráficos 14 y 15.
GRAFICO N° 14: Pantalla de formateo de disco (Etaba 2/6)
GRAFICO N° 15: Pantalla de copia de paquetes (Etapa 3/6)
10
Podemos observar en el gráfico 16 el avance de la copia del Enterprise Toolkit, y
finalmente si todo ha ido bien, tendremos la pantalla de aviso de finalización de la
instalación en la que se debe presionar la opción Reboot para que se reinicie el servidor
como lo muestra el gráfico 17.
GRAFICO N° 16: Pantalla de instalación del Enterprise Toolkit (Etapa 5/6)
GRAFICO N° 17: Pantalla de instalación finalizada
11
La siguiente pantalla que tenemos en el gráfico 18, es la antesala que nos invita ya a
realizar la primera configuración de Sophos UTM. Al presionar la tecla F2 se podrá
acceder a la línea de comandos local del servidor e indica la URL desde la cual se puede
acceder por un browser y realizar las configuraciones iniciales, ver gráfico 19.
GRAFICO N° 18: Pantalla de Bienvenida a Sophos UTM
GRAFICO N° 19: Pantalla de línea de comandos
12
SOLICITUD Y DESCARGA DE LICENCIA
Para proceder a la solicitud y descarga de la licencia de la versión Home Edition, se debe
acceder al link: https://www.sophos.com/es-es/products/free-tools/sophos-utm-home-
edition.aspx. Ver gráfico20. A continuación damos clic en el botón Póngase manos a la
obra, después de esto aparecerá un formulario solicitando información para generar la
licencia. Ver gráfico 21.
GRAFICO N° 20: Página web de Sophos UTM Home Edition
GRAFICO N° 21: Formulario de información para la licencia
13
Una vez se haya llenado la información en el formulario se debe seleccionar Acepto la
Política de privacidad y los Términos y condiciones. Después damos clic en el botón
Enviar, aparecerá el mensaje mostrado en el gráfico 22 y la licencia llegará a la dirección
de correo que se haya ingresado en el formulario.
GRAFICO N° 22: Mensaje informativo de generación de licencia
CONFIGURACIONES ESTABLECIDAS
Información Organizacional
CUADRO N° 2: Información organizacional
Organization Name CISC
City Guayaquil
Country Ecuador
Administrator’s Email Address: [email protected]
Hostname: fwscn.cisc.ug.edu.ec
Servidores NTP: pool.ntp.org
Política de acceso ssh
CUADRO N° 3: Acceso SSH
Habilitado No
Redes permitidas 192.168.200.0/26
14
Motor de escaneo antivirus por defecto: Sophos
Idioma WebAdmin: Inglés
Política de cierre de sesión despúes de: 900 segundos
Puerto de administración WebAdmin: 1024 TCP
Identificación de licencia: 547671
Política de descarga de actualizaciones: Automático.
Política de instalación de actualizaciones: Manual
Política de configuración de respaldos automáticos de configuración
CUADRO N° 4: Configuración de respaldos
Intervalo Diario
Destinatarios [email protected]
Portal de usuario
CUADRO N° 5: Configuración de Portal de Usuario
Redes permitidas Todas
Usuarios permitidos Todos
Idioma por default Inglés
Dirección IP Cualquiera
Puerto 443
Política de notificaciones
CUADRO N° 6: Configuración de notificaciones
Intervalo Diario
Destinatarios [email protected]
15
Configuración de interfaces de red
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000
link/ether 34:40:b5:8e:0e:49 brd ff:ff:ff:ff:ff:ff
inet 192.168.200.126/26 brd 192.168.200.127 scope global eth1
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000
link/ether 90:e2:ba:2f:e3:96 brd ff:ff:ff:ff:ff:ff
inet 10.10.42.1/27 brd 10.10.42.31 scope global eth0
4: eth3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000
link/ether 34:40:b5:8e:0e:4a brd ff:ff:ff:ff:ff:ff
inet 200.110.68.226/27 brd 200.110.68.255 scope global eth3
inet 200.110.68.235/27 scope global secondary eth3
5: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000
link/ether 90:e2:ba:2f:e3:97 brd ff:ff:ff:ff:ff:ff
inet 10.87.164.1/24 brd 10.87.164.255 scope global eth2
inet 10.87.164.12/24 scope global secondary eth2
inet 10.87.164.11/24 scope global secondary eth2
inet 10.87.164.13/24 scope global secondary eth2
inet 10.87.164.14/24 scope global secondary eth2
7: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 36:40:b5:8e:0e:4c brd ff:ff:ff:ff:ff:ff
8: ifb0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32
link/ether ce:ba:af:2e:24:d1 brd ff:ff:ff:ff:ff:ff
9: ifb1: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32
link/ether ee:ad:43:67:04:ad brd ff:ff:ff:ff:ff:ff
10: ifb2: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32
link/ether da:6c:b3:a9:d4:a5 brd ff:ff:ff:ff:ff:ff
11: ifb3: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32
link/ether 12:0b:58:10:ee:bc brd ff:ff:ff:ff:ff:ff
12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state
UNKNOWN qlen 100
link/none
inet 10.242.2.1 peer 10.242.2.2/32 scope global tun0
16
Configuración de rutas
default via 10.87.164.211 dev eth2 table 200 proto kernel onlink
local default dev lo table 252 scope host
default via 10.87.164.211 dev eth2 table default proto kernel metric 20 onlink
10.10.42.0/27 dev eth0 proto kernel scope link src 10.10.42.1
10.87.117.112 via 10.87.164.211 dev eth2 proto static metric 5
10.87.118.119 via 10.87.164.211 dev eth2 proto static metric 5
10.87.151.1 via 10.87.164.211 dev eth2 proto static metric 5
10.87.164.0/24 dev eth2 proto kernel scope link src 10.87.164.1
10.242.2.0/24 via 10.242.2.2 dev tun0 proto sslvpn
10.242.2.2 dev tun0 proto kernel scope link src 10.242.2.1
127.0.0.0/8 dev lo scope link
192.168.200.64/26 dev eth1 proto kernel scope link src 192.168.200.126
200.110.68.224/27 dev eth3 proto kernel scope link src 200.110.68.226
broadcast 10.10.42.0 dev eth0 table local proto kernel scope link src 10.10.42.1
local 10.10.42.1 dev eth0 table local proto kernel scope host src 10.10.42.1
broadcast 10.10.42.31 dev eth0 table local proto kernel scope link src 10.10.42.1
broadcast 10.87.164.0 dev eth2 table local proto kernel scope link src 10.87.164.1
local 10.87.164.1 dev eth2 table local proto kernel scope host src 10.87.164.1
local 10.87.164.11 dev eth2 table local proto kernel scope host src 10.87.164.1
local 10.87.164.12 dev eth2 table local proto kernel scope host src 10.87.164.1
local 10.87.164.13 dev eth2 table local proto kernel scope host src 10.87.164.1
local 10.87.164.14 dev eth2 table local proto kernel scope host src 10.87.164.1
broadcast 10.87.164.255 dev eth2 table local proto kernel scope link src 10.87.164.1
local 10.242.2.1 dev tun0 table local proto kernel scope host src 10.242.2.1
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1
broadcast 192.168.200.64 dev eth1 table local proto kernel scope link src 192.168.200.126
local 192.168.200.126 dev eth1 table local proto kernel scope host src 192.168.200.126
broadcast 192.168.200.127 dev eth1 table local proto kernel scope link src 192.168.200.126
broadcast 200.110.68.224 dev eth3 table local proto kernel scope link src 200.110.68.226
local 200.110.68.226 dev eth3 table local proto kernel scope host src 200.110.68.226
local 200.110.68.235 dev eth3 table local proto kernel scope host src 200.110.68.226
broadcast 200.110.68.255 dev eth3 table local proto kernel scope link src 200.110.68.226
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
local ::1 via :: dev lo table local proto unspec metric 0
unreachable default dev lo table unspec proto kernel metric 4294967295 error -101
17
Políticas de reglas de firewall
CUADRO N° 7: Reglas de firewall
ORIGEN PUERTO DESTINO
Any Any 216.66.15.109
192.168.200.64/26
445
10.87.0.0/16
4370
5060
5061
1433
1434
135
137
139
138
192.168.200.64/26
53
INTERNET
IPV4
21
PING
TRACEROUTE
80
10.10.42.0/27
8080
4443
443
3128
192.168.200.64/26
1433
10.10.42.0/27
1434
80
8080
443
3128
192.168.200.108 4848 10.10.42.6
192.168.200.101 22 10.87.112.97
192.168.200.107
1026
10.10.42.3 5901
Política de protección contra amenazas avanzadas: Habilitado
18
IPS
CUADRO N° 8: Configuración IPS
Redes analizadas Todas
Acciones Rechazo de ataques
Anti-DoS/Flooding Habilitado
Anti-Portscan Habilitado
Excepciones No
Política de filtrado de navegación web
CUADRO N° 9: Política de filtrado de navegación web
Bloqueo por Categorías Si
Bloqueo por Páginas Si
Bloqueo por extensiones Si
Antivirus Habilitado
Modo Antivirus Dual
Google SafeSearch Habilitado
Bing SafeSearch Habilitado
Yahoo SafeSearch Habilitado
Política de protección de aplicaciones web
CUADRO N° 10: Política de protección de aplicaciones web
Modo Reject
Filtro de amenazas comunes Habilitado
Antivirus Scan Dual
Bloquear contenido no escaneable Habilitado
Categorías de amenazas filtradas
Robots maliciosos
Ataques genéricos
Ataques SQL Ijection
Ataques XSS
Troyanos
19
MANUAL DE USUARIO – ADMINISTRADOR DE RED
ACCESO A LA INTERFAZ DE CONFIGURACIÓN WEB
(WEBADMIN)
Para acceder a la interfaz de configuración web de Sophos UTM (Webadmin) se debe
ingresar a través de un navegador web poniendo la dirección IP del equipo de la
siguiente forma https://192.168.2.100:444, ver gráfico 23, e ingresamos usuario y
contraseña, después de esto presionamos el botón Login. A continuación veremos el
panel principal o dashboard. Ver gráfico 24.
GRAFICO N° 23: Pantalla de login de Webadmin Sophos UTM
GRAFICO N° 24: Pantalla de dashboard o panel principal
20
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO
“MANAGEMENT”
Auditoría de sesiones iniciadas
Acceder a la opción principal del módulo “Management”, y se desplegará las últimas
sesiones iniciadas mediante el WebAdmin. Ver gráfico 25. Al dar clic en el botón Show
(n Changes) se podrá visualizar al detalle los cambios realizados en esa sesión por dicho
usuario, ver gráfico 26.
GRAFICO N° 25: Registro de sesiones iniciadas
GRAFICO N° 26: Detalle de cambios en configuraciones por usuario
21
Configuraciones de sistema
Configuración de información organizacional: Management -> System Settings ->
Organizational. Clic en el botón Apply. Ver gráfico 27.
GRAFICO N° 27: Configuración de informacipon organizacional
Configuración de hostname: Management -> System Settings -> Hostname. Clic en el
botón Apply. Ver gráfico 28.
GRAFICO N° 28: Configuración de hostname
22
Configuración de fecha y hora: Management -> System Settings -> Time and Date.
Clic en el botón Apply. Ver gráfico 29.
GRAFICO N° 29: Configuración de fecha y hora
Configuración de fecha y hora: Management -> System Settings -> Shell Access. Por
defecto el acceso vía línea de comando shell viene desactivado, y se activa dando clic en
el ícono en forma de interruptor que está marcado en el gráfico 30.
GRAFICO N° 30: Activación de acceso por línea de comandos shell
23
Una vez activado el icono cambia de color gris a verde. Se procede a indicar en la sección
Allowed Networks las redes o hosts desde donde se permite el acceso vía Shell, por
motivos de seguridad se recomienda que esta lista sea reducida solamente a los
dispositivos que vayan a hacerlo. Clic en el botón Apply. Ver gráfico 31.
GRAFICO N° 31: Configuración de redes permitidas a acceder por shell
En la sección Authentication, se selecciona la opción no root access para evitar que se
pueda acceder en primera instancia como usuario root por Shell. Ver gráfico 32
GRAFICO N° 32: Evitar acceso root por shell
En el gráfico 33 se muestra la opción para configurar las contraseñas del usuario
loginuser y root. Luego clic en el botón Set specified passwords.
GRAFICO N° 33: Configuración de contraseñas de acceso vía shell
24
Por último se configura el puerto de escucha SSH, por default está definido el puerto 22,
por seguridad se recomienda cambiar este puerto a uno no conocido como se muestra en
el gráfico 34.
GRAFICO N° 34: Configuración del puerto SSH
Configuración de escaneo de virus: Management -> System Settings -> Scan Settings.
Se puede seleccionar cuál de los dos motores antivirus se va a usar cuando se seleccione
un escaneo simple en opciones que serán explicadas más adelante, Sophos o Avira. Así
mismo se selecciona la opción Send suspicious content to SophosLabs for analysis
para enviar información de tráfico sospechoso dentro de la red a los Laboratorios de
investigación de Sophos. Ver gráfico 35.
GRAFICO N° 35: Configuración de opciones de escaneo
25
Configuración de WebAdmin
Configuración general: Management -> Webadmin Settings -> General. En esta sección
se selecciona el idioma en queremos que nos muestre las opciones del WebAdmin. Asi
mismo en la sección WebAdmin Access configuration se configura los usuarios con
privilegios de administración y los hosts desde donde se podrá acceder al UTM por
administración web. Gráfico 36.
GRAFICO N° 36: Configuración de idioma y acceso WebAdmin
26
Configuración control de acceso: Management -> Webadmin Settings -> Access
Control. En esta sección se configuran los roles de usuario con distintos privilegios de
administración y supervisión. Clic en el botón New Role para agregar un nuevo rol.
Gráfico 37.
GRAFICO N° 37: Configuración de roles por usuario
Configuración avanzada: Management -> Webadmin Settings -> Advanced. Aquí se
configure el tiempo en que se tiene que volver a loguear el usuario al WebAdmin despues
de un determinado tiempo de inactividad. También se puede realizar el cambio de la
configuración del puerto por defecto que es el 4444 a otro puerto no conocido como
recomendación de seguridad. Ver gráfico 38.
GRAFICO N° 38: Configuración avanzada
27
Configuración de Licensing
Instalación de licencia: Management -> Licensing -> Installation. Para instalar la
licencia que permita habilitar las funcionalidades del UTM se debe hacer clic en el icono
de la carpeta y luego dar clic en el botón Examinar, se selecciona el archivo de licencia
y se procede a presionar el botón Start Upload. Gráfico 39.
GRAFICO N° 39: Pantalla de instalación de licencia
Configuración de actualización de firmware
En el dashboard se habilitará la pantalla mostrada en el gráfico 40 para indicar que hay
actualizaciones disponibles, al dar clic sobre las actualizaciones aparecerá la pantalla del
gráfico 41.
GRAFICO N° 40: Actualizaciones disponibles
28
Al hacer clic en el botón Schedule se puede planificar la instalación para una fecha y
hora determinada que no afecte a producción ya que al instalar una actualización se
requiere reinicio automático del servidor. Gráfico 42.
GRAFICO N° 41: Pantalla de instalación de actualizaciones disponibles
GRAFICO N° 42: Planificación de instalación de actualizaciones
Configuración de respaldos automáticos:
Management -> Backup and Restore -> Automatic backups. En el gráfico 43 se muestra
la pantalla de configuración de los respaldos automáticos, aquí se puede establecer la
periodicidad en que se van a realizar los respaldos automáticos, de preferencia se
recomienda hacerlo a diario, se configura también en esta opción una dirección de correo
a la cual lleguen los archivos de respaldo.
29
GRAFICO N° 43: Configuración de respaldos automáticos
Configuración del Portal de Usuario:
Management -> User Portal -> Global. En la pantalla mostrada en el gráfico 44 se muestra
la configuración del Portal de Usuario, a través del cual se puede acceder a la opciones
de instalación del cliente VPN, autenticación de doble factor, etc. En Allowed Networks
se especifica las redes desde donde se podrá acceder y se seleccione la opción Allow all
users para permitir el acceso de todos los usuario.
GRAFICO N° 44: Configuración del Portal de Usuario
30
Configuración de notificaciones:
Management -> Notifications -> Global. En esta pestaña se configura la dirección de
correo a la cual llegará las notificaciones de los movimientos en la red, ver gráfico 45.
Management -> Notifications -> Notificaciones. En esta sección se selecciona las
notificaciones que queremos nos lleguen a la dirección de correo antes configurada.
GRAFICO N° 45: Configuración de correo para notificaciones
GRAFICO N° 46: Selección de notificaciones
31
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO
“DEFINITIONS AND USER”
Configuración de autenticación de doble factor
Definition and Users -> Authentication Services -> One-Time Password. En esta pestaña
se habilita la autenticación de doble factor que constituye el acceso a distintas funciones
tales como WebAdmin, VPN, etc, usando como combinación la contraseña fijada por el
usuario y una calve única generada automáticamente cada cierto tiempo por la aplicación
Google Authenticator. Se deselecciona la opción All users must use one-time password
en la que se indica los usuarios a los que se aplicará esta función. Ver gráfico 47.
GRAFICO N° 47: Configuración de autenticación de doble factor
32
Una vez configurado el usuario, este debe ingresar a través del portal de usuario
(https://dirrección_IP) y le aparecerá por primera vez la pantalla del gráfico 48, luego se
debe escanear el código QR previo haber descargado e instalado la aplicación Google
Authenticator en un dispositivo móvil, al capturar el QR automáticamente la aplicación
lo asocia con la cuenta de usuario. En el próximo inicio de sesión se deberá acceder con
la contraseña definida por el usuario y el código aleatorio generado por la aplicación cada
30 segundos.
GRAFICO N° 48: Escaneo de código QR con Google Authenticator
Configuración de políticas de bloqueo de usuarios:
Definition and Users -> Authentication Services -> Advanced. En esta opción se
configure que despues de 3 intentos fallidos de inicio de sesión en la administración del
UTM se bloquee el acceso a ese host durate un tiempo determinado, en este caso el tiempo
por default es de 600 segundos (10 minutos). Asi mismo se puede configurar hosts a los
cuales nunca les bloquee el acceso en la sección Never block networks. Ver gráfico 49.
GRAFICO N° 49: Configuración de políticas de bloqueo
33
Configuración de políticas de contraseñas
Definition and Users -> Authentication Services -> Advanced. Seleccionar el check
Local Authentication Passwords para habilitar la política de complejidad de
contraseñas. Se puede seleccionar las opciones (Gráfico 50):
Requiere una letra minúscula
Requiere una letra mayúscula
Requiere un dígito numérico
Requiere un carácter no alfanumérico
GRAFICO N° 50: Configuración de política de contraseñas
34
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO
“INTERFACES AND ROUTING”
Configuración de interfaces de red
Interfaces and Routing -> Interfaces -> Interfaces. Para configurar las interfaces de red
debemos dar clic en el botón New Interfaces, seleccionamos el tipo de intrface en el
campo Type y la interface física en el campo Hardware. Para guardar la configuración
damos clic en el botón Save. Gráfico 51.
GRAFICO N° 51: Configuración de interfaces de red
Configuración de calidad de servicio
Interfaces and Routing -> Quality of Service -> Status. Se active la interface donde se
aplicará calidad de servicio indicando el ancho de banda asignado por el ISP. Gráfico
52.
GRAFICO N° 52: Configuración de interface para calidad de servicio
35
Interfaces and Routing -> Quality of Service -> Traffic Selectors. Se configura el Traffic
Selector con origen, servicio y destino Any para indicar que se va a aplicar calidad de
servicio a todos los hosts de nuestra red. Gráfico 53.
GRAFICO N° 53: Configuración de Traffic Selector
Interfaces and Routing -> Quality of Service -> Bandwidth Pools. Se selecciona en
Bound to interface la interface en la que se quiere aplicar calidad de servicio y se da clic
en New Bandwidth Pools para crear la regla de calidad de servicio, a continuación se
asigna un nombre y la velocidad restringida y límite. Gráfico 54.
GRAFICO N° 54: Creación de regla de calidad de servicio
36
Configuración de rutas estáticas
Interfaces and Routing -> Static Routing -> Standard Static Routing. Como se muestra en
el gráfico 55, para crear rutas estáticas debemos dar clic en el botón New static route, a
continuación ingresamos la red de destino y el Gateway para alcanzar dicha red.
GRAFICO N° 55: Configuración de rutas estáticas
Una vez creada la ruta estática, por default está deshabilitada, se la habilita dando clic
en el botón en forma de interruptor. Gráfico 56.
GRAFICO N° 56: Habilitación de ruta estática
37
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “NETWORK
PROTECTION”
Creación de reglas de firewall
Network Protection -> Firewall -> Rules. Para la creación de reglas de firewall damos
clic en el botón New Rule, luego definimos los hosts de origen (Sources), puertos
(Services) y destinos (Destinations), en la opción Action seleccionamos si dejamos
permitir los paquetes (Allow), descartar los paquetes (Drop) o rechazarlos (Reject). Se
selecciona el check Log Traffic para que se guarde el registro de todo el tráfico de red
que pase por el firewall. Ver gráfico 57.
GRAFICO N° 57: Creación de reglas de firewall
38
Despúes de creada la regla hay que habilitarla ya que por default estará deshabilitada.
Cuando la regla permite el paso de los paquetes aparece una flecha de color verde, gráfico
58. Cuando la regla descarta los paquetes aparece una flecha de color rojo, gráfico 59.
Cuando la regla rechaza los paquetes la flecha será de color amarilla.
GRAFICO N° 58: Regla de firewall de acceso permitido
GRAFICO N° 59: Regla de firewall de acceso denegado
GRAFICO N° 60: Regla de firewall de acceso rechazado
39
Revisión de logs de firewall en tiempo real
Network Protection -> Firewall -> Rules. Para abrir la ventana de logs en tiempo real del
firewall dar clic en el botón Open live log, gráfico 61, con esto aparecerá la pantalla
mostrada en el gráfico 62, se puede filtrar la salida del log escribiendo parámetros en el
campo Filter. Las líneas dibujadas en color verde representa los accesos permitidos, las
de color rojo representan los accesos denegados.
GRAFICO N° 61: Abrir logs de firewall en tiempo real
GRAFICO N° 62: Logs de firewall en tiempo real
40
Configuración de bloqueo por países
Network Protection -> Firewall -> Country Blocking. Gráfico 63.
GRAFICO N° 63: Bloqueo por países
Configuración de protección contra amenazas avanzadas
Network Protection -> Firewall -> Advanced Threat Protection. Gráfico 64.
GRAFICO N° 64: Configuración de protección contra amenazas avanzadas
41
Configuración de Sistema de Prevención de Intrusos
Network Protection -> Intrusion Prevention -> Global. En la sección Local Networks se
configure las redes que queremos sean inspeccionadas por el IPS. Gráfico 65.
GRAFICO N° 65: Habilitación del IPS
Network Protection -> Intrusion Prevention -> Attack Patterns. En esta pestaña se
configure la acción que deseamos se ejecute por cada regla, al seleccionar Drop se
comporta como IPS, al seleccionar Alert se comportará como IDS. Gráfico 66.
GRAFICO N° 66: Configuración de patrones IPS
42
Network Protection -> Intrusion Prevention -> Anti-Portscan.
GRAFICO N° 67: Configuración de anti escaneo de puertos
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “WEB
PROTECTION”
Configuración de la política global de filtrado
Web Protection -> Web Filtering -> Global. En el módulo Web Protection se configurarán
las políticas de filtrado de navegación web, en la pestaña global se configuran las opciones
del perfil en el que navegarán todos los equipos que no se encuentren registrados dentro
de un perfil de navegación específico. En la sección Allowed Networks configuramos
las redes en las que se aplicará este filtrado global y en Operation Mode el modo en el
que trabajará el proxy (Transparente o Standard).
GRAFICO N° 68: Configuración de política global de filtrado
43
Para ver los logs eb tiempo real de la navegación de los usuarios presionamos el botón
Open Live Log.
44
Configuración de perfiles de navegación
Web Protection -> Web Filtering Profile -> Filter Action. Para crear los perfiles de
navegación web, en primer lugar hay que crear las acciones del filtrado en el botón New
Filter Action. En la sección Categories se configura el bloqueo o acceso a las diferentes
categorías de sitios web. Gráfico 69.
GRAFICO N° 69: Configuración de categorías en el perfil de navegación
En la sección Websites se puede agregar los sitios web que deseamos bloquear siempre
y los sitios web que deseamos se visualicen siempre. Gráficos 69 y 70.
45
GRAFICO N° 70: Configuración de sitios permitidos y denegados
GRAFICO N° 71: Configuración de sitios web permitidos y denegados (2)
En la sección Downloads se pueden bloquear archivos de determinadas extensiones y
MIME Types que sean peligrosos para los equipos en la red, también se puede bloquear
las descargas que superen el tamaño indicado en el campo Block downloads large than.
46
Gráfico 72. A su vez en la sección Antivirus se configura el escaneo simple o dual, para
el escaneo dual inspecciona con el motor de Sophos y de Avira. Gráfico 73.
GRAFICO N° 72: Bloqueo de archivos por extensiones
GRAFICO N° 73: Configuración de motor antivirus
47
En Additional Options se puede seleccionar que se fuerce a usar la función SafeSearch
de los buscadores Google, Bing y Yahoo. También se selecciona las opciones Log
accessed pages y Log blocked pages para que se guarde el registro de la navegación
de todos los usuarios. Gráfico 74.
GRAFICO N° 74: Configuraciones adicionales de la acción de filtrado
48
Web Protection -> Web Filtering Profile -> Filter Profiles. Luego creamos el perfil de
navegación igual que cuando se creó el perfil de navegación global. Gráfico 75. En la
sección Policies se hace referencia al filtro que previamente creamos, en este ejemplo el
filtro llamado Filtro Administrativo. Ver gráfico 76.
GRAFICO N° 75: Creación del perfil de navegación
GRAFICO N° 76: Selección de acción de filtrado
49
Configuración de control de aplicaciones
Web Protection -> Application Control -> Network Visibility. Habilitación de la función
de control de aplicaciones. Gráfico 77.
GRAFICO N° 77: Habilitación de control de aplicaciones
Web Protection -> Application Control -> Application Control Rules. Gráfico 78 y 79.
GRAFICO N° 78: Creación de regla de control de aplicaciones
50
GRAFICO N° 79: Regla de control de aplicaciones de Facebook
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO
“WEBSERVER PROTECTION”
Configuración de Web Application Firewall
Webserver Protection -> Web Application Firewall -> Firewall Profiles. El gráfico 80
muestra las opciones configuradas del perfil de protección avanzado, este perfil viene
creado por defecto.
GRAFICO N° 80: Perfil de protección avanzado
51
Webserver Protection -> Web Application Firewall -> Real WebServers. En esta
sección se configura el servidor web que se protegerá con el WAF. Gráfico 81.
GRAFICO N° 81: Configuración de servidor web
Webserver Protection -> Web Application Firewall -> Virtual WebServers. En esta
sección configuramos la dirección URL pública del servidor WEB, haciendo referencia
al servidor web físico. Gráfico 82.
GRAFICO N° 82: Configuración de servidor virtual
52
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “REMOTE
ACCESS”
Configuración de VPN SSL
Remote Access -> SSL -> Profiles. Para crear un perfil de VPN SSL damos clic en el
botón New remote Access profiles, configuramos el usuario al cual le quedemos dar
acceso por VPN y las redes o hosts específicos al que le damos acceso. Gráfico 83.
GRAFICO N° 83: Configuración de perfil VPN SSL
Configuración de VPN PPTP
Remote Access -> PPTP -> Global. Gráfico 84.
GRAFICO N° 84: Configuración de VPN PPTP
53
Configuración de VPN L2TP sobre IPSec
Remote Access -> L2TP over IPSec -> Global. Gráfico 85.
GRAFICO N° 85: Configuración de VPN L2TP sobre IPSec
54
REVISIÓN DE REPORTES Y LOGS
Ver archivos de log
Logging and Reporting -> View Log Files -> Today’s Log File. En esta sección se
puede ver los archivos de log generados el mismo dia, las acciones que se puede tomar
con respecto a estos archivos son: Ver en tiempo real, Ver registros guardados o
eliminiarlos. Gráfico 86.
GRAFICO N° 86: Ver archivos de logs
55
Reports de Hardware
Logging and Reporting -> Hardware. En esta sección se puede visualizar gráficas en el
tiempo de los recursos de hardware como CPU y memoria. Gráfico 87.
GRAFICO N° 87: Reporte de Hardware
56
Reportes de uso de red
Logging and Reporting -> Network Usage. En este reporte se puede visualizar el uso de
la red por interfaces y el uso de ancho de banda detallado por hosts. Gráfico 88.
GRAFICO N° 88: Reportes de uso de red
57
Reportes de protección de la red
Logging and Reporting -> Network Usage. En esta sección de reportes se puede visualizar
estadísticas de violaciones de firewall y estadísticas del sistema de prevención de intrusos.
Gráfico 89.
GRAFICO N° 89: Reporte de violaciones de firewall e IPS
58
Logging and Reporting -> Network Usage -> IPS. Visualización al detalle de las
detecciones del IPS. Gráfico 90.
GRAFICO N° 90: Reporte de IPS
GRAFICO N° 91: Reporte de atacantes detectado por el IPS
59
Reportes de navegación web
Logging and Reporting -> Web Protection -> Web Usage Report. En este reporte se
muestral la navegación web hacia las direcciones en Internet (Gráfico 92), al dar clic
sobre cada sitio nos mostrará los hosts que han accedido dicho sitio, gráfico 93.
GRAFICO N° 92: Reporte de navegación web
GRAFICO N° 93: Detalle de uso de red por usuario o host
60
Reporte de Web Application Firewall
Logging and Reporting -> WebServer Protection -> Usage Graph. Este reporte muestral
las estadisticas de uso de los sitios o aplicaciones web que tenemos protegidas a traves
del WAF. Gráfico 94.
Logging and Reporting -> WebServer Protection -> Details. Muestra granularmente los
tipos de ataques recibidos, atacantes y sitios atacados. Gráfico 95
GRAFICO N° 94: Estadisticas de uso de sitios y aplicaciones web locales
GRAFICO N° 95: Tipos de ataques detectados por el WAF
61
Configuración de reporte ejecutivo
Logging and Reporting -> Executive Report -> Configuration. El reporte ejecutivo es un
resumen total de todos los registros de movimientos en la red detectados por los distintos
componentes del UTM, se puede configurar la generación automática de este tipo de
reportes con periodicidad diaria, semanal o mensual, archivándolos en el disco duro del
UTM (Gráfico 96) para su posterior descarga (Gráfico 97) y visualización, y/o
configurando una cuenta de correo para que lleguen automáticamente al mail.
GRAFICO N° 96: Configuración de reporte ejecutivo
GRAFICO N° 97: Reportes ejecutivos archivados