TEMA 4 - Seguridad y alta disponibilidad
Transcripción
TEMA 4 - Seguridad y alta disponibilidad
2012 TEMA 4 SEGURIDAD Y ALTA DISPONIBILIDAD niko [Escribir el nombre de la compañía] 23/02/2012 TEMA 4 23 de febrero de 2012 Contenido 1.CONFIGURACIÓN ROUTER-FIREWALL ..................................................................................... 4 a) Router DLINK:.................................................................................................................... 4 b) Router LINKSYS: .................................................................................................................... 5 c) Router TP-LINK: ..................................................................................................................... 6 2.ACL (CISCO) ............................................................................................................................ 7 a) Resolución de ejercicios. ................................................................................................... 7 b) Resolución escenario UD3-2.a. Router Frontera. ............................................................. 17 3.-IPTABLES (LINUX): ............................................................................................................... 17 a) Resolución de ejercicios .............................................................................................. 17 b) Resolución escenario UD3-1.a. NAT. ................................................................................... 26 4. DMZ. ................................................................................................................................... 29 a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a. ........................................ 29 b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD3-3.b....................................... 32 5. CORTAFUEGOS SOFTWARE.................................................................................................. 35 a) Cortafuego integrado en Windows. Instalación de software de cortafuegos en Windows y Linux: .................................................................................................................................. 35 i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). ............. 35 ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad en la empresa: ......................................................................................................................... 42 ¿Qué es Microsoft Forefront? .......................................................................................... 42 Funcionalidades y ventajas ........................................................................................... 42 Administración simplificada y centralizada ..................................................................... 43 Énfasis en la capacidad de "aseguramiento" .................................................................. 44 Conclusión......................................................................................................................... 44 b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. ................. 45 i) Instalación y configuración del cortafuegos “Firewall Zentyal”. ..................................... 45 ii) Instalación y configuración del cortafuegos “Firewall IpCop”. ...................................... 50 6. CORTAFUEGOS HARDWARE. ............................................................................................... 60 a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange) y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. ....................... 60 [ editar ]Las especificaciones de rendimiento ................................................................ 63 2 TEMA 4 23 de febrero de 2012 b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat Management). .................................................. 65 Otro producto puede ser el Rhino Box UTM Toda la Seguridad de su Empresa en un solo Appliance. ............................................................................................................................................... 67 3 TEMA 4 23 de febrero de 2012 CORTAFUEGOS: 1.CONFIGURACIÓN ROUTER-FIREWALL Configura un router-firewall utilizando los simuladores correspondientes: a) Router DLINK: http://support.dlink.com/emulators/di604_reve En este router creamos una regal llamada niko en la que denegamos que las direciones que se encuentran en el rango 192.168.2.100-192.168.2.110 no se puedan comunicar con las direcciones del rango 195.168.2.50 a 192.168.2.60 4 TEMA 4 23 de febrero de 2012 b) Router LINKSYS: http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm En este router podremos activar opciones como el filtro multicast, filtrado nat…. 5 TEMA 4 23 de febrero de 2012 c) Router TP-LINK: http://www.tplink.com/Resources/simulator/WR842ND(UN)1.0/index.htm En seguridad encontramos varias opciones de seguridad como es el cortafuegos, VPN… También podremos controlar el acceso al router mediante listas de control de acceso, ya sea a nivel de host o a nivel de dirección: 6 TEMA 4 23 de febrero de 2012 2.ACL (CISCO) a) Resolución de ejercicios. 1.- 7 TEMA 4 23 de febrero de 2012 1.access-list 15 deny host 196.20.0.10 access-list 15 permit any interface fa0/0 ip access-group 15 out Comprobación Equipo2: 8 TEMA 4 23 de febrero de 2012 2.IP SOPOFING EN LA RED 192.20.0.0 Comandos utilizados: ACcess-list 1 Permit host 192.20.0.2 ACcess-list 1 Permit host 192.20.0.10 ACcess-list 1 Permit host 192.20.0.20 ACcess-list 1 DEny Any INt 0/0 IP ACCEss-group 1 In 9 TEMA 4 23 de febrero de 2012 IP SPOOFIN EN LA RED 196.20.0.0 ACcess-list 1 Permit host 196.20.0.2 ACcess-list 1 Permit host 196.20.0.10 ACcess-list 1 Permit host 196.20.0.20 ACcess-list 1 DEny Any INt f0/0 IP ACCEss-group 1 In 10 TEMA 4 23 de febrero de 2012 3.RNORTE: RSUR: 4.EN RSUR COMANDOS access-list 101 permit tcp host 192.20.0.10 host 196.20.0.2 eq www access-list 101 deny tcp host 192.20.0.10 host 196.20.0.2 eq 25 access-list 101 deny udp host 192.20.0.10 host 196.20.0.2 eq 53 access-list 101 permit ip any any 11 TEMA 4 23 de febrero de 2012 EN RSUR int f0/0 IP ACCEss-group 101 in Comprobacion: DENEGACION DEL DNS: 12 TEMA 4 23 de febrero de 2012 5.En el router NORTE access-list 101 permit tcp host 196.20.0.10 host 192.20.0.2 eq 21 access-list 101 permit tcp host 196.20.0.10 host 192.20.0.2 eq 20 access-list 101 deny tcp host 196.20.0.20 host 192.20.0.2 eq 20 access-list 101 deny tcp host 196.20.0.20 host 192.20.0.2 eq 21 access-list 101 permit ip any any int f0/0 IP ACCEss-group 101 in Comprobacion: 6.EN EL ROUTER NORTE access-list 101 deny ip host 196.20.0.20 host 192.20.0.20 access-list 101 deny icmp host 196.20.0.20 host 192.20.0.20 echo 13 TEMA 4 23 de febrero de 2012 access-list 101 deny tcp host 196.20.0.20 host 192.20.0.20 access-list 101 deny udp host 196.20.0.20 host 192.20.0.20 access-list 101 permit ip any any int f0/0 IP ACCEss-group 101 in 14 TEMA 4 23 de febrero de 2012 7.ROUTER NORTE ROUTER SUR: 8.access-list 110 deny ip any 196.20.0.0 0.0.0.255 access-list 110 deny icmp any 196.20.0.0 0.0.0.255 access-list 110 deny tcp any 196.20.0.0 0.0.0.255 access-list 110 deny udp any 196.20.0.0 0.0.0.255 access-list 110 permit ip any any 15 TEMA 4 23 de febrero de 2012 int f0/0 IP ACCEss-group 110 in COMPROBACION: 9.- 10.ACcess-list ACcess-list ACcess-list ACcess-list 100 100 100 100 Permit ICmp Any Any ECHO-Reply Permit ICmp Any Any Unreachable DEny ICmp Any Any Permit IP Any Any 16 TEMA 4 23 de febrero de 2012 b) Resolución escenario UD3-2.a. Router Frontera. RESOLUCION MEDIANTE UN NAT EN PACKET TRACERT ENTREGA APARTE 3.-IPTABLES (LINUX): a) Resolución de ejercicios Conteste a los siguientes ejercicios: 1º) Ver la vesión de Iptables: 2º) Borrado de todas las reglas 3º) Añadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la dirección 192.168.0.155. 17 TEMA 4 23 de febrero de 2012 COMPROBACION: 4º) Eliminar todos los paquetes que entren. Con esta opcion podremos observar que el ping no se ejecuta: 5º) Permitir la salida de paquetes. 6º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155. 7º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección de red 192.168.0.0. Comprobación: 8º) Añadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la dirección 192.168.0.155 y enviar un mensaje de error icmp. 18 TEMA 4 23 de febrero de 2012 COMPROBACION: 9º) Permitir conexiones locales (al localhost), por ejemplo a mysql. 10º) Permitir el acceso a nuestro servidor web (puerto TCP 80). COMPROBACION 19 TEMA 4 23 de febrero de 2012 11º) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21). COMPROBACION: 12ª) Permitimos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de SSH. Comprobación: 13º) Rechazamos a la máquina con IP 192.168.0.155 conectarse a nuestro equipo a través de Telnet. COMPROBACION: 14º) Rechazamos las conexiones que se originen de la máquina con la dirección física 00:db:f0:34:ab:78. 20 TEMA 4 23 de febrero de 2012 COMPROBACION: CONFOGURACION DEL ROUTER: 15º) Rechazamos todo el tráfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a través de la interfaz eth0. Comprobacion: 21 TEMA 4 23 de febrero de 2012 16º) Cerramos el rango de puerto bien conocido desde cualquier origen: Comprobacion Antea de la regla: DESPUES: 22 TEMA 4 23 de febrero de 2012 17º) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80): COMPROBACION: DESDE UN EQUIPO DE LA RED 192.168.2.0 a un servidor web remoto: 18º) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https: COMPROBACION DESDE UN CLIENTE DE LA RED 192.168.2.0 A UN SERVIDOR WEB HTTPS: 23 TEMA 4 23 de febrero de 2012 19º) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red: iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p udp -–dport 53 – j ACCEPT iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 0.0.0.0/0 –p tcp -–dport 53 – j ACCEPT iptables –A FORWARD –s 192.168.0.0/24 –i eth1 –d 0.0.0.0/0 -j DROP Ahora comprobaremos que un cliente de la red 192.168.2.0 puede realizar una resolución DNS pero por ejemplo no puede realizar un ping, puesto que tiene denegada esa función: Comprobación del DNS: Pero el ping fallara o mejor dicho no se realizara, por la elección de la opcion DROP: 24 TEMA 4 23 de febrero de 2012 20º) Permitimos enviar y recibir e-mail a todos: NO PUEDO COMPROBAR ESTAS REGLAR POR NO DISPONER DE UN SERVIDOR DE CORREO INSTALDO: 21º) Cerramos el acceso de una red definida 10.33.20.0/24 a nuestra red LAN 192.168.2.0/24: Ahora realizamos un ping desde un host de la red 10.33.20.0 a un host de la red 192.168.2.0/24: 22º) Permitimos el paso de un equipo específico 10.33.20.50 a un servicio (puerto 5432) que ofrece un equipo específico (192.168.2.40) y su respuesta: iptables –A FORWARD –s 10.33.20.50/24 –i eth0 –d 192.168.2.40 –p tcp –dport 5432 –j ACCEPT iptables –A FORWARD –s–i eth0 –d 192.168.2.40 –p tcp –dport 5432 –j ACCEPT ESTA CONFIGURACION NO LA HE PODIDO COMPROBAR POR NO SABER COMO REALIZAR UNA CONEXION HACIA ESE PUERTO. 25 TEMA 4 23 de febrero de 2012 23º) Permitimos el paso de paquetes cuya conexión ya se ha establecido o es nueva pero está relacionada a una conexión ya establecida b) Resolución escenario UD3-1.a. NAT. EN primer lugar en el equipo debían que es el router principal de la red tendremos 2 tarjetas de red una que estará configurada en VMNET3(eth0) con la dirección de red 10.33.1.30 y otra que estará configurada en BRIDGE(eth1) con la dirección 192.168.0.20. Una vez configuradas las tarjetas de red procederemos a realizar el enrutamiento entre ambas tarjetas. Para ello seguimos los siguientes pasos: En primer lugar introduciremos las siguientes reglas iptables en nuestro equipo: 26 TEMA 4 23 de febrero de 2012 Una vez introducidas las reglas del paso anterior nos dirigiremos al archivo sysctl.conf y des comentaremos la siguiente línea: Ahora realizaremos el enrutamiento entre las 2 tarjetas de red con el comando que se muestra en la imagen: Una vez realizado el enrutamiento entre las 2 tarjetas de red configuraremos un cliente que tenga una tarjeta de red configurada en VMNET3 con con la dirección de red 10.33.1.15 y como puerta de enlace la dirección 10.33.1.30 del equipo debían: 27 TEMA 4 23 de febrero de 2012 Ahora comprobamos como este cliente pude comunicarse con la red 10.33.1.0 y con la red 192.168.0.0: Ahora configuraremos otro cliente en bridge y comprobaremos cono se puede comunicar con la red 192.168.0.0 pero no con la 10.33.1.0 puesto que el NAT configurado en el equipo debían nos lo impide: 28 TEMA 4 23 de febrero de 2012 4. DMZ. a) Resolución escenarios DMZ CISCO (Packet Tracert ). UD3-3.a. ESCENARIO SIMPLE: INTENTE REALIZAR LO SIGUIENTE PERO NO FUNCIONABA EN ROUTER 0 DENEGAR DE INTENET A LA EMPRESA access-list 110 deny ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 110 deny icmp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 110 deny tcp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 110 deny udp 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 110 permit ip any any access-list 110 permit icmp any any access-list 110 permit tcp any any access-list 110 permit udp any any int s2/0 IP ACCEss-group 110 in 29 TEMA 4 23 de febrero de 2012 Comprobación : EN ROUTER 0 DENEGAR DE LA DMZ A LA EMPRESA y denegar del DMZ a internet access-list 111 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 111 deny icmp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 111 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 111 deny udp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 111 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 111 deny icmp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 111 deny tcp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 111 deny udp 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 access-list 111 permit ip any any access-list 111 permit icmp any any access-list 111 permit tcp any any 30 TEMA 4 23 de febrero de 2012 access-list 111 permit udp any any int f1/0 IP ACCEss-group 111 in COMPROBACIón 31 TEMA 4 23 de febrero de 2012 b) Resolución escenarios DMZ LINUX (Laboratorio virtual). UD33.b. ESCENARIO SIMPLE: En primer lugar mostraremos las configuraciones de las tarjeta de red de nuestro servidor principal en nuestro caso un equipo debían: 32 TEMA 4 23 de febrero de 2012 Con esta primera regla permitimos que los equipos de la red unterna se puedan comunicar con la red exterior: iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 10.33.20.0/24 –j ACCEPT COMPROBACIÓN: ip A su vez tambien deberemos de permitir que la red interna se communiqué con la DMZ: iptables –A FORWARD –s 192.168.2.0/24 –i eth1 –d 192.168.3.0/24 –j ACCEPT COMPROBACION: Ahora deberemos de configurar la zona DMZ, en primer lugar deberemos de denegar el acceso desde la DMZ a la red interna, para ello introducimos el siguiente comando: iptables –A –s 192.168.3.0/24 –i eth2 –d 192.168.2.0/24 –j DROP Ahora denegamos el acceso de la DMZ a la red externa: iptables –A –s 192.168.3.0/24 –i eth2 –d 10.33.20.0/24 –j DROP Por ultimo configuraremos la zona externa; para ello denegamos que esta red pueda acceder a la red interna: iptables –A –s 10.33.20.0/24 –i eth0 –d 192.168.2.0/24 –j DROP COMPROBACIÓN: Y permitimos el acceso al mismo a la DMZ: 33 TEMA 4 23 de febrero de 2012 iptables –A –s 10.33.20.0/24 –i eth0 –d 192.168.3.0/24 –j ACCEPT NO ME SALE REALIZE LAS SIGUIENTES IPTABLES: 34 TEMA 4 23 de febrero de 2012 5. CORTAFUEGOS SOFTWARE. a) Cortafuego integrado en Windows. Instalación de software de cortafuegos en Windows y Linux: i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux). http://www.kerio.com/ Una vez instalado para ejecutarlo deberemos de introducir el nombre de usuario y la contraseña Ahora usuraremos el asistente para configurar nuestro firewall, en primer lugar deberemos de seleccionar la forma en la que nos conectamos a internet: 35 TEMA 4 23 de febrero de 2012 Ahora seleccionaremos la interface que saldrá a internet: Ahora permitiremos solo una serie de servicio, los cuales son los mas comunes, asi nos protegeremos contra un posible ataque, esto se realizara con una regla de entrada: 36 TEMA 4 23 de febrero de 2012 Como es posible que utilizemos conexiones VPN y ssl marcaremos las casillas para que kerio nos cree reglas para el servidor VPN y para los clientes SSL-VPN Ahora podremos añadir los servidores que se encuentren en nuestra LAN y que deben de ser accesibles desde internet: 37 TEMA 4 23 de febrero de 2012 Por último finalizamos el asistente: 38 TEMA 4 23 de febrero de 2012 Ahora podremos apreciar que en la sección política de trafico se encuentran las políticas que hemos creado: También podremos limitar el ancho de banda: 39 TEMA 4 23 de febrero de 2012 Tambien podremos crear politicas HTTP como puede ser permitir actualizaciones o denegar actualizaciones de un programa, remover banner…. A su vez podremos configurar opciones sobre el antivirus para que analize lo que le indicamos, pudiendo usar un antivirus externo y pudiendo habilitar la exploración de protocolos, exploaracion HTTP,FTP…: 40 TEMA 4 23 de febrero de 2012 Tambien podremos configurar ciertas opciones del cliente dns como son habilitar el servicio de reenvio, habilitar la cache y el orden de consulta para una resolución: Otra de las opciones interesantes es habilitar el anti-spooofing e indicar un limete de conexión: 41 TEMA 4 23 de febrero de 2012 Con estas opciones habremos configurado el cortafuegos de nuestro equipo. ii) Elabora un pequeño documento sobre Microsoft ForeFront y su funcionalidad en la empresa: http://en.wikipedia.org/wiki/Microsoft_Forefront_Threat_Management_Gateway http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=225 ¿Qué es Microsoft Forefront? Microsoft Forefront es una completa línea de productos de seguridad que permite una mayor protección y control por medio de una excelente integración con su infraestructura de TI actual y una operación más sencilla de implantación, gestión y análisis. La línea de productos de seguridad Microsoft Forefront ofrece protección para las máquinas cliente, aplicaciones de servidor y la red perimetral. Su completo conjunto de productos de seguridad, que se integran entre sí y con la infraestructura informática de su empresa, puede complementarse e interoperar con soluciones de terceros. Funcionalidades y ventajas Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la competencia que podemos resumir en: Protección para sistemas operativos Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece detección en tiempo real, programado o a demanda así como eliminación de virus, spyware, rootkits y otras amenazas emergentes. Protección de aplicaciones de servidores críticas 42 TEMA 4 23 de febrero de 2012 Forefront ayuda a proteger los servidores de aplicaciones Microsoft a través de una estrategia de defensa en profundidad. ISA 2006 ofrece un sólido control de acceso e inspección de datos específicos de protocolo y de aplicaciones. Acceso seguro y controlado Forefront ofrece una amplia gama de tecnologías de firewall, VPN y encriptación, así como funcionalidades de administración de identidades que ayudan a asegurar que sólo los usuarios autorizados tengan acceso a los datos y recursos de TI especificados. Protección de datos confidenciales Los productos Forefront resguardan los datos confidenciales y protegen la propiedad intelectual. ISA 2006 proporciona una combinación de filtros específicos para cada aplicación en toda la red, como también tecnologías que garantizan la confidencialidad y autenticidad de los datos valiosos para su empresa. Integración desde el diseño Los productos Forefront ofrecen múltiples niveles de integración, de modo que se pueda lograr una mayor eficiencia y control en términos de seguridad de la red. Integración con aplicaciones Los productos anti-malware y de seguridad de acceso Microsoft Forefront están especialmente diseñados para proteger e integrarse con aplicaciones de servidores de misión crítica tales como Exchange, Outlook® Web Access y SharePoint. Integración con la infraestructura informática Esta infraestructura unificadora permite administrar sin inconvenientes la implementación, distribución, configuración y aplicación de los productos de seguridad, y permite hacerlo con un nivel de control detallado y minucioso. Integración en Forefront Los productos Forefront están diseñados para poder operar juntos, de modo que se puedan aprovechar sus funcionalidades y lograr una mayor cobertura de seguridad. Administración simplificada y centralizada Los productos Microsoft Forefront están diseñados de forma tal que permiten simplificar la implementación, configuración, administración, generación de informes y análisis. De esta forma, su empresa tiene mayor confiabilidad en cuanto a una excelente protección. Implementación simplificada Los utilitarios como ISA Server Best Practices Analyzer Tool y los asistentes de configuración ayudan a establecer una base sólida para una instalación de seguridad contundente. La integración de Forefront con Active Directory y los sistemas de actualizaciones como Systems Management Server proporcionan los cimientos comunes para la administración de configuraciones y cambios. Tanto los usuarios como los administradores se benefician con la distribución centralizada de configuraciones y políticas actualizadas así como de actualizaciones de sistemas operativos o antivirus para clientes y servidores. Unificación de generación de informes y análisis Forefront centraliza la recopilación y el análisis de la información de administración de seguridad, dado que toda la información de seguridad se almacena en un único repositorio SQL Server™, que puede utilizar los servicios de generación de informes y análisis (SQL Server Reporting and Análisis Services) para identificar e interpretar los eventos de seguridad. 43 TEMA 4 23 de febrero de 2012 Administración simplificada La administración y la generación de informes de seguridad están centralizadas en Forefront. Sus componentes se integran plenamente con los sistemas de administración existentes, incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows Server™ Update Services. Las consolas de administración integradas de Forefront ofrecen las conocidas interfaces de Microsoft y son, además, fáciles de utilizar; por otra parte, reducen el tiempo de capacitación necesaria y ayudan a controlar los costes. Énfasis en la capacidad de "aseguramiento" Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integración y la administración de la seguridad –el "aseguramiento" de la infraestructura-, Forefront ayuda a su empresa a: - Centralizar la administración de la seguridad. - Evitar los errores en la configuración. - Implementar la seguridad en toda la red. - Obtener una visión unificada de la seguridad de la red. Conclusión En conclusión, nos encontramos ante una familia de productos que, tanto juntos como de manera independiente, nos ofrecen una solución: Completa A medida que los ataques aumentan, se tornan cada vez más costosos para su empresa, aumentando el tiempo de reposo necesario, la recuperación e impactando en forma negativa en la productividad y en la utilización de su software. Integrada En general, los productos de seguridad no se integran mucho entre sí ni con la infraestructura de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea más difícil de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red. Microsoft Forefront integra capacidades de seguridad en toda la línea de productos, con aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted puede lograr mayor eficiencia y control sobre la seguridad de su red. Simplificada Puede ser difícil obtener visibilidad crítica acerca del estado de seguridad de su red, especialmente sin una herramienta de administración central. Sin este tipo de visibilidad, implementar y administrar la seguridad es más difícil, ineficiente, propicia al error y consume más tiempo. Microsoft Forefront mejora su capacidad para mantener la seguridad de su organización al simplificar la administración, instalación y uso de los productos de seguridad, con lo que aumentará su confianza en que su organización está bien protegida. Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista individual de la red, permitiendo una administración y una mitigación de amenazas mejor y más informada. 44 TEMA 4 23 de febrero de 2012 b) Distribuciones libres para implementar cortafuegos en máquinas dedicadas. i) Instalación y configuración del cortafuegos “Firewall Zentyal”. http://www.zentyal.com En primer lugar podremos preciar la sección filtrado de paquetes en donde apreciamos reglas de filtrado de trafico desde las redes internas de zentyal: 45 TEMA 4 23 de febrero de 2012 Una vez dentro de esa opción podremos ver las reglas existentes y si esta aprobada o denegada, en este caso solo denegamos los servicios LDAP y adslsync, a su vez podremos modificar las reglas o crear nuevas: Ahora denegaremos el FTP desde cualquier dirección a la red interna: Ahora desde un cliente de la red interna probaremos a acceder al ftp, como se ve en la imagen da error: 46 TEMA 4 23 de febrero de 2012 También podremos configurar reglas internas de filtrado: Crearemos una nueva regla que permita el trafico desde la ip de origen 192.168.2.100 a cualquier destino usuando HTTP 47 TEMA 4 23 de febrero de 2012 En la sección filtrado de paquetes desde redes externas hacia redes internas crearemos una regla que deniegue todo lo que se dirija a la dirección 10.33.1.10: Ahora denegaremos mediante una regla de trafico saliente de zentyal todo el trafico que se dirija a la dirección 192.168.0.0/24: 48 TEMA 4 23 de febrero de 2012 Comprobación: Otra opción interesante del cortafuegos de zentyal es la redirección de puertos en la imagen indicar la interfaz el destino, el potocolo, el puerto origina la dirección de origen y la de destino: 49 TEMA 4 23 de febrero de 2012 ii) Instalación y configuración del cortafuegos “Firewall IpCop”. http://www.ipcop.org En primer lugar pulsamos intro para que de comienzo el proceso de instalacion: Ahora elegimos el idioma: 50 TEMA 4 23 de febrero de 2012 Despues de configurar opciones como el idioma, el teclado, la hora… elegimos la partición en la que lo queremos isntalar: Una vez finalizado el proceso de instalación deberemos de introducir el nombre del equipo: 51 TEMA 4 23 de febrero de 2012 El nombre del dominio: Tambien deberemos de configurar la interfaz: 52 TEMA 4 23 de febrero de 2012 Ahora seleccionamos la tarjera de red que vamos a utilizar para asiganrle un color: EN nuestro caso le asignaremos el verde: 53 TEMA 4 23 de febrero de 2012 Ahora seleccionamos la dirección de la interface verde: Ahora activaremos el DHCP y le asignamos un rango de direcciones: 54 TEMA 4 23 de febrero de 2012 Ahora le establecemos una contraseña al administrador: Ahora iniciaos sesioncon el usuario root y con un cliente accedemos via web a la dirección 192.168.1.1 y aceptamos la conexion: 55 TEMA 4 23 de febrero de 2012 Para entrar nos pedirá un usuario y una contraseña en nuestro caso será admin inves: Ahora nos dirigimos a la sección cortafuegos: 56 TEMA 4 23 de febrero de 2012 En primer lugar nos dirigimos a las reglas aquí podremos crear una regla de origen, de destino, de reenvio de puertos… Ahora creamos una regla para el trafico de salida para rechazar las conexiones desde la ip 192.168.1.100 a destino 192.168.1.2: 57 TEMA 4 23 de febrero de 2012 Ahora podemos ver las iptables disponibles: A su vez podemos controlar el tráfico poniendo un limite de subida y de bajada; 58 TEMA 4 23 de febrero de 2012 Por últmo también podremos destacar que podremos abrir un determinado puerto: 59 TEMA 4 23 de febrero de 2012 6. CORTAFUEGOS HARDWARE. a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange) y la tecnología ASA de Cisco. Comenta en detalle algún producto Cisco PIX. Visita el sitio web: http://es.wikipedia.org/wiki/Private_Internet_Exchange http://en.wikipedia.org/wiki/Cisco_ASA http://www.cisco.com/web/ES/index.html Cisco PIX PIX es el acrónimo de Private Internet EXchange. Esta sigla es utilizada por el fabricante tecnológico Cisco, para referirse a sus modelos de equipos Cortafuegos (FireWalls). Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una máquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja más a un router que a un sistema Unix clásico. El cortafuegos PIX utiliza un algoritmo de protección denominado Adaptive Security Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la información de estado de la conexión (PIX es stateful) en memoria; para ello, a cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la más segura, interna). La filosofía de funcionamiento del Adaptive Security Algorithm se basa en estas reglas: Ningún paquete puede atravesar el cortafuegos sin tener conexión y estado. Cualquier conexión cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se prohíbe explícitamente mediante listas de acceso. Cualquier conexión que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, si no se permite explícitamente mediante listas de acceso. Los paquetes ICMP son detenidos a no ser que se habilite su tráfico explícitamente. Cualquier intento de violación de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog. Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama válida, y en caso de que lo sea comprobar si del host 60 TEMA 4 23 de febrero de 2012 origen se ha establecido una conexión con anterioridad; si no había una conexión previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexión. El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya que como hemos dicho se asemeja más a un router que a un servidor con cualquier flavour de Unix; es por tanto recomendable consultar bibliografía adicional antes de trabajar con estos equipos. Una buena referencia puede ser [JF01], así como la documentación sobre el producto que está disponible a través de la web de Cisco Systems INFORMACION SONBRE LOS MODELOS DE CISCO ASA: Las especificaciones de los modelos del pasado y el presente Al igual que los cortafuegos Cisco PIX, los ASA están basados en Intel arquitectura x86 . La serie ASA de dispositivos de ejecutar código de PIX 7.0 y versiones posteriores. A través de PIX OS versión 7.x el PIX y ASA el uso de las imágenes de software mismos. Ejemplos de emuladores incluyen PEMU y Dynagen [1] , y con NetworkSims ( Networksims ) para un simulador. Model o 5505 5510 5520 5540 5550 5580-20 5580-40 5585-X- 5585-XSSP20 SSP60 2008 2010 Introdu 2006 cido 2005 Tipo de AMD proces Geode ador LX AMD AMD Intel Intel Intel Opteron Opteron Intel Pentium Intel (16 Intel (24 Pentium Pentium (2 CPU, (4 CPU, 4 Celeron núcleos) núcleos) 4 4 4 8 Celeron núcleos) núcleos) Velocid 500 ad de MHz. la CPU 1,6 GHz 2,0 GHz 2,0 GHz 3,0 GHz 2,6 GHz 2,6 GHz Chipset Geode CS5536 2005 2005 2006 2008 2010 2,4 GHz Intel 875 P Canterw ood 61 TEMA 4 Por defecto 512 la RAM 1 GB 2GB 2GB 4 GB 23 de febrero de 2012 8GB 12 GB 12 GB 24 GB Arranc a un ATA ATA ATA ATA ATA ATA ATA ATA ATA disposit Compac Compac Compac Compac Compac Compac Compac Compac Compac ivo tFlash tFlash tFlash tFlash tFlash tFlash tFlash tFlash tFlash flash Por defecto 128 MB 256 de Flash 256 256 256 1 GB 1 GB Min Versión del sistem 7.2.1 a operati vo 7.0.1 7.0.1 7.0.1 7.1.1 8.1.1 8.1.1 3 (trunkin g desactiv Max ado) o virtuale 20 s (trunkin Interfac g es habilitad o) con la sección Licencia Plus 50 o 100 con la 150 Sección Plus Licencia 200 250 250 250 2GB 2GB Red de Marvell chipset 88E609 (s) 5 62 TEMA 4 Módulo s de expans AIPión SSC soporta dos CSCSSM, AIPSSM, 4GESSM CSCSSM, AIPSSM, 4GESSM Sí - 2 Soport Sí - 2 Sí - 2 incluido, a SSL incluido, incluido, máximo VPN Max 250 Max 750 de 25 CSCSSM, AIPSSM, 4GESSM 23 de febrero de 2012 No 6 Tarjetas de Interfaz 6 IPSIPSTarjetas SSP SSP de SSP-20 SSP-60 Interfaz Sí - 2 incluido, Max 2500 Sí - 2 incluido, Max 5000 Sí - 2 incluido, Max 10000 Sí - 2 incluido, Max 10000 Sí - 2 incluido, Max 10000 Sí - 2 incluido, Max 10000 Active / Standby , Activo / Activo Active / Standby , Activo / Activo Active / Standby , Activo / Activo Active / Standby , Activo / Activo El apoyo de conmut ación por error Sin estado activo / en espera (con la sección Licencia Plus) Activo / en Espera, activo / activo (con la sección Licencia Plus) Active / Standby , Activo / Activo Active / Standby , Activo / Activo Active / Standby , Activo / Activo Model o 5505 5510 5520 5540 5550 [ editar ]Las Modelo 5580-20 5580-40 5585-X- 5585-XSSP20 SSP60 especificaciones de rendimiento 552 0[2] 554 0[2] 5585- 5585- 5585- 5585555 5580- 5580X X X X [2] [2] [2] 0 20 40 SSP1 SSP2 SSP4 SSP6 [2] [2] [2] [2] 0 0 0 0 300 450 650 120 0 5000 170 225 325 425 1000 1000 1000 5505 5510 [2] [2] Cleartext rendimie 150 nto , Mbits / s AES / DES triple de 100 rendimiento, Mbit / s 10.00 3000 0 7000 12.00 20.00 0 0 2000 3000 5000 63 TEMA 4 Máximo de conexiones simultáneas 10.0 00 (25.0 00 con la secci ón Licen cia Plus) 50.00 0 (130. 000 con 280 la 000 secci ón Licen cia Plus) 10 (25 con Max de sitio a sitio la y remotas secci 250 sesiones de ón acceso VPN Licen cia Plus) Número máximo de sesiones SSL VPN de los usuarios Modelo 25 250 5505 5510 23 de febrero de 2012 400 000 650 000 1000 2000 1000 000 000 000 2000 4000 000 000 750 500 0 500 0 10.00 10.00 5000 0 0 10.00 10.00 10.00 0 0 0 750 250 0 500 0 10.00 10.00 5000 0 0 10.00 10.00 10.00 0 0 0 554 0 5585- 5585- 5585- 5585555 5580- 5580X X X X 0 20 40 SSP1 SSP2 SSP4 SSP6 0 0 0 0 552 0 10000 000 64 TEMA 4 23 de febrero de 2012 b) Elabora un informe sobre productos comerciales que implemente Gestión Unificada de Amenazas “Firewall UTM” (Unified Threat Management). EN primer lugar econtramos este producto que implementa UTM y que cuenta con unas características muy interesantes: Para empresas pequeñas – seguridad total de pasarela todo en uno – sin concesiones Un dispositivo físico de seguridad de pasarela todo en uno para pequeñas empresas de hasta 30 usuarios. ProSecure UTM combina cortafuegos de proxy de aplicaciones, VPN, protección zero day antivirus, programas espía y correo no deseado, prevención de intrusiones, y filtrado de URL para una protección total. Este producto es ideal para pequeñas empresas que buscan: Gestión integrada de las amenazas (UTM) todo en uno Avanzada detección de virus en colaboración con Sophos™ Tecnología stream scanning pendiente de patente que garantiza una latencia mínima Antispam in the cloud híbrido que no requiere ajustes para funcionar Filtrado web in the cloud híbrido y control de IM y P2P que refuerza las políticas de uso de Internet Protección zero hour contra amenazas desconocidas en tiempo real VPN SSL e IPsec para acceso remoto Sin licencias por usuario Opciones de suscripción sencillas 65 TEMA 4 23 de febrero de 2012 Otra solución comercial es usar los productos de la marca Cyberoam Seguridad "todo en uno" Los sistemas UTM (Unified Threat Management) de Cyberoam ofrecen todo lo que necesita para hacer segura su red frente a Internet. La serie CR es una gama de productos de hardware muy fácil de implantar y administrar, con amplias prestaciones de seguridad para su red: Cortafuegos de tecnología avanzada. Sistema IDS (detección y prevención de intrusos). Anti-virus y anti-spyware para Internet y correo electrónico. Políticas de acceso a Internet. Filtrado de contenidos web. Control de aplicaciones, como Skype, eMule, etc. Gestión y control de ancho de banda. Gestión de múltiples conexionnes a Internet para mayor seguridad. VPN, para conexiones seguras entre oficinas y para usuarios remotos. Informes completos de gestión. Fácil implantación, configuración y administración, a través de un interfaz web. Políticas en torno al usuario Uno de los puntos diferenciadores de Cyberoam frente a otros sistemas UTM, es su sistema de gestión de políticas de seguridad basado en la identidad del usuario. Mientras que otros sistemas basan sus políticas en la dirección IP del usuario, Cyberoam identifica el usuario que está detrás del dispositivo. Esta tecnología otorga visibilidad completa sobre "quién está haciendo qué" en su red y permite aplicar políticas correctamente incluso en entornos en que se utiliza una asignación de IP dinámica, como redes DHCP y Wi-Fi. Como resultado, sus políticas de seguridad son más precisas y más fiables. 66 TEMA 4 23 de febrero de 2012 Otro producto puede ser el Rhino Box UTM Toda la Seguridad de su Empresa en un solo Appliance. El Rhino Box Appliance, es un Unified Threat Management (UTM) que simplifica la seguridad en la red, siendo muy robusto y ágil. Su interfaz grafica, ayuda al administrador de red a tomar decisiones sobre navegación y demás, en tiempo real. Este appliance esta diseñado para prestar funciones a nivel perimetral de Web Filter Lite, Filtro de Correo Basura (SPAM), Control de Protocolos, Bloqueo de Spyware, Bloqueo de Phishing (Robo de Identidad), Bloqueo de Virus, Prevención de Intrusos, Detección de Intrusos (Attack Blocker), Firewall, Adware Blocker, VPN Server/Client, Creación de Políticas, Networking, Acceso Remoto, Portal Cautivo, Reportes claros, Gráficos y Concisos entre otras aplicaciones. Su licenciamiento es igual de sencillo a su administración, no se pagan licencias adicionales si se requiere, solo se vende por capacidad requerida por el usuario con capacidad de crecimiento sin costo alguno! 67