SUBSECRETARA DE EDUCACIN SUPERIOR

DIRECCIN GENERAL DE EDUCACIN SUPERIOR

TECNOLGICA

INSTITUTO TECNOLGICO DE OAXACA

INSTITUTO TECNOLGICO DE OAXACA

INFORME DE RESIDENCIA PROFESIONAL
19 DE FEBRERO DEL 2015
BUSTAMANTE ZURITA ARTURO IGNACIO
10160548
Carretera Internacional 12-A col. Centro. San Pablo
Villa de Mitla, Oaxaca de Jurez Oax.
ING. ELECTRNICA
PERIODO:
FECHA DE INICIO: 3 DE FEBRERO 2015
FECHA DE TERMINACION: 5 DE JUNIO 2015
EMPRESA:
SPECTRA SISTEMAS ELECTRNICOS DE OAXACA S.A. DE C.V.
AVENIDA MORELOS NO. 1308, COLONIA CENTRO, OAXACA DE JUREZ, OAX.
PROYECTO:

DISEO E IMPLEMENTACIN DE UN SERVIDOR DE SEGURIDAD PERIMETRAL

BASADO EN OPEN SOURCE

REVISO Y APROBO
_____________________________
NOMBRE Y FIRMA DEL ASESOR INTERNO

INDICE GENERAL

INDICE GENERAL................................................................................................. 2
INTRODUCCIN................................................................................................... 3
JUSTIFICACIN.................................................................................................... 4
OBJETIVOS GENERALES Y ESPECIFICOS.............................................................4
CARACTERIZACION DEL AREA EN QUE PARTICIPO...............................................4
PROBLEMAS A RESOLVER, PRIORIZANDOLOS......................................................5
ALCANCES Y LIMITACIONES................................................................................. 5
FUNDAMENTO TEORICO...................................................................................... 6
Requisito de instalacin.................................................................................... 6
Arquitectura pfsence............................................................................................ 6
Requisitos mnimos de hardware...........................................................................6
Requisitos generales:.......................................................................................... 6
Rendimiento requerido......................................................................................... 7
Seleccin de tarjetas de red.................................................................................. 7
Seleccin CPU.................................................................................................. 8
Caracterstica Consideraciones............................................................................. 9
Proveedores de hardware recomendados...............................................................9
Tipos de Tecnologas....................................................................................... 10
1. Iptables..................................................................................................... 11
2. IPCop Firewall............................................................................................. 11
3. Shorewall................................................................................................... 12
4. UFW - Firewall sin complicaciones....................................................................12
5. Vuurmuur................................................................................................... 13
6. pfSense..................................................................................................... 13
7. IPFire........................................................................................................ 13
8. SmoothWall y SmoothWall expreso...................................................................14
9. Endian....................................................................................................... 14
10. ConfigServer Seguridad............................................................................... 15
Pero porque elegir Pfsence BCD?..................................................................16
PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS...............17
RESULTADOS, PLANOS, GRAFICAS, PROTOTIPOS Y PROGRAMAS......................17

CONCLUSIONES Y RECOMENDACIONES............................................................17
REFERENCIAS BIBLIOGRAFICA..........................................................................17

INTRODUCCIN

JUSTIFICACIN

El residente pondr a prueba sus conocimientos y su capacidad de aprendizaje

para poder seleccionar las tecnologas adecuadas para el desarrollo del servidor
montando sobre ello herramientas basadas en open Source. Con ello el residente
podr reforzar su capacidad para el anlisis de requerimientos necesarios y la
solucin de problemas en el proyecto que se realiza durante la estancia
profesional. La empresa contar con un nuevo sistema que podr implementar en
el campo o en la misma, con la facilidad de Monitorear la red las 24 hrs, a travs
del servidor.

OBJETIVOS GENERALES Y ESPECIFICOS

Implementar un servidor de seguridad perimetral basado en open Source.

Instalar herramientas open Source

Configurar el servidor
Implementar y probar el desempeo del servidor

CARACTERIZACION DEL AREA EN QUE PARTICIPO

PROBLEMAS A RESOLVER, PRIORIZANDOLOS

Las organizaciones en la actualidad se enfrentan a mltiples amenazas, muchas
de ellas causadas por una sofisticacin tecnolgica y complejidad en los
requerimientos de acceso y gestin de la informacin que pueden llegar a ser
explotados por diversas vulnerabilidades, por lo que se da la oportunidad de crear
un servidor de seguridad perimetral para evitar ataques desde el exterior de la red.

ALCANCES Y LIMITACIONES

Para la realizacin de este proyecto considero que no tendr ninguna restriccin

para el alcance del objetivo.

FUNDAMENTO TEORICO

Requisito de instalacin
Como requisito fundamental es que cuando arranquemos el equipo, nos va a pedir
como mnimo 2 placas de red, una WAN y otra LAN, en la configuracin podemos
setear los parmetros de nuestro servidor DHCP LAN.

Arquitectura pfsence
Starting with pfSense 2.0, there are versions for both i386 (32-bit) and amd64 (64bit) architectures. This architecture is noted in each of the filenames for download.
The amd64 architecture (which does work even on Intel 64-bit CPUs) can address

more memory and may have other performance advantages, but requires a
compatible CPU. If you have a 64-bit capable CPU, use the amd64 version.

Requisitos mnimos de hardware

A continuacin se describen los requisitos mnimos de hardware para pfSense 2.x.
Tenga en cuenta los requisitos mnimos no son adecuados para todos los
entornos, consulte el Hardware Guidlines Dimensionamiento para ms
informacin. Usted puede ser capaz de llegar a funcionar con menos del mnimo,
pero con menos memoria puede comenzar a intercambiar en el disco, lo que
retrasar dramticamente su sistema.

Requisitos generales:
CPU - Pentium II
RAM - 256 MB
Requisitos especficos para las plataformas individuales:

Live CD
Unidad de CD-ROM
Unidad flash USB o una unidad de disco flexible para mantener el archivo de
configuracin
Instalacin de disco duro
CD-ROM para la instalacin inicial
Disco duro de 1 GB
Embedded
Tarjeta de 1 GB Compact Flash
Puerto serie para la consola
Hardware Orientacin Dimensionamiento

Al dimensionar el hardware para poner el software en pfSense, dos factores

principales deben ser considerados.

Rendimiento requerido
Caractersticas de software pfSense utilizados
Consideraciones de rendimiento

Las siguientes directrices se basan en nuestra amplia experiencia en pruebas y

despliegue. Estas directrices son muy conservadores para la mayora de los
ambientes.

Seleccin de tarjetas de red

La seleccin de tarjetas de red (NIC) es a menudo el factor de rendimiento ms
importante en su configuracin. NIC de bajo costo puede saturar su CPU con
manejo de interrupciones, causando paquetes perdidos y su CPU para ser el
cuello de botella. Una calidad NIC puede aumentar sustancialmente el rendimiento
del sistema. Al utilizar el software pfSense para proteger su red o mltiples
segmento segmentos LAN inalmbricas, el rendimiento entre las interfaces vuelve
ms importante que el rendimiento de la interfaz WAN (s).

NIC basados en chipsets Intel tienden a ser el mejor rendimiento y ms fiable

cuando se utiliza con el software pfSense. En comparacin chipsets Realtek
realizan bastante mal. Por ello, recomendamos fuertemente la compra de tarjetas
de Intel, o sistemas con una funcin de NIC Intel hasta 1Gbps. Por encima de 1
Gbps, otros factores, y otros proveedores de NIC dominan el rendimiento.

Seleccin CPU
Los nmeros indicados en las secciones siguientes se pueden aumentar
ligeramente para los NICs de calidad, y la disminucin (posiblemente
sustancialmente) con NICs de baja calidad. Todos los siguientes nmeros tambin
asumen no se instalan los paquetes.

10-20 Mbps

Recomendamos un moderno (menos de 4 aos de edad) de Intel o AMD CPU

velocidad de reloj de al menos 500 MHz.
21-100 Mbps
Recomendamos un moderno 1.0 GHz Intel o AMD CPU
101-500 Mbps
Hardware tipo servidor con adaptadores de red PCI-e, o hardware de escritorio
ms reciente con los adaptadores de red PCI-e. Nada menos que un moderno
CPU Intel o AMD velocidad de reloj de 2,0 GHz.
501+ Mbps
Hardware tipo servidor con adaptadores de red PCI-e. Se requieren mltiples
ncleos a> 2.0GHz.
Recuerde que si usted desea utilizar su instalacin pfSense para proteger su red
inalmbrica, o mltiples segmento segmentos de LAN, el rendimiento entre las
interfaces debe ser tenido en cuenta. En entornos donde se requiere un
rendimiento extremadamente alto a travs de varias interfaces, especialmente con
interfaces Gigabit, velocidad del bus PCI debe tenerse en cuenta. Al utilizar
mltiples interfaces en el mismo sistema, el ancho de banda del bus PCI puede
convertirse fcilmente en un cuello de botella.

Caracterstica Consideraciones
La mayora de las caractersticas no tener en cuenta en el hardware utilizado,
aunque algunos tendrn un impacto significativo en la utilizacin del hardware:
VPN - El uso intensivo de cualquiera de los servicios VPN incluido en el software
pfSense aumentar los requisitos de CPU. Cifrar y descifrar el trfico es la CPU. El
nmero de conexiones es mucho menos de una preocupacin que el rendimiento
requerido. Aceleracin AES-NI de IPsec reduce significativamente los requisitos de
CPU en las plataformas que lo soportan.

Portal Cautivo - Mientras que la principal preocupacin es por lo general el

rendimiento, entornos con cientos de usuarios del portal cautivo simultneas (de

los cuales hay muchos) se requiere un poco ms de energa de la CPU de lo

recomendado anteriormente.

Las grandes tablas de estado - entradas de la tabla del estado requieren alrededor
de 1 KB de RAM cada uno. El tamao de la tabla de estado por defecto se calcula
sobre la base de 10% de la RAM disponible en el servidor de seguridad. Por
ejemplo, un servidor de seguridad con 1 GB de RAM por defecto a 100 mil estados
que cuando est llena usara unos 100 MB de RAM. Para grandes entornos que
requieren tablas de estado con cientos de miles de conexiones, o millones de
conexiones, asegrese de RAM adecuada est disponible.

Paquetes - Algunos de los paquetes aumentan significativamente los requisitos de

RAM. Snort y ntop son dos que no debe ser instalado en un sistema con menos de
1 GB de RAM.

Proveedores de hardware recomendados

Las siguientes compaas venden el hardware que los desarrolladores utilizan.
Esto significa la compra de estos proveedores asegura que el dispositivo se
prueba a fondo, y si los problemas de compatibilidad vienen en versiones futuras
que probablemente conseguir fijo ms rpidamente.

Adems de los beneficios de hardware probado bien, es importante para nuestra

comunidad de usuarios para apoyar a las empresas que mantienen a este
proyecto en marcha. Varios revendedores de hardware han hecho contribuciones
muy necesarios de hardware y dinero para ayudar a nuestros esfuerzos de
desarrollo, financiar caractersticas especficas, y cubrir los dems gastos de la
ejecucin de este proyecto durante los ltimos 9 aos.

Sistemas de cortafuegos vendedor de pfSense base, principal soporte financiero

del proyecto pfSense - Netgate.

Hacom - Vendedor de una variedad de hardware firewall.

www.OsNet.eu - Reseller francesa de tableros de Alix y electrodomsticos de alta

gama, documentacin y servicios de consultora.

Hardware CompatibilityList

pfSense 2.2 se basa en FreeBSD 10.1, y comparte su lista de compatibilidad de

hardware. El kernelpfSense incluye todos los conductores de FreeBSD.

FreeBSD

10.1

Hardware

CompatibilityList

Tipos de Tecnologas
Hay docenas de aplicaciones de firewall de cdigo abierto disponibles para su
descarga en internet. Aqu en este avance le hare un listado de los que
actualmente existen, se han encontrado hasta con 10 servidores de seguridad de
cdigo abierto ms populares que podran ser muy tiles para seleccionar uno que
se adapte a tus necesidades del cliente o bien de la empresa.

1. Iptables
Iptables / Netfilter es el ms popular firewall basado en la lnea de comandos. Es
la primera lnea de defensa de la seguridad del servidor Linux. Muchos
administradores de sistemas lo utilizan para el ajuste fino de sus servidores. Filtra
los paquetes en la pila de red dentro del propio ncleo. Puede encontrar una
descripcin ms detallada de Iptables aqu.

Caractersticas de IPtables

En l se enumeran los contenidos del conjunto de reglas de filtrado de

paquetes.

Es rpido relmpago porque inspecciona slo los encabezados de los

paquetes.

Puede Aadir / Eliminar / Modificar reglas de acuerdo a sus necesidades en

los conjuntos de reglas de filtrado de paquetes.

Aadir / puesta a cero contadores de cada regla de los conjuntos de reglas

de filtrado de paquetes.

Soporta copia de seguridad y restauracin con los archivos.

2. IPCop Firewall
IPCop es una distribucin de servidor de seguridad de cdigo abierto Linux,
equipo IPCop est trabajando continuamente para ofrecer un estable, ms seguro,
el usuario del sistema de gestin de Firewall amable y altamente configurable a
sus usuarios. IPCop proporciona una interfaz web bien diseada para administrar
el servidor de seguridad. Es muy til y bueno para las pequeas empresas y los
PC locales.
Puede configurar un PC antiguo como una VPN segura de proporcionar un
entorno seguro en internet. Tambin se mantiene un poco de informacin que se
utiliza con frecuencia para ofrecer una mejor experiencia de navegacin web a sus
usuarios.

Caractersticas de Firewall IPCop

Su interfaz web de cdigo de colores le permite controlar los grficos de

rendimiento de CPU, memoria y disco, as como el rendimiento de red.

Se ve y rotacin automtica de registros.

Apoyar Soporte para mltiples idiomas.

Proporciona muy seguro actualizacin estable y de fcil implementacin y
aadir parches.

3. Shorewall
Shorewall o Shoreline Firewall es otro servidor de seguridad de cdigo abierto muy
popular especializado para GNU / Linux. Est construido sobre el sistema Netfilter
integrado en el kernel de Linux que tambin es compatible con IPv6.

Caracterstica de Shorewall

Utiliza las instalaciones de seguimiento de conexiones de Netfilter para el

filtrado de paquetes de estado.

Soporta una amplia gama de aplicaciones de routers / cortafuegos / puerta

de enlace.

Administracin del cortafuegos centralizado.

Una interfaz grfica de usuario con el panel de control de Webmin.
Apoyo ISP mltiple.
Soporta enmascaramiento y reenvo de puertos.
Soporta VPN

4. UFW - Firewall sin complicaciones

UFW es la herramienta de servidor de seguridad predeterminada para los
servidores de Ubuntu, que est bsicamente diseado para menor la complejidad
del firewall iptables y hace que sea ms fcil de usar. Una interfaz grfica de
usuario de la UFW, Gufw tambin est disponible para los usuarios de Ubuntu y
Debian.

Caractersticas de la UFW

5.

Soporta IPV6
Extended Opciones de registro con On instalacin / Off
Supervisin del estado
Marco Extensible
Puede ser integrado con las aplicaciones
Aadir / Eliminar / Modificar reglas de acuerdo a sus necesidades.

Vuurmuur

Vuurmuur es otro potente gestor de firewall de Linux incorporado o es propietario

de reglas de iptables para su servidor o red. Al mismo tiempo es muy fcil de usar
para administrar, no hay iptables previos conocimientos de trabajo necesarios para
utilizar Vuurmuur.

Caractersticas de Vuurmuur

Soporte IPv6
La asignacin de trfico
Ms funciones de vigilancia avanzadas
Conexin de monitoreo en tiempo real y el uso de ancho de banda
Se puede configurar fcilmente con NAT.
Tienen caractersticas anti-spoofing.

6.

pfSense

pfSense es otro de cdigo abierto y un firewall muy fiable para los servidores de
FreeBSD. Su basado en el concepto de filtrado de estado de paquetes. Ofrece
amplias gamas de caracterstica que normalmente est disponible en slo firewalls
comerciales caros.

Caractersticas de pfSense

Altamente configurable y actualizado de su Web - interfaz basada.

Se puede desplegar como un servidor de seguridad perimetral, router,

DHCP y DNS.

Configurado como punto de acceso inalmbrico y un punto final de VPN.

La asignacin de trfico y la informacin en tiempo real sobre el servidor.

Balanceo de carga entrante y saliente.

7. IPFire
IPFire es otro de los firewalls basados cdigo abierto Linux para Small Office,
Home Office (SOHO) entornos. Su diseado con modularidad y altamente
flexibilidad. Comunidad IPFire tambin se hizo cargo de la Seguridad y la
desarroll como un StatefulPacketInspection (SPI).

Caractersticas de IPFire

Puede ser desplegado como un firewall, un servidor proxy o una puerta de

enlace VPN.
El filtrado de contenidos

Incorporado sistema de deteccin de intrusiones

Soporta travs Wiki, foros y chats

Hipervisores de apoyo como KVM, VMware y Xen para entornos de

virtualizacin

8. SmoothWall y SmoothWall expreso

SmoothWall es un servidor de seguridad de cdigo abierto Linux con una interfaz

basada en Web altamente configurable. Su interfaz basada en la Web es conocida
como WAM (gerente Web Access). Una versin libre distribucin de SmoothWall
se conoce como SmoothWall Express.

Caractersticas de SmoothWall

Soporta LAN, DMZ, y redes inalmbricas, ms externa.

Filtrado de contenido real Tiempo

El filtrado HTTPS

Proxies de Apoyo

Entrar visualizacin y la actividad del firewall del monitor

Trfico Estadsticas gestin en por IP, la interfaz y base visita

Facilidad de copia de seguridad y restauracin similares.

9. Endian
Endian Firewall es otro firewall StatefulInspection concepto de paquetes basado
que puede ser desplegado como routers, delegacin y puerta de enlace VPN con
OpenVPN. Su originalmente desarrollado a partir de cortafuegos IPCop que
tambin es un tenedor de Smoothwall.

Caractersticas de Endian

Firewall bidireccional

Prevencin de intrusiones Snort

Puede asegurar servidor web con HTTP y FTP proxy, antivirus y URL lista

negra.
Puede proteger los servidores de correo con SMTP y POP3 proxies, spam

Auto-aprendizaje, lista gris.

VPN con IPSec

Registro de trfico de red en tiempo real

10. ConfigServer Seguridad

Por ltimo, pero no el ltimo de seguridad y cortafuegos ConfigServer. Es una
plataforma cruzada y un cortafuegos muy verstil, tambin se basa en el concepto
de inspeccin de estado de paquetes (SPI). Es compatible con casi todos los

entornos de virtualizacin como Virtuozzo, OpenVZ, VMware, Xen, KVM y

VirtualBox.

Caractersticas de CSF
Su proceso demonio LFD (Entrar demonio fracaso) comprueba inicio de

sesin fracasos de servidores sensibles como ssh, SMTP, Exim, IMAP,

Pure&ProFTP, vsftpd, Suhosin y fracasos mod_security.

Puede configurar alertas de correo electrnico para notificar si algo sale

inusual o detectar cualquier tipo de intrusin en su servidor.

Puede ser fcilmente integrado paneles de control de alojamiento web

populares como cPanel, DirectAdmin y Webmin.

Notifica usuario recurso excesivo y proceso sospechoso a travs de alertas

de correo electrnico.
Avanzado sistema de deteccin de intrusiones.
Puede proteger su mquina Linux con los ataques como Syn inundaciones

y ping de la muerte.
Comprueba la existencia de exploits
Fcil de inicio / reinicio / parada y mucho ms

Aparte de estos servidores de seguridad hay muchos otros servidores de

seguridad como Sphirewall, Checkpoint, ClearOS, Monowall disponibles en la
web.

Pero porque elegir Pfsence BCD?

La interfaz web es amigable para el usuario permitiendo mejor el uso este y tiene
muchas funcionalidades tales como fw/router entre otras que explicaremos mas
adelante.

Fcil configuracin

Potente y robusto firewall

Bloqueo de pginas web

Balanceo de ancho de banda

Mnimos requerimientos

Escalabilidad

Gratuito

Innovador

Caractersticas sobresalientes que ningn otro firewall provee.

PROCEDIMIENTO Y DESCRIPCION DE LAS ACTIVIDADES REALIZADAS

RESULTADOS, PLANOS, GRAFICAS, PROTOTIPOS Y PROGRAMAS
CONCLUSIONES Y RECOMENDACIONES
REFERENCIAS BIBLIOGRAFICA