Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Ingeniera Informtica
IMPLEMENTACIN DE UN FIREWALL UTILIZANDO UNA PC DE
ESCRITORIO CON LA SOLUCIN DE SOFTWARE LIBRE PFSENSE.
INTEGRANTES:
LUIS MOREL
DANTE PANE
ANAHI GALEANO
HECTOR VILLALBA
FABIAN CACERES
TURNO: Noche
ASUNCIN PARAGUAY
2015
AGRADECIMIENTO
Facultad de Ingeniera
DEDICATORIA
Facultad de Ingeniera
RESUMEN
En la actualidad se ha tratado en forma recurrente el tema generado por
la seguridad informtica, la cual se debe principalmente al aumento
desproporcionado de la demanda de usuarios que van aumentando da a da,
especialmente por parte de las industrias que se empean en buscar sobre
como satisfacer nuestras necesidades humanas, y facilitar las tareas cotidianas
a travs de la informtica. El aumento de la poblacin tambin contribuye en
este tema.
Poco a poco se han ido tomando las medidas que apuntan a una mejor
utilizacin de los recursos Informticos, mediante la aplicacin de polticas de
eficiencia, calidad y seguridad, las cuales se irn masificando gradualmente a
medida que el tiempo avance.
La utilizacin de sistemas de seguridad, como lo son los Firewalls, han
permitido disminuir el fcil acceso a personas no autorizadas a nuestros datos.
Actualmente es una alternativa que debe de estar presente sin falta en
nuestros ordenadores como en nuestra red, ya que es necesario contar con el
mismo para colocar una barrera que nos asegure que la informacin que
tenemos, se encuentra resguardada e integra.
En Paraguay el caso es distinto, porque los usuarios mismos muchas
veces desconocen a ese muro protector que protege lo que visualizan sus ojos.
El fin de este trabajo es dar a conocer al lector una solucin de software libre
denominada PFSENSE, en donde demostraremos como cualquier usuario
puede instalar en su propio domicilio un Firewall.
Facultad de Ingeniera
NDICE
Introduccin..06
1.1.
Tema.....07
1.2.
1.3.
Objetivo General.....07
1.4.
Objetivos Especficos.....07
1.5.
Viabilidad...07
1.6.
Consecuencias......07
1.7.
Justificacin.......08
Facultad de Ingeniera
3.1. Conclusiones...40
3.2. Bibliografa..41
Anexos
Facultad de Ingeniera
INTRODUCCIN
Un firewall es un software o hardware que comprueba la informacin
procedente de Internet o de una red y, a continuacin, bloquea o permite el
paso de sta al equipo, en funcin de la configuracin del firewall. Un firewall
puede ayudar a impedir que hackers o software malintencionado (como
gusanos) obtengan acceso al equipo a travs de una red o de Internet. Un
firewall tambin puede ayudar a impedir que el equipo enve software
malintencionado a otros equipos.
PfSense es una distribucin basada en FreeBSD, derivada de monowall.
Su objetivo es tener un cortafuego (firewall) fcilmente configurable a travs de
una interfaz web e instalable en cualquier PC. Se trata, por tanto, de una
solucin muy completa, de libre distribucin.
El cortafuego forma parte del Kernel del sistema. De hecho, se trata del
Packet Filter (PF) originario de OpenBSD, considerado como el sistema
operativo ms seguro del mundo.
Este trabajo va dirigido a todas las personas quienes desean conocer
acerca de cmo implementar un sistema de seguridad aplicado, ya que es una
nueva opcin de seguridad lista para ser utilizada tanto en una pequea red de
rea local.
El presente trabajo de investigacin esta ordenado en captulos, los cuales,
a su vez, se dividen en temas y subtemas para su mayor y mejor comprensin
de los lectores.
Facultad de Ingeniera
CAPITULO I
1.1 Tema:
Implementacin de un firewall utilizando una pc de escritorio con la
solucin de software libre PfSense.
1.5 Viabilidad
La investigacin es viable, ya que se dispone de los recursos
necesarios para dicha elaboracin.
1.6 Consecuencias
El equipo de investigacin cuidara cada detalle para que la informacin
recibida sea lo ms concreta posible as descartando posibles confusiones al
lector.
No se anticipa ningn efecto negativo ya sea desmeritando otras formas
de seguridad, en cambio, se pretende proporcionar informacin valiosa a las
personas ya que estaramos informando sobre una nueva alternativa de cambio
a lo habitual.
Facultad de Ingeniera
1.7 Justificacin
La informacin es un objeto que se ha convertido en algo con un valor
inmenso para la gente, para las empresas, para todos. Por esto es necesario
aprender lo mtodos de protegerla y salvaguardarla de alguna manera. Una de
las maneras ms conocidas de usurpacin, robo o saboteo de informacin es
mediante los ataques externos e internos hacia los servidores y equipos a
travs de las redes de cmputo.
Una forma de mitigar estos ataques es mediante la proteccin de un
equipo Firewall que se encargue de gestionar y controlar todas las conexiones
que se hagan desde y hacia la red interna del lugar que deseamos proteger.
Un Firewall es una de las mejores alternativas que poseemos para poder
proteger nuestras redes y para ellos debemos aprender los mtodos y los
diversos tipos de Firewall que se encuentra. Tambin es menester aprender sus
diversas topologas y lo ms importante es saber y entender la forma en que
los atacantes operan.
La proteccin de un Firewall es solamente una de los diversos mtodos
que se deben utilizar para proteger la informacin; la Seguridad de la
Informacin es un apartado muy extenso que compite y toca a los sistemas en
prcticamente todos sus flancos.
En este trabajo queremos enfocarnos y dedicarnos en el Tema de los
Firewall, prcticamente el Firewall se convierte en el Portero de nuestro edificio,
en el primer filtro y puerta que podemos controlar para evitar ataques.
Facultad de Ingeniera
CAPITULO II
MARCO REFERENCIAL
Marco Conceptual
Firewall:
Un cortafuegos (firewall) es una parte de un sistema o una red que est
diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo
comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para
permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la
base de un conjunto de normas y otros criterios.
Kernel:
En informtica, un ncleo o kernel (de la raz germnica Kern, ncleo,
hueso) es un software que constituye una parte fundamental del sistema
operativo, y se define como la parte que se ejecuta en modo privilegiado
(conocido tambin como modo ncleo). Es el principal responsable de facilitar a
los distintos programas acceso seguro al hardware de la computadora o en
forma bsica, es el encargado de gestionar recursos, a travs de servicios de
llamada al sistema.
Packet Filter:
PF (Packet Filter) es el filtro de paquetes o cortafuegos basado en
configuracin dinmica (stateful rules) escrito originalmente por Daniel
Hartmeier actualmente desarrollado y mantenido por el equipo de desarrollo de
OpenBSD. Es funcionalmente comparable a otras soluciones de filtrado de
paquetes, como iptables, ipfw e ipfilter.
Fue publicado a finales de 2001, en OpenBSD 3.0, como reemplazo de
IPFilter, el filtro de paquetes de Darren Reed, debido a algunos problemas con
la licencia de dicho software, ya que su autor tena que dar autorizacin a los
desarrolladores de OpenBSD para modificar el cdigo.
FreeBSD:
FreeBSD es un sistema operativo libre para computadoras basado en las
CPU de arquitectura Intel, incluyendo procesadores Intel 80386, Intel 80486
(versiones SX y DX), y Pentium. Tambin funciona en procesadores
Facultad de Ingeniera
Monowall:
M0n0wall es un incrustado firewall distribucin de FreeBSD, uno de los
BSD sistema operativo descendientes. Proporciona una imagen pequea que
se puede poner en la Compact Flash tarjetas, as como en los CD-ROM y
discos duros. Se ejecuta en varias plataformas integradas y PCs genricos. La
versin para PC se puede ejecutar con slo un Live CD y disquetes para
almacenar los datos de configuracin, o en una sola tarjeta Compact Flash (con
un IDE adaptador). Esto elimina la necesidad de un disco duro, lo que reduce
los niveles de ruido y calor.
OpenBSD:
OpenBSD es un sistema operativo libre tipo Unix multiplataforma, basado
en 4.4BSD. Es un descendiente de NetBSD, con un foco especial en la
seguridad y la criptografa.
Este sistema operativo se concentra en la portabilidad, cumplimiento de
normas y regulaciones, correccin, seguridad proactiva y criptografa integrada.
OpenBSD incluye emulacin de binarios para la mayora de los programas de
los sistemas SVR4 (Solaris), FreeBSD, Linux, BSD/OS, SunOS y HP-UX.
Facultad de Ingeniera
10
CAPITULO III
MARCO TERICO
Se entiende por seguridad informtica al conjunto de normas,
procedimientos y herramientas, que tienen como objetivo garantizar la
disponibilidad, integridad, confidencialidad y buen uso de la informacin que
reside en un sistema de informacin.
Cada da ms y ms personas mal intencionadas intentan tener acceso a
los datos de nuestros ordenadores.
El acceso no autorizado a una red informtica o a los equipos que en ella se
encuentran puede ocasionar en la gran mayora de los casos graves
problemas.
Uno de las posibles consecuencias de una intrusin es la prdida de
datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no
estamos al da de las copias de seguridad. Y aunque estemos al da, no
siempre es posible recuperar la totalidad de los datos.
Otro de los problemas ms dainos es el robo de informacin sensible y
confidencial. La divulgacin de la informacin que posee una empresa sobre
sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo
ms cercano a usted es el de nuestras contraseas de las cuentas de correo
por las que intercambiamos informacin con otros.
Con la constante evolucin de las computadoras es fundamental saber
que recursos necesitar para obtener seguridad en los sistemas de informacin.
La seguridad informtica es la disciplina que se Ocupa de disear las
normas, procedimientos, mtodos y tcnicas, orientados a proveer condiciones
seguras y confiables, para el procesamiento de datos en sistemas informticos,
consiste en asegurar que los recursos del sistema de informacin (material
informtico o programas) de una organizacin sean utilizados de la manera que
se decidi y que el acceso a la informacin all contenida, as como su
modificacin, slo sea posible a las personas que se encuentren acreditadas y
dentro de los lmites de su autorizacin.
Para lograr sus objetivos la seguridad informtica se fundamenta en tres
principios, que debe cumplir todo sistema informtico:
Facultad de Ingeniera
11
Confidencialidad
Se refiere a la privacidad de los elementos de informacin almacenados y
procesados en un sistema informtico, Basndose en este principio, las
herramientas de seguridad informtica deben proteger el sistema de invasiones
y accesos por parte de personas o programas no autorizados. Este principio es
particularmente importante en sistemas distribuidos, es decir, aquellos en los
que los usuarios, computadores y datos residen en localidades diferentes, pero
estn fsica y lgicamente interconectados.
Integridad
Se refiere a la validez y consistencia de los elementos de informacin
almacenados y procesador en un sistema informtico. Basndose en este
principio, las herramientas de seguridad informtica deben asegurar que los
procesos de actualizacin estn bien sincronizados y no se dupliquen, de forma
que todos los elementos del sistema manipulen adecuadamente los mismos
datos. Este principio es importante en sistemas descentralizados, es decir,
aquellos en los que diferentes usuarios, computadores y procesos comparten la
misma informacin.
Disponibilidad
Se refiere a la continuidad de acceso a los elementos de informacin
almacenados y procesados en un sistema informtico. Basndose en este
principio, las herramientas de seguridad informtica deber reforzar la
permanencia del sistema informtico, en condiciones de actividad adecuadas
para que los usuarios accedan a los datos con la frecuencia y dedicacin que
requieran, este principio es importante en sistemas informticos cuyos
compromiso con el usuario, es prestar servicio permanente.
Mecanismos de seguridad
Un mecanismo de seguridad informtica es una tcnica o herramienta que
se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad
de un sistema informtico.
Existen muchos y variados mecanismos de seguridad informtica. Su
seleccin depende del tipo de sistema, de su funcin y de los factores de riesgo
que lo amenazan.
Facultad de Ingeniera
12
Detectivos:
Actan antes de que un hecho ocurra y su funcin es revelar la presencia
de agentes no deseados en algn componente del sistema. Se caracterizan por
enviar un aviso y registrar la incidencia.
Correctivos:
Actan luego de ocurrido el hecho y su funcin es corregir la
consecuencias.
Segn un informe del ao 1991 del Congressional Research Service, las
computadoras tienen dos caractersticas inherentes que las dejan abiertas a
ataques o errores operativos
1.-Una computadora hace exactamente lo que est programada para hacer,
incluyendo la revelacin de informacin importante. Un sistema puede ser
reprogramado por cualquier persona que tenga los conocimientos adecuados.
2.-Cualquier computadora puede hacer slo aquello para lo que est
programada, no puede protegerse a s misma contra un mal funcionamiento o
un ataque deliberado a menos que este tipo de eventos haya sido previsto de
antemano y se hayan puesto medidas necesarias para evitarlos.
Historia
La palabra 'Cortafuegos' existe desde muchsimo antes de que existiesen
las redes de ordenadores. Es bastante clara en su definicin y su uso era para
describir una barrera de defensa, la cual prevena el paso del fuego de una a
otra zona. Para los que nos dedicamos a las redes de ordenadores un
cortafuegos es una aplicacin (que puede estar instalado en un equipo normal
o en un dispositivo hardware preparado) que est capacitado para bloquear los
paquetes de red no deseados. Los servicios del cortafuegos, como una barrera,
previenen la circulacin de esos paquetes desde Internet u otra red hacia una
red local.
Facultad de Ingeniera
13
Facultad de Ingeniera
14
Qu es un firewall?
Un firewall o cortafuegos es un dispositivo de hardware o un software que
nos permite gestionar y filtrar la totalidad de trafico entrante y saliente que hay
entre 2 redes u ordenadores de una misma red.
Si el trfico entrante o saliente cumple con una serie de Reglas que
nosotros podemos especificar, entonces el trfico podr acceder o salir de
nuestra red u ordenador sin restriccin alguna. En caso de no cumplir las reglas
el trfico entrante o saliente ser bloqueado.
Por lo tanto a partir de la definicin podemos asegurar que con un firewall
bien configurado podemos evitar intrusiones no deseadas en nuestra red y
ordenador as como tambin bloquear cierto tipo de trfico saliente de nuestro
ordenador o nuestra red.
Facultad de Ingeniera
15
16
Introduccin a PfSense.
PfSense es una distribucin basada en FreeBSD, derivada de monowall.
Su objetivo es tener un cortafuegos (firewall) fcilmente configurable a travs
de una interfaz web e instalable en cualquier PC, incluyendo los miniPC de una
sola tarjeta.
Se trata, por tanto, de una solucin muy completa, bajo licencia BSD y,
por tanto, de libre distribucin.
Facultad de Ingeniera
17
El cortafuego forma parte del Kernel del sistema. De hecho, se trata del
Packet Filter (PF) originario de OpenBSD, considerado com el sistema
operativo ms seguro del mundo.
Packet Filter (PF) est presente como estndar en FreeBSD desde
noviembre de 2004. Incluye funcionalidades como el regulador de caudal ALTQ,
que permite asignar prioridades por tipo de trfico.
Los desarrolladores de pfSense escogieron FreeBSD en lugar de
OpenBSD por su facilidad de instalacin en el mundo de lps PCs y porqu ya
exista BSD Installer, una versin muy, muy reducida de FreeBSD.
Todo ello da una gran flexibilidad a la solucin pfSense, ya que se puede
montar tanto en equipos miniPC (basados en una sola placa) que emplean
como disco una Compact Flash como en PC estndar con disco duro. En este
ltimo caso se pueden aadir paquetes como Snort, Squid, Radius, etc.
Facultad de Ingeniera
18
Caractersticas:
Firewall
State Table
VPN
Servidor DNS
Portal Cautivo
Servidor DHCP
Squid
Squid es un servidor proxy para web con cach. Es una de las
aplicaciones ms populares y de referencia para esta funcin, software libre
publicado bajo licencia GPL. Entre sus utilidades est la de mejorar el
rendimiento de las conexiones de empresas y particulares a Internet guardando
en cach peticiones recurrentes a servidores web y DNS, acelerar el acceso a
un servidor web determinado o aadir seguridad realizando filtrados de trfico.
Aunque orientado principalmente a HTTP y HTTPS soporta tambin otros
protocolos como FTP e incluso Gopher. Implementa cifradoSSL/TLS tanto en la
conexin al servidor web como a los navegadores y cualquier cliente web que
lo soporte.
Facultad de Ingeniera
19
Caractersticas
Proxy con cach de HTTP, FTP, y otros protocolos de Internet
Squid proporciona un servicio de proxy que soporta peticiones HTTP,
HTTPS y FTP a equipos que necesitan acceder a Internet y a su vez provee la
funcionalidad de cach especializado en el cual almacena de forma local las
pginas consultadas recientemente por los usuarios. De esta forma, incrementa
la rapidez de acceso a los servidores de informacin Web y FTP que se
encuentran fuera de la red interna.
Jerarquas de cach
Squid puede formar parte de una jerarqua de cachs. Diversos servidores
trabajan conjuntamente atendiendo las peticiones. Un navegador solicita
siempre las pginas a un solo proxy y si este no tiene la pgina en su cach
consulta a sus hermanos, que a su vez tambin podran consultar con sus
padres antes de finalmente ir al servidor web si fuera necesario. Estas
peticiones entre cachs se pueden hacer mediante dos protocolos: ICP y
HTCP.
Cach transparente
Squid se puede configurar para ser usado como proxy transparente
empleando un cortafuegos que intercepte y redirija las conexiones sin
configuracin por parte del cliente, e incluso sin que el propio usuario conozca
de su existencia.
Puerto 3128
De modo predefinido Squid utiliza el puerto 3128 para atender peticiones,
sin embargo se puede especificar que lo haga en cualquier otro puerto
disponible o bien que lo haga en varios puertos disponibles a la vez.
Facultad de Ingeniera
20
WCCP
A partir de la versin 2.3 Squid implementa WCCP (Web Cache Control
Protocol). Permite interceptar y redirigir el trfico que recibe un router hacia uno
o ms proxys cach, haciendo control de la conectividad de los mismos.
Adems permite que uno de los proxys cach designado pueda determinar
cmo distribuir el trfico redirigido a lo largo de todo el array de proxys cach.
Control de acceso
Ofrece la posibilidad de establecer reglas de control de acceso. Esto
permite establecer polticas de acceso en forma centralizada, simplificando la
administracin de una red.
Gestin de trfico
Permite categorizar el trfico y limitarlo de manera individual o agrupada
para conseguir un mejor aprovechamiento del ancho de banda disponible en la
conexin a Internet.
SNMP
Squid permite activar el protocolo SNMP que proporciona un mtodo
simple de administracin de red permitiendo supervisar, analizar y comunicar
informacin de estado entre una gran variedad de mquinas; permite detectar
problemas y proporcionar mensajes de estado.
21
Lista negra
Una lista negra "blacklists" en la computacin, es una lista de dominios,
URLso direcciones de IP que deben ser restringidas por contener
informaciones no adecuadas, en muchos casos por proveer Spam, Spyware,
Hacking, Porn, etc.
Portal Cautivo
Un portal cautivo es un programa o mquina de una red informtica que
vigila el trfico HTTP y fuerza a los usuarios a pasar por una pgina especial si
quieren navegar por Internet de forma normal.
El programa intercepta todo el trfico HTTP hasta que el usuario se
autentifica. El portal se encargar de hacer que esta sesin caduque al cabo de
un tiempo. Tambin puede empezar a controlar el ancho de banda usado por
cada cliente.
Se usan sobre todo en redes inalmbricas abiertas, donde interesa
mostrar un mensaje de bienvenida a los usuarios y para informar de las
condiciones del acceso (puertos permitidos, responsabilidad legal, etc.). Los
administradores suelen hacerlo para que sean los propios usuarios quienes se
responsabilicen de sus acciones, y as evitar problemas mayores. Se discute si
esta delegacin de responsabilidad es vlida legalmente.
Soporte y Desarrollo
Al poseer software de cdigo abierto, la comunidad de desarrolladores y
usuarios puede dar soporte y asistencia. BSD Perimeter ofrece soporte y
capacitacin a cambio de un costo. Cualquier persona es libre de modificar el
sistema a sus necesidades, e incluso vender sus derivaciones de pfSense (bajo
ciertas condiciones).
Facultad de Ingeniera
22
Instalacin de PfSense
A continuacin vamos a demostrar en 17 pasos secuenciales la forma en
que se instala PfSense en nuestro ordenador, explicado detalladamente de
manera a comprender el proceso de Instalacin y poder aplicarlo fcilmente en
nuestro domicilio.
Facultad de Ingeniera
23
Paso 02
24
Paso 03
25
Paso 04
Facultad de Ingeniera
26
Paso 05
Facultad de Ingeniera
27
Paso 06
Facultad de Ingeniera
28
Paso 07
Facultad de Ingeniera
29
Paso 08
Se comenzar el formateo del disco recordar que todos los datos que
tengamos grabados en esta unidad se perdern.
Facultad de Ingeniera
30
Paso 09
Facultad de Ingeniera
31
Paso 10
Facultad de Ingeniera
32
Paso 11
Facultad de Ingeniera
33
Paso 12
Facultad de Ingeniera
34
Paso 13
Nos pregunta en que particin vamos a instalar pero como en este caso solo
tenemos esta presionamos ENTER.
Facultad de Ingeniera
35
Paso 14
En este paso nos dice que la particin es primaria y que todo se borrara sin
forma de recuperar. Que si estamos seguros presionemos enter.
Facultad de Ingeniera
36
Paso 15
Paso 16
Facultad de Ingeniera
37
Paso 17
Solo queda reiniciar nuestro computador para poder deleitarnos de todos los
servicios que trae nuestro PfSense.
Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la
direccin IP de la tarjeta LAN que por defecto es 192.168.1.1
Luego nos pedir autenticarnos lo que realizamos con:
User: admin
Password: pfSense
Facultad de Ingeniera
38
Facultad de Ingeniera
39
CONCLUSIONES
El uso sistemas de seguridad alternativos, constituyen medidas que permiten
aliviar el uso de los sistemas convencionales, logrando con esto alcanzar una
cierta independencia, consiguiendo adems, aumentar el uso de softwares
libres.
Precisamente este trabajo va dirigido a los usuarios que necesiten de un control
tanto del acceso a sus datos, como el acceso a otros sitios siempre
resguardados de una barrera protectora que exilie a los usuarios
malintencionados.
No pretendemos dar por sentado que el uso de software libre relacionado con
el firewall sea la mejor opcin, como tampoco buscamos desmeritar a los
sistemas de proteccin de paga, lo que buscamos desde un principio fue
aportar informaciones y dar una conocer una herramienta que hasta el
momento ms de uno desconoca, quizs con el correr del tiempo vayamos
encontrando mejores opciones, o bien, vayamos actualizando las opciones con
las que ya contamos actualmente, pero estamos seguros que con la
informacin ofrecida vamos a ayudar a ms personas a comprender que
nuestros datos, siempre es importante mantenerlos seguros, debido a que
actualmente la manipulacin o el manejo inadecuado de nuestros datos nos
podra afectar bastante, siendo que vivimos en una era totalmente digital, en
camino hacia un futuro automatizado.
Facultad de Ingeniera
40
BIBLIOGRAFIA
http://www.openbsd.org/
http://www.cs.unm.edu/~treport/tr/02-12/firewall.pdf
http://www.openbsd.org/faq/pf/
http://www.benzedrine.ch/pf.html
http://www.freebsd.org/es/
http://www.freebsdsoftware.org/
http://web.archive.org/web/20110812224834/http://cronopios.net/Textos/freebsd
_un_secreto_bien_guardado.pdf
http://m0n0.ch/wall/index.php
http://sourceforge.net/projects/m0n0wall-cmi/
https://www.pfsense.org/
https://www.pfsense.org/get-support/
http://www.bellera.cat/josep/pfsense/installacio_cs.html
https://www.reddit.com/r/PFSENSE/
Facultad de Ingeniera
41
ANEXO
Facultad de Ingeniera
42