Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
REDES DE COMPUTADORAS Y
COMUNICACIÓN DE DATOS
MANUAL DE APRENDIZAJE
SEGURIDAD DE REDES II
CÓDIGO: 89001738
Profesional Técnico
SEGURIDAD DE REDES II
ÍNDICE
TAREA
CONTENIDO N° PÁG.
N°
I. ENTENDER LA IMPORTANCIA DE LA SEGURIDAD EN LA EMPRESA 5
ENTENDER LAS NORMAS Y ESTÁNDARES INTERNACIONALES SOBRE LA
II. 44
SEGURIDAD DE LA INFORMACIÓN.
III. RECONOCER LOS DIFERENTES TIPOS DE FIREWALL PARA LAS EMPRESAS. 56
REALIZAR UNA DESCRIPCIÓN GENERAL DE LOS PRODUCTOS FIREWALL
IV. 88
DE MICROSOFT E INSTALAR LOS MÁS UTILIZADOS.
OPERACIONES:
- Evaluar el nivel de seguridad de la red de datos en una empresa.
- Presentar un informe detallado de los problemas de seguridad encontrados
en la red de datos de la empresa.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows.
- Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows Server 2008 o Windows Server 2012).
o Servidor Linux (Centos, Debian o algún otro).
- Software de simulación de redes.
- Software de virtualización de equipos.
2. Análisis de vulnerabilidad:
BBQSQL GSD Powerfuzzer
BED HexorBase sfuzz
cisco-auditing- Inguma SidGuesser
tool
jSQL SIPArmyKnife
cisco-global-
Lynis sqlmap
exploiter
Nmap Sqlninja
cisco-ocs
ohrwurm sqlsus
cisco-torch
openvas- THC-IPV6
copy-router-
administrator
config tnscmd10g
openvas-cli
DBPwAudit unix-privesc-
openvas- check
Doona
manager
Yersinia
DotDotPwn
openvas-
Greenbone scanner
Security
Oscanner
Assistant
4. Aplicaciones WEB:
apache-users joomscan ua-tester
Arachni jSQL Uniscan
BBQSQL Maltego Teeth Vega
BlindElephant PadBuster w3af
Burp Suite Paros WebScarab
CutyCapt Parsero Webshag
DAVTest plecost WebSlayer
deblaze Powerfuzzer WebSploit
DIRB ProxyStrike Wfuzz
DirBuster Recon-ng WPScan
fimap Skipfish XSSer
FunkLoad sqlmap zaproxy
Grabber Sqlninja
jboss-autopwn sqlsus
5. Herramientas de explotación:
Armitage cisco-ocs SET
Backdoor cisco-torch ShellNoob
Factory Commix sqlmap
BeEF crackle THC-IPV6
cisco-auditing- jboss-autopwn Yersinia
tool
Linux Exploit
cisco-global- Suggester
exploiter
Maltego Teeth
ddrescue
DFF
diStorm3
Dumpzilla
extundelete
Foremost
Galleta
Guymager
iPhone Backup
Analyzer
p0f
pdf-parser
pdfid
pdgmail
peepdf
RegRipper
Volatility
Xplico
Nmap es un programa de
código abierto que es
utilizado para efectuar
rastreo de puertos en un
servidor.
Donde:
El objetivo puede ser indicado por nombres de dominio, direcciones IP, redes,
etc.
Las opciones más básicas se encuentran en el siguiente cuadro:
ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 10
SEGURIDAD DE REDES II
Opción Acción
Instalación de Kali:
Kali Linux puede ser instalado como cualquier distribución GNU/Linux, puede
ser también instalado en una unidad USB, o instalado en un disco cifrado.
Para realizar la instalación de esta distribución, tenga presente los siguientes
pasos:
1. Descargue el archivo ISO de la dirección:
http://www.kali.org/downloads/
Al crear la máquina
virtual, indicará que
luego instalará el sistema
operativo.
Indicará la cantidad de
memoria en la máquina
virtual.
Seleccionará el idioma en
el que se instalará Kali.
15. Aparecerá una advertencia con respecto al uso del idioma, hacer clic en
“Continuar”:
20. Primero ingresará la dirección IP, con la máscara, por ejemplo en este caso
colocará la dirección: 192.168.1.20/24:
22. Ahora debe ingresar las direcciones IP de los servidores DNS de la red de
datos:
Se creará la tabla de
particionamiento, la cual en este
caso tendrá tres particiones.
Desde el menú de
aplicaciones podrá
apreciar los diversos
programas que se
incluyeron en la
instalación.
5. Contraseña: msfadmin.
Podrá verificar la
configuración de red
ingresada en el sistema
durante la instalación:
Con la configuración:
auto eth0
iface eth0 inet static
address 192.168.1.40
netmask 255.255.255.0
gateway 192.168.1.1
Use exploit/unix/ftp/vsftpd_234_backdoor
Y también: show options:
22. Se nos indica en las opciones, que RHOST es requerido, para ello utilizará
el siguiente comando: Set RHOST 192.168.1.40
24. Ahora, ingrese el comando ls y podrá listar los directorios del servidor FTP
e ingresar luego a alguno de ellos y hasta borrar datos o modificarlos:
FUNDAMENTO TEÓRICO:
Evaluar el nivel de seguridad de la red de datos en una empresa.
Existen diferentes puntos vulnerables en una red de datos, lo cual dependerá
de los servicios que se presten a los usuarios.
En este sentido aparece el concepto de “superficie de ataque del sistema” que
es el subconjunto de los recursos del sistema que un atacante puede utilizar
para perpetrar el ataque. Un atacante puede utilizar los puntos de entrada, los
El ping de la muerte.
En este tipo de ataque, el atacante envía una solicitud de eco utilizando el
comando “ping”, pero el paquete IP es más grande que el tamaño de
paquete máximo de 65535 bytes, el hacer esto puede hacer colapsar la
computadora objetivo.
Ataque Smurf.
En este tipo de ataque, el hacker envía un gran número de solicitudes
ICMP a direcciones de difusión (broadcast), todas estas solicitudes se
hacen con direcciones de origen falsificadas de la misma red en la que se
encuentra la computadora de la víctima. Si el dispositivo de
comunicaciones envía el tráfico a esas direcciones de broadcast, todos
Inundación TCP/SYN.
En este tipo de ataque, se envía una inundación de paquetes SYN TCP,
comúnmente con una dirección de origen falsa. Cada paquete se asume
como una solicitud de conexión, causando que el servidor genere una
conexión a medio abrir devolviendo un paquete SYN-ACK TCP y
esperando un paquete de respuesta de la dirección del remitente que se
supone que hizo la solicitud. Sin embargo, como la dirección origen de la
solicitud es falsa, la respuesta nunca llega. Estas conexiones que se
quedan a medio abrir saturan el número de conexiones disponibles que el
servidor puede atender, haciendo que este no pueda responder a
solicitudes reales hasta que el ataque haya terminado.
- Con respecto a las buenas prácticas en las empresas para contribuir con la
seguridad de la información, se pueden rescatar las siguientes
procedimientos:
o Copias de seguridad, siendo el lugar donde se guardan comúnmente
estas copias, en soporte físico (CDs, DVDs, etc.) en la propia empresa.
o Actualización de programas y sistemas, siendo la actualización
automática la más utilizada.
o Medidas de control de acceso a equipos y documentos, utilizando acceso
por contraseñas y mediante otros sistemas (DNI electrónico, tarjeta
inteligentes, biometría, etc.).
o Buenas prácticas en dispositivos móviles.
o Buenas prácticas para los empleados, de tal forma que el acceso a ciertos
contenidos está limitado con una herramienta de filtrado, está prohibido el
uso de Internet para uso personal (redes sociales, correo personal,
prensa, etc.).
- Las razones por las cuales las empresas no han contemplado previsiones en
caso de situaciones que afecten al negocio son diversas, siendo las más
comunes:
https://www.youtube.com/watch?v=KiuTyXehW-8
https://www.youtube.com/watch?v=lbHg84vi4uM
https://www.youtube.com/watch?v=zV2sfyvfqik
OPERACIONES:
- Entender la importancia de la aplicación de la familia de normas ISO/IEC
27000.
- Entender los Roles del Oficial de seguridad.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows.
- Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008).
o Servidor Linux (Centos, Debian o algún otro).
- Software de simulación de redes.
- Software de captura de paquetes.
ORDEN DE EJECUCIÓN:
- Realizar políticas de seguridad con respecto al uso de dispositivos
extraíbles, unidades de disco y dispositivos móviles.
OPERACIONES:
El paticipante detectará los diversos problemas que se presentan en la
empresa donde se encuentra realizando la complementación de sus estudios
prácticos en el ámbito de la seguridad.
FUNDAMENTO TEORICO
ISO/IEC 27000:
Esta norma fue publicada el 1 de Mayo de 2009, luego fue revisada el 01 de
Diciembre de 2012 y se implementó una tercera edición el 14 de Enero de
2014. Esta norma brinda una visión general de las normas que componen la
serie 27000, indicando para cada una de ellas su ámbito y el objetivo de su
publicación. Nos ayuda a entender el por qué de la implantación de un SGSI,
así como su establecimiento, monitorización, mantenimiento y mejora.
ISO/IEC 27001:
Esta norma fue publicada el 15 de Octubre de 2005 y revisada el 25 de
Septiembre de 2013. Esta norma es la más importante de la familia ISO 27000
e incluye los requisitos del sistema de gestión de seguridad de la información.
Es la norma que se utiliza para certificar a los auditores externos de los SGSIs
de las organizaciones.
ISO/IEC 27002:
ISO/IEC 27009:
Se encuentra en proceso de desarrollo. Es una norma no certificable. Es una
guía sobre el uso y aplicación de los principios de ISO/IEC 27001 tomando en
cuenta el sector de servicios específicos.
ISO/IEC 27010:
Esta norma fue publicada el 20 de Octubre de 2012. Consiste en una guía
para la gestión de la seguridad de la información cuando se comparte entre
organizaciones o sectores. Esta norma es aplicable a todas las formas de
intercambio y difusión de información sensible, tanto en organizaciones
públicas como privadas, a nivel nacional e internacional.
ISO/IEC 27011:
Esta norma fue publicada el 15 de Diciembre de 2008. Es una guía de
interpretación de la implementación y gestión de la seguridad de la información
en organizaciones del sector de telecomunicaciones basada en la norma
ISO/IEC 27002:2005.
ISO/IEC 27013:
Esta norma fue publicada el 15 de Octubre de 2012. Es una guía de
implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la
información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:
Esta norma fue publicada el 23 de Abril de 2013. Es una guía de gobierno
corporativo de la seguridad de la información.
ISO/IEC TR 27015:
Esta norma fue publicada el 23 de Noviembre de 2012. Es una guía de SGSI
orientada a organizaciones del sector financiero y de seguros.
ISO/IEC TR 27016:
Esta norma fue publicada el 20 de Febrero de 2014. Es una guía de valoración
de los aspectos financieros de la seguridad de la información aplicada en las
organizaciones.
ISO/IEC TS 27017:
Se espera que su publicación se realice próximamente. Consistirá en una guía
de seguridad para el nuevo servicio Cloud Computing.
ISO/IEC 27018:
Se publicó el 29 de Julio de 2014. Es un conjunto de buenas prácticas en
protección de datos para servicios de computación en cloud computing.
ISO/IEC TR 27019:
Esta norma fue publicada el 17 de Julio de 2013. Es una guía que hace
referencia a la norma ISO/IEC 27002:2005 para el proceso de sistemas de
control específicos relacionados con el sector de la industria de la energía.
ISO/IEC 27031:
Norma publicada el 01 de Marzo de 2011. No es una norma certificable. Es una
guía de apoyo para la adecuación de las TICs de una organización para lograr
la continuidad del negocio.
ISO/IEC 27032:
Esta norma fue publicada el 16 de Julio de 2012. Facilita orientación para la
mejora del nivel de seguridad cibernética, mostrando los aspectos únicos de
esa actividad y de sus dependencias en otros ámbitos de seguridad,
concretamente: Información de seguridad, seguridad de las redes, seguridad
en Internet e información de protección de infraestructuras críticas.
ISO/IEC 27033:
Aún se encuentra en desarrollo. Esta norma está dedicada a la seguridad en
redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2,
directrices de diseño e implementación de seguridad en redes; 27033-3,
escenarios de referencia de redes; 27033-4, aseguramiento de las
comunicaciones entre redes mediante gateways de seguridad; 27033-5,
aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP;
27033-7, redes inalámbricas.
ISO/IEC 27034:
Se encuentra en proceso. Esta norma está dedicada a la seguridad en
aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos
generales; 27034-2, marco normativo de la organización; 27034-3, proceso de
gestión de seguridad en aplicaciones; 27034-4, validación de la seguridad en
aplicaciones; 27034-5, estructura de datos y protocolos y controles de
seguridad de aplicaciones; 27034-6, guía de seguridad para aplicaciones de
uso específico.
ISO/IEC 27035:
Esta norma ha sido publicada el 17 de Agosto de 2011. Facilita una guía sobre
la gestión de incidentes de seguridad en la información.
ISO/IEC 27036:
Guía de seguridad en relación con los proveedores: 27036-1, visión general y
conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de
suministro TIC; 27036-4, seguridad en entornos de servicios Cloud.
ISO/IEC 27037:
Esta norma es publicada el 15 de Octubre de 2012. Es una guía que
proporciona reglas para las actividades relacionadas con la identificación,
recopilación, consolidación y preservación de evidencias digitales en teléfonos
móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de
navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros
dispositivos.
ISO/IEC 27038:
Esta norma fue publicada el 13 de Marzo de 2014. Es una guía relacionada con
la seguridad en la redacción digital.
ISO/IEC 27039:
Esta norma fue publicada el 11 de Febrero de 2015. Es una guía para la
selección, despliegue y operación de sistemas de detección y prevención de
intrusos.
ISO/IEC 27040:
Esta norma fue publicada el 05 de Enero de 2015. Es una guía para la
seguridad en medios de almacenamiento de datos digitales.
ISO/IEC 27041:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía para la
garantizar la disposición y ajuste de los métodos de investigación que tiene que
ver en temas de seguridad informática.
ISO/IEC 27042:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía con reglas para
el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Esta norma fue publicada el 04 de Marzo de 2015. Desarrolla los principios y
procesos de investigación para una óptima recopilación de evidencias
digitales.
ISO 27799:
Esta norma fue publicada el 01 de Julio de 2012. Es una norma que
proporciona directrices para apoyar la aplicación de un óptimo nivel de
seguridad de información en el sector sanitario, sobre los datos de salud de los
pacientes.
2. Cláusula 5. Liderazgo:
Aquí se indican los requisitos necesarios
para garantizar la puesta en marcha del
SGSI y establece las directrices de gestión
de alto nivel que deben motivar el funcionamiento del sistema en la empresa.
3. Cláusula 6. Planificación:
Esta cláusula muestra la secuencia de pasos para la creación del SGSI en
donde resaltan las tareas de toma de decisiones, proceso de identificación y
análisis del riesgo.
4. Cláusula 7. Soporte:
Esta cláusula establece qué medios serán necesarios cuando se encuentre
en marcha el SGSI. Permite identificar las necesidades materiales pero
también la importancia de las personas y de sus capacidades técnicas.
5. Cláusula 8. Operación.
Esta cláusula indica el cómo se garantizará el funcionamiento del SGSI una
vez que ha completado su fase de construcción.
OPERACIONES:
- Entender la importancia de los diferentes tipos de firewall para redes
empresariales.
- Comprender el funcionamiento de los firewall por hardware.
- Comprender el funcionamiento de los firewall por software.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows 7.
- Navegadores instalados: Internet explorer, Chrome y Firefox.
La topología es la siguiente:
Default Switch
Device Interface IP Address Subnet Mask Gateway Port
Router>
Router>
Router>enable
Router#confi
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address 209.165.200.225 255.255.255.248
R1(config-if)#no shut
R1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R1(config-if)#exit
R1(config)#int se2/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#no shut
En el router R2:
Router>
Router>en
Router#
Router#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
R2(config)#int se2/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no shut
R2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R2(config-if)#exit
R2(config)#int
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
se3/0
R2(config-if)#exit
R2(config)#int se3/0
R2(config-if)#
R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#clock rate 64000
R2(config-if)#no shut
En el router R3:
Router>
Router>en
Router#
Router#config
R3(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
R3(config-if)#exit
R3(config)#int se2/0
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no shut
R3(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R3(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
R1#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip route 0.0.0.0 0.0.0.0 se2/0
R1(config)#
R3>
R3>en
R3#
R3#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
R3(config)#ip route 0.0.0.0 0.0.0.0 se2/0
R3(config)#
R2>
R2>en
R2#
R2#conf
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#ip route 209.165.200.224 255.255.255.248 se2/0
R2(config)#ip route 172.16.3.0 255.255.255.0 se3/0
R2(config)#
DMZ Server:
PC1:
PC0:
ciscoasa>
ciscoasa>enable
Password:
Invalid password
Password:
ciscoasa#show version
ciscoasa#conf t
ciscoasa(config)#configure factory-default
ciscoasa#
ciscoasa#write erase
Erase configuration in flash memory? [confirm]
[OK]
ciscoasa#reload
Proceed with reload? [confirm]
Se reiniciará:
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting.....
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
Cisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT 2008
Platform ASA5505
Boot in 9 seconds
Boot in 8 seconds
Boot in 7 seconds
Boot in 6 seconds
Boot in 5 seconds
Boot in 4 seconds
Boot in 3 seconds
Boot in 2 seconds
Boot in 1 second
Launching BootLoader...
Default configuration file contains 1 entry.
Loading...
IO memory blocks requested from bigphys 32bit: 9672
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.
Starting verification pass.
/dev/hda1: 152 files, 35584/62780 clusters
dosfsck(/dev/hda1) returned 0
Processor memory 348127232, Reserved memory: 62914560
Luego del reinicio, se podrá ver un asistente para las configuraciones básicas:
Day [1]: 20
Time [00:03:00]: 10:00:00
Management IP address:192.168.1.1
Management network mask:255.255.255.0
Host name:ASA
Domain name:senati.edu.pe
IP address of host running Device Manager:
asa#config t
asa(config)#hostname ASA-SENATI
ASA-SENATI(config)#domain-name senati.edu.pe
ASA-SENATI(config)#passwd cisco
ASA-SENATI(config)#enable password class
ASA-SENATI(config)#clock set 10:00:00 april 04 2016
ASA-SENATI(config)#
ASA-SENATI(config)#interface vlan 1
ASA-SENATI(config-if)#nameif inside
ASA-SENATI(config-if)#ip address 192.168.1.1 255.255.255.0
ASA-SENATI(config-if)#security-level 100
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#interface vlan 2
ASA-SENATI(config-if)#nameif outside
ASA-SENATI(config-if)#ip address 209.165.200.226 255.255.255.248
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#
ASA-SENATI(config-if)#exit
ASA-SENATI(config)#int et0/1
ASA-SENATI(config-if)#switchport access vlan 1
ASA-SENATI(config-if)#no shutdown
ASA-SENATI(config-if)#int et0/0
ASA-SENATI(config-if)#switchport access vlan 2
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#exit
ASA-SENATI(config)#
ASA-SENATI(config)#object network INSIDE-NET
ASA-SENATI(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA-SENATI(config-network-object)#nat (inside,outside) dynamic interface
ASA-SENATI(config-network-object)#end
ASA-SENATI#
ASA-SENATI(config)#interface Ethernet0/2
ASA-SENATI(config-if)#switchport access vlan 3
ASA-SENATI(config-if)#no shut
ASA-SENATI#
ASA-SENATI(config)#show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
ASA-SENATI(config)#
ASA-SENATI(config)#show switch vlan
FUNDAMENTO TEÓRICO.
En las redes modernas, el firewall de la red debe ubicarse entre la red interna y
la red externa. Se debe bloquear el acceso a determinados tráficos de red
salvo que se lo permita explícitamente por medio de una ACL, o, si se trata de
tráfico de retorno, que el mismo se corresponda con tráfico que se inició dentro
de la red interna. Esta es la tarea fundamental de un firewall de red, ya sea un
dispositivo de hardware dedicado o un router con un IOS firewall.
Tipos de Firewalls.
Existen varios tipos de firewalls de filtrado, siendo los más comunes:
También existen otros tipos de firewall básicos, tales como: firewall basado en
hosts, firewall transparente, firewall híbrido.
Existen aún algunos firewall de software que son utilizados para asegurar una
red, como por ejemplo:
https://www.microsoft.com/en-us/evalcenter/evaluate-system-
center-2012-r2-configuration-manager-and-endpoint-protection
Los Firewalls que tienen mayor costo son los filtros Hardware, que producen
una conmutación más rápida que un firewall por software que corre en un
equipo con un hardware común (el Hardware de los “Firewall por Hardware”
esta optimizado para esas tareas), y además proporcionan un nivel de
seguridad alto, pudiéndose actualizar constantemente y así lograr mejoras. Los
nuevos tipos de ataques cada vez más sofisticados han provocado que las
soluciones de seguridad perimetral mejoren y evolucionen siendo una de estas
mejoras los UTM (Unified Threat Management o en español “Gestión unificada
de amenazas”).
Existen por el momento, seis modelos de ASA, que van desde el modelo 5505
utilizado con pequeñas sedes, hasta la versión 5585 para Data Center. Todos
proporcionan funciones de firewall stateful y funcionalidad VPN.
Los dispositivos Cisco ASA son escalares para satisfacer una serie de
requisitos y tamaños de red. La elección del modelo ASA dependerá de las
necesidades de la organización. El software ASA combina firewall,
concentrador VPN, y la funcionalidad de prevención de intrusiones.
- Virtualización ASA.
- Dos ASA idénticas pueden estar vinculados a una configuración de
conmutación por error de tal forma que uno este activo y el otro en espera
para proporcionar redundancia.
- El ASA utiliza Active Directory con lo cual puede recuperar la información de
identidad del usuario actual.
- ASA posee control de amenazas y servicios de contención.
- Todos los modelos de ASA se pueden configurar y administrar mediante la
interfaz de línea de comandos (CLI) o el Administrador de dispositivos de
seguridad adaptable (ASDM) que consiste en un navegador creado en Java.
En el panel frontal del ASA 5505 podemos encontrar los siguientes elementos
(empezando desde el lado izquierdo al derecho):
La parte posterior de los Cisco ASA 5505 tienen las siguientes características:
El ASA define diversos niveles de seguridad para distinguir entre redes internas
y externas. Los niveles de seguridad ayudan a definir el nivel de confiabilidad
de las interfaces. Cuanto más alto sea el nivel, más confianza se tendrá en la
interfaz. Los números que sirven para definir el nivel de seguridad oscilan entre
0 (no fiable) a 100 (muy fiable). Cada interfaz para operar debe tener un
determinado nombre y un nivel de seguridad asignado.
Existen otros equipos Cisco ASA, como por ejemplo, el ASA 5510, 5520, 5540,
5550, 5580. Cada uno de estos tiene ranuras de expansión para módulos de
servicios de seguridad.
ROMMON>
El ASA 5505 viene con una configuración por defecto que incluye dos redes
VLAN: VLAN1 y VLAN2. VLAN 1 es para la red interior y la VLAN 2 es para la
red exterior.
Una vez que el equipo ha sido reiniciado, se muestra el siguiente mensaje "Pre-
configure Firewall now through interactive prompts [yes]?"
- Modo Firewall.
- Habilitar contraseña.
- Habilitar la recuperación de contraseñas.
- Hora y fecha.
- Dirección IP y máscara Interna.
- Nombre de host.
- Nombre del dominio.
Por defecto los valores del nivel de seguridad se asignan a la interfaz interna y
externa. Por lo tanto, el comando security-level sólo es necesaria si el
administrador decide cambiar esos valores. Para cualquier otra interfaz debe
ser asignado un valor de nivel de seguridad.
ASA5505(config-if)# no shut
ASA5505(config-if)# security-level 0
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
ASA5505(config-if)# no shut
OBSERVACIÒN:
A partir de marzo de 2010, Cisco anunció la nueva versión del software Cisco
ASA 8.3. Esta versión introdujo varios cambios de configuración importantes,
sobre todo en el mecanismo de NAT / PAT. El comando "global" ya no es
compatible con NAT (estática y dinámica) y PAT se configuran en Objetos de
red. La configuración de PAT para ASA 8.3 y posterior es:
Los pasos anteriores son absolutamente necesarios pero hay muchos más
detalles de configuración para mejorar la seguridad y la funcionalidad tales
como las listas de control de acceso, NAT estática, DHCP, zonas DMZ,
autenticación, etc.
OPERACIONES:
- Introducción a los diferentes productos Proxy/firewall que ofrece Microsoft.
- Despliegue de Escenarios para el proxy / firewall de Microsoft.
- Instalando el proxy/ firewall para redes de datos de Microsoft.
- Instalando y configurando los equipos Clientes del Firewall.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad con
conexión inalámbrica.
- Sistema operativo Windows 7 ó equivalente.
- Access Point.
.
4.1. INSTALANDO EL PROXY/ FIREWALL PARA REDES DE DATOS DE
MICROSOFT FOREFRONT TMG Y CONFIGURAR LOS EQUIPOS
CLIENTES DEL FIREWALL:
Forefront TMG:
Para esta tarea, debe contar con las siguientes máquinas virtuales:
- Servidor WEB con Windows Server 2012R2, 2012 o 2008 para la DMZ.
- Servidor con Windows Server 2008R2 que será el Proxy/Firewall con
Forefront TMG.
- Un equipo cliente con Windows 8 ó Windows 10.
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
RED DMZ:
IP del servidor: 192.168.5.2/24
Servicios: WEB.
Gateway : 192.168.5.1/24
En otros entornos, se podría trabajar directamente con los Ips públicos, esto
dependerá de las características de la red.
Inicia el proceso de
instalación del sistema
operativo.
Se ingresarán las
configuraciones de red
de la RED INTERNA y
RED EXTERNA
o Visualizar el Instalador.
Ejecutará el archivo
“Autorun”
Indicará la ruta de
Instalación.
Se instalarán las
características del TMG.
En la red
interna no se
coloca la puerta
de enlace.
Se ingresará la
configuración de red de la
RED DMZ.
o En el asistente para acceso web, marcará una regla por defecto para
evitar el acceso web a URLs malintencionadas:
o Por el lado del servidor TMG, ya se tiene instalado y está con las
configuraciones más básicas, ahora se deberá instalar el equipo cliente,
que en este caso contará con un sistema operativo: Windows 8.1 de 64
bits.
o Realizar la instalación y configuración básica del sistema Windows 8.1.
o Crear un usuario en el sistema:
Debe establecerse
comunicación.
FUNDAMENTO TEÓRICO.
Introducción a los diferentes productos Proxy/firewall que ofrece
Microsoft.
La mayoría de productos firewall de Windows están descontinuados, parece
ser que Microsoft no quiere ingresar por ahora al tema de seguridad utilizado
Firewalls.
Entre los productos para Firewall de Microsoft, se tiene:
1. Familia de productos Forefront:
a. Forefront Protection 2010 for Exchange Server (FPE).
Microsoft Forefront Protection 2010 para Exchange Server proporcionaba
una importante protección contra el malware y el correo no deseado,
ofrece a los clientes una consola de administración sencilla con opciones
de configuración que admiten opciones de filtrado, características de
supervisión e informes y protección contra correo no deseado.
Actualmente el TMG 2010 cuenta con una Fecha de fin del soporte técnico
extendido hasta el 14 de abril de 2020.
Forefront TMG permite otorgar a la empresa una seguridad perimetral unificada
con firewall integrado, VPN, prevención de intrusiones, inspección de malware
y filtrado de URL.
Requisitos de Software:
Sistema operativo: Windows Server 2008
Versión: SP2 o R2
Edición: Foundation, Standard, Enterprise o Datacenter
Otros programas:
- Microsoft .NET Framework 3.5 SP1.
- API de Servicios web de Windows.
- Windows Update.
- Microsoft Windows Installer 4.5.
- Windows PowerShell:
Windows PowerShell es un lenguaje de scripting y Shell de línea de
comandos basado en tareas que ha sido diseñado especialmente para la
administración del sistema. Creado con Microsoft .NET Framework,
Windows PowerShell ayuda a los profesionales de TI y a los usuarios
experimentados a controlar y automatizar la administración tanto del sistema
operativo Windows como de las aplicaciones que se ejecutan en Windows.
Los recursos de esta sección sirven para conocer Windows PowerShell, qué
características se incluyen en Windows PowerShell y el editor gráfico de
Windows PowerShell, el Entorno de scripting integrado de Windows
PowerShell.
- Microsoft .NET 3.5 Framework SP1.
- Microsoft Windows Installer 4.5.
- Windows Update.
- API de Windows Web Services:
Una vez realizada la verificación de los
requisitos previos, se procede con la
Instalación del programa.
Se iniciará con la “Preparación”, para ello
se selecciona “Herramienta de
Preparación”:
Aparecerá un asistente de
instalación muy dinámico y
amigable.
Ahora, se deben aceptar los
términos de licencia para la
instalación de la aplicación:
Se mostrará un asistente
para configurar las
opciones de red, del
sistema y de implemen-
tación.
o Por ejemplo, puede ser un navegador web como por ejemplo: Microsoft
Internet Explorer, EDGE, Firefox, Chrome, Safari, Opera, etc.
OPERACIONES:
EQUIPOS Y MATERIALES:
FUNDAMENTO TEÓRICO.
Entender la importancia de la caché del servidor proxy/ firewall.
El uso del almacenamiento en caché es de gran importancia sobre todo a nivel
corporativo. El almacenamiento en caché es una tecnología antigua pero muy
útil, siendo requerida en diversos sectores de la industria informática y de
redes.
Esta tecnología se basa en un concepto simple. El almacenamiento en caché
consiste en almacenar los datos de uso muy frecuente en una ubicación de
disco que debe contar con un rápido y fácil acceso, de modo que sea posible
reducir el tiempo y los recursos. En tal sentido, ya no es necesario recuperar
datos de la ubicación original. Como sabemos, reducir los tiempos y los
recursos son esenciales en la informática y las redes de datos, las memorias
caché están presentes en diferentes elementos, como por ejemplo, la CPU,
DNS, explorador WEB, etc.
Miles de millones de computadoras usan tecnología de caché en el procesador,
lo cual ayuda a ilustrar la importancia del almacenamiento en caché, incluso a
nivel del hardware.
Los navegadores disponen de memorias caché web para almacenar los objetos
solicitados, de modo que no sea necesario recuperar repetidas veces esos
mismos objetos desde el servidor web. Este proceso se conoce como
“almacenamiento en caché de objetos”.
El almacenamiento en caché de objetos normalmente se ha implementado para
acelerar el acceso al contenido HTTP. Además de almacenar este tipo de
contenido, algunos proveedores ampliaron la compatibilidad del
almacenamiento en caché de objetos para incluir diversos contenidos, por
ejemplo, contenido HTTPS, objetos de medios de transmisión por secuencias,
FTP y archivos CIFS. En algunos casos, el almacenamiento en caché de
objetos también es denominado “almacenamiento en caché de proxy”, puesto
que se implementa con un servidor proxy para diversos protocolos.
El mecanismo del almacenamiento en caché de objetos es simple y no
requiere de una compleja configuración. El cliente envía una solicitud de objeto
(página web, documento, imagen, video, archivo de audio, etc.) a un servidor, y
el proxy intercepta esa solicitud entre el cliente y el servidor de origen. Al recibir
la solicitud desde el cliente, el proxy comprueba si tiene una copia del objeto
solicitado en su memoria caché. De ser así, el proxy responde enviando al
cliente el objeto almacenado en caché con lo cual se ahorra tiempo y recursos,
porque de lo contrario, tendría que enviar la solicitud al servidor. Si el proxy
llega a realizar la solicitud del objeto al servidor de origen, almacena los datos
del objeto en su memoria caché, de modo que pueda cumplir con las próximas
solicitudes de ese mismo objeto sin tener que volver a recuperarlo del servidor
OPERACIONES:
- Configurar el Servidor de Seguridad como un servidor Proxy/ firewall con
software de Microsoft.
- Configurar Reglas de Acceso para la navegación en Internet.
- Configurar una Red de Perímetro.
- Configurar Directivas del Sistema.
- Configurar la óptima Detección de Intrusos.
EQUIPOS Y MATERIALES:
- Computadoras con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows 7 ó equivalente.
- Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008).
o Servidor Linux (Centos, Debian o algún otro).
8. Como origen de la regla, ingresar todas las redes incluyendo el host local:
FUNDAMENTO TEÓRICO:
Configurar el Servidor de Seguridad como un servidor Proxy/ firewall
con software de Microsoft.
Forefront TMG es una completa solución que se utiliza para puerta de enlace
web segura, que ayuda a proteger a los empleados de una empresa de las
amenazas basadas en web. Este servidor también ofrece seguridad perimetral
de facil administración, firewall integrado, VPN, prevención de intrusiones,
inspección de malware y filtrado de URL.
Forefront TMG se fundamenta en las capacidades básicas con las que contaba
Microsoft Internet Security and Acceleration (ISA) que ofrecia una puerta de
enlace de seguridad de red completa, integrada y facil de administrar. Los
principales cambios realizados en Forefront TMG permiten agregar
capacidades de protección adicionales para ayudar a proteger la red
corporativa frente a amenazas externas que pueden tener su origen en
Internet.
Para realizar una óptima configuración del TMG para una red perimetral, se
deben seguir los pasos que a continuación se detallan:
1. El servidor de seguridad puede trabajar en una red que tenga un directorio
activo (Active Directory) o simplemente con servidores independientes.
2. Para este caso se utilizará un DC (controlador de dominio), por consiguiente,
se tendrán 2 servidores con Windows Server, pudiendo ser el DC un servidor
con Windows Server 2012 R2, 2012 o 2008 R2.
3. El servidor donde se instalará el Forefront TMG debe contar con el sistema
Windows Server 2008 R2.
4. En el servidor que será un controlador de dominio, se instalarán el Directorio
Activo y el servicio DNS (si no existe previamente un servidor DNS en la
red).
5. Se colocarán las configuraciones de red adecuadas.
6. Se instalará el servidor de seguridad como un servidor miembro del dominio.
7. Se ingresará en el servidor de seguridad con una cuenta administrativa del
dominio.
8. El servidor TMG tendrá 2 tarjetas
de red, una tarjeta estará
conectada a la red Interna y la
otra tarjeta se conectará a la red
externa.
9. Insertar el Disco con el Instalador
TMG en el servidor de seguridad
para iniciar el proceso de
instalación.
10. Empezar con la instalación de
las herramientas de preparación.
11. Se deben aceptar los términos
de licencia:
21. Se verá una ventana que indicará que se instaló el TMG correctamente:
15. Primero escoger la Red LAN, con lo cual también aparecerá el rango de
direcciones IP que se utilizarán en esta red:
17. Agregar la red DMZ como una red que se encuentra conectada en el
perímetro.
18. Las demás configuraciones se dejan por defecto y se termina con esta
parte del asistente:
3. Reglas de red: especifican que los recursos de una red tienen permiso para
comunicarse con recursos de otras redes y especifican el tipo de relación (de
enrutamiento o NAT) que existe entre el origen y el destino.
- Tras hacer coincidir la solicitud con una regla, Forefront TMG vuelve a
comprobar las reglas de red (excepto el tráfico que administra el filtro proxy
web) para determinar si se debe enrutar o aplicar la NAT al tráfico.
Con respecto a la creación de las reglas de acceso, que administran las
solicitudes de clientes internos que sólo se pueden configurar con definiciones
de protocolo salientes, se deben tomas en cuenta los siguientes puntos:
- Protocolo: la regla debe definir uno o más protocolos con una dirección
saliente, por ejemplo: http, smtp, etc…).
- De: La dirección de origen debe estar bien definida en la regla. El origen
puede ser toda la red, un conjunto de redes, un conjunto de equipos, un
intervalo de direcciones IP, una subred o un equipo.
- Programación: La programación de la regla permite controlar los días y
horas que se aplica la regla.
- A: el destino debe estar bien definido en la regla. El destino puede ser toda
la red, un conjunto de redes, un equipo o un conjunto de equipos, un
intervalo de direcciones IP, una subred, un conjunto de nombres de dominios
o un conjunto de direcciones URL.
- Usuarios: la regla se aplica a todos los usuarios (para acceso anónimo), a
todos los usuarios autenticados (que se aplica a todos los usuarios que se
pueden autenticar correctamente) o a un grupo de usuarios específico. En
caso de contar con un directorio activo, esto es de gran utilidad.
- Grupos de contenido: la regla se aplica a los tipos de contenido específicos,
como pueden ser: video, imágenes, audio, etc.
- Si la solicitud coincide con una regla de permiso, la solicitud se permite. Tras
encontrar una regla coincidente, Forefront TMG no evalúa más reglas. Las
reglas de acceso que deniegan el tráfico se procesan antes que las reglas
de publicación.
Cuando se crean reglas de publicación deben considerarse las siguientes
opciones:
- Reglas de publicación de web: Habilita el acceso de entrada a los servidores
web publicados. Para solicitudes HTTP o HTTPS a una escucha web,
Forefront TMG comprueba las reglas de publicación y, a continuación, las
reglas de encadenamiento web para determinar si se permite la solicitud.
- Reglas de publicación de servidor: habilite el acceso de entrada a los
servidores no web publicados. En el caso de solicitudes no HTTP, Forefront
TMG comprueba las reglas de red y, después, las reglas de publicación para
determinar si se aceptan las solicitudes.
Al utilizar nombres y direcciones, TMG los procesa tomando en cuenta las
siguientes opciones:
OPERACIONES:
- Entender la importancia de la publicación de los servidores.
- Configurar la Publicación y seguridad de un Servidor Web.
- Configurar la Publicación de servidores que no son WEB.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows.
- Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008).
o Servidor Linux (Centos, Debian o algún otro).
- MS office.
b. RED DMZ:
- IP del servidor: 192.168.5.2/24
- Servicios: WEB.
- Gateway : 192.168.5.1/24
c. RED Externa:
- 192.168.1.0/24
- Gateway: 192.168.1.0
- DNS:
200.48.225.130
200.48.225.146
2. Ingresar al servidor WEB.
3. Instalar el IIS y crear un sitio WEB, para lo cual puede ayudarse de plantillas,
siendo un sitio web que permite descargar plantillas gratuitas muy buenas:
http://www.misplantillas.com/plantillas-web-gratis.
4. Ahora, publicar el servidor WEB ubicado en la DMZ para que pueda ser visto
desde Internet.
5. Hacer clic en Tareas, luego en “Publicar sitios WEB”:
6. Asignar un nombre a esta regla:
14. Por ahora, indicar que no es necesaria la conexión segura utilizando SSL.
22. Ahora, comprobará que desde una PC con la dirección IP de la red Externa
(Internet) podrá acceder al servidor WEB DMZ.
FUNDAMENTO TEÓRICO:
- Para publicar una granja de servidores a través de HTTP: Para realizar este
procedimiento se deben realizar los pasos que a continuación se describen:
o En el árbol de la consola de administración de Forefront TMG, hacer clic
en el nodo Directiva de firewall.
o En el panel Tareas, hacer clic en la ficha Herramientas.
o En la ficha Herramientas, hacer clic en Objetos de red, hacer clic en
Nuevo y, a continuación, seleccionar Granja de servidores.
o Completar la configuración solicitada por el Asistente para nueva granja
de servidores.
o Si aparece un cuadro de mensaje en el que se indica que va a habilitarse
la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de
Forefront TMG a servidores seleccionados para los comprobadores de
conectividad, hacer clic en Aceptar.
o En la ficha Herramientas, hacer clic en Objetos de red, en Nuevo y
después seleccionar Escucha de web para abrir el Asistente para nueva
escucha de web.
o Completar el Asistente para nueva escucha de web.
o En el panel Tareas, hacer clic en la ficha Tareas.
o En la ficha Tareas, hacer clic en Publicar sitios web para abrir el Asistente
para nueva regla de publicación de web.
o Completar el Asistente para nueva regla de publicación de web.
o En el panel de detalles, hacer clic en Aplicar y luego en Aceptar.
• Puede utilizar las direcciones IP para especificar quién puede tener acceso a
recursos publicados.
• La publicación de un servidor configura Forefront TMG para escuchar en un
puerto específico y enviar las solicitudes al servidor publicado.
Se verán las diferentes formas de crear las reglas de publicación No WEB en
los servidores:
• Para crear y utilizar un protocolo de servidor, realizaremos los pasos
siguientes:
o En el árbol de la consola de administración de Forefront TMG, hacer clic
en el nodo Directiva de firewall.
o En el panel de Tareas, en la ficha Herramientas, hacer clic en Protocolos.
o En la barra de herramientas que hay debajo de Protocolos, hacer clic en
Nuevo y, después, en Protocolo.
o Completar el Asistente para nueva definición de protocolos.
o En el panel de tareas, en la ficha Tareas, hacer clic en Publicar protocolos
de servidor no web para abrir el Asistente para nueva regla de publicación
de servidor.
o Finalizar el Asistente para nueva regla de publicación de servidor.
o En el panel de detalles, hacer clic en el botón Aplicar para guardar y
actualizar la configuración, y luego en Aceptar.
• Para publicar un equipo SQL Server, se deben ejecutar los siguientes pasos:
o En el árbol de la consola de administración de Forefront TMG, hacer clic
en el nodo Directiva de firewall.
OPERACIONES:
- Aplicaciones avanzadas y Descripción de Filtro Web.
- Configurando Filtro Web http.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows.
- Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008).
o Servidor Linux (Centos, Debian o algún otro).
FUNDAMENTO TEÓRICO:
Aplicaciones avanzadas y Descripción de Filtro Web.
Puede utilizar un filtro HTTP en las reglas de acceso entrantes y salientes para
controlar los tipos de datos que puedan atravesar el firewall.
Forefront TMG nos brinda un control muy preciso del tráfico HTTP en forma de
filtros HTTP. Este filtro HTTP que trabaja en la capa de aplicación, examina los
comandos y los datos HTTP que pasan por el firewall, admitiendo solo el paso
de las solicitudes que cumplan los requisitos, además se puede controlar el
acceso a Internet del cliente.
El filtrado HTTP se puede aplicar en los siguientes entornos:
• Cuando los clientes de la red interna tienen acceso a objetos HTTP (páginas
HTML, imágenes u otros datos que se pueden transferir utilizando el
protocolo HTTP) en otra red, como por ejemplo Internet, a través del equipo
de Forefront TMG.
• Cuando los clientes de la red externa tienen acceso a objetos HTTP en un
servidor web que se publica a través del servidor de Forefront TMG.
Para configurar el filtrado HTTP en una regla de acceso, se deben considerar
los pasos siguientes:
• Obtener acceso a la regla en la que se configura el filtrado HTTP: Esto se
logra de la siguiente manera:
o En el árbol de la consola de administración de Forefront TMG, hacer clic
en el nodo Directiva de firewall.
o En el panel de detalles, hacer clic con el botón secundario en la regla que
desea modificar y, a continuación, hacer clic en Configurar HTTP. Se abre
el cuadro de diálogo Configurar directiva HTTP para la regla.
o Configurar el filtrado HTTP según los requerimientos indicados.
• Configurar el bloqueo de encabezados y de direcciones URL: Esto se logra
realizando los siguientes pasos:
o Hacer clic en la ficha General en el cuadro de diálogo Configurar directiva
HTTP para la regla.
o En Longitud máxima de encabezados (bytes), especificar el número
máximo de bytes permitidos en la dirección URL y el encabezado HTTP
de una solicitud HTTP antes de que se bloquee.
o Desactivar Permitir cualquier longitud de carga para bloquear las
solicitudes que superen el número de bytes especificado en Longitud
máxima de carga (bytes).
o En Longitud máxima de dirección URL (bytes), escribir la longitud máxima
permitida de dirección URL. Las solicitudes con direcciones URL que
superen este valor se bloquearán.
o En Longitud máxima de consulta (bytes), escriba la longitud máxima de
las consultas permitida en las solicitudes. Las solicitudes con consultas
que superen este valor se bloquearán.
o Seleccionar Comprobar normalización para bloquear las solicitudes que
contengan direcciones URL con caracteres de escape tras la
normalización.
o Seleccionar Bloquear caracteres ASCII de 8 bits para especificar que se
bloquearán las direcciones URL con caracteres ASCII de 8 bits.
predeterminada, el Forefront TMG sólo analiza los 100 primeros bytes del
cuerpo de la solicitud y la respuesta. Si aumenta este valor
predeterminado, el rendimiento del sistema podría verse afectado.
o Puede habilitar o deshabilitar las firmas usando las casillas de verificación
situadas junto a sus nombres. Hacer clic en Mostrar sólo cadenas de
búsqueda habilitadas para ver únicamente las firmas habilitadas.
o Para modificar una firma bloqueada, selecciónela en la lista Bloquear
contenido que contenga estas firmas y, a continuación, hacer clic en
Editar.
o Para admitir una firma bloqueada, seleccionarla en la lista Bloquear
contenido que contenga estas firmas y, a continuación, hacer clic en
Quitar.
• Determinar firmas: Se puede determinar una firma para que bloquee tráfico
específico mediante la supervisión del tráfico de red.
OPERACIONES:
- Configurando Alertas.
- Configurando la Supervisión de sesiones.
- Configurando reportes.
- Supervisando la conectividad.
- Supervisando Servicios y Rendimiento.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Software para virtualizar equipos.
- Sistema operativo Windows server.
- Sistema operativo Windows para el equipo cliente.
FUNDAMENTO TEÓRICO.
Configurar Alertas.
Después de la instalación de Forefront TMG, se configuran una serie de alertas
que se encuentran predefinidas. Cada alerta se ejecuta cuando se produce un
determinado evento de Forefront TMG. Es posible habilitar o deshabilitar las
alertas, modificar la forma en que se desencadena la alerta, modificar la acción
que se realizará cuando se desencadena la alerta.
También se pueden definir alertas personalizadas adicionales.
El procedimiento para modificar una alerta, es el siguiente:
1. En el árbol de la consola de administración de Forefront TMG, hacer clic en
el nodo Supervisión.
2. En el panel de detalles, hacer clic en la ficha Alertas.
3. En el panel Tareas, hacer clic en Configurar definiciones de alerta.
4. En la ficha Definiciones de alerta, seleccionar la alerta que desee modificar
y, a continuación, hacer clic en Editar.
5. En la ficha General, modificar el nombre, la categoría y la gravedad de la
alerta en función a las políticas de seguridad en la empresa.
6. En la ficha Eventos, especificar las veces que debe producirse un evento
para que se emita la alerta y cómo debe emitirse la alerta cuando se ha
alcanzado dicho número de veces.
Supervisar la conectividad.
Al crear una granja de servidores, se deberá especificar el método de conexión
que se desee utilizar para comprobar el estado de conectividad de los
servidores de la granja. Tras crear una granja de servidores, se creará
OPERACIONES:
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows.
- Diferentes programas de antivirus.
Escoger correctamente
las Interfaces de red.
Se realizará la
configuración del
equipo Cliente.
14. Para crear las reglas NAT, ingresar al menú “cortafuegos” y luego a la
ficha: “NAT fuente”:
16. Se crearán dos reglas, una para la red LAN hacia Internet y la otra será
para la red DMZ hacia Internet.
17. Ahora publicar los servicios de la DMZ, para eso se contará con un servidor
WEB en al red DMZ, con el IP: 192.168.5.2/24.
23. Hacer clic en “Agregar una nueva regla del cortafuegos” y en origen,
colocará la red Verde y en destino colocará los ips de las redes de un
determinado dominio.
24. Luego, en acción escoger “Denegar” y en posición colocar “Primero”:
25. Como se debe hacer al crear cualquier regla en el firewall, aplicar los
cambios:
FUNDAMENTO TEÓRICO:
Diferentes escenarios para brindar la seguridad de la red de datos de la
empresa utilizando un servidor Linux.
Anand Sastry, un importante especialista en Seguridad de la Información
indica:
Cada implementación en la empresa tiene un firewall como la primera línea de
defensa, protegiendo los activos contra las amenazas comunes del Internet.
El firewall actúa normalmente limitando el acceso únicamente a los servicios de
Internet que la empresa considere necesarios. Bajo este esquema, el acceso
es controlado por determinadas reglas.
Por lo general, las empresas utilizan una estructura que separa los servidores
de acceso Internet de los activos corporativos de la empresa en un particular
segmento de red aislado conocido como una "zona desmilitarizada" (DMZ). El
aislamiento se logra dedicando una interfaz de red del firewall para estos
servidores que son publicados.
El acceso directo a activos no alojados en la DMZ no está permitido. Estos
activos incluyen típicamente estaciones de trabajo de la empresa,
componentes críticos del servidor, tales como controladores de dominio,
servidores de correo electrónico y aplicaciones empresariales importantes. Los
activos alojados en el segmento DMZ normalmente incluyen aplicaciones con
acceso a Internet, tales como interfaces de web, servidores, servidores relés de
correo electrónico, servicios públicos de alojamiento de archivos, etc.
Para entornos de alto tráfico, un equilibrador de carga maneja todas las
conexiones desde la interfaz de Internet del firewall, dirigiendo el tráfico al
servidor web con la menor carga. Los servidores de aplicaciones y bases de
datos están alojados en segmentos separados con reglas de acceso que
restringen el acceso entre los niveles de web, de aplicaciones y de bases de
datos.
En todos los casos, el firewall actúa como el primer mecanismo de defensa,
controlando qué activos pueden ser accedidos, a la vez que proporciona
protección contra ataques en la capa de red del modelo OSI, pero el firewall en
esta forma de trabajo ya no es una protección adecuada contra las más
poderosas formas de ataque que se están dando en la actualidad, que
consisten en aprovechar las debilidades de las aplicaciones utilizadas en la
empresa (capa 7 del modelo de referencia OSI) en lugar de debilidades en el
ámbito de la red (capa 3 del modelo OSI).
Para hacer frente a estas amenazas actuales, los firewall han sido ampliados
con productos que se encargan de evitar los ataques en las aplicaciones y
amenazas de software malicioso.
- Servidor DHCP.
- Traffic Shaping / QoS
- Proxy POP3 antivirus
- Clamav antivirus
- Proxy SMTP antispam
- Web proxy (Squid) con integración en LDAP o Windows users
- IDS en interface WAN y LAN
- Proxy SIP
- SMTP proxy
- Filtro de contenidos
- SquidGuardian
- Advanced Proxy.
Se va a instalar Endian en un servidor que se encuentre entre nuestra red local
e Internet y teniendo en cuenta que Endian también viene como un UTM,
aportará un nivel importante de seguridad.
c. HyperV, etc.
2. En este caso se mostrará el procedimiento en una máquina virtual creada en
“Virtual Box”.
3. Se utilizará una máquina para Linux:
Colocará el ISO de
ENDIAN en el DVD virtual
de la Máquina virtual.
12. El instalador indicará que se borrará toda la data del disco, escoger “YES”
y luego “OK”:
Indicará el IP de la puerta
de enlace para la red
GREEN.
18. Desde esta interfaz se pueden cambiar las contraseñas, recuerdar que la
contraseña por defecto de root es: endian.
19. Ingresar desde un navegador a la ruta indicada:
https://192.168.1.101:10443 y terminar con la configuración básica.
20. Al ingresar desde el navegador se visualizará la siguiente ventana:
22. Ahora se visualizarán los términos de licencia de uso del software. Aceptar
los términos:
Se definirá la forma de
conexión a Internet (RED
ROJA)
Se definirá la forma de
conexión a Ia DMZ (RED
NARANJA)
Se debe seleccionar la
interface correcta para la
red Naranja.
28. Finalmente se realizarán las configuraciones para la red ROJA que será la
que se conecta directamente a Internet:
Se debe seleccionar la
interface correcta para la
red Roja.
Se puede
apreciar el
tráfico en la
red.
35. Si se desea agregar una red más, por ejemplo para acceso inalámbrico
(RED AZUL) se puede dirigir al menú “Configuración de red”:
Se debe seleccionar la
interface correcta para la
red Azul.
Para instalar y configurar un servidor Proxy sobre Linux, se puede utilizar squid,
para lo cual se realizará el siguiente procedimiento:
1. El procedimiento puede ser ligeramente diferente, dependiendo de la
distribución de Linux a utilizar.
2. En este caso se utilizará UBUNTU Server, pero puede ser otra distribución
que indique su instructor.
3. Primero se instalará el paquete, colocando el siguiente comando:
# apt-get -y update && apt-get -y install squid
4. Una vez instalado, ir al directorio /etc/squid para verificar que todo se instaló
correctamente y realizar algunas configuraciones: cd /etc/squid.
5. Se guardará el archivo de configuración squid.conf para el caso en que se
requiera retornarlo como estaba inicialmente. mv squid.conf squid.conf.back
6. Ahora editar el archivo, utilizando un editor conveniente, en este caso será
“Nano”. nano squid.conf.
7. En este archivo podrá configurar diversas opciones, como por ejemplo:
# Indicará el puerto que será utilizado para el proxy:
http_port 8080
# Indicará la capacidad de la memoria cache del proxy:
Cache_mem 100 MB
# Indicará la dirección del directorio del spool
Cache_dir ufs /var/spool/squid 150 16 256
# se declara el IP de la red Lan:
Acl red_local src 172.31.2.0/23
# Declare el Ip del localhost
Acl localhost src 127.0.0.1/32
# Ahora damos el acceso al localhost y a la red LAN
http_access allow localhost
http_access allow red_local
Luego guardamos los cambios en el archivo de configuración y reiniciamos el
servicio:
Service squid restart
También se puede utilizar el proxy que viene instalado en el UTM Endian, para
lo cual se ubicará en el menú “PROXY” y seleccionará la opción: “HTTP” y
habilitará la aplicación:
OBSERVACION:
Proxy No Transparente: En este caso necesitas especificar en cada equipo
cliente la dirección IP del servidor proxy y el puerto para su uso.
Proxy transparente: En este caso, su uso es transparente para el usuario, no
necesitas agregar los datos del servidor proxy en los equipos clientes.
OPERACIONES:
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Software para virtualizar equipos.
- Sistema operativo Windows server.
- Sistema operativo Windows para el equipo cliente.
1. Para este ejercicio, se trabajará con una maquina virtual creada con Centos,
que debe disponer de tres tarjetas de red, cada tarjeta tendrá la
configuración Ip correspondiente:
- Eth0: (WAN)
IP: 192.168.1.2
Mascara: 255.255.255.0
PE: 192.168.1.1
DNS:
200.48.225.130.
200.48.225.146.
- Eth1: (LAN)
IP: 192.168.20.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.
- Eth2: (DMZ)
IP: 192.168.3.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.
FUNDAMENTO TEÓRICO:
Entender el concepto e importancia de las Iptables
El firewall utilizado para gestionar las conexiones en Linux es iptables.
IPtables es un sistema de firewall vinculado al kernel de linux que se ha
extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al
igual que el anterior sistema ipchains, un firewall de iptables no es como un
servidor que lo iniciamos o detenemos o que se pueda caer por un error de
programación, iptables está integrado con el kernel, es parte del sistema
operativo. Con las iptables, se aplican reglas diversas.
crear reglas que analizarán los paquetes de datos que entran y salen del
computador, con el objetivo, que bajo determinadas condiciones, se permita o
deniegue que dicho paquete siga su curso.
Ejemplos:
1. Éste script permite que se pueda acceder al servicio WEB ofrecido en este
servidor, el acceso al servidor desde el equipo con IP: 192.168.200.5 vía
SSH y el acceso a la administración de la BD:
OBSERVACION:
Puerto 22: El puerto 22 es utilizado por defecto por SSH, el cual es sin lugar a
dudas, de gran importancia para los administradores de redes. Cuando se
necesite controlar y administrar remotamente otros ordenadores y/o servidores
es muy útil el SSH.
## Con ella regla, indicamos que la política por defecto (-P) para todo lo ## que
desee entrar a nuestro ordenador (INPUT) es obviarlo, no hacerle ## caso
(DROP)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Para permitir a mi propio equipo ingresar a los puertos y servicios debo ##
utilizar la siguiente regla:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## De las líneas ingresadas, la primera línea nos dice que el propio ##
ordenador (-i lo …, donde lo = localhost) puede hacer de todo.
## La segunda línea se refiere a que todas las conexiones que nosotros ##
iniciemos (que salgan desde nuestro ordenador), cuando por esa ##
conexión quiera entrar algún dato, iptables dejará que ese dato entre, ## esto
es muy fácil de entender en el caso del servicio WEB.
## Se evita el acceso al icmp, por ejemplo, el uso del ping.
iptables -A INPUT -p icmp -j DROP
## Permitir el acceso al servicio WEB tanto por HTTP y HTTPS:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED
-j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j
ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j
ACCEPT
## Permitir el acceso por SSH desde un equipo con el IP: 192.168.200.5:
iptables -A INPUT -i eth0 -p tcp -s 192.168.200.5 --dport 22 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j
ACCEPT
# A un equipo le dejamos entrar al mysql para que administre la BD:
iptables −A INPUT −s 231.45.134.23 −p tcp −−dport 3306 −j ACCEPT
# A un diseñador le dejamos usar el FTP
iptables −A INPUT −s 80.37.45.194 −p tcp −dport 20:21 −j ACCEPT
## Fin del script de ejemplo
Entre la RED LAN y la red DMZ debe ser reglas FORWARD, ya que estamos
filtrando entre distintas redes, no son paquetes destinados al propio firewall.
El script que nos daría la solución, sería:
## Primero limpiamos las reglas previas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.1.2:443
## Al localhost se les permite el acceso a los servicios locales
iptables -A INPUT -i lo -j ACCEPT
## Al firewall tenemos acceso desde la red local (Recordemos que el puerto eth1 ##
está conectada a la LAN).
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
## Ahora hacemos enmascaramiento de la red local y de la DMZ para que ##
puedan salir hacia el exterior y activamos el BIT DE FORWARDING
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE
## Ahora, debemos permitir que otros equipos puedan salir por el Firewall:
echo 1 > /proc/sys/net/ipv4/ip_forward
## Permitimos el paso de la DMZ a una BBDD de la LAN:
iptables -A FORWARD -s 192.168.3.2 -d 192.168.1.5 -p tcp --dport 5432 -j ACCEPT
iptables -A FORWARD -s 192.168.1.5 -d 192.168.3.2 -p tcp --sport 5432 -j ACCEPT
## permitimos abrir el Terminal server de la DMZ desde la LAN
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.3.2 -p tcp --sport 1024:65535 --
dport 3389 -j ACCEPT
iptables -A FORWARD -s 192.168.3.2 -d 192.168.1.0/24 -p tcp --sport 3389 --dport
1024:65535 -j ACCEPT
## Permitir el acceso vía SSH desde nuestra máquina al servidor WEB para su ##
administración:
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.5 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 211.34.149.5 -d 210.195.55.20 -p tcp --sport 22 -j ACCEPT
## Para el caso del Servidor de correo, su IP es: 211.34.149.6
## Acceso a los puertos: 25 (SMTP), 110(POP 3) y 143 (IMAP)
iptables -A FORWARD -d 211.34.149.6 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 211.34.149.6 -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -d 211.34.149.6 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 211.34.149.6 -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -d 211.34.149.6 -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -s 211.34.149.6 -p tcp --sport 143 -j ACCEPT
# Permitimos el acceso para la gestión SNMP:
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.6 -p udp --dport 161 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.6 -d 210.195.55.20 -p udp --sport 161 -j ACCEPT
# Acceso a nuestra IP para gestionar el servidor de correo
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.6 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 211.34.149.6 -d 210.195.55.20 -p tcp --sport 22 -j ACCEPT
## Ahora, accedemos al servidor 211.34.149.10 vía HTTPS
iptables -A FORWARD -d 211.34.149.10 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 211.34.149.10 -p tcp --sport 443 -j ACCEPT
# Acceso para Gestion, con RDP (Protocolo de escritorio remoto)
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.6 -p tcp --dport 3389 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.6 -d 210.195.55.20 -p tcp --sport 3389 -j
ACCEPT
## Servidor CITRIX y de BD 211.34.149.11
iptables -A FORWARD -d 211.34.149.11 -p tcp --dport 1494 -j ACCEPT
iptables -A FORWARD -s 211.34.149.11 -p tcp --sport 1494 -j ACCEPT
1. ¿En que consisten las IPtables y cuáles son sus usos? - Explique
2. ¿Cómo se clasifican las IPtables? – Detalle al especto.
3. ¿Qué ventajas y desventajas tiene el trabajar con IPtables?
OPERACIONES:
- Entender el funcionamiento de una red privada virtual.
- Configurando VPN para clientes remotos.
- Configurando el servidor de seguridad para Controlar y administrar las VPN
en entornos Microsoft y Linux.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Software para virtualizar equipos.
- Sistema operativo Windows server.
- Sistema operativo Windows para el equipo cliente.
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
DNS:
200.48.225.130
200.48.225.146
Recordar que para este ejercicio, así como los anteriores, se está tomando
como la red de Internet, la 192.168.1.0/24, pero en otros entornos puedes estar
trabajando directamente con IPs públicos.
El procedimiento es el siguiente:
1. Ingresar a la consola de administración del TMG:
20. Ahora, se creará una regla de enrutamiento de los clientes VPN hacia la
LAN, para lo cual hará clic secundario en “Redes” luego en “Nuevo” y
finalmente “Regla de red” (ver imagen):
28. Ahora, creará una regla de acceso de los clientes de VPN hacia la red
interna.
29. Esta nueva regla se llamará “VPN-INTERNA”:
30. Ahora, para comprobar la tarea, desde la PC que está en la red WAN
(Internet) se crea la VPN:
35. Verificará la entrega del IP por parte del servidor, en este caso: 172.16.0.3.
Se configuran las
redes.
Se coloca el IP para
la WAN (Internet).
Estas
configuraciones son
opcionales.
Aplicar la
configuración
realizada.
Se creará la Conexión
VPN similar a lo
realizado en la otra
sede.
16. Al final, entre las dos sedes se activará la conexión VPN, ya que pasará
a estado “ABIERTA”:
Se encuentra Abierta la
conexión VPN en la SEDE
1.
Se encuentra Abierta la
conexión VPN en la SEDE
2.
17. Ahora, debe configurar un equipo cliente para una sede y probará
conectividad entre ambas sedes.
FUNDAMENTOS TEORICOS:
Entender el funcionamiento de una red privada virtual.
Como ya es conocido, las redes de área local son las redes internas de las
organizaciones. Estas redes LAN se conectan cada vez con más frecuencia a
Internet mediante un equipo de comunicaciones. Muchas veces, en la
empresas necesitan comunicarse entre sedes o sucursales, clientes o incluso
con el personal que puede estar alejado geográficamente. Una forma de lograr
esto es a través de Internet, sin embargo, los datos transmitidos a través de
Internet son mucho más vulnerables que cuando viajan por la red interna de la
organización, ya que existe una alta probabilidad de que atraviese una
infraestructura de red pública que no sea segura por que algún usuario puede
estar escuchando la red y capture la información.
Si se busca una comunicación altamente segura, implicaría conectar redes
remotas mediante líneas dedicadas, pero es una solución de alto costo, sin
embargo, existe otro método mucho más económico pero no tan seguro, este
método consiste en utilizar enlaces vía VPN (Red Privada Virtual), que consiste
en utilizar Internet como medio de transmisión con un protocolo de túnel, que
permitiría que los datos se encapsulen y se cifren antes de ser enviados.
En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra
los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor
de acceso remoto) es el elemento que descifra los datos del lado de la
organización.
Protocolos de túnel.
Los principales protocolos de túnel son:
1. PPTP (Protocolo de túnel punto a punto) es un protocolo de capa 2
desarrollado por Microsoft, 3Com, Ascend, US Robotics y ECI Telematics.
2. L2F (Reenvío de capa dos) es un protocolo de capa 2 desarrollado por
Cisco, Northern Telecom y Shiva. Actualmente es casi obsoleto.
3. L2TP (Protocolo de túnel de capa dos), el resultado del trabajo del IETF
(RFC 2661), incluye todas las características de PPTP y L2F. Es un
protocolo de capa 2 basado en PPP.
4. IPSec es un protocolo de capa 3 creado por el IETF que puede enviar datos
cifrados para redes IP.
Ahora si se mostrará el
procedimiento para la
configuración de la VPN en el
cliente:
- Configurar las direcciones para los sitios remotos habilitados con NLB
(Network Load Balancing).