Seguridad de Redes Ii PDF

SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL
REDES DE COMPUTADORAS Y
COMUNICACIÓN DE DATOS
MANUAL DE APRENDIZAJE
SEGURIDAD DE REDES II
CÓDIGO: 89001738
Profesional Técnico
ÍNDICE
TAREA
CONTENIDO N° PÁG.
N°
I. ENTENDER LA IMPORTANCIA DE LA SEGURIDAD EN LA EMPRESA 5
ENTENDER LAS NORMAS Y ESTÁNDARES INTERNACIONALES SOBRE LA
II. 44
SEGURIDAD DE LA INFORMACIÓN.
III. RECONOCER LOS DIFERENTES TIPOS DE FIREWALL PARA LAS EMPRESAS. 56
REALIZAR UNA DESCRIPCIÓN GENERAL DE LOS PRODUCTOS FIREWALL
IV. 88
DE MICROSOFT E INSTALAR LOS MÁS UTILIZADOS.
IMPLEMENTAR LA ÓPTIMA CONFIGURACIÓN DE LA CACHE DEL

V. 121
SERVIDOR FIREWALL DE MICROSOFT.
VI. IMPLEMENTAR LAS DIRECTIVAS DE FIREWALL MÁS IMPORTANTES. 126
REALIZAR LA ÓPTIMA CONFIGURACIÓN DEL ACCESO A LOS RECURSOS
VII. 145
DE LA RED INTERNA MEDIANTE LA PUBLICACIÓN DE SERVIDORES.
VIII. REALIZAR LA CONFIGURACIÓN AVANZADA DE FILTROS. 164
CONFIGURAR LA SUPERVISIÓN Y LOS INFORMES UTILIZANDO EL
IX. 171
REALIZAR LA PROTECCIÓN DE LA RED DE LA EMPRESA UTILIZANDO UN
X. 184
SERVIDOR DE SEGURIDAD CON LINUX.
XI. IMPLEMENTAR LA SEGURIDAD UTILIZANDO IPTABLES. 214
IMPLEMENTAR UNA ÓPTIMA SEGURIDAD EN LAS REDES VPN CON
XII. 228
PRODUCTOS MICROSOFT Y LINUX.
ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 4

I. ENTENDER LA IMPORTANCIA DE LA SEGURIDAD EN LA EMPRESA.
OPERACIONES:
- Evaluar el nivel de seguridad de la red de datos en una empresa.
- Presentar un informe detallado de los problemas de seguridad encontrados
en la red de datos de la empresa.
EQUIPOS Y MATERIALES:
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad.
- Sistema operativo Windows.
- Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows Server 2008 o Windows Server 2012).
o Servidor Linux (Centos, Debian o algún otro).
- Software de simulación de redes.
- Software de virtualización de equipos.
1.1. EVALUAR EL NIVEL DE SEGURIDAD DE LA RED DE DATOS EN UNA

EMPRESA.
Para esta operación, se implementará un laboratorio de prueba para realizar
una demostración de un ataque controlado a la seguridad en una empresa.
Este laboratorio necesitará los siguientes requerimientos:
1. Máquina virtual con el sistema operativo Kali.
2. Máquina virtual con Servidor para pruebas.
Kali Linux es la nueva generación de la distribución Linux BackTrack, la cual se
utiliza para realizar Auditorías de Seguridad y Pruebas de Penetración.
Kali Linux está basada en GNU/Linux Debian y contiene una gran cantidad de
herramientas para capturar información, identificar vulnerabilidades,
explotarlas, escalar privilegios y cubrir las huellas.
Kali Linux es utilizado para realizar Pruebas de Penetración.

Kali Linux contiene una gran

diversidad de herramientas
para auditorias en seguridad
de la información.
Kali Linux tiene las siguientes características:

- Contiene una diversidad de herramientas de Pruebas de Penetración.
- Es Libre.
- Árbol Git Open Source.
- Cumple con FHS (estándar de jerarquía del sistema de archivos).
- Soporte para dispositivos inalámbricos.
- Entorno de desarrollo seguro.
- Se puede obtener en varios lenguajes.
- Completamente personalizable.
Herramientas de Kali Linux:
Estas herramientas están divididas en categorías:
1. Recopilación de información:
acccheck copy-router- enum4linux
config
ace-voip enumIAX
DMitry
Amap exploitdb
dnmap
Automater Fierce
dnsenum
bing-ip2hosts Firewalk
dnsmap
braa fragroute
DNSRecon
CaseFile fragrouter
dnstracer
CDPSnarf Ghost Phisher
dnswalk
cisco-torch GoLismero
DotDotPwn
Cookie Cadger goofile

hping3 p0f THC-IPV6

InTrace Parsero theHarvester
iSMTP Recon-ng TLSSLed
lbd SET twofi
Maltego Teeth smtp-user-enum URLCrazy
masscan snmpcheck Wireshark
Metagoofil sslcaudit WOL-E
Miranda SSLsplit Xplico
Nmap sslstrip
ntop SSLyze
2. Análisis de vulnerabilidad:
BBQSQL GSD Powerfuzzer
BED HexorBase sfuzz
cisco-auditing- Inguma SidGuesser
tool
jSQL SIPArmyKnife
cisco-global-
Lynis sqlmap
exploiter
Nmap Sqlninja
cisco-ocs
ohrwurm sqlsus
cisco-torch
openvas- THC-IPV6
copy-router-
administrator
config tnscmd10g
openvas-cli
DBPwAudit unix-privesc-
openvas- check
Doona
manager
Yersinia
DotDotPwn
openvas-
Greenbone scanner
Security
Oscanner
Assistant
3. Los ataques inalámbricos:

Aircrack-ng Bully Gqrx
Asleap coWPAtty gr-scan
Bluelog crackle kalibrate-rtl
BlueMaho eapmd5pass KillerBee
Bluepot Fern Wifi Kismet
Cracker
BlueRanger mdk3
Ghost Phisher
Bluesnarfer mfcuk
GISKismet

mfoc Reaver Spooftooph

mfterm redfang Wifi Honey
Multimon-NG RTLSDR Wifitap
Scanner
PixieWPS Wifite
4. Aplicaciones WEB:
apache-users joomscan ua-tester
Arachni jSQL Uniscan
BBQSQL Maltego Teeth Vega
BlindElephant PadBuster w3af
Burp Suite Paros WebScarab
CutyCapt Parsero Webshag
DAVTest plecost WebSlayer
deblaze Powerfuzzer WebSploit
DIRB ProxyStrike Wfuzz
DirBuster Recon-ng WPScan
fimap Skipfish XSSer
FunkLoad sqlmap zaproxy
Grabber Sqlninja
jboss-autopwn sqlsus
5. Herramientas de explotación:
Armitage cisco-ocs SET
Backdoor cisco-torch ShellNoob
Factory Commix sqlmap
BeEF crackle THC-IPV6
cisco-auditing- jboss-autopwn Yersinia
tool
Linux Exploit
cisco-global- Suggester
exploiter
Maltego Teeth
6. Herramientas de análisis forense:

Binwalk Capstone Cuckoo
bulk-extractor chntpw dc3dd

ddrescue
DFF
diStorm3
Dumpzilla
extundelete
Foremost
Galleta
Guymager
iPhone Backup
Analyzer
p0f
pdf-parser
pdfid
pdgmail
peepdf
RegRipper
Volatility
Xplico

Si se desease más información puede ingresar a la siguiente fuente:

http://tools.kali.org/.
Una de las herramientas más importantes es NMAP:

Nmap es una herramienta con licencia GPL y gratuita que se utiliza para la
exploración de las redes de datos y la seguridad. Es una aplicación
multiplataforma, ya que se puede instalar sobre Linux, Unix, Windows, Mac,
etc.
Nmap es una herramienta utilizada en auditorías de seguridad en empresas,
inventario de los equipos de red, actualización de servicios, monitorización de
la red, etc.
Es una herramienta muy útil para comprobar los puertos abiertos de una
máquina, con el objetivo de detectar posibles vulnerabilidades.
Nmap es un programa de
código abierto que es
utilizado para efectuar
rastreo de puertos en un
servidor.
Nmap utiliza el siguiente formato:
nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}
Donde:
El objetivo puede ser indicado por nombres de dominio, direcciones IP, redes,
etc.
Las opciones más básicas se encuentran en el siguiente cuadro:
Opción Acción
Lee una lista de nombres de dominio/redes

-iL <archivo_entrada>
del archivo.
Selecciona objetivos al azar.

-iR <número de sistemas>
Excluye ciertos sistemas o redes
--exclude <sist1[,sist2][,sist3],...>
Excluye los sistemas indicados en un
--excludefile <fichero_exclusión>
archivo.
Instalación de Kali:
Kali Linux puede ser instalado como cualquier distribución GNU/Linux, puede
ser también instalado en una unidad USB, o instalado en un disco cifrado.
Para realizar la instalación de esta distribución, tenga presente los siguientes
pasos:
1. Descargue el archivo ISO de la dirección:
http://www.kali.org/downloads/
Desde esta página

WEB se podrá
descargar el ISO de
Kali.
2. Luego creará una máquina virtual, utilizando VMware.

3. La máquina virtual tendrá las siguientes características:
a. Máquina con un disco duro de 800 GB a más.
b. Se debe realizar en una red protegida y preparada para este fin.
4. Ingresará a VMware y hará clic en “Crear nueva máquina virtual” y definirá
las características de la máquina virtual.

Al crear la máquina
virtual, indicará que
luego instalará el sistema
operativo.
5. Indicará el tipo de máquina virtual:
Indicará que tipo de

sistema operativo se
instalará en la máquina
virtual.
6. Indicará la ubicación en la cual se guardará la máquina virtual:

Indicará la ruta en la que se

guardará la máquina virtual.
7. Indicará la capacidad del disco duro:
Indicará la capacidad del

disco duro virtual.
8. Realizará las configuraciones de red adecuadas, si no se tiene una red

protegida prevista para este ejercicio, se debe utilizar “NAT” o “Host Only”.
Debe configurar la tarjeta de

red de tal forma que exista
comunicación entre kali y el
equipo al cual se le evaluará
la seguridad.

9. Se colocará la ruta en la cual se encuentra el ISO de Kali:
Indicará la ruta en la que se

encuentra la imagen ISO.
10. Se incrementará la memoria para la máquina virtual:
Indicará la cantidad de
memoria en la máquina
virtual.
11. Iniciará la máquina virtual:
12. Seleccionar la opción de instalación grafica (Graphical install).

13. Se iniciará el proceso de instalación gráfica.
14. Seleccionar el idioma y hacer clic en “Continue”:

Seleccionará el idioma en
el que se instalará Kali.
15. Aparecerá una advertencia con respecto al uso del idioma, hacer clic en
“Continuar”:
16. Debe indicar su ubicación, en este caso seleccionará “Perú”:
Seleccionará la ubicación para

que el sistema pueda fijar
correctamente la zona horaria.

17. Realizará la configuración del teclado, en este caso escogerá

“Latinoamericano”:
18. El equipo tratará de recibir una configuración IP desde un servidor DHCP,

en este caso no se ha instalado un servidor DHCP, haga clic en
“Continuar”:
19. En este caso, debe configurar la red de forma manual, colocando la

dirección IP, mascara, puerta de enlace y DNS:
En este ejemplo, se realizará la

configuración de la red en forma
manual, para lo cual se debe tener la
dirección IP, mascara y puerta de
enlace para que sea ingresada.
20. Primero ingresará la dirección IP, con la máscara, por ejemplo en este caso
colocará la dirección: 192.168.1.20/24:

21. Ahora ingresará la puerta de enlace:
Desde esta ubicación se irán colocando la dirección IP

del equipo, la mascara, la puerta de enlace (la pasarela)
y posteriormente las direcciones IP de los servidores
DNS.
22. Ahora debe ingresar las direcciones IP de los servidores DNS de la red de
datos:
23. Se realiza un testeo de red inicial:
24. Ingresará el nombre del servidor, en este caso se le colocará de nombre:

Kali:
25. Se colocará el nombre de dominio de la empresa:

26. Se ingresará la contraseña del usuario principal (usuario root):
Aquí se ingresará la contraseña del

usuario root (usuario administrador
del sistema).
27. Definirá la partición de los discos:
28. El sistema le informará que toda la información del Disco se borrará:
29. Escogerá la estructura deseada.

30. Finalizará el particionamiento:
Se creará la tabla de
particionamiento, la cual en este
caso tendrá tres particiones.
31. Se muestra la tabla de particionamiento final, seleccione “Si” a la consulta:

¿Desea escribir los cambios en los discos?:
Una vez creadas las particiones, se

formatearán para iniciar la instalación
del sistema.
32. Se iniciará la instalación:
33. Se iniciará la instalación del sistema:

34. Debe configurar el gestor de paquetes y además, debe indicar si se

utilizará una réplica de red, para esto el sistema debe encontrarse en
Internet:
Si se cuenta con Internet, puede crearse

una réplica en red.
35. Si el equipo se encuentra en Internet, se pueden complementar y actualizar

los paquetes instalados en Kali.
36. Se solicitará la dirección del proxy en caso que se utilice en la red:
37. En caso de haberse indicado que se utilizaría la réplica de red, se analizará

la réplica:

38. Se empezarán a descargar algunos ficheros:
39. Se instalará el arranque, en este caso se utilizará GRUB:
40. Se escogerá la ubicación en la cual se instalará:
41. Se terminará con la instalación:

42. Se reiniciará la computadora y cargará el sistema.

43. Colocará el usuario root y la contraseña y listo:
Se podrá visualizar el fondo de la

pantalla con el símbolo
representativo de Kali.
44. Se mostrarán varias aplicaciones:
Desde el menú de
aplicaciones podrá
apreciar los diversos
programas que se
incluyeron en la
instalación.
Ahora procederá a instalar Metasploitable 2, que es una máquina creada con

fines académicos, que ya posee varias vulnerabilidades.
El procedimiento es el siguiente:
1. Puede descargar Metasploitable 2 desde el sitio:
http://sourceforge.net/projects/metasploitable/files/Metasploitable2/.
2. Descomprimirá el archivo descargado.
3. Se ingresará a la máquina virtual.
4. Ingresará la cuenta de usuario: msfadmin.

5. Contraseña: msfadmin.
6. Existen diferentes estándares para realizar pruebas de penetración en redes

de datos, que son utilizadas para auditorias en seguridad informática, siendo
uno de los más importantes el indicado en la url:
http://www.pentest-standard.org/index.php/Main_Page.
7. Para realizar una prueba de penetración en una red de datos, es necesario

realizar diferentes etapas. La primera de ellas consiste en capturar
información sobre el sistema objetivo y comúnmente se le conoce como
etapa de reconocimiento. A partir de los datos obtenidos, se realizarán las
siguientes etapas. Una vez que los datos han sido recopilados y luego de un
detallado análisis, se procede a la etapa donde se realizará la explotación
sobre el sistema objetivo. La selección de los exploits que se utilizarán en la
prueba dependerán de la información obtenida en la etapa anterior.
Finalmente, una vez realizado el ataque, se analiza el impacto producido.
La documentación y la generación de reportes son la parte final de las
pruebas de penetración.
8. Primero se procederá a la captura de información que pueda ser valiosa
para la prueba con fines de auditorÍa.
9. Primero verificará que la conexión de red en los dos equipos esté
funcionando y que se encuentren en la misma red:

Podrá verificar la
configuración de red
ingresada en el sistema
durante la instalación:

En la máquina con Metasploitable, la configuración IP puede ser manual o

dinámica.
Si es manual, debe editar el fichero:
Sudo nano /etc/network/interfaces
Con la configuración:
auto eth0
iface eth0 inet static
address 192.168.1.40
netmask 255.255.255.0
gateway 192.168.1.1
10. Reiniciará el servicio: sudo /etc/init.d/networking restart

Luego verificará la configuración:

11. Ingresará a un terminal desde el sistema Kali e ingresará el comando:

> msfconsole
12. Se abrirá la aplicación:
13. Aparecerá el prompt de Metasploit.

14. Desde este prompt se ingresarán otros comandos.
15. Ingresará el comando: Nmap –v 192.168.1.0/24
16. Se descubrió la PC con el IP 192.168.1.40 con varios puertos abiertos:

17. El escaneo de la red y de los puertos lo almacenará en una base de datos,

para lo cual utilizará el comando: db_nmap –v 192.168.1.0/24
18. Para observar la información de forma ordenada, ahora utilizará los

comandos:
Hosts.
Services.

19. Ingresará un comando que muestre información más detallada con

respecto a un puerto:
Db_nmap –sV 192.168.1.40 –p 21
20. Ahora buscará el exploit que permitirá aprovechar la vulnerabilidad, en este

caso buscará el exploit para ftp (vsftpd 2.3.4).
Para esto, utilizará el comando: Search vsftpd 2.3.4
21. Ahora utilizará este exploit, para lo cual ingresará el comando:

Use exploit/unix/ftp/vsftpd_234_backdoor
Y también: show options:
22. Se nos indica en las opciones, que RHOST es requerido, para ello utilizará
el siguiente comando: Set RHOST 192.168.1.40
23. Ahora ingresará el comando: exploit y accederemos a los directorios del

servidor ftp atacado:

24. Ahora, ingrese el comando ls y podrá listar los directorios del servidor FTP
e ingresar luego a alguno de ellos y hasta borrar datos o modificarlos:
1.2. INFORMES DE PROBLEMAS DE SEGURIDAD ENCONTRADOS EN LA

RED DE DATOS DE LA EMPRESA:
En esta operación, el alumno debe realizar un informe sobre los problemas
relacionados con la seguridad de la información en la empresa en la cual
realizan la complementación de sus estudios prácticos, en caso que no sea
posible, se realizará el informe sobre la seguridad del centro de estudios o de lo
indicado por el instructor.
Luego de este informe, el alumno debe realizar un pequeño proyecto de mejora
para resolver estos problemas de seguridad.
FUNDAMENTO TEÓRICO:
Evaluar el nivel de seguridad de la red de datos en una empresa.
Existen diferentes puntos vulnerables en una red de datos, lo cual dependerá
de los servicios que se presten a los usuarios.
En este sentido aparece el concepto de “superficie de ataque del sistema” que
es el subconjunto de los recursos del sistema que un atacante puede utilizar
para perpetrar el ataque. Un atacante puede utilizar los puntos de entrada, los

puntos de salida, canales, y elementos de datos no confiables para enviar

(recibir) los datos en (de) el sistema para realizar el ataque (Manadhata, 2008).
Según Amaya Calvo, en informática, ‘superficie de ataque’ o ‘attack surface’ es
un concepto que refleja la exposición que un sistema tiene ante amenazas.
Podemos definir la ’superficie de ataque’ como la parte del sistema que está
sujeta a interacciones con usuarios sin autenticar.
El ataque informático puede realizarse desde diferentes frentes y consiste en
aprovechar algunas debilidades o fallas en el software, en el hardware, así
como debilidades en las personas que forman parte del sistema, a fin de
obtener un beneficio, comúnmente de tipo económico, causando un efecto
negativo en la seguridad del sistema, que puede generar pérdidas importantes
en la organización.
Para evaluar el nivel de seguridad en una empresa, se deben conocer los

diferentes tipos de ataques que se pueden presentar, ya que esto le otorgará la
ventaja de aprender a pensar como los atacantes y no deberá subestimarlos.
Tipos de ataques:
1. Ataques utilizando virus, gusanos y troyanos:
Las principales vulnerabilidades de las computadoras de los usuarios finales
se presentan debido a los ataques de virus, gusanos y troyanos.
Como recordará, un virus es un software malicioso que se agrega a otro
programa para ejecutar una función determinada que ocasionará un
problema en una computadora.
Un gusano es un software que ejecuta un determinado código e instala
copias de sí mismo en la memoria de la computadora infectada, que luego
infecta a otros hosts en la red.
Para dejar clara la diferencia entre virus y gusanos informáticos, debe tener
en cuenta que los virus requieren un programa huésped para ejecutarse,
mientras que los gusanos pueden ejecutarse solos, de tal forma que no
requieren la participación del usuario y pueden diseminarse muy
rápidamente, explotando las vulnerabilidades en las redes.
Un troyano es una aplicación que se parece a otra o se hace pasar por otra.
Cuando se descarga y ejecuta un troyano, ataca a la computadora del
usuario final desde el interior.
Los troyanos se clasifican de la siguiente forma:
a. Troyano de denegación de servicios de red (reduce la velocidad o detiene

la actividad en la red).

b. Troyanos de Acceso Remoto que le

permiten al intruso realizar un acceso
remoto no autorizado.
c. Troyano que convierte al equipo en un
proxy, por el cual se trasladarán los
paquetes enviados por las otras PCs.
d. Troyano para envío de datos desde el
equipo de la víctima, que provee al
atacante de datos sensibles como las
contraseñas de los usuarios legítimos.
e. Troyano para corrupción y eliminación de
archivos.
f. Troyano FTP, que permite la apertura del puerto 21.
g. Troyano que puede detener los programas antivirus y/o firewalls.
El principal recurso para la disminución de los ataques de virus, gusanos y

troyanos es el software antivirus. El software antivirus permite prevenir que los
hosts sean infectados y evitar la diseminación del código malicioso.
Actualmente, los productos de antivirus cuentan con una consola de
administración con la cual se pueden ver reportes detallados sobre la presencia
de los virus, gusanos o troyanos en los equipos de toda la red.

2. También existen metodologías de ataque que no son a través de virus,

gusanos y troyanos.
Entre estas metodologías se tienen:
a. Ataques de Reconocimiento: Tienen como base el descubrimiento y

mapeo de los sistemas, servicios o vulnerabilidades. Los ataques de
reconocimiento pueden utilizar:
- Sniffers de paquetes.
- Barridos de ping.
- Escaneo de puertos.
- Búsquedas de información en Internet.
Se debe tener en cuenta que los ataques de reconocimiento son
generalmente precursores a otros ataques, tales como los ataques de
acceso.
Para disminuir estos tipos de ataque, se pueden utilizar los siguientes
procedimientos:
- Implementar autenticación para evitar el acceso no autorizado.
- Utilizar cifrado para que los ataques que utilizan sniffrers no logren
resultados.
- Utilizar aplicaciones antisniffer.
- Utilizar firewalls e IPS.
b. Ataques de acceso: Los hackers utilizan estos tipos de ataques en las

redes o sistemas por diversas razones, como por ejemplo, para obtener
datos, para ganar acceso y para escalar privilegios de acceso y así poder
robar información muy valiosa.
Los ataques de acceso generalmente emplean ataques que permitan

averiguar las contraseñas utilizadas en el sistema. Los ataques de acceso
pueden ser implementados utilizando diversos métodos, tales como:
Ataques para descubrir

contraseñas: Como se indicó
anteriormente, el atacante intenta
descubrir las contraseñas del
sistema, lo cual se puede hacer a
través del ataque de diccionario y
con aplicaciones tales como
L0phtCrack, o LC5.

Ataque Man in the Middle (Ataque del hombre en el medio): El atacante

se ubica en el medio de una comunicación entre dos equipos que son
legítimos, para leer o modificar los datos que pasan entre las dos partes
con el objetivo de causar problemas en la empresa. Un ataque de este
tipo comúnmente involucra a una laptop actuando como un punto de
acceso no autorizado para capturar y copiar todo el tráfico de red de un
usuario o equipo determinado.
Redirección de puerto lógico: Se usa un equipo que ya fue tomado como

origen para los ataques contra otros objetivos en la red.
Desbordamiento de buffer: El programa

escribe datos más allá de la memoria
de buffer permitida. Los
desbordamientos de buffer surgen
generalmente como consecuencia de
un error en un programa generado en
lenguaje C, C++, etc. Un resultado del
desbordamiento es que los datos
válidos se sobre escriben para permitir
la ejecución de código malicioso.
Para disminuir los ataques de acceso, se pueden utilizar los siguientes

procedimientos:
- Utilizar contraseñas fuertes.
- Confianza mínima a los usuarios.
- Utilizar criptografía.
- Parches y actualizaciones de los sistemas operativos y aplicaciones.

c. Ataques de Denegación de Servicio: Es un ataque

de red que consiste en interrumpir el servicio a los
usuarios, dispositivos o aplicaciones. Muchos
mecanismos pueden generar un ataque de este
tipo. El método más simple es generar grandes
cantidades de tráfico de red. Este tipo de ataque
de DoS satura la red para que el tráfico de usuario
válido no pueda pasar.
Un ataque de DoS puede hacer que se envíen

paquetes de grandes tamaños que no son
esperados por la aplicación receptora en la red.
Además aparece un tipo de ataque denominado

Denegación Distribuida de Servicio (DDoS) que
es similar a un ataque DoS, excepto que un
ataque DDoS se origina en múltiples fuentes
coordinadas por lo tanto es un ataque más
sofisticado.
Algunos ejemplos de ataques de denegación de servicios son:
El ping de la muerte.
En este tipo de ataque, el atacante envía una solicitud de eco utilizando el
comando “ping”, pero el paquete IP es más grande que el tamaño de
paquete máximo de 65535 bytes, el hacer esto puede hacer colapsar la
computadora objetivo.
Ataque Smurf.
En este tipo de ataque, el hacker envía un gran número de solicitudes
ICMP a direcciones de difusión (broadcast), todas estas solicitudes se
hacen con direcciones de origen falsificadas de la misma red en la que se
encuentra la computadora de la víctima. Si el dispositivo de
comunicaciones envía el tráfico a esas direcciones de broadcast, todos

los host de la red destino enviarán respuestas ICMP, lo cual ocasionaría

el gran aumento del tráfico por cada host en la red.
Inundación TCP/SYN.
En este tipo de ataque, se envía una inundación de paquetes SYN TCP,
comúnmente con una dirección de origen falsa. Cada paquete se asume
como una solicitud de conexión, causando que el servidor genere una
conexión a medio abrir devolviendo un paquete SYN-ACK TCP y
esperando un paquete de respuesta de la dirección del remitente que se
supone que hizo la solicitud. Sin embargo, como la dirección origen de la
solicitud es falsa, la respuesta nunca llega. Estas conexiones que se
quedan a medio abrir saturan el número de conexiones disponibles que el
servidor puede atender, haciendo que este no pueda responder a
solicitudes reales hasta que el ataque haya terminado.
Para disminuir los ataques de DoS, se pueden utilizar los siguientes

procedimientos:
- ISP y Firewalls.

- Tecnologías para evitar las falsificaciones.

- Implementar Calidad de Servicio.
1.3. PRESENTAR UN INFORME DETALLADO DE LOS PROBLEMAS DE

SEGURIDAD ENCONTRADOS EN LA RED DE DATOS DE LA
EMPRESA.
Actualmente, en las empresas es vital que se tenga un gran cuidado con la
seguridad de la información, por lo tanto existen algunas normas que podrían
ayudar a obtener un óptimo nivel de seguridad.
En las empresas medianas y grandes se utiliza la familia de normas
internacionales ISO 27000.
Como se puede apreciar en la imagen siguiente, hay varias normas en la
familia ISO 27000:
Según estas normas, la organización de la seguridad se debe establecer con

las siguientes entidades:
CGSI: Comité de gestión de seguridad de la información.
COSI: Comité técnico de seguridad de la información.
Además se deben contar con los siguientes roles:
OSI: Oficial de seguridad de la información.

SI: Responsable seguridad informática.
Con respecto a los profesionales en seguridad, estos deben estar en constante

actualización y capacitación, para lo cual existen algunas organizaciones que

se preocupan por esto, inclusive algunas de estas otorgan certificaciones para

los profesionales que superen ciertas pruebas, entre estas organizaciones se
tienen:
- SysAdmin, Audit, Network, Security (SANS) Institute.
- Computer Emergency Response Team (CERT).
- International Information Systems Security Certification Consortium ((ISC)2
se dice "I-S-C-squared" en inglés).
- First.
- Mitre Corporation.
1.4. INFORMES DE PROBLEMAS DE SEGURIDAD ENCONTRADOS EN LA

RED DE DATOS DE LA EMPRESA.
Como se pudo ver en la sección anterior, la seguridad de la información en una
empresa debe seguir una serie de procesos, debe encontrarse sistematizada
donde todo el personal de la empresa debe estar comprometidos en su
cumplimiento.
La seguridad de la información no solo basta en instalar un firewall y listo,
abarca mucho más.
Lamentablemente en nuestro país no es muy común encontrar instituciones
que implementen un sistema de seguridad
adecuado.
En la mayoría de empresas, sobre todo en
las pequeñas y medianas no toman el tema
de seguridad de la información como un
factor importante para la continuidad del
negocio, inclusive en algunas ocasiones no
desean implementar políticas de seguridad
porque lo toman como un gasto
innecesario.
Según un importante estudio realizado por INTECO (Instituto Nacional de
Tecnologías de la Comunicación) y el Ministerio de Industria, Energía y
Turismo del Gobierno de España, denominado: “Estudio sobre seguridad de la
información y continuidad de negocio en las pymes españolas“, que puede ser
ubicado en la dirección: https://www.incibe.es/file/Sp61c9ljOlMT7jcjbxYNVQ se
puede resumir lo siguiente:
El universo de este estudio se compone de las pymes españolas con al menos
un ordenador conectado a Internet, estratificado en base al número de
empleados y sector de actividad.

La PYME, en España aglutina a gran parte del sector empresarial (99%),

contribuyendo en gran medida a la generación de riqueza económica.
En este estudio se denomina PYME a profesionales liberales y empresas de
hasta 250 trabajadores, en base a la clasificación establecida por la Comunidad
Europea.
A partir de este estudio podemos encontrar los siguientes indicadores:
- Las pymes participantes muestran un notable uso de las TIC. El ordenador
de sobremesa es la herramienta más imprescindible por el momento:
- Ante los problemas de seguridad, las empresas han implementado algunas

acciones entre las cuales se pueden citar:

- Con respecto a las comunicaciones móviles, se han aplicado diversos

procedimientos para permitir un mayor nivel de seguridad, siendo las más
importantes:
- En las empresas se debería asignar a una o un grupo de personas para que

se encarguen de velar por la seguridad de la información, ya que es muy
importante que se cumplan con los procedimientos que ayuden a mantener
un óptimo nivel de seguridad.
Según lo indicado anteriormente, el estudio muestra la siguiente información:

- Con respecto a las buenas prácticas en las empresas para contribuir con la
seguridad de la información, se pueden rescatar las siguientes
procedimientos:
o Copias de seguridad, siendo el lugar donde se guardan comúnmente
estas copias, en soporte físico (CDs, DVDs, etc.) en la propia empresa.
o Actualización de programas y sistemas, siendo la actualización
automática la más utilizada.
o Medidas de control de acceso a equipos y documentos, utilizando acceso
por contraseñas y mediante otros sistemas (DNI electrónico, tarjeta
inteligentes, biometría, etc.).
o Buenas prácticas en dispositivos móviles.
o Buenas prácticas para los empleados, de tal forma que el acceso a ciertos
contenidos está limitado con una herramienta de filtrado, está prohibido el
uso de Internet para uso personal (redes sociales, correo personal,
prensa, etc.).
- La mayoría de las empresas no cuentan con planes y políticas de seguridad,

siendo el resultado del estudio con respecto a ese punto, el siguiente:
- Existen pocas empresas que cuentan con la certificación 27001:

- La Gestión de la Continuidad de Negocio abarca una serie de actividades:

o Fase I – Diseño del Plan y establecimiento de la Política de Continuidad
de Negocio.
o Fase II – Conocimiento de los procesos de negocio de la organización y
análisis de riesgos.
o Fase III – Medidas preventivas.
o Fase IV – Estrategia de recuperación.
o Fase V – Desarrollo e implantación del Plan.
o Fase VI – Mantenimiento del Plan.
Lamentablemente, la mayoría de las empresas no gestiona la continuidad

del Negocio en caso de problemas graves, siendo los indicadores:

- Las razones por las cuales las empresas no han contemplado previsiones en
caso de situaciones que afecten al negocio son diversas, siendo las más
comunes:
Ejercicios y tareas de investigación
1. Visualizar los siguientes videos sobre la seguridad informática:
https://www.youtube.com/watch?v=KiuTyXehW-8
https://www.youtube.com/watch?v=lbHg84vi4uM
https://www.youtube.com/watch?v=zV2sfyvfqik
Realizar un resumen y conclusiones de lo observado y escuchado.
2. ¿Qué es un exploit y cómo funciona?

3. ¿Qué ventajas tiene el implementar un SGSI en una empresa?
4. ¿Qué tipos de ataques informáticos conoces?

II. ENTENDER LAS NORMAS Y ESTÁNDARES INTERNACIONALES

SOBRE LA SEGURIDAD DE LA INFORMACIÓN.
OPERACIONES:
- Entender la importancia de la aplicación de la familia de normas ISO/IEC
27000.
- Entender los Roles del Oficial de seguridad.
siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008).
- Software de simulación de redes.
- Software de captura de paquetes.
ORDEN DE EJECUCIÓN:
- Realizar políticas de seguridad con respecto al uso de dispositivos
extraíbles, unidades de disco y dispositivos móviles.
OPERACIONES:
El paticipante detectará los diversos problemas que se presentan en la
empresa donde se encuentra realizando la complementación de sus estudios
prácticos en el ámbito de la seguridad.

Cómo puede ayudar a esta empresa la implementación del ISO 27001 y un

SGSI en los siguientes ámbitos:
- Ordenamiento del negocio.
- Competitividad.
- Menores gastos.
- Cumplimiento de otras normas.
- Sensibilización del personal en torno a la seguridad informática.
- Creación de registros y bancos de datos seguros.
- Credibilidad y confianza en terceros agentes como proveedores.
- Disminución de incidentes informáticos.
- Otros.
Debe detallar cada uno de los beneficios en cada ámbito.
Además, indique, como podría ayudar la contratación de un Oficial de
seguridad de la información.
FUNDAMENTO TEORICO
ENTENDER LA IMPORTANCIA DE LA APLICACIÓN DE LA FAMILIA DE

NORMAS ISO/IEC 27000.
La Familia ISO 27000:2014 está conformado por las siguientes normas:
ISO/IEC 27000:
Esta norma fue publicada el 1 de Mayo de 2009, luego fue revisada el 01 de
Diciembre de 2012 y se implementó una tercera edición el 14 de Enero de
2014. Esta norma brinda una visión general de las normas que componen la
serie 27000, indicando para cada una de ellas su ámbito y el objetivo de su
publicación. Nos ayuda a entender el por qué de la implantación de un SGSI,
así como su establecimiento, monitorización, mantenimiento y mejora.
ISO/IEC 27001:
Esta norma fue publicada el 15 de Octubre de 2005 y revisada el 25 de
Septiembre de 2013. Esta norma es la más importante de la familia ISO 27000
e incluye los requisitos del sistema de gestión de seguridad de la información.
Es la norma que se utiliza para certificar a los auditores externos de los SGSIs
de las organizaciones.
ISO/IEC 27002:

Esta norma fue publicada el 1 de Julio de 2007. Es una guía de buenas

prácticas que describe los objetivos de control y controles recomendables en
cuanto a seguridad de la información. Esta norma no es certificable. Contiene
39 objetivos de control y 133 controles, agrupados en 11 dominios.
Actualmente, la última edición de 2013 tiene un total de 14 Dominios, 35
Objetivos de Control y 114 Controles.
ISO/IEC 27003:
Esta norma fue publicada el 01 de Febrero de 2010, esta norma no es
certificable. Es utilizada como guía
en los aspectos críticos para el
óptimo diseño e implementación de
un SGSI tomando en cuenta el ISO
27001.
ISO/IEC 27004:
La publicación de esta norma fue el
15 de Diciembre de 2009. Esta
norma no es certificable. Es una guía
para el uso de métricas y técnicas
para determinar la eficacia de un SGSI y de los controles implementados
según ISO/IEC 27001.
ISO/IEC 27005:
La publicación de esta norma fue el 15 de Junio de 2008 y la segunda edición
el 1 de Junio de 2011. Es una norma no certificable. Proporciona algunas
directrices para la gestión del riesgo en la seguridad de la información.
ISO/IEC 27006:
Esta norma fue publicada del 1 de Marzo de 2007 y tuvo una segunda edición
el 1 de Diciembre de 2011. Esta norma indica los requisitos para la acreditación
de entidades de auditoría y certificación de sistemas de gestión de seguridad
de la información.
ISO/IEC 27007:
Esta norma fue publicada el 14 de Noviembre de 2011. Es una norma no
certificable. Es una guía para realizar la auditoría de un SGSI y puede utilizarse
como un complemento de la norma ISO 19011.
ISO/IEC TR 27008:
Esta norma fue publicada el 15 de Octubre de 2011. Es una norma no
certificable. Es utilizada como una guía de auditoría de los controles
seleccionados en el marco de implantación de un SGSI.

ISO/IEC 27009:
Se encuentra en proceso de desarrollo. Es una norma no certificable. Es una
guía sobre el uso y aplicación de los principios de ISO/IEC 27001 tomando en
cuenta el sector de servicios específicos.
ISO/IEC 27010:
Esta norma fue publicada el 20 de Octubre de 2012. Consiste en una guía
para la gestión de la seguridad de la información cuando se comparte entre
organizaciones o sectores. Esta norma es aplicable a todas las formas de
intercambio y difusión de información sensible, tanto en organizaciones
públicas como privadas, a nivel nacional e internacional.
ISO/IEC 27011:
Esta norma fue publicada el 15 de Diciembre de 2008. Es una guía de
interpretación de la implementación y gestión de la seguridad de la información
en organizaciones del sector de telecomunicaciones basada en la norma
ISO/IEC 27002:2005.
ISO/IEC 27013:
Esta norma fue publicada el 15 de Octubre de 2012. Es una guía de
implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la
información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:
Esta norma fue publicada el 23 de Abril de 2013. Es una guía de gobierno
corporativo de la seguridad de la información.
ISO/IEC TR 27015:
Esta norma fue publicada el 23 de Noviembre de 2012. Es una guía de SGSI
orientada a organizaciones del sector financiero y de seguros.
ISO/IEC TR 27016:
Esta norma fue publicada el 20 de Febrero de 2014. Es una guía de valoración
de los aspectos financieros de la seguridad de la información aplicada en las
organizaciones.
ISO/IEC TS 27017:
Se espera que su publicación se realice próximamente. Consistirá en una guía
de seguridad para el nuevo servicio Cloud Computing.
ISO/IEC 27018:
Se publicó el 29 de Julio de 2014. Es un conjunto de buenas prácticas en
protección de datos para servicios de computación en cloud computing.

ISO/IEC TR 27019:
Esta norma fue publicada el 17 de Julio de 2013. Es una guía que hace
referencia a la norma ISO/IEC 27002:2005 para el proceso de sistemas de
control específicos relacionados con el sector de la industria de la energía.
ISO/IEC 27031:
Norma publicada el 01 de Marzo de 2011. No es una norma certificable. Es una
guía de apoyo para la adecuación de las TICs de una organización para lograr
la continuidad del negocio.
ISO/IEC 27032:
Esta norma fue publicada el 16 de Julio de 2012. Facilita orientación para la
mejora del nivel de seguridad cibernética, mostrando los aspectos únicos de
esa actividad y de sus dependencias en otros ámbitos de seguridad,
concretamente: Información de seguridad, seguridad de las redes, seguridad
en Internet e información de protección de infraestructuras críticas.
ISO/IEC 27033:
Aún se encuentra en desarrollo. Esta norma está dedicada a la seguridad en
redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2,
directrices de diseño e implementación de seguridad en redes; 27033-3,
escenarios de referencia de redes; 27033-4, aseguramiento de las
comunicaciones entre redes mediante gateways de seguridad; 27033-5,
aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP;
27033-7, redes inalámbricas.
ISO/IEC 27034:
Se encuentra en proceso. Esta norma está dedicada a la seguridad en
aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos
generales; 27034-2, marco normativo de la organización; 27034-3, proceso de
gestión de seguridad en aplicaciones; 27034-4, validación de la seguridad en
aplicaciones; 27034-5, estructura de datos y protocolos y controles de
seguridad de aplicaciones; 27034-6, guía de seguridad para aplicaciones de
uso específico.
ISO/IEC 27035:
Esta norma ha sido publicada el 17 de Agosto de 2011. Facilita una guía sobre
la gestión de incidentes de seguridad en la información.
ISO/IEC 27036:
Guía de seguridad en relación con los proveedores: 27036-1, visión general y
conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de
suministro TIC; 27036-4, seguridad en entornos de servicios Cloud.

ISO/IEC 27037:
Esta norma es publicada el 15 de Octubre de 2012. Es una guía que
proporciona reglas para las actividades relacionadas con la identificación,
recopilación, consolidación y preservación de evidencias digitales en teléfonos
móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de
navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros
dispositivos.
ISO/IEC 27038:
Esta norma fue publicada el 13 de Marzo de 2014. Es una guía relacionada con
la seguridad en la redacción digital.
ISO/IEC 27039:
Esta norma fue publicada el 11 de Febrero de 2015. Es una guía para la
selección, despliegue y operación de sistemas de detección y prevención de
intrusos.
ISO/IEC 27040:
Esta norma fue publicada el 05 de Enero de 2015. Es una guía para la
seguridad en medios de almacenamiento de datos digitales.
ISO/IEC 27041:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía para la
garantizar la disposición y ajuste de los métodos de investigación que tiene que
ver en temas de seguridad informática.
ISO/IEC 27042:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía con reglas para
el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Esta norma fue publicada el 04 de Marzo de 2015. Desarrolla los principios y
procesos de investigación para una óptima recopilación de evidencias
digitales.
ISO 27799:
Esta norma fue publicada el 01 de Julio de 2012. Es una norma que
proporciona directrices para apoyar la aplicación de un óptimo nivel de
seguridad de información en el sector sanitario, sobre los datos de salud de los
pacientes.

La norma ISO 27001:2014 es de gran importancia en el ámbito empresarial e

institucional, por ello, el 8 de enero de 2016, se emitió la RESOLUCIÓN
MINISTERIAL Nº 004-2016-PCM.
Esta resolución indica en su primer artículo, lo siguiente:
“Apruébese el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC
27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad de la Información. Requisitos. 2ª Edición”, en todas las
entidades integrantes del Sistema Nacional de Informática”.
Además se indica que las diversas entidades integrantes del Sistema Nacional
de Informática, tendrán un plazo máximo de dos años para la implementación
y/o adecuación de la presente norma.
Según lo indicado, se puede notar que el estado peruano está interesado en
lograr un alto nivel de seguridad de la información en las entidades integrantes
del Sistema Nacional de Informática.
El Sistema Nacional de Informática fue creado por Decreto Legislativo N° 604,
y tiene como fin el organizar las actividades y proyectos que en materia de
informática realizan las instituciones públicas del Estado, así como su relación
con otros sistemas y áreas de la Administración Pública.
Los miembros que conforman el Sistema Nacional de Informática son:
1. El Consejo Consultivo Nacional de Informática (CCONI).
2. El Comité de Coordinación Interinstitucional de Informática (CCOI).

3. Las Oficinas Sectoriales de Informática y demás Oficinas de Informática de

los Ministerios, de los Organismos Centrales, Instituciones Públicas
Descentralizadas y Empresas del Estado.
4. Las Oficinas Sectoriales de Informática y demás Oficinas de Informática de
los Ministerios, de los Organismos Centrales, Instituciones Públicas
Descentralizadas y Empresas del Estado.
5. Los Órganos de Informática de las Municipalidades.
6. Los Órganos de Informática de los Poderes Públicos y de los Organismos
Autónomos.
Si desea mayor información al respecto, puede acceder a las direcciones
electrónicas:
http://www.ongei.gob.pe/normas/0/NORMA_0_RESOLUCI%C3%93N_MINIST
ERIAL_N%C2%B0_004_2016_PCM.pdf.
http://www.ongei.gob.pe/quienes/ongei_quienes.asp?pk_id_entidad=1878&opci
ones=S
Detallando un poco más, en el ISO 27001 se pueden distinguir importantes
clausulas, de las cuales se realizará un breve resumen:
1. Cláusula 4. Contexto de la organización:
Esta cláusula se centra en identificar a los
clientes o beneficiarios del SGSI (Sistema
de gestión de la seguridad de la
información). Para lograr esto, está formado
a su vez por las siguientes subcláusulas:
- Entender la organización y su contexto.
- Entender las necesidades y expectativas
de las partes interesadas.
- Determinar el alcance del SGSI.
2. Cláusula 5. Liderazgo:
Aquí se indican los requisitos necesarios
para garantizar la puesta en marcha del
SGSI y establece las directrices de gestión
de alto nivel que deben motivar el funcionamiento del sistema en la empresa.
A su vez, esta cláusula está formada por las siguientes subcláusulas:

- Liderazgo y compromiso.
- Política de seguridad.
- Roles de la organización, responsabilidades y autoridad.

3. Cláusula 6. Planificación:
Esta cláusula muestra la secuencia de pasos para la creación del SGSI en
donde resaltan las tareas de toma de decisiones, proceso de identificación y
análisis del riesgo.
A su vez, esta cláusula está formada por las siguientes subcláusulas:

- Acciones para dirigir los riesgos y oportunidades.
- Objetivos y planes.
4. Cláusula 7. Soporte:
Esta cláusula establece qué medios serán necesarios cuando se encuentre
en marcha el SGSI. Permite identificar las necesidades materiales pero
también la importancia de las personas y de sus capacidades técnicas.
A su vez, esta cláusula se subdivide en:

- Recursos. - Comunicación.
- Competencias. - Documentación.
- Concienciación.
5. Cláusula 8. Operación.
Esta cláusula indica el cómo se garantizará el funcionamiento del SGSI una
vez que ha completado su fase de construcción.

- Planificación operativa y control.
- Análisis del riesgo.
- Tratamiento del riesgo.
6. Cláusula 9. Evaluación del rendimiento.

Esta cláusula es muy importante, sobre todo para la gestión que se encarga
de la búsqueda de resultados.
- Monitorización, medición, análisis y evaluación.
- Auditoría interna.
- Revisión por Dirección.
7. Cláusula 10. Mejoras:

Permite el ajuste o el control de desviaciones del SGSI donde las cosas que
no funcionan son documentadas para que sean corregidas y así anular las
consecuencias directas como las causas que las ocasionan con el objetivo
de lograr un óptimo desarrollo del SGSI.


- No conformidad y acción correctiva.
- Mejora continua.
ENTENDER LOS ROLES DEL OFICIAL DE SEGURIDAD INFORMÁTICA.

En las diferentes instituciones se requiere de una
persona encargada de coordinar, planear y
promover las actividades que tengan que ver con el
tema de la seguridad informática, esta persona debe
encargarse de evitar las intrusiones, robo de
información, problemas de virus, entre otros
incidentes; además, no existe una legislación
informática adecuada donde se tipifiquen
correctamente los delitos informáticos.
El propósito de tener un especialista como Oficial de Seguridad Informática
(OSI) es tener a alguien al cual se pueda acudir en caso de presentarse algún
problema de seguridad, este especialista también debe estar encargado de
difundir las alertas, definir procedimientos que reduzcan los incidentes de
seguridad.
El Oficial de seguridad informática, es el responsable de planear, coordinar y
administrar los diversos procesos de seguridad informática en una organización
con el fin de mantener la información protegida ante cualquier problema que
pueda presentarse.
Este especialista en seguridad debe difundir la cultura de seguridad informática
entre todos los miembros de la organización a fin de que se cumpla la política
de seguridad implementada.
Entre los objetivos que debe cumplir un Oficial de seguridad se tienen:
- Definir la misión de la empresa con referencia a la seguridad informática de
la organización en conjunto con las autoridades de la misma.
- Aplicar una adecuada metodología de análisis de riesgos para evaluar el
nivel de seguridad informática con la que cuenta la organización.
- Definir la Política de seguridad de la información en la organización.
- Definir los procedimientos a seguir para aplicar de forma óptima la Política
de seguridad informática implementada en la empresa.
- Promover la aplicación de auditorías tanto internas como externas para
evaluar el correcto desarrollo de las prácticas de seguridad informática
dentro de la organización.

Los deberes y responsabilidades del OSI deben

establecerse claramente y requieren ser
aprobados por la administración y/o directivos de
las organizaciones.
Entre los deberes y responsabilidades más
comunes que debe cumplir un OSI, se tienen:
- Debe realizar las coordinaciones diarias del
proceso de Seguridad Informática de la
institución donde se encuentra laborando.
- Tiene como responsabilidad asegurar el correcto funcionamiento del proceso
de Seguridad Informática de la institución. Debe ser capaz de guiar y
aconsejar a los usuarios de la institución sobre cómo desarrollar
procedimientos para la protección de los recursos.
- Una de las tareas más importantes es guiar ante cualquier Incidente, con el
fin de atender rápidamente este tipo de eventualidades.
- Es responsable de proponer y coordinar la realización de un análisis de
riesgos formal en seguridad de la información que abarque toda la
organización, ya que todos deben estar conscientes de la importancia de la
seguridad de la información.
- Promover la creación y actualización de las políticas de seguridad
informática.
- Desarrollar un Plan de Seguridad de la Información en la organización.
- Atender y responder inmediatamente las notificaciones de sospecha de un
incidente de seguridad o de incidentes reales.
- Crear una base de datos para el registro de incidentes en la red, la cual debe
poder ser accedida por los miembros del grupo de seguridad.
- Coordinar la realización periódica de auditorías.
- Establecer la misión y metas internas en cuanto
a la seguridad de la información, de acuerdo a la
misión y metas organizacionales.
- Administrar el presupuesto de seguridad
informática.
- Definir la estrategia de seguridad informática
(hacia dónde hay que ir y qué hay que hacer) y
definir los objetivos.
- Detectar las necesidades y vulnerabilidades de seguridad desde el punto de
vista del negocio y su solución.

1. ¿Cuáles son las ventajas de contar con normas y estándares

internacionales en el ámbito de seguridad de la información como el ISO
27000?
2. ¿Cuáles son las clausulas indicadas en la norma ISO 27001?
3. ¿Cuáles son los roles del oficial de seguridad informática en la empresa?.
4. ¿Cuál es la importancia de contar con auditorias en seguridad de la
información en la empresa?.

III. RECONOCER LOS DIFERENTES TIPOS DE FIREWALL PARA LAS

EMPRESAS.
OPERACIONES:
- Entender la importancia de los diferentes tipos de firewall para redes
empresariales.
- Comprender el funcionamiento de los firewall por hardware.
- Comprender el funcionamiento de los firewall por software.
- Sistema operativo Windows 7.
- Navegadores instalados: Internet explorer, Chrome y Firefox.
1.1. IMPORTANCIA DE LOS DIFERENTES TIPOS DE FIREWALL PARA

REDES EMPRESARIALES.
El ejercicio práctico consistirá en realizar la configuración de un Cisco ASA
para proteger una red (la configuración se puede realizar utilizando un
simulador como Packet Tracert o un emulador como GNS3).
La topología es la siguiente:
Se realizará la configuración según la siguiente tabla:

Default Switch
Device Interface IP Address Subnet Mask Gateway Port
Fa0/0 209.165.200.225 255.255.255.248 N/A ASAEt0/0

R1
Se2/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
Se2/0 10.1.1.2 255.255.255.252 N/A N/A

R2
S3/0 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
Fa0/0 172.16.3.1 255.255.255.0 N/A S3 F0/1

R3
Se2/0 10.2.2.1 255.255.255.252 N/A N/A
ASA VLAN 1 (Et0/1) 192.168.1.1 255.255.255.0 NA S2 F0/1

(Inside)
ASA VLAN 2 (Et0/0) 209.165.200.226 255.255.255.248 NA R1 Fa0/0
(Outside)
ASA VLAN 3 (Et0/2) 192.168.2.1 255.255.255.0 NA S1 Fa0/1
(DMZ)
DMZ NIC 192.168.2.3 255.255.255.0 192.168.2.1 S1 Fa1/1

Server
PC1 NIC 192.168.1.3 255.255.255.0 192.168.1.1 S2 Fa1/1
PC0 NIC 172.16.3.3 255.255.255.0 172.16.3.1 S3 Fa1/1
Realizar el siguiente procedimiento:

Configuracion en el router R1:
Router>
Router>
Router>enable
Router#confi
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address 209.165.200.225 255.255.255.248
R1(config-if)#no shut
R1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state

to up
R1(config-if)#exit
R1(config)#int se2/0

%LINK-5-CHANGED: Interface Serial2/0, changed state to down

R1(config-if)#
R1(config-if)#clock rate 64000
R1(config-if)#
En el router R2:
Router>
Router>en
Router#
Router#conf
R2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R2(config-if)#exit
R2(config)#int
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
se3/0
R2(config-if)#exit
R2(config-if)#
R2(config-if)#clock rate 64000
%LINK-5-CHANGED: Interface Serial3/0, changed state to down

R2(config-if)#
R2(config-if)#
En el router R3:
Router>
Router>en
Router#
Router#config


R3(config)#int fa0/0
R3(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state

to up
R3(config-if)#exit
R3(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R3(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
Configurar una ruta estática por defecto de R1 a R2 y de R3 a R2:
R1#conf
R1(config)#ip route 0.0.0.0 0.0.0.0 se2/0
R1(config)#
R3>
R3>en
R3#
R3#conf
R3(config)#
Configurar una ruta estática de R2 a la R1 (conectado a la interfaz ASA )

y una ruta estática de R2 a la LAN R3.
R2>
R2>en
R2#

R2#conf
R2(config)#
En R1, configurar la consola de línea 0 y Telnet para utilizar la base de

datos de usuarios locales para los inicios de sesión. Para mayor
seguridad, el comando exec-timeout hace que la sesión se cierre después
de cinco minutos de inactividad.
R1(config)#username admin01 secret eti2016

R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#exec-timeout 5 0
R1(config-line)#logging synchronous
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exec-timeout 5 0
R1(config-line)#
Configurar los equipos con los IP adecuados, según la tabla:
DMZ Server:
PC1:

PC0:
Iniciará la configuracion del ASA de Cisco:
ciscoasa>
ciscoasa>enable
Password:
Invalid password
Password:
ciscoasa#show version
Determinar el sistema de archivos y contenido de la memoria flash:

ciscoasa#show file system
Puede restaurar el ASA a su configuración predeterminada de fábrica

utilizando el comando de configuración predeterminada de fábrica.

ciscoasa#conf t
ciscoasa(config)#configure factory-default
Utilizar el comando de borrado de escritura para eliminar el archivo de

configuración de inicio de la memoria flash y reinicie:
ciscoasa#
ciscoasa#write erase
Erase configuration in flash memory? [confirm]
[OK]
ciscoasa#reload
Proceed with reload? [confirm]
Se reiniciará:
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting.....
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
Low Memory: 632 KB

High Memory: 507 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 01 00 1022 2080 Host Bridge
00 01 02 1022 2082 Chipset En/Decrypt 11
00 0C 00 1148 4320 Ethernet 11
00 0D 00 177D 0003 Network En/Decrypt 10
00 0F 00 1022 2090 ISA Bridge
00 0F 02 1022 2092 IDE Controller
00 0F 03 1022 2093 Audio 10
00 0F 04 1022 2094 Serial Bus 9
00 0F 05 1022 2095 Serial Bus 9
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON

Cisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT 2008
Platform ASA5505
Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.
Boot in 9 seconds
Boot in 8 seconds
Boot in 7 seconds
Boot in 6 seconds
Boot in 5 seconds
Boot in 4 seconds
Boot in 3 seconds
Boot in 2 seconds
Boot in 1 second
Launching BootLoader...
Default configuration file contains 1 entry.
Searching / for images to boot.
Loading /asa842-k8.bin... Booting...

Platform ASA5505
Loading...
IO memory blocks requested from bigphys 32bit: 9672
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.
Starting verification pass.
/dev/hda1: 152 files, 35584/62780 clusters
dosfsck(/dev/hda1) returned 0
Processor memory 348127232, Reserved memory: 62914560
Total SSMs found: 0
Total NICs found: 10

88E6095 rev 2 Gigabit Ethernet @ index 09 MAC: 0000.0003.0002
88E6095 rev 2 Ethernet @ index 08 MAC: 000A.F354.3008

y88acs06 rev16 Gigabit Ethernet @ index 00 MAC: 44d3.caef.1e22

Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode : CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.06
Verify the activation-key, it might take a while...
Running Permanent Activation Key: 0xK5R42O9A 0xSY4GKFL1 0xPC1B4GIK
0xZ9NYE0K9 0x529M7G25
Licensed features for this platform:

Maximum Physical Interfaces :8 perpetual
VLANs :3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports :0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers :2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 25 perpetual
Shared License : Disabled perpetual
AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions :2 perpetual
Total UC Proxy Sessions :2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
This platform has a Base license.

Cisco Adaptive Security Appliance Software Version 8.4(2)
****************************** Warning *******************************

This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic

products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by

sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2011 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706
Reading from flash...

!
Flash read failed
ERROR: MIGRATION - Could not get the startup configuration.
Configuration has non-ASCII characters and will be ignored.
Cryptochecksum (changed): d41d8cd9 8f00b204 e9800998 ecf8427e
INFO: MIGRATION - Saving the startup errors to file

'flash:upgrade_startup_errors_201310031651.log'
Pre-configure Firewall now through interactive prompts [yes]:
Luego del reinicio, se podrá ver un asistente para las configuraciones básicas:

Firewall Mode [Routed]:
Enable password [<use current password>]:senati
Allow password recovery [yes]?
Clock (UTC):
Year [1993]: 2016
Month [mar.]:

Day [1]: 20
Time [00:03:00]: 10:00:00
Management IP address:192.168.1.1
Management network mask:255.255.255.0
Host name:ASA
Domain name:senati.edu.pe
IP address of host running Device Manager:
The following configuration will be used:

Enable password: senati
Allow password recovery: yes
Clock (UTC): 10:00:00 mar. 20 2016
Firewall Mode: Routed
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: asa
Domain name: senati.edu.pe
Use this configuration and write to flash?

CONFIGURACIÓN DE LOS PARÁMETROS ASA Y SEGURIDAD DE

INTERFAZ CLI.
asa#config t
asa(config)#hostname ASA-SENATI
ASA-SENATI(config)#domain-name senati.edu.pe
ASA-SENATI(config)#passwd cisco
ASA-SENATI(config)#enable password class
ASA-SENATI(config)#clock set 10:00:00 april 04 2016
ASA-SENATI(config)#
Configurar las interfaces interna y externa:
ASA-SENATI(config)#interface vlan 1
ASA-SENATI(config-if)#nameif inside
ASA-SENATI(config-if)#ip address 192.168.1.1 255.255.255.0
ASA-SENATI(config-if)#security-level 100
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#interface vlan 2
ASA-SENATI(config-if)#nameif outside

ASA-SENATI(config-if)#
ASA-SENATI(config-if)#exit
ASA-SENATI(config)#int et0/1
ASA-SENATI(config-if)#switchport access vlan 1
ASA-SENATI(config-if)#no shutdown
ASA-SENATI(config-if)#int et0/0
ASA-SENATI(config-if)#exit
ASA-SENATI#show interface ip brief
ASA-SENATI#show switch vlan
Configurar una ruta estática por defecto para la ASA:
ASA-SENATI(config)#route outside 0.0.0.0 0.0.0.0 209.165.200.225
Configurar el uso de la traducción de direcciones de red PAT:

ASA-SENATI(config)#
ASA-SENATI(config)#object network INSIDE-NET
ASA-SENATI(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA-SENATI(config-network-object)#nat (inside,outside) dynamic interface
ASA-SENATI(config-network-object)#end
ASA-SENATI#
Configuring DHCP, AAA SSH:
ASA-SENATI(config)#dhcpd address 192.168.1.5-192.168.1.36 inside

ASA-SENATI(config)#dhcpd enable inside
Definir un usuario local llamado admin y especificar una contraseña:
ASA-SENATI(config)# username admin password etisenati
Configurar AAA para usar la base de datos local de ASA para la

autenticación de usuario SSH.
ASA-SENATI(config)#aaa authentication ssh console lOCAL.
CONFIGURANDO DMZ, STATIC NAT Y ACLs:
Configure la DMZ en la interface VLAN 3:
ASA-SENATI(config)# interface vlan 3

ASA-SENATI(config-if)#nameif DMZ
ASA-SENATI(config-if)#no forward interface vlan 1
ASA-SENATI(config-if)#nameif DMZ
ASA-SENATI(config-if)#security-level 70
ASA-SENATI(config-if)#no shutdown
Asignar la interfaz física E0 / 2 del ASA a la VLAN 3 que es en la cual se

encuentra la DMZ y activar la interfaz.
ASA-SENATI(config)#interface Ethernet0/2
Mostrará el estado de todas las interfaces utilizando el comando show

interface IP Brief.
ASA-SENATI#show interface ip brief

Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up
Ethernet0/3 unassigned YES unset down down
Vlan1 192.168.1.1 YES manual up up
ASA-SENATI#
Mostrar la información de capa 3 de las interfaces VLAN:.
ASA-SENATI(config)#show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
ASA-SENATI(config)#
ASA-SENATI(config)#show switch vlan
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 inside up Et0/1, Et0/3, Et0/4, Et0/5
Et0/6, Et0/7
2 outside up Et0/0
3 DMZ up Et0/2
CONFIGURAR NAT ESTÁTICA PARA EL SERVIDOR DMZ UTILIZANDO UN

OBJETO DE RED.
ASA-SENATI(config)#object network DMZ-server

ASA-SENATI(config-network-object)#host 192.168.2.3
ASA-SENATI(config-network-object)#nat (dmz,outside) static 209.165.200.227
FUNDAMENTO TEÓRICO.
Entender la importancia de los diferentes tipos de firewall para redes

empresariales.
Hace muchos años, cuando recién aparecían las primeras redes de
computadoras, estas eran muy pequeñas, pero luego continuaron creciendo,
de tal forma que se les utilizó para transferir y almacenar datos sensibles para
los usuarios y las empresas, por lo cual fue necesario crear tecnologías de
seguridad más fuertes, lo cual conllevó a la creación del firewall. El término
"firewall" significaba pared a prueba de fuego (fireproof wall), que era elaborada
de piedra o metal, que evitaba que se extendiera el fuego de una estructura a
otra. El mismo concepto se aplica a las redes de datos, los firewalls separan las
áreas protegidas, que contienen información valiosa, de las otras áreas. Esto
impide a los usuarios sin autorización, puedan acceder a los recursos en las
redes protegidas.
Los primeros medios para prestar este tipo de

protección eran las listas de control de acceso
(ACL), incluyendo los tipos estándar,
extendidas, numeradas y nombradas. Luego
aparecieron tecnologías de firewall más
avanzadas.
Los primeros firewall que aparecieron fueron

los firewalls de estados, estos tipos de firewall utilizan tablas para seguir el
estado de las sesiones end-to-end y estos registros se realizan en tiempo real.
Estos firewall toman en cuenta el tipo de sesión que genera el tráfico de red.

Actualmente hay muchos tipos de firewalls disponibles, por ejemplo, los

firewalls de estados, de filtrado de paquetes, de gateway de aplicación (proxy),
de traducción de direcciones, transparentes, híbridos, basados en hosts, etc.
Los diseños de redes empresariales actuales requieren el uso de firewalls

cuidadosamente colocados de modo que puedan proteger los recursos más
valiosos de la empresa: “La información”.
En las redes modernas, el firewall de la red debe ubicarse entre la red interna y
la red externa. Se debe bloquear el acceso a determinados tráficos de red
salvo que se lo permita explícitamente por medio de una ACL, o, si se trata de
tráfico de retorno, que el mismo se corresponda con tráfico que se inició dentro
de la red interna. Esta es la tarea fundamental de un firewall de red, ya sea un
dispositivo de hardware dedicado o un router con un IOS firewall.
El firewall aplica políticas de control de acceso entre diversas redes.
Según lo indicado en el CCNA Security, los firewalls tienen las siguientes

propiedades comunes:
- Resistencia ante los ataques.

- Son el único punto de tránsito entre las redes (todo el tráfico fluye a través
del firewall de red).
- Aplican políticas de control de acceso a las diferentes redes en una
organización.
Tipos de Firewalls.
Existen varios tipos de firewalls de filtrado, siendo los más comunes:
Firewall de filtrado de paquetes: Comúnmente se trata de un router con la

capacidad de filtrar paquetes con un determinado tipo de contenido, como
información de la capa 3 del modelo OSI.
El firewall de paquetes en algunos casos también puede trabajar con

información de la capa de transporte, como protocolos y números de puerto de
origen y puerto destino.

Firewall con estados: Este firewall permite monitorear el estado de las

conexiones, las cuales pueden estar en estado de iniciación, transferencia de
datos o terminación.
Firewall gateway de aplicación: Este tipo de firewall logra filtrar según la

información de las capas 3, 4, 5 y 7 del modelo OSI.
Firewall de traducción de direcciones: Aumenta el número de direcciones

lógicas (direcciones IP) disponibles.
También existen otros tipos de firewall básicos, tales como: firewall basado en
hosts, firewall transparente, firewall híbrido.

Se debe tener en cuenta que el uso de los firewall solo es parte de la

seguridad, ya que debemos utilizar más herramientas, como por ejemplo:
- Implementar una política de seguridad.
- Controlar el acceso físico a la información.
- Instalar los parches y actualizaciones de los sistemas y aplicaciones.
- Proteger con contraseña los datos sensibles.
- Uso de antivirus, etc.
También podemos clasificar a los firewall por software y por hardware.
Firewall por Software:

En este tipo de firewall, se pueden identificar dos clases: el primero es gratuito,
además se le conoce con el nombre de software firewall, que puede ser
empleado sin costo alguno e inclusive algunos vienen ya incorporados en los
sistemas operativos. Su fin es evitar el acceso de cierta clase de información a
las computadoras personales.
Existen también los firewalls comerciales. Estos sistemas de software cuentan

con similar funcionamiento que los firewall gratuitos, pero además se les
agrega superiores niveles de control y protección. En la mayoría de casos, son
comercializadas con otros sistemas de seguridad como antivirus, para que
generen mayor protección.
Existen aún algunos firewall de software que son utilizados para asegurar una
red, como por ejemplo:
- Por el lado de Microsoft, tenemos:

o La familia de productos Forefront (actualmente la mayoría están
descontinuados).
o System Center 2012 R2 Configuration Manager and Endpoint Protection
SP1. (para descargar una versión de prueba puede acceder al enlace:
https://www.microsoft.com/en-us/evalcenter/evaluate-system-
center-2012-r2-configuration-manager-and-endpoint-protection

- Por el lado de Linux:

o SmoothWall Express.
o Iptables con Gufw.
o Netfilter, etc.
Firewall por hardware:

Los cortafuegos por hardware, son dispositivos específicos instalados en una
red para brindar una defensa y protección óptima.
Los Firewalls que tienen mayor costo son los filtros Hardware, que producen
una conmutación más rápida que un firewall por software que corre en un
equipo con un hardware común (el Hardware de los “Firewall por Hardware”
esta optimizado para esas tareas), y además proporcionan un nivel de
seguridad alto, pudiéndose actualizar constantemente y así lograr mejoras. Los
nuevos tipos de ataques cada vez más sofisticados han provocado que las
soluciones de seguridad perimetral mejoren y evolucionen siendo una de estas
mejoras los UTM (Unified Threat Management o en español “Gestión unificada
de amenazas”).
Un UTM se refiere a un producto de seguridad integral que incluye varios tipos

de protección. Un producto UTM normalmente incluye en la actualidad un
firewall, software antivirus, filtrado de contenidos y un filtro de spam, todo
integrado.
Los más importantes proveedores de UTM

son: Fortinet, Palo Alto, Sophos, Secure
Computing Corporation, Symantec, etc.
Las principales ventajas de la UTM son la

sencillez, la instalación y el uso
racionalizado, y la capacidad de actualizar
todas las funciones de seguridad o
programas simultáneamente.
Han surgido dispositivos de Cisco que

permiten mayor nivel de protección, estas soluciones son: el ISR con

habilitación de firewall y el Cisco Adaptive Security Appliance (ASA).
Un ASA proporciona una solución de firewall muy completa. Un ejemplo es el

Cisco serie ASA 5500. Este dispositivo entrega una escalabilidad superior, un
amplio rango soluciones tecnológicas.
Cuando deseamos brindar seguridad a pequeñas sucursales, una posible

solución sería colocar un router firewall, pero esto no sería útil para una
empresa de gran tamaño.
En el curso CCNA Security se detallan algunas características de los

dispositivos de seguridad que cuentan con ASA.
Existen por el momento, seis modelos de ASA, que van desde el modelo 5505
utilizado con pequeñas sedes, hasta la versión 5585 para Data Center. Todos
proporcionan funciones de firewall stateful y funcionalidad VPN.
Los dispositivos Cisco ASA son escalares para satisfacer una serie de
requisitos y tamaños de red. La elección del modelo ASA dependerá de las
necesidades de la organización. El software ASA combina firewall,
concentrador VPN, y la funcionalidad de prevención de intrusiones.
Entre las funciones de ASA se tienen:
- Virtualización ASA.
- Dos ASA idénticas pueden estar vinculados a una configuración de
conmutación por error de tal forma que uno este activo y el otro en espera
para proporcionar redundancia.
- El ASA utiliza Active Directory con lo cual puede recuperar la información de
identidad del usuario actual.
- ASA posee control de amenazas y servicios de contención.
- Todos los modelos de ASA se pueden configurar y administrar mediante la
interfaz de línea de comandos (CLI) o el Administrador de dispositivos de
seguridad adaptable (ASDM) que consiste en un navegador creado en Java.

Hay dos modos de funcionamiento del cortafuego disponible en los dispositivos

ASA:
- Modo Enrutado: es el modo tradicional para la implementación de un

servidor de seguridad, donde hay dos o más interfaces que separan redes
de Capa 3.
- Modo Transparente: En este modo, el ASA no es considerado un salto
router. Similar a un conmutador de capa 2, el ASA sólo requiere una
dirección IP de administración configurado en el modo de configuración
global.
CONFIGURACIÓN BÁSICA DEL CISCO ASA.

Primero se empezará con una breve descripción de este firewall.
El Cisco ASA 5505 es un dispositivo que brinda un importante nivel de

seguridad para pequeñas empresas, oficinas y entornos empresariales. Es un
firewall que soporta SSL VPN, IPSec VPN y servicios de calidad de red en un
sistema modular.
En el panel frontal del ASA 5505 podemos encontrar los siguientes elementos
(empezando desde el lado izquierdo al derecho):

- Puerto USB - Reservado para uso futuro.

- LEDs indicadores de Velocidad y LEDs indicadores de enlace y actividad.
- Power LED: Es de color Verde e indica que el aparato está encendido.
- LED de estado: Es de color Verde y se muestra intermitente, indicando que
el sistema está arrancando y las pruebas de encendido se ejecutan, Toma
un color ámbar sólido cuando las pruebas de arranque fallan.
- LED activo: Indica que el Firewall ASA Cisco está activo.
- VPN LED: Este LED es de color Verde fijo e indica que uno o más túneles
VPN están activos.
- LED SSC: Este LED Verde fijo indica que una tarjeta SSC (Servicios de
seguridad de la tarjeta) está presente.
La parte posterior de los Cisco ASA 5505 tienen las siguientes características:
- Conector de energía que trabaja a 48 VDC.

- Un Switch de 8 puertos RJ-45 que pueden transmitir a las velocidades
10/100 Fast Ethernet (10 Mbps/ 100 Mbps). Los puertos 6 y 7 trabajan con la
tecnología PoE (Energía sobre Ethernet) para simplificar el uso de los
teléfonos, cámaras y Access point.
- Dos puertos USB de tecnologías USB 2.0.

- Un slot SSC para agregar una tarjeta AIP-SSC (Cisco Advanced Inspección-
SSC). La tarjeta de AIP-SSC permite que el Cisco ASA proporcione
servicios de prevención de intrusiones para detener el tráfico malicioso antes
de que pueda afectar a una red.

- La memoria DRAM por defecto es de 256 MB (ampliable a 512 MB) y

memoria flash interna por defecto es de 128 MB para el Cisco ASA 5505.
- Puerto serial de consola para configuración.
- Ranura de bloqueo para seguridad.
- Botón de reseteo.
El ASA define diversos niveles de seguridad para distinguir entre redes internas
y externas. Los niveles de seguridad ayudan a definir el nivel de confiabilidad
de las interfaces. Cuanto más alto sea el nivel, más confianza se tendrá en la
interfaz. Los números que sirven para definir el nivel de seguridad oscilan entre
0 (no fiable) a 100 (muy fiable). Cada interfaz para operar debe tener un
determinado nombre y un nivel de seguridad asignado.
Cuando el tráfico se mueve de una interfaz con un nivel de seguridad alto a

una interfaz con un nivel de seguridad bajo, se considera tráfico de salida, el
tráfico en sentido contrario es denominado: tráfico entrante.
Los niveles de seguridad ayudan a controlar los accesos a la red.
El ASA 5505 tiene ocho puertos integrados de conmutación de capa 2, y por lo

tanto no se pueden asignar direcciones IP directamente.
En el ASA los parámetros de capa 3 se configuran en una interfaz de

conmutador virtual (SVI). El SVI requiere un nombre, nivel de interfaz de
seguridad y la dirección IP. A los puertos del switch de capa 2 se les asigna
una VLAN específica y como sabemos, los puertos del switch que pertenecen
a la misma VLAN pueden comunicarse entre sí.
En una pequeña empresa, el ASA 5505 puede colocarse en la infraestructura

de red creando las siguientes VLAN: La red interior puede estar en la VLAN 1
para conectar las estaciones de trabajo, las cámaras IP y los teléfonos IP, una

VLAN DMZ para conectar un servidor web de la compañía. La interfaz exterior

puede estar conectada a una VLAN 2 que se utilizaría para conectarse a
Internet.
Para el caso en que se implemente una infraestructura más grande (una

empresa mediana o grande), el ASA 5505 puede ser utilizado por los usuarios
para conectarse a una ubicación centralizada mediante una red privada virtual
(VPN) ya sea desde otras sucursales o sus hogares.

Existen otros equipos Cisco ASA, como por ejemplo, el ASA 5510, 5520, 5540,
5550, 5580. Cada uno de estos tiene ranuras de expansión para módulos de
servicios de seguridad.
Configuración del Firewall ASA

El Firewall ASA puede ser configurado y administrado mediante la interfaz de
línea de comandos (CLI) o una interfaz gráfica denominada (ASDM). Hay una
diversidad de comandos que se utilizan en el firewall ASA y que son muy
similares a los que son utilizados en los IOS de los routers Cisco.
El Cisco ASA ofrece los siguientes modos de acceso:
Modo User EXEC: ciscoasa>
Modo Privilegiado EXEC:

ciscoasa# config t
Modo de configuración global:

ciscoasa (config) #
Existen varios sub-modos de configuración:
Por ejemplo: ciscoasa (config-if) # ROMMON
ROMMON>
En el modo ROMMON, se puede utilizar un servidor TFTP para cargar una

imagen del sistema en el dispositivo de seguridad. Además, este modo
ROMMON también se utiliza para recuperar la contraseña del sistema.
El ASA 5505 viene con una configuración por defecto que incluye dos redes
VLAN: VLAN1 y VLAN2. VLAN 1 es para la red interior y la VLAN 2 es para la
red exterior.

La interfaz también proporciona direccionamiento DHCP y funciones NAT. Los

clientes de la red interna pueden obtener una dirección IP dinámica del firewall
ASA para que puedan comunicarse entre sí y con los dispositivos en Internet.
En concreto, la configuración predeterminada que viene de fábrica para el ASA

5505 contiene lo siguiente:
- Un nombre de host predeterminado, el cual es: ciscoasa.

- Consola habilitada con contraseñas en blanco.
- En la interfaz VLAN 1 incluye el Ethernet 0/1 hasta el Ethernet 0/7 del switch.
- La VLAN 1 tiene la dirección IP 192.168.1.1 y la máscara 255.255.255.0.
- La red externa es la VLAN 2 que incluye la interface Ethernet 0/0 del Switch.
La VLAN 2 obtiene su dirección IP desde el ISP mediante DHCP. Todas las
direcciones IP en la red interior se traducen hacia la red exterior a través del
PAT (Traducción de direcciones de puerto).
- El servicio HTTP para apoyar el acceso vía ASDM (Adaptive Security Device
Manager).
- Un servidor interno DHCP para proporcionar direcciones IP entre
192.168.1.5 y 192.168.1.36 para los hosts que se conectan a la interfaz
VLAN 1.
Para empezar, si existiera una configuración anterior en el CISCO ASA, se

pueden borrar usando los comandos write erase y reload.

Una vez que el equipo ha sido reiniciado, se muestra el siguiente mensaje "Pre-
configure Firewall now through interactive prompts [yes]?"
Al ingresar “No” se cancela el asistente de inicialización y el ASA mostrará su

carga por defecto.
Si se colocaba yes o simplemente se pulsaba “enter”, el ASA guiará

interactivamente a un administrador para configurar los siguientes elementos:
- Modo Firewall.
- Habilitar contraseña.
- Habilitar la recuperación de contraseñas.
- Hora y fecha.
- Dirección IP y máscara Interna.
- Nombre de host.
- Nombre del dominio.

El dispositivo ASA muestra los valores predeterminados entre corchetes ([])

antes de preguntar al usuario si desea aceptar o cambiarlos. Para aceptar la
entrada predeterminada simplemente se pulsa “Enter”.
Configurando los ajustes de gestiones y servicios.
Configuración de los parámetros básicos:
Los ajustes básicos de administración se configuran en el modo de

configuración global.
En el modo de configuración global, se pueden configurar opciones básicas

como por ejemplo, el nombre de host del ASA, el nombre del dominio y la
contraseña del modo EXEC privilegiado, utilizando los siguientes comandos:
- Hostname <<nombre>>: Cambia el nombre del CISCO ASA.

- Domain-name <<nombre>>: Cambia el nombre de dominio.
- Enable password <<contraseña>>: Configura la contraseña para el modo
EXEC privilegiado.
- Passwd <<contraseña>>: Configura la contraseña para Telnet y SSH.

Configurar las interfaces.
A continuación, las interfaces deben ser configuradas. Recordemos que el ASA

5505 tiene 8 puertos de conmutación de capa 2. Por lo tanto, dos tipos de
interfaces se deben configurar: la lógica de la interfaz VLAN que también se
conoce como un conmutador de interfaz virtual (SVI), y los puertos que están
asignados a las VLAN.
Utilizar los siguientes comandos para configurar la lógica de la interfaz VLAN:
- Interface vlan vlan-number: Crea un conmutador virtual de interfaz (SVI).

- Nameif name: Asigna un nombre a la interfaz de SVI.
- Security-level value: Asigna un nivel de seguridad para la interfaz de SVI.
Por defecto los valores del nivel de seguridad se asignan a la interfaz interna y
externa. Por lo tanto, el comando security-level sólo es necesaria si el
administrador decide cambiar esos valores. Para cualquier otra interfaz debe
ser asignado un valor de nivel de seguridad.
La dirección IP de una interfaz se puede configurar con tres opciones:
- Configuración estática(configuración manual).

- Uso de DHCP .
- Usando PPPoE.
Configurar manualmente una dirección IP.
Para realizar la configuración IP en forma estática, utilizar el siguiente

comando: ip address ip-address netmask - Comando para asignar una
dirección IP y la máscara de la SVI.
Si la interfaz del firewall ASA se conecta a un dispositivo que le brinda

direcciones dinámicas vía DHCP, la interfaz puede ser un cliente DHCP y
puede recibir una configuración IP utilizando el siguiente comando: ip address
dhcp.

Configuraciones y Comandos básicos utilizados en el Firewall ASA:
Paso 1: Configurar la interfaz interna VLAN:
ASA5505(config)# interface Vlan 1
ASA5505(config-if)# nameif inside
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5505(config-if)# no shut
Paso 2: Configure la interfaz de VLAN externo (conectado a Internet)
ASA5505(config)# interface Vlan 2
ASA5505(config-if)# nameif outside
ASA5505(config-if)# security-level 0
ASA5505(config-if)# ip address 200.200.200.1 255.255.255.0
Paso 3: Asignar Ethernet 0/0 a la VLAN 2
ASA5505(config)# interface Ethernet0/0
ASA5505(config-if)# switchport access vlan 2
Paso 4: habilitar las interfaces

Paso 5: Configurar PAT en la interfaz externa
ASA5505(config)# global (outside) 1 interface
ASA5505(config)# nat (inside) 1 0.0.0.0 0.0.0.0
OBSERVACIÒN:
A partir de marzo de 2010, Cisco anunció la nueva versión del software Cisco
ASA 8.3. Esta versión introdujo varios cambios de configuración importantes,
sobre todo en el mecanismo de NAT / PAT. El comando "global" ya no es
compatible con NAT (estática y dinámica) y PAT se configuran en Objetos de
red. La configuración de PAT para ASA 8.3 y posterior es:
object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
Paso 6: Configurar ruta por defecto
La ruta por defecto hacia el ISP (asumiremos que la puerta de enlace

predeterminada es 200.200.200.2)
ASA5505(config)# route outside 0.0.0.0 0.0.0.0 200.200.200.2 1
Los pasos anteriores son absolutamente necesarios pero hay muchos más
detalles de configuración para mejorar la seguridad y la funcionalidad tales
como las listas de control de acceso, NAT estática, DHCP, zonas DMZ,
autenticación, etc.

Al configurar un CISCO ASA, se pueden recurrir a diferentes comandos que

son ingresados desde una CLI (Interfaz de línea de comandos) pero también
se pueden realizar las configuraciones utilizando una GUI, que en este caso es
el ASDM.
1. ¿Cuáles son las ventajas de contar con un firewall en la empresa?- Explicar.

2. ¿Cuál es el funcionamiento básico de un firewall? – Explicar al detalle.
3. ¿Qué tipos de firewall conoce?
4. Se sabe que la información puede ser robada desde una PC en casa o en la
empresa ¿Qué opina al respecto y que solución puede tomarse?.

IV. REALIZAR UNA DESCRIPCIÓN GENERAL DE LOS PRODUCTOS

FIREWALL DE MICROSOFT E INSTALAR LOS MÁS UTILIZADOS.
OPERACIONES:
- Introducción a los diferentes productos Proxy/firewall que ofrece Microsoft.
- Despliegue de Escenarios para el proxy / firewall de Microsoft.
- Instalando el proxy/ firewall para redes de datos de Microsoft.
- Instalando y configurando los equipos Clientes del Firewall.
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad con
conexión inalámbrica.
- Sistema operativo Windows 7 ó equivalente.
- Access Point.
.
4.1. INSTALANDO EL PROXY/ FIREWALL PARA REDES DE DATOS DE
MICROSOFT FOREFRONT TMG Y CONFIGURAR LOS EQUIPOS
CLIENTES DEL FIREWALL:
Forefront TMG:
Para esta tarea, debe contar con las siguientes máquinas virtuales:
- Servidor WEB con Windows Server 2012R2, 2012 o 2008 para la DMZ.
- Servidor con Windows Server 2008R2 que será el Proxy/Firewall con
Forefront TMG.
- Un equipo cliente con Windows 8 ó Windows 10.
La topología para este ejercicio es:

Instalar el servidor Proxy/Firewall, teniendo en cuenta los siguientes

pasos:
- Instalar el sistema: Windows Server 2008 R2.

- Se tendrán tres tarjetas de red, una para la red Interna, una para la red
externa y otra para la DMZ.
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
RED DMZ:
IP del servidor: 192.168.5.2/24
Servicios: WEB.
Gateway : 192.168.5.1/24
RED Externa: (INTERNET)

192.168.1.0/24
Gateway: 192.168.1.0
DNS:
200.48.225.130
200.48.225.146
En otros entornos, se podría trabajar directamente con los Ips públicos, esto
dependerá de las características de la red.
Si se trabaja en VirtualBox, la red Externa, tendrá la configuración de la interfaz

de red en “Adaptador puente”, la red Interna y DMZ en “Red Interna”.
- Instalar Forefront TMG.
Realizar el siguiente procedimiento:

o Preparar la máquina virtual, utilizando el mismo programa de virtualización
utilizado al crear el controlador de dominio.
o Crear las tres tarjetas de red virtuales y colocará el instalador de Windows
server 2008 r2 en la lectora virtual.
o Escoger la versión adecuada del sistema:

o Aceptará los términos de licencia:
o Crear la tabla de particiones:
o Iniciar la copia de los archivos y luego la instalación del sistema:
Inicia el proceso de
instalación del sistema
operativo.

o Colocar la contraseña del sistema:
o Cambiar el nombre del servidor y realizar la configuración de los IP’s de

las redes como se indicó al inicio:
Se ingresarán las
configuraciones de red
de la RED INTERNA y
RED EXTERNA

o Ahora, colocar el iso del instalador de Forefront TMG en la lectora virtual

del servidor.
o Visualizar el Instalador.
Ejecutará el archivo
“Autorun”
o Ejecutar el archivo de instalación, para lo cual ejecutará el archivo

“Autorun”.
o Mostrar la siguiente ventana:

o Ejecutar la herramienta de preparación.
o Escoger el tipo de instalación que se realizará:
o Iniciar la preparación del sistema:
Esta herramienta preparará el

sistema para la instalación del
TMG.

o Se mostrará un aviso indicando que la preparación está completada:
o Ahora, hacer clic en “Ejecutar el asistente para instalación”.
o Iniciar el asistente para la instalación de Forefront:
o Aceptar los términos de licencia.

o Ingresar la serie del producto.
o Instalar el escenario de instalación:
Instalar Servicios y administración de Forefront TMG.

o Indicar la ruta de acceso de instalación.
Indicará la ruta de
Instalación.
o Se le indicará el nombre de la red Interna:
Escogerá la red Interna o

red LAN que se debe
proteger.
o Se instalarán las características:

Se instalarán las
características del TMG.
o Terminada la instalación, aparecerá un asistente de introducción:
o Escoger la plantilla “Perímetro de tres secciones”:
o Indicar cuál es la red LAN (red interna):

En la red
interna no se
coloca la puerta
de enlace.
o Indicar cuál es la red conectada a Internet:
o Ahora, se solicitará la red perimetral, en este caso se escogerá la red

DMZ pero privada:
Se ingresará la
configuración de red de la
RED DMZ.
o Ahora, realizar la configuración de las opciones del sistema:

o Configurar el sistema como parte de un grupo de trabajo (se podría utilizar

un dominio, pero para esto se debe tener un controlador de dominio en la
RED):
o En la opción “Definir opciones de implementación”, le indicará que no

desea utilizar el servicio Microsoft Update.
o Las demás opciones las dejará por defecto.

o No agregará la opción de comentarios de usuario:
o Finalizará este asistente.

o Hará clic en cerrar, pero activando la opción “Ejecutar el asistente para
acceso WEB”:

o En el asistente para acceso web, marcará una regla por defecto para
evitar el acceso web a URLs malintencionadas:
Los filtros por URL son mas

sencillos, ya que los URL
se encuentran
o No activará la inspección de malware, ya que esto puede hacer lentos los

accesos:

o Configurar la cache del servidor:
o Por el lado del servidor TMG, ya se tiene instalado y está con las
configuraciones más básicas, ahora se deberá instalar el equipo cliente,
que en este caso contará con un sistema operativo: Windows 8.1 de 64
bits.
o Realizar la instalación y configuración básica del sistema Windows 8.1.
o Crear un usuario en el sistema:
o La configuración de red debe ser “Red

Interna” y con un IP perteneciente a la
“Red Interna”.
IP: 172.31.2.40/23
Gateway: 172.31.0.1
DNS:
200.48.225.130
200.48.225.146
o Realizará la configuración de la dirección del proxy en el navegador.
IP: 172.31.2.1, puerto: 8080

o Verificar que el equipo cliente pueda navegar en Internet:
o Ahora, preparar el servidor WEB de la DMZ, que tendrá un sistema

operativo Windows Server 2008 R2, con IIS:
IP del servidor: 192.168.5.2/24

Servicios: WEB.
Gateway : 192.168.5.1/24
o Instalar el IIS y crear un sitio WEB para las pruebas.

o Verificará conectividad entre el servidor WEB de la red DMZ y el servidor

TMG, para lo cual se debe crear una nueva regla de acceso en el TMG
para que se permita el uso del comando ping:
o Asignar un nombre a la nueva regla:
o Es una regla de tipo “Permitir”:

o Agregar el protocolo PING, de la red perimetral (DMZ) a Host Local:
o Ahora, probar conectividad:
Debe establecerse
comunicación.
o Ahora, crear una regla de acceso de la red Interna (LAN) a la red

perimetral (DMZ) para que desde la red LAN puedan navegar en el
servidor de la DMZ:

o Desde el equipo cliente de la LAN, podrá navegar en el servidor WEB de

la DMZ:
o Ahora, publicará el servidor WEB

ubicado en la DMZ para que pueda
ser visto desde Internet:
o Hacer clic en Tareas, luego en
“Publicar sitios WEB”:
o Asignar un nombre a esta regla:

o Seleccionar la acción de la regla, que en este caso será: “Permitir”:
o Escogerá el tipo de publicación:
o La seguridad de conexión de servidor, en esta ocasión se definirá con la

opción mostrada en la imagen:

o Indicar los detalles internos de la publicación:
o En la siguiente ventana se dejan las configuraciones por defecto.

o Indicar que se acepte cualquier nombre de dominio.

o Ahora se creará una nueva “Escucha WEB” y se le asignará un nombre:
o Por ahora, indicar que no es necesaria la conexión segura utilizando SSL.

o Indicar que se hará la escucha WEB de solicitudes WEB entrantes en la
red Externa.

o Para el acceso no se requerirá autenticación:
o Luego, se mostrará la información ingresada:
o La delegación de la autenticación será:

Sin delegación, pero el cliente se puede autenticar directamente:
o Ahora, se ubicará en la directiva de firewall recién creada, en la ficha

“Escucha”.
o Hacer clic en “Propiedades”:

o Luego, seleccionar la casilla de verificación. Permitir la autenticación de

cliente a través de HTTP.

o Ahora, comprobar que desde una PC con la dirección IP de la red Externa

(Internet) podrá acceder al servidor WEB DMZ:
Introducción a los diferentes productos Proxy/firewall que ofrece
Microsoft.
La mayoría de productos firewall de Windows están descontinuados, parece
ser que Microsoft no quiere ingresar por ahora al tema de seguridad utilizado
Firewalls.
Entre los productos para Firewall de Microsoft, se tiene:
1. Familia de productos Forefront:
a. Forefront Protection 2010 for Exchange Server (FPE).
Microsoft Forefront Protection 2010 para Exchange Server proporcionaba
una importante protección contra el malware y el correo no deseado,
ofrece a los clientes una consola de administración sencilla con opciones
de configuración que admiten opciones de filtrado, características de
supervisión e informes y protección contra correo no deseado.
b. Forefront Protection 2010 for SharePoint (FPSP).

Microsoft Forefront Protection 2010 para SharePoint (FPSP) ayuda a
reducir los problemas de seguridad de la empresa y evita el robo de datos

al negar el acceso a los documentos que no cumplan con las políticas de

seguridad, la información confidencial, lenguaje inapropiado, y el malware.
FPSP proporciona a los clientes una consola de administración fácil de
usar que incluye ajustes personalizables de configuración, opciones de
filtrado, y funciones de supervisión e informes.
c. Forefront Security for Office Communications Server (FSOCS).

Microsoft Forefront Security para Office Communications Server (FSOCS)
proporciona una protección rápida y eficaz contra el malware basado en
mensajería instantánea. El motor antimalware de múltiples capas
proporciona una protección completa contra las amenazas más recientes,
mientras que las tecnologías de archivos y filtrado de palabras clave
impiden el intercambio de archivos fuera de la política de seguridad, la
información confidencial corporativa no autorizada o lenguaje ofensivo en
conversaciones de mensajería instantánea.

d. Forefront Threat Management Gateway 2010 (TMG)

Forefront Threat Management Gateway 2010 permite a los empleados
que utilizan continuamente Internet en la empresa, que lo hagan de forma
segura y productiva, sin tener que preocuparse del malware ni de otras
amenazas que están presentes en la red e Internet. Proporciona
numerosas funciones de protección entre las que se incluyen el filtrado de
direcciones URL, inspección del malware, prevención de intrusiones,
firewall de nivel de aplicación y nivel de red e inspección HTTP/HTTPS,
que se integran en una puerta de enlace unificada.
e. Forefront Threat Management Gateway Web Protection Services (TMG

WPS).
Con capacidades de filtrado de URL integrado, los administradores del
firewall de TMG ahora tienen la capacidad de aplicar los controles de
acceso basados en reputación al tráfico basado en la web. El filtrado de
URL es la primera línea de defensa en una moderna puerta de enlace
web segura.
Actualmente el TMG 2010 cuenta con una Fecha de fin del soporte técnico
extendido hasta el 14 de abril de 2020.
Forefront TMG permite otorgar a la empresa una seguridad perimetral unificada
con firewall integrado, VPN, prevención de intrusiones, inspección de malware
y filtrado de URL.

Despliegue de Escenarios para el proxy / firewall de Microsoft.

Tiene a su disposición las siguientes topologías de red de Forefront TMG:
- Firewall perimetral: En esta topología, Forefront TMG se encuentra en el
perímetro de la red, donde actúa como firewall perimetral de la organización,
y está conectado a dos redes: la red interna y la red externa (normalmente,
Internet).
- Perímetro de 3 secciones: En esta topología se implementa una red

perimetral. Forefront TMG está conectado por lo menos a tres redes físicas:
la red interna, una o más redes perimetrales, y la red externa.
- Firewall posterior: En esta topología, Forefront TMG se encuentra en el
back-end de la red. Utilice esta topología cuando otro elemento de red, como
una red perimetral o un dispositivo de seguridad perimetral, se encuentre
entre Forefront TMG y la red externa. Forefront TMG se conecta a la red
interna y al elemento de red situado delante.
- Adaptador de red único: esta topología habilita funcionalidad de Forefront
TMG limitada. En esta topología, Forefront TMG está conectado únicamente
a una red, bien la red interna o una red perimetral. Normalmente, se utilizaría
esta configuración si Forefront TMG se encontrase en la red corporativa
interna o en una red perimetral y otro firewall estuviese situado en el
perímetro, protegiendo los recursos corporativos de Internet.
Instalando el proxy/ firewall para redes de datos de Microsoft.
Los requisitos para lograr la instalación de este software, son:
Requisitos mínimos de Hardware:

Microprocesador: Procesador de dos núcleos (1 CPU x doble núcleo) de 64 bits

a 1,86 GHz.
Memoria: 2 GB RAM.
Disco duro: Espacio disponible de 2,5 GB. Este espacio en disco excluye el
necesario para el almacenamiento en caché o el almacenamiento temporal de
archivos durante la inspección de malware.
Una partición del disco duro local con el formato del sistema de archivos NTFS.
Adaptadores de red: más de un adaptador.
Debemos tomar en cuenta que solo son los requisitos mínimos, lo ideal es
implementarlo en un equipo mucho más potente.
Requisitos de Software:
Sistema operativo: Windows Server 2008
Versión: SP2 o R2
Edición: Foundation, Standard, Enterprise o Datacenter
Otros programas:
- Microsoft .NET Framework 3.5 SP1.
- API de Servicios web de Windows.
- Windows Update.
- Microsoft Windows Installer 4.5.
Roles y características de Windows:

Los roles y características que son agregados por el instalador del TMG 2010
son:
- Servidor de directivas de redes.
- Servicios de enrutamiento y acceso remoto.
- Herramientas de Active Directory Lightweight Directory Services.
- Herramientas de equilibrio de carga de red.
- Windows PowerShell.
Proceso de instalación de Forefront TMG:

Al iniciar el instalador del TMG, primero se realiza una verificación de los
requisitos previos a la instalación.

Antes de instalar el Firewall Forefront TMG, debe ejecutar la herramienta de

preparación para comprobar que las aplicaciones necesarias para la correcta
instalación de Forefront TMG se han instalado previamente en su equipo. Si
ejecuta Forefront TMG sin ejecutar previamente la herramienta de preparación,
puede que Forefront TMG no se instale correctamente en el servidor.
Las Funciones y características de Windows verificadas, son:
- Servidor de directivas de redes:
Este servidor permite crear y aplicar directivas de acceso a la red en toda la
organización con fines de mantenimiento de los equipos clientes,
autenticación de solicitudes de conexión y autorización de solicitudes de
conexión. Además, puede usar este servidor como un proxy RADIUS.
- Servicios de enrutamiento y acceso remoto:

El Servicio de enrutamiento y acceso remoto proporciona:
o Servicios de acceso telefónico y acceso remoto de red privada virtual
(VPN).
o Servicios de enrutamiento de protocolo múltiple de LAN a LAN, de LAN a
WAN, de VPN y de traducción de direcciones de red (NAT).
- Herramientas de Active Directory Lightweight Directory Services.

Es un servicio de directorio del Protocolo ligero de acceso a directorios
(LDAP) que ofrece una compatibilidad flexible para aplicaciones habilitadas
para el uso de directorios, sin las dependencias ni las restricciones
relacionadas con los dominios de los Servicios de dominio de Active
Directory (AD DS).
- Herramientas de equilibrio de carga en la red:

Proporcionan dos tecnologías de agrupación en clústeres: clústeres de
conmutación por error y equilibrio de carga de red (NLB). Los clústeres de
conmutación por error proporcionan principalmente una gran disponibilidad;

el equilibrio de carga de red proporciona escalabilidad y, al mismo tiempo,

ayuda a aumentar la disponibilidad de los servicios web.
La selección de la tecnología de clúster (clústeres de conmutación por error
o equilibrio de carga de red) depende principalmente de si las aplicaciones
que ejecuta disponen de un estado en memoria de ejecución prolongada.
- Windows PowerShell:
Windows PowerShell es un lenguaje de scripting y Shell de línea de
comandos basado en tareas que ha sido diseñado especialmente para la
administración del sistema. Creado con Microsoft .NET Framework,
Windows PowerShell ayuda a los profesionales de TI y a los usuarios
experimentados a controlar y automatizar la administración tanto del sistema
operativo Windows como de las aplicaciones que se ejecutan en Windows.
Los recursos de esta sección sirven para conocer Windows PowerShell, qué
características se incluyen en Windows PowerShell y el editor gráfico de
Windows PowerShell, el Entorno de scripting integrado de Windows
PowerShell.
- Microsoft .NET 3.5 Framework SP1.
- Microsoft Windows Installer 4.5.
- Windows Update.
- API de Windows Web Services:
Una vez realizada la verificación de los
requisitos previos, se procede con la
Instalación del programa.
Se iniciará con la “Preparación”, para ello
se selecciona “Herramienta de
Preparación”:
Luego de esta preparación ForeFront

TMG está listo para su instalación en el
Sistema.
Aparecerá un asistente de
instalación muy dinámico y
amigable.
Ahora, se deben aceptar los
términos de licencia para la
instalación de la aplicación:

Luego, seleccionar la opción “Servicios y Administración de ForeFront TMG” ya

que instalará los servicios necesarios para una correcta administración:
A partir de aquí, empezará su comprobación en el sistema la cual puede durar

algunos minutos.
Una vez completado, en forma correcta, el proceso de la “Preparación”,

marcar el recuadro para que empiece el asistente la instalación:
Ahora, ingresar el serial y el nombre de usuario:

Seleccionar la opción “Instalar servicios y Administración de ForeFront”:
Indicará la ruta de instalación del programa:
En este paso indicar el intervalo de direcciones IP para la red Interna. En este

caso, se va a indicar el siguiente intervalo de direcciones IP privadas:
192.168.1.0 – 192.168.1.255

Luego, se reiniciarán los servicios y empezará el proceso de instalación que

tomará unos 40 min. aproximadamente, dependiendo de las características del
equipo.
Finalmente, se iniciará la administración de este programa:
Se mostrará un asistente
para configurar las
opciones de red, del
sistema y de implemen-
tación.
Instalando y configurando los equipos Clientes del Firewall.

Los equipos cliente de firewall son equipos internos que se comunican con el
servidor de Forefront TMG a través de una de las aplicaciones clientes que a
continuación se indican:
- Cliente de Forefront TMG o cliente de Firewall: Es el software cliente incluido
con Forefront TMG o las versiones anteriores de Internet Security and
Acceleration (ISA) Server. El software de cliente se instala y habilita en el
equipo cliente de la red.
- Cliente proxy web: Puede ser cualquier aplicación que cumpla los siguientes
requisitos:
o Entiende el método correcto para realizar una solicitud de proxy web.
o Proporciona un medio para que los clientes especifiquen un nombre (o
dirección IP) y un puerto para realizar las solicitudes de proxy web.

o Por ejemplo, puede ser un navegador web como por ejemplo: Microsoft
Internet Explorer, EDGE, Firefox, Chrome, Safari, Opera, etc.
- Cliente de traducción de direcciones de red segura (SecureNAT): En este

caso, no se instala ningún cliente ni aplicación especial en el equipo cliente.
La puerta de enlace predeterminada del equipo cliente se configura con la
dirección IP interna del servidor de Forefront TMG de manera que todo el
tráfico de Internet se enruta a través de Forefront TMG.
1. ¿Cuáles son las ventajas y desventajas de utilizar un firewall Microsoft en la

red de la empresa?.
2. ¿Qué tan importante es el uso de una red DMZ en la empresa?
3. ¿Cómo se evita el acceso a páginas inapropiadas en la empresa? – Explicar.
4. ¿Qué tipos de servidores se han publicado en la empresa en la que usted
realiza la complementación de sus estudios prácticos?

V. IMPLEMENTAR LA ÓPTIMA CONFIGURACIÓN DE LA CACHE DEL

OPERACIONES:
- Entender la importancia de la caché del servidor proxy/ firewall.

- Configurando Propiedades Generales de Cache.
- Configurando Reglas de Cache.
- Computadora con microprocesadores core 2 Duo ó de mayor capacidad con

conexión inalámbrica.
- Access Point.
5.1. CONFIGURANDO PROPIEDADES GENERALES DE LA CACHE Y SUS

REGLAS:
En el servidor implementado en la tarea anterior, debe configurar la cache para
navegación en forma detallada:
Para realizar este procedimiento, realice los siguientes pasos:
1. En la raíz de la consola de administración de
Forefront TMG, hacer clic en el nodo Directiva
de acceso web.
2. En la ficha Tareas, hacer clic en Configurar el

almacenamiento en caché de web.
Desde esta opción podrá

configurar el tamaño de la
Caché de WEB.

3. Aparecerá la ventana “Configuración de la memoria caché” y desde la ficha

“Unidades de caché” se puede modificar la capacidad de almacenamiento,
en este caso modifique la capacidad a 18 GB.
4. Desde la ficha “Reglas de caché” se pueden crear nuevas reglas, en este

caso creará una la regla siguiente:
a. El nombre de la regla será “Senati”.
b. Se aplicará al nombre de dominio: senati.edu.pe:
c. No se debe almacenar objetos mayores a 2 KB.
d. Establecer el TTL como lo indicado en la imagen:

Entender la importancia de la caché del servidor proxy/ firewall.
El uso del almacenamiento en caché es de gran importancia sobre todo a nivel
corporativo. El almacenamiento en caché es una tecnología antigua pero muy
útil, siendo requerida en diversos sectores de la industria informática y de
redes.
Esta tecnología se basa en un concepto simple. El almacenamiento en caché
consiste en almacenar los datos de uso muy frecuente en una ubicación de
disco que debe contar con un rápido y fácil acceso, de modo que sea posible
reducir el tiempo y los recursos. En tal sentido, ya no es necesario recuperar
datos de la ubicación original. Como sabemos, reducir los tiempos y los
recursos son esenciales en la informática y las redes de datos, las memorias
caché están presentes en diferentes elementos, como por ejemplo, la CPU,
DNS, explorador WEB, etc.
Miles de millones de computadoras usan tecnología de caché en el procesador,
lo cual ayuda a ilustrar la importancia del almacenamiento en caché, incluso a
nivel del hardware.
Los navegadores disponen de memorias caché web para almacenar los objetos
solicitados, de modo que no sea necesario recuperar repetidas veces esos
mismos objetos desde el servidor web. Este proceso se conoce como
“almacenamiento en caché de objetos”.
El almacenamiento en caché de objetos normalmente se ha implementado para
acelerar el acceso al contenido HTTP. Además de almacenar este tipo de
contenido, algunos proveedores ampliaron la compatibilidad del
almacenamiento en caché de objetos para incluir diversos contenidos, por
ejemplo, contenido HTTPS, objetos de medios de transmisión por secuencias,
FTP y archivos CIFS. En algunos casos, el almacenamiento en caché de
objetos también es denominado “almacenamiento en caché de proxy”, puesto
que se implementa con un servidor proxy para diversos protocolos.
El mecanismo del almacenamiento en caché de objetos es simple y no
requiere de una compleja configuración. El cliente envía una solicitud de objeto
(página web, documento, imagen, video, archivo de audio, etc.) a un servidor, y
el proxy intercepta esa solicitud entre el cliente y el servidor de origen. Al recibir
la solicitud desde el cliente, el proxy comprueba si tiene una copia del objeto
solicitado en su memoria caché. De ser así, el proxy responde enviando al
cliente el objeto almacenado en caché con lo cual se ahorra tiempo y recursos,
porque de lo contrario, tendría que enviar la solicitud al servidor. Si el proxy
llega a realizar la solicitud del objeto al servidor de origen, almacena los datos
del objeto en su memoria caché, de modo que pueda cumplir con las próximas
solicitudes de ese mismo objeto sin tener que volver a recuperarlo del servidor

de origen. Al disponer del objeto en la memoria caché, no hay consumo de

ancho de banda por el contenido en el lado del servidor y se logra una
importante mejora en el tiempo de respuesta para el usuario final. La ventaja
que implica el almacenamiento en caché y el mecanismo del proxy es muy
evidente, pero deben ser tomados en cuenta algunos aspectos, tales como la
capacidad de almacenamiento y el tiempo de actualización de los contenidos,
ya que si la información de los servidores ha cambiado y el servidor proxy no
ha actualizado la memoria cache, se pueden presentar problemas muy serios.
En los servidores Proxy/Firewall se implementa una memoria caché de los

objetos solicitados con frecuencia para mejorar la velocidad de acceso web y el
rendimiento de la red. Para habilitar el almacenamiento en caché, debe asignar
específicamente un determinado espacio de disco a la memoria caché.
En el caso del servidor ForeFront TMG, después de la instalación no existe
espacio definido para la memoria caché, por lo tanto usted debe habilitar un
espacio de disco manualmente.
Configurando Propiedades Generales de Cache.
Para habilitar el almacenamiento en caché en el ForeFront TMG, debe seguir
los siguientes pasos:
1. En la raíz de la consola de administración de Forefront TMG, hacer clic en el
nodo “Directiva de acceso Web” y, en Tareas relacionadas, haga clic en
Configurar almacenamiento en caché web para ingresar a las
configuraciones básicas.
2. En la ficha Unidades de caché, seleccionar la entrada del servidor y hacer
clic en Configurar.
3. Seleccionar la unidad de disco disponible (se recomienda que sea una
unidad diferente en la que se ha instalado el sistema operativo) y, en
Tamaño máximo de caché, especificar el tamaño máximo en megabytes.
Hacer clic en Establecer para guardar la configuración. Si se desea, regresar
el almacenamiento a 0, haga clic en Restablecer. El tamaño máximo para un
único archivo de memoria caché es 64 GB. Si es necesario un
almacenamiento en caché mayor, teniendo en cuenta que son varios los

equipos clientes, puede dividirlo entre varios archivos de distintas unidades

de disco.
OBSERVACION: La memoria caché en el servidor proxy de Microsoft solo
se puede habilitar en una unidad de disco con el sistema de archivos NTFS.
4. Para deshabilitar el almacenamiento en caché solo debe establecer el
tamaño de la unidad de caché en 0. Compruebe las reglas de caché antes
de deshabilitar el almacenamiento en caché, ya que se puede ver afectado
el rendimiento de la navegación.
Configurando Reglas de Cache.
Las reglas de caché de Forefront TMG son utilizadas para especificar los tipos
de contenido que se pueden almacenar en la caché, así como también, se
define la forma en que se atienden los objetos desde la memoria caché hacia
los clientes. Puede configurar las reglas de caché en forma muy sencilla,
mediante el Asistente para nueva regla de caché, tal como se indica a
continuación:
- En la raíz de la consola de administración de Forefront TMG, haga clic en el
nodo Directiva de acceso web.
- En la ficha Tareas, haga clic en Configurar el almacenamiento en caché de
web.
- En la ficha Reglas de caché, haga clic en Nueva. Siga las instrucciones del
asistente.
1. ¿Qué entiende usted por el término “Caché del proxy/firewall”?

2. ¿Qué importancia tiene la implementación de un servidor proxy/firewall que
cuente con una buena capacidad de caché?
3. ¿Qué tipo de contenido almacena la caché de un proxy?

VI. IMPLEMENTAR LAS DIRECTIVAS DE FIREWALL MÁS

IMPORTANTES.
OPERACIONES:
- Configurar el Servidor de Seguridad como un servidor Proxy/ firewall con
software de Microsoft.
- Configurar Reglas de Acceso para la navegación en Internet.
- Configurar una Red de Perímetro.
- Configurar Directivas del Sistema.
- Configurar la óptima Detección de Intrusos.
- Computadoras con microprocesadores core 2 Duo ó de mayor capacidad.
siguientes:
6.1. CONFIGURAR REGLAS DE ACCESO PARA LA NAVEGACIÓN EN

INTERNET CON UNA RED PERIMETRAL Y DIRECTIVAS.
Se realizará la configuración de una regla que permitirá navegar en Internet,
pero no se permitirá el acceso a facebook:
Para este procedimiento, realizar los pasos que a continuación se detallan:
1. Verificar que se pueda navegar desde la red interna, inclusive, en Facebook:
2. Crear un nuevo conjunto de

direcciones URL, el cual se llamará
“Prohibidos” y aquí agregará las
direcciones no deseadas, en este
caso será: Facebook:

3. Guardar el conjunto de direcciones URL.

4. Hacer clic secundario en “directiva de firewall” y escogerá la opción “Nuevo”
y luego “Regla de acceso”:
5. Asignar un nombre para la regla:
6. Escoger como acción de

la regla: Denegar.
7. Escoger todos los protocolos: “Todo el tráfico saliente”:
8. Como origen de la regla, ingresar todas las redes incluyendo el host local:

9. Como destino de la regla colocar el conjunto de direcciones URL:

“Prohibidos”:
10. Aplicará para todos los usuarios.

11. Aplicar cambios.
12. Verificar la navegación desde el equipo cliente:
Desde aquí se muestra la

información del
Proxy/firewall, aunque
también se puede hacer
que redireccione a otra
dirección URL o que
muestre un mensaje.
13. No se podrá acceder a Facebook.com.

Configurar el Servidor de Seguridad como un servidor Proxy/ firewall
con software de Microsoft.
Forefront TMG es una completa solución que se utiliza para puerta de enlace
web segura, que ayuda a proteger a los empleados de una empresa de las
amenazas basadas en web. Este servidor también ofrece seguridad perimetral
de facil administración, firewall integrado, VPN, prevención de intrusiones,
inspección de malware y filtrado de URL.
Forefront TMG se fundamenta en las capacidades básicas con las que contaba
Microsoft Internet Security and Acceleration (ISA) que ofrecia una puerta de
enlace de seguridad de red completa, integrada y facil de administrar. Los
principales cambios realizados en Forefront TMG permiten agregar
capacidades de protección adicionales para ayudar a proteger la red
corporativa frente a amenazas externas que pueden tener su origen en
Internet.
Entre las caracteristicas más importantes se tienen:

- La protección contra código malintecionado web, con lo cual examina las

páginas web en busca de virus, código malintencionado y otras amenazas.
- Filtrado de URL permite o deniega el acceso a los sitios web según
categorías de direcciones URL predeterminadas (por ejemplo, pornografía,
drogas, redes sociales, compras, etc.). Las organizaciones no solo pueden
impedir que los empleados visiten sitios con código malintencionado
conocido, sino que también pueden proteger la productividad de la empresa
limitando o bloqueando el acceso a los sitios que se consideran
distracciones que la perjudican.
- El servicio de suscripción de protección del correo electrónico que se basa
en la tecnología integrada de Forefront Protection 2010 for Exchange Server.
Forefront TMG actúa como transmisor del tráfico SMTP y examina el correo
electrónico para comprobar si contiene virus, código malintencionado, correo
y contenido no deseado (como los archivos ejecutables o cifrados) a medida
que atraviesa la red.
- La inspección de HTTPS permite que las sesiones cifradas con HTTPS sean
inspeccionadas en busca de código malintencionado o vulnerabilidades.
Algunos grupos específicos de sitios, por ejemplo, los de banca, pueden
excluirse de la inspección por motivos de privacidad. A los usuarios del
Cliente de Forefront TMG se les puede notificar la inspección.
- El Sistema de inspección de red (NIS) permite que el tráfico de red sea
inspeccionado en busca de las posibles vulnerabilidades de Microsoft.
Según el análisis de los protocolos, NIS puede bloquear algunos tipos de
ataques al tiempo que reduce los falsos positivos.
- La traducción de direcciones de red (NAT) mejorada permite especificar
servidores de correo individuales que se pueden publicar con NAT de uno a
uno.
- Voz sobre IP mejorada permite incluir SIP(Session Initiation Protocol)
transversal, lo que facilita la implementación de Voz sobre IP dentro de la
red de la empresa.
- Forefront TMG se instala en Windows Server 2008 con compatibilidad para
64 bits.
Configurar Reglas de Acceso para la navegación en Internet.

Para realizar la configuracion de reglas de acceso en el software Forefront
TMG debemos seguir la siguiente secuencia desde la interfaz grafica
administrativa:

- En el árbol de la consola de administración de Forefront TMG, haga clic en el

nodo “Directiva de firewall” y, en el recuadro “Tareas”, haga clic en “Crear
regla de acceso”.
- En la página “Acción de la regla”, especifique si la regla debe permitir o
denegar el acceso.
- En la página “Protocolos”, para seleccionar los protocolos FTP, HTTP o
HTTPS, deje la configuración predeterminada “Protocolos seleccionados” y
haga clic en “Agregar”. En el cuadro de diálogo “Agregar protocolos”, haga
clic para expandir “Web” y, a continuación, seleccione FTP, HTTP o HTTPS.
No seleccione los protocolos que terminan en "Server". Estos protocolos se
utilizan para reglas de publicación de servidor no web, no para el acceso
saliente.
- En la página “Inspección de código malintencionado”, seleccione si se
habilita la inspección de código malintencionado para la regla. Para habilitar
esta configuración, la inspección de código malintencionado debe estar
habilitada de forma global.
- En la página “Orígenes de regla de acceso”, seleccione los objetos de red
desde los que se recibirán las solicitudes.
- En la página “Destinos de regla de acceso”, seleccione los lugares adonde
se enviarán las solicitudes recibidas. Para el acceso web seleccione la red
“Externa”(Internet).
- En la página “Usuarios”, seleccione si las solicitudes para la regla se deben
autenticar. Para el acceso anónimo deje la configuración “Todos los
usuarios” predeterminada. Para especificar que la regla solo se aplicará a un
grupo concreto de usuarios, haga clic en “Agregar” y, a continuación,
seleccione conjuntos de usuarios predefinidos o cree un conjunto de
usuarios personalizado.
Configurar una Red de Perímetro.

Recordemos que en esta topología, Forefront TMG se encuentra en el
perímetro de la red, donde actúa como firewall perimetral de la organización, y
está conectado a dos redes: la red interna y la red externa que normalmente es
la red de Internet.

Para realizar una óptima configuración del TMG para una red perimetral, se
deben seguir los pasos que a continuación se detallan:
1. El servidor de seguridad puede trabajar en una red que tenga un directorio
activo (Active Directory) o simplemente con servidores independientes.
2. Para este caso se utilizará un DC (controlador de dominio), por consiguiente,
se tendrán 2 servidores con Windows Server, pudiendo ser el DC un servidor
con Windows Server 2012 R2, 2012 o 2008 R2.
3. El servidor donde se instalará el Forefront TMG debe contar con el sistema
Windows Server 2008 R2.
4. En el servidor que será un controlador de dominio, se instalarán el Directorio
Activo y el servicio DNS (si no existe previamente un servidor DNS en la
red).
5. Se colocarán las configuraciones de red adecuadas.
6. Se instalará el servidor de seguridad como un servidor miembro del dominio.
7. Se ingresará en el servidor de seguridad con una cuenta administrativa del
dominio.
8. El servidor TMG tendrá 2 tarjetas
de red, una tarjeta estará
conectada a la red Interna y la
otra tarjeta se conectará a la red
externa.
9. Insertar el Disco con el Instalador
TMG en el servidor de seguridad
para iniciar el proceso de
instalación.
10. Empezar con la instalación de
las herramientas de preparación.
11. Se deben aceptar los términos
de licencia:

12. Cuando se solicite el tipo de instalación, debe escoger “Servicios y

administración de Forefront TMG” que es la opción completa se requiere
en estos casos:
13. Se abre el asistente de instalación del TMG:
14. Luego, se mostrará un cuadro de dialogo en el asistente solicitando

información del cliente, siendo los datos solicitados: Nombre del usuario,
organización y número de serie del producto:

15. Luego, se mostrará la ruta de acceso de instalación:
16. Ahora se solicitará la tarjeta de red que se conectará a la red INTERNA, en

este caso se denominará “RED INTERNA”:
17. Se mostrará el rango de direcciones IP asociado a esta interface.

18. Mostrar los servicios que se reiniciarán:

19. Ahora, comenzará la instalación y tomará varios minutos:
20. Además, se instalarán los complementos:
21. Se verá una ventana que indicará que se instaló el TMG correctamente:

22. Hacer clic en “Finalizar”.

23. Se finalizó la instalación y se abrirá la consola de TMG FOREFRONT:
24. Finalmente se visualizará la consola del TMG 2010:
Configurar una Red con DMZ.

Tomando en consideración una topología
más elaborada en la que se cuente con
una red LAN, DMZ Y WAN; todas
centralizadas por un Firewall en software
en Microsoft Forefront TMG, se realizará el
siguiente procedimiento:
El servidor de seguridad contará con tres
tarjetas de red:
- Tarjeta de Red para la RED INTERNA
(LAN).

- Tarjeta de Red para la RED DMZ.

- Tarjeta de Red para la RED WAN (INTERNET).
El Sistema Operativo a utilizar será “Windows Server 2008 R2”.
El procedimiento de configuración utilizando esta topología, es el siguiente:
1. Iniciar el servidor de seguridad y proceder a ver las tarjetas de red que
posee, debemos comenzar a configurarlas.
2. Se asignarán las direcciones IP a las 3 tarjetas de red del servidor TMG.

3. Configuradas las 3 tarjetas de red con sus respectivas direcciones, proceder
a copiar el ejecutable del TMG para tenerlo en nuestro servidor.
4. Ejecutar el instalador del Forefront.
5. Se mostrará el wizards (Asistente) de instalación.
6. Realizar los procedimientos descritos en el caso anterior: “Configurando una
Red de Perímetro”.
7. Luego, se llegará a la parte en que el asistente solicita el nombre de la red
Interna y su respectivo conjunto de
direcciones IP.
8. En este caso, escoger el adaptador
denominado “LAN” que sería utilizado
como puerta de enlace de la “RED
INTERNA”.
9. Se mostrarán los rangos de direcciones
IP para esta red.
10. Se mostrará un cuadro de dialogo del asistente indicando los servicios que
se van a reiniciar.
11. Luego se visualizará la ventana de instalación.

12. Una vez terminado el proceso de instalación, incluyendo los componentes

adicionales, esperamos el nuevo asistente para configurar la red.
13. En el asistente para configurar las características de las redes, se debe

definir la plantilla a utilizar, dependiendo de la topología requerida.
14. En este caso, escoger “3-leg perimeter” que permitirá tener una red LAN,
DMZ y WAN.
15. Primero escoger la Red LAN, con lo cual también aparecerá el rango de
direcciones IP que se utilizarán en esta red:

16. Seleccionar el adaptador conectado a la WAN:
17. Agregar la red DMZ como una red que se encuentra conectada en el
perímetro.
18. Las demás configuraciones se dejan por defecto y se termina con esta
parte del asistente:

19. Agregar una determinada cache para WEB:
20. Luego, aparecerá la interfaz de administración, desde la cual se podrán

crear las reglas y directivas:

Configurar Directivas de Firewall.

Del sitio de Microsoft, que es el fabricante de este producto, se indica que con
Forefront TMG, se pueden crear directivas de firewall, que pueden incluir un
conjunto de reglas de acceso y reglas de publicación que determinan el modo
en que los clientes tienen acceso a los recursos a través de las redes.
Directivas y conjuntos de reglas.

Forefront TMG controla el acceso a la RED INTERNA aplicando diversas
directivas que determinan si se deben permiten o no las conexiones entre
redes. Estas directivas pueden ser de los siguientes tipos:
1. Directiva de firewall: inspecciona y filtra las conexiones entre la red interna e
Internet. La directiva de firewall se compone de los siguientes conjuntos de
reglas:
a. Reglas de acceso: controle el acceso web saliente, es decir, obtenga
acceso desde el equipo interno a Internet.
b. Reglas de publicación de web: controle el acceso de entrada a los
servidores web publicados.
c. Reglas de publicación de servidor: controle el acceso de entrada a los
servidores no web publicados.
2. Directiva del sistema: controla el tráfico a la red de host local o desde el

servidor de Forefront TMG para permitir el tráfico y los protocolos necesarios
para que Forefront TMG lleve a cabo la autenticación, la pertenencia al
dominio, los diagnósticos de red, el registro y la administración remota. TMG
proporciona un conjunto de reglas predefinidas, que se crea durante la
instalación del sistema.
3. Reglas de red: especifican que los recursos de una red tienen permiso para
comunicarse con recursos de otras redes y especifican el tipo de relación (de
enrutamiento o NAT) que existe entre el origen y el destino.
Para el procesamiento de las reglas, debemos tener claros algunos conceptos:

Forefront TMG procesa las solicitudes de la siguiente manera:
- Comprobar la solicitud frente a las reglas de red para comprobar que exista
la relación de red requerida entre el origen y el destino de la solicitud.
- Comprobar la solicitud con la directiva del sistema para determinar si una de
estas reglas del sistema permite o deniega la solicitud.
- Comprobar la solicitud con la directiva de firewall en el orden de aparición de
las reglas en la lista.

- Tras hacer coincidir la solicitud con una regla, Forefront TMG vuelve a
comprobar las reglas de red (excepto el tráfico que administra el filtro proxy
web) para determinar si se debe enrutar o aplicar la NAT al tráfico.
Con respecto a la creación de las reglas de acceso, que administran las
solicitudes de clientes internos que sólo se pueden configurar con definiciones
de protocolo salientes, se deben tomas en cuenta los siguientes puntos:
- Protocolo: la regla debe definir uno o más protocolos con una dirección
saliente, por ejemplo: http, smtp, etc…).
- De: La dirección de origen debe estar bien definida en la regla. El origen
puede ser toda la red, un conjunto de redes, un conjunto de equipos, un
intervalo de direcciones IP, una subred o un equipo.
- Programación: La programación de la regla permite controlar los días y
horas que se aplica la regla.
- A: el destino debe estar bien definido en la regla. El destino puede ser toda
la red, un conjunto de redes, un equipo o un conjunto de equipos, un
intervalo de direcciones IP, una subred, un conjunto de nombres de dominios
o un conjunto de direcciones URL.
- Usuarios: la regla se aplica a todos los usuarios (para acceso anónimo), a
todos los usuarios autenticados (que se aplica a todos los usuarios que se
pueden autenticar correctamente) o a un grupo de usuarios específico. En
caso de contar con un directorio activo, esto es de gran utilidad.
- Grupos de contenido: la regla se aplica a los tipos de contenido específicos,
como pueden ser: video, imágenes, audio, etc.
- Si la solicitud coincide con una regla de permiso, la solicitud se permite. Tras
encontrar una regla coincidente, Forefront TMG no evalúa más reglas. Las
reglas de acceso que deniegan el tráfico se procesan antes que las reglas
de publicación.
Cuando se crean reglas de publicación deben considerarse las siguientes
opciones:
- Reglas de publicación de web: Habilita el acceso de entrada a los servidores
web publicados. Para solicitudes HTTP o HTTPS a una escucha web,
Forefront TMG comprueba las reglas de publicación y, a continuación, las
reglas de encadenamiento web para determinar si se permite la solicitud.
- Reglas de publicación de servidor: habilite el acceso de entrada a los
servidores no web publicados. En el caso de solicitudes no HTTP, Forefront
TMG comprueba las reglas de red y, después, las reglas de publicación para
determinar si se aceptan las solicitudes.
Al utilizar nombres y direcciones, TMG los procesa tomando en cuenta las
siguientes opciones:

- Si una solicitud HTTP usa un nombre de sitio, como

http://www.empresa.com, Forefront TMG realiza una resolución de nombres
directa para un servidor DNS para obtener el FQDN, los alias y las
direcciones IP asociadas.
- Si una solicitud HTTP usa una dirección IP, Forefront TMG comprueba
primero si una regla coincide con la dirección. Durante este proceso, si
Forefront TMG encuentra una regla que requiere un nombre, realiza la
resolución de nombres inversa para obtener el FQDN para esa dirección IP.
Luego, Forefront TMG puede comparar el FQDN con las definiciones de
regla de acceso.
- Si no se realiza correctamente la resolución de nombres inversa, sólo se
utilizará la dirección IP original en la solicitud para la comparación con las
definiciones de regla creada.
Cuando una regla creada requiere autenticación, Forefront TMG solicita al
cliente presentar las credenciales adecuadas. Si el cliente no puede
proporcionar credenciales, se cancela la solicitud antes de que se evalúe la
regla. Los clientes SecureNAT no pueden proporcionar credenciales y si una
solicitud de un cliente SecureNAT coincide con una regla que necesita
autenticación, la solicitud se descarta directamente.
Las reglas de red especifican la manera en la que se envía el tráfico entre las
redes de origen y destino. Se puede usar una de las siguientes opciones con
respecto a cada regla de red:
- Relación de ruta: Estas relaciones son bidireccionales. Por ejemplo, si una
regla de red define una relación de ruta desde la red A a la red B, también
existe una relación desde la red B a la red A. Las solicitudes del cliente
desde la red de origen o destino se reenvían directamente a la otra red, con
las direcciones IP de destino y de origen sin modificar. Utilice una relación de
ruta donde no sea necesario que las direcciones IP estén ocultas entre
redes. La relación de ruta se utilizan entre dos redes con direcciones IP
públicas o entre dos redes con direcciones privadas. En estos casos, los
hosts de cada red deben definir la dirección IP de Forefront TMG en su red
local como la ruta hacia la otra red.
- Relación NAT: Se ejecuta de la siguiente forma:
o En las reglas de acceso, Forefront TMG sustituye la dirección IP del
cliente en la red de origen por la dirección IP predeterminada de Forefront
TMG en la red de destino. Por ejemplo, si crea una relación NAT en una
regla de red entre la red interna y la red externa, la dirección IP de origen
correspondiente a una solicitud de la red interna se sustituye por la
dirección IP predeterminada del adaptador de red de Forefront TMG
conectado a la red externa. Las reglas de acceso que administran el
tráfico entre redes definidas con una relación NAT solo pueden usar la red

de origen especificada en la ficha De y la red de destino especificada en

la ficha A de la regla.
o En las reglas de publicación de servidor, el cliente de la red de destino
establece una conexión con la dirección IP de Forefront TMG en la que la
regla de publicación está escuchando solicitudes. Cuando Forefront TMG
reenvía el tráfico al servidor publicado, sustituye la dirección IP de
Forefront TMG por la del servidor interno que esté publicando, pero no
modifica la dirección IP de origen. Tenga en cuenta que, en una relación
NAT, las reglas de publicación de servidor sólo pueden tener acceso a la
red especificada como red de destino. Además, como la publicación de
servidores en redes con NAT deja intacta la dirección IP de origen al
reenviar tráfico al servidor publicado, éste debe usar el equipo de
Forefront TMG como último salto en la estructura de enrutamiento dirigida
a la red de destino.
1. ¿Qué diferencia en el nivel de seguridad se

puede observar entre los sistemas de
archivos FAT 32, NTFS, Ext4, etc.?
2. Explique la diferencia que existe entre la

configuración en la ficha compartir y la ficha seguridad en las
propiedades de una carpeta creada en una unidad NTFS.
3. ¿Cómo se reconoce una carpeta compartida administrativa?.
4. Teniendo en cuenta la seguridad de las carpetas y archivos, ¿Qué se
entiende por “ACL”?

VII. REALIZAR LA ÓPTIMA CONFIGURACIÓN DEL ACCESO A LOS

RECURSOS DE LA RED INTERNA MEDIANTE LA PUBLICACIÓN DE
SERVIDORES.
OPERACIONES:
- Entender la importancia de la publicación de los servidores.
- Configurar la Publicación y seguridad de un Servidor Web.
- Configurar la Publicación de servidores que no son WEB.
siguientes:
- MS office.
7.1. CONFIGURAR LA PUBLICACIÓN Y SEGURIDAD DE UN SERVIDOR

WEB.
Para realizar esta tarea, se partirá de la Tarea 04 realizada anteriormente:
Realizar, paso a paso, el proceso de publicación del servidor WEB de la zona

DMZ.
Los pasos a seguir son los siguientes:

1. Verificar si se mantienen las configuraciones siguientes:

a. RED Interna:
- 172.31.2.0/23, Gateway: 172.31.2.1/23.
- DNS:
200.48.225.130
200.48.225.146
b. RED DMZ:
- IP del servidor: 192.168.5.2/24
- Servicios: WEB.
- Gateway : 192.168.5.1/24
c. RED Externa:
- 192.168.1.0/24
- Gateway: 192.168.1.0
- DNS:
200.48.225.130
200.48.225.146
2. Ingresar al servidor WEB.
3. Instalar el IIS y crear un sitio WEB, para lo cual puede ayudarse de plantillas,
siendo un sitio web que permite descargar plantillas gratuitas muy buenas:
http://www.misplantillas.com/plantillas-web-gratis.
4. Ahora, publicar el servidor WEB ubicado en la DMZ para que pueda ser visto
desde Internet.
5. Hacer clic en Tareas, luego en “Publicar sitios WEB”:
6. Asignar un nombre a esta regla:
7. Seleccionar la acción de la regla, que en este caso será: “Permitir”:

8. Escoger el tipo de publicación:
9. La seguridad de conexión de servidor, en esta ocasión se definirá con la

opción mostrada en la imagen:
10. Indicar los detalles internos de la publicación:

11. En la siguiente ventana se dejan las configuraciones por defecto.
12. Indicar que se acepte cualquier nombre de dominio.
13. Crear una nueva “Escucha WEB” y le asignará un nombre:

14. Por ahora, indicar que no es necesaria la conexión segura utilizando SSL.
15. Indicar que se hará la escucha WEB de solicitudes WEB entrantes en la

red Externa.
16. Para el acceso no se requerirá autenticación:
17. Luego se mostrará la información ingresada:
18. La delegación de la autenticación será:

Sin delegación, pero el cliente se puede autenticar directamente:

19. Ahora, se ubicará en la directiva de firewall recién creada, en la ficha

“Escucha”.
20. Hará clic en “Propiedades”:
21. Luego seleccionará la casilla de verificación “Permitir la autenticación de

cliente a través de HTTP.

22. Ahora, comprobará que desde una PC con la dirección IP de la red Externa
(Internet) podrá acceder al servidor WEB DMZ.
7.2. CONFIGURAR LA PUBLICACIÓN DE SERVIDORES QUE NO SON

WEB.
En este caso se permitirá que desde la red externa se conecten al servidor

DMZ vía RDP.
Para esto se deben seguir los pasos que a continuación se detallan:
1. Dirigirse al servidor TMG.
2. Crear una nueva directiva de tipo “Regla de publicación de protocolo de

servidor no WEB…”

3. Asignar un nombre a la regla.
4. Indicar el IP del servidor que publica:
5. Escoger el protocolo deseado:
6. Indicar las direcciones IP de escucha, en este caso será la red externa:
7. Finalizar la creación de la regla.
8. Aplicar los cambios:

9. En el servidor publicado, habilitará el acceso a escritorio remoto:
Se habilitará el escritorio remoto

para que se pueda acceder a
este equipo.
10. Ahora, comprobar, accediendo

desde una pc que se encuentre
en la red externa, a través de
Conexión a escritorio remoto, el
acceso al servidor publicado:
11. Verificar el acceso al servidor publicado:

Entender la importancia de la publicación de los servidores.

La publicación de un servidor, consiste en que ese servidor pueda ser visto
desde una red pública, siendo la red pública más común, Internet.
Configurar la Publicación y seguridad de un Servidor Web.

Los servidores que se publican en su gran mayoría son Servidores WEB,
siendo el procedimiento para la publicación de estos servidores, el siguiente:
- Publicar servidores web a través de HTTP: Se puede publicar un sitio web
único o un equilibrador de carga, varios sitios web o una granja de
servidores a través de HTTP.
Para publicar un solo sitio web o equilibrio de carga a través de HTTP se
realiza el siguiente procedimiento:
o En el árbol de la consola de administración de Forefront TMG, hacer clic
en el nodo Directiva de firewall.
o En el panel Tareas, hacer clic en la ficha Herramientas.
o En la ficha Herramientas, hacer clic en Objetos de red, en Nuevo y
después seleccionar Escucha de web para abrir el Asistente para nueva
escucha de web.
o Completar el Asistente para nueva escucha de web.
o En el panel Tareas, hacer clic en la ficha Tareas.
o En la ficha Tareas, hacer clic en Publicar sitios web para abrir el Asistente
para nueva regla de publicación de web.
o Completar el Asistente para nueva regla de publicación de web.
o En el panel de detalles, hacer clic en Aplicar y luego en Aceptar.

- Para publicar una granja de servidores a través de HTTP: Para realizar este
procedimiento se deben realizar los pasos que a continuación se describen:
o En el panel Tareas, hacer clic en la ficha Herramientas.
o En la ficha Herramientas, hacer clic en Objetos de red, hacer clic en
Nuevo y, a continuación, seleccionar Granja de servidores.
o Completar la configuración solicitada por el Asistente para nueva granja
de servidores.
o Si aparece un cuadro de mensaje en el que se indica que va a habilitarse
la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de
Forefront TMG a servidores seleccionados para los comprobadores de
conectividad, hacer clic en Aceptar.
o En la ficha Herramientas, hacer clic en Objetos de red, en Nuevo y
después seleccionar Escucha de web para abrir el Asistente para nueva
escucha de web.
o Completar el Asistente para nueva escucha de web.
o En el panel Tareas, hacer clic en la ficha Tareas.
o En la ficha Tareas, hacer clic en Publicar sitios web para abrir el Asistente
para nueva regla de publicación de web.
o Completar el Asistente para nueva regla de publicación de web.
o En el panel de detalles, hacer clic en Aplicar y luego en Aceptar.
- Publicar servidores web a través de HTTPS: Se puede publicar un sitio web

único o un equilibrador de carga, varios sitios web o una granja de
servidores a través de HTTPS.
o Para publicar un solo sitio web o equilibrio de carga a través de HTTPS,
se deben realizar los siguientes pasos:
 En el árbol de la consola de administración de Forefront TMG, hacer
clic en el nodo Directiva de firewall.
 En el panel Tareas, hacer clic en la ficha Herramientas.
 En la ficha Herramientas, hacer clic en Objetos de red, en Nuevo y
después seleccionar Escucha de web para abrir el Asistente para
nueva escucha de web.
 Se completará el Asistente para nueva escucha de web.
 En el panel Tareas, hacer clic en la ficha Tareas.
 En la ficha Tareas, hacer clic en Publicar sitios web para abrir el
Asistente para nueva regla de publicación de web.
 Se completará el Asistente para nueva regla de publicación de web.
 En el panel de detalles, hacer clic en Aplicar y luego en Aceptar.

o Para publicar una granja de servidores a través de HTTPS, se deben

realizar los siguientes pasos:
 En el panel Tareas, hacer clic en la ficha Herramientas.
 En la ficha Herramientas, hacer clic en Objetos de red, hacer clic en
Nuevo y, a continuación, seleccionar Granja de servidores.
 Se completará el Asistente para nueva granja de servidores.
 Si aparece un cuadro de mensaje en el que se indica que va a
habilitarse la regla de directiva de sistema Permitir solicitudes
HTTP/HTTPS de Forefront TMG a servidores seleccionados para los
comprobadores de conectividad, hacer clic en Aceptar.
 En la ficha Herramientas, hacer clic en Objetos de red, en Nuevo y
después seleccionar Escucha de web para abrir el Asistente para
nueva escucha de web.
 Se completará el Asistente para nueva escucha de web.
 En el panel Tareas, hacer clic en la ficha Tareas.
 En la ficha Tareas, hacer clic en Publicar sitios web para abrir el
Asistente para nueva regla de publicación de web.
 Completar el Asistente para nueva regla de publicación de web.
o Para usar la autenticación de certificado de cliente para publicar a través

de HTTPS, se deben realizar los siguientes pasos:
 En el panel de detalles, hacer clic en la regla de publicación de web
correspondiente.
 En la ficha Tareas, hacer clic en Editar regla seleccionada.
 En la ficha Escucha, hacer clic en Propiedades.
 En la ficha Conexiones, comprobar que Habilitar conexiones SSL
(HTTP) en el puerto esté seleccionado.
 Si no se desea permitir conexiones HTTP sin autenticación de
certificado de cliente, comprobar que Habilitar conexiones HTTP en el
puerto no esté seleccionado.
 En la ficha Autenticación, realizar una de las acciones siguientes:
Si Método que los clientes usan para autenticarse en Forefront TMG
está establecido en Autenticación HTTP o Sin autenticación, seleccione
Autenticación de certificados SSL de cliente en la lista desplegable y
haga clic en Opciones avanzadas.
Si Método que los clientes usan para autenticarse en Forefront TMG
está establecido en Autenticación de formularios HTML, haga clic en

Opciones avanzadas. Debe seleccionar Requerir certificado SSL de

cliente solo si desea exigir que en la solicitud HTTPS se envíe un
certificado SSL de cliente antes de que se presente el formulario HTML
al usuario.
 En la ficha Lista de confianza de certificados de cliente, seleccionar una
de las opciones siguientes:
Aceptar cualquier certificado de cliente en el que confíe el equipo de
Forefront TMG. Seleccione esta opción si desea que la lista de
entidades de certificación aceptables incluya todas las entidades cuyo
certificado raíz esté instalado en el almacén Entidades de certificación
raíz de confianza del equipo de Forefront TMG.
Aceptar únicamente certificados emitidos por las entidades de
certificación seleccionadas a continuación. Seleccione esta opción si
desea limitar la lista de entidades de certificación cuyos certificados se
considerarán de confianza.
 En la ficha Restricciones de certificado de cliente, definir las
restricciones con las que deben coincidir los certificados SSL de
cliente.
 Hacer clic en Aceptar para cerrar la página Opciones avanzadas de
autenticación.
 En la ficha Certificados, comprobar que haya seleccionado un
certificado de servidor SSL y, a continuación, hacer clic en Aceptar.
 Para la autenticación basada en formularios, en la ficha Tráfico,
seleccionar Requerir certificado SSL de cliente.
 Hacer clic en Aceptar.
o Para configurar el inicio de sesión único, debe realizar los siguientes

pasos:
 En el panel Tareas, hacer clic en la regla de publicación de web
correspondiente.
 En la ficha Autenticación, comprobar que el Método que los clientes
usan para autenticarse en Forefront TMG esté definido en
Autenticación de formularios HTML.
 En la ficha SSO, seleccionar Habilitar inicio de sesión único.
 En Especificar los dominios de inicio de sesión único para esta escucha
de web, realizar los pasos siguientes para los sitios web en los que
desee permitir el inicio de sesión único (SSO):

Hacer clic en Agregar.

Escribir el dominio SSO para dos o más sitios web.
Hacer clic en Aceptar.
o Para configurar la traducción de vínculos, se deben realizar los siguientes

pasos:
 En el panel de tareas, hacer clic en la regla de publicación de web
correspondiente.
 En la ficha Traducción de vínculos, seleccionar Aplicar traducción de
vínculos a esta regla.
 Si se desea que se traduzcan los vínculos de páginas web que
contengan otros juegos de caracteres, seleccionar Aplicar también
traducción de vínculos al contenido web que use este juego de
caracteres y, a continuación, seleccionar un juego de caracteres en la
lista desplegable.
 Para configurar asignaciones locales, hacer clic en Configurar y, a
continuación, realizar los pasos siguientes para cada asignación local
que desee agregar a la regla de publicación de web seleccionada:
En Reemplazar este texto, escribir una dirección URL que contenga un
nombre de host interno (o una dirección IP).
En Con este texto, escribir una dirección URL que contenga un nombre
de host que se pueda resolver públicamente (o una dirección IP).
 Hacer clic en Aceptar y luego de nuevo en Aceptar.
 Repetir los pasos del 2 al 7 para otras reglas de publicación de web en
las que desee configurar opciones de traducción de vínculos
específicas.
 En la ficha Tareas, hacer clic en Configurar opciones de traducción
global de vínculos.
 En la ficha General, comprobar que Habilitar la traducción de vínculos
esté seleccionado.
 En la ficha Asignaciones globales, realizar los pasos siguientes para
cada asignación global que se desee agregar:
En el campo Dirección URL interna, escribir una dirección URL que
contenga un nombre de host interno (o una dirección IP).

En el campo Dirección URL traducida, escribir una dirección URL que

contenga un nombre de host que se pueda resolver públicamente (o
una dirección IP).
 Para habilitar y configurar el redireccionamiento de vínculos en sitios
internos no publicados, en la ficha Redireccionamiento de vínculo,
hacer lo siguiente:
Seleccionar Redirigir usuarios que vayan a estos sitios no publicados.
Hacer clic en Agregar para agregar o crear un conjunto de direcciones
URL que contenga las direcciones URL internas de los sitios no
publicados.
En Redirigir usuarios a esta dirección URL publicada, especificar la
dirección URL a la que se debe redirigir a los usuarios cuando utilicen
vínculos que apunten a uno de los sitios publicados.
 Para configurar tipos de contenido, en la ficha Tipos de contenido, en
Tipos de contenido seleccionados, seleccionar uno o más tipos de
contenido.
 Hacer clic en Aceptar y luego de nuevo en Aceptar.
o Para configurar el cierre de sesión seguro, se deben realizar los

siguientes pasos:
 En el panel de detalles, hacer clic en la regla de publicación de web
correspondiente que utiliza autenticación basada en formularios HTML.
 En la ficha Configuración de aplicaciones, en el campo Dirección URL
de cierre de sesión de servidor publicado, escribir la cadena que se
utiliza en el vínculo de cierre de sesión de la página web publicada para
indicar una solicitud de cierre de sesión; por ejemplo, ?Cmd=logoff, o
logoff=1.
 Hacer clic en Aceptar.
 En la ficha Formularios, hacer clic en Opciones avanzadas.
 En Configuración de cookies puede proporcionar un nombre para la
cookie que Forefront TMG proporciona al cliente cuando la
autenticación basada en formularios es correcta. En la lista desplegable
puede seleccionar si las cookies son permanentes (siguen presentes
en el cliente tras el final de la sesión) en todos los equipos, sólo en
equipos privados o nunca.

 En Omitir la dirección IP del explorador para la comprobación de

cookies, defina si desea permitir que los clientes utilicen la misma
cookie desde distintas direcciones IP. Por ejemplo, puede parecer que
las solicitudes de un único cliente proceden de distintas direcciones IP,
como cuando existe un equilibrio de carga entre Forefront TMG y el
cliente.
 En Configuración de seguridad del cliente, seleccionar:
Considerar como tiempo máximo de inactividad, para establecer un
período de espera según el tiempo que el cliente permanezca inactivo.
Considerar como duración máxima de la sesión, para establecer un
período de espera según la duración de la sesión. A continuación,
especifique los períodos de espera para los equipos públicos y
privados, que se utilizará para establecer el tiempo máximo de
inactividad o la duración máxima de la sesión.
Aplicar tiempo de espera de sesión a clientes no de explorador, para
aplicar el período de espera a los clientes que no estén basados en
explorador (como Outlook RPC/HTTP o ActiveSync).
 Hacer clic en Aceptar, hacer clic de nuevo en Aceptar y volver a hacer
clic en Aceptar.
 En el panel de detalles, hacer clic en el botón Aplicar para guardar y
actualizar la configuración, y luego en Aceptar.
o Para configurar certificados de servidor para la publicación de web

segura, al publicar servidores web u Outlook Web Access, Forefront TMG
utiliza los certificados de la forma siguiente:
 Protocolo puente de HTTPS a HTTP.
 Protocolo puente de HTTPS a HTTPS.
Configurar la Publicación de servidores que no son WEB.

Teniendo en cuenta lo indicado por Microsoft, en Technet, cuando se publican
servidores diferentes al servidor web, Forefront TMG usa reglas de publicación
de servidor para permitir las solicitudes realizadas a servidores en una red
protegida por Forefront TMG, siendo estas solicitudes procedentes de clientes
ubicados en otras redes. Los clientes pueden ser clientes externos ubicados en
Internet o clientes internos ubicados en una red interna diferente.
Al publicar un servidor no web, tener en cuenta lo siguiente:
• El servidor publicado puede configurarse como cliente SecureNAT con una
puerta de enlace predeterminada que señale a Forefront TMG.
• No se pueden autenticar las solicitudes de usuario para los servidores no
web.

• Puede utilizar las direcciones IP para especificar quién puede tener acceso a
recursos publicados.
• La publicación de un servidor configura Forefront TMG para escuchar en un
puerto específico y enviar las solicitudes al servidor publicado.
Se verán las diferentes formas de crear las reglas de publicación No WEB en
los servidores:
• Para crear y utilizar un protocolo de servidor, realizaremos los pasos
siguientes:
o En el panel de Tareas, en la ficha Herramientas, hacer clic en Protocolos.
o En la barra de herramientas que hay debajo de Protocolos, hacer clic en
Nuevo y, después, en Protocolo.
o Completar el Asistente para nueva definición de protocolos.
o En el panel de tareas, en la ficha Tareas, hacer clic en Publicar protocolos
de servidor no web para abrir el Asistente para nueva regla de publicación
de servidor.
o Finalizar el Asistente para nueva regla de publicación de servidor.
o En el panel de detalles, hacer clic en el botón Aplicar para guardar y
• Para publicar un servidor FTP realizar el siguiente procedimiento:

o En el panel Tareas, en la pestaña Tareas, hacer clic en Publicar
protocolos de servidor no web para abrir el Asistente para nueva regla de
publicación de servidor.
o Completar el Asistente para nueva regla de publicación de servidor.
o Si se desea habilitar las descargas FTP, seguir los siguientes pasos:
En el panel de detalles, haga clic con el botón secundario sobre el nombre
de la regla que acaba de crear.
Hacer clic en Configurar FTP.
En la página Configurar directiva de protocolo FTP, desactivar sólo
lectura.
• Para publicar un equipo SQL Server, se deben ejecutar los siguientes pasos:

o En el panel Tareas, en la ficha Tareas, hacer clic en Publicar protocolos

de servidor.
• Para publicar un servidor RDP, se deben tomar en cuenta los siguientes

pasos:
o En el panel Tareas, en la ficha Tareas, hacer clic en Publicar protocolos
de servidor.
o Si se desea que el Forefront TMG sólo permita a equipos específicos de
Internet conectarse al servidor RDP publicado, seguir estos pasos:
En el panel de detalles, seleccionar la regla que acaba de crear.
En la ficha Tareas, hacer clic en Editar regla seleccionada.
En la ficha De, hacer clic en cualquier lugar y, a continuación, en Quitar.
Hacer clic en Agregar, en Nuevo y, a continuación, en Conjunto de
equipos.
Escribir un nombre para el nuevo conjunto de equipos y agregar al
conjunto de equipos los equipos que podrán conectarse al servidor RDP.
En la página Agregar entidades de red, seleccionar el conjunto de equipos
que ha creado, hacer clic en Agregar y, a continuación, en Cerrar.
o En el panel de detalles, haga clic en el botón Aplicar para guardar y

1. ¿Cuál es el objetivo de publicar servidores en la red de datos de la

empresa?
2. ¿Qué servidores normalmente son publicados en una empresa?.
3. ¿Qué ventajas nos trae el uso de una zona DMZ en la red de datos de la
empresa?
4. Al publicar servidores, se aumenta el riesgo de tener problemas de
seguridad, explique las causas y las posibles soluciones.

VIII. REALIZAR LA CONFIGURACIÓN AVANZADA DE FILTROS.
OPERACIONES:
- Aplicaciones avanzadas y Descripción de Filtro Web.
- Configurando Filtro Web http.
siguientes:
8.1. APLICACIONES AVANZADAS Y DESCRIPCIÓN DE FILTRO WEB.

Para realizar esta tarea, ejecutar los siguientes pasos:
1. Hacer clic secundario en la directiva de firewall utilizada.
2. Hacer clic en “Configurar HTTP”.

3. Aparecerá la ventana “Configurar Directiva HTTP para la regla”:

4. El bloqueo de archivos ejecutables (.exe) es un uso típico del bloqueo de

extensiones.
5. Para esto, hacer clic en la ficha “Extensiones”:
6. En la opción “Especificar la acción

realizada para extensiones de archivo”
se escogerá: “Bloquear extensiones
especificadas (permitir las demás).
7. Hacer clic en agregar.
8. Agregar la extensión “.exe”:
9. Hacer clic en aceptar.
10. Luego, nuevamente hacer clic en
aceptar y listo.

11. Aplicar los cambios:
Aplicaciones avanzadas y Descripción de Filtro Web.
Puede utilizar un filtro HTTP en las reglas de acceso entrantes y salientes para
controlar los tipos de datos que puedan atravesar el firewall.
Forefront TMG nos brinda un control muy preciso del tráfico HTTP en forma de
filtros HTTP. Este filtro HTTP que trabaja en la capa de aplicación, examina los
comandos y los datos HTTP que pasan por el firewall, admitiendo solo el paso
de las solicitudes que cumplan los requisitos, además se puede controlar el
acceso a Internet del cliente.
El filtrado HTTP se puede aplicar en los siguientes entornos:
• Cuando los clientes de la red interna tienen acceso a objetos HTTP (páginas
HTML, imágenes u otros datos que se pueden transferir utilizando el

protocolo HTTP) en otra red, como por ejemplo Internet, a través del equipo
de Forefront TMG.
• Cuando los clientes de la red externa tienen acceso a objetos HTTP en un
servidor web que se publica a través del servidor de Forefront TMG.
Para configurar el filtrado HTTP en una regla de acceso, se deben considerar
los pasos siguientes:
• Obtener acceso a la regla en la que se configura el filtrado HTTP: Esto se
logra de la siguiente manera:
o En el panel de detalles, hacer clic con el botón secundario en la regla que
desea modificar y, a continuación, hacer clic en Configurar HTTP. Se abre
el cuadro de diálogo Configurar directiva HTTP para la regla.
o Configurar el filtrado HTTP según los requerimientos indicados.
• Configurar el bloqueo de encabezados y de direcciones URL: Esto se logra
realizando los siguientes pasos:
o Hacer clic en la ficha General en el cuadro de diálogo Configurar directiva
HTTP para la regla.
o En Longitud máxima de encabezados (bytes), especificar el número
máximo de bytes permitidos en la dirección URL y el encabezado HTTP
de una solicitud HTTP antes de que se bloquee.
o Desactivar Permitir cualquier longitud de carga para bloquear las
solicitudes que superen el número de bytes especificado en Longitud
máxima de carga (bytes).
o En Longitud máxima de dirección URL (bytes), escribir la longitud máxima
permitida de dirección URL. Las solicitudes con direcciones URL que
superen este valor se bloquearán.
o En Longitud máxima de consulta (bytes), escriba la longitud máxima de
las consultas permitida en las solicitudes. Las solicitudes con consultas
que superen este valor se bloquearán.
o Seleccionar Comprobar normalización para bloquear las solicitudes que
contengan direcciones URL con caracteres de escape tras la
normalización.
o Seleccionar Bloquear caracteres ASCII de 8 bits para especificar que se
bloquearán las direcciones URL con caracteres ASCII de 8 bits.

o Selecciónar Bloquear respuestas que incluyan contenido ejecutable de

Windows para especificar el bloqueo de las respuestas que contengan
contenido ejecutable de Windows (respuestas que empiecen por MZ).
• Configurar métodos HTTP (verbos HTTP): Para la configuración de estos
métodos, se tiene que seguir los siguientes pasos:
o Hacer clic en la ficha Métodos en el cuadro de diálogo Configurar directiva
HTTP para la regla.
o En Especificar la acción que se realiza para métodos HTTP, seleccionar
la acción que se debe realizar para los métodos de la lista. Es posible
permitir todos los métodos, bloquear los de la lista y admitir todos los
demás, o permitir los de la lista y bloquear los demás. Se recomienda que
sólo permita los métodos seleccionados, ya que es la configuración más
segura.
o Para agregar un método, hacer clic en Agregar. En el cuadro de diálogo
Método, escribir el método que desee agregar.
o Para eliminar un método existente, seleccionar el método en la lista y, a
continuación, hacer clic en Quitar.
o Para editar un método existente, seleccionar el método en la lista y, a
continuación, hacer clic en Editar.
• Configurar el bloqueo de extensiones HTTP: Esto se logra de la siguiente
forma:
o Hacer clic en la ficha Extensiones en el cuadro de diálogo Configurar
directiva HTTP para la regla.
o En Especificar la acción realizada para extensiones de archivo,
seleccionar una acción.
o Activar Bloquear solicitudes que contengan extensiones ambiguas para
bloquear las solicitudes que tengan extensiones que no se puedan
determinar.
o Para agregar una extensión, hacer clic en Agregar. En el cuadro de
diálogo Extensión, escribir la extensión que desee agregar.
o Para editar una extensión existente, seleccionarla en la lista y, a
continuación, hacer clic en Editar.
o Para eliminar una extensión existente, selecciónarla en la lista y, a

• Configurar el bloqueo de encabezados: Esto se realiza cumpliendo las

siguientes indicaciones:
o Hacer clic en la ficha Encabezados en el cuadro de diálogo Configurar
directiva HTTP para la regla.
o Hacer clic en Agregar para agregar un encabezado que deba bloquearse.
A continuación, en el cuadro de diálogo Encabezado, seleccionar Solicitar
encabezados y escribir el nombre del encabezado. Se permiten todos los
encabezados excepto los que aparecen en la lista Permitir todos los
encabezados.
o Para editar un encabezado, selecciónarlo en la lista y, a continuación,
hacer clic en Editar. Para permitir un encabezado que se encuentra en la
lista de bloqueados, selecciónelo y, a continuación, hacer clic en Quitar.
o En Encabezado de servidor, especificar cómo se devolverá el
encabezado de servidor en la respuesta. El encabezado de servidor es un
encabezado de respuesta que contiene información como el nombre de la
aplicación de servidor y la versión de software.
o En Encabezado de vía, especificar cómo se reenviará el encabezado de
vía en la solicitud o cómo se devolverá en la respuesta.
• Configurar firmas bloqueadas: Estos filtros son de gran importancia, ya que
pueden especificar si desea permitir o bloquear las solicitudes, en función de
firmas específicas en los encabezados o en el cuerpo.
Para realizar este tipo de filtrado, ejecute los pasos siguientes:
o Hacer clic en la ficha Firmas en el cuadro de diálogo Configurar directiva
HTTP para la regla.
o Hacer clic en Agregar para agregar una firma bloqueada. A continuación,
en el cuadro de diálogo Firma, especificar lo siguiente:
En Buscar en, especificar si la firma aparece en el cuerpo o encabezado
de la dirección URL de solicitud o en el cuerpo o encabezado de la
respuesta.
En Encabezado HTTP, escribir el nombre del encabezado, si ha
especificado una firma de tipo de encabezado.
En Firma, escribir la cadena de firmas. Una firma puede ser cualquier
cadena de un encabezado o cuerpo. Se recomienda seleccionar cadenas
que sean lo suficientemente específicas para bloquear únicamente las
solicitudes o respuestas que desea bloquear.
En Intervalo de bytes, especificar los valores De y A, si ha seleccionado
Cuerpo de la respuesta o Solicitar cuerpo como tipo de firma. De forma

predeterminada, el Forefront TMG sólo analiza los 100 primeros bytes del
cuerpo de la solicitud y la respuesta. Si aumenta este valor
predeterminado, el rendimiento del sistema podría verse afectado.
o Puede habilitar o deshabilitar las firmas usando las casillas de verificación
situadas junto a sus nombres. Hacer clic en Mostrar sólo cadenas de
búsqueda habilitadas para ver únicamente las firmas habilitadas.
o Para modificar una firma bloqueada, selecciónela en la lista Bloquear
contenido que contenga estas firmas y, a continuación, hacer clic en
Editar.
o Para admitir una firma bloqueada, seleccionarla en la lista Bloquear
contenido que contenga estas firmas y, a continuación, hacer clic en
Quitar.
• Determinar firmas: Se puede determinar una firma para que bloquee tráfico
específico mediante la supervisión del tráfico de red.
1. ¿Qué medidas se tomarían para implementar una óptima navegación WEB

en una empresa?.
2. ¿Qué se entiende usted por filtro WEB? – Explicar.
3. ¿En la empresa en la cual se están realizando estudios de complementación
práctica, tienen directivas de acceso y filtros WEB? – Explicar.

IX. CONFIGURAR LA SUPERVISIÓN Y LOS INFORMES UTILIZANDO EL

OPERACIONES:
- Configurando Alertas.
- Configurando la Supervisión de sesiones.
- Configurando reportes.
- Supervisando la conectividad.
- Supervisando Servicios y Rendimiento.
- Software para virtualizar equipos.
- Sistema operativo Windows server.
- Sistema operativo Windows para el equipo cliente.
9.1. CONFIGURANDO ALERTAS:

Para crear una nueva alerta, realice el siguiente procedimiento:
1. Ubicarse en la opción “Supervisión”.
2. Ubicarse en la ficha “Alertas”:

3. En el panel de tareas al lado derecho,

hacer clic en “Configurar definiciones de
alerta”.
4. Aparecerá el siguiente conjunto de alertas:
existentes:
5. Hacer clic en “Agregar…”.
6. Se le asignará un nombre a la nueva
alerta:
7. Indicará el evento que desencadenará la alerta:
8. Seleccionar el servidor que debe desencadenar la alerta:

9. Indicará la categoría y la gravedad:
10. Indicar las acciones a

realizar en caso de
presentarse una alarma del
tipo que se está definiendo:
11. Se indicarán los datos del

servidor y la cuenta de correo electrónica.

12. Hacer clic en “Finalizar” y luego aplicará los cambios.
9.2. CONFIGURANDO REPORTES.

Para crear un nuevo reporte o informe, realizar el siguiente procedimiento:
1. Ubícarse en la consola de Forefront TMG Management, luego ubicarse en

el árbol de la consola y hacer clic en el nodo Registros e informes.
2. En el panel de detalles, hacer clic en la ficha Creación de informes.

3. En el panel Tareas, hacer clic en el tipo de informe que desea crear.
4. Hacer clic en “Crear trabajo de informe

periódico”.
5. Asignará un nombre a esta tarea:
6. Programará la frecuencia con la que se generará el informe:
7. Indicará que se incluirá en el informe:

8. Indicará la ruta en la cual se publicarán y guardarán los informes:
9. Finalizará y luego aplicará los cambios.
Configurar Alertas.
Después de la instalación de Forefront TMG, se configuran una serie de alertas
que se encuentran predefinidas. Cada alerta se ejecuta cuando se produce un
determinado evento de Forefront TMG. Es posible habilitar o deshabilitar las
alertas, modificar la forma en que se desencadena la alerta, modificar la acción
que se realizará cuando se desencadena la alerta.
También se pueden definir alertas personalizadas adicionales.
El procedimiento para modificar una alerta, es el siguiente:
1. En el árbol de la consola de administración de Forefront TMG, hacer clic en
el nodo Supervisión.
2. En el panel de detalles, hacer clic en la ficha Alertas.
3. En el panel Tareas, hacer clic en Configurar definiciones de alerta.
4. En la ficha Definiciones de alerta, seleccionar la alerta que desee modificar
y, a continuación, hacer clic en Editar.
5. En la ficha General, modificar el nombre, la categoría y la gravedad de la
alerta en función a las políticas de seguridad en la empresa.
6. En la ficha Eventos, especificar las veces que debe producirse un evento
para que se emita la alerta y cómo debe emitirse la alerta cuando se ha
alcanzado dicho número de veces.

7. En la ficha Acciones, especificar la acción que se genera cuando se emite la

alerta. De forma predeterminada, las alertas se notifican siempre en el
registro de eventos de Windows.
8. Si desea eliminar una definición de alerta de la lista que piensa que no es
necesaria, seleccionar la alerta en la lista Definiciones de alerta y, a
El procedimiento para crear una alerta personalizada, es el siguiente:
el nodo Supervisión.
2. En el panel de detalles, hacer clic en la ficha Alertas.
3. En el panel Tareas, hacer clic en Configurar definiciones de alerta.
4. En la lista Definiciones de alerta, hacer clic en Agregar.
5. Finalizar el Asistente para la configuración de nuevas alertas. Tener en
cuenta las consideraciones siguientes:
a. En la página Eventos y condiciones, seleccionar el evento que
desencadena la alerta y las condiciones adicionales.
b. En la página Servidor, dejar el valor predeterminado “Cualquier servidor”.
c. En la página Categoría y gravedad, clasificar la alerta.
d. En la ficha Acciones, especificar las acciones que se van a realizar
cuando se desencadena la alerta.
Configurar la Supervisión de sesiones.

La ficha Sesiones le permite supervisar las conexiones activas de un nombre
de usuario o equipo concreto en la red.
Para administrar una sesión se realizará el siguiente procedimiento:
el nodo Supervisión. A continuación, hacer clic en la ficha Sesiones.
2. En el panel de detalles, seleccionar una sesión (cada sesión está

conformada de un nombre de usuario y la dirección IP de un equipo cliente).
Para cada sesión se muestran los siguientes datos:
a. Activación: fecha y hora en que se inició la sesión.
b. Nombre de servidor: el nombre del servidor Forefront TMG.
c. Tipo de sesión: puede supervisar conexiones de los siguientes clientes
Forefront TMG: clientes Forefront TMG, clientes SecureNAT, clientes de
red privada virtual (VPN), clientes de VPN de sitio a sitio y clientes de
proxy web.
d. IP de cliente: la dirección IP de origen del cliente.
e. Red de origen: la red donde se originó la sesión.

f. Nombre de usuario del cliente: el cliente autenticado por el Forefront TMG

cuando es necesaria la autenticación.
g. Nombre de host de cliente: para clientes Forefront TMG.
h. Nombre de aplicación: para clientes Forefront TMG. Este campo no se
muestra de forma predeterminada, se debe habilitar su visualización.
3. Para desconectar una sesión, seleccionar la entrada de sesión y hacer clic

en Desconectar una sesión de la ficha Tareas. El desconectar una sesión no
impide que los clientes creen nuevas sesiones. Para ello, se deberá crear
reglas de acceso que denieguen específicamente el acceso a clientes
específicos.
4. Tener en cuenta las consideraciones siguientes, para la óptima

administración de las sesiones:
a. En la ficha Escritorio digital se muestra un resumen de las sesiones para
cada tipo de cliente.
b. Las sesiones de clientes proxy web tienen una sesión de cliente
SecureNAT correspondiente.
c. Las sesiones de clientes Forefront TMG tienen una sesión de cliente
SecureNAT correspondiente. Para cada equipo con cliente Forefront TMG
instalado, hay una sesión SecureNAT además de una sesión cliente
Forefront TMG.
d. Una conexión entre dos equipos a través de Forefront TMG sólo puede
pertenecer a una sola sesión.
e. Si no se requiere autenticación, todo el tráfico procedente de la misma
dirección IP se considera como una sola sesión. Por ejemplo, un
explorador web que abre más de una conexión TCP con la misma
dirección IP se considera como una sola sesión.
f. Las sesiones de clientes proxy web indican la actividad más reciente del
explorador web, aunque el cliente no esté realizando ninguna exploración
en este momento.
Administrar la supervisión de sesiones.

Para administrar la supervisión de sesiones debe realizar el siguiente
procedimiento:

el nodo Supervisión. A continuación, hacer clic en la ficha Sesiones.
2. Administrar la supervisión de sesiones de la siguiente manera:

a. Para detener la supervisión de todas las sesiones, hacer clic en Detener

sesiones de supervisión en la ficha Tareas. Cuando se detienen las

sesiones de supervisión, el Forefront TMG pierde toda la información
relativa a las sesiones que se hayan supervisado.
b. Para reiniciar la supervisión de todas las sesiones, hacer clic en Detener
sesiones de supervisión en la ficha Tareas. Al reiniciar la supervisión,
Forefront TMG empieza a recopilar información sobre las sesiones
activas.
c. Para pausar la supervisión de todas las sesiones, hacer clic en Pausar
sesiones de supervisión en la ficha Tareas. Las sesiones mostradas no se
quitan, pero tampoco se agregan las nuevas.
d. Para reanudar la supervisión de todas las sesiones, hacer clic en
Reanudar sesiones de supervisión en la ficha Tareas.
Configurar filtros de las sesiones.

Se puede filtrar la información de las sesiones y luego guardar la consulta
resultante para utilizarla luego.
Para crear un filtro de este tipo, se realiza el siguiente procedimiento:

el nodo Supervisión, luego hacer clic en la ficha Sesiones.
2. En la ficha Tareas, hacer clic en Modificar filtro.
3. En el cuadro de diálogo Modificar filtro, especificar un criterio, una condición
y un valor para el filtro.
4. Para guardar el filtro de sesión, hacer clic en Guardar filtro.
5. Para cargar un filtro existente, hacer clic en Cargar filtro.
6. Hacer clic en Iniciar consulta.
Configurar reportes o informes.

Para crear un informe, se realiza el siguiente procedimiento:
1. En la consola de Forefront TMG Management, ubicarse en el árbol y hacer

clic en el nodo Registros e informes.
2. En el panel de detalles, hacer clic en la ficha Creación de informes.
3. En el panel Tareas, hacer clic en el tipo de informe que desea crear.
4. Escribir un nombre para el informe. El informe que crea se guardará en el
panel de detalles de la ficha Creación de informes, donde puede editar sus
propiedades e iniciar manualmente un informe.
5. Hacer lo siguiente en función del tipo de informe:
a. Informe de una sola ejecución: En la página Período del informe,

especificar el número de días que desea incluir en el informe. El número

máximo de días es 60.
b. Trabajo de informe periódico: En la página Programación de trabajos de
informes periódicos, especificar cuándo se ejecutará el trabajo y con qué
frecuencia.
c. Informe de actividad de usuario: En la página Detalles del informe,
seleccionar el período de informe en la lista y escriba los nombres de
usuario o las direcciones IP que desea incluir en el informe.
d. Informe de actividad de sitio: En la página Detalles del informe,
seleccionar el período de informe en la lista, escriba el número de
usuarios que desea incluir y el número de sitios que desea incluir para
cada usuario y, a continuación, escribir el sufijo del nombre del sitio que
se desea incluir en el informe, sin incluir comodines. Por ejemplo, para
crear un informe en todos los sitios del dominio senati.edu.pe, escribir el
nombre del sitio, senati.edu.pe.
6. Si se desea modificar los parámetros predeterminados del informe, realizar

lo siguiente:
a. En la página Contenido del informe, hacer clic en la categoría de informe
que desea modificar y, a continuación, hacer clic en Editar detalles del
informe.
b. Seleccionar una subcategoría de informe en la lista Subcategoría y, a
continuación, hacer clic en Valor de parámetro y ajustar el valor según
sea necesario.
c. En algunas subcategorías de informe es posible modificar el orden en el
que se muestran los datos. Para ello, en Ordenar por, seleccionar el valor
de parámetro que se va a usar para ordenar los datos del informe.
7. Si se desea enviar el informe por correo electrónico, habilitar Enviar

notificación por correo electrónico cuando se finalice un informe y configure
la manera en la que desea enviar dichas notificaciones.
8. Si desea poder ver este informe sin abrir la Forefront TMG Management
console, configurar Forefront TMG para publicar informes en la página
Publicación de informes.
9. Completar el asistente y, a continuación, haga clic en Finalizar. En la barra
Aplicar cambios, haga clic en Aplicar.
Supervisar la conectividad.
Al crear una granja de servidores, se deberá especificar el método de conexión
que se desee utilizar para comprobar el estado de conectividad de los
servidores de la granja. Tras crear una granja de servidores, se creará

automáticamente para esa granja un comprobador de conectividad que

aparecerá en la ficha Comprobadores de conectividad. Se puede editar el
método de conexión en las propiedades de la granja de servidores.
Para crear un comprobador de conectividad realizar los pasos siguientes:

el nodo Supervisión. A continuación, hacer clic en la ficha Comprobadores
de conectividad.
2. Finalizar el Asistente para nuevo comprobador de conectividad. En la
página Detalles de comprobación de conectividad, especificar el servidor o la
dirección URL con los que se desee conectar y el método de conexión. Se
pueden usar los siguientes métodos:
a. PING: Forefront TMG envía una solicitud PING (ECHO_REQUEST de
ICMP) al servidor especificado y espera una respuesta ECHO_REPLY de
ICMP. Utilizar este método para comprobar si un servidor concreto está
disponible.
b. Conexión TCP: Forefront TMG intenta establecer una conexión TCP con
un puerto concreto del servidor especificado. Utilizar este método para
comprobar si un servicio específico está disponible en el servidor de
destino.
c. Solicitud HTTP: Forefront TMG envía una solicitud HTTP GET y esperar
una respuesta. Utilizar este método para comprobar si un servidor web
está disponible.
Para configurar comprobadores de conectividad, realizar las tareas siguientes:

el nodo Supervisión. A continuación, hacer clic en la ficha Comprobadores
de conectividad.
2. En la ficha Comprobadores de conectividad, hacer clic en el comprobador de
conectividad que desee modificar y seleccionar Editar comprobador
seleccionado en la ficha Tareas.
3. En la ficha General, modificar el nombre del comprobador de conectividad si
ello es necesario.
4. En la ficha Propiedades, hacer lo siguiente:
a. En Supervisar la conexión a este servidor, modificar el nombre del
servidor de destino.
b. En Seleccionar el método usado para comprobar la conexión, modificar el
método de conexión.
c. En Tiempo de espera, especificar cuánto tiempo debe esperar Forefront
TMG antes de notificar que el servidor no está disponible.

d. Para especificar que una alerta se desencadene al superar el tiempo de

espera, hacer clic en Desencadenar una alerta si la respuesta del servidor
no se recibe dentro del tiempo de espera especificado.
Supervisar Servicios y Rendimiento.

Utilizar el monitor de rendimiento:
Para utilizar esta útil herramienta, realizar los pasos siguientes:
1. Hacer clic en Inicio, Microsoft Forefront TMG y a continuación, en el Monitor

de rendimiento de Forefront TMG.
2. En el Monitor de confiabilidad y rendimiento, aparecerá una serie de
contadores predeterminados, como por ejemplo:
a. Motor de paquete firewall de Forefront TMG: Permite visualizar el número
total de conexiones activas que transmiten datos en este momento.
Utilizar este contador para supervisar el rendimiento general.
b. Motor de paquete firewall de Forefront TMG: Permite monitorear la
transferencia total en bytes por segundo que pasan por el firewall. Cada
byte se cuenta dos veces: una cuando entra en el firewall y otra cuando
sale de él.
c. Servicio de firewall de Forefront TMG: Permite monitorear el número de
sesiones activas del servicio de firewall. Si se compara este contador en
horas de mayor tráfico y fuera de estas horas, se obtendrá una buena
indicación del uso de la red.
d. Proxy web de Forefront TMG: Monitorea La frecuencia de solicitudes por
segundo. Utilizar este contador para supervisar el rendimiento general. Al
dividir el contador Bytes enviados a cliente/s por este contador, se obtiene
una medida de la respuesta media que no debería ser superior a 20 KB,
aproximadamente.
e. Motor de paquete firewall de Forefront TMG: Permite monitorear el
número de paquetes denegados por segundo. Utilizarlo para supervisar
amenazas de seguridad en general. Si los números son altos (más de
100), compruebe si hay ataques o errores de configuración de red.
f. Motor de paquete firewall de Forefront TMG: Permite monitorear el
número de paquetes permitidos y denegados por segundo. Utilizarlo para
supervisar las amenazas de seguridad y el rendimiento general.
g. Motor de paquete firewall de Forefront TMG: Permite monitorear el
número de conexiones TCP y UDP creadas por segundo. Utilizarlo para
supervisar las amenazas de seguridad y el rendimiento general.
h. Proxy web de Forefront TMG: Permite monitorear el tiempo medio de
respuesta. Utilizarlo para supervisar las amenazas de seguridad y el
rendimiento general. Use recuperaciones directas y recuperaciones de

caché para efectuar el diagnóstico.

1. ¿Qué tan importante es contar con reportes diarios sobre la navegación
WEB en la empresa?.
2. ¿Qué parámetros deberían tomarse en consideración en un reporte e
informe en un servidor Proxy/firewall?.
3. A partir de estos informes, ¿Qué tipos de conclusiones y decisiones se
pueden tomar?.

X. REALIZAR LA PROTECCIÓN DE LA RED DE LA EMPRESA

UTILIZANDO UN SERVIDOR DE SEGURIDAD CON LINUX.
OPERACIONES:
- Diferentes escenarios para brindar la seguridad de la red de datos de la

empresa utilizando un servidor Linux.
- Configurar una Red Perimetral con Linux.
- Configurar un servidor proxy en Linux.
- Diferentes programas de antivirus.
10.1. CONFIGURAR UNA RED PERIMETRAL CON LINUX.

Para realizar esta tarea, se deben realizar los siguientes pasos:
La topología a realizar, es la siguiente:
1. Descargar el archivo iso: EFW-COMMUNITY-2.4-201005280528-RESPIN.

2. Creará la maquina virtual en Virtual Box (el instructor puede utilizar un
software de virtualización diferente)
3. Agregará tres adapradores de red, de los cuales verificar sus respectivas
direcciones MAC:


4. Realizar el proceso de instalación y configuración básica (indicado en la

sección anterior).
5. Las interfaces agregadas en el tercer paso serán para la red Interna, para la
red externa y para la red DMZ.
6. Ingresar a la configuración, via WEB y se empezará a configurar las diversas
redes:
a. Red Roja: Red Wan (internet).
b. Red naranja: Red DMZ.
c. Red azul: Red inalámbrica.
d. Red verde: red lan o interna.
RED ROJA: Red externa,

red WAN o Internet..
7. Se utilizará en esta ocasión, la red roja, naranja y verde.
RED NARANJA: Red DMZ.
8. Asignar las direcciones IP según lo indicado en la topología.

Escoger correctamente
las Interfaces de red.

9. Ingresarán las direcciones IP de los servidores DNS.
10. Se realizará la configuración de la cuenta de correo del administrador, lo

cual es opcional:

11. Se finalizará la configuración:
12. Se ingresará a la pantalla principal para ver el tráfico:

13. Agregar la maquina cliente y se le colocará un IP perteneciente a la red

Interna y debería navegar en Internet:
Se realizará la
configuración del
equipo Cliente.
14. Para crear las reglas NAT, ingresar al menú “cortafuegos” y luego a la
ficha: “NAT fuente”:
15. Hacer clic en “Agregar una nueva regla de NAT fuente”.

16. Se crearán dos reglas, una para la red LAN hacia Internet y la otra será
para la red DMZ hacia Internet.
17. Ahora publicar los servicios de la DMZ, para eso se contará con un servidor
WEB en al red DMZ, con el IP: 192.168.5.2/24.
18. En el firewall, ingresar al menú “Cortafuegos” y luego se ubicará en “Port

Forwarding/ Destiantion NAT” y se adicionará una nueva regla:

19. Se especificará el IP del servidor WEB y el servicio a publicar:
20. Para verificar el funcionamiento, desde una PC en la red externa, se

navegará en: http://192.168.1.10
21. Configurar las reglas de acceso para permitir y denegar tráfico.

22. Ingresar al menú “Cortafuegos” y luego hacer clic en “tráfico de salida”:

23. Hacer clic en “Agregar una nueva regla del cortafuegos” y en origen,
colocará la red Verde y en destino colocará los ips de las redes de un
determinado dominio.
24. Luego, en acción escoger “Denegar” y en posición colocar “Primero”:
25. Como se debe hacer al crear cualquier regla en el firewall, aplicar los
cambios:

Diferentes escenarios para brindar la seguridad de la red de datos de la
empresa utilizando un servidor Linux.
Anand Sastry, un importante especialista en Seguridad de la Información
indica:
Cada implementación en la empresa tiene un firewall como la primera línea de
defensa, protegiendo los activos contra las amenazas comunes del Internet.
El firewall actúa normalmente limitando el acceso únicamente a los servicios de
Internet que la empresa considere necesarios. Bajo este esquema, el acceso
es controlado por determinadas reglas.
Por lo general, las empresas utilizan una estructura que separa los servidores
de acceso Internet de los activos corporativos de la empresa en un particular
segmento de red aislado conocido como una "zona desmilitarizada" (DMZ). El
aislamiento se logra dedicando una interfaz de red del firewall para estos
servidores que son publicados.
El acceso directo a activos no alojados en la DMZ no está permitido. Estos
activos incluyen típicamente estaciones de trabajo de la empresa,
componentes críticos del servidor, tales como controladores de dominio,
servidores de correo electrónico y aplicaciones empresariales importantes. Los
activos alojados en el segmento DMZ normalmente incluyen aplicaciones con
acceso a Internet, tales como interfaces de web, servidores, servidores relés de
correo electrónico, servicios públicos de alojamiento de archivos, etc.
Para entornos de alto tráfico, un equilibrador de carga maneja todas las
conexiones desde la interfaz de Internet del firewall, dirigiendo el tráfico al
servidor web con la menor carga. Los servidores de aplicaciones y bases de
datos están alojados en segmentos separados con reglas de acceso que
restringen el acceso entre los niveles de web, de aplicaciones y de bases de
datos.
En todos los casos, el firewall actúa como el primer mecanismo de defensa,
controlando qué activos pueden ser accedidos, a la vez que proporciona
protección contra ataques en la capa de red del modelo OSI, pero el firewall en
esta forma de trabajo ya no es una protección adecuada contra las más
poderosas formas de ataque que se están dando en la actualidad, que
consisten en aprovechar las debilidades de las aplicaciones utilizadas en la
empresa (capa 7 del modelo de referencia OSI) en lugar de debilidades en el
ámbito de la red (capa 3 del modelo OSI).
Para hacer frente a estas amenazas actuales, los firewall han sido ampliados
con productos que se encargan de evitar los ataques en las aplicaciones y
amenazas de software malicioso.

Algunos tipos de escenarios actuales de implementación de firewalls que han

sido diseñados para frustrar malware y ataques a las aplicaciones son:
Firewalls para la vigilancia del tráfico saliente.

En los diversos entornos empresariales donde los firewalls están diseñados
para controlar acceso entrante y saliente, el acceso web saliente es permitido
normalmente sin oposición lo cual expone a la empresa al ingreso de software
malicioso.
De forma predeterminada, los Firewalls permiten todo el tráfico de red saliente.
De forma predeterminada, el tráfico de red entrante en un equipo que no
cumpla una regla se bloquea, pero nada impide que el tráfico saliente salga de
un equipo.
Para bloquear el tráfico de red para programas prohibidos, debe crear una
regla de salida que impida que el tráfico con criterios específicos pase a través
del Firewall.
Para contrarrestar esta amenaza, los productos de firewalls más tradicionales
han sido ampliados con funciones de gestión de acceso a Internet (en línea o
basados en proxy) que controlan específicamente el acceso saliente.
Inspección del contenido de la capa de aplicación.

Los proveedores de firewall en la actualidad están ofreciendo herramientas que
realizan una inspección del contenido de la capa de aplicación combinado con
los antivirus. Estos dispositivos, además de supervisar el tráfico buscando
contenido malicioso, también bloquean el acceso a los sitios que alojan
contenido cuestionable.
Firewalls para aplicaciones web.

El monitoreo de la capa 7 o de Aplicación del modelo OSI, podría tomar la
forma de un firewall para aplicaciones de web, que se centran específicamente
en los ataques de nivel de aplicación dirigidos a servicios web y aplicaciones.
Además de protegerse contra los ataques de web comunes, como “inyección
SQL”, estos dispositivos tienen la capacidad de comprender el comportamiento
de los clientes (es decir, los usuarios que interactúan con el sitio WEB) y
puede rastrear y prevenir el comportamiento que se desvía de la norma.

Implementaciones de firewalls virtuales.

Esta implementación puede ser aumentada aún más con una combinación de
firewalls para aplicaciones web y otras más. En las implementaciones de este
tipo, el firewall convencional todavía tiene un papel que jugar, aunque a un
nivel más amplio, aplicando la separación/protección entre granjas de
servidores virtuales.
Configurar una Red Perimetral con Linux.

En esta ocasión se utilizará ENDIAN, pero el instructor puede escoger otra
distribución de Linux.
Endian es una distribución OpenSource de linux, que fue desarrollada para
actuar como cortafuego (firewall), pero también tiene otros servicios muy
interesantes siendo en su completa magnitud, una gran solución integral que
protege su red.
Entre los servicios que ofrece este producto,se tiene:
- Reglas firewall de entrada y salida.
- Ipsec LAN to LAN VPN.
- NAT.
- Múltiples aliases en la interface WAN.
- Soporte para los más conocidos dns dinámicos (dyndns.org).
- Soporte para DMZ.
- Interface de administración web bajo https.
- Gráficos detallados de las interfaces de red.
- Detalle de todas las conexiones activas.
- Log detallado de todos los procesos del sistema.
- Envío del log a un syslog.
- Servidor NTP.

- Servidor DHCP.
- Traffic Shaping / QoS
- Proxy POP3 antivirus
- Clamav antivirus
- Proxy SMTP antispam
- Web proxy (Squid) con integración en LDAP o Windows users
- IDS en interface WAN y LAN
- Proxy SIP
- SMTP proxy
- Filtro de contenidos
- SquidGuardian
- Advanced Proxy.
Se va a instalar Endian en un servidor que se encuentre entre nuestra red local
e Internet y teniendo en cuenta que Endian también viene como un UTM,
aportará un nivel importante de seguridad.
Se pueden implementar diferentes topologías para seguridad:

Para poder descargarlo, ingresar al portal de: Endian Firewall Community.

Descargar el ISO del sistema.
En esta oportunidad se descargó: EFW-COMMUNITY-2.4. .
Iniciar la descarga:
Una vez descargado, se explicará el procedimiento de instalación y

configuración básica de Endian:
1. Crear una máquina virtual, en este caso se puede utilizar cualquier software
de virtualización, entre los cuales se pueden citar:
a. Virtual box.
b. VMware.

c. HyperV, etc.
2. En este caso se mostrará el procedimiento en una máquina virtual creada en
“Virtual Box”.
3. Se utilizará una máquina para Linux:
4. Definir la cantidad de memoria RAM para el equipo.

5. Crear un disco duro.
6. Asignar la capacidad del disco duro.
7. Vincular la imagen iso de Endian a la máquina virtual:
Colocará el ISO de
ENDIAN en el DVD virtual
de la Máquina virtual.
8. Agregar 2 tarjetas de red:

9. Al cargar el instalador se mostrará la siguiente información, presionar

“Enter”:
10. Escoger el idioma para la instalación, en este caso se escogerá el idioma

“Ingles”:
Escogerá el idioma para la

Instalación.

11. Se mostrará un mensaje de bienvenida:
12. El instalador indicará que se borrará toda la data del disco, escoger “YES”
y luego “OK”:
13. La siguiente pantalla indica si se desearía habilitar la conexión por consola,

en este caso no se podría aplicar ya que no se cuenta con el Hardware
necesario:

En este caso indicará que

no.
14. Ahora se iniciará la instalación del software:

15. Ahora se asignará el IP para la red Interna, denominada: RED GREEN:
Indicará el IP de la puerta
de enlace para la red
GREEN.
16. Luego aparecerá una ventana de felicitación por haber terminado el

proceso de instalación:
17. Se reiniciará y se mostrará la siguiente ventana:

18. Desde esta interfaz se pueden cambiar las contraseñas, recuerdar que la
contraseña por defecto de root es: endian.
19. Ingresar desde un navegador a la ruta indicada:
https://192.168.1.101:10443 y terminar con la configuración básica.
20. Al ingresar desde el navegador se visualizará la siguiente ventana:
21. Debe configurar el idioma y la zona horaria:
22. Ahora se visualizarán los términos de licencia de uso del software. Aceptar
los términos:
Esta es la ventana de bienvenida a

la configuración via WEB de
ENDIAN.

23. Se consultará si se desea restaurar un respaldo, en este caso no será

necesario y hacer clic en “>>>”.
24. Se deben configurar las contraseñas de acceso:
Desde aquí se podrán

cambiar las contraseñas de
acceso.
25. Se activará un asistente donde se solicitará la configuración de la red

ROJA, para la conexión a Internet.
En esta oportunidad escogerá la opción “Ethernet por DHCP” ya que el
proveedor de Internet entrega la configuración IP de esta forma, pero eso
puede variar, consultar al instructor:
Se definirá la forma de
conexión a Internet (RED
ROJA)

26. Ahora, dependiendo de la topología a realizar, se podrá agregar una red

DMZ y WIFI. En este caso se agregará una red DMZ:
Se definirá la forma de
conexión a Ia DMZ (RED
NARANJA)
27. Se mostrará una ventana en la cual podrá agregar el IP para el acceso a la

red DMZ en la cual se encontrarán los servidores publicados:
Se deben seleccionar las

interfaces correctas.

Se debe seleccionar la
interface correcta para la
red Naranja.
28. Finalmente se realizarán las configuraciones para la red ROJA que será la
que se conecta directamente a Internet:
red Roja.

29. Ahora solicitará la configuración DNS, que en este caso es obtenida en

forma dinámica:
30. En el caso en que se encuentre con un servicio de correo electrónico, se

puede ingresar la configuración requerida:
31. Luego se mostrará una ventana indicando que se terminó con la

configuración inicial. Aplicar la configuración:
32. Se confirmará la aplicación de esta configuración.

33. Se solicitarán las credenciales de acceso.
34. Se mostrará la interface de configuración:

Se puede
apreciar el
tráfico en la
red.
35. Si se desea agregar una red más, por ejemplo para acceso inalámbrico
(RED AZUL) se puede dirigir al menú “Configuración de red”:
36. Asignará el IP de acceso para la red Inalámbrica:

red Azul.
37. Finalmente se aplica y guardan los cambios.
Configurar un servidor proxy en Linux.

Un proxy es un ordenador intermedio que se usa en la comunicación de otros
equipos. Mediante un proxy, la información va, primero, al ordenador
intermedio (equipo proxy), y éste se lo envía al ordenador de destino, de tal
forma que no existe una conexión directa entre el origen y el destino.

Para instalar y configurar un servidor Proxy sobre Linux, se puede utilizar squid,
para lo cual se realizará el siguiente procedimiento:
1. El procedimiento puede ser ligeramente diferente, dependiendo de la
distribución de Linux a utilizar.
2. En este caso se utilizará UBUNTU Server, pero puede ser otra distribución
que indique su instructor.
3. Primero se instalará el paquete, colocando el siguiente comando:
# apt-get -y update && apt-get -y install squid
4. Una vez instalado, ir al directorio /etc/squid para verificar que todo se instaló
correctamente y realizar algunas configuraciones: cd /etc/squid.
5. Se guardará el archivo de configuración squid.conf para el caso en que se
requiera retornarlo como estaba inicialmente. mv squid.conf squid.conf.back
6. Ahora editar el archivo, utilizando un editor conveniente, en este caso será
“Nano”. nano squid.conf.
7. En este archivo podrá configurar diversas opciones, como por ejemplo:
# Indicará el puerto que será utilizado para el proxy:
http_port 8080
# Indicará la capacidad de la memoria cache del proxy:
Cache_mem 100 MB
# Indicará la dirección del directorio del spool
Cache_dir ufs /var/spool/squid 150 16 256
# se declara el IP de la red Lan:
Acl red_local src 172.31.2.0/23
# Declare el Ip del localhost
Acl localhost src 127.0.0.1/32
# Ahora damos el acceso al localhost y a la red LAN
http_access allow localhost
http_access allow red_local
Luego guardamos los cambios en el archivo de configuración y reiniciamos el
servicio:
Service squid restart
También se puede utilizar el proxy que viene instalado en el UTM Endian, para
lo cual se ubicará en el menú “PROXY” y seleccionará la opción: “HTTP” y
habilitará la aplicación:

Desde aquí se debe indicar si el proxy HTTP debe ser: transparente y no

transparente.
OBSERVACION:
Proxy No Transparente: En este caso necesitas especificar en cada equipo
cliente la dirección IP del servidor proxy y el puerto para su uso.
Proxy transparente: En este caso, su uso es transparente para el usuario, no
necesitas agregar los datos del servidor proxy en los equipos clientes.

1. ¿Cuáles son las ventajas y desventajas de utilizar un sistema Linux para

proporcionar seguridad a la red de datos de la empresa?
2. ¿Cuáles son las características más importantes de Endian y qué otros
firewall similares existen en Linux?
3. En ENDIAN se puede trabajar con proxy transparente y no transparente.-
Explicar.

XI. IMPLEMENTAR LA SEGURIDAD UTILIZANDO IPTABLES.
OPERACIONES:
- Entender el concepto e importancia de las Iptables.

- Crear un firewall con Iptables.
- Firewall de una LAN con salida a Internet.
- Firewall de una LAN con salida a Internet con DMZ.
- Firewall con política por defecto DROP.
- Como depurar el funcionamiento del Firewall.
11.1. CREAR UN FIREWALL CON IPTABLES CON SALIDA HACIA

INTERNET Y CON RED DMZ:
Se instalará un servidor Linux como Firewall, teniendo en cuenta la siguiente
topología:
1. Para este ejercicio, se trabajará con una maquina virtual creada con Centos,
que debe disponer de tres tarjetas de red, cada tarjeta tendrá la
configuración Ip correspondiente:

2. Una vez instalado el servidor, se procede a realizar la configuración de las

direcciones IP para cada interface:
Se deben configurar las

tres conexiones de red.
- Eth0: (WAN)
IP: 192.168.1.2
Mascara: 255.255.255.0
PE: 192.168.1.1
DNS:
200.48.225.130.
200.48.225.146.

- Eth1: (LAN)
IP: 192.168.20.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.
- Eth2: (DMZ)
IP: 192.168.3.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.

3. Se empezará colocando los siguientes comandos por medio de un terminal:

## Eliminando las reglas anteriores si existiesen
iptables −F
iptables −X
iptables −Z
iptables −t nat −F
## Establecemos la politica por defecto para el firewall
iptables −P INPUT ACCEPT
iptables −P OUTPUT ACCEPT
iptables −P FORWARD ACCEPT
iptables −t nat −P PREROUTING ACCEPT
iptables −t nat −P POSTROUTING ACCEPT
## Ahora, se iniciará el filtrado, recordemos que eth0 es el interfaz
## conectada al router y eth1 al switch de la LAN
# Todo lo que venga desde la WAN o red externa y vaya al puerto 80 lo
# redirigimos al servidor WEB de la DMZ
iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 80 −j DNAT −−to
192.168.3.2:80
# Los accesos de un ip vía HTTPS se redirigen al servidor WEB via el #puerto
443:
iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 443 −j DNAT −−to
192.168.3.2:443
# Al host local (localhost), se le deja las conexiones (por # ejemplo
# conexiones locales a un gestor de bases de datos)
/sbin/iptables −A INPUT −i lo −j ACCEPT
# Podemos acceder al firewall desde la red local
iptables −A INPUT −s 192.168.20.0/24 −i eth1 −j ACCEPT
# La red local y de la DMZ deben poder salir hacia la externa
iptables −t nat −A POSTROUTING −s 192.168.20.0/24 −o eth0 −j
MASQUERADE

iptables −t nat −A POSTROUTING −s 192.168.3.0/24 −o eth0 −j

MASQUERADE
# Debemos permitir un forward de paquetes en el firewall, es decir
# que otras máquinas puedan salir a traves de este firewall.
## Si deseas que el servidor trabaje como puerta de acceso a internet ###
compartida, pues deberás activar el "IP forwarding" en tu computador ### que
actuará como ruteador.
echo 1 > /proc/sys/net/ipv4/ip_forward
## Permitimos el acceso de la red DMZ a un servidor de BD de la LAN, # ya
que el servidor WEB de la DMZ muestra información de la BD :
iptables −A FORWARD −s 192.168.3.2 −d 192.168.20.5 −p tcp −−dport 5432 −j
ACCEPT
iptables −A FORWARD −s 192.168.20.5 −d 192.168.3.2 −p tcp −−sport 5432 −j
ACCEPT
## Ahora, debemos permitir abrir el Terminal server de la DMZ desde la # red
LAN
iptables −A FORWARD −s 192.168.20.0/24 −d 192.168.3.2 −p tcp −−sport
1024:65535 −−dport 3389 −j ACCEPT
iptables −A FORWARD −s 192.168.3.2 −d 192.168.20.0/24 −p tcp −−sport
3389 −−dport 1024:65535 −j ACCEPT
# Por razones de seguridad, cerramos el acceso de la DMZ a la LAN
iptables −A FORWARD −s 192.168.3.0/24 −d 192.168.20.0/24 −j DROP
## Ahora cerramos el acceso de la DMZ al propio firewall
iptables −A INPUT −s 192.168.3.0/24 −i eth2 −j DROP
## y lo mas importante, cerramos los accesos indeseados del exterior:
# recordemos que la red 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de los puertos bien conocidos
iptables −A INPUT −s 0.0.0.0/0 −p tcp −dport 1:1024 −j DROP
iptables −A INPUT −s 0.0.0.0/0 −p udp −dport 1:1024 −j DROP
Entender el concepto e importancia de las Iptables
El firewall utilizado para gestionar las conexiones en Linux es iptables.
IPtables es un sistema de firewall vinculado al kernel de linux que se ha
extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al
igual que el anterior sistema ipchains, un firewall de iptables no es como un
servidor que lo iniciamos o detenemos o que se pueda caer por un error de
programación, iptables está integrado con el kernel, es parte del sistema
operativo. Con las iptables, se aplican reglas diversas.
Las iptables permiten configuraciones muy diversas y un administrador puede

realizar configuraciones para casos de gran complejidad. Las iptables permiten

crear reglas que analizarán los paquetes de datos que entran y salen del
computador, con el objetivo, que bajo determinadas condiciones, se permita o
deniegue que dicho paquete siga su curso.
Crear un firewall con Iptables.

Para crear las reglas, se pueden analizar muchos aspectos de los paquetes de
datos.
Se pueden filtrar paquetes en función de:
1. Tipo de paquete de datos:
a. Tipo INPUT: paquetes que llegan a nuestra máquina.
b. Tipo OUTPUT: paquetes que salen de nuestra máquina.
c. Tipo FORWARD: paquetes que pasan por nuestra máquina.
2. Interfaz por la que entran (-i = input) o salen (-o = output) los paquetes
en el servidor:
Ejemplos: eth0, eth1, eth2, wlan1, ppp0, ...
3. Indicando la dirección IP del origen de los paquetes (-s = source)
a. Dirección IP de un host de forma específica, ej: 10.0.1.3
b. Rango de la red origen, ej: 10.0.1.0/8
4. Indicando la dirección IP destino de los paquetes (-d = destination)
a. Dirección IP de un host de forma específica, ej: 10.0.1.10
b. Rango de la red Destino, ej: 10.0.1.0/8
5. Protocolo a utilizar (-p = protocol)
Ejemplos de protocolos: Tcp, udp, icmp...
6. Hacer NAT (modificar IP origen y destino para conectar nuestra red a
otra red o a Internet). Estas reglas NAT se generan tomando en cuenta
dos opciones:
a. Filtrar antes de enrutar: PREROUTING

b. Filtrar después de enrutar: POSTROUTING

Una forma sencilla de trabajar con iptables es permitir las comunicaciones que
nos interesen y luego denegar el resto de las comunicaciones, esto es
denominado: Política por defecto ACEPTAR
Ejemplos:
1. Éste script permite que se pueda acceder al servicio WEB ofrecido en este
servidor, el acceso al servidor desde el equipo con IP: 192.168.200.5 vía
SSH y el acceso a la administración de la BD:
OBSERVACION:
Puerto 22: El puerto 22 es utilizado por defecto por SSH, el cual es sin lugar a
dudas, de gran importancia para los administradores de redes. Cuando se
necesite controlar y administrar remotamente otros ordenadores y/o servidores
es muy útil el SSH.
Ahora, regresando al ejemplo, ingresaremos el script para la solución:

## Borrado de reglas
## Eliminamos cualquier tipo de definición existente
iptables −F
## Borra las reglas definidas por el usuario
iptables −X
## Coloca los contadores de las reglas a 0
iptables −Z
## Establecemos las políticas por defecto, con esto bastará para que ##
nadie, absolutamente nadie pueda entrar a su ordenador,
## incluyéndose usted mismo.

## Con ella regla, indicamos que la política por defecto (-P) para todo lo ## que
desee entrar a nuestro ordenador (INPUT) es obviarlo, no hacerle ## caso
(DROP)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Para permitir a mi propio equipo ingresar a los puertos y servicios debo ##
utilizar la siguiente regla:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## De las líneas ingresadas, la primera línea nos dice que el propio ##
ordenador (-i lo …, donde lo = localhost) puede hacer de todo.
## La segunda línea se refiere a que todas las conexiones que nosotros ##
iniciemos (que salgan desde nuestro ordenador), cuando por esa ##
conexión quiera entrar algún dato, iptables dejará que ese dato entre, ## esto
es muy fácil de entender en el caso del servicio WEB.
## Se evita el acceso al icmp, por ejemplo, el uso del ping.
iptables -A INPUT -p icmp -j DROP
## Permitir el acceso al servicio WEB tanto por HTTP y HTTPS:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED
-j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j
ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state
NEW,ESTABLISHED -j ACCEPT
ACCEPT
## Permitir el acceso por SSH desde un equipo con el IP: 192.168.200.5:
iptables -A INPUT -i eth0 -p tcp -s 192.168.200.5 --dport 22 -m state --state
NEW,ESTABLISHED -j ACCEPT
ACCEPT
# A un equipo le dejamos entrar al mysql para que administre la BD:
iptables −A INPUT −s 231.45.134.23 −p tcp −−dport 3306 −j ACCEPT
# A un diseñador le dejamos usar el FTP
iptables −A INPUT −s 80.37.45.194 −p tcp −dport 20:21 −j ACCEPT
## Fin del script de ejemplo

Firewall de una LAN con salida a Internet.

Para que las computadoras de la LAN puedan tener salida a Internet,
podríamos agregar el siguiente código:
## Borrando las reglas actuales:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos política por defecto, que en este caso será aceptar

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Se inicia el Filtro
## El puerto eth0 es la interfaz del Firewall que se encuentra conectada al router ## y
eth1 a la LAN (red interna)
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
## Enmascaramos todo lo que salga por eth0.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
## Con esto permitimos hacer forward de paquetes en el firewall, o sea
## que otras máquinas puedan salir a través del firewall.
## Para que tu máquina con Linux (sea este Ubuntu, Debian, Fedora u otro) ##
actúe como un ruteador, o como puerta de acceso a internet compartida, pues ##
deberás activar el "IP forwarding" en tu computador que actuará como ##
ruteador.
## Esto puede realizarse de diferentes maneras, por ejemplo:
## Y ahora debemos cerrar los accesos indeseados del exterior:
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
## Cerramos un puerto de gestión, en este caso el que es utilizado por webmin

iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP

## Fin del script
Firewall de una LAN con salida a Internet con DMZ.

En este tipo de firewall hay que permitir:
- Acceso de la red local a Internet.
- Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
- Acceso del servidor de la DMZ a una BD de la LAN (puede tratarse del
Servidor WEB que realiza consultas a la BD).
- Bloquear el resto de acceso de la DMZ hacia la LAN.
Entre la RED LAN y la red DMZ debe ser reglas FORWARD, ya que estamos
filtrando entre distintas redes, no son paquetes destinados al propio firewall.
El script que nos daría la solución, sería:
## Primero limpiamos las reglas previas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos la política por defecto en el Firewall

## Se inicial el filtrado
## En este caso, como en el ejemplo anterior, asumiremos que eth0 es el interfaz ##
conectado al router y eth1 a la LAN
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos a una ##
maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.2:80
# Todo lo que venga por el exterior y vaya al puerto 443 lo redirigimos a una ##
maquina interna

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.1.2:443
## Al localhost se les permite el acceso a los servicios locales
## Al firewall tenemos acceso desde la red local (Recordemos que el puerto eth1 ##
está conectada a la LAN).
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
## Ahora hacemos enmascaramiento de la red local y de la DMZ para que ##
puedan salir hacia el exterior y activamos el BIT DE FORWARDING
## Ahora, debemos permitir que otros equipos puedan salir por el Firewall:
## Permitimos el paso de la DMZ a una BBDD de la LAN:
iptables -A FORWARD -s 192.168.3.2 -d 192.168.1.5 -p tcp --dport 5432 -j ACCEPT
iptables -A FORWARD -s 192.168.1.5 -d 192.168.3.2 -p tcp --sport 5432 -j ACCEPT
## permitimos abrir el Terminal server de la DMZ desde la LAN
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.3.2 -p tcp --sport 1024:65535 --
dport 3389 -j ACCEPT
iptables -A FORWARD -s 192.168.3.2 -d 192.168.1.0/24 -p tcp --sport 3389 --dport
1024:65535 -j ACCEPT
## Cerramos el acceso de la DMZ a la LAN para seguridad

iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.1.0/24 -j DROP
## Cerramos el acceso de la DMZ al propio firewall por seguridad, recordemos ## que
el firewall se conecta a la DMZ desde el puerto eth2:
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
## Y ahora cerramos los accesos indeseados del exterior:
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
## Cerramos el puerto de gestión de webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
# Fin del script
Firewall con política por defecto DROP.

Hasta el momento se ha estado trabajando con una política por defecto

“Accept”:
Pero no siempre esto es lo más seguro.
Trabajar con política por defecto DROP es más seguro pero también más
complicado.
Se realizará el mismo ejemplo que en el caso anterior pero tomando la política
por defecto DROP:
## Borrando las reglas anteriores
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Estableciendo la política por defecto: DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Se inicia el filtro:
## Al Firewall le indicamos que podemos ingresar a este, desde un equipo para ##
administración:
iptables -A INPUT -s 210.195.55.20 -j ACCEPT
iptables -A OUTPUT -d 210.195.55.20 -j ACCEPT
## Para el resto de equipos no habría acceso al firewall debido a que esta por defecto
en DROP, en caso contrario tendríamos que haber ingresado:
iptables -A INPUT -s 0.0.0.0/0 -j DROP
## Ahora, ingresamos las reglas para cada servidor, recordemos que los ##
paquetes tienen como destino no al firewall, sino otras máquinas por lo cual ## se
aplica FORWARD:
## Empezamos con el servidor WEB cuyo IP es 211.34.149.5
# Acceso al puerto 80

iptables -A FORWARD -d 211.34.149.5 -p tcp --dport 80 -j ACCEPT

iptables -A FORWARD -s 211.34.149.5 -p tcp --sport 80 -j ACCEPT
## Permitir el acceso vía SSH desde nuestra máquina al servidor WEB para su ##
administración:
## Para el caso del Servidor de correo, su IP es: 211.34.149.6
## Acceso a los puertos: 25 (SMTP), 110(POP 3) y 143 (IMAP)
# Permitimos el acceso para la gestión SNMP:
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.6 -p udp --dport 161 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.6 -d 210.195.55.20 -p udp --sport 161 -j ACCEPT
# Acceso a nuestra IP para gestionar el servidor de correo
## Ahora, accedemos al servidor 211.34.149.10 vía HTTPS
# Acceso para Gestion, con RDP (Protocolo de escritorio remoto)
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.6 -p tcp --dport 3389 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.6 -d 210.195.55.20 -p tcp --sport 3389 -j
ACCEPT
## Servidor CITRIX y de BD 211.34.149.11

# Acceso para gestión

ACCEPT
ACCEPT
# acceso a otro puerto para el servicio de BD: SQL Server
ACCEPT
ACCEPT
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.11 -p udp --dport 1433 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.11 -d 210.195.55.20 -p udp --sport 1433 -j
ACCEPT
# Fin del script
Como depurar el funcionamiento del Firewall.

Aparte de verificar cada una de las reglas ingresadas, se pueden utilizar
algunas herramientas, tales como:
IPTRAF, NMAP, etc…
1. ¿En que consisten las IPtables y cuáles son sus usos? - Explique
2. ¿Cómo se clasifican las IPtables? – Detalle al especto.
3. ¿Qué ventajas y desventajas tiene el trabajar con IPtables?

XII. IMPLEMENTAR UNA ÓPTIMA SEGURIDAD EN LAS REDES VPN CON

PRODUCTOS MICROSOFT Y LINUX.
OPERACIONES:
- Entender el funcionamiento de una red privada virtual.
- Configurando VPN para clientes remotos.
- Configurando el servidor de seguridad para Controlar y administrar las VPN
en entornos Microsoft y Linux.
CONFIGURANDO EL SERVIDOR DE SEGURIDAD PARA CONTROLAR Y

ADMINISTRAR LAS VPN EN ENTORNOS MICROSOFT Y LINUX.
En primer lugar se trabajará con una implementación de VPN sobre un TMG
(producto Microsoft).
La topología es la siguiente:
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
RED Externa: (INTERNET)

192.168.1.0/24
Gateway: 192.168.1.0

DNS:
200.48.225.130
200.48.225.146
Recordar que para este ejercicio, así como los anteriores, se está tomando
como la red de Internet, la 192.168.1.0/24, pero en otros entornos puedes estar
trabajando directamente con IPs públicos.
El procedimiento es el siguiente:
1. Ingresar a la consola de administración del TMG:
2. Dirigirse al panel izquierdo y ubicarse en “Directiva de acceso remoto

(VPN)”.
3. Hacer clic en “Configurar método de asignación de direcciones”:
Las direcciones IP para

los equipos que utilicen
la VPN.

4. Hacer clic en “Agregar” y se ingresará el siguiente rango de direcciones:
5. Hacer clic en “Aceptar”.

6. Verificar que se muestre el rango correcto:
7. Se verificará que la Autenticación utiliza el método MS-CHAPv2.

8. Ubicarse en la ficha “Redes de acceso” y verificar que se encuentre

seleccionada la red “Externa”:
9. Hacer clic en “Aceptar”.

10. Aplicar los cambios.
11. Ahora, se creará un grupo y a este grupo se debe agregar el usuario
administrador:

12. Retornar a la consola de administración de TMG.
13. Hacer clic en “Comprobar propiedades de VPN”.

14. Definir como máximo número de conexiones VPN: 50:
15. Hacer clic en la ficha “Grupos” y adicionar el grupo creado anteriormente:

VPN-Senati:
16. Desde la ficha protocolos, verificar que se encuentre habilitado el protocolo

PPTP:

17. Habilitar la asignación de usuarios:
18. Aceptar los cambios y aplicarlos.

19. Verificar que estén creadas las reglas que permitan acceder de la LAN a la
WAN.

20. Ahora, se creará una regla de enrutamiento de los clientes VPN hacia la
LAN, para lo cual hará clic secundario en “Redes” luego en “Nuevo” y
finalmente “Regla de red” (ver imagen):
21. Le asignará el nombre: Clientes –VPN:
22. Origen de la regla son los clientes VPN:
23. Como destino, se agregará a la red Interna:

24. Indicará que se trata de una ruta:
25. Hacer clic en “finalizar” y aplicar los

cambios.
26. Ahora, crear una regla de red con
NAT de la red Externa hacia la
Interna:

27. Finalizará la regla y aplicará los cambios:
28. Ahora, creará una regla de acceso de los clientes de VPN hacia la red
interna.
29. Esta nueva regla se llamará “VPN-INTERNA”:
Se permite todo el tráfico saliente.

Origen: Clientes VPN.
Destino: Red Interna.
30. Ahora, para comprobar la tarea, desde la PC que está en la red WAN
(Internet) se crea la VPN:

31. Se utiliza la conexión a Internet:
32. Colocar el IP del servidor TMG (de la red Externa):
33. Se ingresa el usuario y contraseña del inicio de sesión:
34. Se creará la conexión VPN:

35. Verificará la entrega del IP por parte del servidor, en este caso: 172.16.0.3.
Configurando el servidor de seguridad para Controlar y administrar las

VPN en entorno Linux- con ENDIAN.
En este caso se realizará la configuración de dos Firewalls Endian (una en

cada sede) y lograr establecer una conexión VPN entre ambas sedes.
Topología:
1. Empezará configurando el Sede1.

2. Primero se creará la máquina virtual donde se instalará el Firewall ENDIAN
para la sede 1, esta máquina debe contar con dos tarjetas de red:

3. Una vez terminada la instalación, podrá apreciar la siguiente interface de

acceso.
4. Aquí también nos indicará la dirección IP y el puerto para acceder vía https a
la configuración mediante una interfaz gráfica (vía WEB) del firewall:
5. Ingresará a la interfaz WEB y se iniciará la configuración de las redes:

a. Red verde: Red LAN (red interna).
b. Red Naranja (Red DMZ).
c. Red azul (Red inalámbrica).
d. Red Roja (Red WAN o Internet).
6. Se colocarán los IPs correspondientes a cada una de las redes indicadas

anteriormente:

Se configuran las
redes.
Se coloca el IP para
la WAN (Internet).
7. Se deben configurar las direcciones IP de los servidores DNS:

8. Además, se indicará el correo del usuario administrador del servidor:
9. Terminar la configuración de las redes.

10. Ahora, se procederá a crear una VPN de RED a RED:
11. Se creará la VPN, asignándole un nombre, el estado de activado, la subred

local, la sub red remota y la clave.
12. Además debe activar el IPsec.
Se creará la red VPN

ingresando la información
referente a la red remota.

Ahora, se debe configurar la Sede 2:

13. Se realiza el mismo procedimiento que se realizó en la Sede 1:
14. Se realizará la configuración de las redes:

a. Verde. c. Azul.
b. Naranja. d. Roja.


Estas
configuraciones son
opcionales.
Aplicar la
configuración
realizada.

15. Se creará la conexión VPN, utilizando IPSec y agregando el nombre de la

red, red local, red remota y clave.

Se creará la Conexión
VPN similar a lo
realizado en la otra
sede.
16. Al final, entre las dos sedes se activará la conexión VPN, ya que pasará
a estado “ABIERTA”:
Se encuentra Abierta la
conexión VPN en la SEDE
1.

Se encuentra Abierta la
conexión VPN en la SEDE
2.
17. Ahora, debe configurar un equipo cliente para una sede y probará
conectividad entre ambas sedes.
FUNDAMENTOS TEORICOS:
Entender el funcionamiento de una red privada virtual.
Como ya es conocido, las redes de área local son las redes internas de las
organizaciones. Estas redes LAN se conectan cada vez con más frecuencia a
Internet mediante un equipo de comunicaciones. Muchas veces, en la
empresas necesitan comunicarse entre sedes o sucursales, clientes o incluso
con el personal que puede estar alejado geográficamente. Una forma de lograr
esto es a través de Internet, sin embargo, los datos transmitidos a través de
Internet son mucho más vulnerables que cuando viajan por la red interna de la
organización, ya que existe una alta probabilidad de que atraviese una

infraestructura de red pública que no sea segura por que algún usuario puede
estar escuchando la red y capture la información.
Si se busca una comunicación altamente segura, implicaría conectar redes
remotas mediante líneas dedicadas, pero es una solución de alto costo, sin
embargo, existe otro método mucho más económico pero no tan seguro, este
método consiste en utilizar enlaces vía VPN (Red Privada Virtual), que consiste
en utilizar Internet como medio de transmisión con un protocolo de túnel, que
permitiría que los datos se encapsulen y se cifren antes de ser enviados.
Una red privada virtual se basa en un protocolo denominado protocolo de túnel,

es decir, un protocolo que cifra los datos que se transmiten desde un lado de la
VPN hacia el otro.
En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra
los datos del lado del usuario y el servidor VPN (comúnmente llamado servidor
de acceso remoto) es el elemento que descifra los datos del lado de la
organización.
Protocolos de túnel.
Los principales protocolos de túnel son:
1. PPTP (Protocolo de túnel punto a punto) es un protocolo de capa 2
desarrollado por Microsoft, 3Com, Ascend, US Robotics y ECI Telematics.
2. L2F (Reenvío de capa dos) es un protocolo de capa 2 desarrollado por
Cisco, Northern Telecom y Shiva. Actualmente es casi obsoleto.
3. L2TP (Protocolo de túnel de capa dos), el resultado del trabajo del IETF
(RFC 2661), incluye todas las características de PPTP y L2F. Es un
protocolo de capa 2 basado en PPP.
4. IPSec es un protocolo de capa 3 creado por el IETF que puede enviar datos
cifrados para redes IP.

IPSec se basa en tres módulos:

- Encabezado de autenticación IP (AH), que incluye integridad, autenticación y
protección contra ataques de REPLAY a los paquetes.
OBSERVACION:
El ataque REPLAY es un tipo de ataque donde una sesión de autenticación
es repetida para hacer creer a la PC que realmente es un usuario
autentificado y así ésta le otorgue el acceso solicitado, es decir, ganar
autentificación de manera fraudulenta.
- Carga útil de seguridad encapsulada (ESP), que define el cifrado del
paquete. ESP brinda privacidad, integridad, autenticación y protección contra
ataques de REPLAY.
- Asociación de seguridad (SA) que define configuraciones de seguridad e
intercambio clave. Las SA incluyen toda la información acerca de cómo
procesar paquetes IP (los protocolos AH y/o ESP, el modo de transporte o
túnel, los algoritmos de seguridad utilizados por los protocolos, las claves
utilizadas, etc.). El intercambio clave se realiza manualmente o con el
protocolo de intercambio IKE (en la mayoría de los casos), lo que permite
que ambas partes se escuchen entre sí.
Configurando VPN para clientes remotos.

Para lograr configurar clientes remotos para que se conecten a través de una
VPN, previamente debe existir un servidor de acceso remoto:

Ahora si se mostrará el
procedimiento para la
configuración de la VPN en el
cliente:
1. Desde el Panel de Control

abrir el “Centro de redes y
recursos compartidos”:
2. Seleccionar “Configurar una nueva conexión o red”. En la nueva ventana,

escoger “Conectarse a un área de trabajo”:
3. Clic en el botón “Siguiente”. En la nueva ventana escoja “Usar mi conexión a

Internet”:

4. En la siguiente ventana debemos introducir el servidor de VPN, ya sea por

nombre DNS o por dirección IP.
5. Como “Nombre de destino” escoja un nombre
descriptivo.
6. Hacer clic en el botón “Crear”.
7. Clic sobre el icono monitor que se encuentra
en la esquina inferior derecha de la pantalla
(área de notificación).
8. Pulsar sobre la “Conexión VPN” creada con
el botón derecho del ratón y seleccionar
“Propiedades”.
9. Seleccionar la pestaña de Seguridad y
configure los parámetros de seguridad
adecuados, por ejemplo:
a. Tipo de VPN: Protocolo de túnel SSTP.
b. Cifrado de datos: Requiere cifrado.
c. Usar el protocolo de autenticación (EAP): seleccionar EAP protegido
(PEAP) (cifrado habilitado).
10. Pulsar sucesivamente los botones de “Aceptar” de las ventanas que han
quedado abiertas y se dispone a conectar.
11. Pulsar sobre la conexión VPN creada y clic sobre “Conectar”:
12. Luego se ingresará el usuario y contraseña necesarios:

13. Finalmente aparecerá como “Conectado”.
Configurar el servidor de seguridad para Controlar y administrar las VPN

en entornos Microsoft y Linux.
Configuración de ForeFront TMG para administrar las conexiones VPN:
Forefront TMG proporciona acceso de red privada virtual (VPN) a la red
corporativa interna para los clientes en redes remotas y los clientes móviles
que se conectan a través de Internet.
La Configuración de ForeFront TMG para administrar las conexiones VPN, es:
1. Configurar el acceso VPN de sitio a sitio: Esta configuración describe cómo
crear una conexión VPN a una red remota. Esto permite a los clientes de la
red remota obtener acceso a los recursos de la red corporativa con una
elevada seguridad, a la vez que los clientes de la red corporativa pueden
obtener acceso a los recursos del sitio remoto.
Para lograr esta configuración, se deben tomar en cuenta los siguientes
procedimientos:
- Crear una cuenta de usuario para la puerta de enlace de sitio remoto:
o En el servidor de Forefront TMG, haga clic en Inicio, seleccionar
Herramientas administrativas y, a continuación, hacer clic en
Administración de equipos.
o En el árbol de la consola Administración de equipos, hacer clic en
Herramientas del sistema, en Usuarios y grupos locales y, a
continuación, en Usuarios.

o En el panel de detalles, hacer clic con el botón secundario en el usuario

correspondiente y, a continuación, hacer clic en Propiedades.
o En la ficha Marcado, en Permiso de acceso remoto (acceso telefónico o
red privada virtual), seleccionar Permitir acceso.
- Crear una conexión de sitio remoto VPN:

o En el árbol de la consola de administración de Forefront TMG, hacer
clic en Directiva de acceso remoto (VPN).
o En el panel de detalles, hacer clic en la ficha Sitios remotos.
o En la ficha Tareas, hacer clic en Crear conexión VPN de sitio a sitio.
o En el asistente Crear conexión VPN de sitio a sitio, seguir las
instrucciones indicadas.
o Para ver un resumen de la configuración de red VPN de sitio a sitio,
hacer clic con el botón secundario en la red seleccionada y, a
continuación, hacer clic en Resumen de sitio a sitio en la ficha Sitios
remotos.
- Comprobación de la conectividad VPN de sitio a sitio:

clic en el nodo Supervisión.
o En el panel de detalles, en la ficha Sesiones, comprobar si aparece su
sesión VPN.
o Para crear un filtro de sesión que sólo muestre sesiones de VPN de
sitio a sitio, en la ficha Tareas, hacer clic en Modificar filtro.
- Configurar las direcciones para los sitios remotos habilitados con NLB
(Network Load Balancing).
- Configurar la autenticación EAP:

o En el equipo de Forefront TMG, hacer clic en Inicio, en Herramientas
administrativas y, a continuación, hacer clic en Enrutamiento y acceso
remoto.
o En el complemento Enrutamiento y acceso remoto de MMC,
seleccionar el nodo Interfaces de red.
o Cuando se hayan aplicado los cambios en la configuración de Forefront
TMG, se creará una interfaz de marcado a petición con el mismo
nombre especificado para la red. Seleccionar esta interfaz de marcado
a petición y, a continuación, hacer clic en Propiedades.
o En la ficha Seguridad, debería seleccionarse la opción de configuración
avanzada personalizada. Hacer clic en Configuración para abrir la
configuración avanzada de seguridad.

o Seleccionar el protocolo de autenticación extensible (EAP) que va a

usar y, a continuación, hacer clic en Propiedades para configurar el
protocolo en función del proveedor EAP.
- Finalizar automáticamente las conexiones VPN inactivas:

clic en el nodo Redes privadas virtuales (VPN).
o En el panel de detalles, haga clic en la ficha Sitios remotos y, a
continuación, seleccionar la red remota correspondiente (únicamente
las redes PPTP y L2TP).
o En la ficha Tareas, hacer clic en Editar red seleccionada.
o En el cuadro de lista Anular conexiones inactivas después de la ficha
Conexión, seleccionar el tiempo que puede permanecer inactiva una
sesión antes de anularla.
2. Configurar el acceso VPN de cliente remoto: Esta configuración describe

cómo permitir a los usuarios que trabajan de forma remota conectarse a la
red corporativa a través de Internet con alta seguridad.
Para lograr esta configuración, se deben tomar en cuenta los siguientes

procedimientos:
- Definir clientes de VPN remotos.
- Habilitar el acceso básico al cliente remoto.
- Configurar el acceso de cliente remoto con seguridad mejorada.
- Instalar la herramienta de cuarentena de acceso remoto.
- Configurar un control de cuarentena basado en RQS y RQC.
- Aplicación de los requisitos de mantenimiento de cliente de VPN con
NAP.
Configurando el servidor de seguridad para Controlar y administrar las

VPN en entorno Linux- con ENDIAN.
Para este caso se verá cómo enlazar dos sitios a través de una conexión VPN
entre dos UTM ENDIAN Linux.

El procedimiento es muy sencillo, para lo cual debe realizar los siguientes

pasos:
1. Es necesario instalar dos máquinas virtuales con Endian.
2. En cada máquina virtual, se configuran dos adaptadores de red, uno para la
LAN y otro para el canal de la VPN. Este procedimiento se realiza en cada
una de las máquinas.
3. Se colocará en cada ENDIAN, para la conexión LAN (Green) la dirección IP
adecuada para acceder vía WEB.
4. Se debe configurar también a cada equipo de la red LAN, que se conectarán
a través del túnel de la VPN.
5. Se ingresará al primer Endian (Endian1) para realizar las configuraciones
siguientes:
a. Activar IPsec. b. Crear la VPN.
6. Primero colocar los IP de las redes Wan (red Roja), en este caso se colocará
200.10.10.5.
7. Luego nos ubicarse en el menú VPN, luego en la opción “IPsec” y se hará

clic en la casilla de verificación “Activado”:

8. Luego, crear la nueva conexión VPN, haciendo clic en el botón “Añadir”,

como se indica en la imagen:
9. Aquí colocar la información referente al tipo de conexión:

a. VPN tipo Host-to –Net.
b. Red a Red “Red Privada Virtual”.
10. Escogerá Red a Red “Red Privada Virtual”:
11. Presionar el botón “Añadir”

12. Ahora especificar la subred local y la subred remota:
13. Realizar el mismo procedimiento con el Endian2 del Site2.
1. ¿Qué tan segura es una conexión vía VPN?- Explicar.

2. ¿Qué protocolos permiten establecer una conexión vía VPN?.
3. ¿Qué implementación sería más eficiente a su parecer, para lograr mayor
seguridad en una comunicación de site a site via VPN?- Explicar.

Seguridad de Redes Ii PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Seguridad de Redes Ii PDF

Caricato da

Copyright:

Formati disponibili

SERVICIO NACIONAL DE ADIESTRAMIENTO EN TRABAJO INDUSTRIAL

IMPLEMENTAR LA ÓPTIMA CONFIGURACIÓN DE LA CACHE DEL

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 4

I. ENTENDER LA IMPORTANCIA DE LA SEGURIDAD EN LA EMPRESA.

1.1. EVALUAR EL NIVEL DE SEGURIDAD DE LA RED DE DATOS EN UNA

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 5

Kali Linux contiene una gran

Kali Linux tiene las siguientes características:

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 6

hping3 p0f THC-IPV6

3. Los ataques inalámbricos:

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 7

mfoc Reaver Spooftooph

6. Herramientas de análisis forense:

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 8

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 9

Si se desease más información puede ingresar a la siguiente fuente:

Una de las herramientas más importantes es NMAP:

Nmap utiliza el siguiente formato:

nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}

Lee una lista de nombres de dominio/redes

Selecciona objetivos al azar.

Desde esta página

2. Luego creará una máquina virtual, utilizando VMware.

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 11

5. Indicará el tipo de máquina virtual:

Indicará que tipo de

6. Indicará la ubicación en la cual se guardará la máquina virtual:

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 12

Indicará la ruta en la que se

7. Indicará la capacidad del disco duro:

Indicará la capacidad del

8. Realizará las configuraciones de red adecuadas, si no se tiene una red

Debe configurar la tarjeta de

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 13

9. Se colocará la ruta en la cual se encuentra el ISO de Kali:

Indicará la ruta en la que se

10. Se incrementará la memoria para la máquina virtual:

11. Iniciará la máquina virtual:

12. Seleccionar la opción de instalación grafica (Graphical install).

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 14

16. Debe indicar su ubicación, en este caso seleccionará “Perú”:

Seleccionará la ubicación para

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 15

17. Realizará la configuración del teclado, en este caso escogerá

18. El equipo tratará de recibir una configuración IP desde un servidor DHCP,

19. En este caso, debe configurar la red de forma manual, colocando la

En este ejemplo, se realizará la

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 16

21. Ahora ingresará la puerta de enlace:

Desde esta ubicación se irán colocando la dirección IP

23. Se realiza un testeo de red inicial:

24. Ingresará el nombre del servidor, en este caso se le colocará de nombre:

25. Se colocará el nombre de dominio de la empresa:

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 17

26. Se ingresará la contraseña del usuario principal (usuario root):

Aquí se ingresará la contraseña del

27. Definirá la partición de los discos:

28. El sistema le informará que toda la información del Disco se borrará:

29. Escogerá la estructura deseada.

ESCUELA DE TECNOLOGÍAS DE LA INFORMACIÓN 18

30. Finalizará el particionamiento:

31. Se muestra la tabla de particionamiento final, seleccione “Si” a la consulta: