Diseño e implantación de un sistema de seguridad ...

Diseño e implantación de un sistema

de seguridad perimetral en una empresa de automoción.

TÍTULO DEL TFC: Diseño e implantación de un sistema de seguridad perimetral en una empresa de automoción. TITULACIÓN: Ingeniería Técnica de Telecomunicaciones, especialidad Telemática AUTOR: Oriol Gomà Artigas DIRECTOR: Sergi Canillas SUPERVISOR: José Ramón Piney DATA: 18/11/2010

TITLE: Design and implementation of a perimetral security system in an automotive company. AUTHOR: Oriol Gomà Artigas

DIRECTOR: Sergi Canillas

SUPERVISOR: José Ramón Piney DATE: November, 18th 2010 Overview This project contains the design and implementation of a perimetral security system realized in an automotive company. Inside the automotive company there are several external companies that contribute to produce cars. In this project, an external company has to produce car seats for the automotive company and to do this it needs access to internal servers to get necessary information. Specifically external company has to send FTP and ICMP requests to internal servers using a perimetral security system. I describe necessary equipment to implement it, also initial and current network architecture. Then I realize an economical study that includes person/hour resource costs and electronic equipment costs. Also in the annex I add the configuration lines applied to electronic equipment. Finally, I describe inconvenients, advantages and possible system improvements.

RESUMEN El trabajo que se expone a continuación se realizó en un entorno real de producción, concretamente en una empresa de automoción en la que participan varias empresas externas que se dedican a realizar una parte concreta del automóvil. En éste caso, la actuación se centró en una nueva empresa especializada en realizar los asientos del vehículo, la cual requiere tener acceso a los servidores centrales de la empresa de automoción para realizar sus tareas, ya que es donde se encuentran los ficheros con la información necesaria a descargar. El proyecto consistió en implantar un sistema de seguridad que permita a un PC (Personal Computer) de la empresa subcontratada acceder a los ficheros que se encuentran en los servidores internos de la empresa de automoción. Para ello, se especificó una zona perimetral en la que se permita a un PC externo realizar peticiones de FTP (File Transfer Protocol) e ICMP (Internet Control Message Protocol) a los servidores internos dónde se encuentran los recursos, denegando cualquier otra petición de acceso de la empresa externa.

ÍNDICE INTRODUCCIÓN………………………………………………………………………1 CAPÍTULO 1. ESCENARIO INICIAL……………………………………………….2 CAPÍTULO 2. REQUERIMIENTOS DEL DISEÑO……………………………….. .4 CAPÍTULO 3. SISTEMA DE SEGURIDAD PERIMETRAL IMPLANT ADO……9

3.1. Diseño……………………………………………………………………………………….9

CAPÍTULO 4. ELECTRÓNICA UTILIZADA………………………………………12

4.1. Cisco PIX………………………………………………………………………………….12 4.2. Cisco ASA modelo 5500…………………………………………………………………13 4.3. Cisco switch modelo 3550……………………………………………………………….15 CAPÍTULO 5. CORTAFUEGOS……………………………………………………16

5.1. Configuraciones…………………………………………………………………………..16 5.2. Cortafuego del proveedor externo………………………………………………….......17

5.2.1. Modos de operación………………………………………………………….17 5.2.2. Configuración de interfaces vlan…………………….………………..…….17 5.2.3. Configuración de interfaces físicas…………………………………………18 5.2.4. Grupos de objetos…………………………………………………………….19 5.2.5. ACLs……………………………………………………………………………20 5.2.6. Rutas…………………………………………………………………………...21 5.2.7. Traducción de direcciones IP………………………………………………..21 5.2.8. Acceso remoto………………………………………………………………...21

5.3. Cortafuego de la empresa de automoción…………………………………………….22

5.3.1. Configuración de interfaces físicas…………………………………………22 5.3.2. Grupos de objetos…………………………………………………………….22 5.3.3. ACLs……………………………………………………………………………23 5.3.4. Rutas…………………………………………………………………………...24 5.3.5. Traducción de direcciones IP………………………………………………..24 5.3.6. Acceso remoto………………………………………………………………...24

CAPÍTULO 6. SISTEMAS DE RECUPERACIÓN DE FALLOS…………… …..25

6.1. Configuración del sistema de recuperación de fallos en el PIX………………….….25 6.2. Configuración del sistema de recuperación de fallos en los ASA…………………..26

CAPÍTULO 7. ESTUDIO ECONÓMICO…………………………………………..27

7.1. Costes del nuevo equipamiento………………………………………………………...27

7.2. Costes de los recursos horas/persona………………………………………………..29

7.3. Costes Totales……………………………………………………………………………33

CAPÍTULO 8. CONCLUSIONES.………………………………………………….36

8.1. Ventajas del Sistema de Seguridad Perimetral……………………………………….36

8.2. Inconvenientes……………………………………………………………………………37

8.3. Mejoras para el sistema implantado………………………..…………………..……...37 8.4. Impacto ambiental………………………..…………………..………………………..…38

BIBLIOGRAFÍA………………..…………………………………………………….39 ANEXOS………………………………………………………………………………40

ANEXO A: Configuración del cortafuego del proveedor externo…………………………41 ANEXO B: Configuración del cortafuego de la empresa de automoción………………..44 ANEXO C: Configuración de los sistemas de recuperación de fallos……………………47

ACRÓNIMOS ACK: ACKnowledge ACL: Access-list ADSL: Asymmetric Digital Subscriber Line ARP: Address Resolution Protocol ASA: Adaptive Security Appliance ASDM: Adaptive security device manager CCNP: Cisco Certified Network Professional CCSP: Cisco Certified Security Professional CLI: Command-Line Interface CPD: Centro de proceso de datos. EIGRP: Enhanced Interior Gateway Routing Protocol FTP: File Transfer Protocol GUI: Graphical User Interface HTTP: HyperText Transfer Protocol HTTPS: Hypertext Transfer Protocol Secure ICMP: Internet Control Message Protocol IDS: Intrusion Detection System IGRP: Interior Gateway Routing Protocol IOS: Internetwork Operating System IP: Internet Protocol IPS: Intrusion Prevention System LAN: Local Area Network MAC: Media Access Control NAT: Network Address Translation NVRAM: No volatile random access memory OSPF: Open Shortest Path First PAT: Port Address Translation PC: Personal Computer PDM: Pix Device Manager PIX: Private Internet eXchange PLC: Controlador Lógico programable. PoE: Power over Ethernet QoS: Quality of Service RAM: Random access memory SC-SC: Subscriber Connector - Subscriber Connector SNMP: Simple Network Management Protocol SSH: Secure SHell SSL: Secure sockets Layer TAC: Technical Assistance Center TCP: Transmission Control Protocol TFTP: Trivial file transfer Protocol UDP: User Datagram Protocol URL: Uniform Resource Locator UTM: Unified Threat Management UTP: Unshielded Twisted Pair VLAN: virtual local area network VPN: Virtual Private Network

WAN: Wide Area Network WWW: World Wide Web

Introducción

1

INTRODUCCIÓN La finalidad del proyecto es el diseño e implantación de un sistema de seguridad perimetral en una empresa de automoción. Este sistema debe permitir que un PC de una empresa subcontratada acceda, de forma segura, a unos recursos que se encuentran dentro de la empresa de automoción y deniegue el resto de tráfico. En los primeros capítulos se explica la infraestructura que existía en la empresa de automoción antes de la implantación, los requerimientos y electrónica del sistema perimetral y el diseño que finalmente se decide realizar. Posteriormente se presenta la configuración de los equipos del sistema perimetral y los sistemas de recuperación de fallos implantados. En los anexos se adjuntan las configuraciones aplicadas a los equipos. Finalmente se realiza un estudio económico de la implantación del sistema de seguridad, dónde se detallan los costes del nuevo equipamiento y de los recursos persona/hora y también se realiza una justificación de la infraestructura adquirida explicando las ventajas, los inconvenientes y las mejoras del sistema implantado.

2 Diseño e implantación de un sistema de seguridad perimetral en una empresa de automoción

CAPÍTULO 1. ESCENARIO INICIAL. Dentro de la fábrica de la empresa de automoción existen varias empresas externas que contribuyen en el proceso de producción de los coches. Cada empresa tiene su propia red y CPD (Centro de procesado de datos). Para el proceso de producción, una nueva empresa externa necesita acceder a unos ficheros que se encuentran ubicados dentro de tres servidores de la empresa de automoción. Para controlar el acceso a los recursos que sean necesarios y mantener la confidencialidad de las direcciones IP (Internet Protocol) se decidió implantar un sistema de seguridad perimetral dentro de la red de la empresa automovilística. La red está formada por tres capas, la capa principal, la capa de distribución y la capa de acceso. En la capa principal se encuentran los equipos más importantes de la infraestructura, los cuales realizan funciones de router. Estos equipos están ubicados dentro del CPD y a ellos van conectados la gran mayoría de los servidores que tiene la empresa, los routers para conectarse a la red WAN (Wide Area Network) y los switch de la capa de distribución. Por debajo de esta capa se halla la capa de distribución, formada por un total de 8 nodos distribuidos por dentro de la fábrica. Cada nodo de distribución está formado por dos equipos Cisco a los cuales van conectados los switch de capa de acceso. Finalmente, en la capa de acceso se localizan también switches Cisco, a los cuales van conectados los equipos finales de la empresa, ya sean equipos de producción, como los PLCs (Programable Logic Control), impresoras o equipos de oficina como pueden ser los teléfonos IP u ordenadores. Para facilitar la comprensión de los siguientes apartados, se hace referencia a los equipos involucrados en el sistema perimetral por su nombre completo. El nombre completo se compone de tres apartados: xx-yyyy-zz, dónde “xx” hace referencia al país dónde se encuentra el equipo, en este caso, “es” hace referencia a España. El segundo apartado “yyyy” denomina el nombre del equipo, normalmente suele estar constituido por la funcionalidad del equipo y/o la ubicación de éste. Y el último apartado “zz” señala el número de equipos con el mismo nombre de equipo, por ejemplo, en el caso del PIX (Private Internet eXchange), al tener dos equipos, utilizaremos el “s01” y el “s02” para distinguir el uno del otro. En la Figura 1.1 se puede ver la distribución de la electrónica en las diferentes capas de la infraestructura.

Capítulo 1.Escenario inicial 3

1

2

3

4

C ata lys t4507

5

6

7

F ANST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz

Sw it ch must be in of f "O" p osi ti on t o Ins ta ll /R emove p owe r su ppl y.Fast en er mus t be f ull y ena ged pr i or t o ope ra ti ng pow er supp ly.

W S-X4014

SUPERVI SOR III ENG INE

STATUSRESET

UTILI ZATI ON C ONSOLE 10/100 MG T

100%1% EJECT

FLASH

UPLI NK 2

ACTIVELINK

UPLINK 1

ACTI VELI NK

C at alyst 4 9 1 2 G

ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU

CO N SO L E 1 0 BA S T


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


IN PUT O K

FAN O K

O UTPU T F AIL

1000AC

INP UT100-240 V~

12-5 A50/60 Hz

S w it ch must b e i n of f "O" po sit io n t o I nst all / Remo ve pow er s uppl y.F ast ene r must b e fu ll y e nage d pr ior to op erat ing p owe r sup ply .

Catalyst 35 60S ER IE S

SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4

CI SCO AIR ONE T 1 200 I WIR ELES S A CCE SS POI NT


SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4

1

2

3

4

C ata lys t4507

5

6

7

F ANST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz


WS-X4014


STATUSRESET


100%1% EJECT

FLASH

UPLI NK 2

ACTIVELINK

UPLINK 1

ACTI VELI NK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz



SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4


SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4


SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4

CI SCO AIR ONE T 1 200 I WIR ELES S A CCE SS POI NT CI SCO AIR ONE T 1 200 I WIR ELES S A CCE SS POI NT

1

2

3

4

C ata lys t4507

5

6

7

F ANST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz


WS-X4014


STATUSRESET


100%1% EJECT

FLASH

UPLI NK 2

ACTIVELINK

UPLINK 1

ACTI VELI NK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz



SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4


SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4

1

2

3

4

C ata lys t4507

5

6

7

F ANST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz


WS-X4014


STATUSRESET


100%1% EJECT

FLASH

UPLI NK 2

ACTIVELINK

UPLINK 1

ACTI VELI NK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz



SY ST

MOD E

SP EEDDU PLX

PO E

ST AT

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 1 4 1 5 16 1 7 1 8 1 9 2 0 2 1 2 2 2 3 2 4 2 5 26 2 7 2 8 2 9 3 0 3 1 3 2 33 34 3 5 3 6 3 7 3 8 3 9 4 0 4 1 4 2 4 3 4 4 4 5 4 6 4 7 4 81 2 3 4 5 6 7 8 9 10

1

PoE-48

3

2 4

FANS TATUS

1

2

3

4

5

6

7

8

9

P ower Supply 1 P ower S upply 2

Cata lyst 6500SERIES

100-240 V~16 A

60/50 Hz

INPU TOK

FANOK

OU TPU TFAIL

RU NINST ALL

INPUT100-240 V~

16 A60/50 Hz

INPU TOK

FANOK

OU TPU TFAIL

RU NINST ALL

INPUT

BAC KBO NE S WITC HI NG M O DUL E M M F

STAT US

WS-X5 201R

100Base FX FAS T E THE RC HAN NE L

1

LIN K

2

LI NK

3

LIN K

4

LI NK

5

LIN K

6

LI NK

7

LIN K

8

LI NK

9

LI NK

10

LIN K

11

LI NK

12

LIN K

ST AT US

48PO RT 10BaseT ETH ERN ET SWITCH ING MO DULE

21

43

65

87

109

1211

1413

1615

1817

2019

2221

2423

2625

2827

3029

3231

3433

3635

3837

4039

4241

4443

4645

4847

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X5 014

ST AT US


21

43

65

87

109

1211

1413

1615

1817

2019

2221

2423

2625

2827

3029

3231

3433

3635

3837

4039

4241

4443

4645

4847

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X5 014

OC -12 SMF DU AL PHY

TX

LIN K

D I AGPO RT

WS-X5 162

ST ATU SRX

AC TIV E

S IG NAL

U NI -622S M

A CTI VE

SI GNA L

U N I-622S M

Cisco

ETHACT

PWR

0K ACT/CH1

1700SERIESROUTER

COL

WIC0ACT/CH0

WIC 0ACT/CH0

ACT/CH1

Cis co Sy stem sCisco

ETHACT

PWR

0K ACT/CH1

1700SERIESROUTER

COL

WIC0ACT/CH0

WIC 0ACT/CH0

ACT/CH1

Cis co Sy stem s

1

2

3

4

C ata lys t4507

5

6

7

FA NST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT100-24 0 V~

12- 5 A50/6 0 Hz


W S-X4014


STATUSRESET

UTI LIZATIO N CONS OLE 10/ 100 MGT

100%1% EJ ECT

FLASH

UPLI NK 2

ACTIVELIN K

UPLINK 1

A CTIVELINK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


1

2

3

4

C ata lys t4507

5

6

7

F ANST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


W S-X4014


STATUSRESET


100%1% EJECT

FLASH

UPLI NK 2

ACTIVELINK

UPLINK 1

ACTI VELI NK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


1

2

3

4

C ata lys t4507

5

6

7

F ANST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


W S-X4014


STATUSRESET


100%1% EJECT

FLASH

UPLI NK 2

ACTIVELINK

UPLINK 1

ACTI VELI NK

Cat alyst 4 9 1 2 G

ST A TU S

1 2 3 4 5 6 7 8 9 1 0 1% 10 0%

U TIL IZ AT IO N

1 1 12 P S1 R P SU

C ON S OL E 10 B AS T

Cat alyst 4 9 1 2 G

ST A TU S

1 2 3 4 5 6 7 8 9 1 0 1% 10 0%

U TIL IZ AT IO N

1 1 12 P S1 R P SU

C ON S OL E 10 B AS T

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


1

2

3

4

C ata lys t4507

5

6

7

FA NST AT US

I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


W S-X4014


STATUSRESET

UTI LIZATIO N CONS OLE 10/ 100 MGT

100%1% EJ ECT

FLASH

UPLI NK 2

ACTIVELIN K

UPLINK 1

A CTIVELINK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 10 0%

UT IL IZA T IO N

11 1 2 P S1 R P SU


I NPU T O K

FA N O K

O UTP UT FAI L

1000AC

IN PUT

100-24 0 V~

12- 5 A

50/6 0 Hz


FANS TATUS

1

2

3

4

5

6

7

8

9

Power Supply 1 Power Supply 2

Catalyst 6500SERIES

100-240 V~16 A

60/50 Hz

INPUTOK

FA NOK

OUTP UTFAIL

R UNINSTALL

INPUT100-240 V~

16 A60/50 Hz

INPUTOK

FA NOK

OUTP UTFAIL

R UNINSTALL

INPUT

BAC KBO NE S WITC HI NG M O DUL E M M F

STAT US

WS-X5201R

100Base FX FAS T E THE RC HAN NE L

1

LINK

2

LI NK

3

LINK

4

LI NK

5

LINK

6

LI NK

7

LINK

8

LI NK

9

LI NK

10

LINK

11

LI NK

12

LINK

ST AT US


21

43

65

87

109

1211

1413

1615

1817

2019

2221

2423

2625

2827

3029

3231

3433

3635

3837

4039

4241

4443

4645

4847

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X5 014

ST AT US


21

43

65

87

109

1211

1413

1615

1817

2019

2221

2423

2625

2827

3029

3231

3433

3635

3837

4039

4241

4443

4645

4847

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X5 014

OC -12 SMF DU AL PHY

TX

LIN K

DIAGPORT

WS-X5162

ST ATU SRX

AC TIV E

S IG NAL

UNI-622SM

A CTI VE

SI GNA L

UNI-622SM

CI SCO AI RO NET 1200 I W I RELE SS ACC ESS PO IN T

Fig 1.1. Red de la empresa de automoción. Una característica importante de la infraestructura es que todos los equipos de la red se comunican entre si utilizando como mínimo una conexión principal y una redundante. Por ejemplo el equipo es-nodo3distrib-s01 que se encuentra en la capa de distribución está conectado al equipo es-nodo3distrib-s02 y al equipo es-nodo 1cpd-s01, de esta forma, si uno de estos dos enlaces cae, el equipo no queda aislado y puede seguir ofreciendo servicio.


CAPÍTULO 2. REQUERIMIENTOS DEL DISEÑO. Un sistema de seguridad perimetral es un conjunto de equipos que se dedican a la protección de todo el sistema informático de una empresa. Uno de los elementos imprescindibles en este tipo de sistemas es el cortafuego. Éste define qué servicios se permiten entre dos redes aunque no proporciona una garantía sobre los contenidos que pasan a través de él. Para conseguir que el sistema de seguridad sea robusto, se puede añadir al sistema otros elementos tales como software de filtrado de correo, antivirus o antispam. Otra alternativa, es utilizar cualquier equipo que soporte la tecnología UTM (Unified Threat Management), un equipo con esta tecnología puede soportar varios elementos de seguridad, como cortafuegos, antivirus perimetral, antispam, VPN (Virtual Private Network) entre otros. Para el proyecto se requería un sistema que:

• Permitiera realizar traducciones de direcciones IP para asegurar la confidencialidad de éstas.

• Tuviera la capacidad de enrutar paquetes entre redes.

• Tuviera la capacidad de configurar ACLs (Access-list) para

denegar el tráfico no deseado.

• Pudiera ser monitorizado y configurado remotamente. Antes de realizar el proyecto, ya existía un sistema perimetral dentro de la red de la empresa de automoción. Éste era utilizado por los proveedores para acceder a los recursos de la empresa automovilística y viceversa; el sistema estaba formado por dos cortafuegos propiedad de la empresa de automoción (el equipo principal es-pixsuppliers-s01 y el de backup es-pixsuppliers-s02), dos switch (el equipo principal es-cppsuppliers-s01 y el de backup es-cppsuppliers-s02) y un cortafuego para cada proveedor. En la figura 2.1 se puede ver esta infraestructura:

Capítulo 2.Requerimientos del diseño 5

FA NSTA TUS

1

2

3

4

5

6

7

8

9

Power S upply 1 Pow er Supply 2

Catalyst 6500SERIES

100-240 V~16 A

60/50 Hz

IN PUTOK

FA NOK

OUTP UTFA IL

RUNINSTA

L L

INPUT100-240 V~

16 A60/50 Hz

IN PUTOK

FA NOK

OUTP UTFA IL

RUNINSTA

L L

INPUT

BAC KBO NE S WI TC HI NG M OD ULE M MF

STATU S

WS-X5 201R

100Base FX FAST E THE RCH AN NEL

1

LI NK

2

LINK

3

LIN K

4

LI NK

5

LI NK

6

LIN K

7

LIN K

8

LI NK

9

LI NK

10

LINK

11

LIN K

12

LI NK

ST ATU S

48PO RT 10BaseT ETHER NET SW ITC HING MO DU LE

21

43

65

87

10

912

1114

1316

1518

1720

1922

2124

2326

2528

2730

2932

3134

3336

3538

3740

3942

4144

4346

4548

47

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X50 14

ST ATU S

48PO RT 10BaseT ETHER NET SW ITC HING MO DU LE

21

43

65

87

10

912

1114

1316

1518

1720

1922

2124

2326

2528

2730

2932

3134

3336

3538

3740

3942

4144

4346

4548

47

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X50 14

OC -12 SMF DUA L P HY

TX

LI NK

DI AGPO RT

WS-X5 162

STA TUSR X

AC TIV E

S IGNA L

U NI -622S M

ACT IVE

SI GN AL

UN I-62 2SM

Cisco

ETHACT

PWR

0 K ACT/CH1

1700SERIESROUT ER

COL

WIC0ACT/CH0

WIC 0ACT/CH0

ACT/CH1

Cisco Syst em sCisco

ETHACT

PWR

0 K ACT/CH1

1700SERIESROUT ER

COL

WIC0ACT/CH0

WIC 0ACT/CH0

ACT/CH1

Cisco Syst em s

1

2

3

4

Ca talyst4507

5

6

7

FA NST AT US

IN PUT OK

FAN OK

OU TPU T FA IL

1000AC

INP UT

100-240 V~

12-5 A

50/60 Hz

S wi tc h mu st be i n o ff "O" posi ti on t o I nst al l/ R emove pow er supp ly.F ast ener must be f ul ly ena ged pr i or t o operat i ng pow er su ppl y.

W S-X4014

SUPERVI SOR I II ENGI NE

STATUSRE SET

UTI LIZATION CONSOLE 10/100 M GT

100%1% EJ ECT

FLASH

UPLINK 2

AC TI VELINK

UPLINK 1

ACTI VELI NK

Cat al yst 4 9 1 2 G

ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 1 00 %

U TI LI ZA TI ON

11 1 2 P S 1 RP SU

C O NS O LE 10 B AS T


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 1 00 %

U TI LI ZA TI ON

11 1 2 P S 1 RP SU


IN PUT O K

FAN O K

O UTPU T F AIL

1000AC

INP UT

100-240 V~

12-5 A

50/60 Hz


F ANSTA TUS

1

2

3

4

5

6

7

8

9

Pow er Supply 1 Power S upply 2

Cata lyst 6500SERIES

100-240 V~16 A

60/50 Hz

IN PUTOK

FA NOK

OUTP UTFA IL

RUNINSTA

L L

INPUT100-240 V~

16 A60/50 Hz

IN PUTOK

FA NOK

OUTP UTFA IL

RUNINSTA

L L

INPUT

BAC KBO NE S WI TC HI NG M OD ULE M MF

STATU S

WS-X5201R

100Base FX FAST E THE RCH AN NEL

1

LI NK

2

LINK

3

LIN K

4

LI NK

5

LI NK

6

LIN K

7

LIN K

8

LI NK

9

LI NK

10

LINK

11

LIN K

12

LI NK

ST ATU S

48PORT 10BaseT ETHER NET SW ITC HING MODU LE

21

43

65

87

10

912

1114

1316

1518

1720

1922

2124

2326

2528

2730

2932

3134

3336

3538

3740

3942

4144

4346

4548

47

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X50 14

ST ATU S

48PORT 10BaseT ETHER NET SW ITC HING MODU LE

21

43

65

87

10

912

1114

1316

1518

1720

1922

2124

2326

2528

2730

2932

3134

3336

3538

3740

3942

4144

4346

4548

47

12119 107 85 63 421 242321 2219 2017 1815 161413 37 38 4039 4241 4443 45363533 3431 3229 3027 282625 46 47 48

WS-X50 14

OC -12 SMF DUA L P HY

TX

LI NK

DIAGPORT

WS-X5162

STA TUSR X

AC TIV E

S IGNA L

UNI-622SM

ACT IVE

SI GN AL

UNI-622SM

C IS CO AI RON ET 1200 I WIR ELESS AC CES S P OI NT

Catalyst 3560 SE RI ES

SYS T

MOD E

SPE EDDU PLX

PO E

STA T

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 14 15 16 1 7 1 8 1 9 2 0 21 2 2 2 3 24 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 35 3 6 37 38 3 9 40 4 1 4 2 43 4 4 45 4 6 4 7 4 81 2 3 4 5 6 7 8 9 1 0

1

P oE- 48

3

2 4

Catalyst 3560 SE RI ES

SYS T

MOD E

SPE EDDU PLX

PO E

STA T

RP S

1 X

1 8X

17 X

1 6X2X

1 5X 31 X

32 X 3 4X

3 3X 4 7X

4 8X

1 1 12 1 3 14 15 16 1 7 1 8 1 9 2 0 21 2 2 2 3 24 2 5 2 6 2 7 2 8 2 9 3 0 3 1 3 2 3 3 3 4 35 3 6 37 38 3 9 40 4 1 4 2 43 4 4 45 4 6 4 7 4 81 2 3 4 5 6 7 8 9 1 0

1

P oE- 48

3

2 4

UTILSTAT

DUPLEXSPEED

SYSTEMRPS

CATALYST 3550

2

1

35

36

37

38

39

40

41

42

33

34

43

44

45

46

47

48

19

20

21

22

23

24

25

26

17

18

27

28

29

30

31

32

3

4

5

6

7

8

9

10

1

2

11

12

13

14

15

16

FDXFDXLinkFAILOVER

PIX

-515

Link100 Mbps100 Mbps

10/100 ETHERNET 0/0 10/100 ETHERNET 0/0 CONSOL E

UTILSTAT

DUPLEXSPEED

SYSTEMRPS

CATALYST 3550

2

1

35

36

37

38

39

40

41

42

33

34

43

44

45

46

47

48

19

20

21

22

23

24

25

26

17

18

27

28

29

30

31

32

3

4

5

6

7

8

9

10

1

2

11

12

13

14

15

16

FDXFDXLinkFAILOVER

PIX

-515

Link1 00 Mbps100 Mbps

10/100 ETHERNET 0/0 10/100 ETHERNET 0/0 CONSOL E

UTILSTAT

DUPLEXSPEED

SYSTEMRPS

CATALYST 3550

2

1

35

36

37

38

39

40

41

42

33

34

4 3

4 4

4 5

4 6

4 7

4 8

19

20

21

22

2 3

2 4

2 5

2 6

17

18

2 7

2 8

2 9

3 0

3 1

3 2

3

4

5

6

7

8

9

1 0

1

2

1 1

1 2

13

14

15

16

FDXFDXLinkFA ILOV ER

PIX

-51

5


10/100 ET HE RNET 0/0 10/100 E THE RNET 0/0 CONSOLE


PIX

-515




PIX

-51

5



1

2

3

4

Ca talyst4507

5

6

7

FA NST AT US

IN PUT OK

FAN OK

OU TPU T FA IL

1000AC

INP UT

100-240 V~

12-5 A

50/60 Hz

S wi tc h mu st be i n o ff "O" posi ti on t o I nst al l/ R emove pow er supp ly.F ast ener must be f ul ly ena ged pr i or t o operat i ng pow er su ppl y.

WS-X4014

SUPERVI SOR I II ENGI NE

STATUSRE SET

UTI LIZATION CONSOLE 10/100 M GT

100%1% EJECT

FLASH

UPLINK 2

AC TI VELINK

UPLINK 1

ACTI VELI NK


ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 1 00 %

U TI LI ZA TI ON

11 1 2 P S 1 RP SU



ST A TU S

1 2 3 4 5 6 7 8 9 10 1 % 1 00 %

U TI LI ZA TI ON

11 1 2 P S 1 RP SU


IN PUT O K

FAN O K

O UTPU T F AIL

1000AC

INP UT

100-240 V~

12-5 A

50/60 Hz


Fig 2.1. Sistema perimetral ya existente antes de la implantación del proyecto.


Por políticas de la empresa de automoción cualquier proveedor nuevo que quiera acceder a los recursos debe utilizar esta infraestructura. Como se puede ver en la figura 2.1 los diferentes puertos del switch es-cppsuppliers-s01 permiten que más de un proveedor pueda conectarse a la red de la empresa de automoción, mientras que el cortafuego es-pixsuppliers-s01 se debe configurar para proteger la red de la empresa automovilística de intrusiones y traducir las direcciones IP para asegurar la confidencialidad de los equipos. Cada proveedor protege los equipos y controla el tráfico de su red mediante un cortafuego, que se conecta directamente al switch es-cppsuppliers-s01. El sistema perimetral se divide en tres redes independientes:

- La red de la empresa de automoción - La red del proveedor externo - La red “suppliers”.

Cada red tiene sus equipos configurados en una vlan (vlan 1: red local de la empresa de automoción, vlan2: red del proveedor y vlan 3: red “suppliers”). Una vlan o red de área local virtual, es un método para crear redes lógicamente independientes dentro de una misma red física, son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red separando segmentos lógicos de una red de área local que no deberían intercambiar datos usando la red local. Las vlans 1 y 3 ya estaban configuradas al iniciar el proyecto, solo ha sido necesario que el proveedor externo definiera y configurara un rango de direcciones para su red interna (vlan 2) En la figura 2.2 se puede ver la distribución de las vlans dentro del sistema perimetral.

Capítulo 2.Requerimientos del diseño 7

Fig 2.2. Distribución de las vlans dentro del sistema perimetral.

En la tabla 2.1 se muestra la información de las vlans configuradas (dirección de la red, máscara, rango de direcciones y dirección de broadcast).

VLAN 1 "red local empresa

automoción" red 10.0.64.0 máscara 255.255.192.0 rango 10.0.64.1 - 10.0.127.254 broadcast 10.0.127.255

Vlan 2 “red del proveedor” red 192.168.15.0 máscara 255.255.255.0 rango 192.168.15.1 - 192.168.15.254 broadcast 192.168.15.255


VLAN 3 "red suppliers" red 10.0.4.0 máscara 255.255.254.0 rango 10.0.4.1 - 10.0.5.254 broadcast 10.0.5.255

Tabla 2.1. Vlans utilizadas para la implantación del sistema de seguridad.

Capítulo 3. Sistema de seguridad perimetral implantado 9

CAPÍTULO 3. SISTEMA DE SEGURIDAD PERIMETRAL IMPLANTADO.

El sistema perimetral está formado por 6 equipos (4 cortafuegos y 2 switches). En la tabla 3.1 se muestra la correspondencia entre equipo, nombre y funcionalidad. equipo funcionalidad nombre completo

PIX 515 cortafuego principal empresa automovilística

es-pixsuppliers-s01

PIX 515 cortafuego de backup empresa automovilística es-pixsuppliers-s02

ASA 5505 cortafuego principal del proveedor es-asasuppliers-s01 ASA 5505 cortafuego backup del proveedor es-asasuppliers-s02

Switch 3550-24p Switch principal para el sistema perimetral es-cppsuppliers-s01

switch 3550-24p switch de backup para el sistema perimetral es-cppsuppliers-s02

Tabla 3.1. Correspondencia entre equipo, nombre y funcionalidad.

3.1. Diseño. En este apartado se explica como están conectados entre si los equipos del sistema perimetral y que medio físico utilizan. Como se aprecia en la figura 3.1, el switch es-cppsuppliers-s01 va conectado al cortafuego es-pixsuppliers-s01 y éste va conectado a la red de la empresa de automoción. Si el PIX es-pixsuppliers-s01 deja de ofrecer servicio, el otro PIX es-pixsuppliers-s02 entra en funcionamiento automáticamente, realizando las mismas tareas. Esto sucede porque los dos PIX están conectados entre si mediante un cable serie que permite pasar la configuración y poner en actividad el segundo PIX (“es-pixsuppliers-s02”), únicamente cuando el principal falla.

Diseño e implantación de un sistema de seguridad perimetral en una empresa de automoción

10

U TILS TAT

D UPLEXS PEED

SY STEMRP S

CATALYST 3550

2

1

35

36

37

38

39

40

41

42

33

34

43

44

45

46

47

48

19

20

21

22

23

24

25

26

17

18

27

28

29

30

31

32

3

4

5

6

7

8

9

10

1

2

11

12

13

14

15

16

FDXFDXLin kFAI LOVER

PIX

-515

L ink100 Mbp s1 00 Mbps

10/ 100 ETHERNET 0/0 1 0/10 0 ETHERNET 0/0 CONSOL E

FDXFDXLinkFAIL OVER

PIX

-515

Lin k10 0 Mbps100 Mb ps

1 0/1 00 ETHERNET 0/ 0 10/ 100 ETHERNET 0/0 CONSOLE

UTILSTAT

DUPLEXSPEED

SYSTEMRPS

CATALYST 3550

2

1

35

36

37

38

3 9

4 0

41

42

3 3

3 4

4 3

4 4

4 5

4 6

47

48

1 9

2 0

21

22

2 3

2 4

2 5

2 6

17

18

27

28

2 9

3 0

3 1

3 2

3

4

5

6

7

8

9

1 0

1

2

1 1

1 2

13

14

1 5

1 6

FA NST ATU S

1

2

3

4

5

6

7

8

9

Po wer S upply 1 Pow er Sup ply 2

Catalyst 6 50 0SE RIES

10 0-24 0 V~1 6 A

6 0/50 Hz

IN PUTO K

FANO K

OU TPU TFAI L

RUNIN

STALL

INPUT100- 240 V~

16 A60 /50 Hz

I NPU TOK

FA NOK

O UTP UTFA IL

RUNIN

S TALL

INPUT

B A C KB ON E S WIT C HI N G MODU L E MMF

S TA T U S

W S- X 52 0 1R

1 0 0B a se F X FA S T E TH E R CH A N N EL

1

L INK

2

L INK

3

L INK

4

L INK

5

L INK

6

L INK

7

L INK

8

LINK

9

LI NK

10

LI NK

11

LI N K

12

LI N K

S T A TUS

48PO RT 10BaseT ETHE RNE T SW I TCHI NG M OD ULE

21

43

65

87

109

1211

1413

1 61 5

1 81 7

2 01 9

2 22 1

2423

2625

2 82 7

3 02 9

3 23 1

3 43 3

3635

3837

4039

4 24 1

4 44 3

4 64 5

4847

1 21 19 107 85 63 421 2 42 32 1 2219 2 01 7 1815 1 6141 3 3 7 3 8 4 039 424 1 4 443 4 53 6353 3 3431 3 22 9 3027 2 8262 5 46 47 4 8

W S- X 50 1 4

S T A TUS


21

43

65

87

109

1211

1413

1 61 5

1 81 7

2 01 9

2 22 1

2423

2625

2 82 7

3 02 9

3 23 1

3 43 3

3635

3837

4039

4 24 1

4 44 3

4 64 5

4847

1 21 19 107 85 63 421 2 42 32 1 2219 2 01 7 1815 1 6141 3 3 7 3 8 4 039 424 1 4 443 4 53 6353 3 3431 3 22 9 3027 2 8262 5 46 47 4 8

W S- X 50 1 4

O C- 12 S MF DUA L PH Y

T X

L IN K

DIA GP ORT

W S- X 51 6 2

S TAT U S

R X

A CT IV E

S IG N A LUNI-6 2 2S M

A C T IV E

SI G NAL

UNI -6 22 S M

FA NST ATU S

1

2

3

4

5

6

7

8

9

Po wer S upply 1 Pow er Sup ply 2

Catalyst 6 50 0S E RIE S

10 0-24 0 V~1 6 A

6 0/50 Hz

IN PUTO K

FANO K

OU TPU TFAI L

RUNINSTALL

INPUT10 0-24 0 V~

1 6 A6 0/50 Hz

IN PUTO K

FANO K

OU TPU TFAI L

RUNINSTALL

INPUT

B A C KB ON E S WIT C HI N G MODU L E MMF

S TA T U S

W S- X 52 0 1R

1 0 0B a se F X FA S T E TH E R CH A N N EL

1

L IN K

2

L IN K

3

L IN K

4

L IN K

5

L IN K

6

L IN K

7

L IN K

8

LIN K

9

LI NK

10

LI NK

11

LI N K

12

LI N K

S T A TUS


21

43

65

87 109 12

1114

131 6

1 5 1 8

1 7 2 0

1 9 2 2

2 1 24

2326

252 8

2 7 3 0

2 9 3 2

3 1 3 4

3 3 36

3538

3740

394 2

4 1 4 4

4 3 4 6

4 5 48

47

1 21 19 107 85 63 421 2 42 32 1 2219 2 01 7 1815 1 6141 3 3 7 3 8 4 039 424 1 4 443 4 53 6353 3 3431 3 22 9 3027 2 8262 5 46 47 4 8

W S- X 50 1 4

S T A TUS


21

43

65

87 109 12

1114

131 6

1 5 1 8

1 7 2 0

1 9 2 2

2 1 24

2326

252 8

2 7 3 0

2 9 3 2

3 1 3 4

3 3 36

3538

3740

394 2

4 1 4 4

4 3 4 6

4 5 48

47

1 21 19 107 85 63 421 2 42 32 1 2219 2 01 7 1815 1 6141 3 3 7 3 8 4 039 424 1 4 443 4 53 6353 3 3431 3 22 9 3027 2 8262 5 46 47 4 8

W S- X 50 1 4

O C- 12 S MF DUA L PH Y

T X

L IN K

DIA GP ORT

W S- X 51 6 2

S TA T U SR X

A CTIV E

S IG N A LUNI-6 2 2S M

A C T IV E

SIG NA

LUNI -6 22 S M

U TILS TAT

D UPLEXS PEED

SY STEMRP S

CATALYST 3550

2

1

35

36

37

38

39

40

41

42

33

34

43

44

45

46

47

48

19

20

21

22

23

24

25

26

17

18

27

28

29

30

31

32

3

4

5

6

7

8

9

10

1

2

11

12

13

14

15

16

Fig. 3.1. Topología física definitiva del sistema de seguridad perimetral. El switch es-cppsuppliers-s01 también dispone de un equipo de backup: el switch es-cppsuppliers-s02. Para la implantación del sistema de seguridad perimetral se conectó al switch es-cppsuppliers-s01 de la infraestructura inicial el cortafuego ASA (Adaptive Security Appliance), es-asasuppliers-s01. Este cortafuego permite: regular el tráfico que existe entre nuestro proveedor externo y la empresa de automoción y otros proveedores y proteger la red de la empresa externa de posibles intrusiones. Debido a que la distancia que existe entre los equipos es superior a los 100 metros, la conexión entre estos se realizó utilizando fibra óptica y transceptores que convierten la señal eléctrica a óptica e viceversa. El es-asasuppliers-s01 también dispone de un sistema de recuperación de fallos. Si el ASA es-asasuppliers-s01 deja de ofrecer servicio, se puede utilizar el otro ASA es-asasuppliers-s02 como cortafuegos activo, siempre y cuando reconectemos los cables UTP que van a la interfaz inside y outside del es-asasuppliers-s01 a las interfaces inside y outside del es-asasuppliers-s02 respectivamente.

Capítulo 3. Sistema de seguridad perimetral implantado 11

Entonces, de acuerdo con este diseño cuando el PC del proveedor quiere acceder a los recursos de la empresa de automoción se usa la infraestructura formada por:

• El cortafuego del proveedor, es-asasuppliers-s01. El cual realiza filtraje de tráfico proveniente de cualquier interfaz, así como, traducciones de direcciones IP .

• El switch es-cppsuppliers-s01 sobre el cual conectamos los cortafuegos de los proveedores. Todos los cortafuegos van conectados a puertos del switch configurados a la vlan 3.

• El PIX de la empresa de automoción, es-pixsuppliers-s01, que

filtra el tráfico proveniente de cualquier de las interfaces y traduce direcciones IP para los equipos de la red local.

En la figura 3.2, se muestra mediante una flecha de color marrón, el camino que sigue el tráfico entre el PC del proveedor y los servidores de la empresa de automoción.

Fig 3.2. Topología física del sistema perimetral.


12

CAPÍTULO 4. ELECTRÓNICA UTILIZADA. Por políticas de la empresa de automoción se decidió adquirir equipos del fabricante Cisco, debido a que actualmente todos los equipos de la red y del sistema perimetral son de dicho fabricante El sistema perimetral está formado por dos PIX modelo 515 (es-pixsuppliers-s01 y es-pixsuppliers-s02) dos switch modelo 3550 (es-cppsuppliers-s01 y es-cppsuppliers-s02) y para el proveedor externo se decidió adquirir dos cortafuegos del modelo ASA 5505 (el equipo principal es-asasuppliers-s01 y el de backup es-asasuppliers-s02). Se decidió adquirir este modelo, básicamente, por el bajo presupuesto que disponía el proveedor y porque las prestaciones que ofrece el cortafuego son suficientes para el proyecto, además de ser un modelo idóneo para una pequeña-mediana empresa. En el mercado existían cortafuegos de otros fabricantes que también podían satisfacer las necesidades de la empresa externa:

- Los cortafuegos de la serie “E-Class Network Security Appliance (E-Class NSA)” de SonicWALL

- Los modelos de cortafuegos incluidos dentro de la serie “Power-1 Appliances” y “UTM-1 Appliances “ que ofrece la empresa Check Point.

- El cortafuego UTM DFL-210 de D-Link

4.1. Cisco PIX. El Cisco PIX es un “stateful firewall”, el cual mantiene el control de las conexiones de red (comunicaciones TCP (Transmission Control Protocol) o UDP (User Datagram Protocol)) que pasan a través de la misma. Para ello realiza un control de los paquetes de cada una de las conexiones para comprobar si realmente son conexiones seguras o no. El PIX puede ser configurado para realizar muchas funciones tales como NAT (Network Address Translation), PAT (Port Address Translation), filtraje de URLs ( Uniform Resource Locator) o aplicaciones java, así como equipo terminal de VPN. El equipo puede ser gestionado por una interfaz de línea de comandos CLI (command-line interface) o por una interfaz de usuario gráfica GUI (graphical user interface). A la línea de comandos se puede acceder mediante consola, SSH (Secure SHell) o Telnet, mientras que a la interfaz de usuario gráfica o interfaz WEB se accede mediante el PDM (Pix Device Manager) el cual corre sobre HTTP (Hypertext Transfer Protocol) y requiere java.

Capítulo 4. Electrónica utilizada. 13

El PIX modelo 515 del sistema perimetral tiene:

• 6 interfaces físicas, de las cuales se utilizan dos: una interfaz llamada “inside” para la red LAN (Local Area Network) privada de la empresa automovilística, otra que se denomina “suppliers” para los proveedores, la cual va conectada al switch 3550 (es-cppsuppliers-s01).

• 64 MB de RAM (Random Access Memory) y 16 MB de memoria

flash.

• Puerto de consola RJ-45. Con la aparición de nuevos riesgos que incluyen virus, gusanos, phising, ataques de capa de aplicación, etc., es necesario un equipo que brinde protección contra múltiples riesgos, por este motivo solamente tener un equipo como el PIX que filtre paquetes no es suficiente. 4.2. Cisco ASA modelo 5500. Los cortafuegos denominados ASA integran en una única plataforma: cortafuegos, seguridad en las comunicaciones unificadas, VPN, prevención de intrusiones IPS (Intrusion Prevention System) y servicios en la seguridad de los contenidos que se envían por la red. Cada modelo puede ser adquirido con dos licencias diferentes .En la tabla 4.1 se muestran las diferencias que existen entre el modelo con la licencia “Base” y con la licencia “Security Plus”:

Cisco ASA 5505 Licencia “Base” Licencia “Security Plus “

10000 conexiones de cortafuegos como máximo

25000 conexiones de cortafuegos como máximo

10 sesiones de VPN como máximo (“site-to-site” y acceso remoto)

25 sesiones de VPN como máximo ( “site-to-site” y

acceso remoto)

3 vlans (Virtual Local Area Network) como máximo (“truncking”

desactivado)

20 vlans como máximo (“truncking” activado), no

existe restricción de tráfico entre diferentes zonas.

Procedimiento contra fallos no soportado

Soporta un procedimiento contra fallos activo/standby

Tabla 4.1. Diferencias entre Licencia “Security Plus” y Licencia “Base” en el ASA modelo 5505.


14

Como se ve en la tabla 4.1, la licencia “security plus” permite obtener un procedimiento contra fallos activo/standby, utilidad requerida por el proveedor, ya que si el equipo principal falla, se pueden mantener las comunicaciones utilizando un segundo equipo con la misma configuración. Las características principales del equipo son:

• Disponer de 8 puertos fast ethernet. Dos de estos puertos físicos son puertos PoE (Power over Ethernet) los cuales se pueden conectar directamente a equipos finales tales como PCs, IP phones, módems ADSL (Asymmetric Digital Subscriber Line) o otros switches.

• Se pueden crear hasta un máximo de 20 vlans, • 256MB de memoria RAM.

• Utilización del Linux kernel mientras que el PIX continua usando el

PIX OS/Finesse.

• Disponer de la herramienta de monitorización vía Web ASDM (Adaptive Security Device Manager).

• Equipo de pequeñas dimensiones (200 mm de ancho, 174 de

profundidad y 44 mm de altura). • Incorpora la licencia “security plus” la cual permite aumentar la

capacidad de conexiones hasta un total de 25 usuarios IPsec VPN o tener habilitado el procedimiento contra fallos activo/standby.

• El equipo puede ser administrado por una interfaz de línea de

comandos o por una interfaz de usuario gráfica El Cisco ASA 5505 ofrece las siguientes ventajas respecto al PIX:

• Un Diseño modular que ofrece: IPS, anti-virus, anti-spam, anti-phishing y filtrage de URLs.

• Más escalabilidad y funcionalidades.

• Soporta Secure Sockets Layer (SSL) VPN.

• Seguridad en las comunicaciones unificadas avanzadas (video/

audio).

Capítulo 4. Electrónica utilizada. 15

4.3.- Cisco switch modelo 3550. El switch 3550 puede realizar funciones de switch de acceso y de backbone en redes pequeñas, además soporta una gran variedad de servicios tales como QoS (Quality of Service) para asegurar que el tráfico de información sea clasificado y priorizado, listas de control de acceso, administración del tráfico multicast o activación y configuración de protocolos de nivel 3 (OSPF (Open Shortest Path First), IGRP (Interior Gateway Routing Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol), etc...) Para el sistema perimetral se usaron dos switch Cisco 3550 de 24 puertos (uno de ellos realiza la función de backup), los cuales se utilizan como equipos de nivel 2. Es decir, se creó una única vlan dentro del switch en la que se agruparon el PIX 515 de la empresa de automoción y el ASA5505 del proveedor. Las características principales de los switch 3550 adquiridos son:

• 24 10/100 puertos + 2 1000BASE-X puertos. • Switch multicapa. • Entrega IP routing básico para la red. • IOS utilizada: 12.2(52)SEC3550-ipservicesk9-mz.12.2-52.SE • Memoria RAM: 128MB


16

CAPÍTULO 5. CORTAFUEGOS. En este capítulo explicaremos las configuraciones que se aplicaron a los cortafuegos que forman el sistema perimetral. Los equipos deben tener configurados:

• Unas ACLs (ACcess-List, listas de acceso); éstas son un conjunto de normas que permiten o deniegan el flujo de información que llega al cortafuego basándose en los puertos y direcciones IP de origen y de destino; básicamente las ACLs hacen cumplir las políticas de seguridad de la red.

• Unos grupos de objetos (object groups). Estos grupos pueden

incluir objetos tales como equipos IP o redes, protocolos, puertos y tipos de ICMP. Los grupos se realizan para simplificar la configuración de las ACLs y reducir el tamaño de la configuración.

Existen varios tipos de grupos de objetos, pero para este proyecto solo se usaron dos clases de grupos: los grupos de red (network groups) dentro de los cuales se definieron PCs, redes, servidores y traducciones de direcciones IP de los equipos. Y los grupos de servicio (service groups) dentro de los cuales se agruparon varios protocolos (FTP (File Transfer Protocol), SNMP (Simple Network Management Protocol), etc.…).

• Traducciones de direcciones IP (NATs); Un equipo que realiza NAT

cambia la dirección origen en cada paquete de salida y dependiendo del método, también el puerto origen para que sea único. Estas traducciones de dirección se almacenan en una tabla, para recordar qué dirección y puerto le corresponde a cada dispositivo cliente y así saber donde deben regresar los paquetes de respuesta. Existen varios tipos de NATs, pero para este proyecto se utilizaron los NATs estáticos porque permiten asignar siempre la misma dirección IP traducida a la dirección IP de origen que queremos traducir, esta característica permitía además, simplificar la configuración de las ACLs dentro de los cortafuegos.

5.1. Configuraciones. Los tres modelos de equipos Cisco que intervienen en el proyecto (ASA, PIX y switch 3550) contiene dos tipos de configuraciones: la running-configuration y la startup-configuration. La primera (running-configuration) es la configuración activa almacenada en la memoria RAM. Cualquier comando que se ejecute en el equipo está afectando la running-configuration.

Capítulo 5. Cortafuegos. 17

La segunda configuración (startup-configuration) es la configuración de backup de la configuración activa (running-configuration). Cuando la configuración activa se guarda, ésta es almacenada en la NVRAM (No Volatile Random Access Memory) y pasa a ser la configuración de backup. Es importante tener guardada la última configuración en la startup-configuration ya que es ésta la que se carga cuando reiniciamos el equipo. 5.2. Cortafuego del proveedor externo. En este apartado se narra cómo se configuró el ASA5505, empezando por explicar en que modos puede trabajar el equipo, como acceder a la configuración, dónde se guarda ésta y finalmente se especifican los detalles de la misma (configuración de interfaces, vlans, listas de acceso, etc…). Los comandos y líneas de configuración que se aplicaron al cortafuego se adjuntan en el anexo A. 5.2.1. Modos de operación. Los cisco ASA pueden funcionar en 2 modos: enrutado y transparente. En modo enrutado el equipo actúa como equipo de capa tres y envía los paquetes basándose en la dirección IP del destinatario, en cambio en modo transparente el equipo actúa como equipo de capa 2, parecido a un bridge o switch y las tramas que se envían están basadas en la dirección MAC (Media Access Control) del destino.

Para el proyecto, el ASA se configuró en modo enrutado, debido a la necesidad de realizar traducciones de direcciones IP, (que posteriormente se explicará) y a la necesidad de enviar los paquetes según la información de capa tres (direcciones IP). Además, con el equipo funcionando como router se asegura que el cortafuego separe el tráfico de las redes que existen en cada interfaz y que el tráfico pase de una red a otra únicamente si existen ACLs que lo permitan.

5.2.2. Configuración de interfaces vlan. En el ASA se configuraron un total de 3 interfaces vlan:

• Interfaz Vlan 1: dónde se incluyeron los equipos de la red interna del proveedor.

• Interfaz Vlan 2: se incluyeron los equipos de la red de

suppliers.


18

• Interfaz Vlan 3: se definió para permitir la transmisión de información entre los dos ASA (el principal y el de backup).

Por defecto, únicamente existe tráfico entre puertos del ASA configurados en la misma vlan. El tráfico entre puertos configurados en vlans diferentes se realiza en función de las políticas de seguridad que se apliquen al cortafuego. La interfaz física nombrada “inside” (interfaz vlan 1) se configuró con un nivel de seguridad de 100, lo que significa configurar esta interfaz como la más segura y la interfaz nombrada “outside” (interfaz vlan 2) se configuró con un nivel de seguridad de 0 (menos segura). La configuración de las vlans se encuentra en el anexo A. También se definió una dirección IP para cada interfaz vlan, estas direcciones realizan la función de router para los equipos pertenecientes a la misma vlan que quieren comunicarse con equipos de otras redes. Por ejemplo, un equipo de la red del proveedor (vlan 1) que quiera acceder a un equipo de la vlan 2 deberá tener configurada una ruta que tenga como router por defecto la IP configurada en la interfaz vlan 1. 5.2.3. Configuración de interfaces físicas. Una vez configuradas las interfaces virtuales se realizó lo propio con las interfaces físicas. Se utilizaron solo los tres primeros puertos de los ocho que tiene el equipo:

• La ethernet0/0 se configuró como interfaz inside .

• La ethernet0/1 se configuró como interfaz outside .

• La ethernet0/2 se configuró para conectar el ASA principal con el de backup.

Cada una de estas interfaces pertenece a una de las vlans configuradas anteriormente. Así pues, la interfaz física eth0/0 se ha asignado al proveedor (configurada dentro de la vlan 1), la interfaz eth0/1 se ha asignado a la empresa de automoción (configurada en la vlan 2) y la eth0/2 se ha configurado para la transmisión de información entre el ASA principal y el de backup, configurándola en la vlan 3. Finalmente, se deshabilitaron las interfaces físicas que van de la ethernet0/3 a la ethernet0/7 para evitar que se conectaran equipos en estas interfaces.


5.2.4. Grupos de objetos. Una vez configuradas las interfaces físicas y las vlans, se efectuó la definición de los equipos que participan en el proyecto y posteriormente la configuración de los grupos de red (cuatro grupos) y de los grupos de servicio (dos grupos) Una lista de acceso aplicada a un grupo de red afecta a todos los equipos configurados dentro del grupo, lo que evita tener que hacer una lista de acceso para cada equipo por separado. Dentro del cortafuego del proveedor externo se han definido los siguientes equipos y redes:

• Tres servidores de la empresa de automoción (servcpp1, servcpp2 y servcpp3 ).

• Los servidores de monitorización CiscoWorks y Nagios

• La dirección IP del PC del proveedor externo (PC_proveedor1 ).

• La dirección IP traducida del PC del proveedor externo

(nat_proveedor1) Los cuatro grupos de red definidos en el ASA son:

• El grupo de red “FTP_shopfloor_access ” que contiene los tres servidores de la planta a los que el PC del proveedor tiene que acceder.

• El grupo de red “PCs_proveedor ” el cual incluye la maquina del

proveedor que tiene que acceder a los recursos de la empresa de automoción. En caso de que hubiera más de un PC del proveedor que tuviera que acceder a los mismos recursos también sería añadido dentro de este grupo.

• El grupo de red “nats_proveedor ”, este grupo abarca la IP traducida del PC del proveedor. A esta IP accederán los servidores de la empresa de automoción cuando quieran acceder al PC del proveedor.

• El grupo de red “management ” incluye las maquinas de Monitorización y administración tales como Nagios y CiscoWorks, las cuales realizan peticiones de SNMP que permiten monitorizar el ASA.

Los grupos de servicio que se han creado son:

• El grupo de servicio “ftp_group ” en el cual se definen los protocolos FTP y FTP-data. Este grupo será usado


20

posteriormente para permitir el acceso FTP desde el PC del proveedor hacia los servidores de la empresa de automoción.

• El grupo de servicio “networkadmin ” en el cual se definen los protocolos SNMP, SNMPTRAP y “domain” utilizados por el grupo de red “management” para monitorizar los equipos.

Con la configuración de los grupos de servicio y los grupos de red se pueden empezar a configurar las listas de acceso. 5.2.5. ACLs. Las ACLs son aplicadas a las interfaces del cortafuego, tanto si la dirección del tráfico es entrante o saliente. Al final de cada ACL el cortafuego inserta por defecto una regla implícita que deniega el tráfico restante. Las listas de acceso que se han creado para el proyecto, se pueden distinguir según si se aplican a la interfaz inside o a la interfaz outside. Los equipos que se encuentran dentro del grupo de red “PCs_proveedor” solo tendrán acceso a los equipos definidos dentro del grupo de red “FTP_shopfloor_access”, el tipo de tráfico permitido será ICMP para poder realizar ping desde el PC del proveedor hacia los tres servidores de la planta de automoción, y tráfico FTP (el puerto 21 para el control y el puerto 20 para los datos ). En la comunicación que existe entre el PC del proveedor y los servidores de planta, es necesario que el PC del proveedor realice siempre un ping antes de iniciar una sesión FTP para asegurar que el tráfico que envía llegará al servidor de destino. El resto de tráfico originado desde cualquier equipo que esté en la red del proveedor externo se ha denegado por las políticas de seguridad mediante la regla implícita que aplica el cortafuego. Por lo que se refiere a las ACLs aplicadas a la interfaz outside, para los equipos definidos dentro del grupo de red “management”, se les ha permitido el tráfico definido dentro del grupo de servicio “networkadmin”. Para los equipos definidos dentro del grupo de red “FTP_shopfloor_access” se les ha permitido tráfico ICMP hacia la máquina definida dentro del grupo de red “nats_proveedor”. El resto de tráfico IP originado por cualquier PC que esté en la interfaz outside y dirigido a cualquier destino será denegado debido a la regla implícita del cortafuego aplicada en esta interfaz.


5.2.6. Rutas. En el cortafuego se han configurado unas rutas para que el equipo sepa enviar la información que le llega por cualquier interfaz. Cuando un paquete originado por una máquina que está dentro de la red del proveedor (inside) necesita llegar a un equipo que se encuentra en la red de la empresa de automoción el paquete necesita ser enviado al cortafuego y posteriormente éste debe saber enviarlo por la interfaz correcta. 5.2.7. Traducción de direcciones IP. Para cada proveedor externo se ha guardado un rango de 16 direcciones IP, es decir, si tenemos que la red de proveedores es la: 10.0.4.0/23; para las propias traducciones del PIX515 (e interfaz suppliers del PIX515) se han guardado las direcciones IP que van de la 10.0.4.1 a la 10.0.4.15. Para el proveedor 1 las siguientes dieciséis direcciones (de la 10.0.4.16 a la 10.0.4.31) y así consecutivamente hasta llegar al séptimo proveedor, que es el proveedor del proyecto al que se le ha asignado el rango de direcciones que va de la 10.0.4.112 a la 10.0.4.127. Este rango de dieciséis direcciones que se han guardado para cada proveedor tiene como objetivo permitir configurar NATs estáticos para los equipos que tengan que acceder a los recursos de la empresa de automoción. Así pues, para el proveedor de éste proyecto se ha configurado un NAT estático que permite llevar a cabo una traducción permanente de la dirección IP del equipo del proveedor (PC_proveedor1: 192.168.15.3) a una dirección IP del rango reservado para nuestro proveedor (la dirección IP 10.0.4.114). 5.2.8. Acceso remoto. Se habilitó el acceso remoto al ASA del proveedor mediante el protocolo SSH, con este protocolo el acceso remoto se realiza de forma segura ya que cifra la información que se envía entre origen y destino. También se ha autorizado el acceso por HTTPS por si el departamento de atención al usuario, no habituado al entorno de línea de comandos, tiene que acceder al equipo. El acceso al equipo, ya sea remotamente (SSH, HTTP) o por consola, se puede realizar mediante autenticación local, accediendo a la base de datos del propio cortafuego. El acceso remoto se puede realizar desde cualquier equipo ubicado en la empresa de automoción que tenga cualquier dirección de la red 10.0.0.0 con máscara 255.0.0.0. Ningún equipo ubicado en la red de la empresa externa puede administrar el equipo.


22

5.3. Cortafuego de la empresa de automoción. En este capítulo se explica la configuración aplicada al PIX es-pixsuppliers-s01, empezando por describir la configuración aplicada a las interfaces físicas y los grupos de objetos que se han creado. Se finaliza el capítulo describiendo las traducciones de direcciones IP realizadas y el acceso remoto que se habilitado para administrar el cortafuego. La configuración que hemos aplicado al cortafuego de la empresa de automoción se adjunta en el anexo B. 5.3.1. Configuración de interfaces físicas. El cortafuego tiene 6 interfaces físicas, de las cuales se utilizan únicamente 2 (la ethernet 2 y la ethernet 3). La ethernet 2 con un nivel de seguridad de 50, es la interfaz con más seguridad. Esta interfaz conecta directamente con la red de la empresa automovilística. La ethernet 3, con un nivel de seguridad de 25, es la interfaz que conecta con el switch es-cppsuppliers-s01, en el cual también va conectado el cortafuego del proveedor. El resto de interfaces no se utilizan para el proyecto. 5.3.2. Grupos de objetos

En este apartado se explican los grupos de objetos configurados dentro del PIX y la definición de los PCs y redes involucradas en el proyecto. Dentro del PIX se definen los siguientes equipos y redes:

• Tres servidores de la empresa de automoción (servcpp1, servcpp2 y servcpp3 ).

• El servidor de monitorización CiscoWorks .

• La red de la empresa de automoción (Shopfloor ) y la red

SuppliersZF .

• Los dos switches 3550 (es-cppsuppliers-s01 y es-cppsuppliers-s02),

• El ASA del proveedor externo (asa_proveedor7 ).

• La dirección IP traducida del PC del proveedor externo

(nat_proveedor7)


Para simplificar la configuración de las ACLs, que se realizará a posteriori, se configuran ocho grupos de acceso (cinco grupos de red y tres grupos de servicio). Los grupos de red configurados son:

• “MonitoringHelpdesk ”: dentro del cual se ha definido el equipo de monitorización CiscoWorks.

• “Shopfloor_FTP_suppliers ”: dentro del cual se definen los tres servidores de la empresa automovilística (servcpp1, servcpp2 y servcpp3).

• “nats_proveedor7 ”: el cual engloba la dirección IP traducida del PC del

proveedor.

• “Firewalls ”: en el cual se define la dirección IP del cortafuego del proveedor.

• “NetworkMngt ” : dentro del cual se definen el switch principal del

sistema perimetral (es-cppsuppliers-s01) y el switch de backup (es-cppsuppliers-s02)

Por otra parte se configuran los grupos de servicio, de los cuales existen dos clases, los que tienen definidos protocolos TCP y los que incluyen protocolos UDP. Los grupos que incluyen protocolos TCP son:

• El “AdminNetwork ” que incluye los protocolos Telnet, WWW (World Wide Web), SSH, FTP-Data, HTTPS y FTP.

• El “ftp_group ” dentro del cual se configuran los protocolos FTP y FTP-

data. El grupo de servicio que tiene definidos protocolos UDP es:

• El “AdminNetwork2 ”, dentro del cual se definen los protocolos TFTP (Trivial File Transfer Protocol), SNMP, syslog y SNMPTRAP.

5.3.3. ACLs. En este apartado se explican las listas de acceso configuradas y el tipo de tráfico que se permitirá. Se configuran dos grupos de ACLs: • Las listas de acceso llamadas “suppliers_access_in ” dentro de las cuales

se ha habilitado:


24

- Tráfico FTP de los equipos definidos dentro del grupo “Firewalls” hacia los equipos definidos dentro del grupo “Shopfloor_FTP_Suppliers”.

- Tráfico UDP (definido dentro del grupo “AdminNetwork2”) desde cualquier PC de la red suppliers con destino al CiscoWorks, definido dentro del grupo “MonitoringHelpdesk”.

- Tráfico FTP desde el grupo “nats_proveedor7” con destino el grupo “Shopfloor_FTP_Suppliers”. - Tráfico ICMP des de cualquier PC de la red de suppliers hacia cualquier otro PC de la red local de la empresa de automoción.

• Las ACLs llamadas “inside ” son aquellas aplicadas a los equipos de la red

local de la empresa de automoción. A estos equipos se les permitirá:

- Tráfico SSH y HTTPS hacia los equipos definidos dentro del grupo “Firewalls”, con lo cual se podrá administrar remotamente el ASA del proveedor. - Tráfico ICMP des de cualquier equipo de la red de la empresa de automoción a cualquier destino.

5.3.4. Rutas. Se ha configurado una sola ruta dentro del cortafuego; esta ruta permite que el PIX pueda enviar todos los paquetes que lleguen por la interfaz inside y que tengan como destino cualquier equipo de la red 10.0.0.0 (“Shopfloor”). 5.3.5. Traducción de direcciones IP.

Se realiza un NAT estático que permite mostrar con la misma dirección IP traducida, en la red “suppliers”, la dirección IP de los equipos de la empresa de automoción. 5.3.6. Acceso remoto. El cortafuego se puede administrar des de cualquier equipo de la red de la empresa de automoción utilizando los protocolos telnet, SSH o HTTP.

Capítulo 6. Sistemas de recuperación de fallos. 25

CAPÍTULO 6. SISTEMAS DE RECUPERACIÓN DE FALLOS.

El sistema perimetral esta formado por unos equipos principales (el es-pixsuppliers-s01, es-asasuppliers-s01 y el es-cppsuppliers-s01) que están continuamente ofreciendo servicio y otros equipos que únicamente entran en funcionamiento si su correspondiente equipo principal falla, estos equipos son: (es-pixsuppliers-s02, es-asasuppliers-s02 y el es-cppsuppliers-s02). Los cortafuegos soportan dos clases de sistemas de recuperación de fallos:

• Sistema de recuperación activo/activo • Sistema de recuperación activo/standby.

En el sistema de recuperación de fallos activo/activo, todas las unidades del sistema pueden enviar tráfico de red, en cambio con el sistema de recuperación activo/standby sólo una unidad del sistema pasa tráfico mientras las otras se mantienen a la espera y no entran en funcionamiento hasta que el equipo principal falla. Para la configuración de cualquier sistema de recuperación de fallos, las unidades que forman el sistema deben tener la misma configuración hardware, deben ser del mismo modelo, tener el mismo número y tipo de interfaces y la misma cantidad de RAM. Además, los equipos tienen que estar funcionando en el mismo modo (transparente o enrutado) y utilizar la misma versión de software. 6.1. Configuración del sistema de recuperación de f allos en el

PIX. Los dos PIX (es-pixsuppliers-s01 y es-pixsuppliers-s02) forman parte de un sistema de recuperación de fallos activo/standby, el es-pixsuppliers-s01 es la unidad activa del sistema y el otro cortafuego la unidad standby. Los equipos están conectados a través de un cable serie, el cual utilizan para intercambiarse información (replicación de la configuración, etc.) y cada mensaje enviado es reconocido (ACKed). Si durante un intervalo de tres segundos un mensaje no es reconocido por el otro cortafuego, el mensaje es retransmitido y si después de realizar la retransmisión cinco veces el equipo en standby no recibe ningún reconocimiento, entonces éste activa el proceso de recuperación de fallos. Cada unidad tiene sus propias direcciones IP y MAC configuradas. Cuando ocurre un cambio y el cortafuego que realiza funciones de standby pasa a ser el activo, entonces se produce un cambio de direcciones IP y MAC entre los dos equipos, esta acción es invisible en la red por lo que las tablas


26

ARP (Address Resolution Protocol) de los equipos de la red no necesitan cambiar. En el Anexo C se adjunta la configuración que se añade al cortafuego para activar el sistema de recuperación de fallos. 6.2. Configuración del sistema de recuperación de f allos en los

ASA. Los dos cortafuegos ASA (es-asasuppliers-s01 y es-asasuppliers-s02) también forman parte de un sistema de recuperación de fallos activo/standby. Cuando se activa el proceso de recuperación de fallos la unidad que estaba en estado de alerta pasa a ser la unidad activa adoptando la misma configuración. El ASA principal y el que está en estado de alerta mantienen en todo momento la misma configuración y la transmisión de información entre los dos equipos se realiza utilizando los puertos ethernet0/2 configurados en la vlan 3. En caso de fallo se deben conectar los cables que van conectados a las interfaces “inside” e “outside” del equipo que estaba activo a la unidad que pasa a ser la activa. Esta reconexión de cableado se debe realizar cada vez que se active el sistema de recuperación de fallos porque en su momento no se tuvo en cuenta la instalación de un switch en el cual se pudieran conectar los dos cortafuegos y que permitiera que el proceso de recuperación de fallos se activara de forma totalmente automática sin tener que conectar y desconectar cables como sucede ahora. En el Anexo C se adjunta la configuración que se añade al cortafuego para activar el sistema de recuperación de fallos.

Capítulo 7. Estudio económico 27

CAPÍTULO 7. ESTUDIO ECONÓMICO.

En este capítulo se analizan los costes de la implantación. El estudio se centra en tres partes. En la primera se estudian los costes del equipamiento, posteriormente analizaremos la cantidad de recursos necesarios para la implantación y en la última parte se representa mediante los diagramas de Gantt la periodicidad del proyecto.

7.1. Costes del nuevo equipamiento.

A continuación se muestran los precios que se han abonado por la adquisición de los dos cortafuegos ASA. Precios proporcionados por un “partner” distribuidor de Cisco Systems. Tab.7.1 Compra de los ASA5505 Security Firewall Bundle.

Producto Unidades Precio Unidad Total

Cisco ASA5505 Security Firewall Bundle

2 945,00 € 1.890,00 €

Mantenimiento Cisco ASA5505 Security Firewall Bundle 8x5xNBD -

1año 2 193,00 € 386,00 € 2.276,00 €

Como se puede ver en la tabla anterior, Cisco Systems permite, al comprar su hardware, pagar una cuota que se puede renovar cada año para tener los equipos en mantenimiento. Los servicios asociados al mantenimiento durante el primer año son:

• Asistencia Técnica de especialistas entrenados y certificados Cisco.

• Actualización de los IOS.

Para el proyecto también se ha requerido conectar mediante fibra óptica el armario de comunicaciones del proveedor externo con el nodo 5 de la empresa de automoción.


28

El coste derivado de esta tarea fue: Tab.7.2 Coste derivado de la instalación de Fibra óptica.

Producto Unidades Total

Instalación Fibra óptica Multimodo 8 fibras 5.749,70 € También se compraron tres transceptores para pasar del medio UTP a fibra, de los tres transceptores solo se utilizaron dos, el tercero fue entregado y guardado por el departamento de atención al cliente como backup de los otros dos. Otro material que se necesitó son los dos latiguillos de fibra óptica de dos metros con conectores SC-SC, estos latiguillos se utilizaron para conectar los transceptores con la tirada de fibra óptica. Y Finalmente, también se destinaron 300 euros para otro material necesario para el proyecto (latiguillos, cinta adhesiva para etiquetar los equipos, cables UTP, etc.) Tab.7.3 Otro material necesario para el proyecto.

Producto Unidades Precio Unidad Total

Latiguillos de Fibra 2 metros con conectores SC-SC

2 17,86 € 35,72 €

Transceptores Fibra a Ethernet 3 580,10 € 1.740,30 € Materiales pequeños 1 300,00 € 300,00 €

2.076,02 € Dentro del estudio económico, no se contemplaron los precios de los switch ni del cortafuego de la empresa de automoción, ya que estos equipos ya se encontraban en producción en el inicio del proyecto.


7.2. Costes de los recursos horas/persona.

En este apartado se explica como se estructuró la implantación del proyecto. Éste quedó definido en cuatro partes bien diferenciadas. Se empezó por un proceso de consultoría en el que quedó definido el diseño de la solución a implantar. La siguiente fase correspondió a la pre-implantación, seguidamente la implantación del proyecto y una última parte de post-implantación. Para la realización de las tareas definidas dentro de las siguientes fases se necesitó disponer de los servicios de un técnico con la certificación CCNP (Cisco Certified Network Professional). En cada fase se especifica el total de días que fueron necesarias que invirtiera el técnico.

• Consultoría:

La parte de consultaría fue la parte más importante del proyecto. Es en esta parte dónde se diseñó la solución a implantar. Además, se acordó con el cliente todas las intervenciones que eran necesarias realizar y cuales eran los requerimientos de diseño. Es en esta fase, dónde se decidió adquirir dos ASA como cortafuegos del proveedor externo y utilizar fibra óptica entre la infraestructura de la empresa de automoción y el nuevo armario de comunicaciones de la empresa externa. Además, se especificaron cuantos equipos debían acceder a los recursos de la empresa de automoción, que tipo de tráfico estaba permitido desde los equipos de la empresa externa y a que recursos de la empresa de automoción se podía acceder. Disponer o no de un sistema de recuperación de fallos es, también, otra cuestión que se decidió en esta fase. El técnico destinó un total de 10 días a la fase de consultoría.

• Pre-Implantación:

En esta fase se empezó a plasmar la idea inicial del proyecto. Se realizó la conexión, mediante fibra óptica, entre el armario de comunicaciones del proveedor externo y el nodo 5 dónde se encuentra el cortafuego y el switch de la empresa de automoción.

Se comprobó el funcionamiento de los tres transceptores que se utilizan para realizar el cambio de medio (de fibra óptica a UTP y viceversa) También se evaluaron las IOS disponibles para el ASA y se eligió la que mejor se adaptaba a nuestro proyecto. Se realizaron pruebas con el


30

cortafuego de la empresa externa, testeando las traducciones de direcciones IP, las rutas, ACLs, etc.… todo en un entorno de pruebas. Debido a que los equipos de la empresa de automoción (PIX, es-cppsuppliers-s01 y es-cppsuppliers-s02) se encontraban en producción no se realizó ninguna prueba con ellos hasta el día de la implantación. El técnico destinó un total de 14 días a esta fase. • Implantación:

Esta fue la parte más crítica y la más complicada de todo el proyecto. En esta fase se configuraron los dos ASA, se reconfiguraron los dos switch y los dos cortafuegos de la empresa de automoción. Posteriormente se comprobó que conectando el ASA a la red, desde éste se podía hacer “ping” al cortafuego de la empresa automovilística y al equipo del proveedor externo que tiene que acceder a los recursos. Con esto, asegurábamos que las interfaces físicas del ASA estaban bien configuradas y que podíamos llegar a los equipos que estaban directamente conectados al ASA. Posteriormente debíamos averiguar que el resto de configuración aplicada al ASA funcionaba correctamente (ACLs, rutas, traducciones, etc.) La comprobación del sistema de recuperación de fallos fue también otra tarea importante dentro de la implantación. Para comprobar la configuración, se simuló que el equipo activo dejaba de funcionar y que se restablecían las comunicaciones con el segundo cortafuego. Para esta fase, el técnico destinó un total de 15 días.

• Post-Implantación: Una vez realizada con éxito la fase de implantación, empezó la fase de post-implantación. Ésta se realizó en el siguiente período laboral posterior a la implantación. En las primeras horas de esta fase, es cuando podían surgir la mayoría de problemas relacionados con la implantación. En la fase posterior a la implantación no se encontró ningún problema relacionado con la parte técnica del proyecto. El equipo de la empresa externa pudo acceder a los recursos sin problema. La redacción de la documentación y la transferencia de ésta al departamento de atención al cliente es otra tarea que se realizó dentro de esta fase, así como el etiquetaje de los equipos, del cableado y la monitorización de los nuevos cortafuegos del proveedor externo dentro del CiscoWorks y del Nagios. Para la fase de post-implantación, el técnico destinó un total de 7 días.


En la figura 7.1, con la ayuda de los diagramas de Gantt, se representa el tiempo necesario para realizar el proyecto, las fases en las que se dividió éste y las tareas incluidas dentro de cada fase. El proyecto duró poco más de 2 meses, des del 31 de agosto del 2009 que es cuando empieza la fase de consultoría hasta el 3 de noviembre con el traspaso de la información y la documentación al departamento de atención al cliente. De los 46 días que duró el proyecto , fue necesario trabajar durante 2 días en horario no laboral debido a que los cambios en los equipos que están en producción (cortafuegos de la empresa de automoción) solo se podían hacer en sábados, domingos o días en los que no había producción.


32

Fig.7.1. Representación mediante el diagrama de Gantt de las tareas del proyecto.

Capítulo 7.Estudio económico 33

7.3. Costes Totales En este apartado se calcula el coste económico del proyecto. El cálculo se realiza teniendo en cuenta los costes del nuevo equipamiento sumado a las horas de trabajo. Para la realización del cálculo se ha tenido en cuenta que es un proyecto interno, por lo que no se ha contemplado desplazamientos, hoteles, viajes, etc... El precio por hora de un técnico se contempla a precio de coste. Es habitual que las empresas integradoras añadan un margen de ganancia para cada hora de trabajo.

• El precio por hora trabajada por el técnico se calcula como:

hora

euros

hores

anyeurosecioHoraCCNP 05,18

1772

132000Pr =⋅= (7.1)

Las horas de trabajo técnico fuera de horario laboral se contemplan como horas extras y se incrementa su valor en un factor de 1,5 el precio de hora normal. En resumen:

• Los costes de las horas en horario laboral son:

horasdía

horasdíasLaboralestotalesHoras 352

1

8)44(__ =⋅=

euros

horaeuroshorasLaboralesHorasCostes

6,6353

05,18)352(__

=

⋅= (7.2)

• Los costes de las horas fuera del horario laboral son:

horasdía

horasdíasExtrastotalesHoras 16

1

8·2__ ==

( )

euroshora

euroshorasExtrasHorasCostes

2,433

5,105,1816__

=

⋅⋅= (7.3)


34

• El coste del nuevo equipamiento es:

euros

materialotro

ópticafibranInstalació

ASACompranuevotoequipamien

72,10101 2.076,02 5.749,70 2.276,00

_

__

__

=++=+

+=

(7.4)

El coste total del proyecto es:

eurosExtrasHorasCostes

LaboralesHorasCostes

nuevotoEquipamienTOTALSinIVA

52,16888__

__

_

=++

+=

(7.5)

eurosTOTALconIVA 224,20266=

En la siguiente tabla, se muestran las tareas relacionadas con cada fase del proyecto. Las horas necesarias para realizar cada una de ellas y el coste total de cada tarea. Tabla.7.4. Resumen de las tareas y coste de cada tarea.

Descripción días Horas

Factor horario

Coste Importe

servicios

Consultoría Plan de actuación, Planificación y Coordinación general del proyecto 10 80 1 18,05 € 1.444,00 €

Pre-Implantación

Recopilación previa de requisitos y necesidades del sistema a implantar. Fase de pruebas y testeo con los nuevos equipos.

14 112 1 18,05 € 2.021,60 €

Implantación

Configuración de 2 ASA para la empresa externa 4 32 1 18,05 € 577,60 € Reconfiguración de los 2 switches (es-cppsuppliers-s01 y es-cppsuppliers-s02) 2 16 1

18,05 € 288,80 €

Reconfiguración de 2 pix de la empresa de automoción en horario laboral 2 16 1

18,05 € 288,80 €

Reconfiguración de los 2 pix de la empresa de automoción en horario no laboral 1

8 1,5 18,05 € 216,60 €

Soporte On-site posterior a la intervención y acciones necesarias si así procede 1 8 1

18,05 € 144,40 €

Instalación física de los ASA Cisco dentro del rack de la empresa externa 1 8 1

18,05 € 144,40 €

Test de pruebas del sistema perimetral implantado 1 8 1,5 18,05 € 216,60 €

Soporte a las pruebas de comunicaciones entre los PCs de la empresa externa y los recursos de la empresa de automoción

3 24 1 18,05 € 433,20 €

Post-implantación

Capítulo 7.Estudio económico 35

Soporte On-site posterior a la intervención de Pix/ASA y acciones necesarias si así procede

1 8 1 18,05 € 144,40 €

Documentación general del proyecto. Modificación de plataforma Ciscoworks/Nagios

4 32 1 18,05 € 577,60 €

Traspaso al departamento de atención al cliente 2 16 1 18,05 € 288,80 €

46 368 -- -- 6.786,80 €


36

CAPÍTULO 8. CONCLUSIONES. El proyecto ha sido interesante porque he tenido la oportunidad de configurar por primera vez un cortafuego ASA y he aprendido las ventajas que nos aporta esta nueva tecnología de cortafuegos. La utilización de otros equipos Cisco como el PIX me ha permitido consolidar los conocimientos ya adquiridos anteriormente. Con el sistema perimetral se consigue monitorizar y controlar el tráfico que se envía entre la empresa de automoción y la empresa externa. Y además se mantiene la confidencialidad del direccionamiento IP de los equipos. El sistema perimetral también satisface otros requerimientos del proyecto: utilizar el sistema de seguridad que existía inicialmente en la empresa de automoción como parte de la nueva infraestructura y utilizar solo electrónica de red del fabricante Cisco Systems. En este apartado se presentan las ventajas, inconvenientes y posibles mejoras a la implantación realizada.

8.1. Ventajas del Sistema de Seguridad Perimetral.

El sistema de seguridad implantado, basado en dos cortafuegos, permite controlar el tráfico a nivel de red , permitiendo cierto tipo de tráfico y denegando el resto. Por ejemplo en el cortafuego de la empresa externa permitimos solo tráfico ICMP y FTP des de un equipo concreto de la empresa externa hacia los tres servidores de la empresa de automoción. El resto de tráfico originado por cualquier otro equipo de la empresa externa será denegado. Otra ventaja del sistema es la utilización de traducciones de direcciones IP. Con esta herramienta aseguramos una confidencialidad de las direcciones IP locales de las dos empresas. Por ejemplo, en el cortafuego de la empresa externa, la dirección IP del PC del proveedor es traducida a otra dirección de la red “suppliers” de esta forma la empresa automovilística desconoce la dirección IP final del PC y la red del proveedor. A parte de los dos cortafuegos, también se han instalado antivirus tanto en los servidores de la empresa de automoción como en el PC del proveedor. Los antivirus nos protegen de la mayoría de los virus existentes, basando su reconocimiento en una serie de firmas o patrones.

Capítulo 8. Conclusiones 37

8.2. Inconvenientes. El principal problema de los cortafuegos es que estos sólo saben detener el tráfico destinado a un puerto o transportado mediante un protocolo concreto en base a las reglas que se configuran. Los cortafuegos que se han configurado, examinan el tráfico entrante que hemos permitido por determinados puertos UDP y TCP. Pero ese análisis se realiza a nivel de enlace o a nivel de red, es decir, en función de ciertos campos del paquete TCP/IP como por ejemplo las direcciones IP o puertos. Pero el área de datos proveniente del nivel de aplicación en ningún caso se examina en los cortafuegos configurados.

8.3 Mejoras para el sistema implantado. El sistema implantado, se puede mejorar mediante sistemas o aplicaciones que puedan ayudar a filtrar tráfico a nivel de red para disminuir los ataques de hackers, intrusiones o robo de información y a nivel de contenidos para evitar las amenazas que constituyen los virus, gusanos, troyanos, Spyware, phising y demás clases de malware, el correo basura y los contenidos WEB no apropiados para la compañía. Algunos sistemas de prevención y detección de intrusiones son: � sistemas IDS (Intrusion Detection System) los cuales son capaces de detectar cadenas anómalas dentro de los paquetes que circulan por una red, como por ejemplo virus cuyas firmas aún no han sido incorporadas al motor del antivirus. Pero como bien ilustra el acrónimo IDS, se trata de un sistema detector o pasivo, es decir, capaz de descubrir alguna situación que se salga fuera del marco habitual de comportamiento e informar a continuación al administrador. En la mayoría de los casos, ese periodo de tiempo que transcurre desde que un ataque es detectado hasta que realmente se toman las medidas pertinentes, puede ser nefasto para los intereses de una organización. En este ámbito de riesgo expuesto toma especial relevancia el concepto de IPS que tecnológicamente viene a ser un IDS pero con la capacidad de prevención o bloqueo (sistema activo). � Sistemas IPS (Intrusion Prevention System) los cuales monitorizan el tráfico de la red y las actividades del sistema para evitar posibles intrusiones, además reaccionan en tiempo real para evitar o bloquear estas actividades.


38

Cuando un ataque o código malicioso es detectado, el sistema con IPS puede descartar los paquetes infectados y permitir que pase el resto de tráfico. Al contrario de los tradicionales cortafuegos, los sistemas IPS pueden realizar decisiones de control de acceso basándose en el contenido de la aplicación y no solo en las direcciones IP o puertos.

� Los Cortafuegos personales, son programas que se instalan de forma residente en nuestro PC y que permiten filtrar y bloquear el contenido a nivel de aplicación y controlar la conexión a la red . Además deben tener la capacidad de alertar de intentos de intrusión y mantener un registro para seguir sus pistas. 8.4 Impacto ambiental.

Des del punto de vista del diseño, utilizar el sistema de seguridad que existía inicialmente en la empresa de automoción ha contribuido a reducir la cantidad de equipos para la nueva infraestructura, lo que conlleva la reducción del consumo de energía.

Otro factor que contribuye favorablemente al medio ambiente es la iniciativa de la empresa externa de apagar la electrónica de red al finalizar el turno de trabajo

Bibliografía 39

BIBLIOGRAFÍA

[1] W. Rufi Antoon, Network Security 1 and 2 Companion Guide, Cisco Press, Indianápolis 2007.

[2] Ariganello Ernesto, Redes Cisco, Ra-Ma Editorial, Paracuellos de Jarama (Madrid) 2006.

[3] Hucaby David, CCNP BCMSN, Cisco Press, Indianápolis 2007.

[4] Cisco Systems, Software: Command Lookup Tool, disponible en: http://www.cisco.com/cisco/web/support/index.html -->Tools & Resources

[5] Ariganello, Ernesto y Barrientos Sevilla, Enrique, Redes Cisco CCNP a Fondo, Ra-Ma Editorial, Paracuellos de Jarama (Madrid) 2010.

[6] Cisco Systems, Software: Output Interpreter, disponible en: https://www.cisco.com/cgi-bin/Support/OutputInterpreter/home.pl

[7] Cisco Systems, Software Advisore, disponible en: http://tools.cisco.com/Support/Fusion/FusionHome.do


40

ANEXOS

ANEXO A 41

ANEXO A

Configuración del cortafuego del proveedor externo:

� VLANS interface Vlan1 nameif inside security-level 100 � interfaz con mayor seguridad ip address 10.20.144.5 255.255.255.0 interface Vlan2 nameif outside security-level 0 � interfaz con menor seguridad ip address 10.0.4.113 255.255 .254.0 interface vlan 3 nameif failover ip address 10.10.10.113 255.255.255.0

� Interfaces físicas

Definición de los equipos: es-asasuppliers-s01(config)# name 10.0.64.153 servcpp1 es-asasuppliers-s01(config)# name 1.0.64.154 servcpp2 es-asasuppliers-s01(config)# name 1.0.64.155 servcpp3 es-asasuppliers-s01(config)# name 10.0.64.156 CiscoWorks es-asasuppliers-s01(config)# name 10.0.4.114 nat_proveedor1 es-asasuppliers-s01(config)# name 192.168.15.3 PC_proveedor1 es-asasuppliers-s01(config)# name 10.0.64.157 Nagios

� Grupos de objetos

Se han configurado 4 grupos de red (Network Groups) (identificados con una flecha amarilla) y 2 grupos de servicio (Service Groups) (identificados con una flecha naranja):


42

� ACLs Para configurar una ACL dentro del ASA se usará la siguiente nomenclatura: es-asasuppliers-s01(config)# access-list "nombre de la access-list" extended {deny | permit} protocol "dirección origen " "máscara" [puerto origen ] “dirección destino ” “ máscara” [puerto destino]. Para aplicar una ACL a una interfaz específica utilizaremos los grupos de acceso: es-asasuppliers-s01(config)# access-group "nombre de la access-list" [in|out] interface "nombre de la interfaz". Las ACLs que se aplican a la interfaz inside y que se han nombrado con el nombre INSIDE son las siguientes: es-asasuppliers-s01(config)# access-list INSIDE extended permit tcp object-group PCs_proveedor object-group FTP_shopfloor_acce ss object-group ftp_group es-asasuppliers-s01(config)# access-list INSIDE extended permit icmp object-group PCs_proveedor object-group FTP_shopflo or_access Las ACLs que se aplican a la interfaz outside y que se han nombrado con el mismo nombre (OUTSIDE) son las siguientes: es-asasuppliers-s01(config)# access-list OUTSIDE extended permit udp object-group Management any object-group networkadm in

ANEXO A 43

es-asasuppliers-s01(config)# access-list OUTSIDE extended permit icmp object-group FTP_shopfloor_access object-group nats _proveedor

Grupos de acceso: es-asasuppliers-s01(config)# access-group INSIDE in interface inside es-asasuppliers-s01(config)# access-group OUTSIDE in interface outside

� rutas configuradas

� Traducción de direcciones IP

� Acceso Remoto

Para configurar el acceso por SSH, consola y http con autenticación local se usará el siguiente comando des del entorno de línea de comandos (CLI): es-asasuppliers-s01(config)# aaa authentication ssh console http LOCAL

Para permitir el acceso remoto des de una interfaz específica y con un direccionamiento IP específico se usaran los siguientes comandos: es-asasuppliers-s01(config)# ssh 10.0.0.0 255.0.0.0 outside es-asasuppliers-s01(config)# http 10.0.0.0 255.0.0.0 outside


44

ANEXO B

Configuración del cortafuego de la empresa de automoción.

� Interfaces físicas : Nombre y el nivel de seguridad aplicado a cada interfaz. nameif ethernet2 inside security50 nameif ethernet3 suppliers security25 Configuración de direcciones IP a cada interfaz mediante el siguiente comando: es-pixsuppliers-s01(config)#ip address "nombre de la interfaz" « ip address » « máscara ».

Las direcciones IP configuradas son :

ip address inside 10.0.64.152 255.255.192.0 ip address suppliers 10.0.4.1 255.255 .254.0

� Grupos de objetos Definición de redes y equipos: es-pixsuppliers-s01(config)#name 10.0.64.156 CiscoWorks es-pixsuppliers-s01(config)#name 10.0.0.0 Shopfloor es-pixsuppliers-s01(config)#name 10.0.4.0 SuppliersZF es-pixsuppliers-s01(config)#name 10.0.4.3 es-cppsuppliers-s01 es-pixsuppliers-s01(config)#name 10.0.64.153 servcpp1 es-pixsuppliers-s01(config)#name 10.0.64.154 servcpp2 es-pixsuppliers-s01(config)#name 10.0.64.155 servcpp3 es-pixsuppliers-s01(config)#name 10.0.4.4 es-cppsuppliers-s02 es-pixsuppliers-s01(config)#name 10.0.4.114 nat_proveedor7 es-pixsuppliers-s01(config)#name 10.0.4.113 asa_proveedor7 Grupos de red:

object-group network MonitoringHelpdesk network-object CiscoWorks 255.255.255.255

object-group network Shopfloor_FTP_Suppliers network-object servcpp1 255.255.255.255 network-object servcpp2 255.255.255.255 network-object servcpp3 255.255.255.255

ANEXO B 45

object-group network nats_proveedor7 network-object nat_proveedor7 255.255.255.255

object-group network Firewalls network-object asa_proveedor7 255.255.255.255

object-group network NetworkMngt

network-object es-cppsuppliers-s01 255.255.25 5.255 network-object es-cppsuppliers-s02 255.255.25 5.255 Grupos de servicio:

object-group service AdminNetwork tcp port-object eq telnet port-object eq www port-object eq ssh port-object eq ftp-data port-object eq https port-object eq ftp

object-group service AdminNetwork2 udp

port-object eq snmptrap port-object eq tftp port-object eq snmp port-object eq syslog

object-group service ftp_group tcp

port-object eq ftp-data port-object eq ftp

� ACLs es-pixsuppliers-s01(config)# access-list suppliers_access_in permit tcp object-group Firewalls object-group Shopfloor_FTP_S uppliers object-group ftp_group es-pixsuppliers-s01(config)# access-list suppliers_access_in permit udp any object-group MonitoringHelpdesk object-group AdminN etwork2 es-pixsuppliers-s01(config)# access-list suppliers_access_in permit tcp object-group nats_proveedor7 object-group Shopfloor _FTP_Suppliers object-group ftp_group. es-pixsuppliers-s01(config)# access-list suppliers_access_in permit icmp any any


46

es-pixsuppliers-s01(config)# access-list nmisa_access_in permit icmp any any es-pixsuppliers-s01(config)# access-list nmisa_access_in permit tcp any object-group Firewalls eq ssh es-pixsuppliers-s01(config)# access-list nmisa_access_in permit tcp any object-group Firewalls eq https Grupos de acceso:

es-pixsuppliers-s01(config)# access-group nmisa_access_in in interface nmisa es-pixsuppliers-s01(config)# access-group suppliers_access_in in interface suppliers

� Rutas es-pixsuppliers-s01(config)# route inside Shopfloor 255.0.0.0 10.0.64.15

� Traducción de direcciones IP es-pixsuppliers-s01(config)# static (inside,suppliers) Shopfloor Shopfloor netmask 255.0.0.0 0 0

� Acceso Remoto

es-pixsuppliers-s01(config)# http Shopfloor 255.0.0.0 inside es-pixsuppliers-s01(config)# telnet Shopfloor 255.0.0.0 inside es-pixsuppliers-s01(config)# ssh Shopfloor 255.0.0.0 inside

ANEXO C 47

ANEXO C

Configuración del sistema de recuperación de fallos en el cortafuego de la empresa de automoción.

Para activar el sistema de recuperación de fallos: es-pixsuppliers-s01(config)# failover Para configurar el intervalo de tiempo en el que se envían “hellos” entre el equipo activo y el que esta en standby. es-pixsuppliers-s01(config)# failover poll 15 Configuración de direcciones IP en las interfaces físicas del cortafuego que se encuentra en standby. es-pixsuppliers-s01(config)# failover ip address outside 10.171.201.251 es-pixsuppliers-s01(config)# no failover ip address inside es-pixsuppliers-s01(config)# failover ip address nmisa 10.160.180.153 es-pixsuppliers-s01(config)# failover ip address suppliers 10.160.94.2 es-pixsuppliers-s01(config)# no failover ip address intf4 es-pixsuppliers-s01(config)# no failover ip address intf5

Configuración del sistema de recuperación de fallos en el

cortafuego de la empresa de externa. Primero debemos designar que equipo es la unidad activa y que equipo se mantiene en estado de alerta: Para asignar un equipo como la unidad activa del sistema lo haremos con el siguiente comando: es-asasuppliers-s01 (config)# failover lan unit primary

Seguidamente se debe especificar, en los dos cortafuegos, la interfaz que se utilizará como interfaz de failover es-asasuppliers-s01 (config)# failover lan interface int_failover Vlan3

es-asasuppliers-s02 (config)# failover lan interface int_failover Vlan3


48

Diseño e implantación de un sistema de seguridad ...

Documents

Transcript of Diseño e implantación de un sistema de seguridad ...