PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf

7/25/2019 PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf

1/94

PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDAD APARTIR DEL RE-USO TECNOLOGICO

DANIEL ECHEVERRY MATIAS

UNIVERSIDAD CATOLICA DE PEREIRAFACULTAD DE CIENCIAS BSICAS E INGENIERAS

PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONESPEREIRA

2011

1


2/94

PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDAD APARTIR DEL RE-USO TECNOLOGICO

DANIEL ECHEVERRY MATIAS

Infor! F"n#$

TUTOR%INGENIERO DANIEL FELIPE BLANDON

UNIVERSIDAD CATOLICA DE PEREIRAFACULTAD DE CIENCIAS BSICAS E INGENIERAS

PROGRAMA DE INGENIERA DE SISTEMAS Y TELECOMUNICACIONESPEREIRA

2011

2


3/94

RESUMEN

Este proyecto, busca desarrollar y construir una solucin de seguridad, usando el

re-uso tecnolgico, aprovechando aquellas maquinas que cumplieron su vida util,pero que aun as pueden llegar a cumplir ciertas funciones dentro de una red.

Usando esta tecnologa antigua, el proyecto aporta una alternativa de solucin a

la grande problemtica que est viviendo el mundo actual, en cuanto a los

desechos tecnolgicos, de esta forma, se beneficiaran las peque!as y medianas

empresas, implementando soluciones de seguridad a ba"o costo, y

adicionalmente, se beneficiara el medio ambiente.

#his pro"ect see$s to develop and build a %or$around of security, using the

technological reuse, ta$ing advantage of these machines that complete their useful

life, but these yet are useful to perform certain functions %ithin a net%or$. Using

this old technology, the pro"ect contribute an alternative of %or$around to the big

problematic that is living the today&s %orld, %ith regard to technological %aste, thus,

to benefit small and medium enterprises, implementing security %or$arounds at

lo% cost, and additionally, %ill benefit the environment.

'

Palabras claves: Dispositivo de seguridad, UTM, Firewall, Seguridad informatica,

Redes, appliance de seguridad.

ABSTRACT


4/94

TABLA DE CONTENIDO

1 (ntroduccin 1)

2 *ormulacin del problema 12

' +b"etivos 1

ustificacin 1

/ronograma de actividades 10

arco /onte3tual 14

.1 5(mplementacin 6e /lusters 7eo%ulf /omo *ire%all8 14

.2 5odelo de solucin de enrutamiento de datos a ba"o costo basado ensoft%are libre8 2)

.' 59urdue *ire%all :ppliance8 21

. ;olucin *ortinet 22

. ;olucin ;onic


5/94

=.1 :ppliance 2=

=.2 #ipos de :ppliance 2=

=.2.1 :ppliance de telefona (9 2=

=.2.2 :ppliance de correo 20

=.2.' :ppliance de onitoreo 24

=.' U# 24

=. ;ervicios de seguridad 24

=..1 *ire%all 24

=..2 (6;>(9; ')

=..' ?9@ '1

=.. 9ro3y ''

=. ;istemas operativos embebidos '

=..1 ;istemas embebidos '

=..2 ;istemas operativos embebidos '


6/94

=. :lgunos sistemas operativos embebidos '

=..1 ;ymbian +; '

=..2 66-


7/94

4.2.2.1 +b"etivos de un fire%all 4

4.2.' (nstalacin (6; '

4.2.'.1 ;nort

4.2. (nstalacin ?9@ =

4.2. (nstalacin 9ro3y 0

4.2..1 ;quid =)

4.' 9ruebas de rendimiento =2

4.'.1 Escenario de las pruebas =

4. :nlisis de los resultados ==

1) /onclusiones 4)

11 Aecomendaciones 41

12 Aeferencias bibliogrficas 42

1' 7ibliografa 4

=


8/94

TABLA DE IMAGENES&

*igura 1. 6esechos tecnolgicos 1'

*igura 2. @umero de transistores por chip a escala logartmica 1

*igura '. :ppliance *ortinet 2'

*igura . 6iagrama ?9@ '2

*igura . 6iagrama 9A+F ''

*igura . Equipo usado para el proyecto 2

*igura =. Equipo usado para el proyecto '*igura 0. (nstalacin +pen


9/94

*igura 22. 9aquetes instalados

*igura 2'. 9aquetes disponibles

*igura 2. 7ac$up y restaurar =*igura 2. Esquema *ire%all 4

*igura 2. /adenas bsicas de fire%all )

*igura 2=. #argets de un fire%all 1

*igura 20. enu *ire%all 2

*igura 24. ;nort

*igura '). (nstalacion ;@+A#

*igura '1. 9aquete +9E@?9@ 0

*igura '2. 9aquete +9E@?9@ - 6E?ED 0

*igura ''. Esquema 9ro3y 4

*igura '. 9aquete ;quid =)

*igura '. Daboratorio : =

*igura '. Daboratrio 7 =

*igura '=. Hrafica /onsumo /9U ==

*igura '0. Hrafica /onsumo /9U =0

*igura '4. Hrafica /onsumo /9U =0

*igura ). Hrafica Aendimiento interfaces =4

4


10/94

1& INTRODUCCI'N

Goy en da, la seguridad informtica "uega un papel fundamental en cualquier

empresa, ya que estas se concientiCan de cuidar su activo ms importanteI 5Dainformacin8. ;in embargo, implementar la infraestructura necesaria Jhard%are y

soft%areK para reducir los riesgos y aumentar la proteccin de los datos requiere

de una cantidad de dinero que algunas empresas no tienen, o los recursos no

son destinados, o simplemente no estn dispuestas a pagar por algo que ven

como un gasto y no como una inversin.

En el mercado e3isten appliances de seguridad JtambiBn llamadas U#K, queproporcionan toda la seguridad perimetral necesaria para cualquier sistema

informtico, estos equipos traba"ando a nivel de aplicacin, analiCan y permiten el

paso del trfico en funcin de las polticas implementadas en el dispositivo, en

otras palabras estos equipos son una 5ca"a negra8 en la cual estn todos los

servicios de seguridad integrados. E3isten muchos fabricantes de este tipo de

equipos, desde /isco1 hasta *ortinent2, pero los precios son algo elevados, por

e"emplo, un equipo *ortigate *11)/, ideal para redes de 1) usuarios, cuesta

2.0)) U;6' con todas las licencias activas, mientras que un equipo /isco :;:

) con caractersticas similares cuesta alrededor de 2.1)) U;6

:hora bien, hay una problemtica que surge en las empresas LMuB hacer con los

9/&s obsoletosN, generalmente los equipos catalogados como obsoletos terminan

en la basura, sin darse cuenta que estn cometiendo dos grandes errores. El

primero es la contaminacin del medio ambiente, ya que los dispositivos

electrnicos no se pueden tratar como basura convencional, dado su contenidode sustancias t3icas como el cromo, el cadmio y el mercurio. F el segundo error

1 httpI>>%%%.cisco.com>en>U;>products>ps12)>inde3.html2 httpI>>%%%.fortinet.com>products>fortigate>111/.html' http I>>%%% .avfire%alls .com >*ortiHate -11) / .asp http I>>%%% .router -s%itch .com >9rice -cisco -fire%alls -security -cisco -asa -))- series O c 2 http I>>%%% .elmundo .es >elmundosalud >2))>)>')>industria >1110=0'.html

1)
http://www.avfirewalls.com/FortiGate-110C.asphttp://www.avfirewalls.com/FortiGate-110C.asphttp://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26http://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26http://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.htmlhttp://www.avfirewalls.com/FortiGate-110C.asphttp://www.router-switch.com/Price-cisco-firewalls-security-cisco-asa-5500-series_c26http://www.elmundo.es/elmundosalud/2006/06/30/industria/1151687483.html


11/94

que cometen las empresas, es asumir que dichos equipos por ser de tecnologa

antigua, no se les puede dar otra utilidad, esto es un error grave ya que si bien no

son equipos de Pltima tecnologa, son equipos que pueden soportar una funcin

limitada.

Este proyecto plantea una solucin a dicha problemtica. En primer lugar,

proponer e implementar una solucin de seguridad perimetral, usando aquellas

mquinas de tecnologa antigua, y en segundo lugar, hacer re-uso de aquellos

equipos anticuados, pero todava Ptiles, contribuyendo as al medio ambiente.

11


12/94

2. FORMULACI'N DEL PROBLEMA

6ebido a que en la actualidad la informacin importante de cualquier empresa se

encuentra sistematiCada, e3iste cada veC ms el riesgo de que personas noautoriCadas observen o roben dicha informacin, por tal motivoQ hay soluciones

de Gard%are y ;oft%are que tienen como Pnico fin minimiCar los riesgos de que

suceda un acceso no autoriCado a la informacin o una fuga de la misma.

6esafortunadamente este tipo de soluciones son costosas, e inasequibles para

peque!as empresas. 9or tal motivo hay empresas que no estn protegiendo su

informacin de forma adecuada, poniendo as en riesgo la privacidad no solo dela organiCacin sino tambiBn de sus clientes, Esto se deriva por carencia de

recursos econmicos, o por factores comoI 6esconocimiento, o simplemente

porque no se cuenta con el personal capacitado para administrar este tipo de

herramientas.

Un problema con el que se enfrentan las empresas es , quB hacer con aquellos

equipos que ya han llegado a un nivel de obsolescencia . Es claro que estos

dispositivos electrnicos se demoran varios a!os en descomponerse y adems de

esto si son desechados pueden contaminar el medio ambiente por las sustancias

to3icas con las que fueron dise!ados.

12


13/94

*igura 1I 6esechos tecnolgicos

Da idea principal de este proyecto es ayudar en la solucin de estas dos

problemticas que hoy en da son ms evidentes.

;e Usarn equipos con tecnologa obsoleta para configurar un appliance que se

encargue de proteger la seguridad de la informacin en las 9FE; Jpeque!as y

medianas empresasK, las cuales, por alguna raCn no pueden tener un equipo de

marca dedicado para este fin.

httpI>>greennatureboo$.blogspot.com>2)11>)>desechos-tecnologicos.html

1'


14/94

'. OB(ETIVO GENERAL

9roponer un :ppliance de seguridad que provea servicios deI (6;, ?9@, pro3y,

*ire%all y enrutamiento a partir del re-uso tecnolgico, para suplir las necesidadesque tienen las pymes en cuanto a la seguridad de su informacin.

OB(ETIVOS ESPECFICOS

9roponer una nueva alternativa a la grave problemtica ambiental que sufre

hoy en da el mundo, referente a los desechos tecnolgicos.

(ndagar sobre antecedentes de traba"os similares que se hayan realiCadoen este sentido.

/onsultar sobre cual es el me"or Gard%are y soft%are para implementar la

solucin

6efinir cuales son los requerimientos mas urgentes para las pymes en

cuanto a seguridad.

1


15/94

)& (USTIFICACI'N

/on este proyecto, se demostrar que con aquellos equipos catalogados como 5obsoletos8

se pueden construir dispositivos muy Ptiles para cualquier empresa u organiCacin,

contribuyendo de esta forma al recicla"e de equipos electrnicos, pero LquB se puede definircomo 5+bsoleto8N *T+,!$$# I& . V"$#/!# (& *200 ;egPn la ley de oore, fundador y

primer directivo de (@#ED, cada ' a!os la potencia de los ordenadores se multiplica por .

Esto quiere decir, que un equipo de cmputo fabricado en el a!o 1440, ser 1 veces ms

limitado que un equipo actual.

*igura 2. @umero de transistores por chip a escala logartmica. :utorI J#ubella, (. R ?ilaseca, . J2))KK

/abe resaltar que si un equipo es vie"o no quiere decir que ya no sirve, se debe e3plotar la

tecnologa al m3imo, antes de darla como obsoleta. Gay funciones o servicios los cuales no

requieren una capacidad de procesamiento considerable y son estos equipos los adecuados

para prestar dichos servicios.

Da pertinencia y la innovacin del proyecto, radican en que fcilmente se puede construir y

administrar una plataforma de seguridad a un costo muy ba"o, sin necesidad de adquirir

hard%are adicional como dispositivos fsicos dedicados a servicios de seguridadQ con esta

propuesta, las empresas que no velaban por la seguridad de sus sistemas, argumentando

lo costoso que es adquirir la infraestructura necesaria, se darn cuenta que el factor

econmico no es un obstculo para preocuparse por su seguridad informtica.1


16/94

:simismo, es muy importante crear una cultura del re-uso tecnolgico, ya que as se

concientiCa sobre lo importante que es no desechar irresponsablemente dispositivos

electrnicos.

Dos pases desarrollados generan miles de toneladas de basura tecnolgica cada da. Estos

dispositivos contienen elementos altamente t3icos, que al entrar en contacto con la

naturaleCa causan da!os irreversibles en la salud y el medio ambiente. Estas sustancias son

nocivas para el ser humano, y al desechar estos equipos pueden llegar a las fuentes

hidrogrficas y ocasionar serios problemas ambientales, para la poblacin. Jose luis,

Hallego, 2))4, 90K

Dos ciudadanos europeos generamos anualmente ms de 1 $ilos de chatarra tecnolgica

por persona, se trata de ordenadores personales, telBfonos celulares, agendas electrnicas y

toda una larga serie de consumibles que entran en desuso al de"ar de funcionar o ser

sustituidos por un modelo con mayores prestaciones. Estos productos se han incorporado en

pocos a!os al sector del gran consumo generando un importante problema ambiental debido

a su especial circunstancia en el mercado. F es que a menudo antes de poner un pie fuera

del comercio donde lo acabamos de adquirir, se quedan obsoletos.

:ctualmente se busca una forma efectiva de realiCar el recicla"e tecnolgico. F no es tan

complicado. Este proyecto da una alternativa a colaborar con el recicla"e tecnolgico dando

otra forma de uso a estos equipos vie"os y alargando el tiempo de vida Ptil de los mismos,

evitando as, la contaminacin, y el desperdicio.=

En el desarrollo de este proyecto se podrn aplicar conceptos vistos a lo largo de la

formacin profesional como ingenieros de sistemas y telecomunicaciones. ;e aplicarn no

solo los temas relacionados con las telecomunicaciones sino tambiBn relacionados con la

formulacin de proyectos, conceptos que en el mundo laboral son fundamentales para un

(ngeniero de sistemas de la actualidad. :lgunos de estos sonI

= httpI>>%%%.uv.m3>cienciahombre>revistae>vol2'num1>articulos>basuras>inde3.html1


17/94

(nnovacin.

Emprendimiento.

9ro actividad.

Aecursividad.

/reatividad.

(nvestigacin.

1=


18/94

. CRONOGRAMA DE ACTIVIDADES

A (+n"o (+$"o A3o/4o S!54"!,r! O4+,r! No6"!,r!

1 2 7 ) 1 2 7 ) 1 2 7 ) 1 2 7 ) 1 2 7 ) 1 2 7 ):1 8 8 8 8:2 8 8 8 8:' 8 8: 8 8: 8: 8:= 8 8 8 8:0 8 8:4 8 8

:) 8

:1I Elaborar arco terico:2I AealiCar el estado del arte:'I Eleccin del hard%are disponible.:I Eleccin del sistema operativo.:I (nstalacin sistema operativo base.:I /onfiguracin bsica del dispositivo.:=I (nstalacin de los servicios propuestos.

:0I9ruebas benchmar$ del dispositivo.:4I :lgunas modificaciones y customiCaciSn.:1)I 9uesta en marcha dispositivo U#


19/94

. MARCO CONTE8TUAL

:ntes de entrar materia, es necesario hacer un recorrido por el mundo de la tecnologa,

buscando aquellas entidades, universidades, y otras organiCaciones las cuales han

investigado sobre el amplio tema de la seguridad, dise!ando, o estudiando la forma deimplementar equipos JGard%areK a ba"o costo, los cuales integren todos los servicios que

ayuden aumentar la proteccin de las redes D:@.

En cuanto al re-uso tecnolgico, en /olombia se han hecho grandes esfuerCos, por brindar

una solucin a tantos artefactos electrnicos JcomputadoresK que quedan en desuso debido

la tecnologa entrante, por esta problemtica nace 5/omputadores para educar8, un proyecto

el cual trata de darle un uso a aquellos computadores que no se utiliCan en las grandes

compa!as, reensamblandolos y envindolos a diferentes Conas ale"adas del pas, con el fin

de que aquellas personas que se encuentran ale"adas de las ciudades, puedan aprender,

estudiar, y navegar a travBs de (nternet. Esta es una buena solucin para los desechos

tecnolgicos, educando y dndole la oportunidad a las personas a usar un computador.

En nuestro pas, no se han evidenciado proyectos cuyo ob"etivo, tengan como fin

aprovechar el hard%are en des-uso para construir una plataforma integral de seguridad

JtambiBn llamada U#K.

@o obstante, se han desarrollados proyectos similares que han buscado implementar

soluciones de seguridad de diferente ndole. : continuacin, algunos de los proyectos

relacionados que se han realiCadoI

9&1 :IMPLEMENTACI'N DE CLUSTERS BEO;ULF COMO FIRE;ALLDinu3K con el fin de ofrecer

en una misma maquina todos los servicios de seguridad integrados. Estos son algunos

fabricantes reconocidos en el mercado por sus productos U#I

5*ortigate8

5;onic


23/94

#orti>%%% .abo3 .com0 httpI>>%%%.fortinet.com

2'
http://www.abox.com/http://www.abox.com/http://www.abox.com/


24/94

(ntrusion 9revention J(9;K

:ntivirus>:ntispy%are>:ntimal%are

(ntegrated


25/94

que ;onic%all delega la responsabilidad de desarrollo a otras empresas.

/omo se puede ver, en el mbito comercial, las empresas son muy similares, cada una con

venta"as y desventa"as, ofreciendo un dispositivo de seguridad que en algunos casos puede

ser visto como 5bastante costoso8, costo que peque!as empresas no estaran dispuestas apagar o que no lo consideran de importancia.

El gran reto de este proyecto de grado, consiste en demostrar que con muy pocos recursos

y con soft%are libre, se puede lograr una solucin robusta y similar a las soluciones de los

grandes fabricantes. :quellos fabricantes que como negocio cobran millones por una 9/ con

H@U>Dinu3 disfraCada de una 5gran y robusta solucin8

9&9 DIFERENCIAS ENTRE EL PROYECTO Y LAS SOLUCIONES COMERCIALES&

6espuBs de haber hecho un recorrido por el amplio mercado de las soluciones de seguridad

que e3isten hoy, e identificando las caractersticas y el plus de cada una de ellas, es

pertinente realiCar una comparacin entre el appliance libre que se propone, y las dems

marcas comerciales, ya que de esta manera, se podr determinar y conocer quB hace Pnico

e innovador este proyecto.

Das principales diferencias entre una solucin comercial, sin importar la marca, con elproyecto que se plantea sonI

Gaciendo Bnfasis slo a nivel de soft%are Jdebido a que muchos fabricantes cierran

sus driversK, este proyecto es totalmente libre, el proyecto busca implementar una

solucin de seguridad a muy ba"o costo usando soft%are libre, y por ende aprovecha

las bondades del cdigo abierto para construir un appliance, seguro, confiable y con

un rendimiento adecuado.

Dos grandes fabricantes enfocan gran parte de su traba"o en desarrollar hard%are

especialiCado. ;in embargo, desarrollar Gard%are no es el ob"etivo, ni hace parte del

proyecto, ya que el Gard%are que se usar en la implementacin del dispositivo de

seguridad sern componentes obsoletos de equipos de cmputo, los cuales han sido

2


26/94

declarados inservibles.

El ob"etivo principal de todas las soluciones comerciales, es lucrarse econmicamente,

producir y comercialiCar su producto, posicionarse en el mercado, aumentar sus

activos, en fin todo lo relacionado con el dinero. El proyecto aqu descrito, tiene un finsocial, que consiste en reutiliCar aquella tecnologa catalogada por la mayora de las

empresas como 5obsoleta8, para disminuir los problemas ambientales que se puedan

presentar debido al mal mane"o que muchas empresas dan a dichos residuos

tecnolgicos.

#odos los aplicativos, usados en el proyecto, son desarrollados por diferentes

comunidades, ubicadas en diferentes partes geogrficas, los cuales al unirlos, forman

una e3celente solucin de seguridad.

2


27/94

=. :A/+ #EVA(/+

9ara que un sistema de proteccin de informacin sea seguro, debe contar con algunos

servicios de seguridad, que nos ayuden a minimiCar los riesgos de fuga de informacin, sin

embargo, implementar cada uno de estos servicios en un hard%are diferente, implica gastos

y muchas horas de traba"o. :fortunadamente en la actualidad se cuenta con appliances o

utm&s los cuales se caracteriCan por ofrecer todos los servicios de seguridad en un solo

equipo. 9ero LsegPn los autores e3pertos en el tema, que es una :pplianceN

=&1 APPLIANCE

Es un tBrmino comPn en inglBs, utiliCado en el lengua"e cotidiano, que se traduce a menudocomo 5dispositivo8 o 5aplicacin8. ;in embargo, en el mundo de las #(/ 5appliance8 es un

tBrmino tBcnico. Una appliance destaca por el hecho de que ofrece una interaccin ptima

entre hard%are y soft%are, es decir, hard%are y soft%are estn adaptados perfectamente

entre s. Una appliance no es un 5sabelotodo8 sino que est destinada a un solo campo de

actividades que domina perfectamente. Un e"emplo de la vida cotidianaI /on una lavadora no

se puede ni telefonear ni hacer cafB. 4

=&2 TIPOS DE APPLIANCE

#eniendo clara, la definicin del tBrmino appliance, se deben nombrar los diferentes tipos que

e3isten en el mercado, ya que aunque en este documento el ob"etivo principal es un

appliance de seguridad, es importante conocer que e3isten otros tipos, los cuales pueden ser

interesantes y PtilesI

=&2&1 A55$"#n! >! T!$!fon"# IP% Un :ppliance ?o(9 proporciona todas lascaractersticas que se esperan de una 97. #raba"a con voC sobre (9 en varios

protocolos J;(9, G'2'K e interopera con casi todo el equipo estndar basado en

telefona (9. 9rovee servicios de correo de voC, comunicacin de llamada, respuesta

4 http I>>%%% .dallmeier -electronic .com >es >productos >dvr -nvr >videoip -appliance -smatri3 >que -es -una -appliance .html

2=
http://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.htmlhttp://www.dallmeier-electronic.com/es/productos/dvr-nvr/videoip-appliance-smatrix/que-es-una-appliance.html


28/94

interactiva de voC, cola de llamados, servicio de identificacin de llamados, etc.

=&2&2 A55$"#n! >! Corr!o% Este :ppliance permite ser utiliCado como servidor de

correo para realiCar filtrado de correos, ya sea de spam o de virus. Esto es gracias a

las herramientas de antivirus y antispam que poseeQ lo que mantiene el correo de losusuarios libre de virus y con una mnima tasa de spam.

Da otra posibilidad de uso de este :ppliance es como suite de colaboracin de correo,

incluyendo la capacidad de compartir calendarios para poder agendar reuniones y otros.

=&2&7 A55$"#n! >! Mon"4or!o% Este :ppliance de monitoreo contiene un con"unto de

aplicaciones de soft%are que permiten obtener informacin Ptil para el anlisis y

monitoreo de enlaces y dispositivos de red.

/on este dispositivo se pueden monitorear aspectos importantes comoI

Gost

9uertos

G##9

/onectividad a base de datos

*#9

;#9

9+9

(:9

;ervicios personaliCados

Entre otros

/omo pueden ver, un appliance se puede dise!ar para cumplir cualquier funcin o

necesidad, es decir, cualquier servicio informtico se puede instalar en una 5ca"a negra8 la

cual ser destinada Pnica y e3clusivamente, para cumplir dicho servicio.

:hora bien, el ob"etivo primordial de este proyecto, es implementar un appliance de

20


29/94

seguridad. Este tipo de appliance es ms conocido como U# y se describe a continuacionI

=&7 UTM% *Ro,!r4 N!?#n 200@ P21 Hestin unificada de amenaCas o algunas veces

llamados 5*ire%all de la pro3ima generacion8. Dos equipos U# traen mPltiples servicios deseguridad en una sola plataforma. Una plataforma U# tpica provee servicios de *ire%all,

?9@, antivirus, filtrado de contenido, un sistema de deteccin y prevencin de intrusos, y

antispam. Estos appliances fueron derivados de productos de empresas comoI

7COM

CISCO

(UNIPER

SONIC;ALL

FORTINET

Da principal venta"a de un U#, es que incluye mPltiples caractersticas de seguridad en un

solo aparato, esto hace que el administrador o el cliente final tenga facilidades comoI

*cil administracin

:dministracin centraliCada

servicios integrados.

:lto nivel de seguridad

6ebido a que el termino appliance es un termino estandar para describir un aparato o

artefacto, en el siguiente apartado, se describiran los servicios de seguridad y redes que

proveen los dispositivos U#, los cuales hacen de este appliance una ;olucin demasiado

robusta y eficiente, y por tanto son los aspectos fundamentales que hacen que el dispositivo

sea un appliance de seguridad.

=&) SERVICIOS DE SEGURIDAD

=&)&1 FIRE;ALL% *M#r"# E/5## 2007 P2@Es un sistema de seguridad desarrollado24


30/94

para ubicarse en una red publica JHeneralmente (nternetK y una red interna perteneciente a

una organiCacin, o bien entre diferentes secciones de una red interna. Esta compuesto por

Gard%are y ;oft%are que controlan el trafico entre las dos redes, autoriCando o impidiendo

su transito de una a otra. 9ara construir un fire%all e3isten bsicamente dos posibilidadesI

R!#$"#r +n f"$4r#>o >! 5#+!4!/ # n"6!$ >! r!>& Esta modalidad suele ubicarse en

enrutadores, consiste en un filtro que e3amina cada paquete que llega al dispositivo y

dictamina si aceptar o no su paso hacia uno de los puertos de salida, en funcin de si

cumple ciertas reglas especificadas en una base de datos. En la actualidad e3isten

niveles que traba"an a niveles superiores, y admiten una mayor cantidad de criterios

como por e"emplo, la ip de origen, la ip destino, el protocolo entre otros.

Cor4#f+!3o/ "n4!r!>"#r"o !n $# #5# >! #5$"#"n& :ctPa a nivel de aplicacin,

generalmente intermediando la comunicacin, entre un proceso cliente y un proceso

servidor. Uno de los cuales pertenece a la red que se desea proteger y el otro a una red

e3terna.

=&)&2 IDSIPS% *M"+!$ Co$o,r#n 200 P12Dos sistemas de deteccin de intrusos J(6;K,

monitoriCan los contenidos del flu"o de informacin, a travBs de la red, en la bPsqueda y

rechaCo de posibles ataques. 9ueden combinar Gard%are y ;oft%are, y normalmente seinstala en los dispositivos ms e3ternos de la red. /omo fire%all y pro3ies. :dmiten dos

clasificacionesI

segPn la actividad que realiCanI

B#/#>o/ !n RED%onitorean una red, suelen ser elementos pasivos que no

sobrecargan la red en e3ceso. B#/#>o/ !n Ho/4/I onitorean un host o un con"unto de ellos y permiten un

control mas detallado, registrando los procesos y los usuarios implicados en las

actividades registradas por el (6;, consume recursos e incrementa el flu"o de la

red.

B#/#>o/ !n #5$"#"on!/% onitorean los ficheros de registro o logs de una

')


31/94

aplicacin en especfico, para detectar actividades sospechosas

segPn el tipo de anlisis que realiCanI

7asados en firmasI 6e forma similar a los programas antivirus, estos tipos de(6;, monitorean la red en busca de patronesJfirmas de ataquesK que permitan

identificar un ataque previamente conocido, estos requieren que la base de

datos de firmas, se encuentre constantemente actualiCada

7asados en anomalasI El (6; buscara comportamientos anmalos en la red

Jun escaneo de puertos, paquetes malformados etc.K

9uede producir falsos positivos, debido a la ambigYedad de la que se podra considerar un

5comportamiento anmalo8, pero permite adaptarse a nuevos ataques sin necesidad de

a!adir nuevas firmas. Uno de los (6; mas conocido tiene como nombre ;@+A#J;@+A# es

una aplicacin libre que funciona como (6;, en captiulos posteriores se entrar mas en

detalle en su definicin e instalacinK.

=&)&7 VPN% *An3!$ Co,o P1= Una red privada virtual, se puede definir como una

e3tensin de una red privada, que utiliCa enlaces a travBs de redes publicas o compartidas

como (nternet, y que posibilita la transmisin de datos como si se tratase de un enlace puntoa punto.

9ara realiCar esto, los datos son encapsulados utiliCando un protocolo de tPnel que consiste

en a!adir al paquete original una cabecera que proporciona la informacin de enrutamiento

lo cual permite que Bste pueda llegar a su destino. 9ara que el enlace sea privado, los datos

via"an cifrados, lo que garantiCa la confidencialidad, aun as si estos son interceptados por

terceros.

'1


32/94

*igura . 6iagrama ?9@

7sicamente e3isten ' tipos o esquemas de ?9@I

VPN >! #!/o r!o4o *D#"#n F!rr!r 200

Este es quiCs el modelo ms usado actualmente y consiste en usuarios o

proveedores que se conectan con la empresa desde sitios remotos Joficinas

comerciales, domicilios, hoteles, aviones, etc.K utiliCando (nternet como vnculo

de acceso. Una veC autenticados tienen un nivel de acceso muy similar al que

tienen en la red local de la empresa. uchas empresas han reemplaCado con

esta tecnologa su infraestructura Zdial-upZ Jmdems y lneas telefnicasK,

aunque por raCones de contingencia todava conservan sus vie"os mdems.

VPN /"4"o-#-/"4"o *D#"#n F!rr!r 200

Este esquema se utiliCa para conectar oficinas remotas con la sede central de

organiCacin. El equipo central ?9@, que posee un vinculo a (nternet

permanente, acepta las cone3iones va (nternet provenientes de los sitios y

establece el ZtPnelZ vpn. Dos servidores de las sucursales se conectan a

(nternet utiliCando los servicios de su proveedor local de (nternet, tpicamente

mediante cone3iones de banda ancha. Esto permite eliminar los costosos

vnculos punto a punto tradicionales, sobre todo en las comunicaciones

'2


33/94

internacionales.

VPN In4!rn#*D#"#n F!rr!r 200

Este esquema es el menos difundido pero uno de los ms poderosos para

utiliCar dentro de la empresa. Es una variante del tipo Zacceso remotoZ pero, en

veC de utiliCar (nternet como medio de cone3in, emplea la misma red Dan JAed

de rea localK de la empresa. ;irve para aislar Conas y servicios de la red Dan

interna. Esta capacidad lo hace muy conveniente para me"orar las prestaciones

de seguridad de las empresas.

=&)&) PRO8Y *D#6"> M#r4"n! 200@ P1)= Es un servidor que separa dos redes diferentes,

entre sus funciones se destacanI

2. /entraliCar el trfico en ambas redes.

'. :celerar el acceso a contenidos


34/94

conectarse a la pgina o/% *D#6"> P!r! 200@ P)% Un sistema embebido posee

hard%are de computador "unto con soft%are embebido como uno de sus componentes ms

importantes. Es un sistema computacional dedicado para aplicaciones o productos. 9uede

ser un sistema independiente o parte de un sistema mayor, y dado que usualmente su

soft%are est embebido en A+ JAead +nly emoryK no necesita memoria secundaria

como un computador. Un sistema embebido tiene tres componentes principalesI

1. Gard%are.

2. Un soft%are primario o aplicacin principal. Este soft%are o aplicacin lleva a cabo

una tarea en particular, o en algunas ocasiones una serie de tareas.

'. Un sistema operativo que permite supervisar laJsK aplicacinJesK, adems de proveer los

mecanismos para la e"ecucin de procesos. En muchos sistemas embebidos es requerido

que el sistema operativo posea caractersticas de tiempo real.

=&&2 S"/4!#/ o5!r#4"6o/ !,!,">o/% *An>r!? T#n!n,#+ 2001% Un sistema

operativo embebido es un sistema operativo que se e"ecuta sobre un sistema embebido, los

'


35/94

cuales han sido descritos previamente. Dos sistemas operativos embebidos generalmente se

e"ecutan sobre dispositivos que difieren de un computador comPn, como televisores, hornos

microondas, y telBfonos mviles. Usualmente tienen algunas caractersticas de sistemas de

tiempo real, pero a la veC tienen restricciones de tama!o, memoria y energa que los hacen

especiales.

+tra definicin interesanteI

"n sistema operativo para un sistema embebido usualmente es dise*ado para una

aplicacin especfica, y por lo tanto es m-s est-tico que un sistema operativo de propsito

general). 1)

=&9 ALGUNOS SISTEMAS OPERATIVOS EMBEBIDOS

;i bien la mayora de fabricantes desarrollan su propio sistema operativo para construir sus

:ppliances, e3isten sistemas operativos libres, para estos dispositivos, desarrollados por la

comunidad del soft%are libre, algunos de estos sistemas sonI

=&9&1 S,"#n OS% el sistema operativo ;ymbian es una coleccin compacta de cdigo

e"ecutable y varios archivos, la mayora de ellos son bibliotecas vinculadas dinmicamenteJ6DD por sus siglas en inglBsK y otros datos requeridos, incluyendo archivos de configuracin,

de imgenes y de tipografa, entre otros recursos residentes. ;ymbian se almacena,

generalmente, en un circuito flash dentro del dispositivo mvil. Hracias a este tipo de

tecnologa, se puede conservar informacin aun si el sistema no posee carga elBctrica en la

batera, adems de que le es factible reprogramarse, sin necesidad de separarla de los

dems circuitos.

9agina %ebI http I>>%%% .symbian .org >

=&9&2 DD-;RT% 66-


36/94

propicia para una gran variedad de routers %%% .dd - %rt.com

=&9&7 OPEN-;RT% +pen

=&= RE-USO TECNOLOGICO EN COLOMBIA

6esde hace algun tiempo atras cada uno de los grandes fabricantes iniciaron una carrera sin

control en la creacin de productos tecnolgicos, esta etapada, denominada por algunos

autores como la revolucin tecnolgica, se basa fundamentalmente en la evolucion de la

electrnica y su incorporacin a la vida cotidiana de todos los seres humanos, haciendo la

vida mucho mas facil dise!ando dispositivos como telBfonos moviles, 9/&;, impresoras, etc.

En /olombia e3isten millones de articulos electronicos, que con el paso del tiempo se

convertirn en una gran amenaCa al medio ambiente, y es importante que la generacion

actual, se pregunte a donde irar a para esta basura tecnologica o tambien llamada E-


37/94

celular o 9/ en muy corto tiempo, gracias a que siempre llegan al mercado nuevos equipos

con nuevas funcionalidades, L9ero a donde iran a parar todos estos equipos que se de"an

de usar, que son reemplaCados por un equipo de me"or tecnologiaN

Gay varias formas de concientiCar a la sociedad, y colaborar con esta gran problemtica,inicialmente se deben seguir los siguientes conse"osI

AehPso.

Aeduccin.

6onacin.

Aecicla"e.

:ctualmente, en nuestro pas se cuenta con un proyecto el cual busca, re-usar estos equipos

obsoletos en la educacin de todos los ni!os ale"ados de las Conas urbanas. ;e trata de

5/omputadores para educar8

&s un programa de reuso tecnolgico cuyo objetivo es brindar acceso a las

tecnologas de informacin y comunicaciones a instituciones educativas p=blicas

del pas, mediante el reacondicionamiento y mantenimiento de equipos,

promoviendo su uso y aprovechamiento significativo en los procesos educativos,

a trav>s de la implementacin de estrategias de acompa*amiento educativo y

apropiacin de 1CBs!)77

/omo se puede observar, computadores para educar brinda una alternativa para la

problemtica de la E-%aste, ;in embargo, en este proyecto, se mostrara otra alternativa,

usando equipos obsoletos, para desarrollar una solucin de seguridad, robusta y confiable

11 http I>>%%% .computadoresparaeducar .gov .co'=
http://www.computadoresparaeducar.gov.co/http://www.computadoresparaeducar.gov.co/http://www.computadoresparaeducar.gov.co/


38/94

0. DEFINICI'N OPERACIONAL DE TRMINOS

SEGURIDAD INFORMATICA% *(o/! S#$6#>or 2007 P101Da seguridad informtica es

definida por ' aspectos fundamentales.

Da confidencialidad [ :segura que la informacin no este disponible o sea

descubierta por personas no autoriCadas. En otras palabras, se refiere a la capacidad

del sistema para evitar que terceros puedan acceder a la informacin.

Da disponibilidad [ Un sistema seguro debe mantener, la informacin disponible

para los usuarios, significa que el sistema, tanto en hard%are y soft%are se debe

mantener funcionando eficientemente, y que es capaC de recuperarse rpidamente

en caso de fallo.

Da integridad [ HarantiCa que la informacin pueda ser modificada, incluyendo su

creacin y borrado, solo por el personal autoriCado. El sistema no debe modificar o

corromper la informacin, que almacene, o permitir que alguien no autoriCado lo haga.

El orden de importancia de estos tres factores es diferente, e incluso entran en "uego otros

elementos como la autenticidad, y el no repudio.

'0


39/94

4. ENFOUE METODOLOGICO&

@&1 In/4#$#"n >!$ /"/4!# o5!r#4"6o&

Es claro que todo Gard%are necesita de un soft%are que lo controle y administre los recursos

fsicos de la me"or manera, con el Pnico fin de cumplir las tareas para las cuales el dispositivofue dise!ado.

Gablando especficamente de los routers, los fabricantes crean su propio firm%are, cerrado,

para que controle sus maquinas. ;in embargo, gracias al soft%are libre, e3isten firm%are

libres, los cuales son mantenidos por la comunidad, estos en muchos casos me"oran el

rendimiento de los dispositivos, debido a que algunos fabricantes, restringen funciones y

capacidades de sus equipos. 9ero al instalar algPn firm%are libre, se evidencian

caractersticas que con el firm%are propietario no es posible realiCar.

E3isten muchos firm%are libres, entre los ms destacados estnI

66-/ que se le pueden instalar haciendo algunas

modificaciones al dispositivo.1'

12]ai es una red global de "uegos que rePne a diferentes consolas, en una comunidad integrada. ;e trata de soft%are quese e"ecuta en su 9/ que le permite "ugar con intercone3in de sistemas de "uegos habilitados en lnea de forma gratuita.http I>>%%% .team3lin$ .co .u$ >1' http I>>%%% .dd -%rt.com >%i$ i

'4
http://www.teamxlink.co.uk/http://www.teamxlink.co.uk/http://www.dd-wrt.com/wikhttp://www.dd-wrt.com/wikhttp://www.dd-wrt.com/wikhttp://www.teamxlink.co.uk/http://www.dd-wrt.com/wik


40/94

;veasoftI firm%are ;veasoft suele ser anunciada como la posibilidad de aumentar el

radio de transmisin de energa de un router a partir del 20 m< a 21 m


41/94

licenciado ba"o la H9D. El proyecto tiene intencin de ser siempre alo"ado en un sitio

de fcil acceso, con el cdigo fuente completo disponible y fcil de construir.

(mpulsado por la comunidad. @o se trata de ZnosotrosZ que ofrece algo a ZtiZ, es casi

todo el mundo unido para traba"ar y colaborar hacia una meta comPn.

+pen>%%%.open%rt.org1
http://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/starthttp://wiki.openwrt.org/toh/start


42/94

Pro!/o >! "n/4#$#"n&

+pen


43/94

*igura 0. Equipo usado para el proyecto. Elaboracion 9ropia

;e descarga la imagen precompilada de +pen>do%nloads .open%rt.org >$ami$aCe >0.)4.2>3 0>open%rt- 3 0- e3t2.image

;e copia la imagen a un dispositivo U;7I

5cp open%rt-30-e3t2.image >media>U;7>8

(nstalamos la imagen, para esto es necesario usar un Dive/6 cualquiera, en este caso

usaremos ;litaC por que es un Dive/6 de muy poco tama!o.

(niciamos desde el Dive/6

ontamos la unidad U;7

(nstalamos la imagen en nuestro 6isco duro.

'
http://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.imagehttp://downloads.openwrt.org/kamikaze/8.09.2/x86/openwrt-x86-ext2.image


44/94

Zdd if^>media>U;7>open%rt-30-e3t2.image of^>dev>hda bs^1 count^1))Z

6ondeI

>media>U;7 [ es la unidad U;7

>dev>hda [ es el disco duro donde se desea instalar la imagen

Aeiniciamos el equipo y ya tendremos nuestro sistema operativo instalado.

*igura 4. (nstalacin +pen


45/94

@&2 INSTALACI'N DE SERVICIOS

@&2&1 Conf"3+r#"n B/"#

6espuBs de tener el sistema operativo instalado J+pen


46/94

*igura 11. ?entana de logueo de +pen


47/94

*igura 12. (nterfaC


48/94

999o: [ Es Ptil cuando el proveedor, entrega un servicio de banda ancha mediante

servicios como cablemodem y 36;D. #iene venta"as de calidad sobre 999oE

99#9 [ 9rotocolo de icrosoft, se usa cuando el proveedor da el acceso a (nterneta travBs de una ?9@.


49/94

*igura 1'. 6iagnosticos

/on esto se verifica que el dispositivo ya tiene acceso a internet.

@&2&1&2 Conf"3+r#"n >! $# In4!rf# LAN

:hora que el dispositivo tiene salida a internet, el siguiente paso, es configurar la interfaC

local, la cual brindara la cone3in a internet a toda la red D:@, es decir, a todos los

computadores que conforman la red.

6esde la interfaC %eb, en el apartado de red- 6G/9, se activa el servidor 6G/9 para la

interfaC local, de esta forma, cualquier equipo que se conecte, tomara la (9, la ruta por

defecto y los 6@; de forma automtica.

4


50/94

*igura 1. /onfiguracin 6G/9. Elaboracin propia

;e guardan los cambios, y se verifica conectando un equipo a dicha interfaC, y se comprueba

que le haya asignado una direccin valida, y por ende que e3ista acceso a (@#EA@E#.

*igura 1./onfiguracion interface equipo cliente. Elaboracin propia

En la imagen se puede evidenciar, la direccin (9 que asigno el dispositivoI 142.10.1.10.

)


51/94

9or Pltimo verificamos cone3in a internet.

*igura 1. 9ruebas de 9ing. Elaboracin propia

F si es necesario, se verifica que el trafico si este pasando a travBs del appliance +pen


52/94

*igura 10. Esquema @:#. Elaboracion propia

;in embargo, debido a que +pen


53/94

A#>"r +n n+!6o r!5o/"4or"o% /on esta opcin, es posible a!adir un nuevo servidor

donde se encuentren algunas aplicaciones empaquetadas para +9]H, es decir, un

servidor generalmente publicado en (nternet, donde hay una gran recopilacin de

programas y utilidades adaptadas para instalarlas en +pen!/>! URL% En algunos casos, hay herramientas que no se

encuentran en ninguno de los repositorios de +pen! 5#+!4!/% Este proceso permite mantener una lista actualiCada

de todos los paquetes que estn incluidos en los diferentes repositorios.

P#+!4!/ "n/4#$#>o/% uestra una lista de todos los paquetes que estn instalados

en el :ppliance.

P#+!4!/ >"/5on",$!/%uestra una lista de todos los paquetes que estn disponibles

en los repositorios y listos para ser instalados.

'


54/94


55/94

P#+!4!/ "n/4#$#>o/&

*igura 2). 9aquetes instalados. Elaboracin propia


56/94

*igura 21. 9aquetes disponibles. Elaboracin propia

9ara actualiCar la lista de paquetes disponibles en los repositorios, simplemente se debe dar

clic$ en el botonI 5Update pac$age list8. @o esta de ms aclarar, que para actualiCar la lista

de paquetes, es necesario que el appliance tenga acceso a (nternet, y que tenga

configurados los 6@; adecuados.

/on estos sencillos pasos, se ha realiCado la configuracin bsica del appliance, y ya se

encuentra lista para empeCar a instalar y configurar cada uno de los servicios de seguridad

que se van a implementar en el U#. Es muy importante realiCar esta configuracin ya que

facilita mucho el traba"o de instalacin de la aplicacin, es decir, si no se configurara elgestor de paquetes +9]H, la Pnica opcin de instalar los aplicativos, seria compilar, y como

es sabido, la compilacin lleva mucho tiempo y esfuerCo, solucionando problemas de

libreras, entre otros.

#eniendo el dispositivo listo, con cone3in a internet, y la lista de paquetes actualiCada, el

siguiente paso, es la instalacin de los servicios de seguridad que va a prestar el U#.

/abe recordar que para efectos de este proyecto, los servicios que se van a instalar sonI

*(AE


57/94

9A+F

:ntes de iniciar con el proceso, es muy recomendable realiCar un bac$up de la configuracin

bsica del dispositivo, con el fin de poder restablecerla, en caso de que la instalacin de

alguna aplicacin, da!e el buen funcionamiento y rendimiento del dispositivo.

Hracias a la interfaC %eb que provee +pen


58/94

de (#. @ormalmente, de acuerdo a la e3periencia, muchos ingenieros piensan que

implementar un fire%all en su red, los proteger de todas las amenaCas que e3isten en

(nternet, sin embargo, es un error grave, pensar de esa forma, por que hoy en da, e3isten

tBcnicas muy avanCadas que permiten evadir sin ningPn problema un fire%all convencional,

adems el fire%all tiene limitantes comoI

@o protege la red de ataques internos.

/on un fire%all no es posible proteger una red lan contra la transferencia de archivos

infectados por virus o algPn tipo de soft%are malicioso.

9or esta raCn es fundamental, implementar todo un con"unto de mecanismos de seguridad

en la red D:@, y no quedarse simplemente con un fire%all que puede ser evadido, esto es

posible sin necesidad de tener altos conocimientos en tBcnicas de intrusin.

Un fire%all, es un dispositivo o soft%are, que permite aplicar diferentes politicas de seguridad

entre la red D:@ e (nternet, El sistema determina gracias a la configuracion realiCada por el

administrador, que servicios de red pueden ser accedidos, desde la red D:@ hacia (nternet y

viceverCa.

El esquema tradicional de un fire%all en la red D:@, se muestra a continuacinI

0


59/94

*igura 22. 6iagrama fire%all. Elaboracin propia

@&2&2&1 O,!4"6o/ >! +n F"r!?#$$

#odo el trafico, desde el interior JD:@K hacia e3terior J(nternetK debe pasar a travBs del

fire%all, para que la red este completamente protegida, es decir, si la organiCacin

tiene varias salidas a (nternet, o a otra red e3terna, es necesario implementar otro

fire%all, con el fin de proteger cada una de las entradas por las cuales se comunicanredes diferentes. :s mismo, ocurre cuando dentro de la organiCacin, ciertos

funcionarios, tienen acceso a (nternet a travBs de un odem 'H, dichas situaciones,

representan un riesgo potencial para la organiCacin, puesto que de esta forma, abren

una puerta no segura, que cualquier delincuente informtico, podra aprovechar.

;e permitir pasar solamente el trafico autoriCado previamente por medio de las

polticas implementadas por el administrador de red.

;iempre se buscara, que el fire%all sea muy seguro hasta tal punto que sea inmune a

la penetracin, es claro que ningPn sistema ser 1))X seguro, pero se har lo posible

por que el sistema tenga muy poco riesgo de intrusin.

#eniendo claro, quB es un fire%all o cortafuegos, podemos continuar con el proceso de

4


60/94

instalacin, en el dispositivo U#.

En +penDinu3 en general, viene incluido dentro del $ernel, un

sistema de procesamiento de paquetes de red denominado (9#:7DE;, el cual se caracteriCa

por su rendimiento y buen funcionamiento.

(9#:7DE;, permite al administrador definir reglas acerca de que hacer con los paquetes de

red, dichas reglas se agrupan en cadenas, una cadena es una lista ordenada de reglas, y as

mismo dichas cadenas se agrupan en tablas, cada tabla esta asociada con un tipo diferente

de procesamiento de paquetes. Heneralmente se mane"an cadenas bsicas, sin embargo,

en cualquier momento, se pueden crear cadenas. Das cadenas bsicas sonI

*igura 2'. /adenas de fire%all. Hregor @. 9urdy _ 5Dinu3 (ptables8

Hregor @. 9urdy en su libro 5Dinu3 (ptablesI 9oc$et Aeference8 nos muestra una tabla la cual

muestra las cadenas bsicas, y describe los puntos en el flu"o de paquetes donde se

puede especificar el procesamiento.

7sicamente, las cadenas sonI

For?#r>% (/adena de AE6(AE//(V@K ` #odos los paquetes pasan por este sistema

para ser encaminadosa su destino

)


61/94

In5+4%J/adena de E@#A:6:K ` #odos los paquetes destinados a este sistema

O+5+4% #odos los paquetes creados por este sistema

Po/4ro+4"n3% Dos paquetes salientes pasan por esta cadena despuBs de haberse

tomado la decisin del ruteo J;@:#K

Pr!ro+4"n3% #odos los paquetes que logran entrar a este sistema, antes de que elruteo decida si el paquete debe ser reenviado

:dicionalmente, iptables define targets o destinos, los cuales consisten en la accin que se el

sistema deber realiCar cuando un paquete, concuerde con algunas de las reglas

preestablecidas, e3isten tipos de targetsI

*igura 2. #argets del fire%all. Hregor @. 9urdy

7sicamente, cada uno de los targets sonI

:cceptI Este target hace que iptables acepte el paquete

6ropI Este target hace que iptables descarte el paquete

1


62/94

MueueI Este destino hace que el paquete sea enviado a una cola

AeturnI Gace que el paquete en cuestin de"e de circular por la cadena en cuya regla

se e"ecut el destino AE#UA@

(mplementar y administrar el fire%all J(9#:7DE;K, en +pen


63/94

6estinationI (nterface de destino.

9rotocoloI Fa sea #/9, U69 o ambos

(9 sourceI 6ireccin (9 de origen

(9 6estinationI :lguna direccin ip de destino, si no se tiene una se de"a en blanco.

9ortI @umero de puerto por donde se establece la cone3in

:ctionI Mue funcin cumplir la regla, descartar, aceptar, rechaCar etc.

@&2&7 In/4#$#"n IDS

Un sistema de deteccin de intrusos, tambiBn conocido como un (6;, es un sistema

encargado de vigilar todo el permetro de red, ante ataques o intrusiones, previamente

conocidos, es decir, el sistema contiene un gran nPmero de ataques conocidos, ya sea por

e3perimentados delincuentes informticos, o script$iddies, usando herramientas automticas./uando el (6;, detecta un patrn similar, a alguno de los ataques que tiene en su base de

datos, lanCa una alarma, que puede ser un sonido o un email al administrador, donde

muestra informacin relevante sobre el ataque.

HonCalo :sensio, en su libro 5;eguridad en (nternetI Una gua practica para proteger su 9/8

define varios tipos de (6;I

1. G(6; JGost (6;KI Es un (6; que controla una sola maquina, se encarga de monitorear

el comportamiento de dicha maquina, gracias a este (6; es posible detectar,

problemas de mal%are y virus, entre otros.

2. @(6; J@et%or$ (6;KI ;on (6; que analiCan todo el trafico de la red

'. 6(6;I Este es un hibrido que meCcla el G(6; con @(6;,

F+n"on#"!n4o&

El funcionamiento de un ;istema de 6eteccin de intrusos, bsicamente consiste en el

anlisis muy detallado del trfico de red, el cual al entrar al sistema y es comparado con

firmas de ataques conocidos, o comportamientos sospechosos, como pueden serI

'


64/94

el escaneo de puertos.

paquetes malformados

vulnerabilidades conocidas

El (6; no slo analiCa quB tipo de trfico es, sino que tambiBn revisa el contenido y su

comportamiento. @ormalmente esta herramienta se integra con un fire%all. El detector de

intrusos es incapaC de detener los ataques por s solo, e3cepto los que traba"an

con"untamente con otros servicios de seguridad, como el fire%all, convirtiBndose en una

herramienta muy poderosa ya que se une la inteligencia del (6; y el poder de bloqueo del

fire%all, al ser el punto donde forCosamente deben pasar los paquetes y pueden ser

bloqueados antes de penetrar en la red. Dos (6; suelen disponer de una base de datos de5firmas8 de ataques conocidos los cuales sirven como patrn para comparar el trafico con

todos estos tipos de ataques.. 6ichas firmas permiten al (6; distinguir el trafico normal, de

cualquier trafico invasivo que desee atacar la red, y poder enviar una alerta al administrador

del evento ocurrido.

@&2&7&1 SNORT

*igura 2. ;nort. httpI>>snort.org

Es claro que, en el mercado actual, e3isten diversas alternativas de (6;, unas opciones

privativas y otras libres, cada una con sus venta"as y desventa"as. ;in embargo, para efectos

de este proyecto, se usara ;nort, un (6; completamente libre, para sistemas U@( J:unque

tambiBn es posible instalar en plataformas icrosoftK el cual se caracteriCa, por su poder,

eficacia y rendimiento.


65/94

Da pgina oficial del proyectohttp I>>%%% .snort.org , diceI

Snort is an open source net$or6 intrusion prevention and detection system D5SE+SF

developed by ;ourcefire!Combining the benefits of signature, protocol, and anomaly3based

inspection, Snort is the most $idely deployed 5SE+S technology $orld$ide! (ith millions of

do$nloads and nearly @88,888 registered users, Snort has become the de facto standard for

+S!

El proceso de instalacin en nuestro appliance es bastante sencillo, simplemente se debe

hacer uso de +9]HQ para esto vamos a la interfaC %eb, y en el menP ;istema-9ac$ages ,

damos clic$ en el boton 5update pac$age list8

;i todo ha salido bien, debe salir en pantalla un mensa"e como esteI

*igura 2=.(nstalacion ;@+A#. Elaboracin propia

;i por alguna raCn, no sale un mensa"e de esta forma debe ser por alguno de los siguientes

aspectosI

El appliance no esta conectado a internetI 9ara poder usar el gestor de paquetes

+9]H, es necesario que el dispositivo este conectado a (nternet, por tal motivo se

deben hacer pruebas de ping desde el prompt de +pen


66/94

no responde, habr que configurar nuevamente el equipo para que tenga salida a

internet.

;i el ping hacia internet responde, es necesario hacer ping hacia un dominio, con el fin

de verificar problemas de 6@;. ;i el dominio no responde, pero el ping a una ip si, se

debe configurar los dns en el archivo >etc>resolv.conf de +pen>%%% .snort.org >signup Duego desuscribirse, procedemos a descargar las reglas necesarias para el (6;I

httpsI>>%%%.snort.org>do%nloads>1104

#eniendo ya el paquete con las reglas en nuestro 9/, es necesario enviar dicho paquete a

nuestro dispositivo, se puede hacer de muchas formas, con una simple usb, o a travBs de

;;GI

scp paquete-rules.tar.gC root142.10.1.1)=I>home

6e esa forma enviaremos el paquete-rules a nuestro appliance, cabe resaltar que se debe

reemplaCar la direccin (9 y el usuario por el que se haya configurado para el appliance.

;olo nos queda descomprimir el archivo en el directorio >etc>snort>rules> lo hacemos de la
https://www.snort.org/signuphttps://www.snort.org/signuphttps://www.snort.org/signupmailto:[email protected]:[email protected]://www.snort.org/signupmailto:[email protected]


67/94

siguiente formaI

cd >home

tar 3vvf paquete-rules.tar.gC

cp rules> >etc>snort>rules

cp prepocOrules> >etc>snort>prepocOrulescp etc> >etc>snort>

/on esto nuestro (6; quedara listo para configurar y empeCar a vigilar la red local.

@&2&) In/4#$#"n VPN

El siguiente servicio a instalar, es el servidor ?9@, a lo largo del documento se ha definidoque es una ?9@, y cada uno de los tipos e3istentes, por tal motivo no se entrara a definir quB

es y cmo funciona

9ara brindar el servicio de conectividad ?9@ en nuestro dispositivo, se instalara el paquete

+9E@?9@. +pen?9@ es un aplicacin libre licenciada ba"o la licencia H9D la cual permite

ofrecer conectividad punto-a-punto con validacin "errquica de usuarios y host conectados

remotamente.

En su pgina oficial http I>>%%% .openvpn .net defineI

4pen?+: ccess Server is a full featured SSL ?+: soft$are solution that

integrates 4pen?+: server capabilities, enterprise management capabilities,

simplified 4pen?+: Connect ", and 4pen?+: Client soft$are pac6ages that

accommodate (indo$s, 9C, and Linu% 4S environments! 4pen?+: ccess

Server supports a $ide range of configurations, including secure and granular

remote access to internal net$or6 andE or private cloud net$or6 resources and

applications $ith fine3grained access control!! )

El proceso de instalacin es muy sencillo, en la lista de paquetes disponibles, buscamos el

paquete openvpn-devel y procedemos con la instalacinI=
http://www.openvpn.net/http://www.openvpn.net/http://www.openvpn.net/http://www.openvpn.net/


68/94

*igura 24. 9aquete +9E@?9@. Elaboracin propia

6e esta manera, el servidor ?9@ estar instalado y listo para ser configurado.

*igura '). 9aquete +9E@?9@. Elaboracin propia

/omo se puede observar en la imagen, cada uno de los paquetes necesarios ya se

encuentran instaladosI

openvpn

openvpn-devel

openvpn-easy-rsa

snort

snort-mysql

@&2& In/4#$#"n Pro

0


69/94

El Pltimo servicio a instalar, es el servidor pro3y, este servicio es fundamental para cualquier

red local a nivel corporativo, debido a que gracias a este se puede controlar el trfico %eb

que circula por la red, es decir, con el servidor pro3y, es posible controlar a que sitios %eb los

usuarios pueden acceder y a cules no.

El funcionamiento de un servidor pro3y es sencillo, el cliente establece la cone3in con el

servidor pro3y, que a su veC establece otra cone3in, como cliente, con el servidor final,

cuando el pro3y recibe el mensa"e de peticin del cliente puede generar una respuesta

propia o retransmitirlo al servidor final. En otro caso, el servidor puede realiCar

modificaciones en la peticin segPn la aplicacin para que estB dise!ado, y cuando reciba la

respuesta del servidor final, la retransmitir al cliente, tambiBn con la posibilidad de efectuar

cambiosI

*igura '1. Esquema pro3y. ose . 7arceloI 9rotocolos y aplicaciones (nternet

;egun ose . 7arcelo en su libro 5protocolos y aplicaciones (nternet8, e3isten diversas

aplicaciones de un servidor pro3y, las ms importantes sonI

:ctuar como un cortafuegos que asle la red local de las dems redes e3ternas, en

esta configuracin, los clientes no tienen acceso directo al e3terior de su red y toda

comunicacin con los servidores remotos tiene lugar por medio del pro3y.

#ener una memoria cache compartida entre los usuarios de la red local. ;i diferentes

clientes, solicitan directamente un mismo recurso, por norma general guardara la4


70/94

misma copia de la respuesta en sus respectivas memorias cache, si lo solicitan por

medio de un pro3y, la primera peticin necesitar un acceso al servidor remoto. ;in

embargo, las siguientes pueden aprovechar la copia ya guardada en la memoria

cache del servidor pro3y, aunque provengan de clientes diferentes.

/onstruir una "erarqua de memorias cache de pro3ies. En el nivel mas ba"o se

encuentran los pro3ies a que acceden directamente los clientes, en un segundo nivel

e3isten los pro3ies a los que acceden los de primer nivel, y as sucesivamente,

incluso pueden haber pro3ies a escala de todo un pas.

@&2&&1 S+">

;quid es una aplicacin multiplataforma libre, la cual brinda el servicio de 9ro3y, en el mundo

tecnolgico, squid es ampliamente reconocido por ser la solucin pro3y lder, por su

rendimiento y amplias caractersticas.

E n su pgina oficial1lo definen comoI

Squid is a caching pro%y for the (eb supporting G11+, G11+S, #1+, and more!

t reduces band$idth and improves response times by caching and reusing

frequently3requested $eb pages! Squid has e%tensive access controls and ma6es

a great server accelerator! t runs on most available operating systems, including

(indo$s and is licensed under the


71/94

*igura '2. (nstalacion ;MU(6. Elaboracin propia

6e esta forma, tendremos nuestro servidor pro3y listo para configurar ba"o los parmetros

que el administrador de red crea conveniente.

Gasta este punto, hemos descrito el proceso de instalacin de cada uno de los serviciospropuestos, como se pudo evidenciar, administrar nuestro appliance desde la interfaC %eb

es muy sencillo, adems haciendo uso del poder de +9]H, este ultimo quiCs fue el factor

mas determinante para seleccionar un sistema operativo liviano pero que tuviera la suficiente

robusteC para instalar servicios como pro3y y ?9@.

:ntes de continuar es pertinente aclarar, que el ob"etivo del proyecto es demostrar cmo de

manera sencilla se puede construir un appliance de seguridad con los servicios principales

usando aquellos equipos que generalmente se encuentran archivados en un cuarto de la

empresa, por esta raCn, en ningPn servicio se describi como realiCar la configuracin, ya

que es responsabilidad del administrador de red configurar cada uno de los aplicativos de la

forma que lo requiera.

=1


72/94

@&7 PRUEBAS DE RENDIMIENTO&

Es importante, que a estos equipos que funcionan como gate%ay de la red, se les realicen

algunas pruebas de rendimiento, con el fin de diagnosticar y dimensionar, la cantidad de

equipos que pueden llegar a proteger. 9ara esto, se realiCan las pruebas de rendimiento7enchmar$ como se le conoce en (nglBs.

En general, la realiCacin de pruebas benchmar$ no suele ser una tarea fcil debido a que se

requiere hacerlo de forma repetitiva para llegar a conclusiones Ptiles, encontrar patrones de

comportamientos similares, y deducir de acuerdo a los resultados, ademas, asi como es

complicado realiCar las pruebas, es mas difcil aun interpretar los resultados de las mismas,

se debe tener conocimiento del campo.

6entro del amplio espectro de pruebas de benchmar$ing e3isten infinidad de pruebas

metodologas y aplicaciones para evaluar el rendimiento de casi cualquier componente

soft%are o hard%are, como por e"emploI

7ases de datos

@et%or$ing

;ervicios


73/94

!;!!Q/ N"$! ,!n#r% dise!ado para comparar los resultados de varios gestores

de bases de datos Jentre otros y;MD, icrosoft ;MD ;erver, (7 672, +racle y

;ybaseK8. http I>>%%% .e%ee$ .com >article 2>),14,24',)).asp

A5#!B!n% Gerramienta libre, dise!ada para evaluar servidores G##9 de :pache.

En particular muestra cuantas peticiones por ;egundo es capaC de servir Jviene

incluida con el servidor :pacheK. http I>>httpd .apache .org >docs >2.)>programs >ab .html

Lo#>R+nn!r% Gerramienta propietaria para la evaluacin del comportamiento y

rendimiento de aplicaciones %eb. 9uede simular miles de usuarios y utiliCa monitores

de rendimiento para identificar y aislar problemas. Evaluacin de servidores de

aplicaciones %eb, servidores de streaming, gestores de bases de datos, aplicaciones

ava y EA9. http I>>%%% - svca .mercuryinteractive .com >products >loadrunner

M#+/!#n% Es un generador de trfico licenciado ba"o la licencia H9D, escrito en /

para H@U>Dinu3, muy verstil y rpido, que permite generar y enviar prcticamente

todos los paquetes posibles con una sinta3is bastante sencilla. principalmente se

utiliCa para probar ?o+ o redes multicast, aunque tambiBn puede usarse en auditoras

de seguridad para chequear si los sistemas estn suficientemente fortificados o, para

comprobar los (6;, y dems elementos de seguridad perimetral.

http I>>%%% .perihel.at>sec >mC >

D-ITG% JHenerador de #rfico distribuido en (nternetK es una plataforma capaC de

producir trfico a nivel de paquetes con precisin, replicando apropiadamente los

procesos estocsticos tanto para (6# JEntre la hora de ;alidaK y 9; J#ama!o delpaqueteK variables aleatorias Je3ponencial, uniforme, cauchy, normal, 9areto, ...K. 6-

(#H soporta la generacin de trfico (9? e (9? y es capaC de generar trfico en las

capas de red, transporte y aplicacin. ;e /ree que 6-(#H muestra propiedades

interesantes cuando es comparado con otros generadores de trfico.

http I>>%%% .grid .unina .it>soft%are >(#H >inde3 .php

='
http://www.eweek.com/article2/0,4149,293,00.asphttp://www.eweek.com/article2/0,4149,293,00.asphttp://www.eweek.com/article2/0,4149,293,00.asphttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://www-svca.mercuryinteractive.com/products/loadrunnerhttp://www-svca.mercuryinteractive.com/products/loadrunnerhttp://www.perihel.at/sec/mz/http://www.perihel.at/sec/mz/http://www.perihel.at/sec/mz/http://www.perihel.at/sec/mz/http://www.grid.unina.it/software/ITG/index.phphttp://www.grid.unina.it/software/ITG/index.phphttp://www.grid.unina.it/software/ITG/index.phphttp://www.eweek.com/article2/0,4149,293,00.asphttp://httpd.apache.org/docs/2.0/programs/ab.htmlhttp://www-svca.mercuryinteractive.com/products/loadrunnerhttp://www.perihel.at/sec/mz/http://www.grid.unina.it/software/ITG/index.php


74/94

9ara este proyecto, se usaran las Pltimas 2 herramientas mencionadas, ya que son las

herramientas adecuadas para medir el rendimiento en la red.

@&7&1 E/!n#r"o >! $#/ 5r+!,#/

;e realiCaran 2 laboratorios, uno por cada aplicacin , es necesario hacer 2 esquemas

diferentes, puesto que cada herramienta funciona de forma diferente, y lo me"or es simular el

entorno ideal, para que las pruebas tengan los resultados esperadosI

L#,or#4or"o A% (nternet llega al dispositivo a travBs de un cableodem que entrega el

proveedor, en este caso U@E, dicho cableodem entrega una direccin (9 publica

por medio de un servidor 6G/9. (gualmente, detrs del appliance de seguridad, se

encuentra un equipo el cual ser el encargado de generar el trfico. Da siguiente es la

topologa del laboratorioI

=


75/94

*igura '2. Daboratorio :. Elaboracion propia

7sicamente, en este laboratorio se busca medir la carga del sistema de nuestro

appliance, a medida que via"an paquetes de red, por medio de Bl. ;e hicieron lossiguientes envos de paquetes usando la herramienta auseCahnI

P#r# 1&000&000 >! 5#+!4!/%

epsilon/'9+I\ sudo mC eth) -c 1)))))) ZffIffIffIffIffIff ffIffIffIffIffIff ccIdd

))I))I))IcaIfeIbaIbeZ

.2 seconds J2'24 pac$ets per secondK

P#r# 10&000&000 >! 5#+!4!/%

epsilon/'9+I\ sudo mC eth) -c 1))))))) ZffIffIffIffIffIff ffIffIffIffIffIff ccIdd


).2 seconds J20)4 pac$ets per secondK

P#r# 100&000&000 >! 5#+!4!/%

epsilon/'9+I\ sudo mC eth) -c 1)))))))) ZffIffIffIffIffIff ffIffIffIffIffIff ccIdd


'. seconds J224)= pac$ets per secondK

L#,or#4or"o B% 9ara esta prueba, el esquema es similar, sin embargo, ya que la

herramienta 6-(#H traba"a ba"o una arquitectura cliente>servidor, es necesario contar

con un servidor e3terno publicado en (nternet el cual tendr corriendo la aplicacin

servidor de 6-(#H y el 9/ detrs del appliance lanCar la aplicacin cliente de dicha

=


76/94

herramientaI

*igura ''. Daboratorio 7. Elaboracin propia

En este laboratorio, se genera diferente tipo de trfico ?o(9, #elnet y 6@; hacia dos

destinos diferentes, con el fin de medir el throughput de nuestro dispositivo.

;e realiCaron los siguientes pasosI

1. (niciar la aplicacin servidor.

2. ;e debe crear un script donde se definen cada tipo de trfico que ser generado.'. ;e e"ecuta la aplicacin cliente recibiendo como parmetro el script previamente

creado.

. ;e cierra la aplicacin servidor.

. ;e decodifica el archivo de log, con el fin de observar los datos.

=


77/94

@&) ANALISIS DE LOS RESULTADOS

L#,or#4or"o A&

9ara este laboratorio, cuando se realiCo cada uno de los envos de paquetes, se evidencioun aumento en la carga del sistema, lo cual se puede observar en las graficas del consumo

de /9U

P#r# 1&000&000 >! 5#+!4!/%

*igura '. Hrafica /onsumo /9U. Elaboracion propia

/omo se puede ver en las graficas de carga del sistema, en el momento que se enva

1.))).))) de paquetes, la carga de la /9U aumenta considerablemente.

==


78/94

P#r# 10&000&000 >! 5#+!4!/

*igura '. Hrafica consumo /9U. Elaboracin propia

En este envi, la carga aumenta demasiado, hasta tal punto que se empieCa a observar el

dispositivo bloqueado, y el servicio de (nternet empieCa a sufrir latencias.

P#r# 100&000&000 >! 5#+!4!/

:l momento de iniciar el envi de esta cantidad de paquetes, el equipo queda totalmentebloqueado, no hay gestin del equipo, y el servicio de (nternet quedo inoperativo. 9ara

restablecer el servicio se procedi a apagar el dispositivo fsicamente, y volver a encenderlo.

=0


79/94

L#,or#4or"o B

9ara este laboratorio, el trfico por las interfaces aument, como se evidencia en la siguiente

grficaI

*igura '. Hrafica consumo de red . Elaboracin propia

F los resultados que arro"o la aplicacin usada, fueron los siguientesI

R!/+$4#>o/ >! !n6"%

>----------------------------------------------------------

*lo% numberI 2

*rom 142.10.).10I11'

=4


80/94

#o 14).1.2'=.20I1)))2

----------------------------------------------------------

#otal time ^ 2.'))14= s

#otal pac$ets ^ 2)

inimum delay ^ ).)))))) s

a3imum delay ^ ).)))))) s

:verage delay ^ ).)))))) s

:verage "itter ^ ).)))))) s

6elay standard deviation ^ ).)))))) s

7ytes received ^ 1)

:verage bitrate ^ 1.=='=1 ]bit>s

:verage pac$et rate ^ 1)0.0'' p$t>s

9ac$ets dropped ^ ) J).)) XK

:verage loss-burst siCe ^ ).)))))) p$t

----------------------------------------------------------

----------------------------------------------------------

0)


81/94

*lo% numberI 1

*rom 142.10.).10I1=

#o 14).1.2'=.20I1)))1

----------------------------------------------------------

#otal time ^ 4.40))02 s

#otal pac$ets ^ ))






7ytes received ^ 0)))

:verage bitrate ^ .42) ]bit>s

:verage pac$et rate ^ ).)44=04 p$t>s



01


82/94

----------------------------------------------------------

----------------------------------------------------------

*lo% numberI '

*rom 142.10.).10I'

#o 14).1.2'=.20I1)))'

----------------------------------------------------------

#otal time ^ 0.4')'0) s

#otal pac$ets ^






7ytes received ^ 11=

:verage bitrate ^ 1.)'0' ]bit>s

:verage pac$et rate ^ ).=10 p$t>s

02


83/94



----------------------------------------------------------

OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO

#+#:D AE;UD#;


@umber of flo%s ^ '

#otal time ^ 1).)41)1 s

#otal pac$ets ^ =






7ytes received ^ 40

0'


84/94

:verage bitrate ^ =.14 ]bit>s

:verage pac$et rate ^ =.2')1) p$t>s


:verage loss-burst siCe ^ ) p$t

Error lines ^ )

----------------------------------------------------------

R!/+$4#>o/ >! r!",o%

(#H6ec version 2.0.)-rc1 Jr=I0K

/ompile-time optionsI

-----------------------------------------------------------

*lo% numberI 2

*rom 10.).=.21I11'

#o 14).1.2'=.20I1)))2

----------------------------------------------------------

#otal time ^ 2.'1141) s

#otal pac$ets ^ 2)

0


85/94

inimum delay ^ '1.)''14 s

a3imum delay ^ '1.)=0'00 s

:verage delay ^ '1.)102= s

:verage "itter ^ ).))0 s

6elay standard deviation ^ ).))000 s

7ytes received ^ 1)

:verage bitrate ^ 1.=== ]bit>s

:verage pac$et rate ^ 1)0.1'4= p$t>s



----------------------------------------------------------

----------------------------------------------------------

*lo% numberI 1

*rom 10.).=.21I1=

#o 14).1.2'=.20I1)))1

----------------------------------------------------------

0


86/94

#otal time ^ 4.40)4= s

#otal pac$ets ^ 44

inimum delay ^ '1.)'40 s

a3imum delay ^ '1.))2'= s

:verage delay ^ '1.)'0)2 s

:verage "itter ^ ).)))4) s

6elay standard deviation ^ ).))2)4 s

7ytes received ^ =00

:verage bitrate ^ .'4=22 ]bit>s

:verage pac$et rate ^ 4.44=))4 p$t>s

9ac$ets dropped ^ 1 J).2) XK

:verage loss-burst siCe ^ 1.)))))) p$t

----------------------------------------------------------

----------------------------------------------------------

*lo% numberI '

*rom 10.).=.21I'

0


87/94

#o 14).1.2'=.20I1)))'

----------------------------------------------------------

#otal time ^ 0.4'24' s

#otal pac$ets ^

inimum delay ^ '1.)'42 s

a3imum delay ^ '1.)1410 s

:verage delay ^ '1.)1)4 s

:verage "itter ^ ).))2' s

6elay standard deviation ^ ).))44= s

7ytes received ^ 11=

:verage bitrate ^ 1.)'1=4 ]bit>s

:verage pac$et rate ^ ).=1=) p$t>s



----------------------------------------------------------

0=


88/94


#+#:D AE;UD#;


@umber of flo%s ^ '

#otal time ^ 1).)12) s

#otal pac$ets ^ =

inimum delay ^ '1.)''14 s

a3imum delay ^ '1.)=0'00 s

:verage delay ^ '1.)214 s

:verage "itter ^ ).))')) s

6elay standard deviation ^ ).))02 s

7ytes received ^ 4=)

:verage bitrate ^ =.'=22) ]bit>s

:verage pac$et rate ^ =.1''4' p$t>s

9ac$ets dropped ^ 1 J).1' XK

:verage loss-burst siCe ^ 1.)))))) p$t

00


89/94

Error lines ^ )

----------------------------------------------------------

04


90/94

10&CONCLUSIONES

9or medio de este proyecto se pudo demostrar que e3iste una alternativa para el

reuso de los equipos de computos catalogados como obsoletos, y que son una bomba

de tiempo para el ambiente, es importante concientiCar a todas las personas, de queun dispositivo Jen este caso un computadorK puede llegar a ser muy util sin importar la

condicion, solo es necesario adaptarlo y configurarlo para que realice una funcion

especifica de forma eficiente.

;i bien, en nuestro pis e3isten proyectos similares, ninguno de los indagados, tienen

como ob"etivo usar los equipos de computo obsoletos para desarrollar una solucion

de seguridad para las pymes, no obstante hay proyectos los cuales buscan darle una

solucion a la grave situacin de los desechos tecnologicos.

;e pudo evidenciar, que para implementar una solucin de seguridad, no es necesario

tener hard%are sofisticado, ni equipos costosos, si por algPn motivo no es posible

adquirir una solucin de seguridad profesional, proyectos de este tipo brindan una

buena alternativa. Hracias a las pruebas se identific que con un equipo utiliCado en la

elaboracin del prototipoI

6isco duro de 1)H7

emoria A: 1207

9rocesador (ntel /eleron '''GW

2 tar"etas de Aed.

Unidad de /6

Es posible implementar una solucin de seguridad que prote"a alrededor de 2 a ')usuarios, es decir, el equipo esta en la capacidad de soportar el trafico generado por

este numero de maquinas, ,de ahi en adelante, podran aparcer problemas de

saturacin y sobrecarga del procesador. :lli se puede concluir, que e3iste una relacion

directamente proporcional entre el Gard%are usado y la cantidad de usuarios que el

equipo pueda soportar, de esta forma, entre me"or sea el hard%are usado, mayor sera

4)


91/94

la cantidad de usuarios que pueda proteger.

6e acuerdo a las investigaciones e indagaciones, se pudo observar, que los

requerimientos mas urgentes en el campo de la seguridad informatica sonI

9roteger el activo mas importanteI Da informacon

/ontrolar las aplicaciones de ocio que a diario usan los usuarios de la red.

Fa que hoy en dia, es fundamental estar siempre conectado a sus sistemas de

informacin se debe cifrar todas las cone3iones.

AealiCar un analisis de trafico en tiempo real, con el fin de evitar ataques

previamente establecidos y conocidos.

11&RECOMENDACIONES

Da Pnica recomendacin para instalar el firm%are utiliCado, es determinar si el $ernel

de Dinu3, trae soporte para el hard%are en donde se desea instalar, ya que este seria

el unico inconveniente que se puede presentar a la hora de implementar +pen


92/94

12.REFERENCIAS BIBLIOGRAFICAS

http I>>%%% .cisco .com >en >U; >products >ps 12)>inde3 .html

http I>>%%% .fortinet.com >products >fortigate >111 / .html

httpI>>%%%.elmundo.es>elmundosalud>2))>)>')>industria>1110=0'.html

*DE#;/GEA 7+/:@EHA:,Duis :le"andro. (mplementacin de clusters beo%ulf

como fire%all

H+EW HUEAA:, ohn :le3is. modelo de solucin de enrutamiento de datos a ba"o

costo basado en soft%are libre

;/GA+DD, :ddam. Effective 9racticeI 9urdue *ire%all :ppliance

httpI>>%%%.abo3.com

GttpI>>%%%.sonic%all.com

httpI>>%%%.dallmeier-electronic.com>es>productos>dvr-nvr>videoip-appliance-

smatri3>que-es-una-appliance.html

Aobert, @e%man, 2))4I /omputer ;ecurityI 9rotecting 6igital Aesources

aria, Espa!aI *ire%all 2))', 94

iquel, /olobranI :dministracin de sistemas operativos en red, 2))0 912

:ngel, /oboI Estudio cientfico de las redes de ordenadores, 910=

6amian *errerI ;ervicios en red,

PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf

Documents

Transcript of PROPUESTA E IMPLEMENTACION DE UN APPLIANCE DE SEGURIDA.pdf