INSTITUTO TECNOLÓGICO DE QUERÉTARO

IMPLEMENTACION DE SEGURIDAD EN RED DE GRUPO

PHI-IT Y DATA CENTER

INFORME TÉCNICO DE RESIDENCIA PROFESIONAL

Que presenta:

Nohemi Zamorano González

Estudiante de la carrera:

INGENIERÍA EN SISTEMAS COMPUTACIONALES

Periodo:

Enero-Junio 2012

Fuente del Texto:

EurekaSans-Bold 14

pts

SUBSECRETARÍA DE EDUCACIÓN SUPERIOR

DIRECCIÓN GENERAL DE EDUCACIÓN SUPERIOR

TECNOLÓGICA

“2012, Año de la Lectura”

AGRADECIMIENTOS

A Dios: Porque a pesar de que muchas veces puse mis intereses por encima de ti, nunca me faltaste y aunque no soy tu hija más devota, en ti confió. Siempre me has ayudado a seguir adelante y por ti aún no pierdo las esperanzas, sé que todos pueden decepcionarme menos tú y reconozco que sin ti no hubiera podido sobrevivir estos últimos meses. Muchas Gracias Señor. A mis padres: Por darme la vida, una maravillosa formación, por su ternura y todo su amor y por contagiarme de sus mayores fortalezas. Mamá, tú me pusiste como ejemplo el ser “luchona” y decidida; y el pelear contra la adversidad que es una condición dolorosa pero pasajera, me enseñaste a levantarme después de cada tropiezo y a tener siempre un colchón para los tiempos difíciles, me enseñaste a ser perseverante y paciente, a ponerme pasos fijos para alcanzar mis metas, a ver los problemas con la cabeza fría y como situaciones solucionables y no como dramas y a guiarme por la premisa de que “toda disciplina tiene su recompensa”. A mis maestros:

Que son parte esencial en este logro, el cual les comparto, ya que ustedes también lo trabajaron y esperamos que su esfuerzo y empeño se vea reflejado en este trabajo.

ÍNDICE

INTRODUCCIÓN ........................................................................................................ 1

CAPITULO 1

“GENERALIDADES DE LA EMPRESA” ................................................................... 3

1.1. Datos Generales ........................................................................................... 3

1.1.1. Nombre o razón social de la empresa ................................................. 3

1.1.2. Ubicación de la empresa ....................................................................... 3

1.1.3. Giro de la empresa ................................................................................ 3

1.1.4. Tamaño de la empresa .......................................................................... 3

1.1.5. Rama ....................................................................................................... 3

1.2. Reseña histórica de la empresa .................................................................. 4

1.3. Organigrama de la empresa ........................................................................ 4

1.4. Misión, Visión y Políticas ............................................................................ 5

1.4.1. Misión ..................................................................................................... 5

1.4.2. Visión ...................................................................................................... 5

1.4.3. Política de Calidad ................................................................................. 5

1.5. Premios y certificaciones ............................................................................ 6

CAPITULO 2

“PLANTEAMIENTO DEL PROBLEMA” .................................................................... 7

2.1. Caracterización del área de realización el proyecto. ................................ 7

2.1.1. Descripción del área .............................................................................. 7

2.1.2. Organigrama del área ............................................................................ 7

2.1.3. Actividades del área .............................................................................. 8

2.1.4. Interacción con las otras áreas de la empresa ................................... 9

2.1.5. Funciones y ubicación del residente ..................................................10

2.2. Antecedentes y definición del problema. ................................................. 10

2.3. Objetivos. .................................................................................................... 10

2.3.1. Objetivo general....................................................................................10

2.3.2. Objetivos específicos. ..........................................................................10

2.4. Justificación ............................................................................................... 11

2.5. Alcances y limitaciones ............................................................................. 12

2.5.1. Alcances ................................................................................................12

2.5.2. Limitaciones ..........................................................................................12

CAPITULO 3

“MARCO TEÓRICO” ................................................................................................ 13

3.1. ISO/IEC 27001:2005 .................................................................................... 13

3.2. Fortinet ........................................................................................................ 16

3.2.1. ¿Qué es Fortinet? .................................................................................16

3.2.2. Comparación de equipos Fortinet con otros equipos .......................17

3.3. FORTIGATE 100.......................................................................................... 17

3.3.1. ¿Qué es FortiGate 100? .......................................................................17

3.4. FORTIANALYZER ....................................................................................... 18

3.4.1. ¿Qué es FortiAnalyzer? .......................................................................18

3.5. Herramientas de Monitoreo ....................................................................... 19

3.5.1. ¿Qué son las herramientas de monitoreo? ........................................19

3.5.2. Solarwinds ............................................................................................20

3.6. Protocolo .................................................................................................... 21

3.6.1. Tipos de protocolo ...............................................................................21

3.6.2. Protocolo SNMP....................................................................................21

3.6.2.1. Versiones del protocolo SNMP .............................................................. 24

3.6.3. Protocolo ICMP .....................................................................................24

3.6.3.1. Ping ......................................................................................................... 24

3.6.4. NetFlow ..................................................................................................25

3.7. NetEnforcer AC- 1400 ................................................................................ 26

3.7.1. ¿Qué es el NetEnforcer? ......................................................................26

CAPITULO 4

“DESARROLLO DEL PROYECTO” ........................................................................ 28

4.1.1. Reconocimiento del equipo de seguridad ..........................................28

4.1.2. Estado de los leds ................................................................................28

4.1.3. Conexiones ...........................................................................................29

4.1.4. Ubicación y propósito del equipo en la red .......................................30

4.1.5. Conexión con el administrador web ...................................................30

4.1.6. Interfaz Gráfica .....................................................................................32

4.1.7. Configuración .......................................................................................33

4.1.7.1. Configuración de Interfaces .................................................................. 33

4.1.7.2. Configuración de DNS ............................................................................ 34

4.1.7.3. Configuración de Gateway ..................................................................... 34

4.1.7.4. Configuración del equipo en modo transparente................................. 35

4.1.7.5. Establezca la contraseña de Administrador ......................................... 35

4.1.7.6. Registro de Usuario ................................................................................ 36

4.1.7.7. Registros por grupo ............................................................................... 37

4.1.7.8. Creación de protección-profile .............................................................. 38

4.1.7.9. Creación de políticas de uso ................................................................. 49

4.1.7.10. Interacción con equipo de seguridad FortiAnalyzer 100 A .................. 51

4.1.7.11. Backup & Restore ................................................................................... 51

4.2. Configuración e implementación del equipo FortiAnalyzer 100A ......... 52

4.2.1. Reconocimiento del equipo de seguridad ..........................................52

4.2.2. Ubicación del equipo ...........................................................................53

4.2.3. Conexión con el administrador web ...................................................53

4.2.4. Interfaz Gráfica .....................................................................................54

4.2.5. Configuración .......................................................................................54

4.2.5.1. Configuración de Interfaces .................................................................. 54

4.2.5.2. Configuración de DNS ............................................................................ 54

4.2.5.3. Configuración de Gateway ..................................................................... 55

4.2.5.4. Configuración de password ................................................................... 55

4.2.5.5. Conexiones en tiempo real .................................................................... 55

4.2.5.6. Unidad central ......................................................................................... 56

4.2.5.7. Agregación de un administrador de dominio ....................................... 56

4.2.6. Reports ..................................................................................................57

4.2.6.1. Vista de reportes generados .................................................................. 57

4.2.6.2. Generar nuevo reporte ........................................................................... 57

4.2.6.3. Alertas de eventos .................................................................................. 58

4.2.6.4. Creación de un servidor de E-mail ........................................................ 59

4.2.6.5. Configuración de SNMP Access list ..................................................... 59

4.2.7. Monitoreo en tiempo real .....................................................................60

4.3. Configuración de Herramientas de Monitoreo ........................................ 61

4.4. Configuración e implementación de equipo AC- 1400 en Data Center . 65

4.4.1. Reconocimiento del equipo .................................................................65

4.4.2. Descripción de los leds ........................................................................66

4.4.3. Conexiones ...........................................................................................66

4.4.3.1. Cables utilizados .................................................................................... 67

4.4.5. Segmentación de Bandwidth ...............................................................68

4.4.5.1. QoS .......................................................................................................... 68

4.4.5.2. Host ......................................................................................................... 70

4.4.5.3. Servicios ................................................................................................. 71

4.4.6. Listas de acceso ...................................................................................72

CAPITULO 5

“ANÁLISIS Y RESULTADOS” ................................................................................. 73

CONCLUSIONES ..................................................................................................... 74

REFERENCIAS BIBLIOGRÁFICAS ......................................................................... 75

ANEXOS ................................................................................................................... 76

ANEXO A GLOSARIO ........................................................................................... 76

ÍNDICE DE TABLAS

Tabla 1 -Solarwinds. ................................................................................................ 21

Tabla 2 -Estado de los leds. ................................................................................... 29

Tabla 3 -Conexión. .................................................................................................. 29

Tabla 4 -Estado de los leds allot. ........................................................................... 66

Tabla 5 -Conexiones allot. ...................................................................................... 66

Tabla 6 -Cables utilizados. ...................................................................................... 67

ÍNDICE DE FIGURAS

Figura 1 -Ubicación de PHI-IT. .................................................................................. 3

Figura 2 -Organigrama empresarial. ........................................................................ 5

Figura 3 -Noc & Soc. ................................................................................................. 8

Figura 4 -Interacción con otras áreas. ..................................................................... 9

Figura 5 -Comparación de equipos. ...................................................................... 17

Figura 6 -FortiASIC. ................................................................................................. 18

Figura 7 -Ping. ......................................................................................................... 25

Figura 8 -Hardware cisco. ....................................................................................... 26

Figura 9 -Frontal. ..................................................................................................... 28

Figura 10 -Trasera. .................................................................................................. 28

Figura 11 -Ubicación del FortiGate. ....................................................................... 30

Figura 12 -Login. ..................................................................................................... 31

Figura 13 -Hyperterminal. ....................................................................................... 31

Figura 14 -Consola. ................................................................................................. 32

Figura 15 -Interfaz gráfica. ...................................................................................... 32

Figura 16 -Indicadores. ........................................................................................... 33

Figura 17 -Alertas. ................................................................................................... 33

Figura 18 -Interfaz. .................................................................................................. 34

Figura 19 -DNS. ........................................................................................................ 34

Figura 20 -Gateway. ................................................................................................ 35

Figura 21 -IP de administración. ............................................................................ 35

Figura 22 -Password. .............................................................................................. 36

Figura 23 -Address. ................................................................................................. 36

Figura 24 -Ip. ............................................................................................................ 37

Figura 25 -Group. .................................................................................................... 37

Figura 26 -Grupos. .................................................................................................. 38

Figura 27 -Profile. .................................................................................................... 39

Figura 28 -Antivirus. ................................................................................................ 39

Figura 29 -Web Filtering.......................................................................................... 40

Figura 30 -Bloqueo por palabra. ............................................................................ 41

Figura 31 -Palabra. .................................................................................................. 41

Figura 32 -URL ......................................................................................................... 42

Figura 33 -Bloqueo por URL. .................................................................................. 43

Figura 34 -Bloqueos generales. ............................................................................. 43

Figura 35 -Spam Filtering. ...................................................................................... 44

Figura 36 -IPS. ......................................................................................................... 45

Figura 37 -IPS sensor. ............................................................................................. 45

Figura 38 -Figura. .................................................................................................... 45

Figura 39 -add custom override. ............................................................................ 46

Figura 40 -Formulario. ............................................................................................ 46

Figura 41 -Bloqueo de ares. ................................................................................... 46

Figura 42 -Excepción de filtro. ............................................................................... 47

Figura 43 -Formulario. ............................................................................................ 47

Figura 44 -Add Filter. .............................................................................................. 47

Figura 45 -P2P. ........................................................................................................ 48

Figura 46 -Figura. .................................................................................................... 48

Figura 47 -Ubicación del filtro. ............................................................................... 48

Figura 48 -Posición del filtro. ................................................................................. 48

Figura 49 -Nueva ubicación. ................................................................................... 49

Figura 50 -Creación de política. ............................................................................. 50

Figura 51 -Políticas. ................................................................................................ 50

Figura 52 -Conexión FortiAnalyzer. ....................................................................... 51

Figura 53 -Backup & Restore. ................................................................................ 52

Figura 54 -Frontal FortiAnalyzer. ........................................................................... 52

Figura 55 -FortiAnalyzer. ........................................................................................ 52

Figura 56 -Ubicación del Analyzer. ........................................................................ 53

Figura 57 -Login. ..................................................................................................... 53

Figura 58 -Interfaz de FortiAnalyzer. ..................................................................... 54

Figura 59 -Editar puertos. ....................................................................................... 54

Figura 60 -DNS Analyzer. ........................................................................................ 55

Figura 61 -Gateway Analyzer. ................................................................................. 55

Figura 62 -Password Analyzer. .............................................................................. 55

Figura 63 -Conexión en tiempo real. ...................................................................... 56

Figura 64 -Unidad Central. ...................................................................................... 56

Figura 65 -Dispositivos. .......................................................................................... 56

Figura 66 -Reportes Generados. ............................................................................ 57

Figura 67 -Contenido de reporte. ........................................................................... 57

Figura 68 -Nuevo reporte. ....................................................................................... 58

Figura 69 -Alerta de eventos. ................................................................................. 59

Figura 70 -Servidor de e-mail. ................................................................................ 59

Figura 71 -Servidor SNMP. ..................................................................................... 60

Figura 72 -Monitoreo. .............................................................................................. 60

Figura 73 -Información de bloqueo. ....................................................................... 61

Figura 74 -Putty. ...................................................................................................... 62

Figura 75 -Conectividad SSH. ................................................................................ 62

Figura 76 -Comandos NetFlow. .............................................................................. 62

Figura 77 -SNMP. ..................................................................................................... 63

Figura 78 -IP de vlan. ............................................................................................. 63

Figura 79 -Configuración de SNMP. ...................................................................... 63

Figura 80 -Verificación de configuración. ............................................................. 64

Figura 81 -Solarwinds. ............................................................................................ 64

Figura 82 -Verificación de configuración 2. .......................................................... 65

Figura 83 -Frontal allot. ........................................................................................... 65

Figura 84 -Frontal allot Bypass. ............................................................................. 65

Figura 85 -Autentificación allot. ............................................................................. 67

Figura 86 -Interfaz allot. .......................................................................................... 68

Figura 87 -Total de Bandwidth. .............................................................................. 68

Figura 88 -Primer segmento. .................................................................................. 69

Figura 89 -Segundo segmento. .............................................................................. 70

Figura 90 -Segmentación. ....................................................................................... 70

Figura 91 -Host. ....................................................................................................... 71

Figura 92 -Servicios. ............................................................................................... 71

Figura 93 -Protocolo. .............................................................................................. 72

Figura 94 -Lista de acceso...................................................................................... 72

Figura 95 -Configuración de switchcisco catalyst 6504. ..................................... 73

Figura 96 -Configuración de equipos. ................................................................... 74

Figura 97 -Monitoreo en tiempo real. ..................................................................... 74

1

INTRODUCCIÓN El presente proyecto de residencia se realizó en PHI IT S.A. de C.V., es una empresa que ofrece servicios de tecnologías de la información, estos servicios son cubiertos por diferentes unidades de negocio, PHI IT S.A. de C.V. está conformada por cuatro departamentos, siendo Operaciones IT el departamento involucrado para la realización de este proyecto. El tiempo que se permaneció dentro de la empresa como residente para la realización del proyecto “Implementación de Seguridad en Red de Grupo PHI-IT y Data Center” fue aproximadamente de 4 meses, tiempo en el cual además del proyecto, se realizaron diferentes actividades que no eran directamente relacionadas con el mismo, pero si relacionadas con el área. El proyecto “Implementación de Seguridad en Red de Grupo PHI-IT y Data Center” surge como un requerimiento a la implementación de la norma ISO/IEC 27001:2005 basada en seguridad de la información, actualmente implementándose en la empresa, requerimiento para cubrir una necesidad es la implementación de equipos de seguridad en la red corporativa de PHI y Data Center, lo que incluye desde el diseño e identificación de las necesidades de la norma en relación al área correspondiente hasta la configuración, mantenimiento y mejoras los equipos. Todo esto con el fin de lograr la certificación en el ramo Tecnologías de la Información, beneficiando de igual forma a la empresa y a sus clientes, asegurando la integridad de la información y la estabilidad de la red como una red segura, así como la optimización su rendimiento. Para atender la solicitud de requerimientos de la norma y poder implementar adecuadamente los equipos de seguridad fue necesario involucrarse con otras áreas de la empresa, visionando el mismo objetivo asía la implementación de la norma. Para llevar a cabo el proyecto “Implementación de Seguridad en Red de Grupo PHI-IT y Data Center”, como primera etapa se llevó a cabo una vista general de la norma y conociendo los procesos involucrados en ella, de esta forma y en base a ella se realizaron políticas de seguridad que dan como base la implementación y configuración de estos equipos. La realización de este proyecto tiene como objetivo principal proponer que acciones se deben tomar sobre los ataques internos que se generan dentro de la empresa y la productividad que puede tener la creación de listas de acceso para los usuarios de la empresa, contribuyendo a mejorar la administración sobre la red, garantizando la disponibilidad, integridad y confidencialidad de los datos, así como generar reportes de eventualidades presentada históricamente en el momento que sea requerido. El desarrollo del proyecto es titulado “Implementación de Seguridad en Red de Grupo PHI-IT y Data Center”, y está compuesto por cinco capítulos.

2

En el capítulo 1, contiene las generalidades de la empresa donde fue realizada la residencia profesional, así como el nombre, su ubicación, giro, organigrama, misión, visión, entre otros datos generales, dando a conocer un poco sobre esta empresa. En el capítulo 2, se describe claramente el problema que existe en la empresa, motivo por el cual se dio lugar a la realización del proyecto de residencia. En el capítulo 3, explica los conceptos básicos en que se apoya el proyecto, considerantos algunos temas relevante para poder tener en claro algunas de las configuraciones realizadas a lo largo del desarrollo del proyecto, además conocer la importancia que tiene cada una de estas. En el capítulo 4, Se describen las actividades que se realizaron, ademas de la realizacion de manuales de usuario para que en un futuro personal que no sabe al respecto pueda dar seguimiento o mejoras a los equipos, dichos manuales son propiedad privada de la empresa por tal motivo no se detallan en este reporte.

En el capítulo 5, hace referencia al análisis de los resultados obtenidos al finalizar el desarrollo del proyecto y así mismo poder realizar las conclusiones correspondientes.

3

CAPITULO 1 “GENERALIDADES DE LA EMPRESA”

1.1. Datos Generales

1.1.1. Nombre o razón social de la empresa PHI IT, S.A. DE C.V.

1.1.2. Ubicación de la empresa

Av. del Marqués No. 42-C, Parque Industrial Bernardo Quintana, el Marqués Querétaro.

Figura 1 -Ubicación de PHI-IT.

1.1.3. Giro de la empresa Servicio

1.1.4. Tamaño de la empresa

Pequeña

1.1.5. Rama Tecnologías de la Información.

4

1.2. Reseña histórica de la empresa

PHI IT está conformada por un capital 100% Mexicano, inicia siendo una compañía desarrolladora de soluciones y prestadora de servicios de tecnologías de información. Es respaldada por GRUPO PHI, grupo multi-ingeniería instalado en la ciudad de Querétaro, actualmente operando en diversos sectores como son telecomunicaciones, servicios informáticos, tecnologías de información y automatización de procesos para diversas industrias del sector privado como gobierno.

PHI-IT inicia sus operaciones sirviendo principalmente a todas aquellas organizaciones con dificultades en los procesos de operación, realizando madurez de los mismos aplicando tecnologías de información. Comenzó sus actividades en 2009, preparando toda la plataforma de lanzamiento para soportar cualquier requerimiento del mercado visionando a mercados emergentes, oficialmente iniciando operaciones en enero del 2010.

Se ha destacado por mantener calidad en todos los servicios, realizando procesos de mejora continua para cumplir con las certificaciones ISO 9001, ISO 20000 (ITIL v3), ISO 27000, ICREA nivel 3.

A pesar de su corto tiempo de operación, es una de las empresas que ha destacado en el mercado por su impulso evolutivo, dando como consecuencia una mejora continua de los procesos, siempre para beneficio del cliente.

1.3. Organigrama de la empresa

PHI al igual que muchas empresas cuenta con una estructura organizacional que sub-divide a todas sus áreas empezando como primer nivel la dirección general, prosiguiendo de un gerente general donde a partir de ese ramo se dividen todos los departamentos, para una vista más clara de la estructura organizacional de PHI IT, vea la Figura 2 -Organigrama empresarial.

5

Figura 2 -Organigrama empresarial.

1.4. Misión, Visión y Políticas

1.4.1. Misión

Procurar soluciones de negocio basadas en tecnologías de información y comunicaciones para que las empresas alcancen sus objetivos de rentabilidad, configurándonos como elemento fundamental de su competitividad. 1.4.2. Visión

En el 2020 ser el elemento vertebrador de la competitividad empresarial, como un canal imprescindible a través del que nuestros clientes amplíen perspectivas, alcancen sus objetivos de negocio y se integren en el contexto global.

1.4.3. Política de Calidad

PHI IT, S.A. DE C.V. ofrece soluciones de negocio basadas en servicios de Tecnologías de Información encaminados a lograr la satisfacción total de nuestros clientes, en estricto apego al cumplimiento de las normas, éticas profesionales y estándares internacionales que aseguren la calidad del servicio, logrando ser un socio estratégico para qué nuestros clientes alcancen su rentabilidad.

Para los fines antes descritos, y satisfacer los requisitos de calidad se cuenta con una base de formación humana y tecnológica de cada una de las personas que colaboran en nuestra empresa, la gerencia general revisa esta política para asegurar su continua adecuación y efectividad, la comunica a todo su equipo de trabajo, asegura su aplicación dentro de la organización y

6

se compromete a mejorar continuamente la eficacia del sistema de gestión de la calidad.

Para cumplir con la política de calidad PHI IT, S.A. DE C.V. establece los siguientes objetivos:

1. Incrementar la satisfacción de nuestros clientes de un 80% a un 90%,

a través del manejo adecuado de sus peticiones de servicio, dudas y/o sugerencias del servicio prestado, así como manejo de incidencias a través del help desk.

2. Proporcionar a nuestros clientes un servicio eficaz y de calidad con la

respuesta rápida a las incidencias, logrando cumplir las fechas de respuesta establecidas en los SLA en un 99.95% o más.

3. Cumplir con todas las actividades del programa de capacitación a un

85% o más, ya que un personal capacitado puede afrontar los cambios en la organización, mejorar sus funciones y responsabilidades en beneficio de la organización.

1.5. Premios y certificaciones

- ICREA NIVEL 3.

- NMX-I-20000-1-NYCE-2010 / ISO/IEC 20000-1:2005 SISTEMA DE GESTIÓN DEL SERVICIO.

- NMX-CC-9001-IMNC-2008 /ISO 9001:2008 SISTEMA DE GESTIÓN DE

CALIDAD.

7

CAPITULO 2 “PLANTEAMIENTO DEL PROBLEMA”

La empresa requiere atender necesidades de seguridad a la implementación de la norma ISO/IEC 27001:2005 basado en seguridad de la información, una necesidad requerida para esta norma es la implementación de equipos de seguridad en la red corporativa de la empresa y data center que ayude a la optimización de recursos y disponibilidad de la red en tiempo y forma que así se requiera. La implementación de equipos de seguridad resolverá la problemática que actualmente se tiene en la empresa como lo es el control de acceso a páginas web no autorizadas, acceso a aplicaciones de mensajería instantánea no autorizadas por la empresa, saturación de ancho de banda hacia internet en data center y red corporativa del grupo PHI-IT. Realizando lo siguiente: implementación de equipos de seguridad, aplicando listas de acceso y políticas de seguridad a estos equipos atendiendo requerimientos de la norma, segmentación de ancho de banda en data center evitando saturación en la salida a internet, implementación de herramientas de monitoreo en tiempo real.

2.1. Caracterización del área de realización el proyecto.

2.1.1. Descripción del área

NOC & SOC. El Centro de Operación de Red (NOC) es responsable del monitoreo del estado de la red, atención, resolución y análisis de incidentes a problemas que afecten a la disponibilidad y funcionalidad de la infraestructura de red de la empresa PHI-IT. El Centro de Operaciones de Seguridad (SOC) conforme a estándares y mejores prácticas proporciona la implantación, operación, monitoreo de toda la infraestructura de seguridad requerida por PHI IT, con altos niveles de servicio.

2.1.2. Organigrama del área

Organigrama del área de redes ubicado dentro del departamento del NOC & SOC, observe la Figura 3 -Noc & Soc.

8

Figura 3 -Noc & Soc.

2.1.3. Actividades del área

NOC

Brinda soporte de monitoreo, gestión y evaluación de disponibilidad, desempeño e interrelación de infraestructura de red (servidores, routers, switches, UPS’s, etcétera.).

Cuenta con infraestructura de operación basada en un centro de datos

para recepción y respaldo de logs y configuraciones. Además de una mesa de servicio telefónica.

Dispone de sistemas para realizar la evaluación de la infraestructura y

detectar los eventos que pudieran afectar los elementos de la red. Analistas de redes certificados y especializados le brindan soporte los

365 días del año, en monitoreo, alerta miento, mantenimiento y gestión de sus redes de misión crítica, cumpliendo con los acuerdos de nivel de servicio.

SOC

Aplica la pro actividad (prevención) necesaria para evitar ataques e incidentes de seguridad a la infraestructura tecnológica de PHI IT y en su caso detectarlos y contenerlos, para así evitar ataques e intrusiones de y hacia la red.

9

Genera memorias técnicas en donde especifica las actividades ligadas directamente a la administración, operación, monitoreo y supervisión de los servicios, considerando los requerimientos del sistema de gestión del documental de PHI IT.

Registra requerimientos en cuanto a solicitud de cambios, reportes y atención de incidentes, así como consultas con relación al estado de la seguridad.

Realizar reportes automáticos con la herramienta del centro de operaciones de seguridad (SOC) al detectarse un incidente de seguridad. Después de esto se deberá notificar inmediatamente al personal asignado por PHI IT sobre el incidente, mediante llamada telefónica, E-Mail o SMS.

2.1.4. Interacción con las otras áreas de la empresa

El área de redes se encuentra dentro del departamento NOC & SOC que junto con las demás áreas tienen como objetivo en común garantizar la satisfacción de los clientes ofreciendo productos y servicios integrales de la más alta calidad, mediante tecnologías innovadoras, dicho departamento cuenta con un help desk que atiende las necesidades tanto de clientes como de la empresa, observe la Figura 4 -Interacción con otras áreas.

Figura 4 -Interacción con otras áreas.

10

2.1.5. Funciones y ubicación del residente

Implementación y configuración de equipos de seguridad FortiGate 100, FontiAnalyzer 100 A, en red corporativa de PHI y NetEnforcer AC-1400 en Data Center, así como implementación de herramientas de monitoreo de red en algunos switches cisco dentro del Data Center de clientes y de la empresa con el fin de tener control del tráfico de la red en tiempo real, dentro de PHI y Data Center. El proyecto se estará realizando en el área de redes dentro del departamento del NOC & SOC ubicado dentro de la empresa PHI-IT S.A. de C.V.

2.2. Antecedentes y definición del problema.

Todo el personal de PHI accede a páginas web no autorizadas por la empresa ni relacionadas con el desarrollo de su trabajo, lo cual trae consigo una saturación de tráfico en la red, provocando que la red se vuelva lenta en su modo de operatividad y de poco rendimiento a sus labores. Además de que con el acceso a estas páginas restringidas por la empresa como lo es el caso de facebook, ares, mensajería instantánea, etc., se puede filtran muchas amenazas en la red con lo que se tiene poca confidencialidad en la información que circula por la red. Por otro lado PHI cuenta con un Data Center en el cual se tiene contratado un ancho de banda de 10 MB por el proveedor de servicios alestra y se necesita segmentar para que el tráfico que circule tenga diferentes vías de entrada y no sea solo un segmento el que consuma todo el ancho de banda evitando el poco rendimiento para los demás.

2.3. Objetivos.

2.3.1. Objetivo general.

Tener un control de acceso a páginas web no autorizadas por la empresa, teniendo monitoreada la red interna de PHI en tiempo real a través de dispositivos de seguridad como lo es FortiGate 100, FortiAnalyzer 100A y segmentar el ancho de banda en Data Center a través del equipo NetEnforcer AC-1400 de acuerdo a la norma ISO/IEC 27001:2005 basado en seguridad de la información.

2.3.2. Objetivos específicos.

1. Implementación y configuración de equipo de seguridad FortiGate 100

en la red corporativa de PHI.

11

2. Implementación y configuración de equipo FortiAnalyzer 100A en red corporativa de PHI.

3. Implementación y configuración de equipo NetEnforcer AC-1400 en Data Center.

4. Aplicación de políticas de control de acceso a los equipos de

seguridad. 5. Elaboración de manuales de usuario de los equipos FortiGate 100,

FortiAnalyzer 100A. 6. Monitorización del tráfico de la red en tiempo real. 7. Segmentación de ancho de banda en Data Center. 8. Implementación de herramientas de monitoreo en algunos switches

de clientes y de la empresa dentro del Data Center 9. Generación de documentación del área de redes de acuerdo a la

norma ISO/IEC 27001:2005 basada en seguridad de la información.

10. Seguimiento a la norma ISO/IEC 27001:2005.

2.4. Justificación

Actualmente la empresa se encuentra en la implementación de la norma ISO/IEC 27001:2005, basada en seguridad de la información, requerimiento de esta norma es la implementación de equipos de seguridad en la red corporativa de PHI ya que estos son de gran importancia pues gracias a estos equipos se tendrá más seguridad en la red, esto con el fin de mejorar la comunicación interna de la red corporativa del grupo PHI-IT y del Data Center, así como el control del tráfico hacia internet. Se implementarán herramientas de monitoreo que permitan obtener reportes más confiables de la disponibilidad de los servicios, con esto los clientes se verán beneficiados ya que se tendrá un monitoreo preciso de servicios, indicando el momento de que algún servicio falle o deje de funcionar para atenderlo rápidamente y no se vea afectado el cliente en sus actividades. Con la segmentación de la red y la instalación de equipos de seguridad se tendrá un control en la entrada/salida de la información a través de la red. Se espera que con la implementación de estos equipos se tenga mayor seguridad en la red además de evitar lá saturación de tráfico en lá salida hacia internet en la red corporativa del grupo PHI-IT y Data Center.

12

2.5. Alcances y limitaciones

2.5.1. Alcances

La implementación del equipos de seguridad FortiGate 100 y FortiAnalyzer serán implementado dentro de la red interna de PHI para el monitoreo de tráfico de la red en tiempo real, aplicando políticas de seguridad o listas de acceso conforme a la implementación de la norma ISO/IEC 27001:2005, cubriendo así con los requerimientos planteados por la empresa y el departamento de redes. Implementación de herramientas de monitorización soportadas en algunos switches dentro del data center tanto de clientes como de la misma empresa. Durante la realización del proyecto la empresa PHI-IT S.A de C.V. se beneficiará y así podrá brindar un mejor servicio a sus clientes quienes son una pieza fundamental en la empresa, quienes de cierta forma se beneficiarán de la misma manera. Se realizara la configuración del equipo NetEnforcer AC-1400 en el centro de datos de la misma empresa en un modo de operatividad básica, requerimiento establecido por el departamento de redes. 2.5.2. Limitaciones

El tiempo es el principal limitante ya que para la realización de algunas actividades es necesario trabajar en conjunto con las entidades involucradas. Las cuales pueden retrasar los tiempos por causas externas. Los recursos económicos, son muy importantes debido a que algunas actividades dependen de la aprobación de presupuesto, para la expansión de licencia de los equipos. Se requiere dar una capacitación a los usuarios finales para que sepan el funcionamiento de los equipos, por lo que es necesario dedicar un poco más de tiempo para esta actividad, incluso fuera de las horas laborales. Se tendrá que depender de otras áreas para la realización y aprobación de configuraciones del mismo, considerando adaptarse de igual forma al tiempo de respuesta en las solicitudes realizadas a cada una de las áreas involucradas.

13

CAPITULO 3 “MARCO TEÓRICO”

3.1. ISO/IEC 27001:2005

El estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques – Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.

Beneficios de esta norma El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:

Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

Creación de políticas de seguridad conforme a seguridad de redes Título de la política: Filtrado de contenido Objetivo: Establecer los criterios bajo los cuales se regirá el filtrado de contenido. Propósito: Definir los criterios y características del filtrado de contenido. Ámbito de aplicación: Este criterio aplica al área de NOC & SOC encargada de la administración e implementación del filtrado de contenido.

14

Descripción de política. La solución de Filtrado de Contenido se regirá bajo los siguientes enunciados:

1. Se requiere que la solución de filtrado de contenido sea implementado

por medio de un sistema tipo appliance, que deberá ser instalado e implantado en el enlace de salida a Internet.

2. El Sistema de Filtrado de Contenido deberá ser soportada por un dispositivo appliance que soporte de manera conjunta como máximo a otro de los componentes o tales como: firewall, IDS/IPS, antispam, antivirus.

3. Deberán existir la documentación para que configure las políticas de

filtrado de contenido 4. La actualización automática de páginas en Internet que representen

riesgos de seguridad, deberá operar de manera automática máximo cinco minutos después de su descubrimiento

5. Las páginas detectadas cuyo contenido represente riesgos a la

seguridad deberán ser agregadas automáticamente a la lista de URLs, de manera inmediata y automática después de haber sido detectadas.

6. Al detectar un sitio infectado con códigos móviles maliciosos o el nombre

y la URL utilizada en ataques de phishing, ataques fraudulentos u otros ataques maliciosos, deberá notificar a la gerencia de soporte técnico con detalles del ataque y con las medidas que llevará a cabo para detener su propagación.

7. El responsable del SOC a través de su herramienta, y bajo un programa

autorizado por la gerencia general, deberá realizar búsquedas regulares de los servidores Web para efectuar un hackeo ético no intrusivo sobre las vulnerabilidades y posibles amenazas, a través de un portal basado en Web que proporcione informes de niveles de riesgo, impacto y acciones recomendadas para que la gerencia general pueda tomar medidas correctivas. Las pruebas estarán alineadas al estándar OSSTMM (Open Souce Security Testing Methodology Manual), definido por el ISECOM (Institute for Security and Open Methodologies).

8. Se permitirá la reclasificación manual de cualquier página Web según las

necesidades de PHI IT, es decir permitirá que ciertas páginas puedan ser accedidas en cualquier momento aunque pertenezcan a categorías bloqueadas.

9. La configuración permitirá el bloqueo de páginas que pertenezcan a

categorías definidas, pero cuya URL posea ciertas palabras-clave. Asimismo se permitirá el acceso a páginas de ciertas categorías,

15

bloqueando el intento de ciertos tipos de archivo (tales como video, audio, archivos comprimidos, ejecutables, documentos, etc.) desde dichas páginas.

10. Los tipos de archivos permitirán que se personalicen por el tipo de

extensión del mismo, así como la creación de nuevos tipos de archivos, aunque no sean comúnmente encontrados en Internet.

11. Se deberá permitir la definición de políticas por IP, rangos de IPs,

usuarios y grupos. 12. Se deberá reconocer de forma transparente a los usuarios de las

siguientes maneras:

Usuarios de Dominios NT.

Usuarios de Active Directory.

13. Permitirá la definición de una política general, aplicable para los usuarios que no tengan una política específica asignada.

14. Se deberá permitir contar con diferentes tipos de bloqueo por horarios del

día y días de la semana para cualquiera de las políticas que defina PHI IT.

15. Se deberá permitir la definición de ventanas en distintos tiempo para

grupos de usuarios diferentes, para usuarios específicos y para los usuarios generales.

16. Cada vez que un usuario intente acceder a una página bloqueada, se

deberá exhibir una página HTML personalizable. 17. Mediante una página HTML personalizable, se pedirá la confirmación del

usuario cada vez que se requiera usar su cuota de tiempo para navegar hacia cualquier página que pertenezca a una categoría que haya sido definida como permitida con el uso de las cuotas de tiempo. Una vez que se haga la confirmación, se exhibirá a través de una página HTML personalizable el término de responsabilidad.

18. Se enviará una alerta administrativa por E-Mail, MIB II, o SNMP, en los

casos en que haya una cierta cantidad (configurable) de accesos a páginas de las categorías deseadas durante el día.

19. Se deberá permitir la definición de políticas en las cuales ciertos usuarios

puedan usar o no sistemas de mensajería instantánea; y ciertos usuarios al poder usarlos, al intentar enviar o recibir cualquier archivo adjunto, deberán ser bloqueados.

16

20. Se deberá permitir el uso del producto sin integrarse a ningún tipo de Gateway, sin actuar como proxy, es decir, que el filtrado de contenido deberá operar en modo bridge transparente.

21. Se deberá soportar el filtrado de protocolos no-HTTP basado en listas de

protocolos, de acuerdo a los siguientes escenarios:

Tener la capacidad de identificar y bloquear protocolos maliciosos.

Identificar Gusanos generados a través del puerto 25 (SMTP) y otro tipo de tráfico malicioso.

Identificar redes zombis o redes BOTS, y bloquear el tráfico que éstas generen.

Identificar y bloquear el tráfico que generen Spyware, addware, MMC, etc.

Tener la capacidad de detectar el tráfico de esos protocolos directamente desde la red, en capa 2 del Modelo TCP/IP.

3.2. Fortinet

3.2.1. ¿Qué es Fortinet?

Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes (firewalls, UTM.). La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint. FortiGate produce una amplia gama de dispositivos para la protección de redes: FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate-200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A, FortiGate-800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A, FortiGate-3016B y FortiGate-5000 series.

17

3.2.2. Comparación de equipos Fortinet con otros equipos

Figura 5 -Comparación de equipos.

3.3. FORTIGATE 100

3.3.1. ¿Qué es FortiGate 100?

FortiGate es un corta fuegos basado en hardware con funciones de antivirus que proporciona protección a la red en tiempo real, basado en el revolucionario chip FortiASIC de Fortinet, el sistema FortiGate es el único sistema que puede detectar y eliminar virus, gusanos y otras amenazas basadas en contenido, sin afectar al rendimiento de la red, incluso para aplicaciones en tiempo real como la navegación web. Las soluciones de FortiGate también incluyen firewall, filtrado de contenido, VPN, detección y prevención de intrusos y gestor de tráfico, haciendo de FortiGate la más rentable, conveniente, potente y segura de las soluciones de seguridad de red disponibles. Este hardware, es ideal para pequeñas empresas, oficinas remotas, tiendas de venta al por menor, etc. tiene las mejores características de su clase en cuanto a su velocidad y a sus prestaciones. El FortiGate-100 se mantiene actualizado automáticamente gracias a la red FortiProtect de Fortinet que proporciona continuas actualizaciones que aseguran la protección contra los últimos virus, gusanos, troyanos, intrusiones y otras amenazas a cualquier hora y en cualquier lugar. FortiASIC El procesador FortiASIC es un componente de la tecnología de hardware FortiGate, ofrece un alto rendimiento de red. Estos procesadores trabajan con el fin de acelerar los procesadores de red a nivel de las aplicaciones y funciones de seguridad.

18

FortiASIC también proporciona la aceleración necesaria para la obtener un alto rendimiento para alcanzar capacidades multi-amenaza de seguridad. La plataforma FortiGate está basada en el sistema operativo FortiOS, el cual es propietario y robustecido especialmente, diseñado específicamente para la seguridad de las redes.

Figura 6 -FortiASIC.

La red es usualmente la parte más insegura de una organización. Por consiguiente, se deben desarrollar políticas de seguridad para poder prevenir cualquier acceso no autorizado a la misma como pueden ser hackers o usuarios de la misma red que no deberían tener acceso a ciertos recursos del sistema. Estas políticas deben ser más exigentes sobre todo si dicha organización cuenta con un acceso a alguna red pública, como puede ser Internet.

3.4. FORTIANALYZER

3.4.1. ¿Qué es FortiAnalyzer?

Unidades FortiAnalyzer son dispositivos de red que proporcionan información sólida, datos el análisis y la integración de herramientas de recopilación de registro. Los informes detallados de registro proporcionan histórica así como el análisis actual de tráfico de la red, como correo electrónico, FTP y actividad de navegación web, para ayudar a identificar problemas de seguridad y reducir el mal uso de la red y abuso.

Características

La unidad FortiAnalyzer recibe archivos de registro de múltiples FortiGate y dispositivos. Usando las capacidades robustas de la unidad FortiAnalyzer de presentación de informes, se puede controlar el tráfico, ataques y malos usos de los usuarios de la red.

19

Registro de los análisis e informes analiza los registros presentados desde múltiples dispositivos y generar una variedad de informes que le permite asegurar de forma proactiva las redes como amenazas surgen, evite el abuso de red, gestionar los requisitos de ancho de banda, supervisar las visitas de sitios web, y garantizar el uso adecuado de la red.

Informes de la vulnerabilidad estos Informes muestran las debilidades potenciales de vulnerabilidad a los ataques que puedan existir para un dispositivo seleccionado. Las consultas de la unidad FortiAnalyzer para los puertos abiertos, y donde posiblemente, recoge información sobre los servicios que se ejecutan.

La unidad FortiAnalyzer proporciona características de minería de datos que le permite fácilmente acceder a los informes simples para obtener información sobre los intentos de intrusión en su red, así como los tipos de tráfico que ocurren en la red.

3.5. Herramientas de monitoreo

3.5.1. ¿Qué son las herramientas de monitoreo?

Cuando se habla de gestión y monitoreo de redes de computadores se está haciendo referencia a dos conceptos diferentes. La gestión define el control de los recursos en una red con el fin de evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones. El monitoreo define un proceso continuo de recolección y análisis de datos con el fin de anticipar problemas en la red. Así, los sistemas de gestión y monitoreo de redes permiten controlar los recursos hardware y software en una red a partir de un monitoreo periódico a los mismos. Un sistema de gestión y monitoreo de redes está diseñado para ver la red entera como una arquitectura unificada con direcciones y etiquetas asignadas a cada punto y con atributos específicos en cada elemento y enlace del sistema conocidos.

Algunos elementos involucrados en la administración de red son:

Objetos: son los elementos de más bajo nivel y constituyen los aparatos administrados.

Agentes: un programa o conjunto de programas que colecciona información de administración del sistema en un nodo o elemento de la

20

red. El agente genera el grado de administración apropiado para ese nivel y transmite información al administrador central de la red acerca de:

Notificación de problemas. Datos de diagnóstico. Identificador del nodo. Características del nodo.

Administrador del sistema: Es un conjunto de programas ubicados en un punto central al cual se dirigen los mensajes que requieren acción o que contienen información solicitada por el administrador al agente.

3.5.2. Solarwinds

Es una plataforma integral de gestión del rendimiento que permite a los usuarios ver estadísticas históricas y en tiempo real, y la disponibilidad de las redes con cualquier navegador web. Solarwinds supervisa, recoge y analiza datos de routers, switches, firewall, servidores y otros dispositivos para proporcionar a los ingenieros de redes una visión general del estado de las redes. Los diversos módulos de solarwinds amplían sus capacidades de gestión para cubrir los datos de tráfico NetFlow, el rendimiento de las aplicaciones y los servidores, Voz a través de IP y los dispositivos inalámbricos. Características de Solarwinds

CARACTERÍSTICAS QUE CUMPLE

SI LO CUMPLE

NO LO CUMPLE

Monitoreo comprensivo Si

Genera información Si

Monitoreo proactivo y en tiempo real

si

Monitoreo visual Si

Soporte de Netflow y sFlows SI

Visibilidad de toda la solución

Si

Visualización de información histórica

Si

Generación de reportes de estado

Si

Soporte de envió de eventos si

Generación de información para análisis

si

Solución de almacenamiento distribuida

si

Colección de métricas en si

21

tiempo real

Sistemas de aletas avanzado

si

Tabla 1 -Solarwinds.

3.6. Protocolo

Es un conjunto de reglas usadas por computadoras para comunicarse unas con otras a través de una red. Un protocolo es una regla o estándar que controla o permite la comunicación en su forma más simple, puede ser definido como las reglas que dominan la sintaxis, semántica y sincronización de la comunicación. Los protocolos pueden ser implementados por hardware, software, o una combinación de ambos. A su más bajo nivel, un protocolo define el comportamiento de una conexión de hardware.

3.6.1. Tipos de protocolo

FTP

HTTP

NFS

POP3

IMAP4

TCP/IP

SSL

S-HTTP

ICMP

SNMP

SMTP

NTTP

3.6.2. Protocolo SNMP

El Protocolo Simple de Administración de Red o SNMP es un protocolo de la capa de aplicación que facilita el intercambio de información de administración entre dispositivos de red. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. En los RFC 1441 a 1452 se definió una versión mejorada del SNMP (SNMPv2) que se volvió un estándar en Internet.

Componentes de la arquitectura SNMP

Gestores (NMS’s) Agentes (nodos administrados)

22

MIB (base de datos con información) SMI (administración de la base de datos) protocolos (órdenes)

Gestores (NMS’s) El principio de funcionamiento reside, por consiguiente, en el intercambio de información de gestión entre nodos gestores y nodos gestionados. Habitualmente, los agentes mantienen en cada dispositivo gestionado información acerca de su estado y su configuración. El gestor pide al agente, a través del protocolo SNMP, que realice determinadas operaciones con estos datos de gestión, gracias a las cuales podrá conocer el estado del recurso y podrá influir en su comportamiento. Cuando se produce alguna situación anómala en un recurso gestionado, los agentes, sin necesidad de ser invocados por el gestor, emiten los denominados eventos o notificaciones que son enviados a un gestor para que el sistema de gestión pueda actuar en consecuencia. El gestor SNMP puede lanzar cualquiera de estos tres comandos sobre un agente SNMP:

Get. Una petición por el valor específico de un objeto en la MIB del agente. Este comando es utilizado por el gestor para monitorizar los dispositivos a gestionar.

Get-next. Una petición por un valor en el siguiente objeto en la MIB del

agente. Este comando es utilizado para obtener cada valor sucesivo en un subconjunto o rama de la MIB.

Set. Utilizado para cambiar el valor de un objeto en la MIB de un

agente, en el caso de que el objeto tenga habilitada la lectura y escritura de su valor. Debido a la limitada seguridad de SNMP, la mayoría de los objetos de la MIB sólo tienen acceso de lectura. Este comando es utilizado por el gestor para controlar los dispositivos a gestionar.

Agentes (nodos administrados) Los nodos administrados pueden ser hosts, routers, puentes, impresoras u otros dispositivos. Para ser administrado directamente por SNMP, un nodo debe ser capaz de ejecutar un proceso de administración SNMP, llamado agente SNMP. Cada agente mantiene una base de datos local de variables que describen su estado e historia y que afectan a su operación.

23

La administración de la red se hace desde estaciones administradoras, que son equipos con un software de administración especial. La estación administradora contiene uno o más procesos que se comunican con los agentes a través de la red, emitiendo comandos y recibiendo respuestas. Utilización de MIB La Base de Información para Gestión (Management Information Base o MIB) es un tipo de base de datos que contiene información jerárquica, estructurada en forma de árbol, de todos los dispositivos gestionados en una red de comunicaciones. Parte de la gestión de red. Define las variables usadas por el protocolo SNMP para supervisar y controlar los componentes de una red. Está compuesta por una serie de objetos que representan los dispositivos (como enrutadores y conmutadores) en la red. Cada objeto manejado en un MIB tiene un identificador de objeto único e incluye el tipo de objeto (tal como contador, secuencia o indicador), el nivel de acceso (tal como lectura y escritura), restricciones de tamaño, y la información del rango del objeto. Debido a que la información no es estática, esta debe estar estructurada de forma tal que sea fácil extender y revisar antiguas tecnologías y a su vez añadir nuevas tecnologías. Se basa en el uso de un método consistente en la definición de nombres de las diferentes variables a ser utilizadas. Una estructura de árbol cumple con los tres requisitos antes mencionados y recibe el nombre de Estructura de Información de Administración (SMI). El SMI está dividido en tres partes:

Definiciones de modulo. Utilizadas para describir los módulos de información. Se usa para llevar consistentemente la semántica de un módulo de información.

Definiciones de Objeto. Se utilizan para describir los objetos manejados y para llevar consistentemente la semántica de un objeto.

Definiciones de Notificación. Se usan al describir transmisiones de información de dirección y para llevar consistentemente la sintaxis de una notificación.

SNMP se puede implementar usando comunicaciones UDP o TCP, pero por norma general, se suelen usar comunicaciones UDP en la mayoría de los

24

casos. Con UDP, el protocolo SNMP se implementa utilizando los puertos 161 y 162. Puerto 161 se utiliza para las transmisiones normales de comando SNMP Puerto 162 se utiliza para los mensajes de tipo “trap” o interrupción.

3.6.2.1. Versiones del protocolo SNMP

Las versiones actuales aprobadas por la IETF (Internet Engineering Task Force) son tres: SNMP Versión 1 (SNMPv1): Está definido en RFC 1157. La seguridad en esta versión está basada en comunidad, la cual no son nada más que contraseñas, texto plano que permite a cualquier aplicación basada en SNMP obtener acceso a la información del dispositivo administrable, hay básicamente 3 comunidades en SNMPv1, solo lectura, lectura-escritura y trap. SNMP Versión 2 (SNMPv2): Es a menudo referido para trabajar basado en comunidad, está referenciado mediante RFC 1905, 1906 y 1907, es un experimento de la IETF aunque a pesar de ser experimental, algunos vendedores han empezado a emplearlo en la práctica. SNMP Versión 3 (SNMPv3): Esta nueva versión agrega soporte para fuertes autenticaciones y comunicaciones privadas entre entidades administrables. 3.6.3. Protocolo ICMP

Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas de Internet Control Message Protocol) es el sub protocolo de control y notificación de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado. ICMP difiere del propósito de TCP y UDP ya que generalmente no se utiliza directamente por las aplicaciones de usuario en la red. La única excepción es la herramienta ping y traceroute, que envían mensajes de petición Echo ICMP (y recibe mensajes de respuesta Echo) para determinar si un host está disponible, el tiempo que le toma a los paquetes en ir y regresar a ese host y cantidad de hosts por los que pasa.

3.6.3.1. Ping Packet Internet Groper es una herramienta de administración de redes, una de las herramientas más simples ya que todo lo que hace es enviar paquetes para verificar si un equipo remoto está respondiendo y si es accesible a través de la red.

25

La herramienta ping permite de esta manera diagnosticar la conectividad a la red mediante un comando un ejemplo de ello es la Figura 7-ping.

Figura 7 -Ping.

3.6.4. NetFlow NetFlow es un protocolo de red, desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente se está soportado para varias plataformas además de Cisco IOS y NXOS

Orígenes Esta tecnología fue desarrollada y patentada por CISCO IOS en 1996, es ahora la principal tecnología de monitoreo de tráfico en la red Beneficios de NetFlow

Monitoreo de la Red: con técnicas de análisis de flujo

Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red

Monitoreo de Usuarios: para revisar de forma efectiva la utilización de los recursos por parte de los usuarios.

Planificación de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda

Análisis de seguridad: con el fin de detectar anomalías en el tráfico de la red.

Almacenamiento de los Datos Netflow: para futuros análisis.

26

Hardware que soportan NetFlow

Figura 8 -Hardware cisco.

3.7. NetEnforcer AC- 1400

3.7.1. ¿Qué es el NetEnforcer?

Es un dispositivo de optimización de banda ancha que recoge las estadísticas de tráfico de la red y puede poner en práctica la calidad del servicio por aplicación y por suscriptor. Las estadísticas de tráfico se recogen con el fin de proporcionar datos en tiempo real y de largo plazo sobre la red. Además de la recopilación de información detallada sobre el tráfico de paso, NetEnforcer también puede dar forma a ese tráfico mediante estadística y gráfica, la aplicación de parámetros de calidad de servicio que han sido previamente definidos por el usuario.

Características

Firewall de nivel 7

Control de conexiones

Limitación de conexiones por regla

Asignación de ancho de banda por conexión

Protección del data center / protección de DoS

Control de DDoS y trafico malicioso (NetDeflector)

Control de P2P

Control de aplicaciones

Gestión de ancho de banda (QoS)

Gestión de servicios, control de tráfico virtual

27

Accounting and Billing.

Diferencias de los equipos allot contra sus competidores

Puerto de gestión independiente que otorga seguridad tras una DMZ esto tiene mayor seguridad ya que los puertos de tráfico no tienen dirección IP y por lo tanto son transparentes para la red y para ataques de DoS.

El rendimiento del equipo no se degrada en función del número de flujos que atraviesan el equipo.

Gestión de ancho de banda independiente en cada sentido de la comunicación.

Interfaz web basada en java, más rápida y versátil que la interfaz http.

Permite hacer un “zoom” de la información que puede ser desde muy detallada hasta muy personalizada.

Capacidad de planificación de informes automáticos por dispositivo, aplicación, usuario, grupo de aplicaciones en múltiples equipos, etc.

Capacidad de enviar dichos informes de forma automática al administrador de la red de forma periódica.

Capacidad de monitorización de históricos de varias semanas, varios meses y varios años, según se requiera.

Capacidad de saber las conversaciones entre múltiples usuarios

Capacidad de generar informes de aplicaciones y usuarios en la misma vista

28

CAPITULO 4

“DESARROLLO DEL PROYECTO”

4.1. Configuración e implementación de equipo de seguridad FortiGate

4.1.1. Reconocimiento del equipo de seguridad El equipo de seguridad FortiGate 100 es un corta fuegos basado en hardware con funciones de Antivirus que proporciona protección a la red en tiempo real. En la Figura 9 -Frontal se muestra la parte frontal del equipo, posteriormente en la Figura 10 -Trasera se muestra la parte trasera del equipo mostrándose los puertos utilizados.

Figura 9 -Frontal.

Figura 10 -Trasera.

4.1.2. Estado de los leds

El estado de los leds en la parte frontal mostrada anteriormente en la Figura 9 - Frontal indican el status de operación del equipo, es importante conocer cada uno de los indicadores y su función lo cual ayuda en la verificación y detección de fallas en el equipo, véase en la Tabla 2 -Estado de los leds.

29

Tabla 2 -Estado de los leds.

4.1.3. Conexiones

Como se mencionó anteriormente las conexiones del FortiGate 100 no se utilizan del todo, la conexión DMZ debe estar sin uso, las demás conexiones deben de estar ocupadas y en completo funcionamiento, observe el modo de conexión presentada en la Tabla 3 - Conexión.

Tabla 3 -Conexión.

LED Estado Descripción

Power Verde El FortiGate está encendido y operando.

Apagado El FortiGate no cuenta con alimentación eléctrica.

Status Verde Intermitente

La operatividad del equipo es total.

Verde El equipo está funcionando de manera normal.

Apagado El equipo ha sido apagado.

Internal External DMZ

Verde Se está utilizando el cable correcto y el equipo conectado en el otro extremo también esta encendido.

Verde Intermitente (Frente)

Las interfaces presentan actividad.

Apagado No se ha establecido una conexión con algún otro dispositivo.

Conector Tipo Velocidad Protocolo Descripción

Internal RJ-45 10/100 Base-T

Ethernet Conexión a la red interna

External RJ-45 10/100 Base-T

Ethernet Conexión hacia Internet

DMZ RJ-45 10/100 Base-T

Ethernet Conexión opcional a la red u otros FortiGate.

Consolé DB-9 9600 Bps RS-232 Conexión opcional de configuración provee acceso a la consola de administración

30

4.1.4. Ubicación y propósito del equipo en la red

El equipo FortiGate 100 está ubicado en la frontera de la red local antes del modem que proporciona salida a internet del proveedor de servicios Infinitum. En la Figura 11 -Ubicación del FortiGate se observa la conexión que se ocupó dentro de la instalación de la red, la interfaz external está conectada directamente al modem de Infinitum modelo EchoLife HG520c y la interfaz internal está conectada al puerto X del switch cisco catalyst 3560 dentro de la vlan X. Cuenta con una IP de configuración X, la cual es accesible desde cualquier punto de la red interna.

Figura 11 -Ubicación del FortiGate.

Como se puede observar en la Figura 11 -Ubicación del FortiGate el dispositivo está en modo transparente y así debe de estar configurado para su correcto funcionamiento y trabajo con los demás equipos de la red. Más adelante se explica cómo realizar esta configuración. El equipo proporciona filtrado de información y aplicación de políticas de seguridad además de listas de acceso a usuarios conectados a la red, lo anterior con la ayuda de direcciones ip asignadas a cada uno de los usuarios existentes en la empresa. Con esto se asegura el buen uso del ancho de banda además de que los usuarios no podrán acceder a recursos en internet que no son competentes a sus intereses laborales.

4.1.5. Conexión con el administrador web

Realizada la conexión del equipo de seguridad en la frontera hacia internet mostrado en la Figura 11 -Ubicación del FortiGate, se realizó la configuración del equipo para ello se requirió de una computadora con una conexión ethernet, que contara con microsoft Internet explorer versión 6.0 o superior. Se conectó la interfaz interna del FortiGate a la computadora a través de un cable ethernet R-J45 y se inicializó el navegador en el que se escribió la dirección https://192.168.1.99, que es la dirección predeterminada del

31

FortiGate 100 con máscara de 255.255.255.0 para la interfaz del puerto interno, en el cual se configuraron los puertos para el uso de la red, al ingresar la ip configurada al equipo en la URL se observó la Figura 12 -Login en el cual se deberá ingresar el usuario admin que es el usuario por default, inicialmente este usuario no cuenta con password de autentificación.

Figura 12 -Login.

Si el navegador no muestra ninguna página para la configuración del equipo FortiGate 100 se debe de conectar un cable de consola a una computadora una vez conectado el equipo a la consola se debe de ejecutar el cliente de Hyperterminal encontrado en: Inicio > Programas > Accesorios > Comunicaciones > Hyperterminal. Nueva Conexión: FortiGate 100. Conectar Usando: COM1 (dependiendo del puerto de la maquina). Dicha terminal se debe configurar como se observa en La Figura 13 - Hyperterminal.

Figura 13 -Hyperterminal.

32

Se muestra una consola a base de línea de comandos donde se siguió la siguiente secuencia mostrada en la Figura 14 -Consola, para la configuración de la ip de administración e interfaz interna del equipo.

Figura 14 -Consola.

4.1.6. Interfaz Gráfica

Una vez accedido a la página de configuración del equipo mostrada en la Figura 15 -Interfaz gráfica, muestra el status general del equipo es importante lograr entender dicha información para la revisión y detección de fallas en el dispositivo.

Figura 15 -Interfaz gráfica.

En la parte inferior izquierda de la página se observa el rendimiento del equipo en cuanto a memoria y uso de la CPU.

33

Los indicadores no deben de apuntar a la zona marcada en rojo de lo contrario se está sobrepasando la capacidad del dispositivo en la operación indicando que se deberán de tomar medidas de precaución como restablecer el sistema, observe la Figura 16 -Indicadores.

Figura 16 -Indicadores.

En la parte derecha de la página observe los mensajes de alerta del equipo mostrado en la Figura 17 -Alertas, cada uno de ellos ayudan a establecer que está sucediendo, en el equipo, si el internet se muestra intermitente en la red o si están fallando las listas de acceso o políticas de seguridad. En la imagen solo muestra los reinicios del equipo lo cual no es normal en ningún escenario, el equipo fue diseñado para estar el 100% del tiempo operativo.

Figura 17 -Alertas.

4.1.7. Configuración

4.1.7.1. Configuración de Interfaces

La configuración de interfaces hace referencia a los puertos conectados en este caso se realizó la configuración del puerto external e internal. Para lo cual se siguió la siguiente ruta system > network > interface> create new, donde se ingresó el nombre de la interfaz, seleccionando el administrador de acceso que se van a tener por esa interfaz, apply, ok, en la Figura 18 -Interfaz se muestra el proceso descrito.

34

Figura 18 -Interfaz.

4.1.7.2. Configuración de DNS

Se prosiguió a configurar los DNS en la cual se siguió la siguiente ruta system > network > options, en esta opción se pidió ingresar 2 DNS (consultarlos con el departamento de redes) y posteriormente se dio clic en apply, gráficamente no se permitió la configuración, por lo cual la realización de esta configuración se hizo a través de línea de comandos ingresando los siguientes, véase la Figura 19 -DNS.

Figura 19 -DNS.

4.1.7.3. Configuración de Gateway

La configuración del gateway por defecto se realiza con la finalidad de dar al equipo la puerta de enlace para tener salida hacia internet, ir a system > network > routing table > en el cual se ingresa el gateway X y seleccione ok, en este apartado no es necesario ingresar la IP ya que esto se realiza más adelante, vea Figura 20 -Gateway.

35

Figura 20 -Gateway.

4.1.7.4. Configuración del equipo en modo transparente

Este apartado muestra las opciones configurables así como el modo de operación que puede ser Transparente o NAT. Para este caso se eligió transparente y se configuro la ip de administración, esta ip va ser con la cual se podrá conectar a través de internet al equipo y la máscara de subred, para ello se siguió la siguiente secuencia system > config > operation > apply, pero al mostrarse algunos errores de configuración se decidió realizarse a través de línea de comandos ingresando los mostrados en la Figura 21 -IP de administración.

Figura 21 -IP de administración.

4.1.7.5. Establezca la contraseña de Administrador

De acuerdo a la implementación de la norma ISO/IEC 27001:2005 basa en seguridad de la información establece que todo equipo, aplicación, u otros servicios deberán contar con una clave de seguridad o password que no ponga en peligro la integridad de información, para proporcionar seguridad en el acceso a este equipo se estableció un password de administrador para evitar que nadie acceda al equipo y pueda cambiar opciones de configuración. Esta parte se realizó en system > admin > administrator > seleccionamos change password e introducimos un password, ok, la configuración se realizó como se observa en la Figura 22 -Password.

36

Figura 22 -Password.

4.1.7.6. Registro de Usuario

En esta parte se comenzó con la restricción de los accesos que se tendrán para los usuarios del grupo PHI para denegarle u otorgarle permisos de accesos, por lo cual se ingresaron las IP o rangos de IP´s asignadas a los usuarios. Dentro de la página inicial se siguió la ruta firewall > address, mostrándose un menú en la parte derecha de la pantalla en la cual se ingresaron las direcciones ip de los usuarios a los que se desea restringir. Se elaboró un documento anexo en Excel en donde se encuentra el inventario completo de las ip’s en uso, dicho documento por políticas de seguridad de la empresa e implementación de la norma ISO/IEC 27001:2005 basado en Sistema de Gestión de Seguridad de la Información no es anexado en este reporte. Para ingresar una dirección nueva damos clic en create new, mostrada en la Figura 23 -Address.

Figura 23 -Address.

Se despliega un formulario donde se ingresaron los datos de la dirección, los datos requeridos son, el nombre que puede servir como referencia, el tipo (solo utilizar el mostrado en la imagen), la dirección específica y la máscara

37

con los 4 octetos para hacer referencia solo a esa ip, y seleccionando any para la interfaz, presentados en la Figura 24 -Ip.

Figura 24 -Ip.

4.1.7.7. Registros por grupo

Está compuesto por un conjunto de direcciones ip, la finalidad de registrar direcciones ip de usuarios y crear grupos es tener dentro del sistema a todos los usuarios que van a ser restringidos de alguna manera, para la realización de grupos se llevó a cabo en la pestaña anexa después de address, dando clic en create new, desplegando un formulario interactivo, como el que muestra la Figura 25 -Group.

Figura 25 -Group.

Dentro del menú interactivo se estableció el nombre del grupo (establecer un nombre significativo nos ayudara como referencia), en la parte superior se muestran las direcciones ip disponibles que son todas las creadas en el apartado anterior en la Figura 24 -Ip, únicamente se seleccionaron las ip’s que van a formar parte del grupo y dándole clic en la flecha que se encuentra hacia abajo, se observó que la dirección ip pasa al segundo recuadro llamado miembros formando así parte de este grupo, si requerimos excluirlas del grupo de igual manera se interactúa con la flecha que se muestra hacia arriba, realizada la creación de grupos seleccionando ok.

38

La empresa ha establecido dentro de las labores del residente crear diferentes grupos y listas de accesos para otorgar o denegar permisos a distintos rangos de IP, como por ejemplo un grupo de usuarios que tengan permiso de todas las páginas y descargas este grupo está conformado por personas autorizadas por la gerencia general, también se creara un grupo de descargas donde los usuarios solo tendrán permiso de descargar de las paginas autorizadas y no bloqueadas más adelante se hablara del bloqueo de estas páginas y un tercer grupo donde el usuario podrá acceder a todas las paginas pero no podrá descargar nada, entre otras labores más asignadas. Después de la creación de los grupos se mostraron como se indica en la Figura 26 -Grupos.

Figura 26 -Grupos.

4.1.7.8. Creación de protección-profile

Un protección profile es el conjunto de restricciones que se aplican dentro de alguna política estas restricciones aplican a diferentes aplicaciones y protocolos.

Creado los grupos en la figura 26 -Grupos, se explica cómo crear un profile para establecer los accesos a cada rango de IP´s o direcciones específicas, en la cual se siguió la siguiente ruta firewall > protección profile, al dar clic en create new nuevamente se desplego un formulario donde en la primera parte se otorgó el nombre al protección profile y un breve comentario para hacer referencia a él, como nos muestra la Figura 27 -Profile.

39

Figura 27 -Profile.

Anti-Virus

El antivirus es una herramienta cuyo objetivo es detectar y eliminar virus informáticos. Establecido el nombre y comentario se procedió con el primer apartado el cual se refiere al antivirus, la revisión contra virus se realiza internamente dentro de la unidas FortiGate, la búsqueda de virus se realiza según la base de datos del dispositivo y las opciones que se proporciona para configurar, se refieren a donde se quiere que se haga la revisión de virus o mejor dicho en que protocolo HTTP (Páginas Web), FTP (descarga de archivos), POP3 (recepción de correo), SMTP (envió de correo), son los que más interés se tienen para la configuración del FortiGate. Habilitando las opciones correspondientes para la revisión de virus requeridos así como el filtrado de archivos, observe la Figura 28 -Antivirus.

Figura 28 -Antivirus.

Como se puede observar en la Figura 28 -Antivirus en la opción oversized file/e-mail fue bloqueado para que no permita ninguna descarga que exceda a 1 MB, en la parte de file filter se eligió la opción de builtin-patterns es el nombre asignado a la configuración de

40

extensiones a bloquear cuando se requiera realizar una descarga, esta parte se explica a detalle más adelante.

Web Filtering

El web filtering es la herramienta del FortiGate que permite bloquear

páginas de internet ya sea por URL (dirección de la página o nombre) o

por el contenido de palabras que se establezcan, también se aplica un

bloqueo a los contenidos de las páginas que a su vez dependen de

aplicaciones como pueden ser controles activex (juegos online), filtrado

de cookies (páginas de correo o formularios), applets de Java (juegos y

aplicaciones web) y URL’s invalidas (paginas no validas).

La creación de este profile en específico permitir solo páginas, para la cual se ha establecido la configuración mostrada en la Figura 29 -Web Filtering.

Figura 29 -Web Filtering.

Antes de continuar con la configuración del protección profile se configuro el filtrado de contenido por palabra y el filtrado por URL’s, por lo que momentáneamente se dejó la configuración actual dando clic en ok para guardar los cambios realizados hasta el momento.

Una vez hecho lo anterior regresamos al menú principal en la parte izquierda en web filter > content block> create new, de igual manera como en configuraciones anteriores se pide un nombre de referencia, se establecen las palabras que van a ser motivo de que la pagina no se muestre dando clic en create new para agregar nuevas palabras, aparece un nuevo formulario donde se indica la palabra a bloquear, el tipo (regularmente siempre utilizar wildcard para un bloque estricto), se elige el lenguaje (referido a ubicación solamente se utiliza western) y por último el score, este apartado es importante ya que determinara según el conteo de las palabras encontradas si se muestra o no la

41

página. La configuración predeterminada mostrada en la Figura 30 -Bloqueo por palabra indica que la palabra sexo tiene una puntuación de 10 no importa cuántas veces aparezca.

Más adelante se establece algo llamado treshold que es la puntuación total admitida, por ejemplo se agrega otra palabra como “porno” con una puntuación de 15 y se configura el treshold en 20, si alguien quiere entrar a una página que contiene las palabras sexo y porno al mismo tiempo rebasara el treshold y no se mostrara, para mayor referencia observe la Figura 30 -Bloqueo por palabra.

Figura 30 -Bloqueo por palabra.

Cuando se terminó la agregación de palabras se guardaron las configuraciones, si se desea eliminar una palabra únicamente se da clic en el botón de eliminar, de igual manera se observan los distintos perfiles de bloqueo de contenido y pueden ser eliminarlos mediante el mismo botón observado en la Figura 31 -Palabra.

Figura 31 -Palabra.

Realizado el bloqueo por palabra se procedió a configurar la restricción

por URL el cual ayuda al bloqueo de páginas mediante el nombre de la página o la URL completo. Siguiendo la ruta indicada, web filter > URL filter > create new, pidió ingresar un nombre para la lista y una breve descripción indicado en la Figura 32 -URL.

42

Figura 32 -URL

Se despliego una lista vacía la cual se llenó dando clic en el botón create new que despliega un formulario en donde se ingresó la extensión completa URL o el nombre de la página a bloquear, la sintaxis de la página puede variar los ejemplos pueden ser:

www.microsoft.com / microsoft / microsoft.com

Es importante saber que si se agrega un * antes del nombre de la página bloqueara todo lo anterior y además el nombre de la página por ejemplo

*.messengerfx.com

Bloqueará también

www1.messengerfx.com www2.messengerfx.com www3.messengerfx.com Y todas sus derivadas. Si se agrega el * después del nombre de la página por ejemplo www.mercadolibre.* Bloqueará también

www.mercadolibre.com.mx www.mercadolibre.com.es www.mercadolibre.com.us , etc. Se ingresó la información requerida en el formulario como fue, type que será siempre simple, la acción será block para habilitar el bloqueo como se muestra en la Figura 33 -Bloqueo por URL .

43

Figura 33 -Bloqueo por URL.

Las páginas bloqueadas también se observan mientras se agregan otras páginas más a la lista, como se muestra en la Figura 34 -Bloqueos generales, una vez que se encontró completa la lista se da clic en ok para terminar, cabe resaltar que las páginas bloqueadas en este apartado fueron conforme a una lista otorgada por la gerencia general de PHI.

Figura 34 -Bloqueos generales.

Terminada la configuración del web content block como el URL filter se procedió a terminar de configurar el protection profile. Para regresar al protección profile que se estaba creando y más específicamente al web filtering donde se quedó pendiente la configuración simplemente se regresó al menú principal firewall > protection profile > seleccionando el creado y en la hoja marcada con un pequeño lápiz se da clic para editar y modificar el protection profile. Habilitándose las opciones correspondientes observadas en la imagen de abajo, observe que en la parte derecha aparece un rubro llamado option además de unos menús de elección debajo de él, si no se ha creado ningún web content block solamente mostrara la opción de -None -, en este caso se habilito la opción NONE con esta opción se

44

estará indicando que acepten todos el tráfico de la interfaz externa a la interna. La siguiente opción para la configuración es el web URL filter en el cual se ha seleccionado el creado anteriormente para aplicar la restricción a páginas deseada, de igual forma en esta parte no se realizaron restricción de nada para que acepte todo dejando en NONE como se muestro anteriormente en la Figura -29 Web Filtering.

Spam Filtering

La siguiente opción no es profundamente configurada ya que es la opción de spam dentro del correo electrónico, sobre todo porque este es analizado por el antivirus interno de la empresa y administrado por un servidor interno, únicamente se activaron las opciones de spam submission en los protocolos utilizados, observe la Figura 35 -Spam Filtering.

Figura 35 -Spam Filtering.

IPS

Esta herramienta permite bloquear aplicaciones específicas dentro del equipo de seguridad FortiGate 100 el ejemplo para utilizarlo será bloqueando una aplicación altamente utilizada y que es de alto riesgo para la estabilidad y seguridad de la red: Ares, el cual es un programa P2P utilizado para descargar música y archivos. Dentro del menú que aparece en el protection profile se eligió un IP sensor ya creado, se recomienda elegir siempre all-default-pass, una vez seleccionado se guardó temporalmente el protection profile dando clic en ok. Para configurar el IP sensor seleccionado observe la Figura 36 -IPS. Con esto se terminó la configuración de protection profile que más adelante en la aplicación de políticas se utilizara.

45

Figura 36 -IPS.

Los IPS sensor ya vienen por default en la unidad FortiGate solo se deben de editar esta herramienta se encuentra en el menú principal intrusion protection > IPS Sensor, mostrado en la Figura 37 -IPS sensor.

Figura 37 -IPS sensor.

Sin embargo aquí no se crear uno nuevo simplemente se configura uno ya existente el cual es el all-default-pass, dando clic en el símbolo de editar para editar las propiedades del mismo, donde se abrió una ventana de configuración alterna, la cual es indicada en la Figura 38-Figura.

Figura 38 -Figura.

Al dar clic sobre el icono editar, se despliega la información a editar, en este momento todas las aplicaciones están permitidas, sin embargo se

46

añadió un filtro nuevo dando clic en add pre-defined override, donde pide añadir una aplicación ya registrada dentro del FortiGate 100 (si se quiere añadir una aplicación personalizada se debe de dar clic en Add custom override), véase la Figura 39 -add custom override.

Figura 39 -add custom override.

Esto muestra un formulario en el cual se debe seleccionar la aplicación a bloquear, como nos indica la Figura 40-Formulario.

Figura 40 -Formulario.

Muestra en pantalla una ventana con un número importante de aplicaciones y protocolos registrados que pueden ser bloqueados, en este caso se seleccionó la aplicación P2P Ares, véase la Figura 41-Bloqueo de ares.

Figura 41 -Bloqueo de ares.

47

Terminado finalmente de llenar el formulario correspondiente según corresponde para no permitir la aplicación dar clic en ok, es importante mencionar que se puede agregar ip’s con excepción a este bloqueo en la parte inferior sin embargo por naturaleza de la aplicación no habrá excepciones en este filtro, observe la Figura 42 -Excepción de filtro.

Figura 42 -Excepción de filtro.

Apareceré el override ya creado en el cual se especificó el bloqueo de bloquear ares, observe la Figura 43 -Formulario.

Figura 43 -Formulario.

Lo siguiente fue agregar un filtro para poder bloquear la aplicación, se da clic en add filter, como indica la Figura 44 -Add Filter.

Figura 44 -Add Filter.

Despliega una ventana donde se habilitaron exactamente los datos que nos aparecían en el catálogo de aplicaciones, en la parte de protocol excluimos todos los protocolos excepto el de la aplicación en este caso será P2P (seguir la Figura 45 -P2P como guía), una vez concluido dar clic en ok como nos muestra la Figura 46 -Figura.

48

Figura 45 -P2P.

Figura 46 -Figura.

Aparece entonces el filtro del ares el cual se debe colocar antes del filtro predeterminado, dando clic en el botón arriba/abajo mostrado en la Figura 47 -Ubicación del filtro, aparecerá una ventana para ingresar el numero donde se requiere ubicar el filtro. Como se requiere que el filtro se aplique antes del predeterminado se debe ingresar el número 1 indicado en la Figura 48 -Posición del filtro.

Figura 47 -Ubicación del filtro.

Figura 48 -Posición del filtro.

Se puede observar en la Figura 49 -Nueva ubicación que el lugar del

filtro ha cambiado por lo que tendrá preferencia el bloqueo de ares a el

49

paso normal de las aplicaciones. Una vez hecho esto se guarda la configuración damos clic en ok, terminada la configuración.

Figura 49 -Nueva ubicación.

4.1.7.9. Creación de políticas de uso

La determinación del uso de políticas de seguridad de red debe proteger las redes, riesgos y pérdidas asociadas con recursos de red y seguridad. Las políticas de seguridad de red tienen la responsabilidad de encontrar una reputación así como responsabilidad potencial. Las políticas de seguridad de red y la seguridad constituyen un riesgo por lo que se debe de determinar junto con las opciones configuradas la correcta aplicación a los usuarios y al flujo de datos. La creación de políticas se llevó a cabo en el menú principal firewall > policy > create new, observe la Figura 50 -Creación de política, dentro de este menú se encontraron 2 tipo de políticas Externa > Internal e Internal > External en este ejemplo solamente se mostrara el funcionamiento y configuración de la segunda política ya que es el tipo de política aplicada a los usuarios de la red internan de PHI. Es de gran importancia mencionar que la aplicación de estas políticas se establecieron de acuerdo a las políticas creadas conforme a la documentación establecida a la norma ISO/IEC 27001:2005 determinadas como primera etapa del desarrollo del proyecto y citadas en los archivos anexos a la carpeta POLÍTICAS DE SEGURIDAD del departamento de redes con claves, filtrado de contenido PHIiT-N&C-DIR-006 , firewall PHIiT-N&C-DIR-005, antivirus y antispam perimetral PHIiT-N&C-DIR-008, sistema de detección y prevención de intrusos PHIiT-N&C-DIR-007, etc.

50

Figura 50 -Creación de política.

En la creación de la política observada en la Figura 50 -Creación de política se establecer la interfaz de origen de la política en este caso por ser de adentro hacia afuera se eligió internal, source address hace referencia a la dirección IP o rangos de IP’s a la cual se le aplicara la política o grupo de usuarios (se eligió el grupo creado con anterioridad), en la parte derecha se puede observar un botón llamado múltiple en el cual se eligió grupo de IP´s para aplicarles la política, destination Interface indica que el destino de la información será externo, schedule, service y action serán predeterminados, en protection profile elegimos la política que requerimos aplicar a dicho rango de IP´s. Una vez creada las políticas es importante saber la forma de operar de las mismas, ya que si se tiene la política predeterminada que en la imagen es la ultima la cual no tiene ningún tipo de filtro activado con mayor prioridad, es decir en primer lugar, ninguna de las políticas creadas aun si están habilitadas se van a aplicar, las políticas deben estar ordenadas de menor a mayor protección y la predeterminada siempre debe de estar en último lugar para las direcciones nuevas en la red. Se debe asegurar que estén habilitadas y operando, ordenamos nuestras políticas de acuerdo a prioridades dando clic en el botón arriba/abajo donde apareció un menú para mover la política antes o después de alguna otra guiándonos en el ID de la política un ejemplo de esto es la Figura 47 -Posición del filtro, observe la Figura 51 -Políticas.

Figura 51 -Políticas.

51

Una vez hecho esto está concluida la configuración inicial y básica del equipo de seguridad FortiGate 100, para la creación de grupos de IPS de accesos y bloqueo, así como la creación de protection profile requeridos por el departamento de redes, entre algunas cosas más configuradas en el quipo las cuales no se detallan en este reporte. 4.1.7.10. Interacción con equipo de seguridad FortiAnalyzer 100 A

Configurado el equipo de seguridad FortiGate 100 se asignó una dirección IP con la cual se comunicara remotamente con el equipo de seguridad FortiAnalyzer 100A para que funcione como un analizador de tráfico de la red esta configuración se llevó a cabo en la parte principal del menú en logs & reports > log config > log setting > seleccionando la unidad FortiAnalyzer e indicándole que tipo de información será enviada así como la dirección IP estática del equipo FortiAnalyzer 100 A y el puerto que le permitirá tener esta salida, observe la Figura 52 -Conexión FortiAnalyzer.

Figura 52 -Conexión FortiAnalyzer.

4.1.7.11. Backup & Restore

Realizada la configuración se realiza una copia de seguridad del equipo, en system > maintenace > backup & restore > backup> local PC > indicando una contraseña > clic en backup. Restore> para carga una copia de seguridad > local PC > examine el backup a cargar > ingrese password si es que tiene > clic en restore, vea la Figura 53 -Backup & Restore.

52

Figura 53 -Backup & Restore.

4.2. Configuración e implementación del equipo FortiAnalyzer 100A 4.2.1. Reconocimiento del equipo de seguridad

En la Figura 54 -Frontal FortiAnalyzer muestra el estado del equipo y sus leds, vea también la parte trasera del equipo en la Figura 55 -FortiAnalyzer que muestra las conexiones.

Figura 54 -Frontal FortiAnalyzer.

Figura 55 -FortiAnalyzer.

53

4.2.2. Ubicación del equipo El equipo FortiAnalyzer por cuestión de espacio en el site se encuentra ubicado dentro del departamento NOC de la empresa conectado a través de un switch cisco al puerto X, un bosquejo de ello es la Figura 56 -Ubicación del Analyzer.

Figura 56 -Ubicación del Analyzer.

4.2.3. Conexión con el administrador web

Realizada la conexión del equipo FortiAnalyzer 100 A, se dio inicio con la configuración de la unidad, para ello se requirió de una computadora con una conexión ethernet con microsoft Internet explorer versión 6.0 o superior, y un cable Ethernet. Se conectó la interfaz interna del FortiAnalyzer a la computadora a través de un cable ethernet R-J45 y se inició el navegador escribiendo la dirección https://192.168.1.99 en la URL, esta dirección IP es la predeterminada de los equipos Fortinet con máscara de 255.255.255.0 para la interfaz del puerto 1, se configura este puerto para el uso de la red, al ingresar la ip configurada al equipo en la URL se mostró la Figura 57 -Login en la cual se ingresa el usuario admin que es el usuario por default, inicialmente este usuario no tiene password.

Figura 57 -Login.

54

4.2.4. Interfaz Gráfica

Observe la Figura 58 -Interfaz de FortiAnalyzer, es la pantalla principal del equipo el cual hasta el momento no cuenta con ninguna configuración.

Figura 58 -Interfaz de FortiAnalyzer.

4.2.5. Configuración 4.2.5.1. Configuración de Interfaces

Primeramente se llevó a cabo la configuración de la interfaz, solo se realizara la configuración de la interfaz del puerto 1 que corresponde a la dirección IP con la cuan se tendrá comunicación con el quipo para este procedimiento se ingresaron las siguientes líneas de comandos mostrado en la Figura 59 -Editar puertos.

Figura 59 -Editar puertos.

4.2.5.2. Configuración de DNS

Para la configuración de los DNS primario y secundario de direcciones IP se llevó acabo la configuración a través de las siguientes líneas de comando mostrado en la Figura 60 -DNS Analyzer.

55

Figura 60 -DNS Analyzer.

4.2.5.3. Configuración de Gateway Lo siguiente es la configuración de la puerta de enlace predeterminada con la que el equipo tiene salida asía internet para lo cual se ingresaron las siguientes líneas de comandos mostradas en la Figura 61 -Gateway Analyzer.

Figura 61 -Gateway Analyzer.

4.2.5.4. Configuración de password Por defecto, el usuario administrador no cuenta con un password de autentificación. Para restringir el acceso a la unida FortiAnalyzer se configuro una contraseña para la cuenta del usuario administrador para darle un poco más de restricción a este acceso y que ninguna otra persona pueda entrar a modificar configuraciones existentes en el equipo, para esta acción se ingresaron los comandos siguientes mostrados en la Figura 62 -Password Analyzer.

Figura 62 -Password Analyzer.

4.2.5.5. Conexiones en tiempo real Para el monitoreo de ip´s conectadas al equipo y el administrador poderlas desconectar desde otro equipo diferente solo basta ir en system > admin > monitor > seleccionando la ip a la que quiere desconectar del equipo y oprimiendo el botón disconnet, observe la Figura 63 -Conexión en tiempo real.

56

Figura 63 -Conexión en tiempo real.

4.2.5.6. Unidad central Este apartado hace referencia a la agregación de registros de más unidades FortiAnalyzer para llegar a una unidad central, este no es el caso ya que PHI solo cuanta con 1 unidad que es la central. Para la configuración de esta unidad como central, se siguió la siguiente ruta de configuración system > config > log aggregation > oprimir el botón Enable log aggregation TO remote FortiAnalyzer > donde se ingresó la ip del FortiAnalyzer correspondiente > y el password configurado, como lo indica la Figura 64 -Unidad Central.

Figura 64 -Unidad Central.

4.2.5.7. Agregación de un administrador de dominio

Un ADOM puede incluir varios dispositivos que puede acceder a información, como registros, alertas, y cambiar las configuraciones de los dispositivos de su ADOM de acuerdo con su perfil de acceso. Para agregar el equipo FortiGate a un ADOM se siguió la secuencia device > all > add device. En esta parte se puede apreciar los dispositivos conectados y pertenecientes al ADOM en el equipo FortiAnalyzer, vea la Figura 65 -Dispositivos.

Figura 65 -Dispositivos.

57

4.2.6. Reports

4.2.6.1. Vista de reportes generados

Este apartado muestra una vista general de todos los reportes generados ejecutado en la unidad FortiAnalyzer, la cual cuanta con una serie de campos, como lo son eliminar reporte, editar, refrescar, y seleccionar el tipo de dispositivo del cual se requiere el reporte, observe la Figura 66 -Reportes Generados y la Figura 67 -Contenido de reporte.

Figura 66 -Reportes Generados.

Figura 67 -Contenido de reporte.

4.2.6.2. Generar nuevo reporte

Se programó una serie de reporte solicitados por el departamento de redes para conocer la actividad que realizan a diario algunas IP´s en específicas, para generar un nuevo reporte o alerta se tuvo que programar el siguiente apartado en la sección report > schedule > créate new, observado en la Figura 68 -Nuevo reporte.

58

Figura 68 -Nuevo reporte.

4.2.6.3. Alertas de eventos

Proporcionar un método de informar problemas que surgen en una unidad FortiGate de la red o la unidad FortiAnalyzer, como fallas del sistema o ataques, lo que le permite reaccionar de manera oportuna para el evento. En este apartado se programaron alertas de informes de ataques internos de los usuarios programados. Para lo cual tiene que ir a event > alert event > create new, en este apartado se ingresan los datos siguientes mostrados en la Figura 69 -Alerta de eventos.

- Nombre de la alerta - El dispositivo al que se le programa la alerta - Seleccionar el trigger de lo que se incluirá en la alerta - Puede generar texto, genere el tiempo de alerta (inmediato). - Se ingresó el correo a quien se le envía la alerta (departamento de

redes) y se añadió add. - Se indicó el tipo de gravedad de la alerta.

59

Figura 69 -Alerta de eventos.

4.2.6.4. Creación de un servidor de E-mail La creación de un servidor de e-mail permite recibir informes de reportes creados mostrados en la Figura 68 -Nuevo reporte, para la creación de un servidor de e-mail y poder mantenerse informado de forma oportuna de los eventos de las unidades, fue la creación de un servidor de e-mail, esta configuración se realizó en alert > output > mail server > create new, ingresando el nombre del servidor, marcando la casilla de autentificación e ingresando la dirección de correo. En la Figura 70 -Servidor de e-mail se puede apreciar el servidor creado.

Figura 70 -Servidor de e-mail.

4.2.6.5. Configuración de SNMP Access list Configurar el servidor de SNMP en la unidad FortiAnalyzer envía traps SNMP al encontrar una alerta. Ir alert > output > SNMP access list > create new > ingresas el nombre > Ingresar la IP del servidor > ok, observe la Figura 71 - Servidor SNMP.

60

Figura 71 -Servidor SNMP.

4.2.7. Monitoreo en tiempo real

La unidad FortiAnalyzer puede verlos registros de dispositivos en tiempo real, lo que le permite ver los eventos y el tráfico que ocurre en un dispositivo como es el caso. Para tener una visualización del tráfico que circula por la red debe seguir los siguientes pasos: Log > log viewer > real-time, mostrados en la Figura 72 -Monitoreo. En este apartado se puede seleccionar el o los dispositivos que se desean monitorear y la información que se desea visualizar de cada uno de ellos, un ejemplo de ello es bloqueo de las políticas aplicadas a diferentes rangos de IP´s en la unidad FortiGate 100.

Figura 72 -Monitoreo.

Observe por partes el tráfico eligiendo algunos campos por ejemplo en device > FortiGate-100 > log types > web filter. Estos campos proporcionaran una vista general de las pagina filtradas y obviamente bloqueadas por el equipo FortiGate, mostrando algunos campos de información, política aplicada, el mensaje que indica que asido bloqueada, la URL bloqueada, etc., observe la Figura 73 -Información de bloqueo.

61

Figura 73 -Información de bloqueo.

Con esta información el departamento de redes se puede dar cuenta de que personas intentan violar las políticas de control de acceso de seguridad de la empresa, aplicando diferentes sanciones de acuerdo al motivo que lo demande, además de que paginas visitan y si es en relación a su trabajo laboral o no.

4.3. Configuración de Herramientas de Monitoreo

De acuerdo a la implementación de la norma ISO/IEC 27001:2005 se establece que la seguridad de la información de la empresa es primordial y debido a esto se debe de tener un monitoreo sobre el flujo de tráfico y eventos realizados en la red, para lo cual se establecen herramientas y protocolos de monitorización. Para configurar algunas herramientas de monitoreo que muestren estadísticas del flujo de tráfico se realizará la configuración del protocolo SNMP y NetFlow, en algunos switches ubicados en el Centro de Datos en especial a los del cliente potencial que es X. Por implementación de la norma ISO/IEC 27001:2005 basado en Sistema de Gestión de Seguridad de la Información presentada en este informe no se mostrara muy a detalle la implementación de estos protocolos ya que es información confidencial del cliente. Primeramente se llevó a cabo la conexión al switch cisco catalyst 6504 a través de putty que es un emulador de terminal, un programa que permite conectar con máquinas remotas y ejecutar programas a distancia, se conecta como cliente a múltiples protocolos en la parte sombreada de la Figura 74 -Putty se ingresó la dirección del switch, indicando una conexión SSH, e indicando el puerto, como se observa en la Figura 74 -Putty y la Figura 75 -Conectividad SSH.

62

Figura 74 -Putty.

Figura 75 -Conectividad SSH.

Se configura la interfaz para la vlan X con NetFlow, el cual se llevó a cabo mediante la línea de comandos mostrados en la Figura 76 -Comandos NetFlow.

Figura 76 -Comandos NetFlow.

Realizada la configuración del protocolo NetFlow se siguió a realizar la configuración del protocolo SNMP al mismo switch cisco catalyst 6504, dentro de la configuración SSH en consola se ingresaron los siguientes comandos mostrados en la figura 77- SNMP

63

Figura 77 -SNMP.

Se configuró una IP a la vlan para poder administrar el equipo remotamente, vea la Figura 78 -IP de vlan.

Figura 78 -IP de vlan.

Esta casi todo listo para el monitoreo solo falta el agente SNMP en el switch, este protocolo se configura con el comando mostrado en la Figura 79 -Configuración de SNMP.

Figura 79 -Configuración de SNMP.

Terminada la configuración se procede a realizar un show run mostrado en la Figura 80 -verificación de configuración, para verificar que los datos ingresados se hayan configurado correctamente en el switch.

64

Figura 80 -Verificación de configuración.

Realizada la configuración de estos protocolos y configurada la IP de administración se observa el monitoreo, estadísticas y flujo de tráfico del switch configurado, analizando un chequeo del funcionamiento de los protocolos implementados e ingresemos la IP de administración a través del URL que nos conectara a la aplicación solarwinds configurada en la empresa, observe la Figura 81 -Solarwinds.

Figura 81 -Solarwinds.

Para verificar que el protocolo implementado se configuro de manera adecuada en la parte principal se muestra una barra llamada NetFlow, en esta parte indica la configuración del protocolo implementado, véase la Figura 82 - verificación de configuración 2.

65

Figura 82 -Verificación de configuración 2.

Este proceso se siguió para la implementación del monitoreo en otros switches de clientes como de la empresa, los cuales de acuerdo a políticas de la empresa y sobre todo por la implementación de la norma ISO/IEC 27001:2005 actualmente en la empresa, no se permite visualizar un monitoreo de todos los procesos y servicios que ofrece PHI-IT al cliente.

4.4. Configuración e implementación de equipo AC- 1400 en Data Center

4.4.1. Reconocimiento del equipo

En la Figura 83 -Frontal allot y Figura 84 -Frontal allot Bypass se muestra un panorama del panel frontal del equipo.

Figura 83 -Frontal allot.

Figura 84 -Frontal allot Bypass.

66

4.4.2. Descripción de los leds

En la Tabla 4 -Estado de los leds allot se presenta una breve descripción del estado que se tiene de cada led para ver su correcto funcionamiento.

Tabla 4 -Estado de los leds allot.

4.4.3. Conexiones

La Tabla 5 -Conexiones allot, Indican la funcionalidad de cada conexión del equipo.

Tabla 5 -Conexiones allot.

Nombre Descripción

System Muestra el estado actual del sistema. Si el indicador aparece verde constante, NetEnforcer está funcionando normalmente, si parpadea en rojo, un error fatal ha ocurrido.

PS1 Indica el estado de una fuente de alimentación. Si el indicador aparece verde constante, la fuente de alimentación está funcionando normalmente, si el led está apagado, significa que la fuente de alimentación está funcionando mal.

PS2 Indica el estado de la fuente de alimentación dos. Si el indicador led aparece verde constante, la fuente de alimentación está funcionando normalmente, si el led está apagado, significa que la fuente de alimentación está funcionando mal.

Nombre Descripción

Console Puerto de consola(conector RJ-45),el puerto serial RS232 se implementa como una conexión RJ-45

MGMNT Es el sistema de "puerto de administración con una interfaz Ethernet (RJ-45) y deben ser utilizado para el monitoreo y mantenimiento del sistema. Este puerto permite la conexión a dispositivos externos de gestión.

SERVICES 1-4

Son cuatro puertos de cobre que pueden ser utilizados para el tráfico asimétrico. También pueden ser utilizados para redirigir o reflejar el tráfico a servicios externos.

Bypass Sólo debe utilizarse para conectar el NetEnforcer a la unidad especial.

67

4.4.3.1. Cables utilizados

Algunos de los cables utilizados para la conexión del equipo NetEnforcer con el switch y el router se describen en la Tabla 6 -Cables utilizados.

Nombre conector

R-J45 Administrador del puerto

R-J45 Puerto de consola

R-J45 Bypass ( Internal / External )

D-Type 9-Pin

NetEnforcer Bypass Connector to Bypass Unit

R-J45 Entre Bypass y la unida Internal / External para la red.

Tabla 6 -Cables utilizados.

4.4.4. Conexión con el administrador

Ingresando el administrador de configuración a través de la URL para segmentar el ancho de banda requerido por la empresa, se deberá ingresar con el usuario y contraseña respectivas como indica la Figura 85 -Autentificación allot, mostrando la interfaz gráfica en la Figura 86 -Interfaz allot.

Figura 85 -Autentificación allot.

68

Figura 86 -Interfaz allot.

4.4.5. Segmentación de Bandwidth

4.4.5.1. QoS

El Catálogo de QoS contiene entradas que son valores posibles para la calidad de la acción de servicio para poder segmentar el ancho de banda, la segmentación se realiza conforme a requerimientos planteados por la empresa. Realizada la investigación del funcionamiento del equipo como primera etapa se creó una línea esta línea es por donde ingresa todo el ancho de banda del proveedor de servicios de internet en este caso alestra, se siguió la siguiente ruta de configuración quality of service > create new line enhanced QoS y allí se establecen los valores representados en la Figura 87 -Total de Bandwidth. 1.- Para esta primera división la configuración está indicada para que acepte los 10 MB de internet proporcionados por el proveedor de servicios en este caso Alestra este segmento que es el mayor ancho de banda se le otorgo el máximo de prioridad.

Figura 87 -Total de Bandwidth.

69

2.- A partir de la creación de la línea presentado en la en la Figura 87 -Total de Bandwidth, se llevó a cabo la segmentación de ancho de banda conforme a prioridades establecidas por la empresa. La segmentación de la línea se llama pipe o tubos estás pipes son la guía que seguirá cada segmento de ancho de banda. El primer segmento o creación de pipe se llevó a cabo para X que se le otorgó un ancho de banda de 4 MB esta segmentación se configuro en la parte izquierda de la pantalla principal en quality of service > create new pipe enhanced QoS mostrados en la Figura 88 -Primer segmento, en esta parte se le asignaron algunos valores lo cual va a indicar el tamaño del segmento y señalando el circulo de priority (besteffort). Este mismo proceso fue configurado para la creación de un segundo segmento (pipe) para Y que de igual forma se le asignaron 4 MB para uso de ancho de banda siguiendo la misma ruta indicada en este mismo paso.

Figura 88 -Primer segmento.

3.- Una tercera y última etapa fue la segmentación de una nueva pipe diseñada para los usuarios Z donde se les otorgo un ancho de banda de los 2 MB restantes, para la configuración de esta última pipe se siguió la misma ruta de configuración planteada en el paso 2 planteado arriba, observe la Figura 89 -Segundo segmento.

70

Figura 89 -Segundo segmento.

Terminada la segmentación del ancho de banda se deberá mostrar la línea segmentada como se indica en la Figura 90 -Segmentación.

Figura 90 -Segmentación.

4.4.5.2. Host

Para ingresar la dirección IP o el grupo de direcciones que van a pertenecer a un segmento y poderles aplicar listas de acceso o políticas de seguridad se siguió la siguiente ruta de configuración, en la pantalla principal en calogs > host > new host list, se le asignó un nombre, una descripción, se ingresó un rango de IP´s y seleccionamos add, en esta parte se seleccionó un rango especifico que conformaran el grupo al que se aplica el acceso, observe la Figura 91 -Host.

71

Figura 91 -Host.

4.4.5.3. Servicios

Proporciona una lista de todos los servicios que ofrece el equipo y que pueden incluirse en los accesos, observe la Figura 92 -Servicios, algunos de estos servicios fueron creados conforme a requerimientos del departamento de redes, otros servicios más es la aplicación de protocolos observados en la Figura 93 -Protocolo.

Figura 92 -Servicios.

72

Figura 93 -Protocolo.

4.4.6. Listas de acceso

Se siguió con la creación de políticas de seguridad para el segmento Z, creando un canal virtual de acceso dentro de la pipe de 2 MB para el grupo Ip_comercialización perteneciente a la empresa GROUP PHI, observe la Figura 94 -Lista de acceso.

Figura 94 -Lista de acceso.

73

CAPITULO 5

“ANÁLISIS Y RESULTADOS” Los resultados fueron alcanzados en su totalidad, aunque hubo actividades que se

retrasaron un poco, se pudieron finalizar con éxito, debido a que se dependía de

otras áreas y su personal involucrado, para la aprobación y realización del mismo,

cumpliendo así con el objetivo general del proyecto y los objetivos específicos, antes

planteados en el capítulo 2 sección 2.3; la implementación y configuración de los

equipos de seguridad fueron satisfactoriamente configurados, presentando un gran

beneficio en la empresa debido a que con la aplicación de políticas de seguridad,

herramientas de monitoreo y segmentación de ancho de banda, se pudo tener un

control sobre el acceso a páginas no permitidas por la empresa que a su vez, la

implementación de estos equipos en la red de PHI se vieron reflejados en el

rendimiento laboral de los empleados de la empresa.

Por otra parte la documentación realizada en base a la implementación de la norma ISO/IEC 27001:2005, fue de gran ayuda además de que dicha información documental fue aprobada cumpliendo con un requisito de implementación de la norma. En cuanto a las configuraciones de monitoreo de los switches, inicialmente se aplicaron a todos los ubicados dentro del Data Center, pero por órdenes ajenas al área se retomaron como inicialmente se tenían, algunas de las configuraciones de los equipos y switch. Algunos de los resultados obtenidos se pueden observar en la Figura 95 -Configuración de switch cisco catalyst 6504, Figura 96 -Configuración de equipos, Figura 97 -Monitoreo en tiempo real, que por cuestiones de privacidad de la empresa no fue aprobada la extracción total de información en este reporte, más que la que se detalla en el mismo.

Figura 95 -Configuración de switchcisco catalyst 6504.

74

Figura 96 -Configuración de equipos.

Figura 97 -Monitoreo en tiempo real.

CONCLUSIONES

Con los resultados obtenidos a la implementación de equipos de seguridad se alcanza apreciar la gran importancia que se tiene de ellos en base a la ayuda y al rendimiento laboral que puede resultar con los mismos dentro de una empresa. Con la implementación de estos equipos de seguridad y herramientas de monitoreo se tendrá un gran beneficio ya que se generaran reportes detallados de eventualidades requeridas antes por la empresa y los clientes en el momento que ellos dispongan. Después de haber desarrollado el proyecto de residencia se tiene en mente lo importante que fue esta última fase a lo largo de la carrera, ya que aparte de reforzar y poner en práctica los conocimientos y habilidades adquiridas anteriormente, también se adquirieron otros conocimientos que no se tenían, y que sin lugar a dudas apoyan nuestra formación profesional, la residencia nos ayuda a tener una formación más profesional e interactuar directamente con el ámbito laboral.

75

En lo particular estoy satisfecha por este logro, ya que se concluyó el proyecto con los resultados esperados atendiendo los requerimientos planteados por la empresa, con holgura en tiempos pero así mismo cumpliendo con los objetivos específicos del desarrollo de proyecto. A lo largo del desarrollo del proyecto se utilizaron diferentes formas de cómo realizar ciertas configuraciones, ya que pueden ser realizadas por línea de comandos o por la interfaz gráfica de los equipos Fortinet, según se requiera o se facilite. También pude observar la relación que existe entre las distintas áreas y la forma en cómo funcionan, ya que para poder realizar una solicitud a otra área se realiza un proceso de solicitud donde esta tiene que ser aprobada, es por ello que los tiempos tuvieron que ser ajustados, ya que se dependía de otras áreas involucradas.

Con la instalación de los equipos de seguridad, ahora se tiene control sobre lo que viaja atreves de la red, protegida de amenazas externas e internas. Sobre todo porque había mucha vulnerabilidad de seguridad en la red corporativa de PHI-IT y centro de datos.

REFERENCIAS BIBLIOGRÁFICAS

(28 de Abril de 2012). Recuperado el 02 de Mayo de 2012, de

http://es.wikipedia.org/wiki/PuTTY

(20 de Febrero de 2012). Recuperado el 27 de Abril de 2012, de

http://es.wikipedia.org/wiki/Secure_Shell

Gutiérrez Cavalcanti, A. (28 de Julio de 2008). Recuperado el 11 de Abril de

2012, de http://puntointegro.blogspot.mx/2008/07/aprenda-configurar-snmp-

en-un-switch.html

Humberto Rodrigez, J. (s.f.). Recuperado el 10 de Abril de 2012, de

http://www.bibliociencias.cu/gsdl/collect/eventos/archives/HASH010e.dir/doc.p

df

Martinez, L. F., & Teran T, W. (Junio de 2007). Recuperado el 02 de Mayo de

2012, de

http://www.uninorte.edu.co/divisiones/ingenierias/Dpto_Sistemas/lab_redes/upl

oad/file/MANUAL%20DE%20CONFIGURACION%20DEL%20ADMINISTRAD

OR%20DE%20ANCHO%20DE%20BANDA%20NETENFORCER.pdf

76

ANEXOS

ANEXO A GLOSARIO

A

Acceso remoto: Acceder desde una computadora a un recurso ubicado físicamente en otra, a través de una red local o externa (internet).

B

Backup: Es la copia total o parcial de información importante del disco duro, CD’s, u otro medio de almacenamiento, que pueden utilizarse para restaurar el estado original después de una eventual pérdida de datos.

C

Canal Virtual: Un canal virtual proporciona una manera de clasificar el tráfico y se compone de uno o más conjuntos de condiciones y un conjunto de acciones que se aplican cuando alguna de las condiciones se cumplan.

D

DNS: Domain Name System o sistema de nombres de dominio es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada.

DMZ: Zona Desmilitarizada es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de esta zona desmilitarizada es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa, los equipos (hosts) en la DMZ no pueden conectar con la red interna.

Disponibilidad: Es la condición donde un recurso dado puede ser accedido por sus consumidores.

F

FTP: Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol).

H

Holgura: Cantidad de tiempo que puede demorar una actividad sin afectar la fecha de terminación del proyecto total.

I

Información: Es un conjunto ordenado de datos procesados los cuales son manejados según la necesidad del usuario.

77

L

Línea: Una línea es una entidad lógica dentro de una política y representa el nivel más alto de la jerarquía. El ancho de banda total que pasa por la puerta de enlace de NetEnforcer.

N

NAT: Network Address Translation es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles.

O

Objetivos: Metas o logros que se pretenden conseguir y cuya medida de consecución sirve para valorar el rendimiento alcanzado.

P

P2P: Red punto a punto es una red de computadoras en la que todos o algunos aspectos funcionan sin clientes ni servidores.

Putty: Es un cliente de acceso remoto a máquinas informáticas de cualquier tipo mediante SSH, Telnet o RLogin.

Pipe: Es una entidad lógica dentro de una política. El ancho de banda total acumulado a través de cada línea se puede dividir en las tuberías, y cada tubo se puede administrar de forma independiente. Cada tubo se compone de una regla basada en uno o más conjuntos de condiciones y un conjunto de acciones que se aplican cuando todas las condiciones se cumplan

Phishing: Denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta

S

Segmento: Un segmento de red suele ser definido mediante la configuración del hardware o una dirección de red específica. en un segmento de red se incluyen todas las estaciones de trabajo conectadas a una tarjeta de interfaz de red de un servidor y cada segmento tiene su propia dirección de red.

Spyware: Es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.

SSH: Es el nombre de un protocolo y sirve para acceder a máquinas remotas a través de una red.