1

INSTALACIÓN Y ADMINISTRACIÓN DE HARDWARE Y SOFTWARE DE SEGURIDAD EN LA RED A PARTIR DE

NORMAS INTERNACIONALES.

http://networkingtools.blogspot.com/

2

INTRODUCCIÓN.

Este proyecto se hace con el propósito de instalar y administrar hardware y software de seguridad en una red de una mediana empresa. Se implementara todos los servicios a nivel de seguridad de tal manera que cumpla con los requisitos y normas técnica exigidas a nivel internacional. Todo esto con el fin de proteger a la empresa de posibles amenazas que provengan tanto del exterior de la red como a nivel interno.

Se utilizará software especializado como CISCO PACKET TRACER, para proyectar gráficamente la topología de la red, realizar la configuración de los dispositivos, y el direccionamiento entre entre los equipos de las 3 sedes en la empresa.

Respecto a la distribución de los dispositivos se hará a través de las 3 sedes. En una de las sedes se ubicaran 3 servidores, en otra será la parte administrativa y en otra se implementara tecnología inalámbrica y el acceso a Internet. Además en las sedes se crearan diferentes tipos de restricciones.

3

PLANTEAMIENTO DE PROYECTO. Justificación. Se implementara la seguridad en la red para una mediana empresa, con el fin de protegerlos de toda clase de violaciones y amenazas que se pueden sernir sobre la información privada que maneja la empresa, así como también los datos personales de directivos y empleados. Identificación de las competencias que se desarrollan.

Instalar y administrar hardware y software de seguridad en la red a partir de normas internacionales.

Identificación básica del contenido.

● Definir las normas y políticas de seguridad que se deben seguir a nivel físico para la seguridad.

● Utilizar herramientas tecnológicas a nivel se hardware y software para proteger la red.

● Establecer la topología lógica más adecuada. ● Direccionar redes y subredes. ● Configurar servicios de red.

4

Cronograma de actividades. Actividad a desarrollar

Duración Recursos requeridos Competencia especifica

Visita y reconocimiento 1 semana Cámara digital, libreta de notas, Análisis Planeación yestructuración delproyecto

2 semanas Computadores, memorias USB, libreta de notas, software simulador

Planeación yestructuración.

Exposición ypresentación del plan alcliente

2 día Computador, proyector, memoria USB

Relaciones publicas

Aprobación del proyecto 1 semana Estudio de recursos yadquisición demateriales

1 semana Computadores, catálogos de proveedores, comprador

Identificación derecursos ymateriales

Inicio del trabajo(Instalación decanaletas)

1 mes Canaletas plásticas, alicates, destornilladores, pinzas, taladro, brocas, sierra de metales, chasos y tornillos y clavos.

Instalación decomponentes de lared

Tendido y ponchado delcableado e instalación dedispositivos

2 semanas Ponchadoras, X metros de cable UTP 5e, conectores RJ45, pinzas, probador rápido de cable, 3 Router, 3 Switches. 1 router inalambrico.

Instalación decomponentes de lared

Configuración de losequipos y dispositivos einicio de pruebas defuncionamiento

2 meses Software de estructuración y configuración, Software de chequeo

Configuración decomponentes de lared y servicios dered

Pruebas defuncionamiento yfinalización

2 semanas Software de chequeo Análisis defuncionamiento ycorrección deerrores

5

Costos.

Producto Precio Unidades a usar

Router Cisco 2811 3.100.000 3 Switch Cisco 2950-24 1.500.000 3 Servidor (AMD Opteron, 8GB RAM DDR2, HDD 500GB) 2.000.000 3 Roter inalambrico 600.000 1 Canaleta Plástica 100x50mm (Metro) 9.500 Face Plate (Unidad) 2.500 Jack RJ45 (50 Unidades) 9.800 Linux Ubuntu Server Priceless 3 Licencia Windows 7 Enterprisse 1.500.000 Cables Seriales (5m) 300.000 Cable UTP 5e (Metro) 800 Rack 490.000 3

6

DESARROLLO DEL PROYECTO.

Aspectos metodológicos. Se plantea instaurar una red de datos realizando las configuraciones básicas de los dispositivos y de los servicios requeridos por la compañía, tales como servidores DNS, FTP, TFTP, y HTTP, también implementar el servicio de e-mail interno administrado por un servidor. Se implementaran políticas de seguridad, que permiten y deniegan acceso a ciertas áreas de la compañía con el fin de proteger la información, esto se hará a través de contraseñas, y también con dispositivos físicos como el firewall. Las actividades se realizaran de la siguiente forma:

● Se organizara una cita con el cliente para conocer sus necesidades y planear una visita para reconocimiento de campo.

● Se analizara la disposición de los dispositivos y las necesidades por sede. ● Se presentara la información al cliente del plan de acción, y se llegara a un mutuo

acuerdo sobre el desarrollo de este y los recursos requeridos para su correcta finalización.

● Se identificaran y se adquirirán los recursos físicos, tales como cableado, conectores y herramientas, dispositivos y equipos (PCS) faltantes.

● Se procederá en la fecha acordada con el cliente, el inicio de las actividades de instalación.

● Se configuraran debidamente los dispositivos y se probaran con el fin de asegurar su correcto funcionamiento.

● Se configuraran los servicios de red y se probara su debido funcionamiento. ● Se implementaran las políticas de seguridad de la red a nivel lógico. ● Se implementaran las políticas de seguridad de la red a nivel físico. ● Se entregaran los debidos manuales y planos estructurales y lógicos de la red al

cliente, para facilitar su futuro mantenimiento.

Recursos.

Didácticos: ● Software simulador (Packet Tracer 5.3). ● Software Utilizado (MS Word, MS Power Point). ● Guías textuales y tutoriales. ● Bibliografía (Manuales y Textos sobre Normativas).

Físico: ● Herramientas (Pinzas, Alicates, Ponchadoras, probadores, taladro, destornilladores,

sierra de metales, computadores (Software simulador), memorias USB (Transporte de documentación))

● Materiales (Cables UTP, conectores RJ45, canaletas metálicas, chazos, tornillos y clavos)

● Recursos Humanos (Tecnólogos y Técnicos instaladores).

7

Estudio y desarrollo de la topología lógica y física de la red. La topología física general de las tres sedes: La sede central contara con 600 host en el cual se ubicaran los servidores y el acceso a internet, la sede norte contara con 250 host y tendrá la tecnología inalámbrica, y la sede sur será la sede principal.

Implementación de los servidores. Los servidores se ubicaran en la sede central, y serán 3. Un servidor contará con los servicios de DNS y html. El Segundo servidor prestará los servicios de ftp y tftp, y el tercer servidor prestará el servicio de email. Implementación de las políticas de seguridad. La sede sur será la principal, y a esta tendrán acceso restringido las otras dos sedes, se implementara una seguridad física a través de la correcta protección de los equipos, y una seguridad lógica a través de firewall, software especializado y configuración de los dispositivos intermedios. En los swicht se implementará restricción a los puertos, en los servidores y pcs se instalarán antivirus y antispyware, y finalmente el firewall será un dispositivo ubicado en la sede central.

8

Sistemas Operativos.

1. Linux

Mirando las variables costo – beneficio, se ha decidido utilizar en los servidores el sistema operativo Ubuntu, dado que es el más seguro y estable, es gratuito, es liviano, y se puede actualizar con facilidad. El manejo de este sistema operativo será a cargo del administrador de la red. Para servidor FTP usaremos proftpd

Para servidor DNS usaremos bind

9

Para servidor de correo electrónico usaremos Sendmail

Para Servidor web utilizaremos servidor Apache.

Para manejar el servidor tftp instalaremos HPA’s tftp server

Para mayor protección activaremos el firewall de Ubuntu UFW Veamos cómo se utilizaría UFW para el bloqueo de puertos.

10

Este firewall tiene varias funciones: ● Protege de intrusiones. ● Protección de información privada. ● Optimización de acceso.

2. Windows Respecto a los demás usuarios, se ha decido utilizar el Windows 7, dado que es más amigable con el usuario común, está más familiarizado con el entorno gráfico, y es mucho más fácil el uso de la multimedia, así como también el acceso a los programas tradicionales. Ya en este sistema operativo, se instalaran los correspondientes programas de seguridad. Para estar más seguros de cómo mejoran los programas y cuál es su respuesta dentro del público, hemos visitado el sitio web de Softonic, y hemos consultado los programas más populares y sus comentarios. Hemos encontrado la siguiente lista.

1. avast!

2. AVG 3. ESET NOD32 4. Avira AntiVir Personal 5. Panda Cloud Antivirus 6. Kaspersky Anti-Virus 7. Norton AntiVirus 8. Malwarebytes Anti-Malware 9. MSNCleaner 10. SpyBot Search & Destroy

Basándonos en ella, hemos decidido utilizar dos programas para proteger los equipos Windows de todas las amenazas. Un antivirus que se encarga de proteger el equipo contra toda clase de virus, y un antimalware, que se encarga de proteger contra troyanos, espías y demás amenazas. No hemos querido agregar más programas para no sobrecargar el equipo y además consideramos que estos dos programas cumplen muy bien la función.

11

Software antivirus Avast

Protección contra Malwares el MalwareBytes

12

GOOGLE APPS Respecto a la seguridad en la navegación por internet, hemos decidido utilizar el conjunto de herramientas de google para empresas, el google Apps, que cuenta con varios servicios que cubren todas las necesidades ofimáticas de la empresa y además es gratuito, es en línea y es seguro.

En esta suite de programas encontraremos Google Docs, que es similar al Office, solo que con las ventajas que se puede hacer documentos de manera colaborativa y en línea, además de que así se está libre de virus por estar trasportando dispositivos de almacenamiento de un lado a otro. En cuanto al correo, se puede ofrecer una alternativa a la empresa con Gmail, que puede ser adaptado a las necesidades de la empresa e incluso quedar con el dominio de la empresa. Gmail es excelente porque tiene un excelente mecanismo AntiSpam.

También cabe mencionar que para proteger al equipo de molestas ventanas emergentes, y de sitios web potencialmente peligrosos se ha optado por instalar en los equipos el navegador de google, el Chrome, el cual es reconocido por su velocidad y por proteger al equipo de las ya mencionadas molestias.

13

FIREWALL DE WINDOWS

Para consolidar la seguridad de los equipos, y así evitar que aplicaciones roben información vital, se ha activado y optimizado el firewall de Windows, bloqueando las aplicaciones que son más propensas a generarle problemas al equipo, como son los programas P2P y los más conocidos son: El Ares y el Emule. Con todos los programas ya mencionados se garantiza una protección para el equipo en todos los ángulos y lo más importante sin sobrecargarlo. Además debemos mencionar que el sistema operativo Windows 7 es muy estable y seguro hasta el momento.

14

HARDWARE FIREWALL

Para terminar de completar las seguridad de los datos que se mueven en la intranet, se ha decidido, utilizar el Firewall Cisco Asa, debido a que es simple y rápido de administrar. La interfaz es bastante intuitiva y fácil de manejar. Se pueden configurar las reglas de filtrado directamente desde una interfaz gráfica en https:// gracias al acceso cliente JAVA.

15

El firewall Cisco ASA, le proporciona protección múltiple, gracias a sus numerosas funcionalidades: Inspección aplicativa: controla aplicación, soporte de protocolos voz y video; Prevención de instrusiones: protección en tiempo real contra ataques de aplicaciones DOS, detección y filtrado de la actividad de red de los gusanos y los virus, detección de spywares, adwares y malwares; Seguridad IPCom: inspección avanzada de protocolos de voz, firmas IPs específicas; Conectividad SSL y IPsec: servicios IPSec y SLL protegidos, servicios SSL con cliente o con portal ; Gestión de 450 Mbps de tráfico; Activar o desactivar firewall, directamente desde el manager.

Mejor que un firewall software, el firewall Cisco ASA no puede ser víctima de una desactivación no deseada que provenga de una acción humana o de un programa malicioso. Además su protección se mantiene activa independientemente del nivel de recursos disponibles en un servidor dedicado.

16

HARDWARE IDS – IPS

La sigla IDS corresponde en ingles a “Intrusion Detection System”, “Sistemas de Detección de Intrusiones” programas diseñados para detectar ataques a una red. Los IPS se encuentran permanentemente “escuchando” el trafico de la red, al detectar alguna anomalía en el mismo comparan los datos sospechosos con la “firma” con una muestra de algún ataque conocido y de reconocerlo como tal lanzan una alarma. Los IPS, “Intrusion Prevention Systems”, no solo detectan los ataques y dan alarma de ellos sino que también cuentan con capacidad para detenerlos. Hay varios programas que prestan funciones de IDS/IPS como Snort.

Pero dado que se va a implementar en servidores dedicados que demandaran gran capacidad de procesamiento, se usará mejor un hardware, el más conocido es TopLayer

Además trae un controlador que puede mostrar a través de interfaz gráfica los datos agregados desde cualquier combinación, proporciona datos en tiempo real, la edición es muy intuitiva. Además ofrece un servicio de subscripción que permite actualización frecuente de paquetes de protección.

17

RACKS y la Seguridad Física.

El rack será instalado en la sede central donde ubicaremos los servidores, el firewall, el IPS, y también el router. Será ubicado dentro de una habitación donde también se encontrara la oficina del administrador de redes, el cual en el día se encargara de vigilar el correcto funcionamiento de la red. En la noche el sitio permanecerá vigilado a través de una cámara conectada en una esquina de la oficina donde monitorea en tiempo real lo que pasa en el sitio, y esta cámara puede ser accedida desde internet. Esto facilitara hacer un seguimiento, desde la oficina principal o desde el hogar de la persona encargada. Adicionalmente esta sede cuenta con el servicio de vigilancia, la cual dará especial atención al cuidado de los equipos de res. Por otra parte para incrementar la seguridad se le ha añadido a la puerta unas chapas especiales que requieren de varias llaves para ser abiertas.

18

Restricción a páginas web. Existen varias formas de hacer restricciones a las páginas web, mencionaremos varios métodos, ya que se complementan entre sí, y esto genera mucho mayor seguridad en la red. Respecto al ISA server se dejara como opción que se puede instalar en un futuro, ya que para ello se necesita instalar Windows server.

1. El primero es a través de la propia página web. Se realizar con un lenguaje de programación PHP desde el lado del servidor; con .htpasswd. Más sin embargo hay una herramienta más fácil de manejar. .htpasswd Password generator. Visitando el sitio http://tools.dynamicdrive.com/password/ Utilice esta herramienta para generar todos los códigos necesarios para proteger la contraseña de un directorio o selecciona los archivos dentro de ella en su sitio a través. Htaccess. Se encripta las contraseñas que desee, a continuación, las salidas de los códigos correspondientes para poner dentro de su. Htaccess y. Htpasswd.

Esto se puede implementar en la página web de la empresa. 2. La segunda forma es a través de Microsoft ESP Isa Server 2006 (Internet Security & Acceleration Server). ISA Server es un Gateway integrado de seguridad perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones y los datos. Dado que estamos usando Ubuntu como servidor, entonces esta opción se puede pensar para más adelante.

19

3. WinGate el mejor servidor proxy

Permite conectar toda una red local (LAN) a Internet usando una única conexión física. Se puede usar programas (navegadores, Telnet, FTP, etc) sin tener que configurar routers.

Permite que todas las aplicaciones se ejecuten como si estuviesen conectadas directamente a Internet, opciones de vigilancia, reglas extendidas, cuentas, audiciones, base de datos para usuarios, mensajes, alertas remotas de sistema, un servidor SOCKS 5 con HTTP, proxies, base de datos para llamadas, soporte para múltiples módems, y la posibilidad de usarse como un servicio.

20

Seguridad en dispositivos y asignación de contraseñas. Host: En los host se utilizara software especializado (antes mencionado) en seguridad lógica, complementario a esto se asignara una cuenta de dominio con sus respectivas restricciones de acuerdo al usuario. Se controlara su conexión por medio de seguridad aplicada en los puertos del Switch (“switchport port-security violation shutdown” y “switchport port-security mac-address sticky) para prevenir intruciones en la red.

Servidores: Estos se ubicaran en espacios controlados de acceso restringido, al igual que con los host se implementara software para protección y contraseñas. Dispositivos: Se ubicaran en espacios controlados de acceso restringido, al igual que se usaran RACK’s con cerradura a la cual solo tendrá acceso el administrador. En la seguridad lógica de estos, se usaran contraseñas encriptadas tanto para su acceso local como remoto, además de seguridad por puertos.

El acceso a la red desde el exterior será controlado por un dispositivo Firewall con funciones IDS e IPS.

21

Implementación de seguridad para los servicios de aplicación. E-mail: Se asigaran cuentas de dominio controladas, además de servicios de Antivirus/Anti-Spam especializados para el servicio. FTP/TFTP: Se asignaran cuentas con diferentes niveles de permisos, siendo solo de lectura y listado para usuarios comunes y control total para administradores de confianza. Telnet: El acceso por medio de Telnet solo será permitido para administradores. Wireless: En los segmentos de red inalámbrica se usara protección tipo WPA2 a nivel personal, siendo necesario el uso de contraseña para el acceso a la red, de igual forma se asignaran periodos de tiempo de inactividad de ser necesario (por días u horas).