stsstsfirewallfirewall - soltecsis

STSFIREWALLSTSFIREWALLSEGURIDAD INFORMÁTICAARQUITECTURAS DE REDES DE ORENADORESDOCUMENTACIÓN TÉCNICA DICIEMBRE 2008

2

STSFIREWALL

Tel.Fax: 966 446 046www.soltecsis.com

[email protected]

STSFIREWALL

1. INTRODUCCIÓN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 04

2. IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA . . . . . . . . . . . . . . . . . . . . . 07

3. CARACTERÍSTICAS DEL STS-FIREWALL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 09

4. DISPOSITIVOS ADICIONALES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 4.1. REGLETAS DE CONTROL DE CORRIENTE EPOWER . . . . . . . . . . . . 16 4.2. SWITCHER KVM-IP (KEYBOAR, VGA, MOUSE) . . . . . . . . . . . . . . . . . 17 4.3. SAI (SISTEMA DE ALIMENTACIÓN ININTERRUMPIDA) . . . . . . . . . . . 18

5. WEB ACCESS CONTROL (PROXY WEB) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 5.1. INFORMES DE ACCESO A LA WEB . . . . . . . . . . . . . . . . . . . . . . . . . . 21

6. CONSOLA DE FIREWALLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

7. SOLTECSIS MANAGEMENT CONSOLE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 7.1. OPCIONES COMUNES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 7.1.1. VALORES MEDIOS Y MÁXIMOS . . . . . . . . . . . . . . . . . . . . . . 32 7.2. OPCIONES ESPECÍFICAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 7.3. CAMPOS DEL TÍTULO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 7.4. VISTAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7.5. LA IMPORTANCIA DEL PERIODO DE MUESTREO . . . . . . . . . . . . . . . 36 7.6. EJEMPLOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

8. GLOSARIO DE TÉRMINOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

ÍNDICE

STSFIREWALL1. INTRODUCCIÓN

04

STSFIREWALL

05

En el presente documento se describen en gran detalle las características y funcionalidades técnicas aportadas por el producto de seguridad informáti-ca STS-FIREWALL desarrollado y suministrado por la empresa SOLTECSIS SOLUCIONES TECNOLÓGICAS, S.L.

Los FireWalls ó cortafuegos son dispositivos que se usan para controlar y restringir el tráfico de red que circula a través de ellos, mediante el filtrado de los paquetes de datos en función de una base de reglas preestablecida que constituyen lo que se conoce como la política de seguridad del firewall.

Son elementos clave para la seguridad de cualquier red de ordenadores que actúan a modo de reguladores de tráfico permitiendo aquel que sea válido para las redes protegidas y denegando aquellas comunicaciones peligrosas o no deseadas.

En la siguiente imagen se muestra una de las posibles configuraciones hard-ware para el dispositivo utilizado en el sistema de firewalls STS-FIREWALL.

Se trata de un equipo de reducido tamaño y bajo consumo, con la potencia suficiente para satisfacer las necesidades de comunicación y seguridad de cualquier empresa.

1. INTRODUCCIÓN

STSFIREWALL

06

1. INTRODUCCIÓN

Existe una versión aún más reducida que funciona sin disco duro lo cual im-pide el uso de las opciones de proxy web o IDS, pero que lo hacen ideal para entornos en donde no se precisen estas opciones adicionales.

El sistema de firewalls STS-FIREWALL se puede configurar opcionalmente como un Cluster en Alta Disponibilidad. Esta configuración en cluster se forma mediante dos equipos STS-FIREWALL funcionando en modo maestro-esclavo, de tal modo que si el maestro deja de funcionar por el motivo que sea (por ejemplo, por un problema hardware en la placa base) el nodo esclavo asume su papel evitando de ese modo la interrupción de las comunicaciones entre las redes protegidas.

En este mismo documento se describen también otros dispositivos que son de gran ayuda para mejorar la administración de las redes de ordenadores protegidas por el sistema de firewalls STS-FIREWALL y que permiten, ade-más, la ejecución automatizada de acciones para solventar problemas de red. Por ejemplo, el dispositivo de control de tomas de corriente ePower permite que el firewall reinicie eléctricamente un router ADSL si se detecta que este está bloqueado. Muchas veces un reinicio eléctrico es suficiente para que el router vuelva a sincronizar el enlace DSL restableciendo así la comunicación con Internet del modo más rápido posible.

STSFIREWALL2. IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA

07

STSFIREWALL

8

En los últimos años todas las empresas están haciendo un gran esfuerzo en adaptarse a las nuevas tecnologías y abrirse nuevos caminos en la sociedad de la Información. Sin embargo, esta apertura de nuevos caminos también provoca que surjan nuevas amenazas. No sólo debemos modernizarnos y aprovecharnos de las ventajas de las nuevas tecnologías, sino que también tenemos que protegernos ante posibles problemas de seguridad que nos hagan vulnerables.

“Actualmente la seguridad informática es la asignatura pendiente de la ma-yoría de las empresas.”

Disponer de una conexión, en cualquiera de sus modalidades, que nos ga-rantice nuestro acceso a las autopistas de la información significa un gran avance y al mismo tiempo es una puerta abierta para que información crítica para la empresa sufra daños o accesos no autorizados. Si pensamos en la seguridad física de nuestra empresa seguro que no se nos ocurriría dejar abierta la puerta de acceso a la oficina, pues del mismo modo debemos es-tablecer los mecanismos que nos garanticen el acceso autorizado y seguro a nuestros sistemas informáticos a través de las redes de comunicación de da-tos, y esto se consigue implantando mecanismos de seguridad informática.

Otro factor a tener en cuenta sería la degradación de la imagen corporativa que sufren las empresas cuyos problemas de seguridad salen a la luz. Está claro que si nuestra empresa llega a ser víctima de pérdida o robo de datos, la pérdida de credibilidad frente a nuestros clientes es grande, pero más aún frente a nuestra competencia, lo cual para algunas empresas puede incurrir en una pérdida de negocio total y catastrófica.

El objetivo de nuestro producto de seguridad integral STS-FIREWALL es garantizar la seguridad de las redes protegidas y evitar las consecuencias derivadas de los fallos de seguridad, los cuales pueden originar interrupcio-nes en la operativa de nuestra empresa, provocando pérdidas económicas elevadas y desprestigio frente a la competencia.

“Hay que prevenir e invertir en seguridad porque la información es el activo más importante de toda empresa.”

La solución técnica que SOLTECSIS SOLUCIONES TECNOLÓGICAS ex-pone en este documento proporciona las armas necesarias para combatir las principales fuentes de amenaza, tanto internas como externas, que pueden afectar a las redes de datos de su empresa.

2. IMPORTANCIA DE LA SEGURIDAD INFORMÁTICA

STSFIREWALL3. CARACTERÍSTICAS DEL STS-FIREWALL

09

10

STSFIREWALL

Los firewalls ó cortafuegos son dispositivos que se usan para controlar y res-tringir el tráfico de red que circula a través de ellos, mediante el filtrado de los paquetes de datos en función de una base de reglas preestablecida que constituyen lo que se conoce como la política de seguridad del firewall.

La base de reglas que definen el tráfico permitido y el restringido (es decir, la política de seguridad) se administra mediante una sencilla interfaz gráfica (la consola de firewalls) a través de la cual se tiene un control total de todo el tráfico que circula entre cada una de las redes a las cuales se encuentra conectado el firewall. A continuación se muestra una imagen de ejemplo de dicha interfaz:

Entre otras cosas, desde la consola de firewalls podemos:• Proteger nuestras redes de intentos de acceso no autorizados desde el exterior (Internet).• Permitir el acceso desde el exterior a los servicios que deseemos (por ejemplo, habilitar el acceso a nuestro servicio web, servicio de entrega de correo, etc.).• Limitar la salida al exterior de nuestros trabajadores (por ejemplo, evitar el uso de programas de mensajería instantánea ó programas P2P tipo eMule, etc.).• Definir la política de seguridad asociada a cada conexión VPN de tal modo que podamos establecer los accesos permitidos y restringidos a los equipos de la empresa en función del papel que desempeñe el usuario que conecta a la red de la empresa a través de su respectiva conexión VPN.

3. CARACTERÍSTICAS DEL STS-FIREWALL

11

STSFIREWALL

En el siguiente diagrama se muestra un esquema que describe la arquitec-tura de red que vamos a utilizar a modo de ejemplo. En el mismo se pue-de ver la ubicación típica de un sistema de firewalls, como el productoSTS-FIREWALL descrito en el presente documento.

El objetivo de una topología de red como la expuesta en este ejemplo es ga-rantizar la seguridad de las comunicaciones tanto a nivel interno como exter-no, protegiendo al máximo los recursos y sistemas críticos para la empresa, así como garantizar la continuidad de servicio estableciendo mecanismos de tolerancia a fallos en los sistemas críticos (líneas de acceso a Internet, firewalls, etc.).Como se puede apreciar, este gráfico correspondería a una empresa con dos redes privadas protegidas por el sistema de firewalls:

• La Red de Ofimática. Utilizada para interconectar los PCs de los emplea-dos y recursos compartidos tales como impresoras, scanner, etc.• La Red de Servidores. Utilizada para los servidores internos que prestan los servicios necesarios para los empleados (compartición de ficheros, ba-ses de datos, etc.), así como los servicios públicos para usuarios Internet (web, correo, FTP, etc.).

La arquitectura de red expuesta en el ejemplo indica, además, que la empre-sa dispone de dos conexiones a Internet. El STS-FIREWALL es capaz de repartir por ambas conexiones los accesos a Internet originados tanto desde la red de ofimática como desde la red de servidores, obteniéndose de ese modo un balanceo de carga en el acceso a Internet.


12

STSFIREWALL

Es más, en caso de fallo en una de las conexiones a Internet, el STS-FIREWALL es capaz de redirigir todo el tráfico por la otra conexión, de este modo se consi-gue tolerancia a fallos y alta disponibilidad en el acceso a Internet.

Como se puede ver en la topología de red de ejemplo, se dispone de dos co-nexiones a Internet mediante líneas ADSL. Es recomendable además, disponer de conexiones con proveedores diferentes para conseguir que si un provee-dor tiene problemas en un momento dado, estos no afecten a la otra línea.

Mediante la adquisición de uno de los dispositivos de control de corriente eléctrica ePower descritos más adelante, el sistema de firewalls es capaz de provocar un reinicio eléctrico del router ADSL correspondiente a la línea caída con el fin de intentar hacer que esta vuelva a estar operativa. En la mayoría de las ocasiones, el problema de caída en el acceso a Internet a tra-vés de una línea ADSL se solventa con tan solo apagar y encender el router. Nuestro sistema de firewalls es capaz de hacer esto de forma automatizada, notificando por e-mail y/o mensajes SMS a móvil cuando se produce la caída de una línea ADSL y cuando se detecta la restauración del acceso a Internet a través de la misma.

Como claramente se puede apreciar en el gráfico, en una red protegida, el elemento crítico a través del cual circula todo el tráfico de red es el firewall. Cualquier comunicación entre las diferentes redes y/o desde Internet tiene que pasar obligatoriamente a través de este elemento. Dada la criticidad del mismo para el funcionamiento de la red, es aconsejable hacer uso de una ar-quitectura de firewalls redundantes con configuración cluster en alta dis-ponibilidad, tal y como se muestra en el esquema de red de ejemplo, con la finalidad de garantizar la continuidad de servicio incluso ante la eventualidad de que se produzca un fallo grave en alguno de los componentes hardware de uno de los firewalls (disco duro, CPU, memoria, placa base, etc.).

Dicha configuración cluster permitirá que, de forma totalmente automatiza-da, uno de los nodos del cluster asuma las funciones y papel de su nodo hermano en el caso de que este deje de funcionar por el motivo que sea. Además, intentará restablecer la operativa del nodo hermano provocando un reinicio eléctrico del mismo con el fin de intentar devolverlo a un estado estable (para poder hacer uso de esta funcionalidad es necesario disponer de uno de los dispositivos ePower descritos más adelante en este mismo documento).

Hay que tener presente que la configuración en cluster es opcional y que es posible adquirir un sistema de firewalls STS-FIREWALL si configuración cluster.


13

STSFIREWALL

Cualquier cambio de estado en el STS-FIREWALL es notificado por correo electrónico a los administradores de red para que tengan constancia en todo momento del estado del mismo. Se puede hacer incluso que dichas notifica-ciones se remitan vía SMS a los móviles de los administradores.

Como características adicionales, el producto STS-FIREWALL nos va a per-mitir las siguientes funcionalidades:

• VPN (Virtual Private Network). Creación de conexiones VPN a las redes de la oficina con una política de seguridad diferente para cada conexión VPN. Esto es de utilidad para los usuarios del tipo roadwarrior. Los usuarios road-warrior son aquellos que, debido a la labor que desempeñan, precisan conec-tar de forma segura a los servidores de la oficina desde cualquier conexión a Internet. Un buen ejemplo de este tipo de usuarios son los comerciales que viajan de forma habitual y precisan conectar con frecuencia a bases de datos de la oficina. Otro ejemplo podría ser el personal técnico encargado de admi-nistrar y mantener los sistemas de la oficina (los administradores de sistemas) que precisan de un acceso VPN para conectar cuando no se encuentran en la oficina. La política de seguridad a asociar a cada uno de estos grupos de usuarios que hemos descrito en este par de ejemplos es totalmente distinta.

• QoS (Quality of Service). Permite priorizar anchos de banda. Por ejemplo, dar más prioridad al tráfico web que a cualquier otro tráfico de red, de tal modo que en casos de saturación de ancho de banda dicho servicio vaya fluido y no se vea afectado por otras transferencias de datos. También per-mite asignar de forma equitativa el mismo ancho de banda para todos las conexiones de un tipo dado, de tal modo que, en momentos en los que se utilice el ancho de banda disponible al máximo, este se reparta entre todas las conexiones existentes de forma equitativa, evitando que una conexión monopolice el ancho de banda en perjuicio del resto de conexiones. A parte de las reservas de ancho de banda, también permite especificar que clase de tráfico tiene prioridad a la hora de acceder al ancho de banda libre.

• Sistema para la Monitorización en tiempo real (SOLTECSIS Manage-ment Console). Consiste en un sistema de toma de muestras con intervalos de tiempo de muestreo muy reducido (del orden de 10 segundos), sin que el propio sistema de muestreo conlleve un consumo apreciable de recursos, y un sistema de generación de gráficas basadas en las muestras obtenidas que permite una monitorización muy eficaz y real del estado de los recursos (CPU, disco, memoria, tráfico de red, etc.) de los firewalls y resto de equipos servidores. Más adelante se da una descripción mucho más detallada de este sistema.

• Advanced Routing. Permite que el firewall pueda enrutar por diferentes en-laces a Internet en función del origen. Permite, además, el balanceo de carga del tráfico de salida a Internet en caso de disponer de más de una conexión a Internet. Si, por ejemplo, disponemos de dos líneas ADSL, mediante esta característica del firewall podemos hacer que conexiones diferentes hacia


14

STSFIREWALL

Internet se repartan por las dos líneas disponibles, aprovechando de ese modo el ancho de banda disponible mediante la combinación de las dos co-nexiones. También permite tolerancia a fallos en el acceso a Internet, dado que si una de las líneas de datos falla, la totalidad del tráfico se reencamina de forma automática por la otra hasta que se solvente la avería.

• Load Balancing (Balanceador de Carga). Permite repartir la carga entre dos servidores de forma que no se sature el servicio y se obtenga un mayor rendi-miento. Por ejemplo, si disponemos de dos servidores web, podemos hacer que distintas conexiones al servicio web provenientes de Internet se repartan entre los mismos, repartiendo la carga de proceso de las peticiones web entre ellos.

• DNS CACHE. Permite realizar traducciones de nombres de dominios en sus correspondientes direcciones IP a través de un servidor DNS instalado en el propio firewall. Esto agiliza el proceso de resolución, dado que resolu-ciones llevadas a cabo previamente se llevan a cabo en el propio firewall sin necesidad de tener que conectar con Internet para ello. Los PCs de las redes protegidas pueden hacer uso de este servicio para mejorar su velocidad de acceso a Internet.

• Servidor DHCP. Para la asignación dinámica de IP’s dentro de las distintas redes a las cuales se conecta el firewall.

• Servidor NTP (Network Time Protocol). Permite sincronizar los relojes de todas las máquinas de las redes internas.

• Web Access Control (Proxy Web). Permite realizar un filtrado del las pági-nas web a las cuales pueden acceder nuestros empleados así como obtener informes estadísticos de la utilización de este servicio por parte del personal interno. Además, permite reducir el ancho de banda para la navegación web consumido por nuestros empleados, así como acelerar la navegación cuan-do la información solicitada se encuentra ya en la caché de acceso a la web. Más adelante se da una descripción más detallada así como ejemplos de los informes generados.

• IDS (Intrusion Detection System). Permite detectar intentos de conexión no autorizados desde Internet a los sistemas albergados en las redes internas de la oficina. Es de utilidad para detectar posibles fallos en la seguridad.

• Sistema de alarmas. Cualquier cambio de estado o situación que se con-sidere de relevancia para los administradores de sistema es notificada de inmediato vía e-mail y/o SMS por el sistema de alarmas.


STSFIREWALL4. DISPOSITIVOS ADICIONALES

15

16

STSFIREWALL

A continuación se describe un conjunto de dispositivos adicionales que se pue-den adquirir con el fin de mejorar la administración y mantenimiento de una red de ordenadores. Estos dispositivos no son necesarios imprescindibles para el funcionamiento del STS-FIREWALL en si, pero sirven para que este pueda desempeñar las tareas adicionales descritas en las secciones siguientes.

4.1. REGLETAS DE CONTROL DE CORRIENTE EPOWER.Este tipo de regletas de enchufes es de gran utilidad dado que permiten el apagado/encendido de cualquiera de los cuatro enchufes de que cons-ta, a través de una dirección IP. La regleta posee una interfaz de red ether-net a través de la cual se conecta a una red IP y desde la cual se puede establecer comunicación con la misma para indicarle que lleve a cabo elapagado/encendido de cualquiera de sus 4 enchufes.

Esta regleta es de gran utilidad para la configuración cluster de firewalls, dado que va a permitir que uno de los nodos del cluster sea capaz de reini-ciar eléctricamente a su hermano cuando detecte que este está caído por el motivo que sea.

Del mismo modo permite el reinicio eléctrico de los routers ADSL cuando es-tos dejan de funcionar con el objetivo de restaurar una conexión a Internet blo-queada tal y como se ha explicado en la sección anterior de este documento.

También va a servir para que, desde el cluster de firewalls, reiniciar eléctri-camente cualquiera de los equipos servidores que detectemos que dejan de estar operativos e intentar devolverlos a un estado consistente de forma totalmente automatizada.

Podemos pensar que a través de la interfaz serie del SAI ya se pueden llevar a cabo dichas acciones de reinicio eléctrico del equipo conectado a uno de los enchufes, pero ¿qué sucede si el equipo al que se conecta el SAI deja de estar operativo? Nadie lo podrá reiniciar eléctricamente y ya no se podrá rei-niciar a ningún otro equipo. La regleta ePower tiene la ventaja de que, al dis-poner de su propia conexión a la red, se pueden utilizar sus funcionalidades de reinicio eléctrico de enchufes desde cualquiera de los PCs conectados a su misma red.

4. DISPOSITIVOS ADICIONALES

17

STSFIREWALL

Para poder obtener control sobre más tomas de corriente, se puede optar por una solución ePower Master/Slave que nos permite controlar hasta un total de 32 tomas de corriente mediante una arquitectura escalable de 4 mó-dulos con 8 tomas de corriente por cada módulo, partiendo siempre de un módulo master al cual es posible conectar 3 módulos slave adicionales.

Es más económico un módulo master con 8 tomas de corriente que com-prar dos regletas ePower. Además, el espacio necesario para un módulo es mucho menor que el necesario para dos regletas, dado que cada módulo ocupa una única unidad de rack. También hay que tener en cuenta que una vez adquirido el módulo master, los módulos slave son más económicos y la solución master/slave tiene la ventaja añadida de que con una única IP se puede controlar hasta 32 tomas de corriente.

4.2. SWITCHER KVM-IP (KEYBOAR, VGA, MOUSE).Este tipo de dispositivos se utiliza para acceder a la consola (teclado, moni-tor y ratón) de varios equipos a través de un único teclado, monitor y ratón. Posee una entrada a la cual conectamos nuestro teclado, monitor y ratón; y varias entradas más (en función del modelo elegido: 8, 16, 24, etc.) a las cuales se conectan el teclado, salida VGA y ratón de los equipos a los cuales deseemos acceder por consola.

La conmutación de la consola de un equipo a otro se lleva a cabo mediante la pulsación de un botón que va pasando por todos los equipos disponibles.

Una variante de este tipo de dispositivos, muy interesante y útil para la ad-ministración remota, son los Switchers KVM sobre IP. Estos dispositivos dis-ponen de una conexión de red para conectarlos a una de nuestras redes y permiten la conexión a la consola de nuestros equipos desde cualquier parte de Internet que nuestro sistema de firewalls permita.

Para entender mejor su gran utilidad, imaginemos el caso en el que un servi-dor que tenemos instalado en un país extranjero se queda bloqueado y no tenemos modo alguno de acceder al mismo dado que no responde a ningún intento de conexión a través de Internet. Si dispusiéramos de un switcher KVM sobre IP conectado a dicho equipo, nos podríamos conectar al mismo por Internet para ver la consola del equipo bloqueado e intentar solventar el problema. Podríamos incluso llevar a cabo la reinstalación completa del sis-


18

STSFIREWALL

tema operativo de un servidor en el caso de que alguien nos pudiera poner el CD de instalación en la unidad de lectura de CDs.Un switcher KVM sobre IP combinado con un sistema de apagado/encendido eléctrico como el ePower expuesto en este mismo documento, nos permi-ten un control remoto total de nuestros servidores, dado que, en caso de ser necesario, podemos llegar a reiniciar eléctricamente de forma remota un servidor bloqueado con el fin de intentar que retorne a un estado estable viendo a través del KVM-IP lo mismo que veríamos si estuviéramos enfrente de la consola del equipo.

4.3. SAI (SISTEMA DE ALIMENTACIÓN ININTERRUMPIDA).Para garantizar la continuidad de nuestra empresa, incluso en el evento de que se produzca un fallo en el suministro de corriente eléctrica, es necesario un SAI que proporcione una autonomía suficiente a los servidores para que puedan aguantar hasta que se restablezca el suministro eléctrico o bien has-ta que se pueda solicitar el servicio de un grupo electrógeno que suministre corriente durante el tiempo que sea necesario.

El SAI OCEAN 300VA proporciona la autonomía suficiente para tal fin. Ade-más, este dispositivo se puede conectar a un equipo y configurarse de modo que, en el caso de que falle el suministro eléctrico y las baterías estén apunto de agotarse, se fuerce a que todos los equipos se apaguen de forma or-denada antes de que la corriente eléctrica se vea interrumpida. De este modo se evitan apagados bruscos en los equipos servidores que pueden dar lugar a pérdidas de datos, corrupciones en la base de datos, inconsistencias en sistemas de ficheros, etc.Es más, los equipos servidores se pueden configurar para que, en el caso de que se apaguen por agotamiento de las baterías del SAI, en cuanto se res-tablece la corriente eléctrica, vuelvan a iniciarse de forma automática. De este modo, los equipos son capaces de apagarse de forma ordenada en el caso de que sea necesario y volver a encenderse en el momento en que se restablezca el suministro eléctrico de forma totalmente automatizada.Este sistema se configura con notificaciones de alarma remitidas por e-mail y a teléfonos móviles, de modo que los administradores de sistemas tengan la no-tificación correspondiente de cuando se ha producido un fallo en el suministro eléctrico y tomen las acciones oportunas para solventar el problema.


STSFIREWALL5. WEB ACCESS CONTROL (PROXY WEB)

19

20

STSFIREWALL

Esta funcionalidad del STS-FIREWALL permite tener un control total del ac-ceso a la web desde todos los ordenadores protegidos. A continuación de muestra un listado de las características más destacables de este módulo:

• Notable reducción del volumen de tráfico descargado desde Internet. Cada vez que se establece una conexión al servicio web desde cualquiera de los PCs de las redes internas, si alguno o varios de los documentos soli-citados (páginas web, imágenes, vídeos, etc.) se encuentran ya en la caché web del STS-FIREWALL y estos no han sufrido modificación en la fuente de origen respecto a al versión existente en la caché, en vez de solicitarlos de nuevo a dicha fuente, se suministran directamente desde el propio firewall al PC que inició la solicitud, ahorrando ancho de banda al evitar tener que descargar el documento de nuevo por Internet.

• Notable incremento de velocidad en el acceso a la web. Como se ha explicado en el punto anterior, el echo de que un documento solicitado se encuentre ya en la caché del firewall, conlleva que se transfiera directamente desde este sin tener que obtenerlo de nuevo desde Internet. Esto supone que dicho documento se recibirá a la velocidad que proporcione la red local, la cual suele ser del orden de cientos de veces superior a la velocidad de acceso a Internet.

• Informes de acceso a la web. Podrá obtener informes detallados acerca de los accesos a la web llevados a cabo desde cada uno de los PCs de la oficina.

• Restricción de acceso a la web. Se permite restringir el acceso a uno o varias PCs de la oficina a ciertos sitios web concretos o clasificados por ca-tegorías (eróticos, juegos, etc.) basados en bases de datos que se actualizan diariamente de forma automatizada. Puede agrupar los PCs de la oficina de tal modo que aplique políticas diferentes de restricción de acceso a cada grupo.

• Transparencia. No hay que modificar nada de la configuración de lo PCs para que el STS-FIREWALL sea capaz de analizar y restringir el tráfico web como se ha descrito en los puntos anteriores. Una vez instalado, todo fun-ciona de forma transparente.

5. WEB ACCESS CONTROL (PROXY WEB)

21

STSFIREWALL

5.1. INFORMES DE ACCESO A LA WEB.A continuación vamos a ver varios ejemplos de los informes generados por el módulo Web Access Control para tener una idea más concreta de como la información mostrada a través de los mismos nos permite controlar los accesos a la web llevados a cabo desde cada uno de los PCs protegidos por el sistema STS-FIREWALL. El idioma de los informes es configurable, pudiéndose utilizar el castellano.

Lo primero que tenemos que hacer es seleccionar el periodo de tiempo que de-seamos visualizar a partir del menú que se muestra en esta imagen de ejemplo:

Los informes se generan diariamente a partir de los logs de acceso a la web y se agrupan por periodos de tiempo configurables (por ejemplo, por sema-nas). Una vez generados los informes, los logs se comprimen y se archivan de forma automatizada.

Una vez elegido el periodo de tiempo a visualizar, accederemos al informe principal que se muestra a continuación, a partir del cual podemos llegar a informes más detallados.


22

STSFIREWALL

Aquí podemos ver un resumen de los accesos a la web llevados a cabo desde cada uno de los PCs, ordenado de mayor a menor cantidad de bytes transferidos. Como se puede ver, cada PC es identificado mediante unUSERID flecha (1). Este es un nombre configurable que va vinculado a la IP del PC que se está monitorizando y que nos permite identificarlo con facili-dad. Es posible hacer clic sobre identificador de cada PC con el fin de ac-ceder a un informe de los sitios web visitados desde el mismo, ordenado de mayor a menor en función de la cantidad de bytes transferidos desde cada sitio web.

Este informe es de gran utilidad para saber cuales son los sitios web más visitados desde cada PC. También es posible visitar, desde el propio informe, cada uno de los sitios web listados con tan sólo hacer un clic con el botón izquierdo del ratón sobre el nombre del sitio que se desea visitar.


23

STSFIREWALL

Si nos fijamos veremos que la flecha (2) apunta a dos pequeños iconos, uno con tres barras de colores y otro con un reloj. Cada uno de estos iconos nos lleva, respectivamente, a los informes que se muestran a continuación.


24

STSFIREWALL

El icono con las barras nos da acceso a una gráfica de barras en donde se nos muestra el consumo diario de transferencia web por parte del PC correspondiente. Mediante el icono reloj accedemos al informe en que se nos muestra la transferencia acumulada por horas, lo cual nos permite saber fácilmente cuales son las horas en las que el PC en cuestión está siendo más utilizado para acceder a la web.

Si a continuación seguimos el enlace indicado por la flecha (3), veremos que corresponde a un informe en el cual se listan los sitios web más visitados, independientemente del PC desde el cual se haya accedido.

Se muestran los 100 sitios web más visitados (en este gráfico únicamente se muestran los 20 primeros) junto con la cantidad de veces que se ha conec-tado a cada sitio y la cantidad de bytes transferidos. La lista se ordena de mayor a menor cantidad de bytes transferidos. Es posible visitar cada uno de los sitios web listados con tan solo hacer un clic con el botón izquierdo del ratón sobre el nombre del sitio que se desea visitar.


25

STSFIREWALL

Siguiendo el enlace de la flecha (4) visualizaremos un nuevo informe en el que se muestra los sitios web más accedidos y los usuarios que más acceden a dichos sitios, con la posibilidad de acceder a los mismos con hacer clic sobre su nombre.

El enlace de la flecha (5) nos lleva al informe de descargas mediante el cual es posible saber desde que PCs se han llevado descargas de archivos a través de la web, así como el archivo en concreto descargado. Es posible descargar ese mismo archivo con tan solo hacer un clic sobre la URL de acceso al mismo.


26

STSFIREWALL

A través del enlace de la flecha (6) accedemos al informe de URLs a las cua-les se ha intentado acceder pero se ha denegado el acceso.

Por último, el enlace de la flecha (7) lleva al informe de URLs a las cuales se ha intentado acceder, pero se ha requerido una autentificación que no se ha llevado a cabo de forma satisfactoria.


STSFIREWALL6. CONSOLA DE FIREWALLS

27

28

STSFIREWALL

Como ya se comentó en un apartado anterior, el STS-FIREWALL integra una consola de firewalls que permite gestionar de forma gráfica la base de reglas que constituye la política de seguridad del firewall. Desde esta interfaz es muy sencillo gestionar la política de seguridad del firewall.

Desde la misma se puede definir una política global así como una política asociada a cada una de las interfaces de red del firewall. En la sección apun-tada por la flecha (1) se pueden seleccionar los componentes (interfaces de red, política global, NAT, etc.) de la política del firewall que deseamos ges-tionar. En la sección apuntada por la flecha (2) se muestra la base de reglas asociada al componente seleccionado.

La flecha (3) apunta a la sección en donde se definen los comentarios asocia-dos a cada regla de la política de seguridad, los cuales son de gran utilidad para entender la razón de ser de cada regla.

6. CONSOLA DE FIREWALLS

STSFIREWALL7. SOLTECSIS MANAGEMENT CONSOLE

29

30

STSFIREWALL

El STS-FIREWALL dispone de un eficaz sistema de monitorización de es-tado de recursos (CPU, disco, memoria, red, etc.) en tiempo real conocido como SOLTECSIS Management Console. Consiste en un sistema de toma de muestras con intervalos de tiempo de muestreo muy reducido (del orden de 10 segundos), sin que el propio sistema de muestreo conlleve un consu-mo apreciable de recursos, y un sistema de generación de gráficas basadas en las muestras obtenidas que permite una monitorización muy eficaz y real del estado de los recursos del firewall y resto de equipos servidores. En el gráfico que se muestra a continuación se puede ver la pantalla principal de la SOLTECSIS Management Console.

Desde la pestaña Graphics del menú principal es posible monitorizar el esta-do de todos los equipos que hayan sido definidos previamente a través del formulario de la pestaña Hosts.

7. SOLTECSIS MANAGEMENT CONSOLE

31

STSFIREWALL

Esta ventana le permite generar y visualizar el gráfico que usted desee del equipo seleccionado para ver el estado del mismo en parámetros clave como pueden ser el % de ocupación de CPU, uso de disco, tráfico de red, uso de memoria, etc. Por ejemplo, puede generar un gráfico para ver el uso de CPU medio y máximo en las últimas 2 horas:

Además le da la opción de añadir el gráfico recién generado a cualquiera de las vistas que usted haya creado previamente mediante el formulario de la pestaña Views.

El formulario de definición del gráfico a visualizar consta de dos secciones, una con opciones comunes a todos los gráficos y otra que varía en función del tipo de gráfico (Net, Net Class, CPU, etc.) que queramos visualizar. A continuación se describe en detalle los campos que constituyen cada una de estas secciones.

7.1. OPCIONES COMUNES.Host: Lista desplegable con los nombres de los equipos que previamente usted ha definido en la pestaña Hosts indicando características específicas del mismo como el nombre, la IP y el puerto en donde escucha el UMMD (UnlimitedMail Management Daemon) instalado en el mismo, interfaces de red de que consta, particiones de disco, etc. Seleccione el equipo del cual desea generar una gráfica de estado.

Resource: Lista con los tipo de recurso (CPU, memoria, red, etc.) de los cuales podemos generar gráficas de estado.

View Last: Intervalo de tiempo que deseamos visualizar contando siempre atrás en el tiempo a partir del instante actual. Permite indicar un número y la unidad de tiempo a aplicar a dicho número (segundos, minutos, horas, días, meses o años). Por ejemplo, si seleccionamos el tipo CPU e indicamos 1 hora, veremos la gráfica con los datos de consumo de CPU de la última hora.

AutoUpdate: Permite especificar un intervalo de tiempo transcurrido el cual el gráfico indicado se volverá a generar y mostrar actualizado en pantalla.


32

STSFIREWALL

Grid: Si marcamos esta opción el gráfico se generará con una rejilla que faci-lita la asociación de valores a las líneas y áreas dibujadas en el gráfico.

Legend: Al marcar esta opción al pie del gráfico se genera una leyenda que describe a que valor va asociado cada color, así como, para cada color, el úl-timo valor obtenido (Last), la media de todos los valores representados (Avg) y el valor máximo de todos los representados (Max).

Si miramos el siguiente gráfico de ejemplo:

Veremos que la leyenda nos indica que la línea azul corresponde al tráfico de red de salida y el área verde el tráfico de entrada. Estos valores representan valores medios. Mientras no se indique nada, solo se representan valores medios.

7.1.1 VALORES MEDIOS Y MÁXIMOS.En los gráficos se pueden representar dos tipos de valores, los valores me-dios y los valores máximos. Veamos un sencillo ejemplo para entender bien la diferencia entre unos y otros.

Imaginemos que tenemos 5 muestras de consumo de cpu tomados en 5 instantes de tiempo periódicos (t1, t2, t3, t4 y t5) con los valores:

t1=10% t2=95% t3=35% t4=5% t5=5%

Estos valores se van a imprimir en el gráfico como un único punto debido a que el intervalo de tiempo que hemos indicado así lo requiere. Si tomamos la media de los mismos, en el gráfico el punto correspondiente se pintara con la cantidad:

(10 + 95 + 35 + 5 + 5) / 5 = 30%

Mientras que la impresión del máximo será un punto con el valor 95%.

Por una parte tenemos el consumo medio de CPU de las muestras tomadas y por otra el consumo máximo de entre esas muestras.


33

STSFIREWALL

7.2. OPCIONES ESPECÍFICAS.En función del tipo de recurso seleccionado dispondremos de un conjunto de opciones específicas para el mismo a la hora de definir los parámetros de generación del gráfico correspondiente.

Resource = NetInterface: Interfaz de red de la cual queremos generar la gráfica.In/out: Si queremos ver el tráfico de entrada (In), salida (Out) o ambos (In/Out).Avg/Max: Si queremos obtener los valores medios de tráfico (Avg), los máxi-mos (Max) o ambos (Avg/Max).

En lo que respecta al tráfico de red, la media nos da una idea del volumen de información transferida en el intervalo de tiempo representado por el gráfico, mientras que los valores máximos indican a que velocidad se ha transferido dicho volumen de información.

7.3. CAMPOS DEL TÍTULO.El título que aparece centrado en la parte superior de cada gráfico es un ele-mento que nos proporciona una gran cantidad de información. Para entender el significado de cada uno de sus campos analicemos el título del siguiente gráfico de ejemplo:

• 18:41:22 Hora a la cual ha sido generado el gráfico.

• (um1) El nombre asociado al equipo del cual se ha obtenido el gráfico.

• Network Traffic Tipo de gráfico que estamos visionando. En este caso se trata de un gráfico de análisis de tráfico de red.

• eth0 Interfaz de red de la cual se representa el análisis de tráfico.


34

STSFIREWALL

• [2h|IO|AM] Este campo se divide a su vez en 3 apartados separados por el carácter ‘|’. El primero nos indica la cantidad de tiempo que estamos visio-nando (2 horas), el segundo que estamos viendo tanto el tráfico de entrada (I) como el de salida (O) y el tercero nos indica que para cada uno de estos valores estamos viendo tanto las medias (A) como los máximos (M) de las muestras tomadas.

Por lo tanto, de un vistazo podemos deducir a partir del título que el gráfico generado a las 18:41 horas representa el análisis de tráfico de red de la inter-faz eth0 del equipo um1 y estamos viendo tanto el tráfico de entrada como de salida con sus valores medios y máximos, para las dos últimas horas.

7.4. VISTAS.Las vistas nos permiten visualizar varios gráficos diferentes en una misma ventana de nuestro navegador web. Esto es de gran utilidad para, por ejem-plo, visualizar el tráfico de red de todos nuestros equipos, comparar gráficas entre sí, ver el estado (CPU, disco, memoria, etc.) de uno o varios equipos en una única ventana, etc. Existen dos tipos de vistas:

• Vista Detallada. Nos muestra un mismo gráfico de estado, pero con dife-rentes intervalos de tiempo contando hacia atrás en el tiempo desde el ins-tante de generación del gráfico. Permite una visión detallada de la evolución en el tiempo de los parámetros representados en el gráfico.

• Vista Personalizada. Permite la visualización en una sola ventana del con-junto de gráficos que el usuario haya añadido a la vista.

Las vistas personalizadas son creadas mediante la pestaña Views. A conti-nuación se muestra un ejemplo de vista personalizada.


35

STSFIREWALL

Dentro de la pestaña Graphics, debajo del gráfico generado, en la esquina inferior derecha aparece el botón DETAILED VIEW cuya pulsación abrirá la ventada de vista detallada para el gráfico mostrado. Lo mismo se consigue si situamos el puntero del ratón sobre el gráfico y pulsamos el botón izquierdo.

Dentro de la pestaña Graphics, debajo del gráfico generado, en la esquina inferior izquierda existe una lista desplegable con las vistas personalizadas disponibles, las cuales han sido creadas previamente a través del formulario de la pestaña Views.

A la izquierda de esta lista existen dos botones, el primero de ellos, ADD TO, añadirá el gráfico de estado que se está visualizando en este momento a la vista seleccionada. El otro botón, OPEN, abrirá una nueva ventana en la que se mostrará el contenido de la vista seleccionada en la lista desplegable.

Para todas las vistas personalizadas, existen una serie de botones situados sobre la esquina superior derecha de cada gráfico que permiten llevar a cabo las siguientes acciones:

• Mover el gráfico una posición arriba.• Mover el gráfico una posición abajo.• Mover el gráfico una posición hacia la izquierda.• Mover el gráfico una posición hacia la derecha.• Abrir la vista detallada del gráfico.• Eliminar el gráfico de la vista.

Estos botones dotan de gran versatilidad al sistema de vistas, ya que nos dan la libertad de reorganizar la vista y adaptarla a nuestras necesidades.

Tanto para las vistas detalladas como para las vistas personalizadas existe un pequeño formulario al principio de página que permite modificar pará-metros que afectan a la generación de todos los gráficos que forman parte de la vista. Parámetros tales como si se genera o no la leyenda, la rejilla, el intervalo de tiempo visionado, la actualización automática de la página cada cierto intervalo de tiempo, etc.


36

STSFIREWALL

7.5. LA IMPORTANCIA DEL PERIODO DE MUESTREO.El periodo de muestreo es el intervalo de tiempo que transcurre entre la toma de valores de muestra sucesivos.

El periodo de muestreo definido por defecto en los samplers es de 10 segun-dos. Este valor puede que parezca excesivamente pequeño para muchos administradores de sistemas, ya que pueden llegar a pensar que el hecho de que los procesos estén tomando muestras del estado de los recursos del sistema cada 10 segundos pueda suponer una carga excesiva de cpu o disco que ahogue el equipo. Pero esto no es así, ya que los samplers están optimizados para llevar a cabo la toma de muestras con el menor consumo posible de recursos. De echo, como se puede apreciar en esta gráfica de CPU de un sistema en el que se encuentran ejecutándose samplers para CPU, disco, net, net class, etc. la CPU tiene una ocupación media de tan solo el 3.46%.

Es importante que el periodo de muestreo sea lo suficientemente reducido para tener una visión lo más cercana posible a la realidad de lo que está pa-sando en el equipo que estamos monitorizando.

Imaginemos, por ejemplo, que utilizamos un periodo de muestreo de 300 segundos (5 minutos) para tomar muestras del consumo de CPU de nuestro equipo. Durante 20 segundos tenemos el equipo al 100% de uso de CPU y el resto del tiempo está al 0%. Con este periodo de muestreo, obtendríamos que el consumo de CPU es de:

(20*100) / 300 = 6.6%

Es decir, la media de consumo durante los 300 segundos del intervalo de muestreo.


37

STSFIREWALL

Con un periodo de muestreo de 10 segundos, esto no habría pasado, ya que habríamos visto el pico de 100% de ocupación de cpu durante 2 periodos de muestreo completos. Por esto es muy importante definir un periodo de muestreo lo suficientemente pequeño, para poder tener una idea lo más cer-cana a la realidad de lo que realmente está pasando en nuestro equipo y que las medias no nos enmascaren demasiado la realidad.

La premisa es: cuanto menor sea el periodo de muestreo, más cerca estare-mos de la realidad.

Pero claro, no podemos, por ejemplo, estar tomando muestras cada pocos milisegundos, dado que esto supondría que estaríamos dedicando la CPU y recursos del sistema casi en exclusiva para la toma de muestras. Hay que buscar un intervalo de tiempo que nos de una visión lo suficientemente cer-cana a la realidad sin que ello supongo un uso desmesurado de recursos. Para el sistema de monitorización SOLTECSIS Management Console, un periodo de muestreo de 10 segundos es suficiente para cumplir con estos dos objetivos.

7.6. EJEMPLOS.Gráfica de temperatura y humedad correspondiente a las condiciones medio-ambientales existentes. Estas gráficas se generan a través del un sensor de temperatura/humedad conectado al puerto serie del STS-FIREWALL.


38

STSFIREWALL

Tanto por ciento de ocupación de la CPU. Cada color corresponde a un tipo de ocupación, por procesos de usuario (color azul oscuro), por procesos del sistema operativo (color azul claro), por espera a que se completen operacio-nes de acceso a disco (color rojo), etc.

Uso de memoria clasificado por tipo de ocupación.

Tráfico de red asociado a la interfaz eth0. El color verde corresponde al tráfi-co que entra al firewall por dicha interfaz y la línea azul al tráfico que sale del firewall por dicha interfaz.


39

STSFIREWALL

Tráfico de salida por la interfaz de red eth0, clasificado por tipos. El color azul claro corresponde al tráfico POP3, el rosa al tráfico web, el rojo al tráfico SMTP de salida hacia Internet, etc. Esta gráfica es de gran utilidad para com-probar cual es el tipo de tráfico que más ancho de banda esta consumiendo. También permite verificar que la política QoS establecida en nuestro firewall se está cumpliendo.

Tanto por ciento de ocupación del disco.


STSFIREWALL8. GLOSARIO DE TÉRMINOS

40

41

STSFIREWALL

FIREWALLTambién denominado “cortafuegos”. Es un dispositivo que se coloca entre las redes internas de una empresa e Internet. Debe ser capaz de regular el tráfico y restringir los accesos a la red.

CLUSTERTérmino que se utiliza para identificar sistemas que se configuran en alta disponibilidad y/o balanceo de carga con el fin de garantizar una continuidad y escalabilidad en el servicio suministrado por dichos sistemas.

HACKERLa palabra hacker proviene de los reparadores de cajas telefónicas (E.E.U.U. en la década del 50), cuya principal herramienta de reparación era un golpe seco al artefacto con fallo (un “hack”), de ahí que se los llamó “hackers”. Pre-liminarmente podemos definirlo como un informático que utiliza técnicas de penetración no programadas para acceder a un sistema informático con los más diversos fines: satisfacer su curiosidad, superar los controles, probar la vulnerabilidad del sistema para mejorar su seguridad, sustraer, modificar, dañar o eliminar información.

AMENAZASRepresentan los posibles atacantes o factores que aprovechan las debilida-des del sistema.

IDSIntrusión Detection System. Sistemas que se instalan con la finalidad de de-tectar los intentos de intrusión. De acuerdo a esta definición un guardia de seguridad que controla los accesos a un espacio restringido podría definirse como un IDS, pero por norma general sólo reciben esta definición los siste-mas automáticos (software ó hardware) que realizan esta función.

VPNVirtual Private Network. Este término hace referencia a conexiones que se establecen de forma segura (con autentificación y codificación de datos) a la red de una empresa empleando para ello una red insegura como es Internet. Son canales de comunicación seguros que permiten acceder a los recursos de una empresa desde Internet.

ROADWARRIOREmpleado que suele trabajar fuera de la oficina y que necesita un acceso seguro a la misma a través de Internet. Se conecta a los servicios que precisa de la oficina a través de conexiones VPN.

8. GLOSARIO DE TÉRMINOS

stsstsfirewallfirewall - soltecsis

Documents