universidad de guayaquil -...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

CARRERA DE INGENIERÍA EN SISTEMAS

COMPUTACIONALES

“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS

DE SEGURIDAD PARA LA RED ADMINISTRATIVA

DE LA CARRERA DE INGENIERÍA DE

SISTEMAS COMPUTACIONALES,

BASADO EN EL ANÁLISIS DE

SU INFRASTRUCTURA DE

RED INTERNA Y DE

PERÍMETRO”

TESIS DE GRADO

Previa a la obtención del Título de:

INGENIERO EN SISTEMAS COMPUTACIONALES

AUTOR: VICTOR ALLAM PARRAGA NUÑEZ

TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c

GUAYAQUIL – ECUADOR

DICIEMBRE - 2014

i

REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS

TÍTULO: “ IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED

ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL

ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO” REVISORES:

INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas

y Físicas

CARRERA: Ingeniería en Sistemas Computacionales

FECHA DE PUBLICACIÓN: Diciembre de 2014 N° DE PÁGS.: 157

ÁREA TEMÁTICA: Seguridad en redes perimetrales e internas.

PALABRAS CLAVES: UTM, firewall, VPN, redes de computadoras, Internet, seguridad,

administración centralizada, CISC, servidores.

RESUMEN: La Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil no

cuenta con una herramienta especializada para gestionar de manera centralizada y eficaz las amenazas

informáticas que puedan comprometer la seguridad de los servicios en línea e internos. Este proyecto

de tesis propone la implementación de un gestor unificado de amenazas (UTM) para mitigar las

falencias de seguridad de la red tanto interna como perimetral. N° DE REGISTRO(en base de datos): N° DE CLASIFICACIÓN:

Nº

DIRECCIÓN URL (tesis en la web

ADJUNTO PDF x

SI

NO

CONTACTO CON AUTOR: VICTOR ALLAM

PARRAGA NÚÑEZ Teléfono:

0992124619

E-mail:

[email protected]

CONTACTO DE LA INSTITUCIÓN Nombre:

Teléfono:

iii

APROBACIÓN DEL TUTOR

En mi calidad de Tutor de Tesis de Grado, “IMPLEMENTACIÓN DE UN

GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED

ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS

COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU

INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO”, elaborado

por el Sr. VICTOR ALLAM PARRAGA NUÑEZ, egresado de la Carrera de

Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y

Físicas de la Universidad de Guayaquil, previo a la obtención del Título de

Ingeniero en Sistemas, me permito declarar que luego de haber orientado,

estudiado y revisado, la apruebo en todas sus partes.

Atentamente

………………………………….

ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c

TUTOR

v

TRIBUNAL DE GRADO

ING.EDUARDO SANTOS B. MS.c ING. INELDA MARTILLO Mgs. DECANO DE LA FACULTAD DIRECTORA

CIENCIAS MATEMÁTICAS Y FÍSICAS CISC, CIN

ING. ISRAEL ORTEGA O. MS.c ING. LORENZO CEVALLOS TORRES

TRIBUNAL TRIBUNAL

ING. ALFONSO GUIJARRO R. MS.c AB. JUAN CHÁVEZ A.

TUTOR SECRETARIO

vi

DECLARACIÓN EXPRESA

“La responsabilidad del contenido de esta Tesis

de Grado, me corresponden exclusivamente; y

el patrimonio intelectual de la misma a la

UNIVERSIDAD DE GUAYAQUIL”

VICTOR ALLAM PARRAGA NÚÑEZ

vii




COMPUTACIONALES







RED INTERNA Y DE

PERÍMETRO”

Tesis de Grado que se presenta como requisito para optar por el título de

INGENIERO en SISTEMAS COMPUTACIONALES

Autor: Victor Allam Párraga Núñez

C.I. 0927011007

TUTOR: ING. ALFONSO GUIJARRO R. MS.c

Guayaquil, Diciembre de 2014

viii

CERTIFICADO DE ACEPTACIÓN DEL TUTOR

En mi calidad de Tutor de Tesis de Grado, nombrado por el Consejo Directivo de

la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil.

CERTIFICO:

Que he analizado la Tesis de Grado presentada por el egresado Víctor Allam

Párraga Núñez, como requisito previo para optar por el título de Ingeniero cuyo

problema es: “IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE

AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE

LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES,

BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED

INTERNA Y DE PERÍMETRO”, considero aprobado el trabajo en su totalidad.

Presentado por:

Víctor Allam Párraga Núñez CI: 0927011007


Guayaquil, Diciembre de 2014

ix



CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES

Autorización para Publicación de Tesis en Formato Digital

1. Identificación de la Tesis Nombre Alumno: Víctor Allam Párraga Núñez

Dirección: Urbanización La Joya – Ámbar Mz. 7 V. 11

Teléfono: 046029412 E-mail: [email protected]

Facultad: Ciencias Matemáticas y físicas

Carrera: Ingeniería en sistemas Computacionales

Título al que opta: Ingeniero en Sistemas Computacionales

Profesor guía: Ing. Alfonso Guijarro Rodríguez MS.c

Título de la Tesis: “IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE

AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE

INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU

INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO”

Tema Tesis: “IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE

SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE

SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU

INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO” 2. Autorización de Publicación de Versión Electrónica de la Tesis A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de esta tesis. Publicación electrónica:

Inmediata X Después de 1 año

Firma Alumno: 3. Forma de envío: El texto de la Tesis debe ser enviado en formato Word, como archivo .Doc.O.RTF y .Puf para PC. Las imágenes que la acompañen pueden ser: .gif, .jpg o .TIFF.

DVDROM CDROM X

x

ÍNDICE GENERAL APROBACIÓN DEL TUTOR........................................................................................... iii

CERTIFICADO DE ACEPTACIÓN DEL TUTOR........................................................ viii

ÍNDICE GENERAL ........................................................................................................... x

ABREVIATURAS ............................................................................................................ xii

ÍNDICE DE CUADROS .................................................................................................. xiv

INDICE DE GRÁFICOS .................................................................................................. xv

RESUMEN ..................................................................................................................... xvii

ABSTRACT ................................................................................................................... xviii

INTRODUCCIÓN ............................................................................................................ 1

CAPÍTULO I: EL PROBLEMA ..................................................................................... 5

PLANTEAMIENTO DEL PROBLEMA ....................................................................... 5

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ............................................... 5

SITUACIÓN CONFLICTO NUDOS CRÍTICOS .......................................................... 7

CAUSAS Y CONSECUENCIAS DEL PROBLEMA ................................................... 8

DELIMITACIÓN DEL PROBLEMA .......................................................................... 10

FORMULACIÓN DEL PROBLEMA .......................................................................... 10

EVALUACIÓN DEL PROBLEMA ............................................................................. 12

OBJETIVOS ................................................................................................................. 15

ALCANCES ................................................................................................................. 16

JUSTIFICACIÓN E lMPORTANCIA ........................................................................ 17

CAPÍTULO II: MARCO TEÓRICO ............................................................................ 19

ANTECEDENTES DEL ESTUDIO ............................................................................. 19

FUNDAMENTACIÓN TEÓRICA............................................................................... 24

QUÉ ES UN GESTOR UNIFICADO DE AMENAZAS ......................................... 24

ORIGEN Y DESARROLLO ACTUAL DE LOS GESTORES UNIFICADOS DE

AMENAZAS ............................................................................................................ 25

ORÍGEN Y EVOLUCIÓN DE LAS REDES DE COMPUTADORAS ................... 26

RAZONES COMUNES POR LAS CUALES ACCEDER A INTERNET .............. 29

FUNDAMENTOS DE REDES DE COMPUTADORAS ........................................ 33

EL MODELO DE REFERENCIA OSI .................................................................... 34

SEGURIDAD INFORMÁTICA DE REDES DE COMPUTADORAS.................. 43

INTRODUCCIÓN DE LOS FIREWALLS COMO DISPOSITIVOS DE

SEGURIDAD EN REDES........................................................................................ 46

xi

EVOLUCIÓN DE LOS FIREWALLS HACIA LOS GESTORES UNIFICADOS

DE AMENAZAS ...................................................................................................... 51

FUNCIONES Y SERVICIOS QUE COMPONEN UN GESTOR UNIFICADO DE

AMENAZAS ............................................................................................................ 53

ANÁLISIS COMPARATIVO DE DISTINTAS SOLUCIONES UTM DEL

MERCADO ............................................................................................................... 54

DESCRIPCIÓN DE CARACTERÍSTICAS DE SOPHOS UTM ............................ 56

MÓDULOS QUE CONTIENE SOPHOS UTM....................................................... 57

IMPLEMENTACIÓN DEL UTM EN LA CARRERA DE INGENIERÍA DE

SISTEMAS COMPUTACIONALES ....................................................................... 73

FUNDAMENTACION LEGAL ................................................................................... 77

DECRETO PRESIDENCIAL #1014 ........................................................................ 77

HIPÓTESIS PREGUNTAS A CONTESTARSE ......................................................... 81

VARIABLES DE LA INVESTIGACIÓN ................................................................... 82

DEFINICIONES CONCEPTUALES ........................................................................... 82

CAPÍTULO III: METODOLOGÍA .............................................................................. 84

MODALIDAD DE LA INVESTIGACIÓN ................................................................. 84

TIPO DE INVESTIGACIÓN ................................................................................... 85

POBLACIÓN Y MUESTRA ........................................................................................ 88

OPERACIONALIZACIÓN DE VARIABLES ............................................................ 90

INSTRUMENTOS DE RECOLECCIÓN DE DATOS ................................................ 92

PROCEDIMIENTO DE LA INVESTIGACIÓN ......................................................... 94

PROCESAMIENTO Y ANÁLISIS .............................................................................. 96

DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES ............................... 100

RESULTADOS Y ANALISIS DE LA ENCUESTA REALIZADA ..................... 105

CRITERIO PARA LA ELABORACIÓN DE LA PROPUESTA .............................. 122

CRITERIOS DE VALIDACION DE LA PROPUESTA ........................................... 126

CAPÍTULO IV: MARCO ADMINISTRATIVO ....................................................... 127

CRONOGRAMA ........................................................................................................ 127

PRESUPUESTO ......................................................................................................... 130

CAPÍTULO V: CONCLUSI+ON Y RECOMENDACIONES ................................. 131

CONCLUSIONES ...................................................................................................... 131

RECOMENDACIONES ............................................................................................. 133

BIBLIOGRAFÍA........................................................................................................... 135

WEBGRAFÍA ............................................................................................................... 137

xii

ANEXOS ........................................................................................................................ 138

ABREVIATURAS

DoS Denial of Service

DDoS Distributed Denial of Service

SQL Structured Query Language

Pyme Pequeña y mediana empresa

UTM Unified Threat Management

CISC Carrera de Ingeniería en Sistemas Computacionales

IP Internet Protocol

CERT Computer Emergency Response Team

HTTPS Hypertext Transfer Protocol Secure

XSS Cross-site scripting

IDC International Data Corporation

TI Tecnologías de la Información

IPS Intrusion Prevention System

IDS Intrusion Detection System

VPN Virtual Private Network

WAF Web Application Firewall

MRTG Multi Router Traffic Grapher

SNMP Simple Network Management Protocol

SARG Squid Analysis Report Generator

NAT Network Address Translator

SSL Secure Sockets Layer

IPSec Internet Protocol Security

L2TP Layer 2 Tunneling Protocol

PPTP Point to Point Tunneling Protocol

TCP Transmission Control Protocol

UDP User Datagram Protocol

URL Uniform Resource Locator

ARPA Advanced Research Projetcs Agency

UCLA University of California Los Angeles

ARPANET Advanced Research Projects Agency Network

WWW World Wide Web

OSI Open System Interconnection

ISO International Organization for Standardization

MAC Media Access Control

https://www.google.com.ec/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8&ved=0CBwQFjAA&url=http%3A%2F%2Fes.wikipedia.org%2Fwiki%2FHypertext_Transfer_Protocol_Secure&ei=CZiEVIWlA4GfNuabgjA&usg=AFQjCNEAkDSWgG1bHuUIh-nQk0MySGsxlw&sig2=K_tkl4Ro7F9Q68oMFh2R8w&bvm=bv.80642063,d.eXY

xiii

SMTP Simple Mail Transfer Protocol

POP3 Post Office ProtocoL

HTTP Hypertext Transfer Protocol

FTP File Transfer Protocol

LAN Local Area Network

OSPF Open Shortest Path First

BGP Border Gateway Protocol

DNS Domain Name System

DHCP Dynamic Host Configuration Protocol

NTP Network Time Protocol

BIND Berkeley Internet Name Domain

OWASP Open Web Application Security Project

xiv

ÍNDICE DE CUADROS

CUADRO N° 1 CAUSAS Y CONSECUENCIAS ............................................................. 9

CUADRO N° 2: DESCRIPCIÓN CAPAS MODELO OSI .............................................. 37

CUADRO N° 3: TIPOS DE ADVERSARIOS Y SUS OBJETIVOS AL IRRUMPIR LA

SEGURIDAD EN REDES........................................................................................ 44

CUADRO N° 4: COMPARATIVO DE SOLUCIONES UTM EN EL MERCADO ....... 54

CUADRO N° 5: CARACTERÍSTICAS DE HARDWARE SERVIDOR UTM .............. 74

CUADRO N° 6: DIFERENCIAS ENTRE PROYECTO DE INVESTIGACIÓN Y

PROYECTO FACTIBLE ......................................................................................... 85

CUADRO N° 7: COMUNIDAD ECUCATIVA .............................................................. 88

CUADRO N° 8: POBLACIÓN ........................................................................................ 89

CUADRO N° 9: TAMAÑO DE LA MUESTRA ............................................................. 90

CUADRO N° 10: MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES ............ 91

CUADRO N° 11: CODIFICACIÓN VARIABLE 1 ...................................................... 100

CUADRO N° 12: CODIFICACIÓN VARIABLE 2 ...................................................... 100

CUADRO N° 13: CODIFICACIÓN DE LA VARIABLE 3 .......................................... 101







CUADRO N° 20: CODIFICACIÓN DE LA VARIABLE 10 ........................................ 104

CUADRO N° 21: VALORES ESTADÍSTICOS PREGUNTA 1 .................................. 105


CUADRO N° 23: VALORES ESTADÍSTICA DESCRIPTIVA PREGUNTA 2 .......... 107








CUADRO N° 31: VALORES ESTADÍSTICOS PREGUNTA 10................................. 118

CUADRO N° 32: COMPARATIVO SEXO VS MEJORAR SEGURIDAD ................. 119

CUADRO N° 33: COMPARATIVO SEXO VS DISPONIBILIDAD DE SERVICIOS 120

CUADRO N° 34: COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A

INTERNET ............................................................................................................. 121

CUADRO N° 35: DETALLE DE INGRESOS PARA EL PROYECTO ....................... 130

CUADRO N° 36: DETALLE DE EGRESOS PARA EL PROYECTO ......................... 130

xv

INDICE DE GRÁFICOS GRÁFICO N° 1 DIAGRAMA RESUMEN DE SITUACION ACTUAL DE LA RED .. 20

GRÁFICO N° 2: DIAGRAMA RESUMEN DE SITUACION FINAL DE LA RED ..... 24

GRÁFICO N° 3: CRECIMIENTO DE ARPANET HACIA SEPTIEMBRE DE 1972 ... 28

GRÁFICO N° 4: MODELO DE REFERENCIA OSI ...................................................... 36

GRÁFICO N° 5: TOPOLOGÍAS O ARQUITECTURAS DE RED ................................ 38

GRÁFICO N° 6: FIREWALL SEPARANDO LA RED INTERNA DE LA RED

EXTERNA ................................................................................................................ 47

GRÁFICO N° 7: ACCESOS A LA RED CONTROLADOS POR UN FIREWALL ...... 49

GRÁFICO N° 8: REDES SEPARADAS POR UN ROUTER ......................................... 51

GRÁFICO N° 9: REPRESENTACION DE UN GESTOR UNIFICADO DE

AMENAZAS EN UNA RED ................................................................................... 52

GRÁFICO N° 10: CUADRANTE MÁGICO DE GARTNER PARA SOLUCIONES

UTM 2014 ................................................................................................................. 55

GRÁFICO N° 11: OPCIONES DEL MÓDULO MANAGEMENT ................................ 58

GRÁFICO N° 12: OPCIONES DEL MÓDULO DEFINITIONS & USERS .................. 59

GRÁFICO N° 13: OPCIONES DEL MÓDULO INTERFACES & ROUTING.............. 59

GRÁFICO N° 14: OPCIONES DEL MÓDULO NETWORK SERVICES ..................... 60

GRÁFICO N° 15: OPCIONES DEL MÓDULO NETWORK PROTECTION ............... 62

GRÁFICO N° 16: OPCIONES DEL MÓDULO WEB PROTECTION .......................... 64

GRÁFICO N° 17: OPCIONES DEL MÓDULO EMAIL PROTECTION ...................... 65

GRÁFICO N° 18: OPCIONES DEL MÓDULO WEBSERVER PROTECTION ........... 66

GRÁFICO N° 19: OWASP TOP 10 ................................................................................. 67

GRÁFICO N° 20: OWASP TOP 10 DETALLADO ........................................................ 68

GRÁFICO N° 21: OPCIONES DEL MÓDULO SITE-TO-SITE VPN ........................... 69

GRÁFICO N° 22: DIAGRAMA DE CONEXIÓN VPN SITE-TO-SITE ........................ 70

GRÁFICO N° 23: OPCIONES DEL MÓDULO REMOTE ACCESS ............................ 71

GRÁFICO N° 24: DIAGRAMA DE CONEXIÓN VPN SSL CLIENTE ........................ 71

GRÁFICO N° 25: OPCIONES DEL MÓDULO LOGGING & REPORTING ............... 72

GRÁFICO N° 26: REPORTE DE REGLAS DE ATAQUES DETECTADAS POR EL

IPS ............................................................................................................................. 73

GRÁFICO N° 27: DIAGRAMA DE SITUACION INICIAL DE LA RED CISC .......... 75

GRÁFICO N° 28: DIAGRAMA DE SITUACION FINAL DE LA RED CISC.............. 76

GRÁFICO N° 29: VALORES ESTADÍSTICOS PREGUNTA 1 .................................. 105

GRÁFICO N° 30: VALORES ESTADÍSTICOS DETALLADOS PREGUNTA 2....... 106








GRÁFICO N° 38: VALORES ESTADÍSTICOS PREGUNTA 10 ................................ 118

xvi

GRAFICO N° 39: GRÁFICO COMPARATIVO SEXO VS MEJORAR SEGURIDAD

................................................................................................................................ 119

GRAFICO N° 40: GRÁFICOMPARATIVO SEXO VS DISPONIBILIDAD DE

SERVICIOS ............................................................................................................ 120

GRAFICO N° 41: GRAFICO COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A

INTERNET ............................................................................................................. 121

GRÁFICO N° 42: CRONOGRAMA DE ACTIVIDADES DEL PROYECTO ............. 128

GRÁFICO N° 43: DIAGRAMA DE GANTT ................................................................ 129

xvii





DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA

DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN

EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE

PERÍMETRO”

Autor: Víctor Allam Párraga Núñez

TUTOR: Ing. Alfonso Guijarro R. MS.c

RESUMEN La seguridad de la información es un aspecto relevante hoy en día en el área de las

redes y comunicaciones, por lo cual es importante contar con soluciones integrales

que permitan gestionar de manera eficiente las amenazas informáticas que tratan

de comprometer la disponibilidad de los servicios o lucrarse con información

confidencial. Este proyecto de tesis tiene como objetivo primordial implementar

una solución tecnológica que permita la gestión unificada de amenazas de

seguridad basado en la modalidad de investigación de proyecto factible ya que el

mismo quedará funcionando al cien por ciento operativo previo una reingeniería

de las estructura de red en la carrera. Los gestores unificados de amenazas o UTM

van más allá del concepto de los firewalls ya que en sí engloba varios servicios de

red en una sola plataforma, tales como VPN, DNS, IPS, WAF, etc. Para este

estudio se utilizó la modalidad de investigación cualitativa y cuantitativa,

realizando encuestas a los estudiantes docentes y personal administrativo,

acogiendo también la opinión emitida por un experto en el área de seguridad y

redes al cual se entrevistó. Con esta propuesta se busca disminuir el impacto que

puedan causar las amenazas de seguridad, facilidad de administración y

configuración, y reportes oportunos que permitan la toma acertadas de decisiones

al administrador de la red, con lo cual resulta beneficiada toda la comunidad

educativa

xviii





DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA

DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN

EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE

PERÍMETRO”

Autor: Víctor Allam Párraga Núñez

TUTOR: Ing. Alfonso Guijarro R. MS.c

ABSTRACT

The information security is an important factor nowadays in the area of

networking and communications, so it is important to have comprehensive

solutions to manage cyber threats efficiently that attempt to compromise the

availability of services or profiting with confidential information. This thesis

project aims primarily to implement a technology solution that enables unified

management of security threats based on the type of research project feasible

since it will be running at one hundred percent operating prior reengineer the

network structure the race. Managers UTM Unified Threat or go beyond the

concept of firewalls as itself encompasses various network services on a single

platform, such as VPN, DNS, IPS, WAF, etc. Mode of qualitative and quantitative

research was used, making teachers students and staff surveys, also accepting the

opinion given by an expert in the field of security and networks which were

interviewed for this study. This proposal want to reduce the impact that could

cause security threats, ease of management and configuration, and timely reports

that enable sound decision making by the network administrator, which is

benefiting the entire educational community.

1

INTRODUCCIÓN

Las redes de computadoras en la actualidad son cada vez más complejas, ya que

no solo constituye la comunicación con equipos dentro de nuestro entorno

corporativo sino que es vital estar conectado con otras redes externas a través de

Internet, y el acelerado ritmo de las organizaciones a nivel mundial nos exigen

estar constantemente interconectados mediante el uso de plataformas montadas

sobre Internet, lo cual nos expone a las diversas amenazas que existen dentro del

amplio universo de la Red de Redes.

Conforme avanza la tecnología, crecen, se sofistican y se hacen más complejas las

amenazas provenientes de redes externas desde cualquier lugar del planeta, como

es el caso de la evolución que tuvieron los denominados ataques de Denegación

de Servicios – DoS- convirtiéndose más tarde en ataques Distribuidos de

Denegación de Servicios – DdoS, burlando así los métodos tradicionales de

protección de las redes existentes hasta hace poco.

La finalidad de estos ataques dejar fuera de línea los sistemas y servicios que son

ejecutados sobre los servidores atacados obstruyendo las transacciones tanto para

los usuarios internos y externos lo cual genera retraso en la operatividad de las

actividades planificadas y esto a su vez causa pérdidas de carácter económico

como también deja una mala imagen frente a los clientes.

2

Otro tipo de ataque típico es la inyección de código SQL (en inglés SQL

injection) mediante el cual se puede irrumpir en sistemas vulnerables y con esto

tomar control de equipos críticos dentro de la organización y a su vez sustraer

información sensible la cual puede ser utilizada para generar grandes sumas de

dinero y con ello grandes pérdidas para la compañía que ha sido comprometida.

Es por eso que el administrador de red y seguridad de la información debe estar

preparado frente a estos ataques externos, sin dejar de lado la identificación de

ataques de red provenientes de equipos ubicados en la infraestructura interna;

utilizando una tecnología que le permita facilidad de gestión, tiempos cortos de

respuesta frente a incidentes emergentes presentados y toma de decisiones basadas

en reportes históricos que ayuden a la mejora constante, evitando así que la

continuidad del negocio se vea afectada.

Por este motivo hoy en día para mitigar todo tipo de amenazas de seguridad de

red, la tendencia en la mayoría de las organizaciones Pymes (Pequeña y mediana

empresa) y grandes de todos los sectores, optan por la implementación de

gestores unificados de amenazas ya que estos les permiten facilidad de

administración centralizada y alto rendimiento contra las crecientes amenazas de

la seguridad en red.

3

La estructura general con la que se desarrolló este proyecto de tesis se ha dividido

en 5 capítulos que se detallan en resumen a continuación:

El Capítulo 1 denominado “EL PROBLEMA”, encierra aspectos relacionados a

las causas y consecuencias que generan el desarrollo de este proyecto de tesis,

delimitación y formulación del problema, y se resaltan objetivos, justificación e

importancia y alcances de la solución propuesta.

El Capítulo 2 denominado “MARCO TEÓRICO”, contiene las definiciones

conceptuales inherentes y relacionadas a los gestores unificados de amenazas,

origen y evolución de los mismos, análisis de diversas soluciones UTM en el

mercado, fundamentación legal.

El Capítulo 3 denominado “METODOLOGÍA”, incluye la población y muestra a

estudiarse, resultados de las encuestas realizadas, metodología de la investigación,

tipo de proyecto, tabulación y análisis de las preguntas de las encuestas,

operacionalización de variables.

El Capítulo 4 denominado “MARCO ADMINISTRATIVO” detalla el

cronograma de actividades del proyecto presentado también en formato de

4

Diagrama de Gantt y el presupuesto que contiene los ingresos y gastos

correspondientes a la realización del proyecto.

En el Capítulo 5 denominado “CONLUSIONES Y RECOMENDACIONES”, se

definen los resultados de la culminación del proyecto y se emiten

recomendaciones en base a observaciones encontradas durante la realización del

proyecto de tesis.

5

CAPÍTULO I

EL PROBLEMA

PLANTEAMIENTO DEL PROBLEMA

UBICACIÓN DEL PROBLEMA EN UN CONTEXTO

La Carrera de Ingeniería en Sistemas Computacionales (CISC) de la Universidad

de Guayaquil, dispone de una infraestructura de red y servidores propia

compuesta por estaciones de trabajo, switches, routers, puntos de acceso

inalámbrico, servidor web, servidor de base de datos del sistema académico,

enlace de Internet, siendo esta plataforma con la cual se brinda todos los servicios

tecnológicos que la comunidad educativa demanda: estudiantes, profesores y

personal administrativo.

Para esta estructura de red no existe un software/appliance de gestión de

seguridad completo que permita configurar y administrar las reglas de acceso a la

red interna e Internet, se tiene sólo un servidor proxy con sistema operativo Linux

haciendo las veces de firewall donde existen algunas reglas de acceso y

definiciones, el cual es complejo a nivel de administración y configuración ya que

6

todos los cambios se los debe hacer por línea de comando bajo condiciones de

probables errores en la creación manual de reglas.

No existe una bitácora ni documentación que determine las necesidades reales de

acceso entre redes y navegación hacia Internet, ya que no existen registros desde

los cuales se pueda extraer de manera oportuna y eficaz esta información. Si bien

es cierto el gestor haría este trabajo, se necesita la información base sobre la cual

partir para definir reglas de acceso a los servidores, limitaciones apropiadas y

perfiles de navegación ajustadas a la necesidad y demanda del personal, donde el

propósito sea el desarrollo de sus actividades administrativas y de gestión con el

mayor aprovechamiento de las tecnologías.

Así mismo no existe seguridad sobre los servicios web que se consumen desde

Internet hacia los servidores en la red interna, siendo un claros ejemplos el

registro de matriculación, la consulta de notas o el registro que realizan los

docentes con respecto a las notas de los estudiantes, siendo blanco fácil de

personas malintencionadas que buscaran alterar o sustraer esta información para

fines ilícitos, dañinos y de carácter lucrativo.

7

SITUACIÓN CONFLICTO NUDOS CRÍTICOS

El problema de seguridad que enfrenta la red de la CISC no implica solamente

ataques de intrusos desde redes externas, sino que también se puede ver

comprometida por usuarios internos como personal administrativo, docentes o

estudiantes que de manera intencional o no podrían irrumpir con facilidad en los

sistemas que maneja la carrera. Según artículos e informes de varios medios de

comunicación, las organizaciones de todo tipo de sectores en el mundo pierden

grandes cantidades de dinero por el robo o alteración de información, lo cual nos

hace ver con claridad que la CISC no es inmune a este tipo de situaciones.

Con respecto a los nudos críticos que se presentan en torno a la falta de seguridad

aplicada a la red, se puede definir lo siguiente:

- Falta de control de accesos desde usuarios de la red interna hacia los

servidores.

- Falta de control de accesos desde usuarios externos hacia los servidores.

- La navegación web de los usuarios no cuenta con filtrado anti-malware.

- Servidores sin protección contra ataques de red sofisticados.

- Transaccionamiento de la información por canales inseguros.

8

Con respecto a los nudos críticos que se presentan en torno a la administración de

la red, se puede definir lo siguiente:

- Tendencia alta a cometer errores de configuración.

- Complejidad de configuración sobre funcionalidades de seguridad de red.

- Falta de reporteria consolidada para la toma de decisiones.

CAUSAS Y CONSECUENCIAS DEL PROBLEMA

En el siguiente cuadro se detalla las principales causas que originan el problema

de inseguridad en la red administrativa y servidores de la carrera, y las

consecuencias que se tienen o se podrían generar de no tomarse las medidas

correctivas de implementación que se plantean en capítulos posteriores.

9

CUADRO N° 1 CAUSAS Y CONSECUENCIAS

Causas Consecuencias

Complejidad de definición de reglas

de Firewall

Reglas creadas con errores de

definición

Acceso de Personal no autorizado a la

red y servidores Fuga de Información confidencial

Intrusiones a la red y servidores Alteración de la información

comprometiendo la integridad

Saturación y congestionamiento de la

red Servicios informáticos indisponibles

Servidores y equipos clientes con

puertos abiertos de forma

indiscriminada

Generación de ataques, actuando los

equipos como botnets o zombies

consumiendo los recursos de red,

memoria y procesador.

Modificación de la página web de la

carrera con fines perjudiciales

Repercusión en la imagen institucional

de la Carrera

Consumo de ancho de banda no

segmentada

Lentitud en la trasmisión de datos de

subida y bajada de Internet

Ausencia de reporteria y

notificaciones

Toma de acciones correctivas a

destiempo

Accesos hacia sitios no confiables de

Internet

Infección y propagación de malware a

la red interna

Acceso remoto por un canal no seguro Intercepción del tráfico de red

Elaborado por: Víctor Allam Párraga Núñez

Fuente: Carrera de Ingeniería en Sistemas Computacionales y Networking

10

DELIMITACIÓN DEL PROBLEMA

La solución propuesta se ejecutará en el entorno de la red administrativa de la

carrera tomando en cuenta todo el levantamiento de información que de esta se

origine, como subredes, roles de servidores, permisos de navegación, conexiones

físicas, conexiones lógicas, reglas de firewall, direccionamiento IP, etc.

CAMPO: Seguridad de la Información

ÁREA: Red administrativa y servidores de CISC

ASPECTO: Seguridad de red perimetral

TEMA: Implementación de un gestor unificado de amenazas de seguridad para la

red administrativa de la Carrera de Ingeniería de Sistemas computacionales,

basado en un análisis de su infraestructura de red interna y de borde.

FORMULACIÓN DEL PROBLEMA

La estructura de seguridad actual que tiene la red administrativa de la carrera,

permite todavía accesos de navegación no autorizados, penetraciones a la red,

consumos no supervisados de ancho de banda y muchas debilidades expuestas que

afectan la confidencialidad, integridad y disponibilidad de los datos, los intentos

de intromisión por parte de las subredes de los laboratorios de la carrera

11

incrementa la posibilidad y probabilidad de ataques internos y contaminación de

malware. De esto surge la siguiente interrogante:

¿Cómo y por qué integrar un gestor unificado de amenazas de seguridad para

proteger de manera eficiente y oportuna la red de la Carrera de Ingeniería en

Sistemas Computacionales?

"Las organizaciones gastan millones de dólares en firewalls y dispositivos de

seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el

eslabón más débil de la cadena de seguridad: la gente que usa y administra

los ordenadores” (Kevin Mitnick)

Afirmando la anterior cita, ningún sistema de seguridad es totalmente

impenetrable, puesto que en materia de seguridad informática influyen muchos

factores como el humano haciendo que la misma sea relativa, basados en esto, con

la implementación de un sistema gestor unificado de amenazas de seguridad no se

garantiza protección total al 100 % pero si se disminuyen los riesgos inherentes a

los cuales está expuesta la CISC.

12

EVALUACIÓN DEL PROBLEMA

Los aspectos que se han tomado en cuenta para la evaluación del problema

planteado se los detalla a continuación:

Delimitado:

En la actualidad se presentan problemas de seguridad perimetral y falta de

administración de amenazas informáticas en la estructura de red administrativa

que se encuentra en producción en la CISC, quedando así expuestos y vulnerables

los servicios que se prestan a la comunidad académica comprendida por personal

administrativo, profesores y estudiantes.

Evidente:

La ausencia de seguridad perimetral y de red interna provoca algunos

inconvenientes, y están expuestos a amenazas de todo tipo, afectando

directamente a los datos alojados en los servidores y la continuidad de las

actividades académicas que han sido planificadas con anterioridad.

En este momento con estudiantes de una carrera en tecnologías de la información

aumentan los riesgos de poder ser atacados por personas mal intencionadas o que

pueden asumir que es un ambiente de pruebas y generar tráfico no autorizado

sobre la red.

13

Concreto:

“Para descubrir y bloquear ataques del personal de forma inteligente, lo primero

es establecer un programa de prevención de ataques internos” Así lo comunicó

Dawn Cappelli, gerente técnica del CERT Insider Threat Attack Center, de la

Universidad Carnegie Mellon, es lo que la solución busca en sus objetivos

principales, asegurar claramente el entorno interno, después que se haya puesto

mayor énfasis en esto, se buscarán las definiciones apropiadas para asegurar la

red perimetral desde y hacia Internet.

Factible:

La solución propuesta a implementar, nos brinda un sistema integrado que agrupa

soluciones como: firewall full state inspection, sistema prevención de intrusos,

calidad de servicio, control de denegación de servicios, escaneo antivirus,

encriptación de correo, filtrado de navegación, escaneo antispyware, escaneo

HTTPS, control a nivel de aplicaciones, protección contra ataques SQL injection y

XSS.

Estas características pueden adaptarse perfectamente al esquema de la red de la

carrera de Ingeniería de Sistemas Computacionales levantando esta solución en un

solo equipo servidor que se encargue de proporcionar las funcionalidades antes

mencionadas en el marco de licenciamiento sin costo para 50 direcciones IP,

siendo así factible esta solución en cuanto a recursos económicos, humanos y de

tiempo.

14

Original:

Al hablar de este proyecto, estamos frente a un nuevo enfoque, ya que el término

de gestor unificado de amenazas fue empleado por primera vez en 2004 por

Charles Kolodgy, Vicepresidente de Investigación para productos y servicios de

seguridad del IDC (International Data Corporation), para describir este tipo de

soluciones que engloban los múltiples servicios antes mencionados en un solo

servidor.

El uso de este tipo de soluciones está empezando a ser adoptado tanto por grandes,

medianas y pequeñas compañías e industrias privadas y gubernamentales a nivel

internacional y nacional, por su facilidad de administración y oportuna respuesta

frente a incidentes presentados como resultado de las operaciones realizadas.

Identifica los productos esperados:

Así como los gestores unificados de amenazas están siendo poco a poco adaptados

a la infraestructura de red de las compañías, también es un término desconocido

para muchos profesionales de TI en nuestro entorno, es por eso que el estudio para

la implementación de este proyecto dará un valor agregado reflejándose tanto en

la infraestructura de red de la carrera de Ingeniería de Sistemas Computacionales

de la Universidad de Guayaquil, como en el conocimiento que se aportará en el

proceso de implementación al administrador de red en cuanto al manejo de esta

solución.

15

OBJETIVOS

OBJETIVO GENERAL:

Implementar una solución integral tecnológica que permita la gestión unificada de

amenazas de seguridad informática, en la estructura de red de la CISC, aplicando

criterios basados en mejores prácticas de seguridad para proteger de manera

centralizada el equipamiento lógico de la institución a nivel interno y perimetral

asegurando la continuidad y operatividad de los servicios informáticos que son

consumidos por la comunidad académica, y a su vez brindar al administrador de

red facilidad de gestión e inmediata respuesta, frente a problemas o

eventualidades presentados en la red.

OBJETIVOS ESPECÍFICOS:

Identificar la estructura de red de la CISC y la seguridad aplicada sobre la misma,

mediante la recopilación de información, para el posterior análisis de los puntos

de fallo y determinación de las mejoras que se pueden realizar con la integración

del gestor unificado de amenazas.

Rediseñar la estructura de red de la CISC, analizando las necesidades de seguridad

presentes para establecer un nivel de protección robusto basado en buenas

practicas que abarque tanto a usuarios internos, externos y servidores.

16

Dimensionar los recursos de hardware requeridos por el producto, basándose en

las especificaciones dadas por el fabricante para preparar el servidor en el que se

implementará el gestor unificado de amenazas.

Instalar, configurar y poner en producción las funcionalidades del gestor

unificado de amenazas de acuerdo a la información tomada del esquema de red y

la propuesta realizada de niveles de seguridad.

Afinar las políticas y reglas de acceso configuradas en el gestor unificado de

amenazas, tomando decisiones en base a los hallazgos encontrados en los reportes

generados por el gestor unificado de amenazas para garantizar la mejora continua

de la seguridad en la red.

ALCANCES

Análisis interno y perimetral de la situación inicial de la red administrativa y de

servidores de la CISC.

Rediseño y adaptación de la red para así poder integrar el gestor unificado de

amenazas a la misma.

Dimensionar los recursos de hardware necesarios para el servidor en el que se

implementara el gestor unificado de amenazas, basado en el análisis de red

previamente realizado.

17

Implementación del gestor unificado de amenazas de acuerdo a las necesidades

de protección, protegiendo al menos 50 equipos en la red administrativa y

servidores.

Desarrollo de una memoria técnica y un manual de administrador que facilite la

gestión del sistema implementado.

Capacitación al Administrador de Red para la implementación y uso del gestor

unificado de amenazas.

JUSTIFICACIÓN E lMPORTANCIA

La seguridad de la información es un tema primordial dentro del ámbito de la

tecnología en la actualidad, ya que para todas las actividades diarias sean estas

personales, comerciales o académicas dependemos de recursos tecnológicos como

lo son los ordenadores, teléfonos celulares inteligentes, tablets, etc., todos estos

interconectados y con acceso al mundo a través de Internet, tener acceso a este

tipo de tecnologías hoy en día más que un lujo es una necesidad.

La CISC tiene que ofrecer sus servicios académicos ligada netamente a recursos

tecnológicos para garantizar calidad, rapidez y eficiencia en todos sus procesos

operativos, pero estar apoyados con tecnología en sus actividades diarias hace que

18

estos procesos sean vulnerable y se expone a un riesgo muy grave: la pérdida de

información importante por falta de medidas de seguridad informática.

La implementación e integración dentro de la red de un gestor unificado de

amenazas es un muy buen inicio en la mitigación de las vulnerabilidades de

seguridad presentes actualmente, este gestor incluye funcionalidades tales como

firewall, filtrado de navegación y protección antivirus, administración de ancho de

banda, sistema de prevención de intrusos, entre otras características, ayudará a

fortalecer el entorno de la red tanto interno como externo.

Este proyecto permitirá documentar todo el levantamiento de información que

será parte del análisis y la implementación del gestor unificado de amenazas,

eliminando con una solución la complejidad de implementar una variedad de

soluciones que aseguren la red de la CISC frente a virus, spam y ataques de

hackers, beneficiando de esta manera a toda la comunidad académica.

19

CAPÍTULO II

MARCO TEÓRICO

ANTECEDENTES DEL ESTUDIO

Siempre hemos podido crear, planear y diseñar la protección de la red, deberíamos

adquirir e implementar un IPS o un IDS, adquirir e implementar una solución de

firewall y otra para crear perfiles en los que se pueda realizar el filtrado de

contenido en la navegación web, adquirir e implementar un módulo para Anti-

Spam, un appliance o un servidor que nos permite tener alta disponibilidad y

balanceo de carga en el enlace de Internet, tal vez depender de terceros para los

accesos remotos vía VPN (Virtual Private Network), implementar una

herramienta WAF (Web Application Firewall) para la protección de ataques hacia

los servidores web.

Generando el uso de estas herramientas gran cantidad de registros, los cuales son

complicados de consolidar y así poder obtener reportería conjunta y oportuna para

poder examinar uno a uno los elementos cuando realizamos troubleshooting.

Tener un especialista para administrar cada uno de los elementos antes detallados,

20

y un proveedor diferente para cada una de estas tecnologías incurre en altos costos

económicos para las organizaciones aumentando así las limitaciones en el

presupuesto destinado para el departamento de Tecnologías de la Información.

Enfocando esto a la estructura de red lógica actualmente configurada en el centro

de datos de la Carrera de Ingeniería en Sistemas Computacionales, mediante un

estudio de la misma se recopiló la información necesaria para así poder

representar en el siguiente GRÁFICO la situación actual de seguridad perimetral

con que cuenta la red del Departamento Administrativo y Servidores, de manera

resumida:


Fuente: Víctor Allam Párraga Núñez

GRÁFICO N° 1 DIAGRAMA RESUMEN DE SITUACION

ACTUAL DE LA RED

21

Se puede observar en el anterior gráfico que existen servidores tales como el

servidor web, que están directamente publicados hacia Internet es decir, no hay un

equipo de frontera que pueda protegerlo contra los ataques más comunes y

avanzados que se presentan hoy en día (SQL Injection, Cross-Site Scripting.

DDoS, etc), lo cual puede ocasionar tanto perdida de información confidencial y

denegación de consumo de los servicios en el levantados.

Si bien es cierto, se puede constatar que existen seguridades a nivel de sistema

operativo levantados en este servidor, lo que es correcto y mitiga en gran manera

algún tipo de ataque o intrusión, pero lo ideal y eficiente en temas de seguridad y

rendimiento para el servidor web, es que exista un equipo entre Internet y el

mismo que se encargue de contrarrestar estos ataques con técnicas avanzadas de

detección y prevención como lo son el WAF (Web Application Firewall) y el IPS,

protegiendo y a su vez aligerando así la carga operativa de procesamiento lo cual

se refleja en mayor rapidez y oportuna disponibilidad de acceso a los servicios.

A su vez, este servidor web se conecta punto a punto con un servidor de base de

datos el cual contiene la información del Sistema Académico. También se

identifica en el diagrama de red, que existe un servidor proxy que hace las veces

de firewall para la red del Departamento Administrativo. Este servidor proxy,

tiene como sistema operativo CentOS, dentro del cual se manejan los siguientes

servicios en producción para la gestión de la red, se detalla el uso que se le da a

cada uno de ellos:

22

IPTables: Creación de reglas de firewall y acceso.

Squid: Filtro de contenido de navegación web.

Sarg: Generación de reporteria emitida por Squid.

Htb-gen: Control de ancho de banda.

MRTG y SNMP: Monitoreo de interfaces de red.

Con la solución propuesta se gestiona toda la seguridad desde una sola intuitiva

interfaz de navegación. No son necesarios programas adicionales ni la línea de

comandos obligatoriamente para poder realizar cualquier tipo de cambios en las

configuraciones. Gracias a la gama completa de funciones de nivel empresarial

que ofrece un Gestor Unificado de Amenazas, se tendrá mayor protección frente

a amenazas, facilidad de administración, menos tendencia a cometer errores

involuntarios de configuración y toma de decisiones oportuna con respecto a la

seguridad de la red.

A diferencia del esquema de red actual, en el que un servidor proxy basado en

Sistema Operativo Linux gestiona la seguridad y accesos de red, con limitado

nivel de seguridad, en la solución propuesta se podrá gestionar de manera gráfica

y sencilla los niveles de seguridad representados por las siguientes funciones:

- Firewall Satateful Packet Inspection.

- Network Address Translator (NAT).

23

- Tipos de VPN SSL, IPSec, L2TP, PPTP.

- Iintrusion Prevention System (IPS).

- Control de ancho de banda.

- Monitoreo en tiempo real y bajo demanda del ancho de banda

consumido.

- Redundancia de enlaces de Internet.

- Control DDoS (Flood SYN TCP, flood UDP, flood ICMP

- Filtrado de navegación web HTTP/S por categorías y URL.

- Protección contra virus y spyware en la navegación web.

- Control de aplicaciones.

- Web Application Firewall (Form hardening, URL hardening,

Antivirus, cookie protection)

- Amplia reporteria consolidada y logs intuitivos en tiempo

real. Ver ANEXO N °1 – REPORTE EJECUTIVO.

- Interfaz de usuario totalmente grafica vía browser.

- Copia y respaldo de seguridad automática y periódica de

configuraciones.

Después de la implementación del gestor unificado de amenazas propuesto, el

esquema de red del área administrativa y de servidores de la carrera, quedará en

resumen de la siguiente manera:

24



FUNDAMENTACIÓN TEÓRICA

QUÉ ES UN GESTOR UNIFICADO DE AMENAZAS

El término gestor unificado de amenazas o UTM por sus siglas en inglés Unified

Threat Management hoy en día se está empezando dar a conocer como un factor

importante dentro del campo de la seguridad perimetral de redes. Los gestores

unificados de amenazas han sido poco conocidos hasta hace años atrás, ya que el

termino UTM como tal fue mencionado recién por primera vez en el año 2004 por

GRÁFICO N° 2: DIAGRAMA RESUMEN DE

SITUACION FINAL DE LA RED

25

Charles Kolodgy, Vicepresidente de Investigación de Productos de Seguridad del

International Data Corporation.

Kolodgy utilizó el termino UTM para definir la consolidación de distintas

soluciones de seguridad de redes en una única solución ya sea esta de software o

de hardware. La integración de estas soluciones incluye servicios como firewall,

filtrado de contenido web, antivirus de puerta de enlace, prevención y detección

de intrusiones, acceso remoto a través de redes privadas virtuales o VPN (Virtual

Private Network), usados para contrarrestar los más variados ataques de seguridad

informática que sufren las organizaciones. Además, permite el balanceo de carga

de enlaces de Internet lo cual se refleja en la continuidad de negocio.

Es decir, un gestor unificado de amenazas ayuda a la simplificación de la

seguridad de redes, ya que permite al administrador de red centralizar y controlar

todo desde un solo dispositivo sin la necesidad de recurrir a varias soluciones

independientes proporcionadas por distintos proveedores.

ORIGEN Y DESARROLLO ACTUAL DE LOS GESTORES UNIFICADOS

DE AMENAZAS

Para entender el actual desarrollo y origen de los gestores unificados de amenazas

se detallará a continuación la evolución que han tenido a lo largo del tiempo las

26

redes informáticas, viniendo desde lo más simple hacia lo complejas que son hoy

en día, explicando también como componente principal y pionero de los gestores

unificados de amenazas, los firewalls, y por último se detallara cada uno de los

servicios que componen el sistema de un gestor unificado de amenazas.

ORÍGEN Y EVOLUCIÓN DE LAS REDES DE COMPUTADORAS

Una red de computadoras es un conjunto de dispositivos electrónicos conectados

entre sí por medios físicos y protocolos lógicos, lo cual les permite establecer

comunicación bajo demanda o en tiempo real y así poder compartir información

tanto de carácter personal, laboral, comercial, entretenimiento, etc. Estos

dispositivos pueden ser computadores de escritorio, computadores portátiles,

computadores servidores, teléfonos móviles, tablets y televisores inteligentes.

Para poder llegar al nivel actual en el que se encuentran las comunicaciones entre

estos dispositivos y ser algo tan común en la vida cotidiana para la mayoría de

personas alrededor del mundo, el desarrollo y la evolución de las redes de

computadoras ha pasado por decenas de años hasta llegar a ser lo que hoy en día

conocemos como telecomunicaciones modernas.

El origen de las redes de computadores se remonta a la década del 60, época en la

que se creó en Estados Unidos de Norteamérica la Agencia de proyectos de

27

Investigación Avanzada ARPA por sus siglas en inglés (Advanced Research

Projetcs Agency), cuyo objetivo era crear una red de computadoras que uniera las

distintas instituciones gubernamentales.

ARPA convocó concursos para adjudicar el contrato a proveedores y

universidades locales que puedan realizar el diseño y la construcción de la red

que se había ideado en un principio, finalmente y después de algunos años se creó

una red experimental que unía a la University of California Los Angeles (UCLA),

University of California Santa Barbara, Stanford Research University, University

of Utah, esta red que nació fue denominada ARPANET (Advanced Research

Projects Agency Network) lo que les permitía a los científicos compartir material

investigativo y académico, después de tres años ARPANET tuvo un grado de

crecimiento muy alto llegando a abarcar todo Estados Unidos (Tanenbaum,

2003).

Poco a poco se fueron construyendo más redes y uniendo entre sí para establecer

comunicación y es desde aquí que se originó la Red de Redes o también

denominada como Internet, que no es más que la unión de millones de

dispositivos conectados alrededor del mundo constituyendo así una gigante red de

computadoras lo que permite a los usuarios realizar un sinnúmero de actividades

hoy en día.

28

Si bien es cierto, como se comentó en un principio las primeras redes fueron

netamente para desarrollo investigativo y la colaboración científica entre pocas y

limitadas personas, hoy en día con la comercialización del acceso a la Red de

Redes y los bajos costes que implica obtener este recurso ha hecho que sea

totalmente asequible para millones de usuarios en el planeta. Esto ha ocasionado

que revolucione el concepto y la percepción que se tenía de las comunicaciones

hasta hace pocos años, siendo así que hoy en día se puede tener una conversación

en tiempo real entre dos personas observándose cara a cara a pesar de que una de

ellas se encuentre en Singapur y la otra en Alaska.


Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición

GRÁFICO N° 3: CRECIMIENTO DE ARPANET HACIA

SEPTIEMBRE DE 1972

29

RAZONES COMUNES POR LAS CUALES ACCEDER A INTERNET

Actividades diarias que en décadas atrás demandaban mucho más tiempo, en la

actualidad son simplificadas con el uso del Internet, se menciona a continuación

los usos más comunes y las razones por las cuales los usuarios domésticos

acceden a Internet:

- Acceso a información remota.

- Comunicación de persona a persona.

- Entretenimiento interactivo.

- Comercio electrónico. (Tanenbaum, 2003, p. 6)

Aquí Tanenbaum menciona las cuatro razones antes expuestas, englobando las

más comunes como lo son el acceso a la información remota que no es más que el

acceso a información alojada en servidores web ubicados geográficamente en

lugares distintos y por lo general muy distantes a donde nos podamos encontrar,

Los usuarios pueden acceder a esta información a través de la WWW (World

Wide Web por sus siglas en inglés) consultando así gran cantidad de documentos

de la web, pudiendo ser esta información de fuentes verídicas o falsas. Como

ejemplo, un ciudadano ecuatoriano que se encuentra de viaje en China, puede

enterarse de los hechos que se han dado en el Ecuador con tan solamente acceder

al sitio del diario local www.eluniverso.com.

http://www.eluniverso.com/

30

La comunicación de persona a persona es otra de las ventajas que nos proporciona

el acceso a Internet, siendo así que a través de esta plataforma de carácter mundial

se puede usar la telefonía basada en Voz sobre IP para establecer una llamada

remota en pocos segundos y con una calidad de transmisión excelente, sin retrasos

y en tiempo real, superando así las comunicaciones telefónicas basadas en

plataformas analógicas.

El uso de las redes también ha cambiado la forma en que las personas se

entretienen, hasta hace pocos años las formas de entretenimiento se encontraban

limitadas al aspecto presencial para poderse llevar a cabo, es decir, los

participantes de un juego debían encontrarse físicamente en el mismo lugar para

poder desarrollarlo. Ahora con los juegos en línea los participantes pueden

encontrarse en cualquier lugar del planeta teniendo la experiencia de sentirse

como si estuvieran físicamente uno al lado del otro.

Y no solo en los juegos en línea se evidencia el uso del Internet para consumo de

entretenimiento sino que también es utilizado para realizar compras, ver películas,

ver los resultados de los partidos de futbol, escuchar y descargar música, en fin,

una cantidad casi infinita de usos de entretenimiento que se le da al Internet.

31

El correo electrónico es la abstracción del correo convencional, en el que el

proceso para hacer llegar una carta de un lugar a otro comprende la entrega al

cartero, luego este la envía a la oficina postal para ser distribuida al medio de

transporte por el cual se la enviara al destinatario dependiendo de la ubicación

geográfica del destino, ocasionando que la carta que hemos enviado se demore

días o semanas en llegar hacia el objetivo, y si vemos mucho más atrás cuando no

existía el transporte aéreo y los correos eran transportados por tren o barco, el

tiempo de llegada eran en muchas ocasiones varios meses. Con el desarrollo de la

tecnología, específicamente de Internet, todo este tedioso y demorado proceso se

redujo a tan solo segundos o minutos en el tiempo con el envío de correos

electrónicos, permitiéndonos enviar las fotos que nos hemos tomado al instante o

videos de algún acontecimiento importante en nuestras vidas a nuestros familiares

o amigos.

Así como el Internet es un recurso muy útil para los usuarios domésticos, es tan o

mucho más útil para los usuarios corporativos ya que es un medio por el cual se

puede llevar a cabo un sin número de actividades que aportan con el desarrollo y

productividad de la organización. Entre los usos que le dan los usuarios

corporativos a Internet están:

- Envió y recepción de correos electrónicos.

- Pago en línea de roles a la nómina.

- Consulta de información vía web.

32

- Compra de insumos via web.

- Venta de productos y servicios via web.

- Transacciones bancarias en línea.

- Conexión remota a la oficina.

- Video conferencia.

- Llamadas telefónicas locales e internacionales.

- Colaboración en línea.

- Mercadeo.

Estos, entre otros múltiples usos que se le puede dar a Internet a nivel corporativo

y que han simplificado las tareas cotidianas y acortado el tiempo y distancia que

llevaba realizarlas antes de que se tenga acceso al mismo, contribuyendo así en la

efectividad de los procesos corporativos que se realizan a diario para el

crecimiento de las organizaciones.

Hasta ahora he nombrado varias ventajas y bondades que nos ofrece el acceso a la

Red de Redes y el aporte al desarrollo de las organizaciones y los usuarios

domésticos, pero cabe mencionar también los riesgos que este conlleva, tales

como robo de información confidencial por espías informáticos en busca de

apoderarse de los secretos comerciales e industriales, perdida de dinero por

transacciones bancarias en internet, suplantación de identidad, infección de los

sistemas informáticos por malware, correos no deseado también conocido como

spam, daño a la imagen corporativa de la empresa, entre otros.

33

Esto nos da paso a la siguiente sección en la que se habla acerca de la seguridad

informática en general y específicamente a las medidas de seguridad que se deben

tomar para salvaguardar las redes.

FUNDAMENTOS DE REDES DE COMPUTADORAS

Ahora que sabemos el origen de las redes de computadoras y lo que han llegado a

ser hasta la actualidad para la vida de millones de organizaciones y personas en el

mundo, es necesario revisar los fundamentos de redes y saber cómo funcionan

estas por dentro, es decir, el proceso que se lleva a cabo para establecer la

comunicación entre un computador ubicado en un extremo de la red y otro

ubicado en otro extremo.

Así como los seres humanos nos comunicamos entre sí a través de muchos

medios, siendo el más básico el medio del habla, los computadores se comunican

entre sí con su lenguaje propio de máquinas y para establecer esta comunicación

la deben hacer a través de protocolos. Un protocolo es un conjunto de reglas o

convenciones que se deben cumplir para establecer la comunicación entre dos o

más entes.

Haciendo la analogía humana para que dos personas puedan establecer

comunicación deben hablar el mismo idioma ya que si uno de ellos habla alemán

34

y el otro habla hebreo nunca podrán entenderse ya que no siguen el mismo

protocolo de comunicación por el impedimento del idioma, a menos que haya un

intérprete de por medio. Así mismo los computadores deben hablar el mismo

“idioma” o deben basarse en el mismo protocolo para poder comunicarse.

EL MODELO DE REFERENCIA OSI

En los primeros años de implementación de las redes de computadoras, los

fabricantes de las mismas desarrollaban protocolos de comunicación propietarios

lo cual causaba dificultades al momento de compartir o intercambiar información

con otros computadores de otros fabricantes u otras tecnologías. En un párrafo de

una de las obras de Gheorghe (2006, p. 8), indica cual fue la solución que se

desarrolló para solventar este problema de comunicación:

To solve this problem, the International Organization for

Standardization (ISO) created a network model that helps

vendors to create networks compatible with each other. In 1984,

ISO released the Open Systems Interconnection (OSI) reference

model, which is a well-defined set of specifications that ensures

greater compatibility among various technologies.

35

Traducción al español:

Para resolver este problema, la Organización Internacional de

Normalización (ISO) creó un modelo de red que ayuda a los

fabricantes a crear redes compatibles entre sí. En 1984, la ISO

publicó el modelo de referencia de Interconexión de Sistemas

Abiertos (OSI), que es un conjunto bien definido de

especificaciones que garantiza una mayor compatibilidad entre

las distintas tecnologías.

Y fue bajo esta necesidad que nació el modelo de referencia OSI (por sus siglas en

ingles Open Interconnection System) que consta de siete capas, con una función

específica para cada una de ellas, siendo estas la capa física, capa de enlace de

datos, capa de red, capa de transporte, capa de sesión, capa de presentación y la

capa de aplicación. En el siguiente GRÁFICO se muestra las capas del modelo de

referencia OSI:

36

GRÁFICO N° 4: MODELO DE REFERENCIA OSI



37

En el siguiente cuadro se muestra una breve descripción de cada una de las capas

del modelo de referencia OSI:

CUADRO N° 2: DESCRIPCIÓN CAPAS MODELO OSI

CAPA NOMBRE DESCRIPCION

7 Aplicación Permite a las aplicaciones solicitar servicios de red

6

Presentación Convierte los datos de modo que los sistemas que utilizan diferentes datos formatos pueden intercambiar información.

5 Sesión Establece sesiones entre aplicaciones de red

4 Transporte Provee entrega confiable de paquetes

3 Red Maneja enrutamiento de datos entre distintos segmentos

de red.

2 Enlace de

datos Proporciona direcciones MAC como identificador único para los equipos en la red.

1 Física Incluye los medios físicos como cableado de red,

repetidores, hubs, etc. Elaborado por: Víctor Allam Párraga Núñez


CAPA FÍSICA

Esta es la capa inferior del modelo de referencia OSI, y se encarga de las

características físicas de la red, es decir, de aquellos componentes tales como

repetidores, hubs, cables de cobre, cables de fibra, tarjetas de red de los

computadores y demás dispositivos dentro de la red, conectores, señales

eléctricas.

Dentro de esta capa entran también las topologías de red, siendo las más

conocidas:

38

- Topología de bus.

- Topología de anillo.

- Topología de árbol

- Topología de estrella.

- Topología de malla.

- Topología totalmente conexa.

- Topología doble anillo.

- Topología mixta.

La siguiente figura muestra de manera gráfica las diferentes topologías de red:

GRÁFICO N° 5: TOPOLOGÍAS O ARQUITECTURAS DE RED


Fuente: Wikipedia, http://es.wikipedia.org/wiki/Topolog%C3%ADa_de_red

39

CAPA DE ENLACE DE DATOS

En la capa de enlace de datos se le asigna un sentido a las señales eléctricas que

viajan a través de la red, dentro de esta capa juegan un papel muy importantes los

switches o conmutadores, ya que su función es conmutar los paquetes de datos de

manera tal que estos lleguen intactos hacia su destinatario lo cual se logra con

técnicas propias de estos dispositivos.

En la capa de enlace de datos cada dispositivo dentro de la red tiene asignada una

dirección física como identificador único, esta dirección física es denominada

como dirección MAC por sus siglas en ingles Media Access Control, o control de

acceso a medios. Tal como se mencionó con anterioridad, las direcciones MAC

son únicas para cada dispositivo, es decir, que en todo el mundo no hay dos

dispositivos con la misma dirección.

Las direcciones MAC están compuestas por 6 pares de dígitos hexadecimales,

comprendidos entre los números del “1” al “9” y las letras de la “A” a la “F”,

como por ejemplo 24-1C-99-AF-D6-36.

40

CAPA DE RED

Esta capa es la responsable del enrutamiento para la comunicación de un

dispositivo a otro ubicado en una red distinta. El protocolo de red más utilizado a

nivel mundial y general es el protocolo IP (Internet Protocol), en los protocolos de

capa de red encontramos los conceptos de direccionamiento lógico y

enrutamiento.

En la capa de enlace de datos vimos que cada dispositivo de la red cuenta con una

dirección física llamada dirección MAC, en la capa de red aparece el

direccionamiento lógico o direccionamiento IP, que consiste en configurarle a los

dispositivos una dirección para que pueda comunicarse con otros equipos dentro

de la misma red o de redes foráneas. Las direcciones de red están conformadas por

cuatro octetos, compuesto cada octeto por números decimales. Ejemplo:

10.172.16.30.

CAPA DE TRANSPORTE

Tal como su nombre lo indica, la capa de transporte se encarga de transportar los

mensajes entre los dispositivos de la red, dividiendo cada mensaje en partes más

pequeñas recibiéndolos desde las capas superiores, luego los transmite a la capa

de red asegurándose de que estos lleguen sin errores hacia el dispositivo de

41

destino. Los protocolos de la capa de transporte son TCP (Transmission Control

Protocol – Protocolo de Control de Transmisión) y UDP (User Datagram

Protocol – Protocolo de Datagrama de Usuario).

TCP se encuentra definido dentro de los estándares RFC, encontrando una amplia

descripción de este protocolo en el RFC 793 (http://tools.ietf.org/html/rfc793) y el

RFC 1323 (http://tools.ietf.org/html/rfc1323). TCP es un protocolo orientado a la

conexión, ya que establece operaciones de control para garantizar la correcta

consistencia y entrega de todos los mensajes que se transmitan de un origen hacia

un destino.

UDP es un protocolo sin conexión, es decir permite el envío de mensajes sin que

previamente se haya establecido una conexión, y no tiene controles que garanticen

la recepción de los mensajes o que estos lleguen en el orden conforme se los ha

enviado. UDP se encuentra definido en la RFC 768

(http://tools.ietf.org/html/rfc768).

CAPA DE SESIÓN

La capa de sesión permite que dos dispositivos diferentes puedan establecer

sesiones entre sí, aplicando controles para que no exista errores dentro de la

comunicación garantizando el paso de los datos en correcto estado.

http://tools.ietf.org/html/rfc793



42

CAPA DE PRESENTACIÓN

Andrew Tanenbaum en su libro Redes de Computadoras Cuarta Edición, define a

la capa de presentación de la siguiente manera, (Tanenbaum, 2003, p. 6):

A diferencia de las capas inferiores, a las que les corresponde

principalmente mover bits, a la capa de presentación le

corresponde la sintaxis y la semántica de la información

transmitida. A fin de que las computadoras con diferentes

representaciones de datos se puedan comunicar, las estructuras

de datos que se intercambiarán se pueden definir de una manera

abstracta, junto con una codificación estándar para su uso “en el

cable”. La capa de presentación maneja estas estructuras de

datos abstractas y permite definir e intercambiar estructuras de

datos de un nivel más alto (por ejemplo, registros bancarios).

CAPA DE APLICACIÓN

La capa de aplicación contiene los protocolos usados por los usuarios en

las aplicaciones, como por ejemplo el protocolo SMTP y POP3 que sirven

para el envío y descarga de correos electrónicos, el protocolo de aplicación

FTP que sirve para la transferencia de archivos, o el protocolo HTTP que

sirve para la navegación en las páginas web.

43

SEGURIDAD INFORMÁTICA DE REDES DE COMPUTADORAS

Conforme ha transcurrido el tiempo, las redes de computadoras han evolucionado

hasta el punto actual como las conocemos y como se ha mencionado

anteriormente todas las facilidades que estas nos brindan, y así como han

avanzado las nuevas tecnologías de redes de computadoras se han multiplicado

por millones los usuarios a nivel mundial que hacen uso de las redes.

Esto conlleva a que gente mal intencionada quiera adueñarse de información que

no le pertenece para obtener beneficios económicos o simplemente buscan hacer

daño a una compañía por haberlos despedido, como puede darse el caso de un ex

empleado, o también el típico estudiante que busca por cualquier manera alterar

sus calificaciones accediendo a los registros académicos de su institución.

En el siguiente cuadro, Andrew Tanenbaum ejemplifica los tipos de adversarios

que pueden irrumpir en la seguridad de redes y sus objetivos a la hora de realizar

un ataque (Tanenbaum 2003, p. 722):

44

CUADRO N° 3: TIPOS DE ADVERSARIOS Y SUS OBJETIVOS AL

IRRUMPIR LA SEGURIDAD EN REDES



Antes de entrar en detalle acerca de las seguridades de redes que debemos aplicar

para estar protegidos contra los ataques antes mencionados, es bueno revisar en

que está basada la seguridad informática o los también llamados pilares de la

seguridad:

- Confidencialidad.

- Integridad.

- Disponibilidad.

Confidencialidad: Con este principio se garantiza que nuestra información sea de

acceso exclusivo para las personas que autoricemos, cualquier otra persona que no

esté autorizada no deberá poder visualizar dicha información. Como ejemplo de la

aplicación de este principio de la seguridad podemos tomar el envío de un correo

45

electrónico entre la compañía Arcos S.A y la Superintendencia de Compañías, en

el que la primera hace llegar por este medio digital los estados financieros

correspondientes al ejercicio fiscal 2013, la confidencialidad garantiza que

únicamente la Superintendencia de Compañías sea el receptor de los estados

financieros y no un espía informático que haya interceptado en el camino el correo

electrónico.

Integridad: La integridad garantiza que la información que tenemos no sea

alterada de ninguna manera, entendiéndose por alterada el borrado, omisión o

cambio de los datos que componen la información. Tomando el ejemplo anterior,

aplicando la integridad en la información, ningún extraño podrá cambiar las cifras

de los estados financieros en el transcurso del envió del correo desde su emisor

hacia su receptor.

Disponibilidad: Aplicando este último principio, nos aseguramos de que la

información que poseemos sea siempre accesible para los usuarios autorizados,

sin interrupción de ningún tipo. Volviendo al mismo ejemplo, la compañía Arcos

S.A. deberá contar a la mano con los estados financieros y proporcionarlos de

manera rápida y oportuna cada vez que la Superintendencia de Compañías se lo

solicite.

46

La aplicación de estos tres pilares fundamentales es algo esencial e infaltable en

todo sistema de información o en toda estructura de red, ya que son estos los que

nos permitirán mantener de manera segura y disponible el más preciado bien que

poseen hoy en día tanto las organizaciones como las personas naturales, la

información.

INTRODUCCIÓN DE LOS FIREWALLS COMO DISPOSITIVOS DE

SEGURIDAD EN REDES

Se mencionó en la sección anterior las desventajas o los riesgos inherentes a las

comunicaciones o actividades desarrolladas sobre redes de computadoras, en

especial aquellas que implican el acceso a Internet. Pero el hecho de que el acceso

a Internet sea un riesgo tanto para los usuarios domésticos como para los usuarios

corporativos no implica que el mundo se paralice y retroceda a realizar sus tareas

cotidianas de manera cotidiana como lo hacían antes de que revolucionaran las

comunicaciones, es por esto, que a la par como crecen las amenazas se desarrollan

también medidas de seguridad para salvaguardar la información y así evitar

pérdidas millonarias.

Dentro de todas las medidas de seguridad que se puedan establecer, nos vamos a

centrar únicamente en las seguridades de la comunicación que es la parte donde

entran en acción los gestores unificados de amenaza protegiendo el perímetro que

separa la red interna de las redes externas como Internet.

47

GRÁFICO N° 6: FIREWALL SEPARANDO LA RED INTERNA DE LA

RED EXTERNA



Para entender que es y cuál es la funcionalidad de un gestor unificado de

amenazas, debemos conocer primeramente los componentes bases de los mismos,

empezando por los cortafuegos o firewalls, que son dispositivos que permiten

separar unas redes de otras permitiendo o denegando los accesos y la

comunicación entre las mismas. Para entender mejor la función de un firewall,

observemos la analogía que hace Tanenbaum acerca de los firewalls,

(Tanenbaum, 2003, p. 776):

Los firewalls (servidores de seguridad) son simplemente una

adaptación moderna de la vieja estrategia medieval de

seguridad: excavar un foso defensivo profundo alrededor de

48

su castillo. Este diseño obligaba a que todos los que entraran

o salieran del castillo pasaran a través de un puente levadizo,

en donde los encargados de la E/S los podían inspeccionar.

En las redes es posible el mismo truco: una compañía puede

tener muchas LANs conectadas de formas arbitrarias, pero

se obliga a que todo el tráfico desde o hacia la compañía pase

a través de un puente levadizo electrónico (firewall).

La analogía hecha por este autor ejemplifica de manera clara cuál es la función de

un firewall, haciendo entender que todo el tráfico de red que viaje desde redes

externas hacia nuestras redes internas y viceversa debe ser inspeccionado en base a

las políticas de seguridad que hayamos aplicado sobre el mismo, protegiendo de

esta manera el perímetro marcando límites y controlando toda la actividad de la

red. De esta manera descartamos los paquetes de información que tengan como

finalidad causarnos daño. Otra comparación que podemos hacer con respecto a los

firewalls o cortafuegos, es la Gran Muralla China construida para protegerse de los

enemigos del Imperio Chino en aquella época.

En el siguiente GRÁFICO se muestra la separación de la red interna con redes

externas a través de un firewall, el usuario de la red interna intenta acceder a al

sitio web www.bajavirus.com pero este acceso es denegado por las políticas del

firewall, así mismo al intentar acceder al sitio www.dominio.com el acceso es

http://www.bajavirus.com/

http://www.dominio.com/

49

permitido. Se ejemplifica también un acceso no autorizado por parte de un usuario

externo el cual quiere iniciar una sesión en el protocolo FTP hacia un equipo de la

red interna y este acceso es bloqueado por el firewall.

GRÁFICO N° 7: ACCESOS A LA RED CONTROLADOS POR UN

FIREWALL



50

Con respecto a los dispositivos antecesores a los firewalls, Ingham y Forrest

expresan (Ingham y Forrest, 2002, p. 2):

The predecessors to firewalls for network security were the

routers used in the late 1980s to separate networks from one

another. A network misconfiguration which caused problems on

one side of the router was largely isolated from the network on

the other side.

Traducción al español:

Los predecesores de los cortafuegos para la seguridad de la red

fueron los routers utilizados a finales de 1980 para separar las

redes entre sí. Una red mal configurada que causó problemas en

un lado del router era en gran parte aislada de la red en el otro

lado.

Si bien es cierto, antes de que aparecieran los firewalls en el campo de la

seguridad en redes eran los routers los encargados del trabajo de separar

unas redes de otras garantizando que una mala práctica de configuración en

una red no afecta a las demás, pero estos no pueden aplicar las políticas de

seguridad que se necesita para proteger la red de las amenazas tanto

externas como internas.

51

GRÁFICO N° 8: REDES SEPARADAS POR UN ROUTER



EVOLUCIÓN DE LOS FIREWALLS HACIA LOS GESTORES

UNIFICADOS DE AMENAZAS

Si bien es cierto los firewalls o cortafuegos, son en gran parte una medida de

seguridad frente a ataques tanto internos como externos dentro de una red para

permitir o denegar accesos a determinados servicios, no son lo suficientemente

amplios para gestionar la seguridad perimetral en una organización, es por eso que

nace el concepto de los gestores unificados de amenazas como la reunión de

varios servicios de red en un solo equipo o servidor para contrarrestar los intentos

52

provenientes tanto de usuarios internos como externos para violentar la seguridad

de la red.

Bajo la premisa de que no es suficiente contar con solamente un firewall dentro

de la infraestructura de red, surge la necesidad de la implementación de los

gestores unificados de amenazas en las organizaciones como valor agregado para

la protección de sus redes ya que permiten controlar los eventos de manera

centralizada ahorrando costos en equipamiento y administración de los servicios.

GRÁFICO N° 9: REPRESENTACION DE UN GESTOR UNIFICADO DE

AMENAZAS EN UNA RED

Elaborado por: Víctor Parraga Núñez

Fuente: Internet, http://searchnetworking.techtarget.com/How-to-evaluate-and-

manage-UTM-for-network-security

http://searchnetworking.techtarget.com/How-to-evaluate-and-manage-UTM-for-network-security

http://searchnetworking.techtarget.com/How-to-evaluate-and-manage-UTM-for-network-security

53

FUNCIONES Y SERVICIOS QUE COMPONEN UN GESTOR

UNIFICADO DE AMENAZAS

Para entender mejor a los gestores unificados de amenazas de red, describo a

continuación varios de los componentes de los mismos, dentro de ellos se

encuentran tanto los componentes básicos como los avanzados, cabe aclarar que

los componentes básicos se encontraran siempre en cualquier gestor unificado de

amenazas, y los componentes avanzados se encuentran en algunos, de acuerdo al

fabricante que los produzca:

- Monitoreo en tiempo real de tráfico de red.

- Balanceo y alta disponibilidad de enlaces de internet.

- Calidad de servicio y traffic shaping.

- Enrutamiento: Estático, OSPF, BGP Multicasting.

- Agregado de enlaces.

- Sistema de detección y prevención de intrusos (IPS).

- Alta disponibilidad en hardware.

- Servicios de red: DNS, DHCP, NTP.

- Soporte IPv6.

- NAT: Destination NAT, Source NAT, Full NAT.

- Filtrado de navegación web.

- Protección antivirus y antispyware perimetral.

- Control de aplicaciones.

- Protección antispam y antivirus de correo.

- Cifrado de correo electrónico.

- VPN site-to-site: IPSec y SSL.

- Acceso remoto vía VPN SSl, IPSec, PPTP, L2TP/IPsec.

- Web Application Firewall (Firewall de aplicaciones web).

- Autenticación de doble factor.

- Protección contra amenazas avanzadas.

54

ANÁLISIS COMPARATIVO DE DISTINTAS SOLUCIONES UTM DEL

MERCADO

Para seleccionar el UTM ideal y que cubra las necesidades de protección de la

carrera se realizó un análisis de 4 soluciones UTM disponibles en el mercado,

siendo las siguientes; Sophos UTM, Zentyal Gateway & UTM, Fortigate y

SonicWall.

CUADRO N° 4: COMPARATIVO DE SOLUCIONES UTM EN EL

MERCADO

*Característica dependiente de la versión del UTM



Características Zentyal Gateway &

UTM

Sophos UTM Fortigate SonicWall

Firewall SI SI SI SI

IPS SI SI SI SI

VPN SI SI SI SI

Filtrado de Navegación SI SI SI SI

QoS (Calidad de servicio) SI SI SI SI

Protección Antivirus doble NO SI NO NO

Firewall de aplicaciones Web

NO SI NO NO

Portal de usuario NO SI NO NO

Reporteria completa CONDICIONADO* SI CONDICIONADO* CONDICIONADO*

Factor de doble autenticación integrado

NO SI NO NO

Protección contra amenazas avanzadas

NO SI NO NO

Control de aplicaciones SI SI SI SI

Versión software SI SI NO NO

Versión libre SI SI NO NO

55

Sophos UTM se ubica como líder dentro del cuadrante mágico de Gartner para el

año 2014, posición en la que se encuentran ubicados otros productos comerciales

reconocidos a nivel mundial:

GRÁFICO N° 10: CUADRANTE MÁGICO DE GARTNER PARA

SOLUCIONES UTM 2014


Fuente: Gartner, http://www.gartner.com/technology/reprints.do?id=1-

1Z6XAOX&ct=140807&st=sb

Una vez realizado el análisis comparativo se eligió como UTM idóneo a Sophos

UTM el cual está disponible en versiones comerciales (software y appliance) y en

versión Home Edition (Software), que permite la protección de 50 direcciones IP

dentro de la red o dispositivos de red. Se eligió a Sophos UTM Home Edition por

http://www.gartner.com/technology/reprints.do?id=1-1Z6XAOX&ct=140807&st=sb

http://www.gartner.com/technology/reprints.do?id=1-1Z6XAOX&ct=140807&st=sb

56

contener las siguientes características que lo diferencian de los demás productos

analizados:

- Versión libre (Home Edition) que contiene todas las características de la

versión comercial, sin restricciones ni costo, a excepción de la protección

de solo 50 direcciones IP. Esta versión puede instalarse en cualquier

servidor y no es inherente a los appliances del fabricante.

- Reportería completa.

- Protección contra amenazas avanzadas.

- Firewall de aplicaciones web.

- Factor de doble autenticación integrado.

DESCRIPCIÓN DE CARACTERÍSTICAS DE SOPHOS UTM

Sophos UTM es una solución basada en el sistema operativo Suse Enterprise

Linux 11 y sus principales componentes están basados en proyectos Open Source,

tales como:

- IPS basado en Snort

- DNS basado en Bind.

- VPN SSL basado en OpenVPN

- Firewall basado en Netfilter.

- Firewall de aplicaciones web basado en ModSecurity.

- IPSec basado en StrongSwam.

- Módulo de encriptación basado en GNU PG.

57

- Datos de configuración, logs y reporteria son guardados en una

base de datos de PostgreSQL.

Los requerimientos de hardware para la instalación de Sophos UTM son los

siguientes:

- Disco Duro: Mínimo 20 Gb en discos IDE, SCSI o S-ATA.

- Procesador: Dual Core de al menos 2.0 Ghz.

- Memoria RAM : Mínimo 1024 MB

- Mínimo 2 tarjetas de red.

MÓDULOS QUE CONTIENE SOPHOS UTM

Los módulos que contiene Sophos UTM y los cuales serán habilitados en la

Carrera son los siguientes:

Módulo Management:

Este módulo permite realizar configuraciones iniciales y básicas del sistema tales

como; fecha y hora, ubicación de zona horaria, aplicación de licencia,

actualizaciones del sistema, configuración de la interfaz de configuración web,

respaldo y restauración de configuraciones, administración de notificaciones,

portal de usuario, administración centralizada de UTM, alta disponibilidad, entre

otras.

58

GRÁFICO N° 11: OPCIONES DEL MÓDULO MANAGEMENT



Módulo Definitions & Users:

Dentro de este módulo se puede realizar la creación de objetos a ser usados en las

diferentes configuraciones dentro de todos los módulos del UTM, los objetos que

se pueden definir son; objetos de red, objetos de servicios (puertos), objetos de

periodos de tiempo, usuarios y grupos. Así también se puede realizar integración

con servidores de autenticación y habilitar la autenticación de doble factor la cual

se integra con la herramienta Google Authenticator.

59

GRÁFICO N° 12: OPCIONES DEL MÓDULO DEFINITIONS & USERS



Módulo Interfaces & Routing:

En este módulo se puede configurar las interfaces de red, calidad de servicio,

soporte para el protocolo IPv6, opciones de enrutamiento; estático, OSPF, BGP,

PIM-SM.

GRÁFICO N° 13: OPCIONES DEL MÓDULO INTERFACES &

ROUTING



60

Módulo Network Services:

En el módulo Network Services se encuentran los principales servicios de red que

debe haber en toda infraestructura, DNS para la resolución de nombres, DHCP

para la asignación dinámica de direcciones IP y NTP para la sincronización del

tiempo en los distintos dispositivos.

GRÁFICO N° 14: OPCIONES DEL MÓDULO NETWORK SERVICES



BIND

Como se mencionó anteriormente el servicio de DNS que usa Sophos UTM es

basado en BIND. El servicio DNS es el encargado de traducir las direcciones IP

que se encuentran en formato numérico, a nombres de dominio que se encuentran

en formato alfanumérico, los cuales son nombres fáciles de recordar para el ser

humano al momento de referirse a determinado servidor local o sitio web alojado

en Internet. Por ejemplo, al servidor con la dirección privada IP 10.10.10.7 está

asociado el nombre de dominio srv00prd01.abc.local, o al sitio web en internet

www.fanaticosdelared.com está asociada la dirección IP pública 23.67.189.74.

En el libro DNS and BIND, 5th Edition, los autores Paul Albitz y Cricket Liu

mencionan una breve historia de BIND (Albitz y Liu, 2006, p.35):

http://www.fanaticosdelared.com/

61

The first implementation of the Domain Name System was called

JEEVES, written by Paul Mockapetris himself. A later

implementation was BIND, an acronym for Berkeley Internet

Name Domain, written by Kevin Dunlap for Berkeley's 4.3 BSD

Unix. BIND is now maintained by the Internet Systems

Consortium.

BIND is the implementation we'll concentrate on in this book

and is by far the most popular implementation of DNS today. It

has been ported to most flavors of Unix and is shipped as a

standard part of most vendors' Unix offerings. BIND has even

been ported to Microsoft's Windows NT, Windows 2000, and

Windows Server 2003. (Paul Albitz y Cricket Liu, pag. 35, 2006)

En lo que los autores mencionan que la primera implementación de DNS fue

llamada JEEVES, escrita por Paul Mockapetris. Una posterior implementación fue

BIND, acrónimo de Berkeley Internet Name Domain, escrita por Kevin Dunlap

para BSD Unix 4.3. Hoy en día BIND es la más popular implementación de DNS

y es un standard usado tanto en sistemas operativos Unix y Windows.

62

Módulo Network Protection

Es uno de los módulos más importantes y funcionales en Sophos UTM

para controlar la seguridad en la red, ya que éste contiene funciones como;

firewall, protección contra amenazas avanzadas, sistema de prevención de

intrusos IPS, entre otros.

GRÁFICO N° 15: OPCIONES DEL MÓDULO NETWORK PROTECTION



NETFILTER

El firewall de Sophos UTM es basado en el proyecto Netfilter. Netfilter o

también llamado iptables es una herramienta desarrollada para funcionar

como cortafuegos o firewall la cual permite realizar filtrado de paquetes y

también traducción de direcciones de red o NAT (Network Address

Translation por sus siglas en ingles). Con Netfilter se pueden crear reglas

de firewall que procesen a los paquetes aceptándolos, descartándolos o

rechazándolos.

63

SNORT

Snort es un potente proyecto Open Source, el cual es implementado por Sophos

UTM para su sistema de prevención de intrusos. Alejandro Gramajo de Baicom

Networks, define a Snort en su artículo “Introducción a conceptos de IDS y

técnicas avanzadas con Snort” de la siguiente manera:

Snort es rápido, flexible y un NIDS Open Source. Empezó a fines de 1998 como

un sniffer. Con licencia GPL version 2. Por default utiliza técnicas de detección de

firmas y anomalías no estadística. Puede correr en varios modos de ejecución:

- Sniffer.

- Packet Logger.

- NIDS.

- IPS con FlexResp o Inline. Requiere libnet. Para Inline se necesita libipq.

El “engine” del Snort está dividido en componentes:

- Decodificador del paquete (Packet Decoder)

- Toma los datos de libpcap o libipq.

- Preprocesadores (Preprocessors o Input Plugins)

- Motor de detección (Detection Engine)

- Comparación contra firmas

- Logging y sistema de alerta (Logging and Alerting System)

64

- Plugins de salida (Output Plugins). (Gramajo, pag. 4, 2005)

Módulo Web Protection

El modulo Web Protection se encarga del filtrado de navegación y permite

establecer políticas de acceso a Internet mediante perfiles de navegación tanto por

usuario como por direcciones IP. Los perfiles de navegación pueden configurarse

de manera permisiva o restrictiva, permitiendo variedad de opciones como

selección de categorías de sitios web predefinidas, ingreso de sitios web

personalizados, revisión antivirus en el filtrado de navegación.

GRÁFICO N° 16: OPCIONES DEL MÓDULO WEB PROTECTION



Módulo Email Protection

El modulo Email Protection brinda protección de trafico SMTP y POP3, es decir,

los protocolos encargados del envío y recepción de correos electrónicos, evitando

el SPAM (correo no deseado) y los correos maliciosos que puedan descargarse

65

malware e infectar los equipos de los usuarios. También se puede cifrar o

encriptar los correos electrónicos para evitar la fuga de información sensible.

La implementación de este módulo no es aplicable a la infraestructura de la

carrera ya que la misma cuenta con el servicio de correo de Microsoft Exchange

OnLine, y para ser aplicable se debe contar con un servidor de correos local.

GRÁFICO N° 17: OPCIONES DEL MÓDULO EMAIL PROTECTION



Módulo Wireless Protection

Este módulo gestiona la seguridad de redes inalámbricas, pero trabaja con

dispositivos Access Point solamente producidos por el fabricante, es decir de la

marca Sophos, por tal motivo no es aplicable tampoco este módulo para la

implementación en la carrera.

66

Módulo Web Server Protection

Web Server Protection es el módulo que contiene el firewall de aplicaciones web,

también llamado WAF, el cual protege a los servidores web ubicados dentro de la

infraestructura y están publicados a Internet contra las más comunes y avanzadas

amenazas que realizan los atacantes a los sitios web, entre las cuales se encuentran

los ataques del tipo SQL Injection y XSS.

GRÁFICO N° 18: OPCIONES DEL MÓDULO WEBSERVER

PROTECTION



El proyecto OWASP (Open Web Application Security Project), es una comunidad

abierta dedicada a habilitar a las organizaciones a desarrollar, comprar y mantener

aplicaciones confiables. Esta comunidad publica constantemente un documento

llamado “OWASP Top 10”, el cual es un consenso acerca de los defectos más

críticos de seguridad en aplicaciones web. Ver ANEXO N° 2 – OWASP TOP 10

2013.

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

67

GRÁFICO N° 19: OWASP TOP 10

Elaborado por: Victor Allam Parraga Núñez

Fuente: Internet,



68

GRÁFICO N° 20: OWASP TOP 10 DETALLADO

Fuente: Internet


Módulo Site-to-Site VPN


69

Con la característica de VPN Site-to-Site se puede realizar configuraciones de

túneles virtuales entre dos o más organizaciones para establecer una relación de

confianza y garantizar el intercambio de información sobre Internet de manera

segura ya que los datos transmitidos por dicho canal pasan cifrados desde el

origen hacia el destino.

GRÁFICO N° 21: OPCIONES DEL MÓDULO SITE-TO-SITE VPN



Los tipos de VPN Site-to-Site que pueden configurarse en Sophos UTM son:

- Amazon PVC.

- IPsec

- SSL

70

GRÁFICO N° 22: DIAGRAMA DE CONEXIÓN VPN SITE-TO-SITE


Fuente: Internet http://rtfq.net/security/firewall-pages/quick-and-dirty-vpn/site-to-

site-vpn-problem/.

Módulo Remote Access

Este módulo engloba los diferentes tipos de conexiones VPN (Virtual Private

Network) cliente, para la conexión remota hacia los servidores y equipos de la

carrera de forma segura hacia Internet desde cualquier ubicación. Los tipos de

VPN cliente que soporta Sophos UTM son:

- SSL

- PPTP (conexión insegura)

- L2TP sobre IPsec

- IPsec

- VPN HTMLv5

- VPN Cisco

http://rtfq.net/security/firewall-pages/quick-and-dirty-vpn/site-to-site-vpn-problem/

http://rtfq.net/security/firewall-pages/quick-and-dirty-vpn/site-to-site-vpn-problem/

71

GRÁFICO N° 23: OPCIONES DEL MÓDULO REMOTE ACCESS



GRÁFICO N° 24: DIAGRAMA DE CONEXIÓN VPN SSL CLIENTE


Fuente: Internet www.h3c.com

http://www.h3c.com/

72

Módulo Logging & Reporting

El último pero no menos importante de los módulos es el de logs y reportería, en

esta sección se pueden revisar los logs y reportes que han generado todas las

funcionalidades del UTM, tales como los logs de hardware, uso de la red,

protección de la red, filtrado de navegación, protección de correos electrónicos,

protección de redes inalámbricas, acceso remoto, protección de servidores web.

GRÁFICO N° 25: OPCIONES DEL MÓDULO LOGGING & REPORTING



73

GRÁFICO N° 26: REPORTE DE REGLAS DE ATAQUES DETECTADAS

POR EL IPS



IMPLEMENTACIÓN DEL UTM EN LA CARRERA DE INGENIERÍA DE

SISTEMAS COMPUTACIONALES

Como se mencionó en párrafos anteriores, la implementación de este proyecto

incluyo una reingeniería de la estructura de red de servidores de la carrera,

posterior a un análisis detallado de la situación inicial de la misma y así poder

aplicar las mejoras a este diseño. Se instaló la versión software de Sophos UTM

74

v9 en un servidor de rack proporcionado por el Departamento Técnico, con las

siguientes características de hardware:

CUADRO N° 5: CARACTERÍSTICAS DE HARDWARE SERVIDOR UTM

SERVIDOR UTM

MARCA IBM

MODELO System X3250 M4

PROCESADOR

Intel(R) Xeon(R) CPU E3-1230 V2 @

3.30GHz

MEMORIA RAM 4 Gb

DISCO DURO 900 Gb

INTERFACES DE RED 4 a 10/100/1000



75

El siguiente gráfico muestra la situación inicial de la estructura de red de la

carrera antes del análisis y re-diseño realizado:

GRÁFICO N° 27: DIAGRAMA DE SITUACION INICIAL DE LA RED

CISC



76

A su vez, el siguiente GRÁFICO muestra la reingeniería de red realizada después

de la implementación del Gestor Unificado de Amenazas y la re-ingeniería de red

que se aplicó:

GRÁFICO N° 28: DIAGRAMA DE SITUACION FINAL DE LA RED CISC


Fuente: Victor Allam Parraga Núñez

77

FUNDAMENTACION LEGAL

DECRETO PRESIDENCIAL #1014

El decreto presidencial #1014 que dispone a la Función Ejecutiva utilizar software

libre en todas sus actividades y del cual se le otorgó al presidente un premio por

este decreto, estableció lo siguiente (Ver ANEXO N° 3 – DECRETO

EJECUTIVO 1014:

CONSIDERANDO:

Que en el apartado g) del numeral 6 d la Carta Iberoamericana de Gobierno

Electrónico, aprobada por la IX Conferencia Iberoamericana de Ministros de

Administración Pública y Reforma del Estado, realizada en Chile el 1 de Junio de

2007, se recomienda el uso de estándares abiertos y software libre, como

herramientas informáticas;

Que es el interés del Gobierno alcanzar soberanía y autonomía tecnológica, así

como un significativo ahorro de recursos públicos y que el Software Libre es en

muchas instancias unos instrumentos para alcanzar estos objetivos;

Que el 18 de Julio del 2007 se creó e incorporó a la estructura orgánica de la

Presidencia de la República la Subsecretaría de Informática, dependiente de la

Secretaría General de la Administración Pública mediante Acuerdo Nº119

publicado en el Registro Oficial No. 139 de 1 de Agosto del 2007;

78

Que el numeral 1 del artículo 6 del Acuerdo Nº 119 , faculta a la Subsecretaría de

Informática a elaborar y ejecutar planes, programas, proyectos, estrategias,

políticas, proyectos de leyes y reglamentos para el uso de Software Libre en las

dependencias del gobierno central; y,

En ejercicio de la atribución que le confiere el numeral 9 del artículo 171 de la

Constitución Política de la república;

DECRETA:

Artículo 1.- Establecer como política pública para las entidades de la

Administración Pública Central la utilización de Software Libre en sus sistemas y

equipamientos informáticos.

Artículo 2.- Se entiende por Software Libre, a los programas de computación que

se pueden utilizar y distribuir sin restricción alguna, que permitan su acceso a los

códigos fuentes y que sus aplicaciones puedan ser mejoradas.

Estos programas de computación tienen las siguientes libertades:

a) Utilización del programa con cualquier propósito de uso común

b) Distribución de copias sin restricción alguna 55

c) Estudio y modificación del programa (Requisito: código fuente disponible)

d) Publicación delo programa mejorado (Requisito: código fuente disponible)

79

Artículo 3.- Las entidades de la Administración Pública central previa a la

instalación del software libre en sus equipos, deberán verificar la existencia de

capacidad técnica que brinde el soporte necesario para el uso de este tipo de

software.

Artículo 4.- Se faculta la utilización de software propietario (no libre) únicamente

cuando no exista solución de Software Libre que supla las necesidades requeridas,

o cuando esté en riesgo la seguridad nacional, o cuando el proyecto informático se

encuentre en un punto de no retorno.

Para efectos de este decreto se comprende cómo seguridad nacional, las garantías

para la supervivencia de la colectividad y la defensa del patrimonio nacional.

Para efectos de este decreto se entiende por un punto de no retorno, cuando el

sistema o proyecto informático se encuentre en cualquiera de estas condiciones:

a) Sistema en producción funcionando satisfactoriamente y que un análisis de

costo beneficio muestre que no es razonable ni conveniente una migración a

Software Libre.

b) Proyecto es estado de desarrollo y que un análisis de costo - beneficio muestre

que no es conveniente modificar el proyecto y utilizar Software Libre.

80

Periódicamente se evaluarán los sistemas informáticos que utilizan software

propietario con la finalidad de migrarlos a Software Libre.

Artículo 5.- Tanto para software libre como software propietario, siempre y

cuando se satisfagan los requerimientos, se debe preferir las soluciones en este

orden:

a) Nacionales que permitan autonomía y soberanía tecnológica.

b) Regionales con componente nacional.

c) Regionales con proveedores nacionales.

d) Internacionales con componente nacional.

e) Internacionales con proveedores nacionales.

f) Internacionales.

Artículo 6.- La Subsecretaría de Informática como órgano regulador y ejecutor de

las políticas y proyectos informáticos de las entidades del Gobierno Central

deberá realizar el control y seguimiento de este Decreto.

Para todas las evaluaciones constantes en este decreto la Subsecretaría de

Informática establecerá los parámetros y metodologías obligatorias.

Artículo 7.- Encárguese de la ejecución de este decreto a los señores Ministros

Coordinadores y el señor Secretario General de la Administración Pública y

Comunicación.

81

Dado en el Palacio Nacional en la ciudad de San Francisco de Quito, Distrito

Metropolitano, el día 10 de abril de 2008.

HIPÓTESIS PREGUNTAS A CONTESTARSE

¿Constituye la implementación de un gestor unificado de amenazas la solución a

los problemas de seguridad perimetral de la Carrera de Ingeniería de Sistemas

Computacionales?

¿Se debe establecer canales de comunicación externa segura hacia los servidores

internos de la Carrera?

¿Qué ventajas hay al utilizar una solución UTM frente a las soluciones

tradicionales?

¿La implementación de un UTM en la carrera dará facilidades de gestión al

encargado de las redes y disminuirá el tiempo de respuesta frente a incidentes

presentados?

82

VARIABLES DE LA INVESTIGACIÓN

Variable independiente:

Gestor unificado de amenazas.

Variables dependientes:

Análisis de la red interna.

Análisis de la red perimetral.

DEFINICIONES CONCEPTUALES

UTM: Gestor unificado de amenazas o Unified Threat Management por sus siglas

en inglés, es la reunión de varios servicios de red y soluciones de seguridad

perimetral en una sola plataforma, con la finalidad de reducir la complejidad de

administración y configuración, disminuir costos y tiempos de respuesta frente a

problemas presentados en la red.

Seguridad perimetral: Conjunto de medidas aplicables a asegurar o fortalecer el

perímetro de las redes, es decir, los equipos que se encuentran en la frontera entre

los usuarios internos y los usuarios externos.

VPN: Red privada local o Virtual Private Network por sus siglas en inglés,

permite establecer una extensión de una LAN hacia cualquier ubicación con

83

conexión a Internet, habilitando el envío y recepción de información entre dos

puntos de manera segura a través del túnel seguro que se establece.

IPS: Sistema de Prevención de Intrusos o Intrusion Prevention System por sus

siglas en inglés, son sistemas que controlan el acceso a la red de manera

independiente y automática para evitar que se generen ataques que provoquen la

indisponibilidad de los servicios. Los IPS analizan el tráfico que circula por la red

y detiene dichos ataques basado en firmas, anomalías o en políticas.

WEB GUI: Interfaz Web Gráfica de Usuario o Graphical Interface User Web por

sus siglas en inglés, es una solución informática que permite realizar

configuraciones de manera gráfica a través de un navegador de Internet, evitando

así posibles errores que se pueda cometer al momento de hacer configuraciones

por línea de comandos.

Red de computadoras: conjunto de equipos o dispositivos informáticos

conectados entre sí a través de medios físicos o inalámbricos para, cuyo principal

objetivo es el intercambio de información entre los mismos. El más importante de

los estándares que rige a las redes de computadoras se basa en el modelo de

referencia OSI.

84

CAPÍTULO III

METODOLOGÍA

DISEÑO DE LA INVESTIGACIÓN

MODALIDAD DE LA INVESTIGACIÓN

Siendo la característica principal de los proyectos factibles la resolución de

problemas de una institución, organización o grupo social, este proyecto es

clasificado y considerado como un proyecto factible, puesto que una vez

detectado el problema y las necesidades actuales con respecto a la seguridad

perimetral de la red administrativa y el centro de datos de la CISC-CIN se plantea

como solución un gestor unificado de amenazas, implementando esta herramienta

tecnológica con éxito, cuya puesta en producción es realizada en su totalidad

protegiendo así los servidores y estaciones de trabajo mediante políticas y

buenas prácticas de seguridad para beneficio de la comunidad académica.

85

Como sustento conceptual a la clasificación de mi proyecto como proyecto

factible, la Universidad Pedagógica Experimental Libertador expresa lo siguiente:

“Estudio que consiste en la investigación, elaboración y

desarrollo de una propuesta de un modelo operativo viable para

solucionar problemas, requerimientos o necesidades de

organizaciones o grupos sociales.” (UPEL, 2008, p.7).

TIPO DE INVESTIGACIÓN

El cuadro a continuación detalla las diferencias entre proyecto de investigación y

proyecto factible basado en cuatro criterios:


Fuente: De Moya R., Proyecto factible: una modalidad de investigación

CUADRO N° 6: DIFERENCIAS ENTRE PROYECTO DE

INVESTIGACIÓN Y PROYECTO FACTIBLE

86

Por la naturaleza de este proyecto, se encuentra enmarcado dentro de la categoría

de tipos de investigación por la factibilidad, siendo el mismo un proyecto factible,

que, a diferencia de un proyecto de investigación, este tiene como finalidad

plantear y ejecutar una propuesta que solucione un problema previamente

detectado que afecte a una institución u organización, a su vez por las

características del mismo se constituye también como un proyecto cualitativo y

cuantitativo.

Dubs de Moya sostiene que para iniciar el diseño de un proyecto factible se

plantean varias preguntas (De Moya, 2002, p.10), tales como: qué hacer, para que

hacerlo, por qué hacerlo, como hacerlo, donde hacerlo, que magnitud tiene,

cuando se hará, quienes lo harán, con qué medios y recursos se hará, que sucede

durante la ejecución, cuáles son las limitaciones.

Para definir las falencias de seguridad y malas prácticas aplicadas como situación

actual en el centro de datos, se realizó el análisis de la estructura lógica y física de

los dispositivos de red como switches, routers, enlaces de datos, enlaces de

internet, estaciones de trabajo, políticas de firewall, accesos a los sistemas,

accesos a Internet, sacando como conclusión que la solución más adecuada para la

seguridad de red perimetral interna y externa es la implementación de un gestor

unificado de amenazas aplicando configuraciones apegadas a buenas prácticas de

seguridad.

87

Una vez diagnosticados los problemas y planteada la solución de implementar un

gestor unificado de amenazas, se determina que es necesario también volver a

diseñar la estructura de red del centro de datos, para que en conjunto estos dos

elementos constituyan una solución integral al problema.

Para la recolección de información del estado actual de la red del centro de datos

de la CISC-CIN y el posterior análisis se realizó entrevistas con las personas

encargadas de administrar dicha plataforma y para aplicar la solución propuesta se

consulta una amplia bibliografía englobando artículos de seguridad, libros,

revistas, foros de Internet entre otros.

88

POBLACIÓN Y MUESTRA

POBLACIÓN

La implementación de este proyecto beneficiara directamente a la comunidad

académica, conformada por estudiantes y docentes de la Carrera de Ingeniería en

Sistemas Computacionales, estudiantes y docentes de la Carrera de Ingeniería en

Networking, personal administrativo.

CUADRO N° 7: COMUNIDAD ECUCATIVA

INTEGRANTES TAMAÑO

Estudiantes 2654

Docentes 70

Personal administrativo 27

TOTAL 2751


Fuente: Departamento Técnico CISC-CIN

Se realizó una encuesta a los estudiantes de quinto, sexto, séptimo y octavo

semestre en la CISC. A este número de estudiantes se los considera como la

población para obtener la muestra y realizar las encuestas. Así mismo para el

personal docente y administrativo se realizó entrevistas como método de

recolección de información.

89

CUADRO N° 8: POBLACIÓN

Muestra

Para determinar el tamaño de la muestra se aplicó la siguiente formula:

Donde:

Reemplazando:

Obtenemos que el resultado global de la muestra es 349 personas. Para el cálculo

de la fracción muestral realizamos la siguiente operación:

ESTUDIANTES TAMAÑO

Quinto Semestre 215

Sexto Semestre 197

Séptimo Semestre 155

Octavo Semestre 204

TOTAL 771

263

925.2

771

1925.1

771

1)770)(0025.0(

771

1)1771()05.0(

7712

n

n

n

n

n

nm

e m

2 1 1( )

m= Tamaño de la población (771)

E= error de estimación (5%)

n = Tamaño de la muestra ?

90

Habiendo obtenido el valor de la fracción muestral, calculamos la muestra

individualmente para cada grupo integrante de la comunidad académica, de la

siguiente manera:

Numero de muestra estudiantes = 771 * 0.3411 = 263

Para realizar la investigación se consideró también entrevistar a un experto en

seguridad informática quien es un docente de la CISC y CIN.

CUADRO N° 9: TAMAÑO DE LA MUESTRA

Elaborado por: Víctor Allam Parraga Núñez

Fuente: Víctor Allam Parraga Núñez

OPERACIONALIZACIÓN DE VARIABLES

Variable Independiente:

Gestor unificado de amenazas

Variable Dependiente Uno:

Análisis de la red interna.

Variable Dependiente Dos:

Análisis de la red perimetral.

ESTUDIANTES POBLACIÓN MUESTRA

Quinto Semestre 215 73

Sexto Semestre 197 67

Séptimo Semestre 155 53

Octavo Semestre 204 70

TOTAL 771 263

Cálculo de la fracción muestral:

3411.0771

263

N

nf

91

CUADRO N° 10: MATRIZ DE OPERACIONALIZACIÓN DE

VARIABLES

VARIABLES DIMENSIONES INDICADORES TÉCNICAS Y/O

INSTRUMENTOS

VARIABLE

INDEPENDIENTE

Gestor unificado de

amenazas.

Administración

centralizada.

Implementación.

Referencias

bibliográficas.

Configuración.

Entrevista a

expertos de la

CISC.

Corrección de

errores.

Manual del

producto.

Dimensionamiento

de hardware.

Revisión de

mejores prácticas.

Enlaces de

comunicaciones. Estándares

internacionales.

VARIABLES

DEPENDIENTES

Análisis de la red

interna

Diagnóstico del

estado actual de

la red.

Reingeniería de la

red.

Referencias

bibliográficas.

Verificación de

disponibilidad de

servicios de red.

Consulta a docentes

y personal técnico

de la CISC.

Integración del

gestor unificado de

amenazas.

Análisis de la red

perimetral

Observación.

Disminución de

vulnerabilidades.

Elaborado por: Víctor Allam Parraga Núñez


92

INSTRUMENTOS DE RECOLECCIÓN DE DATOS

Para el planteamiento e implementación de este proyecto factible se utiliza

técnicas de campo, a continuación se describe conceptualmente las técnicas

usadas:

Observación.

Encuesta y cuestionario.

Entrevista

Observación

Para definir la observación, Achaerandio sostiene que:

Investigación por observación significa aquella investigación en la

que se recogen directamente los datos, mediante técnicas adecuadas

y sin manipulación de las variables. En la investigación por

observación se usan diversas técnicas, para recolectar directamente

los datos: la observación libre, la observación participada, la

encuesta, el cuestionario, la entrevista, etc. (Achaerandio, 2010,

p.21).

Para la realización de este proyecto, una de las técnicas utilizadas fue la

observación libre, aplicada directamente en el centro de cómputo de la CISC,

definiendo así la estructura de red actual, ubicación de los servidores, conexiones

físicas y lógicas, conexiones internas y externas, de esta manera se esclareció el

problema presentado y se fijaron los límites y alcances de este estudio.

93

Encuesta y cuestionario

Achaerandio indica que:

Para evaluar actitudes se emplean preferentemente cuestionarios

de diversos tipos; en todos hay que tener en cuenta la calidad y

c1ase de preguntas a plantear. EI cuestionario es una técnica de

investigaci6n por observación, cuya ventaja principal es que, en

poco tiempo, se puede obtener la reacción de numerosos

individuos. Como todos reciben las mismas preguntas o

cuestiones, es más fácil ordenar los datos de las respuestas

conseguidas. (Achaerandio, 2010, p.148).

Debido a las características mencionadas en el párrafo anterior, se eligió como

instrumento recolector de información a la encuesta, para así poder obtener

respuestas concisas con respecto al tema de estudio, para la elaboración de las

preguntas se tomó en cuenta los siguientes criterios definidos por Achaerandio,

publicados en su obra “Iniciación a la práctica de la investigación”, donde expone

la calidad que deben tener las preguntas:

Interesantes, relacionadas con el objetivo, no hace falta que sean interesantes en sí

mismas.

Necesarias, no se debe preguntar 10 que ya se sabe por otras fuentes, o es

irrelevante.

94

Tabulables, es decir, hay que tener en cuenta de alguna manera como se van a

organizar las respuestas para examinarlas.

Precisas, se deben evitar preguntas que den respuestas vagas, no exactas.

Fáciles, que no requiera mucho esfuerzo exponerlas.

Breves, claras, directas, a no ser que se trate de un cuestionario proyectivo.

Se realizó dos tipos de encuestas, una enfocada a los alumnos de la carrera

y otra enfocada al personal docente y administrativo.

Entrevista

Se realizó una entrevista informal a un profesional experto en redes y seguridad

perimetral, el cual con el aporte de sus conocimientos permitió afianzar o

argumentar criterios para enriquecer la tesis con su experiencia y la de demás

colegas de la misma área.

PROCEDIMIENTO DE LA INVESTIGACIÓN

El problema:

Planteamiento del problema

Interrogantes de la investigación

Objetivos de la Investigación

Justificación o importancia de la investigación

95

Marco teórico:

Fundamentación teórica

Fundamentación legal

Preguntas a contestarse

Definición de términos

Metodología:

Diseño de Investigación (Tipo de Investigación)

Población y Muestra

Instrumentos de recolección de datos

Operacionalización de variables, dimensiones e indicadores

Procedimiento de la Investigación

Criterios para la elaboración de la propuesta

Marco Administrativo

Cronograma

Presupuesto

96

Conclusiones y recomendaciones

Conclusiones

Recomendaciones

Referencias bibliográficas

Anexos

Recolección de la información

Durante la recolección de la información se empleó como media la observación y

la encuesta, lo que permitió obtener los datos necesarios para la propuesta e

implementación de la solución al problema actual con respecto a la seguridad

perimetral de la carrera. El cuestionario que se utilizó para la encuesta dirigida a

los estudiantes de la carrera se encuentra como anexo en el ANEXO N° 4. Para el

personal administrativo y docente se realizó una entrevista la cual se encuentra en

el ANEXO N°5.

PROCESAMIENTO Y ANÁLISIS

Después de realizadas las encuestas, estos datos son procesados para

posteriormente ser analizados, se representa los resultados en forma

gráfica y con cuadros estadísticos por cada pregunta, los cuales permitan

comprenderlos de manera más clara.

97

Para el análisis de la pregunta relacionada con la edad del estudiante al ser

una variable cuantitativa, se tomó en cuenta los siguientes valores

estadísticos:

- Media.

- Moda.

- Mediana.

- Varianza.

- Desviación estándar.

- Rango.

- Cuartiles.

- Coeficiente de asimetría.

- Curtosis.

Media: La media aritmética es una medida de tendencia central y es la que

se utiliza con mayor frecuencia. La media aritmética se calcula sumando

todas las observaciones de un conjunto de datos, dividiendo después ese

total entre el número total de elementos involucrados. La media también es

denominada promedio. (Estuardo A, 2012, p. 35)

Mediana: La mediana es el valor que se encuentra en el centro de una

secuencia ordenada de datos. La mediana no se ve afectada por

observaciones extremas en un conjunto de datos. Por ello, cuando se

presenta alguna información extrema, resulta apropiado utilizar la

98

mediana, y no la media, para describir el conjunto de datos. (Estuardo A,

2012, p. 39)

Moda: La moda es el valor de un conjunto de datos que aparece con

mayor frecuencia. Se le obtiene fácilmente a partir de un arreglo ordenado.

A diferencia de la media aritmética, la moda no se afecta ante la ocurrencia

de valores extremos. Sin embargo, sólo se utiliza la moda para propósitos

descriptivos porque es más variable, para distintas muestras, que las demás

medidas de tendencia central. Un conjunto de datos puede tener más de

una moda o ninguna. (Estuardo A, 2012, p. 41)

Rango: Es la diferencia entre el máximo y el mínimo valor de un conjunto

de datos. (Estuardo A, 2012, p. 46)

Varianza: La varianza se define como el promedio aritmético de las

diferencias entre cada uno de los valores del conjunto de datos y la media

aritmética del conjunto elevadas al cuadrado. (Estuardo A, 2012, p. 48)

Desviación estándar: Es la raíz cuadrada positiva de la varianza. La

desviación estándar indica el promedio en que se desvía cada una de las

observaciones de la media aritmética. (Estuardo A, 2012, p. 51)

99

Coeficiente de variación: Constituye la dispersión relativa por la

proporción que existe entre la varianza y la media.

Cuartiles: En un conjunto de datos en el que éstos se hallan ordenados de

acuerdo con su magnitud, el valor de en medio (o la media aritmética de

los dos valores de en medio), que divide al conjunto en dos partes iguales,

es la mediana. Continuando con esta idea se puede pensar en aquellos

valores que dividen al conjunto de datos en cuatro partes iguales. Estos

valores, denotados Q1, Q2 y Q3 son el primero, segundo y tercer cuartiles,

respectivamente; el valor Q2 coincide con la mediana. (Spiegel M.,

Stephens L., 2009, p. 66)

Curtosis: La curtosis indica qué tan puntiaguda es una distribución; esto

por lo regular es en relación con la distribución normal. A una distribución

que tiene un pico relativamente alto se le llama leptocúrtica, en tanto que si

es relativamente aplastada se dice platicúrtica. Una distribución normal,

que no es ni puntiaguda ni muy aplastada se llama mesocúrtica. (Spiegel

M., Stephens L., 2009, p. 126)

100

DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES

Variable 1

Sexo: Con esta variable se busca determinar la cantidad de encuestados

pertenecientes al género masculino y la cantidad de encuestados

pertenecientes al género femenino.

CUADRO N° 11: CODIFICACIÓN VARIABLE 1

Sexo Código

Masculino 1

Femenino 2



Variable 2

Edad: Con la variable edad se busca determinar los rangos de edades en

las que se encuentran los encuestados.

CUADRO N° 12: CODIFICACIÓN VARIABLE 2

Edad Código

18-20 1

21-23 2

24-26 3

27-29 4

30- En adelante 5



101

Variable 3

Firewall en la CISC: Con esta variable se busca determinar si la CISC

cuenta o no con un firewall dentro de su infraestructura.

CUADRO N° 13: CODIFICACIÓN DE LA VARIABLE 3

Selección Código

Si 1

No 2



Variable 4

Mejorar seguridad en CISC: El objetivo de esta variable es determinar si

es necesario mejorar o no la seguridad en los sistemas de la CISC.


Selección Código

Totalmente de acuerdo 5

De acuerdo. 4

Indiferente 3

En desacuerdo 2

Totalmente en desacuerdo 1



102

Variable 5

Ataques informáticos: Con esta variable se busca determinar el grado de

conocimiento por parte de los encuestados con referencia a los ataques

informáticos que pueda sufrir la CISC.


Selección Código

Inyección de código SQL 1

Denegación de servicios 2

Intercepción de tráfico / Escaneo de

puertos 3

Exploits a Sistemas Operativos 4

Botnets 5



Variable 6

Métodos de aseguramiento de información: Esta variable busca obtener

las recomendaciones para reforzar la seguridad en la CISC por parte de los

encuestados.


Selección Código

Uso de certificados digitales 1

Cifrado de la información

(Encriptación). 2

Firewall 3

Autenticación de usuarios 4

Solución anti-malware 5



103

Variable 7

UTM en la CISC: Con esta variable se busca saber el grado de confianza

por parte de los encuestados con respecto a la implementación de un gestor

unificado de amenazas.


Selección Código


De acuerdo. 4

Indiferente 3

En desacuerdo 2




Variable 8

Disponibilidad de servicios: Con esta variable se busca saber la

importancia de los encuestados con respecto a la permanente

disponibilidad de los servicios informáticos que brinda la CISC.


Selección Código


De acuerdo. 4

Indiferente 3

En desacuerdo 2




104

Variable 9

Políticas de acceso a Internet: Con esta variable se busca determinar el

grado de aceptación de los encuestados para la implementación de

políticas de acceso a Internet para el personal administrativo con el fin de

mejorar su productividad.


Selección Código


De acuerdo. 4

Indiferente 3

En desacuerdo 2




Variable 10

VPN: Con esta variable se busca determinar si los encuestados consideran

la implementación de redes privadas virtuales como un canal seguro para

el acceso remoto a los sistemas de la CISC.


Selección Código


De acuerdo. 4

Indiferente 3

En desacuerdo 2




105

RESULTADOS Y ANALISIS DE LA ENCUESTA REALIZADA

Pregunta N°1

Sexo del encuestado:

CUADRO N° 21: VALORES ESTADÍSTICOS PREGUNTA 1

SELECCIÓN FRECUENCIA

ABSOLUTA

FRECUENCIA

RELATIVA

Masculino 152 58%

Femenino 111 42%

TOTAL 263 100%

Elaboración: Víctor Allam Parraga Núñez

Fuente: Recolección de datos mediante encuestas

GRÁFICO N° 29: VALORES ESTADÍSTICOS PREGUNTA 1



Análisis:

De los datos recolectados y tabulados se arroja como resultado que el 58% de los

estudiantes encuestados pertenecen al sexo masculino, frente al 42% de

estudiantes que corresponden al sexo femenino.

58%

42%

0%

10%

20%

30%

40%

50%

60%

70%

Masculino Femenino

106

Pregunta N°2

Edad del encuestado:


SELECCION FRECUENCIA

ABSOLUTA

FRECUENCIA

RELATIVA

18-20 44 17%

21-23 48 18%

24-26 39 15%

27-29 52 20%

30- En adelante 80 30%

TOTAL 263 100%



GRÁFICO N° 30: VALORES ESTADÍSTICOS DETALLADOS

PREGUNTA 2



Análisis:

De los datos recolectados podemos deducir que la mayoría de los estudiantes se

encuentran en edad promedio mayor a 30 años, lo cual representa un 30% de las

personas encuestadas, el 35% representa a estudiantes de edades entre 18 y 23

años y finalmente estudiantes entre 24 y 29 años representan un 35%.

17% 18%15%

20%

30%

0%

5%

10%

15%

20%

25%

30%

35%

18-20

21-23

24-26

27-29

30- En adelante

107

CUADRO N° 23: VALORES ESTADÍSTICA DESCRIPTIVA PREGUNTA

2

Media 26.41064639

Error Estándar 0.315240686

Mediana 27

Moda 28

Desviación Estándar 5.112344807

Varianza 26.13606943

Curtosis -1.153281912

Coeficiente de asimetría -0.035401621

Rango 17

Cuartil 1 22

Cuartil 2 27

Cuartil 3 31



Con respecto a la media podemos observar que tiene un valor de 26.4

años, con respecto a la moda observamos que la mayor cantidad de

personas encuestadas tienen 28 años de edad. La desviación estándar tiene

un valor de 5.11, esto quiere decir que, la dispersión de los datos con

respecto a la media es de 26.41 +- 5.11 años lo que nos indica que se

obtuvo un intervalo de [31.52 – 21.3]. Con respecto a coeficiente de

asimetría nos damos cuenta que es negativo siendo de -0.0354, esto nos

indica que la dispersión es asimétrica hacia la izquierda, por lo que la

mayor cantidad de los datos se encuentran acumulados hacia la derecha.

108

Pregunta N°3

¿Cree usted que el centro de cómputo de la Carrera posee un firewall?



ABSOLUTA

FRECUENCIA

RELATIVA

Si 174 66%

No 89 34%

No se 263 100%

TOTAL 174 66%






Análisis:

Con esta pregunta se busca conocer de manera discreta si el encuestado ha tratado

al menos en una ocasión vulnerar las seguridades de la carrera, ya que al

responder que se cree que la misma cuenta con un firewall es porque ha

investigado los medios que ayudan a proteger las redes en la carrera. De los

resultados tabulados se obtiene que el 66% de los estudiantes conoce que las redes

de la carrera están protegidas mediante un firewall, el 34% creen que la carrera no

cuenta con protección perimetral.

66%

34%

0%

20%

40%

60%

80%

Si No

109

Pregunta N°4

¿Considera usted que es necesario mejorar la seguridad de los

sistemas en la carrera?



ABSOLUTA

FRECUENCIA

RELATIVA

Totalmente de

acuerdo 49 19%

De acuerdo. 64 24%

Indiferente 53 20%

En desacuerdo 49 19%

Totalmente en

desacuerdo 48 18%

TOTAL 263 100%






Análisis

Existe evidencia suficiente que determina que la mayoría de los encuestados, es

decir un 43% considera necesario mejorar las seguridades en la carrera, frente a

un 20 % para los cuales es indiferente el tema de la seguridad, y 37% no están de

acuerdo con este criterio.

19%

24%20% 19% 18%

0%

5%

10%

15%

20%

25%

30%

Totalmentede acuerdo

Deacuerdo.

Indiferente Endesacuerdo

Totalmenteen

desacuerdo

110

Pregunta N°5

Seleccione uno de los ataques informáticos que usted conozca:

- Inyección de código SQL

- Denegación de servicios

- Intercepción de tráfico / Escaneo de puertos

- Exploits a Sistemas Operativos

- Botnets



ABSOLUTA

FRECUENCIA

RELATIVA

Inyección de código SQL 68 26%

Denegación de servicios 40 15%

Intercepción de tráfico / Escaneo de puertos 53 20%

Exploits a Sistemas Operativos 56 21%

Botnets 46 17%

TOTAL 263 100%






26%

15%20% 21%

17%

Inyección decódigo SQL

Denegaciónde servicios

Intercepciónde tráfico /Escaneo de

puertos

Exploits aSistemas

Operativos

Botnets

0%5%

10%15%20%25%30%

111

Análisis

De la tabulación realizada a los datos obtenidos con esta pregunta, se determina

que el total de los encuestados conocen al menos unos de los ataques informáticos

que se expuso en la pregunta, lo cual indica que existe evidencia suficiente para

asegurar que la carrera no es ajena a recibir el intento de este tipo de ataques por

parte de los estudiantes, ya sea por motivos netamente académicos o maliciosos.

112

Pregunta N°6

De los siguientes métodos de aseguramiento de la información, cuál de ellos

recomendaría:

- Uso de certificados digitales

- Cifrado de la información (Encriptación).

- Firewall

- Autenticación de usuarios (Directorio Activo)

- Solución anti-malware

- Desconozco



ABSOLUTA

FRECUENCIA

RELATIVA

Uso de certificados digitales 10 4%

Cifrado de la información (Encriptación). 62 24%

Firewall 43 16%

Autenticación de usuarios 75 29%

Solución anti-malware 73 28%

TOTAL 263 100%



113




Análisis:

Existe evidencia suficiente que indica que el 73% de los encuestados opina que

recomendaría como opciones de seguridad incluidas en gestores unificados de

amenazas tales como el uso de certificados digitales, firewall y anti-malware, el

29% recomendaría la autenticación de usuarios para asegurar la información.

4%

24%

16%

29% 28%

Uso decertificados

digitales

Cifrado de lainformación

(Encriptación).

Firewall Autenticaciónde usuarios

Solución anti-malware

0%

5%

10%

15%

20%

25%

30%

114

Pregunta N°7

¿Considera usted que la CISC debería contar con herramientas de gestión

unificada de amenazas para protegerse de los ataques informáticos?



ABSOLUTA

FRECUENCIA

RELATIVA

Totalmente de acuerdo 68 26%

De acuerdo. 77 29%

Indiferente 79 30%

En desacuerdo 24 9%

Totalmente en desacuerdo 15 6%

TOTAL 263 100%






Análisis:

Existe evidencia suficiente que determina que el 55% de los entrevistados

considera necesaria la implementación de herramientas de gestión unificada de

amenazas para mejorar la seguridad de las redes de la carrera, a su vez el 15 % no

está de acuerdo con esta solución y el 30 % para los cuales es indiferente este

tema.

26%29% 30%

9%6%


Deacuerdo.

Indiferente Endesacuerdo

Totalmenteen

desacuerdo

0%5%

10%15%20%25%30%35%

115

Pregunta N°8

¿Considera usted que los servicios en línea brindados por la Carrera deben

estar siempre disponibles?



ABSOLUTA

FRECUENCIA

RELATIVA


De acuerdo 56 21%

Indiferente 13 5%



TOTAL 263 100%






Análisis:

Existe evidencia suficiente para indicar que el 54% de los estudiantes encuestados

considera que los servicios de la carrera deben estar siempre disponibles, frente a

un 40% de los estudiantes que consideran que los servicios no deben estar siempre

disponibles.

33%

21%

5%

25%

15%

0%

5%

10%

15%

20%

25%

30%

35%

40%

Totalmente deacuerdo

De acuerdo Indiferente En desacuerdo Totalmente endesacuerdo

116

Pregunta N°9

¿Considera usted que para aumentar la productividad del personal

administrativo se debe implementar políticas de acceso a Internet?



ABSOLUTA

FRECUENCIA

RELATIVA

Totalmente de acuerdo. 61 23%

De acuerdo. 56 21%

Indiferente 45 17%



TOTAL 263 100%






23%21%

17%19% 19%

0%

5%

10%

15%

20%

25%


De acuerdo. Indiferente Endesacuerdo

Totalmenteen

desacuerdo

117

Análisis:

Existe suficiente evidencia que demuestra que el 44% está de acuerdo con

implementar políticas de acceso a Internet para mejorar la productividad del

personal administrativo, el 38% no está de acuerdo con la implementación de este

tipo de políticas. El control de acceso a Internet es determinante para mejorar la

productividad de los usuarios en general, ya que es por este medio que muchos de

los empleados distraen su atención con videos, redes sociales y páginas de ocio,

así mismo el tener abierto totalmente y sin ningún control el acceso a este recurso

puede llevar a descargas de código malicioso infectando todos los ordenadores de

la red.

118

Pregunta N° 10

¿Considera usted que las VPN (Redes privadas virtuales) permiten un canal

seguro, el cual podría ser implementado para garantizar el acceso remoto a

los servidores de la carrera o el ingreso de notas al sistema académico?



ABSOLUTA

FRECUENCIA

RELATIVA


De acuerdo. 79 30%

Indiferente 55 21%



TOTAL 263 100%





Fuente: Recolección de datos mediante encuesta

Análisis:

Existe evidencia suficiente que indica que el 47% de los encuestados considera la

implementación de VPNs para establecer una canal seguro de comunicación con

los sistemas de la carrera, mientras que un 32% no está de acuerdo con que se

implemente este tipo de solución, y para el 21% restante es indiferente el tema en

cuestión.

17%

30%

21%

14%

19%

0%

5%

10%

15%

20%

25%

30%

35%


De acuerdo. Indiferente Endesacuerdo

Totalmenteen

desacuerdo

119

ANÁLISIS BIVARIADO DE VARIABLES CUALITATIVAS

Sexo vs. Mejorar Seguridad

CUADRO N° 32: COMPARATIVO SEXO VS MEJORAR SEGURIDAD

Sexo TDS DS I AC TAC Total General

Masculino 28 26 31 37 30 152

Femenino 20 23 22 27 19 111

Total

General 48 49 53 64 49 263



GRAFICO N° 39: GRÁFICO COMPARATIVO SEXO VS MEJORAR

SEGURIDAD



Basado en los resultados obtenidos de la comparación de ambas variables, se

puede observar que 27 personas del sexo femenino y 37 personas del sexo

masculino están de acuerdo con que se debe mejorar la seguridad en la CISC, así

mismo 30 integrantes del sexo masculino y 19 integrantes del sexo femenino están

de totalmente de acuerdo con el criterio antes expuesto.

28 2631

37

30

2023 22

27

19

0

10

20

30

40

TDS DS I AC TAC

Masculino Femenino

120

Sexo vs. Disponibilidad de servicios

CUADRO N° 33: COMPARATIVO SEXO VS DISPONIBILIDAD DE

SERVICIOS


Masculino 22 13 22 29 66 152

Femenino 18 31 13 27 22 111

Total General 40 44 35 56 88 263



GRAFICO N° 40: GRÁFICOMPARATIVO SEXO VS DISPONIBILIDAD

DE SERVICIOS





masculino están totalmente de acuerdo en que los servicios informáticos que

ofrece la CISC deben estar siempre disponibles, así mismo 29 integrantes del sexo

masculino y 27 integrantes del sexo femenino están de acuerdo con el criterio

antes expuesto.

22

13

2229

66

18

31

13

2722

0

10

20

30

40

50

60

70

TDS DS I AC TAC

Masculino Femenino

121

Sexo vs. Políticas de acceso a Internet

CUADRO N° 34: COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A

INTERNET


Masculino 28 27 29 31 37 152

Femenino 22 24 16 25 24 111 Total

General 50 51 45 56 61 263



GRAFICO N° 41: GRAFICO COMPARATIVO SEXO VS POLÍTICAS DE

ACCESO A INTERNET





masculino están totalmente de acuerdo en la implementación de políticas de

acceso a Internet, así mismo 31 integrantes del sexo masculino y 25 integrantes

del sexo femenino están de acuerdo con el criterio antes expuesto.

28 27 29 3137

22 24

16

25 24

0

10

20

30

40

TDS DS I AC TAC

Masculino Femenino

122

CRITERIO PARA LA ELABORACIÓN DE LA PROPUESTA

Con la implementación de este proyecto de tesis se cubrirá la falta de un sistema

centralizado y unificado para contrarrestar las amenazas informáticas dirigidas a

la Carrera. Se consideró como criterios para la elaboración de la propuesta el

punto antes mencionado, como también la dificultad de administración al tener

todos los servicios que se prestan a la red por separado, servicios como firewall,

filtrado de navegación web, web application firewall, protección antivirus en

navegación web, sistema de prevención de intrusos, etc.

Así mismo la falta consolidación de los logs para la presentación y análisis de la

reporteria impide que se determine con exactitud el estado y los movimientos que

se realicen en la red. Con la culminación de este proyecto, se habrá realizado una

reingeniería de la red de la Carrera para la integración y adaptación del sistema

gestor unificado de amenazas, teniendo como resultado una estructura lógica

robusta frente a ataques de red, con facilidad de administración y visibilidad para

el administrador de redes.

Luego de la implementación del gestor unificado de amenazas quedarán

habilitadas las siguientes funcionalidades:

- Administración centralizada de servicios de red perimetral e internos

en una amigable e intuitiva GUI (Graphical User Interface) o interfaz

gráfica de usuario.

123

- Creación automática y envió de respaldos de configuraciones por

correo electrónico a la cuenta del administrador.

- Envío de notificaciones automáticas de los eventos generados en la red

por correo electrónico.

- Aislamiento de servidores publicados a Internet mediante una DMZ

(Demilitarized Zone) o Zona Desmilitarizada, como buena práctica en

la protección de la red interna en el caso que se hallen comprometidos

por un ataque externo, constituyendo esto en una reingeniería de la

estructura de red.

- Separación de la red de la carrera con la red del centro de cómputo de

la Universidad de Guayaquil a través del firewall, para así asegurar la

protección de ambas estructuras de red.

- Reestructuración y organización de reglas de firewall.

- Bloqueo de tráfico proveniente de determinados países.

- Habilitación de un Sistema de Prevención de Intrusos o IPS,

protegiendo a la red tanto de ataques internos como externos,

cubriendo un amplio ámbito de protección detallado a continuación:

Ataques específicos a Sistemas Operativos:

Windows, Linux y otros.

124

Ataques contra servidores: servidores HTTP,

servidores de correo, servidores de bases de datos,

servidores DNS, servidores SSH, servidores FTp,

servidores de respaldo, servidores SNMP y

servidores de Autenticación.

Ataques contra software cliente: Microsoft Office,

navegadores de Internet (Internet Explorer,

Mozilla), Outlook, reproductores multimedia, etc.

Comportamiento anormal de protocolos.

Malware.

Ataques de denegación de servicio.

Anti-escaneo de puertos.

- Creación de perfiles de navegación, habilitados con control antivirus

en tiempo real, evitando así cualquier filtración de malware que busque

infectar los equipos mientras los usuarios navegan por Internet.

- Protección mediante Web Application Firewall de los servicios web

publicados por la carrera, tales como la página web principal,

evaluación docente, curso de nivelación, repositorio, sistema

académico y sistema docente. Esta protección impide y mitiga ataques

como inyección de código SQL, Cross Site Scripting (XSS) y otros

tipos de ataques dirigidos a aplicaciones web con el objetivo de extraer

o alterar información de las bases de datos.

125

- Habilitación de una VPN Secure Socket Layer, para establecer un canal

seguro sobre Internet con los equipos cliente que se quieran conectar a

los servicios internos desde una ubicación remota, cifrando así los

datos trasferidos entre ambos puntos y evitar el robo de información

por personas mal intencionadas que puedan interceptar el canal de

comunicación.

- Habilitación de reporteria gráfica y sencilla de generar. Los reportes

habilitados son:

Uso de hardware: procesador, memoria RAM,

espacio en disco.

Uso de la red: consumo de ancho de banda por cada

una de las interfaces de red y por direcciones IP.

Protección de la red: Firewall e IPS.

Protección de navegación en Internet.

Protección de correos entrantes y salientes.

Protección wireless.

Acceso remoto: conexiones entrantes mediante

VPN.

Protección de aplicaciones sobre servidores web.

Reportes ejecutivos.

126

CRITERIOS DE VALIDACION DE LA PROPUESTA

Para la elaboración de la propuesta se tomó en cuenta el criterio de un experto

dentro del área de redes y seguridad informática, el cual dentro del tiempo que

lleva de experiencia en este campo ha evaluado distintas soluciones que puedan

cubrir de manera integral las necesidades de seguridad perimetral dentro de las

organizaciones teniendo como resultados satisfactorios la implementación de

herramientas gestoras unificadas de amenazas, ya que este tipo de soluciones

permiten gestionar de manera centralizada entre otras cosas accesos a la red,

ataques dirigidos, protección de virus en navegación web, protección de

aplicaciones web, etc.

La implementación de esta solución en la carrera permite reducir el tiempo de

respuesta frente a incidentes que puedan presentarse en la red y a su vez tomar

decisiones acertadas con respecto a los cambios o acciones que deban ejecutarse

para evitar problemas a futuro gracias a una mejor visibilidad de los eventos que

se generen a través de la gran cantidad de reportes que brinda la herramienta y la

facilidad de administración de la misma.

127

CAPÍTULO IV

MARCO ADMINISTRATIVO

CRONOGRAMA

Para la elaboración del cronograma de las actividades generadas por este

proyecto, se ha hecho uso de la herramienta Microsoft Project.

El siguiente GRÁFICO muestra las actividades desarrolladas para la

implementación y culminación de este proyecto de tesis, el cual ha sido dividido

en 5 fases:

- FASE 1: Levantamiento de información.

- FASE 2: Análisis y diseño de la solución.

- FASE 3: Implementación.

- FASE 4: Pruebas y análisis de rendimiento.

- FASE 5: Puesta en producción.

128

GRÁFICO N° 42: CRONOGRAMA DE ACTIVIDADES DEL PROYECTO



129



GRÁFICO N° 43: DIAGRAMA DE

GANTT

130

PRESUPUESTO

Los rubros monetarios generados en función de la implementación de este

proyecto de grado se detallan a continuación, desglosados en términos de

INGRESOS y EGRESOS:

CUADRO N° 35: DETALLE DE INGRESOS PARA EL PROYECTO

INGRESOS

Financiamiento propio $930,00

TOTAL DE INGRESOS $930,00



CUADRO N° 36: DETALLE DE EGRESOS PARA EL PROYECTO

EGRESOS DÓLARES

Curso especializado de Sophos UTM v9. $ 500.00

Libros de seguridad de redes. 200.00

Empastado y anillado de tesis de grado. 150.00

Transporte 80.00

TOTAL DE EGRESOS $ 930.00



131

CAPÍTULO V

CONCLUSIONES Y RECOMENDACIONES

CONCLUSIONES

Una vez realizada y culminada la implementación del Gestor Unificado de

Amenazas, se evidenció la falta que hacia contar con una herramienta centralizada

que permita administrar desde un solo servidor todos los servicios de red y que a

su vez permita mitigar, controlar, detectar y neutralizar las variadas amenazas

informáticas presentes en la actualidad provenientes tanto de ambientes externos

(Internet) como internos (usuarios de la red), amenazas que son cada vez más

sofisticadas y potentes a la hora de causar daño a nuestras redes y por

consiguiente a la información que circula por la misma.

Los resultados obtenidos con la implementación de este proyecto se detallan a

continuación:

- Haber culminado con éxito la implementación del gestor unificado de

amenazas en el Centro de Cómputo de la Carrera de Ingeniería de

Sistemas Computacionales bajo el producto seleccionado después de

un análisis comparativo entre soluciones presentes en el mercado.

132

- Se rediseñó la estructura de red tomando en cuenta los fallos de

seguridad, los cuales fueron mitigados abarcando servidores y

estaciones de trabajo administrativas.

- Se fortaleció las políticas y reglas de acceso configuradas, tomando

decisiones basado en la reporteria generada después de la puesta en

producción del gestor unificado de amenazas consolidando así el uso

eficiente de sus funcionalidades.

- La implementación de este proyecto de tesis me permitió de manera

significativa incrementar los conocimientos y habilidades en el campo

profesional.

133

RECOMENDACIONES

Puesto que el proyecto implementado cubre solamente uno de los vectores de la

seguridad informática, como lo es la seguridad de red perimetral, se emiten las

siguientes recomendaciones con respecto a la administración y control de la

infraestructura de red a nivel macro en la carrera:

- Implementar un Gestor Unificado de Amenazas para la red de los

laboratorios y así poder cubrir todos los ámbitos de protección en la

carrera.

- Establecer políticas de cifrado de los enlaces de comunicación entre el

Centro de Datos de la carrera y el Centro de Datos principal de la

Universidad de Guayaquil.

- Implementar una solución antivirus o endpoint corporativa

centralizada, que tenga como ámbito la protección de los servidores y

estaciones de trabajo tanto de la red administrativa como de la red de

laboratorios.

- Definir y establecer políticas y procedimientos de seguridad física y

acceso al Centro de Datos de la carrera.

134

- Implementar un servidor de actualizaciones de seguridad de software y

Sistemas Operativos, tanto para estaciones de trabajo como para

servidores.

- Implementar un sistema de escaneo de vulnerabilidades que dé como

resultado las opciones de remediación de las vulnerabilidades

encontradas en los diversos sistemas y componentes de la red,

programando la ejecución de los análisis periódicos mensualmente.

- Designar a un responsable del cuarto de servidores para que gestione y

monitoree los servicios que están disponibles para el personal

administrativo y comunidad estudiantil.

135

BIBLIOGRAFÍA

Achaerandio L. (2010). Iniciación a la práctica de la investigación. Ciudad de

Guatemala. Karen Cecilia de la Vega Toledo y Gustavo García Fong.

De Moya R., (2002). Proyecto factible: una modalidad de investigación.

Venezuela. Universidad Pedagógica Experimental Libertador.

Gheorge L. (2006). Designing and Implementing Linux Firewalls and QoS using

netfilter, iproute2, NAT, and L7-filter. 32 Lincoln Road Olton Birmingham, B27

6PA, UK. PACKT PUBLISHING.

Gramajo A. (2005). Introducción a conceptos de IDS y técnicas avanzadas con

Snort. Baicom Networks.

Ingham K., Forrest S. (2002). A History and Survey of Network Firewalls.

University of New Mexico.

Keiser H. (2011). Open VPN 2 Cookbook. 32 Lincoln Road Olton Birmingham,

B27 6PA, UK. PACKT PUBLISHING.

Paul A., Cricket L. (2006). DNS and BIND, 5th Edition. 1005 Gravenstein

Highway North, Sebastopol, CA. O’Reilly Media Inc.

136

Rehman R. (2003). Intrusion Detection Systems with Snort Advanced IDS

Techniques Using Snort, Apache, MySQL, PHP, and ACID. New Jersey. Pearson

Education Inc.

Sophos UTM Administration Guide (2014). Sophos Ltd.

Tanenbaum A. (2003). Redes de computadoras 4ta Edición. México. Pearson

Educación.

Estuardo A. (2012). Estadistica y probabilidades. Chile. Universidad Católica de

la Santísima Concepción.

Spiegel M., Stephen L. (2009). Estadistica Schaum Cuarta Edición. México. Mc

Graw Hill.

137

WEBGRAFÍA

Information Sciences Institute University of Southern California . RFC 793:

TRANSMISSION CONTROL PROTOCOL. 4676 Admiralty Way Marina del Rey,

California 90291. http://tools.ietf.org/html/rfc793

Internet Engineering Task Force (IETF) (2014). University of Southern

California. RFC 7323: TCP Extensions for High Performance. 4676 Admiralty

Way Marina del Rey, California 90291. http://tools.ietf.org/html/rfc7323

Kolodgy C. (2004), http://www.sophos.com/en-us/security-news-trends/security-

trends/securing-your-network-with-utm/what-is-utm.aspx

Open Web Application Security Project (2013). OWASP TOP 10.


Postel J. (1980). RFC 768: USER DATAGRAM PROTOCOL.



http://www.sophos.com/en-us/security-news-trends/security-trends/securing-your-network-with-utm/what-is-utm.aspx

http://www.sophos.com/en-us/security-news-trends/security-trends/securing-your-network-with-utm/what-is-utm.aspx


138

ANEXOS

ANEXO N °1 – REPORTE EJECUTIVO

ANEXO N °2 – OWASP TOP 10 2013

ANEXO N° 3 – DECRETO EJECUTIVO 1014

ANEXO N°4 - ENCUESTA REALIZADA A ESTUDIANTES

1) Sexo del encuestado:

Masculino. Femenino.

2) Edad del encuestado 18-20 21-23 24-26 27-29 30- En adelante

3) Cree usted que el centro de cómputo de la Carrera posee un firewall?

Sí. No.

4) ¿Considera usted que es necesario mejorar la seguridad de los sistemas en la carrera? Totalmente de acuerdo. De acuerdo.

Indiferente. En desacuerdo.

Totalmente en desacuerdo.

5) Seleccione uno de los ataques informáticos que usted conozca:

Inyección de

código SQL.

Denegación de

servicios.

Intercepción de

tráfico /Escaneo de

puertos.

Exploits a Sistemas

Operativos.

Botnets.

6) De los siguientes métodos de aseguramiento de la información, cuál de ellos

recomendaría: Uso de certificados digitales. Cifrado de la información (Encriptación).

Autenticación de usuarios. Solución anti-malware.

Firewall

7) ¿Considera usted que la CISC debería contar con herramientas de gestión

unificada de amenazas para protegerse de los ataques informáticos?

Totalmente de acuerdo. De acuerdo. Indiferente

En desacuerdo. Totalmente en desacuerdo.

8) ¿Considera usted que los servicios en línea brindados por la Carrera deben estar

siempre disponibles?



9) ¿Considera usted que para aumentar la productividad del personal

administrativo se debe implementar políticas de acceso a Internet?

10) ¿Considera usted que las VPN (Redes privadas virtuales) permiten un canal

seguro, el cual podría ser implementado para garantizar el ingreso de notas

al sistema académico?





ANEXO N°5 - ENTREVISTA REALIZADA A DOCENTES Y

ADMINISTRATIVOS

1) Que opina usted al respecto de la implementación de herramientas de seguridad

informática en la CISC.

2) ¿Al acceder a los sistemas de la Carrera tiene la percepción de que se lo

está realizando de manera segura?

3) ¿Qué impacto cree usted que se generaría al sufrir un ataque

informático en la CISC?

4) ¿Qué medidas de control de riesgo considera usted que debería aplicar

la CISC ante la pérdida de información?




COMPUTACIONALES







RED INTERNA Y DE

PERÍMETRO”

MANUAL TÉCNICO Y DE USUARIO






DICIEMBRE - 2014

ii




COMPUTACIONALES

“IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE

SEGURIDAD PARA LA RED ADMINISTRATIVA





RED INTERNA Y DE

PERÍMETRO”

MANUAL TÉCNICO Y DE USUARIO






DICIEMBRE - 2014

iii

INDICE GENERAL

INTRODUCCIÓN ............................................................................................................ 1

MANUAL TÉCNICO ...................................................................................................... 2

RECURSOS DE HARDWARE DEL SERVIDOR ..................................................... 2

INSTALACIÓN DEL SISTEMA OPERATIVO DE SOPHOS UTM ........................ 3

SOLICITUD Y DESCARGA DE LICENCIA ........................................................... 12

MANUAL DE USUARIO – ADMINISTRADOR DE RED ......................................... 19

ACCESO A LA INTERFAZ DE CONFIGURACIÓN WEB (WEBADMIN) ......... 19

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “MANAGEMENT”......... 20

Auditoría de sesiones iniciadas .............................................................................. 20

Configuraciones de sistema .................................................................................... 21

Configuración de WebAdmin ................................................................................. 25

Configuración de Licensing.................................................................................... 27

Configuración de actualización de firmware .......................................................... 27

Configuración de respaldos automáticos: ............................................................... 28

Configuración del Portal de Usuario: ..................................................................... 29

Configuración de notificaciones: ............................................................................ 30

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “DEFINITIONS AND

USER” ........................................................................................................................ 31

Configuración de autenticación de doble factor ..................................................... 31

Configuración de políticas de bloqueo de usuarios: ............................................... 32

Configuración de políticas de contraseñas ............................................................. 33

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “INTERFACES AND

ROUTING” ................................................................................................................ 34

Configuración de interfaces de red ......................................................................... 34

Configuración de calidad de servicio ..................................................................... 34

Interfaces and Routing -> Quality of Service -> Bandwidth Pools. Se selecciona en

Bound to interface la interface en la que se quiere aplicar calidad de servicio y se

da clic en New Bandwidth Pools para crear la regla de calidad de servicio, a

continuación se asigna un nombre y la velocidad restringida y límite. Gráfico 54. 35

Configuración de rutas estáticas ............................................................................. 36

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “NETWORK

PROTECTION” ......................................................................................................... 37

Creación de reglas de firewall ................................................................................ 37

iv

Revisión de logs de firewall en tiempo real ........................................................... 39

Configuración de bloqueo por países ..................................................................... 40

Configuración de protección contra amenazas avanzadas ..................................... 40

Configuración de Sistema de Prevención de Intrusos ............................................ 41

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “WEB PROTECTION” ... 42

Configuración de la política global de filtrado ....................................................... 42

Configuración de perfiles de navegación ............................................................... 44

Configuración de control de aplicaciones .............................................................. 49

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “WEBSERVER

PROTECTION” ......................................................................................................... 50

Configuración de Web Application Firewall.......................................................... 50

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “REMOTE ACCESS” ..... 52

Configuración de VPN SSL ................................................................................... 52

Configuración de VPN PPTP ................................................................................. 52

Configuración de VPN L2TP sobre IPSec ............................................................. 53

REVISIÓN DE REPORTES Y LOGS ....................................................................... 54

Ver archivos de log ................................................................................................. 54

Reports de Hardware .............................................................................................. 55

Reportes de uso de red ............................................................................................ 56

Reportes de protección de la red............................................................................. 57

Reportes de navegación web .................................................................................. 59

Reporte de Web Application Firewall .................................................................... 60

Configuración de reporte ejecutivo ........................................................................ 61

v

INDICE DE GRÁFICOS

GRAFICO N° 1: Servidor IBM X3250 M4 ..................................................................... 2

GRAFICO N° 2: Pantalla de bienvenida de instalación ................................................... 3

GRAFICO N° 3: Pantalla de advertencia de borrado de datos ........................................ 3

GRAFICO N° 4: Pantalla de detección de Hardware ...................................................... 4

GRAFICO N° 5: Pantalla de selección de idioma ............................................................ 4

GRAFICO N° 6: Pantalla de selección de Zona Horaria (1) ............................................ 5

GRAFICO N° 7: Pantalla de selección de Zona Horaria (2) ............................................ 5

GRAFICO N° 8: Pantalla de configuración de fecha y hora ............................................ 6

GRAFICO N° 9: Pantalla de selección de interface de administración ........................... 6

GRAFICO N° 10: Pantalla de configuración de red ........................................................ 7

GRAFICO N° 11: Pantalla de soporte para arquitecturas de 64 bits ............................... 7

GRAFICO N° 12: Pantalla de información ...................................................................... 8

GRAFICO N° 13: Pantalla de particionamiento .............................................................. 8

GRAFICO N° 14: Pantalla de formateo de disco (Etaba 2/6) .......................................... 9

GRAFICO N° 15: Pantalla de copia de paquetes (Etapa 3/6) .......................................... 9

GRAFICO N° 16: Pantalla de instalación del Enterprise Toolkit (Etapa 5/6) ............... 10

GRAFICO N° 17: Pantalla de instalación finalizada ..................................................... 10

GRAFICO N° 18: Pantalla de Bienvenida a Sophos UTM ............................................ 11

GRAFICO N° 19: Pantalla de línea de comandos .......................................................... 11

GRAFICO N° 20: Página web de Sophos UTM Home Edition .................................... 12

GRAFICO N° 21: Formulario de información para la licencia ..................................... 12

GRAFICO N° 22: Mensaje informativo de generación de licencia ............................... 13

GRAFICO N° 23: Pantalla de login de Webadmin Sophos UTM ................................. 19

GRAFICO N° 24: Pantalla de dashboard o panel principal ........................................... 19

GRAFICO N° 25: Registro de sesiones iniciadas .......................................................... 20

GRAFICO N° 26: Detalle de cambios en configuraciones por usuario ......................... 20

GRAFICO N° 27: Configuración de informacipon organizacional ............................... 21

GRAFICO N° 28: Configuración de hostname .............................................................. 21

GRAFICO N° 29: Configuración de fecha y hora ......................................................... 22

GRAFICO N° 30: Activación de acceso por línea de comandos shell .......................... 22

GRAFICO N° 31: Configuración de redes permitidas a acceder por shell .................... 23

GRAFICO N° 32: Evitar acceso root por shell .............................................................. 23

GRAFICO N° 33: Configuración de contraseñas de acceso vía shell ............................ 23

GRAFICO N° 34: Configuración del puerto SSH ......................................................... 24

GRAFICO N° 35: Configuración de opciones de escaneo ............................................ 24

GRAFICO N° 36: Configuración de idioma y acceso WebAdmin ................................ 25

GRAFICO N° 37: Configuración de roles por usuario .................................................. 26

GRAFICO N° 38: Configuración avanzada ................................................................... 26

GRAFICO N° 39: Pantalla de instalación de licencia .................................................... 27

GRAFICO N° 40: Actualizaciones disponibles ............................................................. 27

GRAFICO N° 41: Pantalla de instalación de actualizaciones disponibles ..................... 28

vi

GRAFICO N° 42: Planificación de instalación de actualizaciones ................................ 28

GRAFICO N° 43: Configuración de respaldos automáticos .......................................... 29

GRAFICO N° 44: Configuración del Portal de Usuario ................................................ 29

GRAFICO N° 45: Configuración de correo para notificaciones .................................... 30

GRAFICO N° 46: Selección de notificaciones .............................................................. 30

GRAFICO N° 47: Configuración de autenticación de doble factor ............................... 31

GRAFICO N° 48: Escaneo de código QR con Google Authenticator ........................... 32

GRAFICO N° 49: Configuración de políticas de bloqueo ............................................. 32

GRAFICO N° 50: Configuración de política de contraseñas ......................................... 33

GRAFICO N° 51: Configuración de interfaces de red ................................................... 34

GRAFICO N° 52: Configuración de interface para calidad de servicio ........................ 34

GRAFICO N° 53: Configuración de Traffic Selector .................................................... 35

GRAFICO N° 54: Creación de regla de calidad de servicio .......................................... 35

GRAFICO N° 55: Configuración de rutas estáticas ....................................................... 36

GRAFICO N° 56: Habilitación de ruta estática ............................................................. 36

GRAFICO N° 57: Creación de reglas de firewall .......................................................... 37

GRAFICO N° 58: Regla de firewall de acceso permitido ............................................. 38

GRAFICO N° 59: Regla de firewall de acceso denegado .............................................. 38

GRAFICO N° 60: Regla de firewall de acceso rechazado ............................................. 38

GRAFICO N° 61: Abrir logs de fireall en tiempo real .................................................. 39

GRAFICO N° 62: Logs de firewall en tiempo real ........................................................ 39

GRAFICO N° 63: Bloqueo por países ........................................................................... 40

GRAFICO N° 64: Configuración de protección contra amenazas avanzadas ............... 40

GRAFICO N° 65: Habilitación del IPS .......................................................................... 41

GRAFICO N° 66: Configuración de patrones IPS ......................................................... 41

GRAFICO N° 67: Configuración de anti escaneo de puertos ........................................ 42

GRAFICO N° 68: Configuración de política global de filtrado ..................................... 42

GRAFICO N° 69: Configuración de categorías en el perfil de navegación ................... 44

GRAFICO N° 70: Configuración de sitios permitidos y denegados .............................. 45

GRAFICO N° 71: Configuración de sitios web permitidos y denegados (2) ................ 45

GRAFICO N° 72: Bloqueo de archivos por extensiones ............................................... 46

GRAFICO N° 73: Configuración de motor antivirus ..................................................... 46

GRAFICO N° 74: Configuraciones adicionales de la acción de filtrado ....................... 47

GRAFICO N° 75: Creación del perfil de navegación .................................................... 48

GRAFICO N° 76: Selección de acción de filtrado ......................................................... 48

GRAFICO N° 77: Habilitación de control de aplicaciones ............................................ 49

GRAFICO N° 78: Creación de regla de control de aplicaciones ................................... 49

GRAFICO N° 79: Regla de control de aplicaciones de Facebook ................................. 50

GRAFICO N° 80: Perfil de protección avanzado .......................................................... 50

GRAFICO N° 81: Configuración de servidor web ........................................................ 51

GRAFICO N° 82: Configuración de servidor virtual ..................................................... 51

GRAFICO N° 83: Configuración de perfil VPN SSL.................................................... 52

GRAFICO N° 84: Configuración de VPN PPTP ........................................................... 52

GRAFICO N° 85: Configuración de VPN L2TP sobre IPSec ....................................... 53

vii

GRAFICO N° 86: Ver archivos de logs ......................................................................... 54

GRAFICO N° 87: Reporte de Hardware ........................................................................ 55

GRAFICO N° 88: Reportes de uso de red ...................................................................... 56

GRAFICO N° 89: Reporte de violaciones de firewall e IPS .......................................... 57

GRAFICO N° 90: Reporte de IPS .................................................................................. 58

GRAFICO N° 91: Reporte de atacantes detectado por el IPS ........................................ 58

GRAFICO N° 92: Reporte de navegación web .............................................................. 59

GRAFICO N° 93: Detalle de uso de red por usuario o host .......................................... 59

GRAFICO N° 94: Estadisticas de uso de sitios y aplicaciones web locales .................. 60

GRAFICO N° 95: Tipos de ataques detectados por el WAF ......................................... 60

GRAFICO N° 96: Configuración de reporte ejecutivo .................................................. 61

GRAFICO N° 97: Reportes ejecutivos archivados ........................................................ 61

1

INTRODUCCIÓN

Sophos UTM es una solución de seguridad perimetral basada en Suse Linux Enterprise

11, dentro del cual hay disponibles la versión en appliance, software y virtual. Para todas

sus versiones existe el modo comercial, pero para la versión de software (instalable en

cualquier servidor con características de hardware compatibles) existe una versión

llamada Home Edition (licenciamiento libre) que ofrece todas las funcionalidades de la

versión comercial con la única limitante de protección a sólo 50 direcciones IP, sean estos

dispositivos tales como servidores, estaciones de trabajo, impresoras, teléfonos IP, etc.

Este documento se divide en dos secciones, la primera corresponde al Manual Técnico y

la segunda corresponde al Manual de Usuario, es decir, el Administrador de la Red de la

CISC. En el manual técnico se detallará detalles tales como la instalación del Sistema

Operativo de Sophos UTM, adquisición de la licencia, configuraciones establecidas

inicialmente, diagramas de red, etc. En el manual de usuario se detallará como realizar

las distintas configuraciones que se encuentran disponibles en cada uno de los módulos

del producto.

2

MANUAL TÉCNICO

RECURSOS DE HARDWARE DEL SERVIDOR

Para la instalación del UTM se hizo uso de un servidor de rack disponible en el cuarto

de servidores de la CISC, las características de este equipo se detallan a continuación en

el siguiente cuadro:

CUADRO N° 1: Características de hardware servidor UTM

SERVIDOR UTM

MARCA IBM

MODELO System X3250 M4

PROCESADOR

Intel(R) Xeon(R) CPU E3-1230 V2 @

3.30GHz

MEMORIA RAM 4 Gb

DISCO DURO 900 Gb

INTERFACES DE RED 4 a 10/100/1000

GRAFICO N° 1: Servidor IBM X3250 M4

3

INSTALACIÓN DEL SISTEMA OPERATIVO DE SOPHOS UTM

La ventana inicial muestra la bienvenida a la instalación, y realiza la advertencia que se

perderán todos los datos del disco, y la instalación sobrescribirá este dispositivo, ver

Gráfico 2. A continuación se debe presionar la tecla Enter para iniciar el asistente de

instalación.

GRAFICO N° 2: Pantalla de bienvenida de instalación

En el Gráfico 3, vemos nuevamente la advertencia de borrado, y damos clic en Start.

GRAFICO N° 3: Pantalla de advertencia de borrado de datos

4

En el gráfico 4 observaremos la pantalla de visualización del Hardware que ha sido

detectado, y en el gráfico 5 deberemos elegir el idioma del teclado desde donde hacemos

la instalación, en este caso elegimos inglés y ponemos Ok.

GRAFICO N° 4: Pantalla de detección de Hardware

GRAFICO N° 5: Pantalla de selección de idioma

5

Tal como lo muestra el gráfico 6 y gráfico 7, elegimos nuestra zona horaria

correspondiente, en America – Guayaquil, y seguimos con la instalación.

GRAFICO N° 6: Pantalla de selección de Zona Horaria (1)

GRAFICO N° 7: Pantalla de selección de Zona Horaria (2)

6

En el gráfico 8 se muestra que el siguiente paso es configurar la fecha y hora local y

damos clic en Next, luego como lo indica el gráfico 9 se deberá seleccionar la tarjeta de

red que será usada para configurar la interfaz de Administración.

GRAFICO N° 8: Pantalla de configuración de fecha y hora

GRAFICO N° 9: Pantalla de selección de interface de administración

7

A continuación deberemos definir la dirección IP de la red interna administrativa, o

cualquiera que nos sirva para tener conexión para la configuración inicial, mostramos su

configuración en el gráfico 10. Luego se mostrará un aviso para su confirmación

indicando que se recomienda instalar la versión de 64 bits para aprovechar los recursos

actuales del hardware, a lo que contestaremos que sí aceptamos, veamos el gráfico 11.

GRAFICO N° 10: Pantalla de configuración de red

GRAFICO N° 11: Pantalla de soporte para arquitecturas de 64 bits

8

En el gráfico 12, observamos una pantalla de información indicando consideraciones de

hardware previo a la instalación, luego de dar OK tendremos la confirmación de borrado

de la partición donde se instalará Sophos UTM, observar el gráfico13.

GRAFICO N° 12: Pantalla de información

GRAFICO N° 13: Pantalla de particionamiento

9

La instalación procederá a formatear la partición previamente designada y mostrará su

avance en la barra de progreso, terminado esta etapa continuará con la copia de los

paquetes necesarios para su funcionamiento, ver gráficos 14 y 15.

GRAFICO N° 14: Pantalla de formateo de disco (Etaba 2/6)

GRAFICO N° 15: Pantalla de copia de paquetes (Etapa 3/6)

10

Podemos observar en el gráfico 16 el avance de la copia del Enterprise Toolkit, y

finalmente si todo ha ido bien, tendremos la pantalla de aviso de finalización de la

instalación en la que se debe presionar la opción Reboot para que se reinicie el servidor

como lo muestra el gráfico 17.

GRAFICO N° 16: Pantalla de instalación del Enterprise Toolkit (Etapa 5/6)

GRAFICO N° 17: Pantalla de instalación finalizada

11

La siguiente pantalla que tenemos en el gráfico 18, es la antesala que nos invita ya a

realizar la primera configuración de Sophos UTM. Al presionar la tecla F2 se podrá

acceder a la línea de comandos local del servidor e indica la URL desde la cual se puede

acceder por un browser y realizar las configuraciones iniciales, ver gráfico 19.

GRAFICO N° 18: Pantalla de Bienvenida a Sophos UTM

GRAFICO N° 19: Pantalla de línea de comandos

12

SOLICITUD Y DESCARGA DE LICENCIA

Para proceder a la solicitud y descarga de la licencia de la versión Home Edition, se debe

acceder al link: https://www.sophos.com/es-es/products/free-tools/sophos-utm-home-

edition.aspx. Ver gráfico20. A continuación damos clic en el botón Póngase manos a la

obra, después de esto aparecerá un formulario solicitando información para generar la

licencia. Ver gráfico 21.

GRAFICO N° 20: Página web de Sophos UTM Home Edition

GRAFICO N° 21: Formulario de información para la licencia

https://www.sophos.com/es-es/products/free-tools/sophos-utm-home-edition.aspx

https://www.sophos.com/es-es/products/free-tools/sophos-utm-home-edition.aspx

13

Una vez se haya llenado la información en el formulario se debe seleccionar Acepto la

Política de privacidad y los Términos y condiciones. Después damos clic en el botón

Enviar, aparecerá el mensaje mostrado en el gráfico 22 y la licencia llegará a la dirección

de correo que se haya ingresado en el formulario.

GRAFICO N° 22: Mensaje informativo de generación de licencia

CONFIGURACIONES ESTABLECIDAS

Información Organizacional

CUADRO N° 2: Información organizacional

Organization Name CISC

City Guayaquil

Country Ecuador

Administrator’s Email Address: [email protected]

Hostname: fwscn.cisc.ug.edu.ec

Servidores NTP: pool.ntp.org

Política de acceso ssh

CUADRO N° 3: Acceso SSH

Habilitado No

Redes permitidas 192.168.200.0/26

14

Motor de escaneo antivirus por defecto: Sophos

Idioma WebAdmin: Inglés

Política de cierre de sesión despúes de: 900 segundos

Puerto de administración WebAdmin: 1024 TCP

Identificación de licencia: 547671

Política de descarga de actualizaciones: Automático.

Política de instalación de actualizaciones: Manual

Política de configuración de respaldos automáticos de configuración

CUADRO N° 4: Configuración de respaldos

Intervalo Diario

Destinatarios [email protected]

[email protected]

Portal de usuario

CUADRO N° 5: Configuración de Portal de Usuario

Redes permitidas Todas

Usuarios permitidos Todos

Idioma por default Inglés

Dirección IP Cualquiera

Puerto 443

Política de notificaciones

CUADRO N° 6: Configuración de notificaciones

Intervalo Diario

Destinatarios [email protected]

[email protected]

mailto:[email protected]




15

Configuración de interfaces de red

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

inet6 ::1/128 scope host

valid_lft forever preferred_lft forever

2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000

link/ether 34:40:b5:8e:0e:49 brd ff:ff:ff:ff:ff:ff

inet 192.168.200.126/26 brd 192.168.200.127 scope global eth1


link/ether 90:e2:ba:2f:e3:96 brd ff:ff:ff:ff:ff:ff



link/ether 34:40:b5:8e:0e:4a brd ff:ff:ff:ff:ff:ff


inet 200.110.68.235/27 scope global secondary eth3


link/ether 90:e2:ba:2f:e3:97 brd ff:ff:ff:ff:ff:ff






7: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000

link/ether 36:40:b5:8e:0e:4c brd ff:ff:ff:ff:ff:ff

8: ifb0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32

link/ether ce:ba:af:2e:24:d1 brd ff:ff:ff:ff:ff:ff


link/ether ee:ad:43:67:04:ad brd ff:ff:ff:ff:ff:ff


link/ether da:6c:b3:a9:d4:a5 brd ff:ff:ff:ff:ff:ff


link/ether 12:0b:58:10:ee:bc brd ff:ff:ff:ff:ff:ff

12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state

UNKNOWN qlen 100

link/none

inet 10.242.2.1 peer 10.242.2.2/32 scope global tun0

16

Configuración de rutas

default via 10.87.164.211 dev eth2 table 200 proto kernel onlink

local default dev lo table 252 scope host

default via 10.87.164.211 dev eth2 table default proto kernel metric 20 onlink

10.10.42.0/27 dev eth0 proto kernel scope link src 10.10.42.1

10.87.117.112 via 10.87.164.211 dev eth2 proto static metric 5




10.242.2.0/24 via 10.242.2.2 dev tun0 proto sslvpn

10.242.2.2 dev tun0 proto kernel scope link src 10.242.2.1

127.0.0.0/8 dev lo scope link



broadcast 10.10.42.0 dev eth0 table local proto kernel scope link src 10.10.42.1

local 10.10.42.1 dev eth0 table local proto kernel scope host src 10.10.42.1









local 10.242.2.1 dev tun0 table local proto kernel scope host src 10.242.2.1

broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1

local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1

local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1

broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1








unreachable default dev lo table unspec proto kernel metric 4294967295 error -101


local ::1 via :: dev lo table local proto unspec metric 0


17

Políticas de reglas de firewall

CUADRO N° 7: Reglas de firewall

ORIGEN PUERTO DESTINO

Any Any 216.66.15.109

192.168.200.64/26

445

10.87.0.0/16

4370

5060

5061

1433

1434

135

137

139

138

192.168.200.64/26

53

INTERNET

IPV4

21

PING

TRACEROUTE

80

10.10.42.0/27

8080

4443

443

3128

192.168.200.64/26

1433

10.10.42.0/27

1434

80

8080

443

3128

192.168.200.108 4848 10.10.42.6

192.168.200.101 22 10.87.112.97

192.168.200.107

1026

10.10.42.3 5901

Política de protección contra amenazas avanzadas: Habilitado

18

IPS

CUADRO N° 8: Configuración IPS

Redes analizadas Todas

Acciones Rechazo de ataques

Anti-DoS/Flooding Habilitado

Anti-Portscan Habilitado

Excepciones No

Política de filtrado de navegación web

CUADRO N° 9: Política de filtrado de navegación web

Bloqueo por Categorías Si

Bloqueo por Páginas Si

Bloqueo por extensiones Si

Antivirus Habilitado

Modo Antivirus Dual

Google SafeSearch Habilitado

Bing SafeSearch Habilitado

Yahoo SafeSearch Habilitado

Política de protección de aplicaciones web

CUADRO N° 10: Política de protección de aplicaciones web

Modo Reject

Filtro de amenazas comunes Habilitado

Antivirus Scan Dual

Bloquear contenido no escaneable Habilitado

Categorías de amenazas filtradas

Robots maliciosos

Ataques genéricos

Ataques SQL Ijection

Ataques XSS

Troyanos

19

MANUAL DE USUARIO – ADMINISTRADOR DE RED

ACCESO A LA INTERFAZ DE CONFIGURACIÓN WEB

(WEBADMIN)

Para acceder a la interfaz de configuración web de Sophos UTM (Webadmin) se debe

ingresar a través de un navegador web poniendo la dirección IP del equipo de la

siguiente forma https://192.168.2.100:444, ver gráfico 23, e ingresamos usuario y

contraseña, después de esto presionamos el botón Login. A continuación veremos el

panel principal o dashboard. Ver gráfico 24.

GRAFICO N° 23: Pantalla de login de Webadmin Sophos UTM

GRAFICO N° 24: Pantalla de dashboard o panel principal

https://192.168.2.100:444/

20

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO

“MANAGEMENT”

Auditoría de sesiones iniciadas

Acceder a la opción principal del módulo “Management”, y se desplegará las últimas

sesiones iniciadas mediante el WebAdmin. Ver gráfico 25. Al dar clic en el botón Show

(n Changes) se podrá visualizar al detalle los cambios realizados en esa sesión por dicho

usuario, ver gráfico 26.

GRAFICO N° 25: Registro de sesiones iniciadas

GRAFICO N° 26: Detalle de cambios en configuraciones por usuario

21

Configuraciones de sistema

Configuración de información organizacional: Management -> System Settings ->

Organizational. Clic en el botón Apply. Ver gráfico 27.

GRAFICO N° 27: Configuración de informacipon organizacional

Configuración de hostname: Management -> System Settings -> Hostname. Clic en el

botón Apply. Ver gráfico 28.

GRAFICO N° 28: Configuración de hostname

22

Configuración de fecha y hora: Management -> System Settings -> Time and Date.

Clic en el botón Apply. Ver gráfico 29.

GRAFICO N° 29: Configuración de fecha y hora

Configuración de fecha y hora: Management -> System Settings -> Shell Access. Por

defecto el acceso vía línea de comando shell viene desactivado, y se activa dando clic en

el ícono en forma de interruptor que está marcado en el gráfico 30.

GRAFICO N° 30: Activación de acceso por línea de comandos shell

23

Una vez activado el icono cambia de color gris a verde. Se procede a indicar en la sección

Allowed Networks las redes o hosts desde donde se permite el acceso vía Shell, por

motivos de seguridad se recomienda que esta lista sea reducida solamente a los

dispositivos que vayan a hacerlo. Clic en el botón Apply. Ver gráfico 31.

GRAFICO N° 31: Configuración de redes permitidas a acceder por shell

En la sección Authentication, se selecciona la opción no root access para evitar que se

pueda acceder en primera instancia como usuario root por Shell. Ver gráfico 32

GRAFICO N° 32: Evitar acceso root por shell

En el gráfico 33 se muestra la opción para configurar las contraseñas del usuario

loginuser y root. Luego clic en el botón Set specified passwords.

GRAFICO N° 33: Configuración de contraseñas de acceso vía shell

24

Por último se configura el puerto de escucha SSH, por default está definido el puerto 22,

por seguridad se recomienda cambiar este puerto a uno no conocido como se muestra en

el gráfico 34.

GRAFICO N° 34: Configuración del puerto SSH

Configuración de escaneo de virus: Management -> System Settings -> Scan Settings.

Se puede seleccionar cuál de los dos motores antivirus se va a usar cuando se seleccione

un escaneo simple en opciones que serán explicadas más adelante, Sophos o Avira. Así

mismo se selecciona la opción Send suspicious content to SophosLabs for analysis

para enviar información de tráfico sospechoso dentro de la red a los Laboratorios de

investigación de Sophos. Ver gráfico 35.

GRAFICO N° 35: Configuración de opciones de escaneo

25

Configuración de WebAdmin

Configuración general: Management -> Webadmin Settings -> General. En esta sección

se selecciona el idioma en queremos que nos muestre las opciones del WebAdmin. Asi

mismo en la sección WebAdmin Access configuration se configura los usuarios con

privilegios de administración y los hosts desde donde se podrá acceder al UTM por

administración web. Gráfico 36.

GRAFICO N° 36: Configuración de idioma y acceso WebAdmin

26

Configuración control de acceso: Management -> Webadmin Settings -> Access

Control. En esta sección se configuran los roles de usuario con distintos privilegios de

administración y supervisión. Clic en el botón New Role para agregar un nuevo rol.

Gráfico 37.

GRAFICO N° 37: Configuración de roles por usuario

Configuración avanzada: Management -> Webadmin Settings -> Advanced. Aquí se

configure el tiempo en que se tiene que volver a loguear el usuario al WebAdmin despues

de un determinado tiempo de inactividad. También se puede realizar el cambio de la

configuración del puerto por defecto que es el 4444 a otro puerto no conocido como

recomendación de seguridad. Ver gráfico 38.

GRAFICO N° 38: Configuración avanzada

27

Configuración de Licensing

Instalación de licencia: Management -> Licensing -> Installation. Para instalar la

licencia que permita habilitar las funcionalidades del UTM se debe hacer clic en el icono

de la carpeta y luego dar clic en el botón Examinar, se selecciona el archivo de licencia

y se procede a presionar el botón Start Upload. Gráfico 39.

GRAFICO N° 39: Pantalla de instalación de licencia

Configuración de actualización de firmware

En el dashboard se habilitará la pantalla mostrada en el gráfico 40 para indicar que hay

actualizaciones disponibles, al dar clic sobre las actualizaciones aparecerá la pantalla del

gráfico 41.

GRAFICO N° 40: Actualizaciones disponibles

28

Al hacer clic en el botón Schedule se puede planificar la instalación para una fecha y

hora determinada que no afecte a producción ya que al instalar una actualización se

requiere reinicio automático del servidor. Gráfico 42.

GRAFICO N° 41: Pantalla de instalación de actualizaciones disponibles

GRAFICO N° 42: Planificación de instalación de actualizaciones

Configuración de respaldos automáticos:

Management -> Backup and Restore -> Automatic backups. En el gráfico 43 se muestra

la pantalla de configuración de los respaldos automáticos, aquí se puede establecer la

periodicidad en que se van a realizar los respaldos automáticos, de preferencia se

recomienda hacerlo a diario, se configura también en esta opción una dirección de correo

a la cual lleguen los archivos de respaldo.

29

GRAFICO N° 43: Configuración de respaldos automáticos

Configuración del Portal de Usuario:

Management -> User Portal -> Global. En la pantalla mostrada en el gráfico 44 se muestra

la configuración del Portal de Usuario, a través del cual se puede acceder a la opciones

de instalación del cliente VPN, autenticación de doble factor, etc. En Allowed Networks

se especifica las redes desde donde se podrá acceder y se seleccione la opción Allow all

users para permitir el acceso de todos los usuario.

GRAFICO N° 44: Configuración del Portal de Usuario

30

Configuración de notificaciones:

Management -> Notifications -> Global. En esta pestaña se configura la dirección de

correo a la cual llegará las notificaciones de los movimientos en la red, ver gráfico 45.

Management -> Notifications -> Notificaciones. En esta sección se selecciona las

notificaciones que queremos nos lleguen a la dirección de correo antes configurada.

GRAFICO N° 45: Configuración de correo para notificaciones

GRAFICO N° 46: Selección de notificaciones

31


“DEFINITIONS AND USER”

Configuración de autenticación de doble factor

Definition and Users -> Authentication Services -> One-Time Password. En esta pestaña

se habilita la autenticación de doble factor que constituye el acceso a distintas funciones

tales como WebAdmin, VPN, etc, usando como combinación la contraseña fijada por el

usuario y una calve única generada automáticamente cada cierto tiempo por la aplicación

Google Authenticator. Se deselecciona la opción All users must use one-time password

en la que se indica los usuarios a los que se aplicará esta función. Ver gráfico 47.

GRAFICO N° 47: Configuración de autenticación de doble factor

32

Una vez configurado el usuario, este debe ingresar a través del portal de usuario

(https://dirrección_IP) y le aparecerá por primera vez la pantalla del gráfico 48, luego se

debe escanear el código QR previo haber descargado e instalado la aplicación Google

Authenticator en un dispositivo móvil, al capturar el QR automáticamente la aplicación

lo asocia con la cuenta de usuario. En el próximo inicio de sesión se deberá acceder con

la contraseña definida por el usuario y el código aleatorio generado por la aplicación cada

30 segundos.

GRAFICO N° 48: Escaneo de código QR con Google Authenticator

Configuración de políticas de bloqueo de usuarios:

Definition and Users -> Authentication Services -> Advanced. En esta opción se

configure que despues de 3 intentos fallidos de inicio de sesión en la administración del

UTM se bloquee el acceso a ese host durate un tiempo determinado, en este caso el tiempo

por default es de 600 segundos (10 minutos). Asi mismo se puede configurar hosts a los

cuales nunca les bloquee el acceso en la sección Never block networks. Ver gráfico 49.

GRAFICO N° 49: Configuración de políticas de bloqueo

33

Configuración de políticas de contraseñas

Definition and Users -> Authentication Services -> Advanced. Seleccionar el check

Local Authentication Passwords para habilitar la política de complejidad de

contraseñas. Se puede seleccionar las opciones (Gráfico 50):

Requiere una letra minúscula

Requiere una letra mayúscula

Requiere un dígito numérico

Requiere un carácter no alfanumérico

GRAFICO N° 50: Configuración de política de contraseñas

34


“INTERFACES AND ROUTING”

Configuración de interfaces de red

Interfaces and Routing -> Interfaces -> Interfaces. Para configurar las interfaces de red

debemos dar clic en el botón New Interfaces, seleccionamos el tipo de intrface en el

campo Type y la interface física en el campo Hardware. Para guardar la configuración

damos clic en el botón Save. Gráfico 51.

GRAFICO N° 51: Configuración de interfaces de red

Configuración de calidad de servicio

Interfaces and Routing -> Quality of Service -> Status. Se active la interface donde se

aplicará calidad de servicio indicando el ancho de banda asignado por el ISP. Gráfico

52.

GRAFICO N° 52: Configuración de interface para calidad de servicio

35

Interfaces and Routing -> Quality of Service -> Traffic Selectors. Se configura el Traffic

Selector con origen, servicio y destino Any para indicar que se va a aplicar calidad de

servicio a todos los hosts de nuestra red. Gráfico 53.

GRAFICO N° 53: Configuración de Traffic Selector

Interfaces and Routing -> Quality of Service -> Bandwidth Pools. Se selecciona en

Bound to interface la interface en la que se quiere aplicar calidad de servicio y se da clic

en New Bandwidth Pools para crear la regla de calidad de servicio, a continuación se

asigna un nombre y la velocidad restringida y límite. Gráfico 54.

GRAFICO N° 54: Creación de regla de calidad de servicio

36

Configuración de rutas estáticas

Interfaces and Routing -> Static Routing -> Standard Static Routing. Como se muestra en

el gráfico 55, para crear rutas estáticas debemos dar clic en el botón New static route, a

continuación ingresamos la red de destino y el Gateway para alcanzar dicha red.

GRAFICO N° 55: Configuración de rutas estáticas

Una vez creada la ruta estática, por default está deshabilitada, se la habilita dando clic

en el botón en forma de interruptor. Gráfico 56.

GRAFICO N° 56: Habilitación de ruta estática

37

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “NETWORK

PROTECTION”

Creación de reglas de firewall

Network Protection -> Firewall -> Rules. Para la creación de reglas de firewall damos

clic en el botón New Rule, luego definimos los hosts de origen (Sources), puertos

(Services) y destinos (Destinations), en la opción Action seleccionamos si dejamos

permitir los paquetes (Allow), descartar los paquetes (Drop) o rechazarlos (Reject). Se

selecciona el check Log Traffic para que se guarde el registro de todo el tráfico de red

que pase por el firewall. Ver gráfico 57.

GRAFICO N° 57: Creación de reglas de firewall

38

Despúes de creada la regla hay que habilitarla ya que por default estará deshabilitada.

Cuando la regla permite el paso de los paquetes aparece una flecha de color verde, gráfico

58. Cuando la regla descarta los paquetes aparece una flecha de color rojo, gráfico 59.

Cuando la regla rechaza los paquetes la flecha será de color amarilla.

GRAFICO N° 58: Regla de firewall de acceso permitido

GRAFICO N° 59: Regla de firewall de acceso denegado

GRAFICO N° 60: Regla de firewall de acceso rechazado

39

Revisión de logs de firewall en tiempo real

Network Protection -> Firewall -> Rules. Para abrir la ventana de logs en tiempo real del

firewall dar clic en el botón Open live log, gráfico 61, con esto aparecerá la pantalla

mostrada en el gráfico 62, se puede filtrar la salida del log escribiendo parámetros en el

campo Filter. Las líneas dibujadas en color verde representa los accesos permitidos, las

de color rojo representan los accesos denegados.

GRAFICO N° 61: Abrir logs de firewall en tiempo real

GRAFICO N° 62: Logs de firewall en tiempo real

40

Configuración de bloqueo por países

Network Protection -> Firewall -> Country Blocking. Gráfico 63.

GRAFICO N° 63: Bloqueo por países

Configuración de protección contra amenazas avanzadas

Network Protection -> Firewall -> Advanced Threat Protection. Gráfico 64.

GRAFICO N° 64: Configuración de protección contra amenazas avanzadas

41

Configuración de Sistema de Prevención de Intrusos

Network Protection -> Intrusion Prevention -> Global. En la sección Local Networks se

configure las redes que queremos sean inspeccionadas por el IPS. Gráfico 65.

GRAFICO N° 65: Habilitación del IPS

Network Protection -> Intrusion Prevention -> Attack Patterns. En esta pestaña se

configure la acción que deseamos se ejecute por cada regla, al seleccionar Drop se

comporta como IPS, al seleccionar Alert se comportará como IDS. Gráfico 66.

GRAFICO N° 66: Configuración de patrones IPS

42

Network Protection -> Intrusion Prevention -> Anti-Portscan.

GRAFICO N° 67: Configuración de anti escaneo de puertos

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “WEB

PROTECTION”

Configuración de la política global de filtrado

Web Protection -> Web Filtering -> Global. En el módulo Web Protection se configurarán

las políticas de filtrado de navegación web, en la pestaña global se configuran las opciones

del perfil en el que navegarán todos los equipos que no se encuentren registrados dentro

de un perfil de navegación específico. En la sección Allowed Networks configuramos

las redes en las que se aplicará este filtrado global y en Operation Mode el modo en el

que trabajará el proxy (Transparente o Standard).

GRAFICO N° 68: Configuración de política global de filtrado

43

Para ver los logs eb tiempo real de la navegación de los usuarios presionamos el botón

Open Live Log.

44

Configuración de perfiles de navegación

Web Protection -> Web Filtering Profile -> Filter Action. Para crear los perfiles de

navegación web, en primer lugar hay que crear las acciones del filtrado en el botón New

Filter Action. En la sección Categories se configura el bloqueo o acceso a las diferentes

categorías de sitios web. Gráfico 69.

GRAFICO N° 69: Configuración de categorías en el perfil de navegación

En la sección Websites se puede agregar los sitios web que deseamos bloquear siempre

y los sitios web que deseamos se visualicen siempre. Gráficos 69 y 70.

45

GRAFICO N° 70: Configuración de sitios permitidos y denegados

GRAFICO N° 71: Configuración de sitios web permitidos y denegados (2)

En la sección Downloads se pueden bloquear archivos de determinadas extensiones y

MIME Types que sean peligrosos para los equipos en la red, también se puede bloquear

las descargas que superen el tamaño indicado en el campo Block downloads large than.

46

Gráfico 72. A su vez en la sección Antivirus se configura el escaneo simple o dual, para

el escaneo dual inspecciona con el motor de Sophos y de Avira. Gráfico 73.

GRAFICO N° 72: Bloqueo de archivos por extensiones

GRAFICO N° 73: Configuración de motor antivirus

47

En Additional Options se puede seleccionar que se fuerce a usar la función SafeSearch

de los buscadores Google, Bing y Yahoo. También se selecciona las opciones Log

accessed pages y Log blocked pages para que se guarde el registro de la navegación

de todos los usuarios. Gráfico 74.

GRAFICO N° 74: Configuraciones adicionales de la acción de filtrado

48

Web Protection -> Web Filtering Profile -> Filter Profiles. Luego creamos el perfil de

navegación igual que cuando se creó el perfil de navegación global. Gráfico 75. En la

sección Policies se hace referencia al filtro que previamente creamos, en este ejemplo el

filtro llamado Filtro Administrativo. Ver gráfico 76.

GRAFICO N° 75: Creación del perfil de navegación

GRAFICO N° 76: Selección de acción de filtrado

49

Configuración de control de aplicaciones

Web Protection -> Application Control -> Network Visibility. Habilitación de la función

de control de aplicaciones. Gráfico 77.

GRAFICO N° 77: Habilitación de control de aplicaciones

Web Protection -> Application Control -> Application Control Rules. Gráfico 78 y 79.

GRAFICO N° 78: Creación de regla de control de aplicaciones

50

GRAFICO N° 79: Regla de control de aplicaciones de Facebook


“WEBSERVER PROTECTION”

Configuración de Web Application Firewall

Webserver Protection -> Web Application Firewall -> Firewall Profiles. El gráfico 80

muestra las opciones configuradas del perfil de protección avanzado, este perfil viene

creado por defecto.

GRAFICO N° 80: Perfil de protección avanzado

51

Webserver Protection -> Web Application Firewall -> Real WebServers. En esta

sección se configura el servidor web que se protegerá con el WAF. Gráfico 81.

GRAFICO N° 81: Configuración de servidor web

Webserver Protection -> Web Application Firewall -> Virtual WebServers. En esta

sección configuramos la dirección URL pública del servidor WEB, haciendo referencia

al servidor web físico. Gráfico 82.

GRAFICO N° 82: Configuración de servidor virtual

52

CONFIGURACIÓN DE FUNCIONES DEL MÓDULO “REMOTE

ACCESS”

Configuración de VPN SSL

Remote Access -> SSL -> Profiles. Para crear un perfil de VPN SSL damos clic en el

botón New remote Access profiles, configuramos el usuario al cual le quedemos dar

acceso por VPN y las redes o hosts específicos al que le damos acceso. Gráfico 83.

GRAFICO N° 83: Configuración de perfil VPN SSL

Configuración de VPN PPTP

Remote Access -> PPTP -> Global. Gráfico 84.

GRAFICO N° 84: Configuración de VPN PPTP

53

Configuración de VPN L2TP sobre IPSec

Remote Access -> L2TP over IPSec -> Global. Gráfico 85.

GRAFICO N° 85: Configuración de VPN L2TP sobre IPSec

54

REVISIÓN DE REPORTES Y LOGS

Ver archivos de log

Logging and Reporting -> View Log Files -> Today’s Log File. En esta sección se

puede ver los archivos de log generados el mismo dia, las acciones que se puede tomar

con respecto a estos archivos son: Ver en tiempo real, Ver registros guardados o

eliminiarlos. Gráfico 86.

GRAFICO N° 86: Ver archivos de logs

55

Reports de Hardware

Logging and Reporting -> Hardware. En esta sección se puede visualizar gráficas en el

tiempo de los recursos de hardware como CPU y memoria. Gráfico 87.

GRAFICO N° 87: Reporte de Hardware

56

Reportes de uso de red

Logging and Reporting -> Network Usage. En este reporte se puede visualizar el uso de

la red por interfaces y el uso de ancho de banda detallado por hosts. Gráfico 88.

GRAFICO N° 88: Reportes de uso de red

57

Reportes de protección de la red

Logging and Reporting -> Network Usage. En esta sección de reportes se puede visualizar

estadísticas de violaciones de firewall y estadísticas del sistema de prevención de intrusos.

Gráfico 89.

GRAFICO N° 89: Reporte de violaciones de firewall e IPS

58

Logging and Reporting -> Network Usage -> IPS. Visualización al detalle de las

detecciones del IPS. Gráfico 90.

GRAFICO N° 90: Reporte de IPS

GRAFICO N° 91: Reporte de atacantes detectado por el IPS

59

Reportes de navegación web

Logging and Reporting -> Web Protection -> Web Usage Report. En este reporte se

muestral la navegación web hacia las direcciones en Internet (Gráfico 92), al dar clic

sobre cada sitio nos mostrará los hosts que han accedido dicho sitio, gráfico 93.

GRAFICO N° 92: Reporte de navegación web

GRAFICO N° 93: Detalle de uso de red por usuario o host

60

Reporte de Web Application Firewall

Logging and Reporting -> WebServer Protection -> Usage Graph. Este reporte muestral

las estadisticas de uso de los sitios o aplicaciones web que tenemos protegidas a traves

del WAF. Gráfico 94.

Logging and Reporting -> WebServer Protection -> Details. Muestra granularmente los

tipos de ataques recibidos, atacantes y sitios atacados. Gráfico 95

GRAFICO N° 94: Estadisticas de uso de sitios y aplicaciones web locales

GRAFICO N° 95: Tipos de ataques detectados por el WAF

61

Configuración de reporte ejecutivo

Logging and Reporting -> Executive Report -> Configuration. El reporte ejecutivo es un

resumen total de todos los registros de movimientos en la red detectados por los distintos

componentes del UTM, se puede configurar la generación automática de este tipo de

reportes con periodicidad diaria, semanal o mensual, archivándolos en el disco duro del

UTM (Gráfico 96) para su posterior descarga (Gráfico 97) y visualización, y/o

configurando una cuenta de correo para que lleguen automáticamente al mail.

GRAFICO N° 96: Configuración de reporte ejecutivo

GRAFICO N° 97: Reportes ejecutivos archivados

universidad de guayaquil -...

Documents