UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.1 ANLISIS DE LA RED ACTUAL.
Las redes inalmbricas constituyen hoy en da uno de las tecnologas con mayor crecimiento tecnolgico, ya que ha llegado a tener como caractersticas principales una movilidad y una conexin ms sencilla, adems permite la fcil ampliacin de una red. Es decir, que podemos estar en movimiento sin perder la conectividad con Internet. Esto es algo que actualmente est tomando gran importancia ya que con la evolucin de las tecnologas el uso de Internet se ha multiplicado y poder disponer de l en cualquier parte sin cables lo que es muy interesante. El anlisis tiene como finalidad conocer el funcionamiento de la red inalmbrica de la universidad tecnolgica de la regin norte de guerrero, con ello identificar los problemas potenciales que se tienen, como en su seguridad y en su funcionamiento. Actualmente en la universidad se cuenta con una topologa similar a la figura 4.1 en la cual se muestra a detalle cmo est constituida la red de toda la universidad.
UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
Aqu el problema es que en la PC llamado control, como se ilustra en la figura 4.2 se tiene los segmentos en mquinas virtuales. Estos segmentos son para los diferentes tipos de usuarios en la red de la universidad. - Segmento para la red inalmbrica - Segmento para los laboratorios - Segmento para los administrativos Fig.4.1 diseo actual de la red inalmbrica. UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
Cuando uno de los segmentos no funciona correctamente, se ven en la necesidad de reiniciar el equipo y con esto toda la red deja de funcionar, debido a que en la misma PC se tienen los otros segmentos. En cuanto a la red inalmbrica se tienen los problemas de conexin, mala administracin y conexiones inseguras el cual deriva de una amenaza para la seguridad de la red. Otra de las problemticas de la institucin es que no se cuenta con una estructura adecuada al nmero de usuarios conectados en la universidad, no se tiene un control a detalle de los usuarios conectados. En cuanto a la seguridad de la red no cuenta con un firewall capaz de restringir acceso a ciertas pginas que constituyen una amenaza a los datos de la red interna, ya que se manejan informacin que es de suma importancia para la institucin. En cuanto a la estructura fsica el mayor problema es que no se le ha dado mantenimiento en los cables, desde que se instal el sistema de red no se ha cambiado los cables y eso disminuye a una buena calidad en el servicio de la red. Fig.4.2 Control UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
Analizando detalle a detalle de cmo est constituido la red de la universidad se deriv a instalar un servidor que sea capaz de solventar los requisitos necesarios para tener un servicio de calidad, el servidor se enfoc a la red inalmbrica que es uno de los servicios con mayor vulnerabilidad en los ataques que pueda sufrir desde el exterior, con esto tenemos una conexin estable con mayor seguridad de que los datos que se encuentren en la red sean manejados de manera segura, otra de las ventajas que tiene el servidor es que se cuenta con una administracin esto constituye un mejor control de quienes y cuantos son los que estn conectados a la red.
UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2 COMPARATIVA DE SOLUCIONES DIGITALES EN SEGURIDAD. La estructura central de todo el diseo es el firewall, concretamente lo que se conoce como firewall de red. Un firewall es un dispositivo que acta en la capa de red del modelo OSI. Estrictamente se trata de un dispositivo que enruta paquetes entre redes, como un Reuter. A diferencia de un Reuter, un firewall enruta paquetes en base a unas reglas definidas por el administrador. Generalmente las reglas definen el comportamiento de un firewall estn basadas en caractersticas del paquete de red, como el protocolo de capa superior que contiene, direcciones IP de origen o destino, puertos TCP o UDP (lo que generalmente define el uso que define ese trfico), etc. Adems, los firewall modernos son capaces de identificar trfico por propiedades relativas a capas superiores, como por ejemplo el sistema operativo que lo ha generado (Windows, Linux, etc.), o el tipo de aplicacin que lo est usando (aplicaciones de voz sobre IP, aplicaciones de trafico P2P, streaming de audio y video, etc.). Y tambin permiten la aplicacin de las reglas en funcin de un horario determinado. As pues, es sencillo definir una regla que, por ejemplo, solo permita el trfico de streaming de video a ciertas emisoras de televisin definidas, fuera del horario laboral. Uniendo todas las definiciones de todo tipo de propiedades del trfico, se pueden definir las reglas muy complejas, que establezcan exactamente el tipo de comportamiento que se desea para la red. En cuanto al conjunto de reglas definidas en un firewall, se definen y se aplican a nivel de interfaz de red (hay un conjunto de reglas para cada interfaz). El firewall UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
enrutara todos los paquetes que entren en su interior, las reglas solo definirn que paquetes entran o no dentro del firewall. Las reglas se ejecutan por orden ascendente, de manera que cuando un paquete cumple todas las condiciones de la regla, se establece la accin que la regla defina (permitir o no permitir) y no se revisan las siguientes reglas. Adems de las acciones definidas, los firewall tambin permiten registrar la accin realizada (lo que se conoce como escribir en un log o loguear). Esto es muy til para mantener registros de suceso y para identificar acciones no permitidas o estadsticas de trfico. Existen dos polticas aplicables al funcionamiento de un firewall, aceptar por defecto y denegar por defecto. Las reglas se ejecutan secuencialmente y cuando se llega al final de las reglas, el firewall decide qu hacer con el paquete en funcin de la poltica por defecto. Generalmente, los firewall que se ponen en explotacin se configuran con polticas de denegacin por defecto. Se suele usar la aceptacin por defecto en fases de desarrollo y optimizacin de las reglas, para despus de estar bien definidas y verificadas (con lo que pocos paquetes usan la regla por defecto) se establece la denegacin. En cuanto a la arquitectura del equipo, existen dos tipos de firewall de red: Firewall hardware, que son aquellos equipos diseados especialmente para realizar funciones de enrutado y filtrado de paquetes y para establecer comunicaciones VPN. Generalmente se usan para unir sedes de grandes infraestructuras, a travs de redes pblicas, suelen tener un rendimiento y un coste elevados. Cisco Systems es una de las empresas ms importantes que comercializan estos productos. Firewall software, que son aquellos programas o sistemas operativos que se ejecutan en un equipo estndar, para realizar las funciones de firewall. Sus costes es muy inferior al de los firewall hardware y a su vez permiten ms flexibilidad. Pero generalmente requieren de una compresibilidad UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
mayor, sobretodo en la fase de implementacin. En cuanto a firewall software, existe una multitud de productos, tanto implementados con software libre, como propietario. En el desarrollo de este proyecto se instalara un firewall por software, por motivos especialmente de coste y de flexibilidad. Una vez diseada la topologa de red y teniendo presentes los objetivos a cumplir, hay que escoger que opcin de software se va a utilizar. Buscando por internet, se encuentran muchas opciones que cumplen con los objetivos funcionales del proyecto, pero cuando se investigan a fondo, muchas de ellas dejan de ser opciones claras, ya bien sea por falta de funciones, o por coste. Despus de una eleccin inicial basada en hojas de especificaciones, se han elegido 6 opciones para escoger el software final a utilizar: 1. IPCop, una distribucin Linux dedicada para trabajar como firewall. 2. m0n0wall, una distribucin FreeBSD dedicada, orientada a sistemas embebidos y diseados para usar en almacenamiento tipo flash. 3. Pfsense, derivado de m0n0wall, es una distribucin ms compleja y actual que esta misma, orientada a sistemas abiertos (a equipos comunes) y que permite ser instalada en discos duros estndar. 4. Smoothwall, otra distribucin Linux dedicada para trabajar como firewall. 5. Microsoft Internet, Security and Acceleration (ISA) server, software de Microsoft, que si bien no es software libre, la universidad tiene licencia de uso ilimitado, con lo que el coste del software es cero. 6. Ubuntu (software de enrutamiento y filtrado) y fwbuilder (interfaz de creacin de reglas). A continuacin se detallan las caractersticas y el anlisis de cada una de las opciones a valorar. Tambin se muestran unas capturas de pantalla de las interfaces de administracin.
UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2.1 IPCop IPCop es una de las opciones a valorar especialmente por el hecho de que es la distribucin que se estaba utilizando hasta la realizacin de este proyecto. Se trata de una distribucin basada en RedHat Linux (por lo tanto software libre) con una interfaz grfica por web bastante sencilla. Utiliza iptables como software de enrutado/filtrado de paquetes. Como puntos a favor tiene el hecho de que es conocida por ser la utilizada hasta ahora. Adems, tiene un sistema de backup muy completo que permite desde la propia instalacin una restauracin completa del sistema. Tambin es destacable la cantidad de desarrolladores que tiene detrs, programando paquetes para funciones especficas como un filtro para trafico P2P. No existe mucha documentacin sobre su instalacin/funcionamiento, pero la que hay es bastante buena. Como puntos en contra tiene que definir las reglas es muy complejo, ya que se debe hacer editando el fichero de reglas (no desde la interfaz web de administracin) y no tiene ninguna funcionalidad de portal cautivo (para la validacin de la red inalmbrica), tampoco dispone de VPN para usuarios individuales, ni opcin de montar una estructura redundante.
UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
}
Fig.4.3 IPCOP UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2.3 m0n0wall m0n0wall es un sistema operativo derivado de FreeBSD, dedicado para la implementacin de firewall corporativos. Al estar basado en FreeBSD, se trata de software libre. Se trata de un sistema diseado para embedded PCs, es decir, sistemas embebidos. Estos sistemas son equipos que tienen todos los componentes montados en una placa de pequeo tamao. Se suelen utilizar para aplicaciones a medida (controladores de robots, sistemas de adquisicin de datos, etc.) y con la extensin de los firewall, se utilizan estos equipos adaptados con varias tarjetas de red y de gran ancho de banda. El almacenamiento suele ser una tarjeta de memoria y las especificaciones de hardware, no son muy elevadas (para las funciones que estn diseados, tampoco se necesitas). Los sistemas embebidos para redes, suelen montar en cajas de tamao estndar de los armarios de comunicaciones y con los conectores por la parte delantera para que tengas una integracin sencilla con los equipos de comunicaciones (switches, router, etc.) Los puntos a favor de m0n0wall son una interfaz de administracin web muy completa y atractiva y una gran cantidad de funcionalidades, como la creacin de reglas desde la interfaz, portal cautivo y servidor de walk-on-lan. Adems la documentacin disponible sobre m0n0wall es excelente y los foros de soporte son muy activos. En cuanto a los puntos negativos, bsicamente que est orientado a una arquitectura de equipos que no son estndar. De hecho, actualmente no es sencillo en Espaa conseguir un equipo compatible totalmente con el sistema, lo que hace que, en caso de fallar el hardware se pueden producir problemas importantes. Tampoco dispone de un sistema de redundancia activa ni la UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
posibilidad de implementar en la misma maquina un sistema de detector de intrusos.
Fig.4.4 M0N0WALL UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2.3 Pfsense Pfsense es un sistema operativo exclusivo para la implementacin de firewalls. Naci como un derivado de m0nowall que se pudiera instalar fcilmente en equipos comunes, aunque actualmente deriva ya directamente de FreeBSD (utiliza pf, el gestor de enrutado y filtrado de FreeBSD). Al ser as, la tabla de compatibilidad de hardware es la misma que para FreeBSD, con lo que tiene soporte para casi cualquier equipo del mercado. Su evolucin ha sido muy rpida y dispone de todas las funcionalidades de m0n0wall, adems de otras. Como puntos a favor dispone de una interfaz web muy atractiva y totalmente funcional ( desde all se puede administrar el sistema por completo) y muchas funciones entre las que destacan: CARP (sistema de redundancia activo), portal cautivo, Open VPN ( estndar abierto de conexiones VPN), wake-on-lan, implementacin del protocolo de calidad de servicio (permite establecer prioridades a segn qu tipo de trfico, por ejemplo, telefona) y es compatible con VLAN ( si las tarjetas de red los son),a nivel de interfaz. Adems permite instalar paquetes creados por desarrolladores externos (pero diseados especialmente para pfsense e integrados totalmente con su interfaz de administracin) como por ejemplo, un sistema de deteccin de intrusos activos (snot, que permite bloquear de manera dinmica y temporal aquellos equipos que generan una alerta). Como puntos en contra, al ser una distribucin muy joven y activa, el sistema no tiene una buena documentacin. De hecho, la mayora de las funcionalidades no estn documentadas y hay que acudir a foros y a tutoriales de usuarios avanzados para tener un conocimiento amplio de la configuracin. UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
Fig.4.5 PFSENSE UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2.4 Smoothwall Smoothwall Express es una distribucin Linux, con licencia GNU, creada por la empresa Smoothwall Limited. Est especializada en firewalls y es un derivado del producto comercial de la compaa. Sus puntos fuertes son que es un sistema muy estndar y es mucho ms completo que otras distribuciones Linux para firewalls (como IPCop, por ejemplo). Es totalmente administrable desde la interfaz web, que es muy completa. Tiene soporte de hardware bastante amplio. En cuanto a sus puntos en contra estn que no tiene interfaz de portal cautivo para la red inalmbrica, ni dispone de un sistema de redundancia activa (cosa que la distribucin comercial si la tiene). Adems, el hecho de que sea mantenida por una empresa privada, puede provocar que pase a ser un producto de software privativo.
Fig.4.6 SMOOTHWALL UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2.5 Microsoft Internet Security and Acceleration Server Internet Security and Acceleration Server (ISA) server es un sistema de firewall orientado a redes de ordenadores implementadas con tecnologa Microsoft, ya que es capaz de establecer reglas basadas en criterios de usuarios y grupos. Adems, no es un sistema operativo independiente, sino que se debe instalar sobre Windows 2003 server y se integra con sus herramientas de administracin. Como puntos fuertes tiene que es un sistema muy sencillo de instalar y configurar, con unas herramientas visualmente muy activas y con gran cantidad de asistentes de configuracin. Adems, dispone de una gran cantidad de documentacin al respecto. Y el soporte para VPN, tanto roadwarrior como site-to-site, es muy bueno. Se integra perfectamente con la base de datos de usuarios del dominio implementado con Windows Server. Como puntos flojos, el principal son los requisitos de sistema. El hecho de tener que ejecutarse bajo Windows 2003 server, hace que se necesiten demasiados recursos para ejecutar solo el sistema operativo (y el antivirus de rigor) y que el sistema pueda estar afectado por los peligros que Windows pueda tener (virus, vulnerabilidades, etc.). Adems, tampoco dispone de todas las funcionalidades, como portal cautivo y la redundancia solo se puede efectuar con Windows 2003 Enterprise Server, que todava tiene unos requisitos de hardware mayores. La consola de administracin no es por web, con lo que se deben utilizar sistemas como Terminal server (que tiene un rendimiento muy bajo a travs de redes pblicas de datos) para poder administrarlo remotamente. Por ltimo, la posibilidad de realizar un backup ntegro del sistema para restaurarlo en caso de necesidad, es muy compleja. UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
Fig.4.7 Microsoft Internet Security and Acceleration Server UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.2.6 Ubuntu Linux La ltima opcin evaluada ha sido Ubuntu Linux en su versin Server. Ubuntu Server se trata de una distribucin Linux orientada a servidores, especialmente de correo electrnico, ficheros y dems. Su instalacin es sencilla. Pero para su uso como firewall, se debe realizar una configuracin a mano, nada sencilla y en la que se deben combinar varios programas que hagan las funciones. Como puntos fuertes est el hecho que al ser una distribucin abierta, se puede implementar todos los objetivos a cumplir, eso s, de manera compleja. Adems, se podra usar el servidor para otros objetivos si fuera necesario Como puntos negativos est el hecho de que la implementacin y la administracin ya no son centralizadas, ni sencillas (dependen de diversos componentes, que cada uno se administra de una manera. El sistema de recuperacin de errores, tampoco es trivial.
UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
Una vez se han evaluado los sistemas hay que tomar una decisin del sistema a implementar. Como las pruebas no se han realizado en un entorno real con una carga de trabajo ni una configuracin real, se realizara una preseleccin del sistema en funcin de los criterios hasta ahora conocidos. Habiendo visto las especificaciones, realmente el sistema ms adecuado es PFSENSE. Dispone de la posibilidad de implementar todos los objetivos, siendo un software totalmente libre y preparado para sistemas abiertos. Revisado sus requisitos hardware, se puede comprobar que, al heredar la compatibilidad de FreeBSD, casi cualquier sistema ser soportado. Adems, se ha investigado a travs de otros usuarios del foro de pfsense la infraestructura montada y no es de prever que el sistema no tenga el rendimiento esperado. As pues, teniendo en cuenta todo esto, el siguiente paso es seleccionar hardware para su instalacin y configuracin.