Escolar Documentos
Profissional Documentos
Cultura Documentos
Asesor:
Ing. FERLEY MEDINA
Pg.
INTRODUCCIN.......................................................................................................6
1. PROBLEMA...........................................................................................................8
2. JUSTIFICACIN..................................................................................................10
3. OBJETIVOS.........................................................................................................12
3.1 OBJETIVO GENERAL...................................................................................12
3.2 OBJETIVOS ESPECFICOS..........................................................................12
4. ESTADO DEL ARTE............................................................................................13
4.1 MBITO LOCAL Y DEPARTAMENTAL.........................................................14
4.2 MBITO NACIONAL E INTERNACIONAL....................................................14
5. MARCO TERICO..............................................................................................15
5.1 FIREWALL O CORTAFUEGOS....................................................................15
5.2. UTM...............................................................................................................17
5.3. TERMINOLOGA HACKER...........................................................................20
6. INGENIERA DEL PROYECTO...........................................................................25
6.1 ANLISIS Y DESARROLLO..........................................................................25
6.2 CRONOGRAMA.............................................................................................44
6.3 PRESUPUESTO............................................................................................45
7. CONCLUSIONES................................................................................................46
BIBLIOGRAFA........................................................................................................47
LISTA DE FIGURAS
Pg.
Figura 1 Cuadro Mgico de Gartner........................................................................13
Figura 2 Firewall entre LAN e Internet.....................................................................15
Figura 3 Firewall entre LAN con zona DMZ e Internet............................................16
Figura 4 Doble firewall entre zona DMZ con LAN e internet...................................17
Figura 5 Gestin Unificada de Amenazas...............................................................18
Figura 6 Anatoma de un ataque.............................................................................22
Figura 7 ASG 425....................................................................................................27
Figura 8 Poltica General.........................................................................................28
Figura 9 Perfil de equipos........................................................................................29
Figura 10 Polticas Filtrado Web..............................................................................29
Figura 11 Logeo.......................................................................................................35
Figura 12 Descarga paquete Instalacin.................................................................36
Figura 13 Instalacin Wizard...................................................................................37
Figura 14 Conexin a SSL VPN..............................................................................38
Figura 15 Iniciar sesin............................................................................................39
Figura 16 Descargar archivo de configuracin........................................................40
Figura 17 Primer test de deteccin..........................................................................41
Figura 18 Segundo test de deteccin......................................................................42
Figura 19 Reporte por consumo de trfico..............................................................43
Figura 20 Resporte ms consumo en youtube.......................................................43
Figura 21 Actividades..............................................................................................44
Figura 22 Lnea de tiempo.......................................................................................44
LISTA DE TABLAS
Pg.
Tabla 1 Categoras filtros web.................................................................................30
Tabla 2 Presupuesto................................................................................................45
RESUMEN
La etapa inicial del proyecto se enfoca en el anlisis del Firewall ISA Server 2006
de la clnica, especialmente en la configuracin y las reglas establecidas. A raz de
esto, se estableci y se confirm la falta de prcticas seguras en el rea
informtica.
INTRODUCCIN
5
A grandes rasgos, se tiene entendido que una red fiable debe poseer tres
aspectos: confidencialidad, disponibilidad e integridad. Confidencialidad, porque a
la red solo debern acceder aquellas personas autorizadas, y que se entiende, no
compartirn dichos privilegios con entidades externas a la red. Disponibilidad,
porque cada uno de los elementos pertenecientes a la red debern estar
accesibles en cualquier momento. Y por ltimo, integridad, porque estos
elementos de la red solo podrn ser modificados por quienes son autorizados a
hacerlo.
Este trabajo est conformado por dos partes, la primera trata de visualizar la
problemtica que vive actualmente la Clnica Medilaser S.A. sede Neiva y busca
justificar el porqu de la implementacin de un dispositivo de Gestin Unificada de
Amenazas. Por otro lado, la segunda parte abarca la configuracin y la
implementacin del dispositivo en la clnica, y las pruebas de vulnerabilidad
realizadas para comprobar su ptimo funcionamiento.
1. PROBLEMA
2. JUSTIFICACIN
Segn el informe Net Losses: Estimating the Global Cost of Cybercrime 1, del
Centro de Estudios Estratgicos Internacionales (CSIS), Internet genera ingresos
anuales que oscilan entre 2 y 3 billones de dlares, sin embargo, segn las
conclusiones del informe del CSIS, el cibercrimen extrae entre el 15% y 20% del
valor creado por ste. Tambin destaca que solo en 2013 alrededor de 3.000
compaas en Estados Unidos fueron hackeadas, entre las que sobresalen
importantes empresas de ventas al detal. En Reino Unido, este sector report
1
http://www.mcafee.com/us/resources/reports/rp-economic-impactcybercrime2.pdf
9
prdidas superiores a los 850 millones de dlares. Por su parte, las autoridades
australianas reportaron ataques a gran escala a una aerolnea, cadenas hoteleras
y compaas de servicios financieros, con un costo estimado de 100 millones de
dlares. Adems, 40 millones de personas en Estados Unidos, aproximadamente
el 15% de la poblacin, ha sufrido robo de informacin personal a manos de
hackers, en Turqua 54 millones, en Corea 20 millones, en Alemania 16 millones y
en China ms de 20 millones.
10
3. OBJETIVOS
2
http://www.gartner.com/technology/reprints.do?id=11Z6XAOX&ct=140807&st=sb
12
Fuente: Gartner
4.1 MBITO LOCAL Y DEPARTAMENTAL3
3 Proveedor Sophos
13
Un firewall es un dispositivo que filtra el trfico entre redes, como mnimo dos. El
firewall puede ser un dispositivo fsico o un software sobre un sistema operativo.
En general debemos verlo como una caja con dos o ms interfaces de red en la
que se establecen unas reglas de filtrado con las que se decide si una conexin
determinada puede establecerse o no.
4 Proveedor Sophos
14
5.2.1.1 Esquema de Firewall tpico entre red local e Internet. Esquema tpico de
firewall para proteger una red local conectada a internet a travs de un router. El
firewall debe colocarse entre el router (con un nico cable) y la red local
(conectado al switch o al hub de la LAN).
Fuente: Wikilearning
5.2.1.2 Esquema de Firewall entre red local e Internet con zona DMZ para
servidores externos. Dependiendo de las necesidades de cada red se puede
colocar uno o ms firewalls para establecer distintos permetros de seguridad en
torno a un sistema. Es frecuente tambin que se necesite exponer algn servidor a
internet (como es el caso de un servidor web, un servidor de correo, etc.), y en
esos casos obviamente en principio se debe aceptar cualquier conexin a ellos.
5 http://www.pello.info/filez/firewall/iptables.html
15
Fuente: Wikilearning
NO USAR FUENTES WIKI A NO SER QUE SEA DE ALGUIEN CERTIFICADO
Lo que se recomienda en esa situacin es situar ese servidor en un lugar aparte
de la red, el que denominamos DMZ o zona desmilitarizada. En la zona
desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta
arquitectura, permitimos que el servidor sea accesible desde internet de tal forma
que si es atacado y se gana acceso a l, la red local sigue protegida por el firewall.
5.2.1.3 Esquema de firewall entre red local e internet con zona DMZ para
servidores expuestos creado con doble firewall (permetro). Esta estructura de
DMZ puede hacerse tambin con un doble firewall (aunque como se ve se puede
usar un nico dispositivo con al menos tres interfaces de red). Sera un esquema
como el que indica la Figura 4.
16
Fuente: Wikilearning
5.2. UTM6
6 http://jgdasir2.files.wordpress.com/2012/02/ut04-instalacion-y-configuracion-decortafuegos.pdf
17
Fuente: firewalls-hardware.com/
8 http://centrodeartigo.com/articulos-noticias-consejos/article_127693.html
9 http://www.inntech.com.mx/CaracteristicasSophos
19
20
Control de Acceso a la Red: El control del acceso a la red (NAC) revisa los
equipos que acceden a la red (incluso aquellos que no son propiedad de la
empresa) para comprobar que cumplen todas las polticas de seguridad.
por donde atacar. La instalacin de por defecto (como vienen de fabrica) de los
Sistemas Operativos tienen un gran nmero de servicios corriendo y puertos
abiertos. Tal
situacin
le
permite
los
Crackers
buscar
encontrar
vulnerabilidades en los servicios que estn corriendo y penetrar por los puertos
abiertos. La aplicacin de parches y hot fixes en los Sistemas Operativos y redes
complejas de hoy en da no es fcil. Muchos parches o hot fixes solo resuelven
una situacin o problema inmediato y no se pueden considerar una solucin
permanente.
Fuente: El autor
para escanear la red y los host en busca de mas vulnerabilidades que le permitan
el acceso al sistema.
5.3.2.5 Cubriendo las pistas. En esta fase es donde el Hacker trata de destruir
toda la evidencia de sus actividades ilcitas y lo hace por varias razones entre ellas
seguir manteniendo el acceso al sistema comprometido ya que si borra sus
huellas los administradores de redes no tendrn pistas claras del atacante y el
Hacker podr seguir penetrando el sistema cuando quiera, adems borrando sus
huellas evita ser detectado y ser atrapado por la polica o los Federales.
24
Con base en las condiciones que fueron definidas para el proyecto de seguridad
perimetral con UTM, precisamos a continuacin el alcance de la implementacin.
Para el caso de las soluciones de seguridad perimetral, se define implementacin
el momento en el cual la herramienta se encuentra en produccin, esto quiere
decir cuando todo el trfico de la red de adentro hacia afuera y viceversa es
revisado y validado por la solucin de seguridad. Todos los sistemas de seguridad
son procesos vivos, esto quiere decir que, al ser transversales a toda la operacin
de la organizacin, deben estar siendo ajustados y afinados frecuentemente.
Puesta
en
operacin
del
mdulo
Network
Security
(firewall,
ips,
Los Routers de Clnica Medilaser S.A redirigirn el trafico externo al UTM para
su tratamiento.
Con el diseo actual del ISA SERVER las maquinas pueden navegar solo en
modo Estndar, esto es colocando el proxy en los navegadores. Esto obliga a
cualquier maquina a buscar el ISA SERVER como GW por defecto, sin
importar su configuracin de red (cuando se trata de trfico que va hacia
internet). Es esta la razn por la cual, una vez quitado el Proxy, las maquinas
definen como GW por defecto el Router (es la configuracin que entrega por
DHCP el Router), sin embargo en el router inicialmente no haban rutas
27
Fuente: firewallshop.com
Se
perimetral.medilaser.sa
La interfaz eth0 sera la que utilizara el operador de internet principal con
direccin IP 190.xxx.xxx.xx/29.
La interfaz eth2 sera la que utilizara el operador de internet secundario con
direccin IP 190.xxx.xxx.xxx/29.
La interfaz eth4 sera la red LAN con direccin IP 172.xx.xx.xx/16.
Se adiciona las sub redes.
Se adiciona los DNS interno xxx.xxx.xxx.x y alternativo xxx.xxx.xx.x.
Se adiciona la direccin IP que utilizara la VPN xx.xxx.x.x/24.
Se determina que ya la navegacin no utilizara un proxy en el navegador de
determina
que
el
dispositivo
tendr
el
nombre
de
nva-
internet.
2. Se adiciona en la plataforma Sophos UTM 9 el dominio xxxxxxx con los
dominios hijos, para la validacin de los usuarios que se encuentran en el grupo
nombre grupo VPN.
Fuente: El autor
29
Fuente: El autor
Fuente: El Autor
Se define las siguientes categoras para cada uno de los filtros web los siguientes
bloqueos:
Alcohol
Anonymizers
AnonymizingUtilities
Art/Culture/Heritage
Browser Exploits
Bloqueos administrativos
Internet Radio/TV
30
Job Search
MaliciousDownloads
ControversalOpinions
MaliciousSites
Criminal Activities
Marketing/Merchandising
Dating/Personals
Media Downloads
Dating/Social Networking
Media Sharing
Digital Postcards
Messaging
Entertainment
Motor Vehicles
Extreme
Nudity
Fashion/Beauty
Online Shopping
ForKids
P2P/File Sharing
Gambling
GamblingRelated
Phishing
Game/CartoonViolence
Pornography
Games
PotentialUnwantedPrograms
Hacking/ComputerCrime
Profanity
Hate/Discrimination
ProvocativeAttire
Humor/Comics
Recreation/Hobbies
Illegal Software
Religion/Ideology
Illegal UK
Remote Access
Incidental Nudity
ResourceSharing
Shareware/Freeware
Sexual Materials
Social Networking
Spyware/Adware
Software/Hardware
Streaming Media
Spam URLs
Tobacco
Sports
Violence
Alcohol
Weapons
Bloqueo coordinadores
Illegal UK
31
Anonymizers
Incidental Nudity
AnonymizingUtilities
Internet Radio/TV
Art/Culture/Heritage
Job Search
Browser Exploits
ControversalOpinions
MaliciousDownloads
Criminal Activities
MaliciousSites
Dating/Personals
Marketing/Merchandising
Dating/Social Networking
Media Downloads
Digital Postcards
Media Sharing
Entertainment
Motor Vehicles
Extreme
Nudity
Fashion/Beauty
Online Shopping
ForKids
P2P/File Sharing
Gambling
Phishing
GamblingRelated
Pornography
Game/CartoonViolence
PotentialUnwantedPrograms
Games
Profanity
Hacking/ComputerCrime
ProvocativeAttire
Hate/Discrimination
Recreation/Hobbies
Humor/Comics
Religion/Ideology
Illegal Software
Remote Access
Spyware/Adware
Sexual Materials
Streaming Media
Shareware/Freeware
Tobacco
Social Networking
Violence
Software/Hardware
Weapons
Spam URLs
32
ResourceSharing
Bloqueo directivos
Sexual Materials
Alcohol
Anonymizers
Shareware/Freeware
AnonymizingUtilities
Software/Hardware
Browser Exploits
Spam URLs
Criminal Activities
Spyware/Adware
Drugs
Tobacco
Gruesome Content
Violence
Hacking/ComputerCrime
Weapons
Hate/Discrimination
Media Downloads
Illegal Software
Nudity
Illegal UK
P2P/File Sharing
Incidental Nudity
Phishing
MaliciousDownloads
Pornography
MaliciousSites
PotentialUnwantedPrograms
Profanity
Bloqueo Internet Admin sin MSN
Chat
Alcohol
Anonymizers
ControversalOpinions
AnonymizingUtilities
Criminal Activities
Art/Culture/Heritage
Dating/Personals
Browser Exploits
Dating/Social Networking
Entertainment
Digital Postcards
Extreme
Games
Fashion/Beauty
Hacking/ComputerCrime
ForKids
Hate/Discrimination
Gambling
Humor/Comics
33
GamblingRelated
Illegal Software
Game/CartoonViolence
Illegal UK
Incidental Nudity
MaliciousDownloads
InstantMessaging
MaliciousSites
Internet Radio/TV
Marketing/Merchandising
Job Search
Media Downloads
Nudity
Media Sharing
Online Shopping
Messaging
P2P/File Sharing
Motor Vehicles
Software/Hardware
Spam URLs
Phishing
Sports
Pornography
Spyware/Adware
PotentialUnwantedPrograms
Streaming Media
Profanity
Tobacco
ProvocativeAttire
Violence
Recreation/Hobbies
Weapons
Religion/Ideology
ResourceSharing
Remote Access
Sexual Materials
Social Networking
Alcohol
Anonymizers
AnonymizingUtilities
MaliciousDownloads
Art/Culture/Heritage
MaliciousSites
Browser Exploits
Marketing/Merchandising
ControversalOpinions
Media Downloads
Shareware/Freeware
Bloqueo Internet especiales
Job Search
34
Criminal Activities
Media Sharing
Dating/Personals
Motor Vehicles
Dating/Social Networking
Nudity
Digital Postcards
Online Shopping
Entertainment
P2P/File Sharing
Extreme
Phishing
Fashion/Beauty
Pornography
ForKids
PotentialUnwantedPrograms
Gambling
Profanity
GamblingRelated
ProvocativeAttire
Game/CartoonViolence
Recreation/Hobbies
Games
Religion/Ideology
Hacking/ComputerCrime
Remote Access
Hate/Discrimination
ResourceSharing
Humor/Comics
Sexual Materials
Illegal Software
Shareware/Freeware
Illegal UK
Social Networking
Incidental Nudity
Software/Hardware
Tobacco
Spam URLs
Violence
Spyware/Adware
Weapons
Alcohol
Streaming Media
Bloqueo sin restricciones
Phishing
Anonymizers
Pornography
AnonymizingUtilities
PotentialUnwantedPrograms
Browser Exploits
Profanity
Criminal Activities
Sexual Materials
35
Drugs
Shareware/Freeware
Gruesome Content
Social Networking
Hacking/ComputerCrime
Software/Hardware
Hate/Discrimination
Spam URLs
Illegal Software
Spyware/Adware
Illegal UK
Tobacco
Incidental Nudity
Violence
MaliciousDownloads
Weapons
MaliciousSites
Nudity
P2P/File Sharing
Media Downloads
Fuente: El autor
Internet
mediante
el
uso
de
criptografa.
Ingresando
al
link
36
Figura 11 Logeo
Fuente: El autor
37
Fuente: El autor
38
Fuente: El autor
39
Fuente: El autor.
Una vez este autenticado el semforo pasara de color rojo a color verde.
Estas pruebas se realizaron con los dos operadores de internet, y se verifico que
todos
los
recursos
de
la
red
Clnica
Medilaser
funcionaran
(Intranet,
Se determina que para los consultorios externos se dejara una VPN exclusiva para
ndigo Crystal (aplicativo de Historias Clnicas).
Fuente: El autor
41
Fuente: El autor
Fuente: El autor
43
Fuente: El autor
44
Fuente: El autor
Fuente: El autor
45
6.2 CRONOGRAMA
Figura 21 Actividades
Fuente: El autor
Fuente: El autor
46
6.3 PRESUPUESTO
Tabla 2 Presupuesto
PRESUPUESTO
Tipo
No.
tem
1
Talento
Humano
Recursos
Tcnicos
Descripcin
Valor Total
50
$40.000,00
$2.000.000,00
120
$50.000,00
$6.000.000,00
Horas
120
$30.000,00
$3.600.000,00
Despliegue de pruebas
Horas
100
$10.000,00
$1.000.000,00
Capacitacin y sensibilizacin
Horas
50
$40.000,00
$2.000.000,00
Unidad
$10.532.000,0
$10.532.000,0
Unidad
$1.600.000,00
$1.600.000,00
Total Gastos
$26.732.000,00
Horas
Soporte y acompaamiento
Horas
Fuente: El autor
47
7. CONCLUSIONES
posterior anlisis. Los diferentes servicios de seguridad del dispositivo poseen una
baja cohesin, por lo cual la falla de alguno de los servicios no implica
necesariamente la cada completa del sistema. Los reportes del dispositivo
pueden ser consultados y generados en cualquier momento, as como la
posibilidad de obtener informacin de lo que pasa en la red en tiempo real. Esto
permite un anlisis de la condicin de la red de manera sencilla y rpida.
BIBLIOGRAFA
49