IMPLEMENTACIN DE UN DISPOSITIVO UTM CON REGLAS DE TRFICO EN

LA CLNICA MEDILASER S.A. SEDE NEIVA

JEISSON FERNANDO PASCUAS ANDRADE

ALEXANDER PENAGOS AVILES
JOBANY TOCONAS ACHIPIZ

TRABAJO DE GRADO PARA OPTAR POR EL TTULO DE INGENIERO DE

SISTEMAS

Asesor:
Ing. FERLEY MEDINA

UNIVERSIDAD COOPERATIVA DE COLOMBIA

INGENIERA DE SISTEMAS
SEMINARIO DE PERFECCIONAMIENTO SEGURIDAD INFORMTICA
NEIVA
TABLA DE CONTENIDO

Pg.
INTRODUCCIN.......................................................................................................6
1. PROBLEMA...........................................................................................................8
2. JUSTIFICACIN..................................................................................................10
3. OBJETIVOS.........................................................................................................12
3.1 OBJETIVO GENERAL...................................................................................12
3.2 OBJETIVOS ESPECFICOS..........................................................................12
4. ESTADO DEL ARTE............................................................................................13
4.1 MBITO LOCAL Y DEPARTAMENTAL.........................................................14
4.2 MBITO NACIONAL E INTERNACIONAL....................................................14
5. MARCO TERICO..............................................................................................15
5.1 FIREWALL O CORTAFUEGOS....................................................................15
5.2. UTM...............................................................................................................17
5.3. TERMINOLOGA HACKER...........................................................................20
6. INGENIERA DEL PROYECTO...........................................................................25
6.1 ANLISIS Y DESARROLLO..........................................................................25
6.2 CRONOGRAMA.............................................................................................44
6.3 PRESUPUESTO............................................................................................45
7. CONCLUSIONES................................................................................................46
BIBLIOGRAFA........................................................................................................47

LISTA DE FIGURAS
Pg.
Figura 1 Cuadro Mgico de Gartner........................................................................13
Figura 2 Firewall entre LAN e Internet.....................................................................15
Figura 3 Firewall entre LAN con zona DMZ e Internet............................................16
Figura 4 Doble firewall entre zona DMZ con LAN e internet...................................17
Figura 5 Gestin Unificada de Amenazas...............................................................18
Figura 6 Anatoma de un ataque.............................................................................22
Figura 7 ASG 425....................................................................................................27
Figura 8 Poltica General.........................................................................................28
Figura 9 Perfil de equipos........................................................................................29
Figura 10 Polticas Filtrado Web..............................................................................29
Figura 11 Logeo.......................................................................................................35
Figura 12 Descarga paquete Instalacin.................................................................36
Figura 13 Instalacin Wizard...................................................................................37
Figura 14 Conexin a SSL VPN..............................................................................38
Figura 15 Iniciar sesin............................................................................................39
Figura 16 Descargar archivo de configuracin........................................................40
Figura 17 Primer test de deteccin..........................................................................41
Figura 18 Segundo test de deteccin......................................................................42
Figura 19 Reporte por consumo de trfico..............................................................43
Figura 20 Resporte ms consumo en youtube.......................................................43
Figura 21 Actividades..............................................................................................44
Figura 22 Lnea de tiempo.......................................................................................44

LISTA DE TABLAS
Pg.
Tabla 1 Categoras filtros web.................................................................................30
Tabla 2 Presupuesto................................................................................................45

RESUMEN

La implementacin de un dispositivo firewall con polticas de trfico para la Clnica

Medilaser sede Neiva, se realiza buscando un nico objetivo, que tiene como fin
maximizar la seguridad en la red LAN de la clnica.

La etapa inicial del proyecto se enfoca en el anlisis del Firewall ISA Server 2006
de la clnica, especialmente en la configuracin y las reglas establecidas. A raz de
esto, se estableci y se confirm la falta de prcticas seguras en el rea
informtica.

Finalmente, se implementa el dispositivo, que puesto en marcha, le ayudar a la

Clnica Medilaser sede Neiva a mejorar su proteccin frente a riesgos inherentes a
su actividad y marcar la ruta para iniciar un proyecto integrado de seguridad que
incluya no solo la implementacin de un dispositivo sino tambin sistema integrado
de gestin de la seguridad de la informacin.

INTRODUCCIN
5

Hoy en da, a medida que se presentan los avances tecnolgicos, tambin se

evidencian ataques tanto a redes pblicas como privadas, al punto que no existen
redes seguras sino simplemente redes fiables. Entendindose como red fiable a
toda aquella red que se supone responder tal y como el planeador de la misma
espera que lo haga, es decir, al menos cumplir con una poltica de seguridad
actualizada y que no sea fcilmente vulnerada.

A grandes rasgos, se tiene entendido que una red fiable debe poseer tres
aspectos: confidencialidad, disponibilidad e integridad. Confidencialidad, porque a
la red solo debern acceder aquellas personas autorizadas, y que se entiende, no
compartirn dichos privilegios con entidades externas a la red. Disponibilidad,
porque cada uno de los elementos pertenecientes a la red debern estar
accesibles en cualquier momento. Y por ltimo, integridad, porque estos
elementos de la red solo podrn ser modificados por quienes son autorizados a
hacerlo.

Las polticas de seguridad de las empresas u organizaciones se basan en los

dispositivos a ser utilizados para lograr la seguridad bajo ciertos requerimientos y
un esquema organizado. Existen una gran variedad de dispositivos entre los que
destacan los Firewall, los IPS (Sistema Prevencin Intrusos), los IDS (Sistema
Deteccin Intrusos), los bloqueadores de correo no deseado y los antivirus. En el
mercado existen gestores unificados de amenazas (tambin llamadas UTM), que
proporcionan toda la seguridad perimetral necesaria para cualquier sistema
informtico, estos equipos trabajando a nivel de aplicacin, analizan y permiten el
paso del trfico en funcin de las polticas implementadas en el dispositivo, en
otras palabras estos equipos son una caja negra en la cual estn todos los
servicios de seguridad integrados.
6

Este trabajo est conformado por dos partes, la primera trata de visualizar la
problemtica que vive actualmente la Clnica Medilaser S.A. sede Neiva y busca
justificar el porqu de la implementacin de un dispositivo de Gestin Unificada de
Amenazas. Por otro lado, la segunda parte abarca la configuracin y la
implementacin del dispositivo en la clnica, y las pruebas de vulnerabilidad
realizadas para comprobar su ptimo funcionamiento.

1. PROBLEMA

La vulnerabilidad de las organizaciones en materia de tecnologa de la informacin

se hace cada da ms crtica, lo que ha impulsado la necesidad de contar con
mecanismos eficientes que garanticen la proteccin del activo ms importante de
toda organizacin, la informacin. Los diferentes departamentos que constituyen
una organizacin interactan constantemente con bases de datos, realizando
consultas en tiempo real para el desenvolvimiento de sus funciones propias. Es
por ello que se ha incrementado la inversin en tecnologas de punta y en
sistemas que garantizan proteccin a la red contra ataques informticos mixtos.
ESO ES JUSTIFICACION
La Clnica Medilaser S.A. sede Neiva, cuenta con un Firewall lgico (software)
diseado por Microsoft llamado ISA Server en su versin 2006, a la que ya no se
le brinda soporte tcnico. Referente a su configuracin de polticas y elementos a
restringir, cabe resaltar que estos procesos se deben desarrollar de forma manual
y especfica con el link de contenido web, volvindola una solucin poco eficiente y
vulnerable a ataques o burlas por los usuarios.

Se puede apreciar que no existen polticas que definan o controlen a qu

contenido se puede acceder, se manejan IPs pblicas y esto crea una gran puerta
de vulnerabilidad quedando expuestos a cualquier ataque al no tener un sistema
de proteccin adecuado.
Adicionalmente, el sistema de control de navegacin y acceso a la red LAN ya
est en estado de obsolescencia, pues se concede acceso a diversos contenidos
en Internet por medio de uso de software de navegacin annima como Ultrasurf,
Thor, Anonymizer, entre otros, mediante tneles VPN. Otra falla detectada en el
uso de la herramienta es que al agregar la letra s en la URL posterior al protocolo
http se permite cargar el contenido deseado por el usuario, ya que el ISA Server
no soporta el protocolo https.
8

2. JUSTIFICACIN

Segn el informe Net Losses: Estimating the Global Cost of Cybercrime 1, del
Centro de Estudios Estratgicos Internacionales (CSIS), Internet genera ingresos
anuales que oscilan entre 2 y 3 billones de dlares, sin embargo, segn las
conclusiones del informe del CSIS, el cibercrimen extrae entre el 15% y 20% del
valor creado por ste. Tambin destaca que solo en 2013 alrededor de 3.000
compaas en Estados Unidos fueron hackeadas, entre las que sobresalen
importantes empresas de ventas al detal. En Reino Unido, este sector report
1
http://www.mcafee.com/us/resources/reports/rp-economic-impactcybercrime2.pdf
9

prdidas superiores a los 850 millones de dlares. Por su parte, las autoridades
australianas reportaron ataques a gran escala a una aerolnea, cadenas hoteleras
y compaas de servicios financieros, con un costo estimado de 100 millones de
dlares. Adems, 40 millones de personas en Estados Unidos, aproximadamente
el 15% de la poblacin, ha sufrido robo de informacin personal a manos de
hackers, en Turqua 54 millones, en Corea 20 millones, en Alemania 16 millones y
en China ms de 20 millones.

NO DEN LA SOLUCION DESDE EL PRINCIPIO DEL PROYECTO, NO HABLEN

DE UTM
Debido a este gravsimo problema se ha decidido implementar un sistema de
seguridad llamado UTM (Gestin Unificada de Amenazas) en la Clnica Medilaser
S.A. sede Neiva, el cual proporciona a travs de una administracin sencilla,
seguridad ante ataques informticos mixtos mediante la integracin de los
diferentes servicios de seguridad como lo son: bloqueo de correo no deseado,
antivirus, sistema de prevencin/deteccin de intrusos, filtros de contenido web y
firewall. Procesando y analizando todo el contenido antes de que entre a la red,
evitando as la infeccin por virus, gusanos, troyanos, correos no deseados,
pginas web maliciosas y accesos no autorizados. Una ventaja clave en el empleo
de los dispositivos UTM es su bajo costo en adiestramiento al usuario, dado que
se muestran los diferentes servicios como un todo y no de manera individual, as
mismo, se debe tomar en cuenta los costos relativamente bajos de renovacin de
las licencias.

10

3. OBJETIVOS

3.1 OBJETIVO GENERAL

NO HAN EMPEZADO EL PORYECTO Y YA ENCONTRARON LA SOLUCION?

HABLEN DE DISPOSITIVO FIREWALL
Implementar un dispositivo UTM para controlar polticas de seguridad mediante la
constitucin de reglas de trfico en la Clnica Medilaser S.A. sede Neiva.

3.2 OBJETIVOS ESPECFICOS

Analizar las reglas de trfico actuales para determinar su funcionamiento y

eficiencia.

Disear nuevas reglas de trfico para maximizar la seguridad de la red LAN de

la clnica.
11

Implementar el dispositivo UTM configurado con las nuevas reglas de trfico.

Evaluar el funcionamiento de las reglas de trfico mediante pruebas de

vulnerabilidad en la red y acceso a contenidos web.

4. ESTADO DEL ARTE

NO ES LA HISTORIA DEL UTM, EL ENFOQUE VA EN FIREWALL
UTM es el dispositivo de hardware perimetral que se est imponiendo en la
actualidad en las grandes organizaciones ya que controla todo tipo de trfico
entrante, saliente y malintencionado a travs de avanzadas tcnicas de deteccin
y sincronizacin de datos. Es un esfuerzo de las grandes compaas
desarrolladoras por mejorar el rendimiento en diferentes redes y evitar la
implementacin de un sin nmero de herramientas para solucionar cada riesgo
informtico. Para 2013, Gartner2 estim que el mercado de UTM creci un 14,1%,
hasta alcanzar un total de aproximadamente 1.540 millones de dlares, y se espera
que para el 2016 el mismo aumente por lo menos un 5% de ms, de esta manera
esperando que el 15% de las pymes en el mundo utilizarn las capacidades de
gestin de movilidad de sus plataformas UTM para hacer cumplir las polticas
distintivas, frente a menos del 5% de la actualidad.

2
http://www.gartner.com/technology/reprints.do?id=11Z6XAOX&ct=140807&st=sb
12

Figura 1 Cuadro Mgico de Gartner

Fuente: Gartner
4.1 MBITO LOCAL Y DEPARTAMENTAL3

Por medio de entrevistas se identific que hay varios problemas de proteccin de

la informacin en algunas empresas y organizaciones de la ciudad de Neiva por la
ausencia de dispositivos y software que gestionen amenazas de seguridad, sin
embargo, otras empresas como Alcanos de Colombia, Surcolombiana de Gas y
Empresas Pblicas de Neiva, han implementado dispositivos UTM, notando una
evidente mejora en el proceso de administrar la seguridad de sus redes, y una
ventaja an mayor, el costo relativamente bajo, pues es una solucin que integra
diferentes procesos como un todo, permitiendo de esta manera capacitar al
personal que lo administra ms fcilmente.

3 Proveedor Sophos
13

4.2 MBITO NACIONAL E INTERNACIONAL4

Importantes entes gubernamentales, colegios, universidades y hospitales del pas

han optado por la tecnologa UTM como medio para gestionar amenazas de
seguridad en sus redes, entre ellos encontramos la Alcalda de Pereira, las
cmaras de comercio de Ibagu y Cartago, el colegio Calasanz, las Universidades
Catlica del Norte y la Agustiniana, el Hospital San Jorge, Suzuki y el Metro de
Medelln. Y en el mundo grandes empresas como Nintendo, IBM, Hitachi, Deloitte
y Siemens, Universidades como Stanford, Oxford, Michigan State, Sydney y
Knste Berlin, han preferido administrar sus redes por medio de dispositivos
unificados, demostrando de esta manera que cada vez ms UTM adquiere fuerza
en el mercado.
5. MARCO TERICO

5.1 FIREWALL O CORTAFUEGOS

Un firewall es un dispositivo que filtra el trfico entre redes, como mnimo dos. El
firewall puede ser un dispositivo fsico o un software sobre un sistema operativo.
En general debemos verlo como una caja con dos o ms interfaces de red en la
que se establecen unas reglas de filtrado con las que se decide si una conexin
determinada puede establecerse o no.

4 Proveedor Sophos
14

5.1.1 Esquemas de Firewall5

5.2.1.1 Esquema de Firewall tpico entre red local e Internet. Esquema tpico de
firewall para proteger una red local conectada a internet a travs de un router. El
firewall debe colocarse entre el router (con un nico cable) y la red local
(conectado al switch o al hub de la LAN).

Figura 2 Firewall entre LAN e Internet

Fuente: Wikilearning
5.2.1.2 Esquema de Firewall entre red local e Internet con zona DMZ para
servidores externos. Dependiendo de las necesidades de cada red se puede
colocar uno o ms firewalls para establecer distintos permetros de seguridad en
torno a un sistema. Es frecuente tambin que se necesite exponer algn servidor a
internet (como es el caso de un servidor web, un servidor de correo, etc.), y en
esos casos obviamente en principio se debe aceptar cualquier conexin a ellos.

5 http://www.pello.info/filez/firewall/iptables.html
15

Figura 3 Firewall entre LAN con zona DMZ e Internet

Fuente: Wikilearning
NO USAR FUENTES WIKI A NO SER QUE SEA DE ALGUIEN CERTIFICADO
Lo que se recomienda en esa situacin es situar ese servidor en un lugar aparte
de la red, el que denominamos DMZ o zona desmilitarizada. En la zona
desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta
arquitectura, permitimos que el servidor sea accesible desde internet de tal forma
que si es atacado y se gana acceso a l, la red local sigue protegida por el firewall.

5.2.1.3 Esquema de firewall entre red local e internet con zona DMZ para
servidores expuestos creado con doble firewall (permetro). Esta estructura de
DMZ puede hacerse tambin con un doble firewall (aunque como se ve se puede
usar un nico dispositivo con al menos tres interfaces de red). Sera un esquema
como el que indica la Figura 4.

16

Figura 4 Doble firewall entre zona DMZ con LAN e internet

Fuente: Wikilearning

Los firewalls se pueden usar en cualquier red. Es habitual tenerlos como

proteccin de internet en las empresas u organizaciones, aunque ah tambin
suelen tener una doble funcin: controlar los accesos externos hacia dentro y
tambin los internos hacia el exterior; esto ltimo se hace con el firewall o
frecuentemente con un proxy (que tambin utilizan reglas, aunque de ms alto
nivel). Tambin, en empresas de hospedaje con muchos servidores alojados lo
normal es encontrarnos uno o ms firewalls ya sea filtrando toda la instalacin o
parte de ella.

5.2. UTM6

6 http://jgdasir2.files.wordpress.com/2012/02/ut04-instalacion-y-configuracion-decortafuegos.pdf
17

UTM (Unified Threat Management) o Gestin Unificada de Amenazas es un

dispositivo de red que adems de proporcionar los servicios ofrecidos por un
firewall convencional, incluye tambin proteccin Antispam - Antiphishing - Filtro de
contenidos - Antivirus - Deteccin/Prevencin de Intrusos (IDS/IPS).
La filosofa de un UTM es procesar y analizar todo el contenido antes de que entre
a la red corporativa, logrando as limpiar la red de virus, gusanos, troyanos,
spyware, correo spam, pginas web maliciosas mediante filtros avanzados y
protegiendo contra accesos no autorizados. El trmino fue utilizado por primera
vez por Charles Kolodgy de International Data Corporation (IDC) en 2004.

Figura 5 Gestin Unificada de Amenazas

Fuente: firewalls-hardware.com/

5.2.1 Punto de transicin a las soluciones de seguridad integradas 7. Las

soluciones de seguridad tradicionales para resolver las principales amenazas y
7 http://centrodeartigo.com/articulos-noticias-consejos/article_127693.html
18

problemas de productividad, son difciles de implementar, administrar y actualizar,

lo que aumenta la complejidad operacional y gastos generales. En su lugar, las
organizaciones demandan en la actualidad un enfoque integrado de seguridad de
la red y la productividad que combina la gestin de las tecnologas. Todas estas
desventajas llevan a las organizaciones a implementar polticas de seguridad
mnimas e inferiores a lo deseado. UTM puede ayudar a superar estos problemas.
En resumen, la transicin desde dispositivos que utilizan tecnologas individuales a
aparatos de seguridad integrada es en gran parte debido a la relacin costeeficacia y facilidad de gestin de dispositivos UTM.

5.2.2 Punto de falla o limitacin de UTM8. La mayor desventaja de un UTM se

encuentra en el hecho de que es un complejo conjunto de soluciones de seguridad
y el fracaso de la solucin de una sola de las tecnologas puede afectar todo el
sistema. Esto se puede remediar mediante el uso de alta disponibilidad (HA: High
Availability) de tecnologa.

5.2.3 Caractersticas UTM9.

Anti-malware: Detiene los malware con una rpida verificacin, conjuntamente

con prevencin de intrusos y la tecnologa de proteccin de la nube.

Prevencin de Intrusos: Con la deteccin de comportamiento se aumenta an

ms la seguridad de sus equipos, servidores y redes.

8 http://centrodeartigo.com/articulos-noticias-consejos/article_127693.html
9 http://www.inntech.com.mx/CaracteristicasSophos
19

Proteccin en la Nube: Protege a los usuarios contra nuevas amenazas con

verificaciones en la nube con los datos ms recientes de amenazas y URLs
maliciosas.

Administracin: La Consola de Administracin simplifica la gestin de la

proteccin, y le permite saber y controlar todo lo que ocurre en la red.

Cliente Firewall: Protege la empresa totalmente mediante el bloqueo de

gusanos y ataques informticos y la prevencin de intrusiones. Gracias a la
administracin centralizada y a su integracin en el agente nico para
estaciones, proteger los datos y las redes Windows resulta muy sencillo.

Proteccin de la navegacin por Internet: Bloquea las amenazas web ms

recientes y protege a los usuarios contra sitios maliciosos.

Control de Aplicaciones: Le proporciona listas de aplicaciones clasificadas por

tipo para que pueda bloquear fcilmente las aplicaciones no deseadas. Para
bloquear o permitir aplicaciones, solo tiene que configurar polticas para toda la
empresa o grupos especficos.

Control de Dispositivos: Mediante el control de los dispositivos extrables (como

memorias USB, unidades y dispositivos de red inalmbricos), puede ayudar a
reducir los riesgos de fugas de datos e infecciones de programas maliciosos.

Control de Datos: El control de datos permite vigilar las transferencias de datos

delicados, como informacin de identificacin personal o documentos
confidenciales de la empresa. De esta forma, se reducen los riesgos de que los
datos se guarden en dispositivos de almacenamiento extrables o se enven
fuera de la empresa por equivocacin, sin afectar a las tareas diarias de los
usuarios.

20

Control de Acceso a la Red: El control del acceso a la red (NAC) revisa los
equipos que acceden a la red (incluso aquellos que no son propiedad de la
empresa) para comprobar que cumplen todas las polticas de seguridad.

5.3. TERMINOLOGA HACKER

Amenaza: Es un entorno o situacin que podra conducir a una potencial violacin

de la seguridad.

Vulnerabilidad: Es la existencia de una falla de software, lgica de diseo, o error

de aplicacin que puede conducir a un acontecimiento inesperado e indeseada
mala ejecucin de las instrucciones del sistema o daar el mismo.

5.3.1 Tipos de ataques10

5.3.1.1 Sistemas Operativos. Los Sistemas Operativos de hoy en da estn

cargados con un sin fin de caractersticas y funcionalidades, lo que incrementa su
complejidad. Aunque los usuarios toman ventaja de estas funcionalidades, esto
tambin hace a los sistemas ms vulnerables a los ataques, proveyendo ms vas
10
http://ciberinfosystem.blogspot.com/2012/03/ataques-de-un-cracker-ohacker.html
21

por donde atacar. La instalacin de por defecto (como vienen de fabrica) de los
Sistemas Operativos tienen un gran nmero de servicios corriendo y puertos
abiertos. Tal

situacin

le

permite

los

Crackers

buscar

encontrar

vulnerabilidades en los servicios que estn corriendo y penetrar por los puertos
abiertos. La aplicacin de parches y hot fixes en los Sistemas Operativos y redes
complejas de hoy en da no es fcil. Muchos parches o hot fixes solo resuelven
una situacin o problema inmediato y no se pueden considerar una solucin
permanente.

5.3.1.2 Nivel de Aplicacin. Las compaas que fabrican aplicaciones o software

siempre tienen un itinerario o fecha lmite para entregar sus aplicaciones, lo que
no le permite tiempo suficiente a los programadores para probar los errores que
pueda tener el programa antes de ser entregado. La pobre o no existencia de
verificacin de errores en los programas lleva a los programas a ser vulnerables a
los ataques de Buffer Overflow.
5.3.1.3 Cdigos pre-fabricados. Las aplicaciones de los Sistemas Operativos
vienen con un sin nmero de cdigos o scripts de instalaciones de ejemplo para
hacerles la vida ms fcil a los administradores de redes. El problema con estos
scripts es que los administradores de redes no personalizan estos scripts a sus
necesidades y los dejan tal y como vienen (por defecto) sin saber que estos scripts
de ejemplo tambin vienen en los Sistemas Operativos que adquieren los
Crackers lo que le permite a los Crackers lanzar ataques con mayor precisin
conocidos como Shrink Wrap Code Attacks.

5.3.2 Anatoma de un ataque informtico 11

11 http://ciberinfosystem.blogspot.com/2012/03/anatomia-de-un-ataque.html
22

Figura 6 Anatoma de un ataque

Fuente: El autor

5.3.2.1 Reconocimiento. Se refiere a la fase preparatoria donde el atacante

obtiene toda la informacin necesaria de su objetivo o victima antes de lanzar el
ataque. Esta fase tambin puede incluir el escaneo de la red que el Hacker quiere
atacar no importa si el ataque va a ser interno o externo. Esta fase le permite al
atacante crear una estrategia para su ataque.

5.3.2.2 Escaneo. Esta es la fase que el atacante realiza antes de la lanzar un

ataque a la red (network). En el escaneo el atacante utiliza toda la informacin que
obtuvo en la Fase del Reconocimiento (Fase 1) para identificar vulnerabilidades
especficas. Tambin hace un escaneo de puertos para ver cules son los puertos
abiertos para saber por cual puerto va entrar y usa herramientas automatizadas
23

para escanear la red y los host en busca de mas vulnerabilidades que le permitan
el acceso al sistema.

5.3.2.3 Ganando Acceso. Esta es una de las fases ms importantes para el

Hacker porque es la fase de penetracin al sistema, en esta fase el Hacker explota
las vulnerabilidades que encontr en la fase 2. La explotacin puede ocurrir
localmente, offline (sin estar conectado), sobre el LAN (Local Area Network), o
sobre el Internet y puede incluir tcnicas como buffer overflows (desbordamiento
del buffer), denial-of-service (negacin de servicios), sesin hijacking (secuestro
de sesin), y password cracking (romper o adivinar claves usando varios mtodos
como: brute forc atack).

5.3.2.4 Manteniendo el Acceso. Una vez el Hacker gana acceso al sistema

objetivo (Fase3) su prioridad es mantener el acceso que gano en el sistema. En
esta fase el Hacker usa sus recursos y recursos del sistema y usa el sistema
objetivo como plataforma de lanzamiento de ataques para escanear y explotar a
otros sistemas que quiere atacar, tambin usa programas llamados sniffers para
capturar todo el trafico de la red, incluyendo sesiones de telnet y FTP (File
Transfer Protocol).

5.3.2.5 Cubriendo las pistas. En esta fase es donde el Hacker trata de destruir
toda la evidencia de sus actividades ilcitas y lo hace por varias razones entre ellas
seguir manteniendo el acceso al sistema comprometido ya que si borra sus
huellas los administradores de redes no tendrn pistas claras del atacante y el
Hacker podr seguir penetrando el sistema cuando quiera, adems borrando sus
huellas evita ser detectado y ser atrapado por la polica o los Federales.
24

SE TERMINO EL MARCO TEORICO Y NO SE HABLO DE OTRA TECNOLOGIA

DE FIREWALL DIFERENTE A UTM COMO SABER QUE ES LA MEJOR
OPCION A TOMAR?
FLAKA EXISTE LA NGFW

6. INGENIERA DEL PROYECTO

6.1 ANLISIS Y DESARROLLO

SE REALIZA EL COMPARATIVO DE LAS TECNOLOGIAS DE FIREWALL, SE

DICE EL PORQUE SE ESCOGE LA UTM, Y SE PROCEDE.
25

Con base en las condiciones que fueron definidas para el proyecto de seguridad
perimetral con UTM, precisamos a continuacin el alcance de la implementacin.
Para el caso de las soluciones de seguridad perimetral, se define implementacin
el momento en el cual la herramienta se encuentra en produccin, esto quiere
decir cuando todo el trfico de la red de adentro hacia afuera y viceversa es
revisado y validado por la solucin de seguridad. Todos los sistemas de seguridad
son procesos vivos, esto quiere decir que, al ser transversales a toda la operacin
de la organizacin, deben estar siendo ajustados y afinados frecuentemente.

En este caso puntual, la implementacin incluye:

Puesta

direccionamiento, QoS, VPNs, NAT, DNAT, SNAT, router, proxy, etc).

Puesta en operacin bsica del mdulo Web Security (Filtrado url, antimalware

en

operacin

del

mdulo

Network

Security

(firewall,

ips,

y control de aplicaciones p2p).

Las actividades de manejo de informes, alta disponibilidad, optimizacin y

aprovechamiento de todas las bondades de la solucin, son tareas que, en
cualquier implementacin, siempre se desarrollan sobre la marcha, debido a las
caractersticas del proyecto.

Lo que se desea es inicialmente que el UTM intercepte el trafico externo

(INTERNET) que se dirige hacia las instalaciones internas de Medilaser y
viceversa, de forma que el trafico sea analizado y verificado contra todas las

polticas de seguridad establecidas en el UTM (Firewall Filtrado WEB - etc).

En este caso los routers de Clnica Medilaser S.A pueden continuar
desempeando sus funciones de redireccin de trfico interno, y reenviar el
trfico que va hacia la WAN al UTM.
26

Los Routers de Clnica Medilaser S.A redirigirn el trafico externo al UTM para

su tratamiento.
Con el diseo actual del ISA SERVER las maquinas pueden navegar solo en
modo Estndar, esto es colocando el proxy en los navegadores. Esto obliga a
cualquier maquina a buscar el ISA SERVER como GW por defecto, sin
importar su configuracin de red (cuando se trata de trfico que va hacia
internet). Es esta la razn por la cual, una vez quitado el Proxy, las maquinas
definen como GW por defecto el Router (es la configuracin que entrega por
DHCP el Router), sin embargo en el router inicialmente no haban rutas

estticas configuradas para paquetes cuyo trfico se diriga a INTERNET.

Como solucin, bsicamente se crearon rutas estticas en el Router de
Pruebas, de forma que el Router pudiese redirigir el trfico al UTM. Esto hace
que las maquinas puedan navegar tanto en modo Transparente, como en
Estndar. En modo Estndar las maquinas buscan el UTM a travs de la red, y
en modo transparente las maquinas buscan su GW por defecto que es el

Router, el Router redirige las peticiones al UTM, y el UTM hacia internet.

Se definieron las rutas pertinentes en el Router de pruebas y finalmente los

APs lograron engancharse sin problemas al UTM.

Se realizaron pruebas finalmente para que el Router de pruebas entregara por
DHCP como DNS al UTM. Esto para que el sistema opere como DNS proxy
interceptando las peticiones de DNS y evitando ataques como el de
envenenamiento de la cache de DNS. Las pruebas resultaron exitosas. (La

resolucin directa funciona - la resolucin inversa requiere un ajuste).

Desde luego, todos estos test se realizaron en un ambiente de pruebas para
validar si funcionaba adecuadamente. Es necesario validar ya el diseo real en
papel antes de la implementacin. El da lunes, les enviare el grafico de red final, y
vamos perfilando en que puertos va a quedar, que reglas extras son necesarias a
nivel de Routing, y dems detalles, para que la implementacin sea lo ms
transparente posible. Dispositivo utilizado: ASG 425

27

Figura 7 ASG 425

Fuente: firewallshop.com

1. Se realiza una pre configuracin de interfaces en la plataforma Sophos UTM 9

de las interfaces que va a utilizar el UTM, se determin que:

Se

perimetral.medilaser.sa
La interfaz eth0 sera la que utilizara el operador de internet principal con

direccin IP 190.xxx.xxx.xx/29.
La interfaz eth2 sera la que utilizara el operador de internet secundario con

direccin IP 190.xxx.xxx.xxx/29.
La interfaz eth4 sera la red LAN con direccin IP 172.xx.xx.xx/16.
Se adiciona las sub redes.
Se adiciona los DNS interno xxx.xxx.xxx.x y alternativo xxx.xxx.xx.x.
Se adiciona la direccin IP que utilizara la VPN xx.xxx.x.x/24.
Se determina que ya la navegacin no utilizara un proxy en el navegador de

determina

que

el

dispositivo

tendr

el

nombre

de

nva-

internet.
2. Se adiciona en la plataforma Sophos UTM 9 el dominio xxxxxxx con los
dominios hijos, para la validacin de los usuarios que se encuentran en el grupo
nombre grupo VPN.

3. Se realiza levantamiento de informacin, en perfiles de navegacin tomando

como base los establecidos en el ISA Server.

Se crea un filtro llamado Poltica General. Este filtro se encuentra todo

bloqueado.
28

Figura 8 Poltica General

Fuente: El autor

Perfil que aplica a los equipos que no se encuentran registrados en el dominio, o

aquellos usuarios que estn en el dominio y no se encuentren en ningn perfil de
filtrado web, aclarando que va a contener una lista blanca para esta poltica.
Figura 9 Perfil de equipos

29

Fuente: El autor

Se crean las siguientes polticas de filtrado web:

Figura 10 Polticas Filtrado Web

Fuente: El Autor
Se define las siguientes categoras para cada uno de los filtros web los siguientes
bloqueos:

Tabla 1 Categoras filtros web

Alcohol
Anonymizers
AnonymizingUtilities

Art/Culture/Heritage

Browser Exploits

Bloqueos administrativos
Internet Radio/TV

30

Job Search

Major Global Religions

MaliciousDownloads

ControversalOpinions

MaliciousSites

Criminal Activities

Marketing/Merchandising

Dating/Personals

Media Downloads

Dating/Social Networking

Media Sharing

Digital Postcards

Messaging

Entertainment

Motor Vehicles

Extreme

Nudity

Fashion/Beauty

Online Shopping

ForKids

P2P/File Sharing

Gambling

Personal Network Storage

GamblingRelated

Phishing

Game/CartoonViolence

Pornography

Games

PotentialUnwantedPrograms

Hacking/ComputerCrime

Profanity

Hate/Discrimination

ProvocativeAttire

Humor/Comics

Recreation/Hobbies

Illegal Software

Religion/Ideology

Illegal UK

Remote Access

Incidental Nudity

ResourceSharing

Shareware/Freeware

Sexual Materials

Social Networking

Spyware/Adware

Software/Hardware

Streaming Media

Spam URLs

Tobacco

Sports

Violence

Alcohol

Weapons
Bloqueo coordinadores
Illegal UK
31

Anonymizers

Incidental Nudity

AnonymizingUtilities

Internet Radio/TV

Art/Culture/Heritage

Job Search

Browser Exploits

Major Global Religions

ControversalOpinions

MaliciousDownloads

Criminal Activities

MaliciousSites

Dating/Personals

Marketing/Merchandising

Dating/Social Networking

Media Downloads

Digital Postcards

Media Sharing

Entertainment

Motor Vehicles

Extreme

Nudity

Fashion/Beauty

Online Shopping

ForKids

P2P/File Sharing

Gambling

Phishing

GamblingRelated

Pornography

Game/CartoonViolence

PotentialUnwantedPrograms

Games

Profanity

Hacking/ComputerCrime

ProvocativeAttire

Hate/Discrimination

Recreation/Hobbies

Humor/Comics

Religion/Ideology

Illegal Software

Remote Access

Spyware/Adware

Sexual Materials

Streaming Media

Shareware/Freeware

Tobacco

Social Networking

Violence

Software/Hardware

Weapons

Spam URLs

32

ResourceSharing
Bloqueo directivos
Sexual Materials

Alcohol

Anonymizers

Shareware/Freeware

AnonymizingUtilities

Software/Hardware

Browser Exploits

Spam URLs

Criminal Activities

Spyware/Adware

Drugs

Tobacco

Gruesome Content

Violence

Hacking/ComputerCrime

Weapons

Hate/Discrimination

Media Downloads

Illegal Software

Nudity

Illegal UK

P2P/File Sharing

Incidental Nudity

Phishing

MaliciousDownloads

Pornography

MaliciousSites

PotentialUnwantedPrograms

Profanity
Bloqueo Internet Admin sin MSN
Chat

Alcohol

Anonymizers

ControversalOpinions

AnonymizingUtilities

Criminal Activities

Art/Culture/Heritage

Dating/Personals

Browser Exploits

Dating/Social Networking

Entertainment

Digital Postcards

Extreme

Games

Fashion/Beauty

Hacking/ComputerCrime

ForKids

Hate/Discrimination

Gambling

Humor/Comics

33

GamblingRelated

Illegal Software

Game/CartoonViolence

Illegal UK

Major Global Religions

Incidental Nudity

MaliciousDownloads

InstantMessaging

MaliciousSites

Internet Radio/TV

Marketing/Merchandising

Job Search

Media Downloads

Nudity

Media Sharing

Online Shopping

Messaging

P2P/File Sharing

Motor Vehicles

Software/Hardware

Personal Network Storage

Spam URLs

Phishing

Sports

Pornography

Spyware/Adware

PotentialUnwantedPrograms

Streaming Media

Profanity

Tobacco

ProvocativeAttire

Violence

Recreation/Hobbies

Weapons

Religion/Ideology

ResourceSharing

Remote Access

Sexual Materials

Social Networking

Alcohol

Anonymizers

Major Global Religions

AnonymizingUtilities

MaliciousDownloads

Art/Culture/Heritage

MaliciousSites

Browser Exploits

Marketing/Merchandising

ControversalOpinions

Media Downloads

Shareware/Freeware
Bloqueo Internet especiales
Job Search

34

Criminal Activities

Media Sharing

Dating/Personals

Motor Vehicles

Dating/Social Networking

Nudity

Digital Postcards

Online Shopping

Entertainment

P2P/File Sharing

Extreme

Phishing

Fashion/Beauty

Pornography

ForKids

PotentialUnwantedPrograms

Gambling

Profanity

GamblingRelated

ProvocativeAttire

Game/CartoonViolence

Recreation/Hobbies

Games

Religion/Ideology

Hacking/ComputerCrime

Remote Access

Hate/Discrimination

ResourceSharing

Humor/Comics

Sexual Materials

Illegal Software

Shareware/Freeware

Illegal UK

Social Networking

Incidental Nudity

Software/Hardware

Tobacco

Spam URLs

Violence

Spyware/Adware

Weapons

Alcohol

Streaming Media
Bloqueo sin restricciones
Phishing

Anonymizers

Pornography

AnonymizingUtilities

PotentialUnwantedPrograms

Browser Exploits

Profanity

Criminal Activities

Sexual Materials

35

Drugs

Shareware/Freeware

Gruesome Content

Social Networking

Hacking/ComputerCrime

Software/Hardware

Hate/Discrimination

Spam URLs

Illegal Software

Spyware/Adware

Illegal UK

Tobacco

Incidental Nudity

Violence

MaliciousDownloads

Weapons

MaliciousSites

Nudity

P2P/File Sharing

Media Downloads
Fuente: El autor

4. Se define que para la conexin externa por VPN, se va a utilizar el protocolo

SSL que proporciona autenticacin y privacidad de la informacin entre extremos
sobre

Internet

mediante

el

uso

de

criptografa.

Ingresando

al

link

https://xxx.xxx.xxx.xxx:11000/. Y autenticndose con el usuario del dominio, se

podr descargar el agente de VPN.

36

Figura 11 Logeo

Fuente: El autor

Se descarga el siguiente ejecutable:

37

Figura 12 Descarga paquete Instalacin

Fuente: El autor

Se ejecuta wizard, se aceptan los trminos y se instala.

38

Figura 13 Instalacin Wizard

Fuente: El autor

39

Una vez termine la instalacin aparece el icono de un semforo. Por ltimo se da

clic derecho del mouse sobre el semforo y conectar. Se autentica con el usuario
de dominio sin importar de qu sucursal sea.

Figura 14 Conexin a SSL VPN

Fuente: El autor.

Una vez este autenticado el semforo pasara de color rojo a color verde.

Estas pruebas se realizaron con los dos operadores de internet, y se verifico que
todos

los

recursos

de

la

red

Clnica

Communicator, Exchange, File Server, etc.).

40

Medilaser

funcionaran

(Intranet,

Se determina que para los consultorios externos se dejara una VPN exclusiva para
ndigo Crystal (aplicativo de Historias Clnicas).

Configurar VPN para MovilesAndroid: se deber descargar dos aplicativos, el

openvpnfor Android se puede descargar desde la plataforma y el Firefox.

Seguidamente se ingresa desde Firefox a la ruta Ingresando al link

https://xxx.xxx.xxx.xxx:11000/ Y autenticndose con el usuario del dominio para
iniciar sesin.

Figura 15 Iniciar sesin

Fuente: El autor

Se da clic en el botn instalar para descargar el archivo de configuracin.

41

Figura 16 Descargar archivo de configuracin

Fuente: El autor

En el celular abrir el OpenVPN para Android y se da clic en la carpeta, se busca en

downloads se busca y se importa el archivo de configuracin, por ltimo se
establece la conexin.

Se han realizado dos test.

El primer test, se encontraron fallas en la navegacin ya que haban varios PCs
que no haban sido actualizados en el sistema operativo.
Por solicitud del Ingeniero Encargado del Proceso, se bloquea el acceso a las
descargas de actualizaciones de Windows.
42

Tambin se detectaron equipos infectados por malware, troyanos. Se procede a

sacar el listado de esos equipos que generan problemas de red, a la desinfeccin,
ejecutando herramientas que sugiri el proveedor.

Figura 17 Primer test de deteccin

Fuente: El autor

El segundo test, se han encontrado paginas bloqueadas, y se han agregado estas

a la lista blanca.
Tambin se deshabilita la categora sin categora, ya que los hosting en el
momento de publicar un sitio no lo asocian a alguna categora.
Aproximadamente ya hay ms de 50 equipos que estn saliendo por el UTM,
seguirn sacando del proxy por partes.

A la fecha se ha realizado monitoreo sobre el consumo del canal de internet.

43

Figura 18 Segundo test de deteccin

Fuente: El autor

44

Algunos Reportes generados por el UTM

Figura 19 Reporte por consumo de trfico

Fuente: El autor

Figura 20 Resporte ms consumo en youtube

Fuente: El autor

45

6.2 CRONOGRAMA

Las Figuras 21 y 22 contienen el cronograma de trabajo para el desarrollo del

proyecto, en ellas se describen las actividades a realizar y el tiempo que se
dedica a la ejecucin de cada una.

Figura 21 Actividades

Fuente: El autor

Figura 22 Lnea de tiempo

Fuente: El autor

46

6.3 PRESUPUESTO

Tabla 2 Presupuesto
PRESUPUESTO

Tipo

No.
tem
1

Talento
Humano

Recursos
Tcnicos

Descripcin

Unidad Cantidad Valor Unitario

Valor Total

50

$40.000,00

$2.000.000,00

120

$50.000,00

$6.000.000,00

Horas

120

$30.000,00

$3.600.000,00

Despliegue de pruebas

Horas

100

$10.000,00

$1.000.000,00

Capacitacin y sensibilizacin

Horas

50

$40.000,00

$2.000.000,00

Dispositivo Sophos UTM 425

Unidad

$10.532.000,0

$10.532.000,0

Computador (Intel Core i7, 2.8GHZ,

4 GB RAM, DD 500 GB)

Unidad

$1.600.000,00

$1.600.000,00

Total Gastos

$26.732.000,00

Anlisis de solucin de firewall

Instalacin, configuracin y
despliegue dispositivo UTM

Horas

Soporte y acompaamiento

Horas

Fuente: El autor

47

7. CONCLUSIONES

Se cumpli con el objetivo del trabajo el cual era implementar un dispositivo

integrado de seguridad UTM, dicha implementacin permite la administracin de la
red de manera sencilla y segura.

La investigacin realizada en el marco terico junto al desarrollo explicado en

ingeniera dio como resultado un dispositivo UTM funcional y verificado. Esta
implementacin fue realizada llevando a cabo la metodologa de instalacin de
Sophos y configurando el dispositivo en base a los requerimientos y polticas de
uso de internet de la Clnica Medilaser S.A.

El dispositivo realiza la administracin de la red de forma sencilla y segura, por lo

que facilita la labor del administrador de la red y el analista de seguridad debido a
que todos los eventos son configurables y pueden ser registrados en logs para su
48

posterior anlisis. Los diferentes servicios de seguridad del dispositivo poseen una
baja cohesin, por lo cual la falla de alguno de los servicios no implica
necesariamente la cada completa del sistema. Los reportes del dispositivo
pueden ser consultados y generados en cualquier momento, as como la
posibilidad de obtener informacin de lo que pasa en la red en tiempo real. Esto
permite un anlisis de la condicin de la red de manera sencilla y rpida.

BIBLIOGRAFA

49