Appliances de gestin y seguridad de red

La seguridad de red se enfoca en cada una de las polticas y procedimientos que

adopta una organizacin para prevenir y controlar, cada uno de los accesos de la
red, el uso ilegal o edicin del sistema. Para mantener la seguridad en la red es
necesaria una administracin de red que proporciona las autorizaciones a las
personas que le permitirn por medio de usuarios y contraseas acceder a
informacin o a ejecucin de software o aplicaciones del sistema.
Los appliances de gestin y seguridad de red se caracterizan por ser dispositivos
de hardware que se encargan de realizar determinadas funciones, normalmente
se instalan en los rack que funcionan con software diseados para su ejecucin,
los cuales no solo estn diseados para tareas de seguridad de red, tambin son
utilizados en diferentes funciones (copias de respaldo o seguridad, bsqueda de
informacin, servidos de correo entere otros.)
En resumen un dispositivo de cortafuegos es una composicin de un sistema
operativo y un software que tiene como finalidad ejecutar un sistema de firewall
en un hardware dedicado o mquina virtual.
Algunas de las funciones que nos aportan los appliances de seguridad de red son:

Detecta y realiza el bloqueo de SPAM.

Detecta y elimina virus y malware.

Realiza identificacin de sitios web con contenido malicioso.

Realiza filtros de navegacin en la web.

Firewall.

Gestin de VPN (Virtual Network Protocol)

Configura Proteccin del sistema contra intrusiones.

Existen diferentes tipos de appliances para gestin y seguridad de red,
estos se diferencian en su costo, tipo de licencia y sistema operativo en
el cual se ejecuta. Algunos de ellos lo podemos observar en la siguiente
tabla:

Para realizar un anlisis tcnico del appliances para gestin y seguridad

de red, adecuado para los sistemas operativos Windows y Linux, se
realizara la siguiente comparacin entre el firewall Cisco ASA y el
pfSense

Cisco Adaptive Security Appliance (ASA)

El firewall Cisco ASA se puede definir como un cortafuegos totalmente
hardware que tiene un sistema operativo denominado Finesse que se
asemeja a un router. Se basa en un algoritmo de proteccin denominado
Adaptive Security Algorithm (ASA); tiene como polticas principales las
siguientes:

Los paquetes no pueden atravesar el cortafuegos si no poseen

conexin y estado.
Las conexiones con seguridad de alto nivel

permitidas, si no estn prohibidas en los registros de accesos.

Las conexiones con interfaz o red de seguridad menor o de bajo

nivel (inbound) no se permiten, si no estn aprobados en los

registros de accesos.
No se permite el trfico de paquetes ICMP a no ser que se

apruebe su trfico claramente en los registros de accesos.

Cualquier tentativa de infraccin de las especificaciones de

(outbound) son

seguridad anteriores es denegado y notificado por medio de una

alerta. (syslog)

Funcionalidades del Cisco ASA

PFSENSE

El pfSense se define como un firewall que trabaja por medio de un

router de distribucin de software que se basa en el sistema operativo
FreeBSD, tiene la capacidad de instalarse en un servidor o en una
mquina virtual para ejecutar un cortafuego para una red. Tiene la
posibilidad de ofrecer caractersticas de seguridad que se equiparan a
las de firewall con costos elevados.
El pfSense se puede implantar como un servidor de gestin y seguridad
perimetral tiene la capacidad de instalar paquetes de seguridad de otras
casas matrices como Snort (sniffer de paquetes y deteccin de intrusos
de red para Windows o Linux) por medio del administrador de paquetes
de seguridad.

Comparacin de Appliances de gestin y seguridad de red

tem

Cisco Adaptive Security Appliance

(ASA) series 5005

Sistema operativo

PFSENSE
SG-4860

Cisco Adaptive Security Appliance

FreeBSD / NanoBSD aparato basado

(ASA)

en distribucin de cortafuegos

1. Recursos necesarios para la

4 equipos divididos en 2

Un 1pfSense SG-4860 Sistema

instalacin.

cortafuegos y dos swiches:

12 VDC Fuente de alimentacin con

cable de alimentacin de Estados

1 PIX 515 (cortafuego de Unidos Tipo B

backup empresa)

ASA5005

mSATA unidad de estado slido (SSD)

(cortafuego Kit inalmbrico que incluye Wi-Fi

principal.)
-

Swiches

adaptador, coletas, y antenas.

3550-

Cable mini USB para conectar a la

24p(Switch

principal

consola serie Cable Ethernet para

para

sistema

conectar con el mdem y el ordenador

el

Perimetral).
-

Programa de emulacin de terminal

1 Swiches 3550-24p
(switch
para

de
el

Backus
sistema

Perimetral)

2. Ventajas y desventajas

Ventajas:
-

PfSense se encuentra estructurado en

Diseo

del

dispositivo

el sistema operativo FreeBSD, tipo

modular para ofrecer: anti-

Unix, totalmente compatible con UNIX

spam, IPS, antiphishing,

y compatibles.

anti-virus, y filtrage de
URLs.

Permite interactuar con paquetes

Funcionalidades:

desarrollados por empresas externas

Soporta

Secure

Sockets

Layer (SSL) VPN.

-

Seguridad

en

PfSense.
las

comunicaciones unificadas

Desventajas:

avanzadas (video/Audio).

El sistema no cuenta con buena

Desventajas:
-

pero diseados especficamente para

documentacin abierta al pblico.

Uno de los problemas de

los cortafuegos es que
slo detienen el trfico
destinado a los puertos o
trasladado mediante un
protocolo

especfico

previamente configurado.
3.

Forma

procesos

de

administrar

los

El cortafuego permite realizar una

Administra cada uno de los procesos

regulacin del trfico que existe

y memoria por medio de una interfaz

entre el proveedor externo y la red

web la cual permite configurar cada

interna de la empresa, protegiendo

uno de los dispositivos de conexin,

la red de posibles intrusiones.

configuracin

de

protocolos

de

seguridad de entrada y salida web.

El switch permite la conexin entre

Tambin permite por medio de

los Cortafuegos.

mensajes indicar cada uno de los

problemas
El PIX de la empresa, filtra el trfico

que

existan

con

la

seguridad del sitio web.

que proviene de de cualquier

interfaces y traduce las Direcciones
IP de la red local.
4. Forma de administrar la memoria

El cortafuego puede administrarse

Administra cada uno de los procesos

por medio de cualquier equipo de la

y memoria por medio de una interfaz

red de la empresa de utilizando los

web la cual permite configurar cada

protocolos configurados previamente

uno de los dispositivos de conexin,

( telnet, SSH o HTTP).

configuracin

de

protocolos

de

seguridad de entrada y salida web.

Los tres modelos de equipos Cisco

Tambin permite por medio de

que intervienen en el proyecto (ASA,

mensajes indicar cada uno de los

PIX y switch 3550) contiene dos

problemas

tipos de configuraciones: la running-

seguridad del sitio web.

configuration

la

que

existan

con

la

startup-

configuration.
5.

Forma

de

administrar

los

dispositivos de entrada y salida.

Los dispositivos fsicos de entrada y

PfSense necesita un programa de

salidad

emulacin de terminal serie para

del

cortafuego

administrarse

por

puede

medio

de

lograr

conexin a la consola del

cualquier equipo de la red de la

dispositivo pfSense a travs de la

empresa de utilizando los protocolos

interfaz serie. Microsoft Windows no

configurados previamente (telnet,

longer includes HyperTerminal in

SSH o HTTP).

Versions 7 and up.

6. Forma de administrar archivos y

A travs de Cisco Adaptive Security

Se administra por medio de la

directorios

Device

interfaz web. Su ip de ingreso

Manager (ASDM).

es https://192.168.1.1
7. Proteccin y seguridad

El

sistema

encuentra

de

seguridad

basado

en

se

Permite configurar una RRD en

dos

tiempo real para monitorear los

cortafuegos, lo que permite controlar

procesos que se llevan a cabo.

el trfico a nivel de red, permitiendo

Permite la utilizacin de

solo el trfico especificado en los

conexiones a Internet, para equilibrar

protocolos y denegando el resto.

la carga y ejecutar la recuperacin de

mltiples

fallos.
Se

utiliza

un

sistema

de

Tiene un portal cautivo par permitor

traducciones de direcciones IP. Lo

forzar la autenticacin atrabes de la

que permite

pagina de red

asegurarnos una

confidencialidad de las direcciones

IP locales en la empresa.
8. Administracin de redes

El Cisco Adaptive Security Appliance

Se administra por medio de la interfaz

(ASA) series 5500 protege la

web.

infraestructura y los servidores

El ingreso a la interfaz web es por

fundamentales de la empresa contra

medio de la siguiente direccion

los gusanos,

https://192.168.1.1

amenazas

hackers y otras

mediante

servicios

combinados de firewall, seguridad

de aplicaciones y prevencin de
intrusiones

http://www.cisco.com/c/en/us/products/security/asa-firepower-services/modelscomparison.html

https://www.pfsense.org/products/product-family.html
https://en.wikipedia.org/wiki/Comparison_of_firewalls
Jos M. Cestero, Pymes y Autnomos, 25 Septiembre 2008
http://www.pymesyautonomos.com/tecnologia/appliances-de-seguridad-para-laproteccion-perimetral-de-la-red-empresarial;