• Author / Uploaded
• alfiljass

• Categories
• Cortafuegos (informática)
• Distribución de Linux
• Red de computadoras
• Software
• Internet

Citation preview

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.1 ANÁLISIS DE LA RED ACTUAL. Las redes inalámbricas constituyen hoy en día uno de las tecnologías con mayor crecimiento tecnológico, ya que ha llegado a tener como características principales una movilidad y una conexión más sencilla, además permite la fácil ampliación de una red. Es decir, que podemos estar en movimiento sin perder la conectividad con Internet. Esto es algo que actualmente está tomando gran importancia ya que con la evolución de las tecnologías el uso de Internet se ha multiplicado y poder disponer de él en cualquier parte sin cables lo que es muy interesante. El análisis tiene como finalidad conocer el funcionamiento de la red inalámbrica de la universidad tecnológica de la región norte de guerrero, con ello identificar los problemas potenciales que se tienen, como en su seguridad y en su funcionamiento. Actualmente en la universidad se cuenta con una topología similar a la figura 4.1 en la cual se muestra a detalle cómo está constituida la red de toda la universidad.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Fig.4.1 diseño actual de la red inalámbrica.

Aquí el problema es que en la PC llamado control, como se ilustra en la figura 4.2 se tiene los segmentos en máquinas virtuales. Estos segmentos son para los diferentes tipos de usuarios en la red de la universidad. -

Segmento para la red inalámbrica

-

Segmento para los laboratorios

-

Segmento para los administrativos

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Fig.4.2 Control

Cuando uno de los segmentos no funciona correctamente, se ven en la necesidad de reiniciar el equipo y con esto toda la red deja de funcionar, debido a que en la misma PC se tienen los otros segmentos. En cuanto a la red inalámbrica se tienen los problemas de conexión, mala administración y conexiones inseguras el cual deriva de una amenaza para la seguridad de la red. Otra de las problemáticas de la institución es que no se cuenta con una estructura adecuada al número de usuarios conectados en la universidad, no se tiene un control a detalle de los usuarios conectados. En cuanto a la seguridad de la red no cuenta con un firewall capaz de restringir acceso a ciertas páginas que constituyen una amenaza a los datos de la red interna, ya que se manejan información que es de suma importancia para la institución. En cuanto a la estructura física el mayor problema es que no se le ha dado mantenimiento en los cables, desde que se instaló el sistema de red no se ha cambiado los cables y eso disminuye a una buena calidad en el servicio de la red.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Analizando detalle a detalle de cómo está constituido la red de la universidad se derivó a instalar un servidor que sea capaz de solventar los requisitos necesarios para tener un servicio de calidad, el servidor se enfocó a la red inalámbrica que es uno de los servicios con mayor vulnerabilidad en los ataques que pueda sufrir desde el exterior, con esto tenemos una conexión estable con mayor seguridad de que los datos que se encuentren en la red sean manejados de manera segura, otra de las ventajas que tiene el servidor es que se cuenta con una administración esto constituye un mejor control de quienes y cuantos son los que están conectados a la red.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2 COMPARATIVA DE SOLUCIONES DIGITALES EN SEGURIDAD. La estructura central de todo el diseño es el firewall, concretamente lo que se conoce como firewall de red. Un firewall es un dispositivo que actúa en la capa de red del modelo OSI. Estrictamente se trata de un dispositivo que enruta paquetes entre redes, como un Reuter. A diferencia de un Reuter, un firewall enruta paquetes en base a unas reglas definidas por el administrador. Generalmente las reglas definen el comportamiento de un firewall están basadas en características del paquete de red, como el protocolo de capa superior que contiene, direcciones IP de origen o destino, puertos TCP o UDP (lo que generalmente define el uso que define ese tráfico), etc. Además, los firewall modernos son capaces de identificar tráfico por propiedades relativas a capas superiores, como por ejemplo el sistema operativo que lo ha generado (Windows, Linux, etc.), o el tipo de aplicación que lo está usando (aplicaciones de voz sobre IP, aplicaciones de trafico P2P, streaming de audio y video, etc.). Y también permiten la aplicación de las reglas en función de un horario determinado. Así pues, es sencillo definir una regla que, por ejemplo, solo permita el tráfico de streaming de video a ciertas emisoras de televisión definidas, fuera del horario laboral. Uniendo todas las definiciones de todo tipo de propiedades del tráfico, se pueden definir las reglas muy complejas, que establezcan exactamente el tipo de comportamiento que se desea para la red. En cuanto al conjunto de reglas definidas en un firewall, se definen y se aplican a nivel de interfaz de red (hay un conjunto de reglas para cada interfaz). El firewall

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

enrutara todos los paquetes que entren en su interior, las reglas solo definirán que paquetes entran o no dentro del firewall. Las reglas se ejecutan por orden ascendente, de manera que cuando un paquete cumple todas las condiciones de la regla, se establece la acción que la regla defina (permitir o no permitir) y no se revisan las siguientes reglas. Además de las acciones definidas, los firewall también permiten registrar la acción realizada (lo que se conoce como escribir en un „log‟ o „loguear‟). Esto es muy útil para mantener registros de suceso y para identificar acciones no permitidas o estadísticas de tráfico. Existen dos políticas aplicables al funcionamiento de un firewall, aceptar por defecto y denegar por defecto. Las reglas se ejecutan secuencialmente y cuando se llega al final de las reglas, el firewall decide qué hacer con el paquete en función de la política por defecto. Generalmente, los firewall que se ponen en explotación se configuran con políticas de denegación por defecto. Se suele usar la aceptación por defecto en fases de desarrollo y optimización de las reglas, para después de estar bien definidas y verificadas (con lo que pocos paquetes usan la regla por defecto) se establece la denegación. En cuanto a la arquitectura del equipo, existen dos tipos de firewall de red: 

Firewall hardware, que son aquellos equipos diseñados especialmente para realizar funciones de enrutado y filtrado de paquetes y para establecer comunicaciones VPN. Generalmente se usan para unir sedes de grandes infraestructuras, a través de redes públicas, suelen tener un rendimiento y un coste elevados. Cisco Systems es una de las empresas más importantes que comercializan estos productos.



Firewall software, que son aquellos programas o sistemas operativos que se ejecutan en un equipo estándar, para realizar las funciones de firewall. Sus costes es muy inferior al de los firewall hardware y a su vez permiten más flexibilidad. Pero generalmente requieren de una compresibilidad

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

mayor, sobretodo en la fase de implementación. En cuanto a firewall software, existe una multitud de productos, tanto implementados con software libre, como propietario. En el desarrollo de este proyecto se instalara un firewall por software, por motivos especialmente de coste y de flexibilidad. Una vez diseñada la topología de red y teniendo presentes los objetivos a cumplir, hay que escoger que opción de software se va a utilizar. Buscando por internet, se encuentran muchas opciones que cumplen con los objetivos funcionales del proyecto, pero cuando se investigan a fondo, muchas de ellas dejan de ser opciones claras, ya bien sea por falta de funciones, o por coste. Después de una elección inicial basada en hojas de especificaciones, se han elegido 6 opciones para escoger el software final a utilizar: 1. IPCop, una distribución Linux dedicada para trabajar como firewall. 2. m0n0wall, una distribución FreeBSD dedicada, orientada a sistemas embebidos y diseñados para usar en almacenamiento tipo flash. 3. Pfsense, derivado de m0n0wall, es una distribución más compleja y actual que esta misma, orientada a sistemas abiertos (a equipos comunes) y que permite ser instalada en discos duros estándar. 4. Smoothwall, otra distribución Linux dedicada para trabajar como firewall. 5. Microsoft Internet, Security and Acceleration (ISA) server, software de Microsoft, que si bien no es software libre, la universidad tiene licencia de uso ilimitado, con lo que el coste del software es cero. 6. Ubuntu (software de enrutamiento y filtrado) y fwbuilder (interfaz de creación de reglas). A continuación se detallan las características y el análisis de cada una de las opciones a valorar. También se muestran unas capturas de pantalla de las interfaces de administración.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2.1 IPCop IPCop es una de las opciones a valorar especialmente por el hecho de que es la distribución que se estaba utilizando hasta la realización de este proyecto. Se trata de una distribución basada en RedHat Linux (por lo tanto software libre) con una interfaz gráfica por web bastante sencilla. Utiliza „iptables‟ como software de enrutado/filtrado de paquetes. Como puntos a favor tiene el hecho de que es conocida por ser la utilizada hasta ahora. Además, tiene un sistema de backup muy completo que permite desde la propia instalación una restauración completa del sistema. También es destacable la cantidad de desarrolladores que tiene detrás, programando paquetes para funciones específicas como un filtro para trafico P2P. No existe mucha documentación sobre su instalación/funcionamiento, pero la que hay es bastante buena. Como puntos en contra tiene que definir las reglas es muy complejo, ya que se debe hacer editando el fichero de reglas (no desde la interfaz web de administración) y no tiene ninguna funcionalidad de portal cautivo (para la validación de la red inalámbrica), tampoco dispone de VPN para usuarios individuales, ni opción de montar una estructura redundante.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Fig.4.3 IPCOP

}

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2.3 m0n0wall m0n0wall es un sistema operativo derivado de FreeBSD, dedicado para la implementación de firewall corporativos. Al estar basado en FreeBSD, se trata de software libre. Se trata de un sistema diseñado para “embedded PCs”, es decir, sistemas embebidos. Estos sistemas son equipos que tienen todos los componentes montados en una placa de pequeño tamaño. Se suelen utilizar para aplicaciones a medida (controladores de robots, sistemas de adquisición de datos, etc.) y con la extensión de los firewall, se utilizan estos equipos adaptados con varias tarjetas de red y de gran ancho de banda. El almacenamiento suele ser una tarjeta de memoria y las especificaciones de hardware, no son muy elevadas (para las funciones que están diseñados, tampoco se necesitas). Los sistemas embebidos para redes, suelen montar en cajas de tamaño estándar de los armarios de comunicaciones y con los conectores por la parte delantera para que tengas una integración sencilla con los equipos de comunicaciones (switches, router, etc.) Los puntos a favor de m0n0wall son una interfaz de administración web muy completa y atractiva y una gran cantidad de funcionalidades, como la creación de reglas desde la interfaz, portal cautivo y servidor de „walk-on-lan‟. Además la documentación disponible sobre m0n0wall es excelente y los foros de soporte son muy activos. En cuanto a los puntos negativos, básicamente que está orientado a una arquitectura de equipos que no son estándar. De hecho, actualmente no es sencillo en España conseguir un equipo compatible totalmente con el sistema, lo que hace que, en caso de fallar el hardware se pueden producir problemas importantes. Tampoco dispone de un sistema de redundancia activa ni la

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

posibilidad de implementar en la misma maquina un sistema de detector de intrusos.

Fig.4.4 M0N0WALL

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2.3 Pfsense Pfsense es un sistema operativo exclusivo para la implementación de firewalls. Nació como un derivado de m0nowall que se pudiera instalar fácilmente en equipos comunes, aunque actualmente deriva ya directamente de FreeBSD (utiliza pf, el gestor de enrutado y filtrado de FreeBSD). Al ser así, la tabla de compatibilidad de hardware es la misma que para FreeBSD, con lo que tiene soporte para casi cualquier equipo del mercado. Su evolución ha sido muy rápida y dispone de todas las funcionalidades de m0n0wall, además de otras. Como puntos a favor dispone de una interfaz web muy atractiva y totalmente funcional ( desde allí se puede administrar el sistema por completo) y muchas funciones entre las que destacan: CARP (sistema de redundancia activo), portal cautivo, Open VPN ( estándar abierto de conexiones VPN), wake-on-lan, implementación del protocolo de calidad de servicio (permite establecer prioridades a según qué tipo de tráfico, por ejemplo, telefonía) y es compatible con VLAN ( si las tarjetas de red los son),a nivel de interfaz. Además permite instalar paquetes creados por desarrolladores externos (pero diseñados especialmente para pfsense e integrados totalmente con su interfaz de administración) como por ejemplo, un sistema de detección de intrusos activos („snot‟, que permite bloquear de manera dinámica y temporal aquellos equipos que generan una alerta). Como puntos en contra, al ser una distribución muy joven y activa, el sistema no tiene una buena documentación. De hecho, la mayoría de las funcionalidades no están documentadas y hay que acudir a foros y a tutoriales de usuarios avanzados para tener un conocimiento amplio de la configuración.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Fig.4.5 PFSENSE

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2.4 Smoothwall Smoothwall Express es una distribución Linux, con licencia GNU, creada por la empresa Smoothwall Limited. Está especializada en firewalls y es un derivado del producto comercial de la compañía. Sus puntos fuertes son que es un sistema muy estándar y es mucho más completo que otras distribuciones Linux para firewalls (como IPCop, por ejemplo). Es totalmente administrable desde la interfaz

web, que es muy

completa. Tiene soporte de hardware bastante amplio. En cuanto a sus puntos en contra están que no tiene interfaz de portal cautivo para la red inalámbrica, ni dispone de un sistema de redundancia activa (cosa que la distribución comercial si la tiene). Además, el hecho de que sea mantenida por una empresa privada, puede provocar que pase a ser un producto de software privativo.

Fig.4.6 SMOOTHWALL

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2.5 Microsoft Internet Security and Acceleration Server Internet Security and Acceleration Server (ISA) server es un sistema de firewall orientado a redes de ordenadores implementadas con tecnología Microsoft, ya que es capaz de establecer reglas basadas en criterios de usuarios y grupos. Además, no es un sistema operativo independiente, sino que se debe instalar sobre Windows 2003 server y se integra con sus herramientas de administración. Como puntos fuertes tiene que es un sistema muy sencillo de instalar y configurar, con unas herramientas visualmente muy activas y con gran cantidad de asistentes de configuración. Además, dispone de una gran cantidad de documentación al respecto. Y el soporte para VPN, tanto „roadwarrior‟ como „site-to-site‟, es muy bueno. Se integra perfectamente con la base de datos de usuarios del dominio implementado con Windows Server. Como puntos flojos, el principal son los requisitos de sistema. El hecho de tener que ejecutarse bajo Windows 2003 server, hace que se necesiten demasiados recursos para ejecutar solo el sistema operativo (y el antivirus de rigor) y que el sistema pueda estar afectado por los peligros que Windows pueda tener (virus, vulnerabilidades, etc.). Además, tampoco dispone de todas las funcionalidades, como portal cautivo y la redundancia solo se puede efectuar con Windows 2003 Enterprise Server, que todavía tiene unos requisitos de hardware mayores. La consola de administración no es por web, con lo que se deben utilizar sistemas como Terminal server (que tiene un rendimiento muy bajo a través de redes públicas de datos) para poder administrarlo remotamente. Por último, la posibilidad de realizar un backup íntegro del sistema para restaurarlo en caso de necesidad, es muy compleja.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Fig.4.7 Microsoft Internet Security and Acceleration Server

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

4.2.6 Ubuntu Linux La última opción evaluada ha sido Ubuntu Linux en su versión Server. Ubuntu Server se trata de una distribución Linux orientada a servidores, especialmente de correo electrónico, ficheros y demás. Su instalación es sencilla. Pero para su uso como firewall, se debe realizar una configuración “a mano”, nada sencilla y en la que se deben combinar varios programas que hagan las funciones. Como puntos fuertes está el hecho que al ser una distribución abierta, se puede implementar todos los objetivos a cumplir, eso sí, de manera compleja. Además, se podría usar el servidor para otros objetivos si fuera necesario Como puntos negativos está el hecho de que la implementación y la administración ya no son centralizadas, ni sencillas (dependen de diversos componentes, que cada uno se administra de una manera. El sistema de recuperación de errores, tampoco es trivial.

UNIVERSIDAD TECNOLÓGICA DE LA REGIÓN NORTE DE GUERRERO

Fig.4.7 UBUNTU LINUX

Una vez se han evaluado los sistemas hay que tomar una decisión del sistema a implementar. Como las pruebas no se han realizado en un entorno real con una carga de trabajo ni una configuración real, se realizara una preselección del sistema en función de los criterios hasta ahora conocidos. Habiendo visto las especificaciones, realmente el sistema más adecuado es PFSENSE. Dispone de la posibilidad de implementar todos los objetivos, siendo un software totalmente libre y preparado para sistemas abiertos. Revisado sus requisitos hardware, se puede comprobar que, al heredar la compatibilidad de FreeBSD, casi cualquier sistema será soportado. Además, se ha investigado a través de otros usuarios del foro de pfsense la infraestructura montada y no es de prever que el sistema no tenga el rendimiento esperado. Así pues, teniendo en cuenta todo esto, el siguiente paso es seleccionar hardware para su instalación y configuración.