UNIVERSIDAD NACIONAL DE INGENIERÍA FACULTAD DE CIENCIAS ESCUELA PROFESIONAL DE CIENCIA DE LA COMPUTACIÓN PROYECTO Impl
Views 43 Downloads 0 File size 1MB
UNIVERSIDAD NACIONAL DE INGENIERÍA FACULTAD DE CIENCIAS ESCUELA PROFESIONAL DE CIENCIA DE LA COMPUTACIÓN
PROYECTO
Implementación de Seguridad Perimetral mediante un Servidor Proxy SQUID con Sistema Operativo Linux
PRESENTADO POR: Cristopher Sebastián García Pacheco Diego Andrade Carril Ximena Katheryn Peralta Haro
SISTEMAS OPERATIVOS LIMA – PERÚ 2019
Contenido 1.
DESCRIPCIÓN DEL PROYECTO..................................................................................1 1.1.
Nombre del Proyecto..............................................................................................1
1.2.
Ámbito del Proyecto...............................................................................................1
1.3.
Escenario inicial......................................................................................................1
1.4.
Requerimientos del diseño...................................................................................1
1.5.
Sistema de seguridad perimetral implantado...................................................1
1.6.
Diseño........................................................................................................................1
1.7.
Planteamiento del problema.................................................................................2
1.7.1.
Antecedentes....................................................................................................2
1.7.2.
Realidad problemática....................................................................................3
1.8.
Objetivos....................................................................................................................4
1.8.1.
Objetivo general...............................................................................................4
1.8.2.
Objetivos específicos.....................................................................................4
1.9.
Justificación.............................................................................................................4
1.9.1.
Técnica...............................................................................................................4
1.9.2.
Operativa...........................................................................................................4
1.9.3.
Económica.........................................................................................................5
1.10. 2.
Limitaciones..........................................................................................................5
MARCO TEORICO............................................................................................................5 2.1.
Definiciones Teóricas.............................................................................................5
2.1.1.
¿Qué es un Servidor proxy?.........................................................................5
2.1.2.
Características del servidor..........................................................................6
2.1.3.
¿Qué es un squid?..........................................................................................6
2.1.4.
Beneficios..........................................................................................................6
2.1.5.
Perímetro de la red..........................................................................................7
2.1.6.
Redes privadas virtuales (VPN)....................................................................7
2.1.7.
Funcionamiento de una VPN........................................................................7
2.1.8.
Software y servicios Host Bastión..............................................................7
2.1.9.
Zonas desmilitarizadas (DMZ) y subredes controladas.........................7
2.1.10.
Antivirus.........................................................................................................7
2.1.11.
Proxy Cache Web.........................................................................................8
2.1.12.
Antivirus de navegación............................................................................8
2.1.13.
Servidores de DNS......................................................................................8
2.1.14.
Servidores RADIUS.....................................................................................8
2.1.15.
Servidor de NTP...........................................................................................9
2.1.16.
Gestor de ancho de banda........................................................................9
2.1.17.
Sistema de monitorización de equipos..................................................9
2.1.18.
Sistemas de realización de backups.......................................................9
2.1.19.
Bastionado de equipos..............................................................................9
2.2.
Cortafuegos..............................................................................................................9
2.2.1.
Definición...........................................................................................................9
2.2.2.
Cortafuegos (firewalls)...................................................................................9
2.2.3.
Sistemas de Detección de Intrusos (IDS)................................................10
2.2.4.
Cortafuegos vs IDS.......................................................................................10
2.2.5.
Configuraciones.............................................................................................11
2.2.6.
Cortafuego del proveedor externo............................................................11
2.2.7.
Modos de operación.....................................................................................11
2.2.8.
Configuración de interfaces vlan...............................................................12
2.2.9.
Configuración de interfaces físicas..........................................................12
2.2.10.
Grupos de objetos.....................................................................................12
2.2.11.
Rutas.............................................................................................................12
2.2.12.
Traducción de direcciones IP.................................................................12
2.2.13.
Acceso remoto...........................................................................................13
2.3.
Sistemas Operativos.............................................................................................13
2.3.1.
Linux.................................................................................................................13
2.3.2.
Ventajas de uso..............................................................................................14
2.3.3.
Desventajas.....................................................................................................14
2.4.
Intranet y Extranet.................................................................................................15
2.4.1.
Red....................................................................................................................15
2.4.2.
Internet.............................................................................................................15
2.4.3.
Intranet.............................................................................................................16
2.4.4.
Extranet............................................................................................................16
2.5.
Infraestructura de la Tecnología de Información y Seguridad...................17
2.5.1.
Políticas y Procedimientos de Seguridad................................................17
2.5.2.
Seguridad física y del entorno....................................................................17
2.5.3.
Seguridad perimetral....................................................................................17
2.5.4.
Seguridad de red propiamente dicha........................................................17
2.5.5.
Seguridad de equipos...................................................................................18
2.5.6.
Seguridad de aplicaciones..........................................................................18
2.5.7.
Seguridad de datos.......................................................................................18
2.6.
2.6.1.
Seguridad física.............................................................................................18
2.6.2.
Seguridad lógica............................................................................................18
2.7.
Propiedades de la Seguridad Informática.......................................................19
2.7.1.
Autenticidad....................................................................................................19
2.7.2.
Integridad.........................................................................................................19
2.7.3.
Disponibilidad.................................................................................................19
2.7.4.
Confiabilidad...................................................................................................19
2.8.
Vulnerabilidad en Intranet y/o Extranet............................................................19
2.8.1.
Tipos de vulnerabilidades...........................................................................19
2.8.2.
Amenazas........................................................................................................19
2.8.3.
Ataques............................................................................................................20
2.8.4.
Intrusos............................................................................................................20
2.9.
3.
Tipo de Seguridad.................................................................................................18
Metodología para el Diseño de Seguridad en Redes Int-Extranet.............21
2.9.1.
Análisis de riesgo..........................................................................................21
2.9.2.
Diseño de seguridad.....................................................................................21
2.9.3.
Manual de políticas.......................................................................................21
IMPLEMETACION..........................................................................................................23 3.1.
Normas, Políticas y Procedimientos de Seguridad.......................................23
3.1.1.
Normas Internaciones de seguridad informática...................................23
3.1.2.
Normas Nacionales de seguridad informática.......................................23
3.1.3.
Procedimientos de la institución de seguridad informática...............23
3.2.
Seguridad física y del entorno...........................................................................23
3.2.1.
Perímetro físico..............................................................................................23
3.2.2.
Seguridad de la infraestructura..................................................................23
3.2.3.
Planos de ubicación y distribución de equipos.....................................23
3.2.4.
Refrigeración del ambiente.........................................................................23
3.3.
Seguridad perimetral............................................................................................23
3.3.1.
Diseño de seguridad perimetral.................................................................23
3.3.2.
Instalación de sistemas operativos...........................................................23
3.3.3. 3.4.
Ubicación y protección de los equipos....................................................23
3.4.2.
Suministro de energía..................................................................................23
3.4.3.
Suministro del cableado..............................................................................23
3.4.4.
Mantenimiento de equipos..........................................................................23
3.4.5.
Proteger de vulnerabilidades de seguridad............................................23
3.4.6.
Acceso restringido a la red.........................................................................24 Distribución adecuada de equipos............................................................24
3.5.2.
Pozo de tierra..................................................................................................24
3.5.3.
Instalaciones y configuración adecuada.................................................24
Seguridad de aplicaciones..................................................................................24
3.6.1.
Uso restringido de aplicativos....................................................................24
3.6.2.
Navegación web restringida.......................................................................24
3.7.
6.
Seguridad de equipos..........................................................................................24
3.5.1.
3.6.
5.
Seguridad de red propiamente dicha...............................................................23
3.4.1.
3.5.
4.
Configuración de servidor proxy...............................................................23
Seguridad de datos...............................................................................................24
3.7.1.
Sistema de backup........................................................................................24
3.7.2.
Acceso restringido a la información.........................................................24
PRUEBAS........................................................................................................................24 4.1.
Prueba funcionalidad............................................................................................24
4.2.
Prueba de Usabilidad............................................................................................24
4.3.
Prueba de Performance.......................................................................................24
4.4.
Prueba de Seguridad y Controles.....................................................................24
CONCLUSION Y RECOMENDACIONES...................................................................24 5.1.
Conclusión..............................................................................................................24
5.2.
Recomendaciones.................................................................................................24
BIBLIOGRAFIA...............................................................................................................24
1
1 1.1
DESCRIPCIÓN DEL PROYECTO Nombre del Proyecto Implementación de Seguridad Perimetral mediante un Servidor Proxy SQUID con Sistema Operativo Linux.
1.2
Ámbito del Proyecto
1.3
Escenario inicial Institución que requiere un servidor proxy debido a la falta de seguridad en su red de estudio.
1.4
Requerimientos del diseño La institución requiere una forma de control para el acceso de los estudiantes a internet, y a la vez reducir su carga administrativa distribuyendo correctamente los roles.
1.5
Sistema de seguridad perimetral implantado Servidor proxy SQUID con sistema operativo Linux CentOS.
1.6
Diseño El sistema consistirá de:
Un Router general, que será de donde se obtenga la conexión a internet.
Un pc que hará de servidor, donde se realizarán las configuraciones del servidor proxy, la instalación de SQUID
Un Switch, que tendrá como conexión principal nuestro servidor proxy, y que conectará a todos los pc de la red interna con nuestro servidor.
2
1.7
Planteamiento del problema
1.7.1
Antecedentes
1.7.1.1 Nacionales 1. DISEÑO DE UNA ARQUITECTURA DE SEGURIDAD PERIMETRAL DE UNA RED DE COMPUTADORES PARA UNA EMPRESA PEQUEÑA. Autor: Valenzuela Gonzales, Jorge Luis. Año: 2012. Lugar: Pontificia Universidad Católica del Perú. Tipo: Tesis. Resumen: En el trabajo realizado se presenta una solución de Seguridad Perimetral que cubre los requerimientos de una red de computadores de una empresa pequeña. Se muestra además una simulación del diseño propuesto en un ambiente de pruebas controlado. 1.7.1.2 Internacionales 1. DISEÑO E IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD PERIMETRAL EN UNA EMPRESA DE AUTOMOCIÓN. Autor: Goma Artigas, Oriol. Año: 2010. Lugar: España. Tipo: Tesis para Ingeniería Técnica de Telecomunicaciones. Resumen: El proyecto consistió en implantar un sistema de seguridad que permita a un PC (Personal Computer) de la empresa subcontratada acceder a los ficheros que se encuentran en los servidores internos de la empresa de automoción. Para ello, se especificó una zona perimetral en la que se permita a un PC externo realizar peticiones de FTP (File Transfer Protocol) e ICMP (Internet Control Message Protocol) a los servidores internos dónde se encuentran los recursos, denegando cualquier otra petición de acceso de la empresa externa.
3
2. IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD PERIMETRAL Autor: Fabuel Díaz, Carlos Manuel. Año: 2013. Lugar: España Tipo: Proyecto de fin de Carrera. Resumen: Este proyecto está desarrollado sobre la seguridad de redes, y más concretamente en la seguridad perimetral. Para mostrar esto se hará una definición teórico-práctica de un sistema de seguridad perimetral. Para ello se ha desglosado el contenido en dos partes fundamentales, la primera incide en la base teórica relativa a la seguridad perimetral y los elementos más importantes que intervienen en ella, y la segunda parte, que es la implantación de un sistema de seguridad perimetral habitual en un entorno empresarial. 1.7.2
Realidad problemática
1.7.2.1 Diagnostico
La inexistencia de un sistema de seguridad perimetral puede llevar a la perdida de información sensible de la institución tanto interna como externamente.
Sin un servidor proxy que regule el acceso a internet, los tiempos de ocio tanto de la parte administrativa como del alumnado, serán mayores a los tiempos de productividad. 1.7.2.2 Pronostico
De seguir sin poseer un sistema de seguridad perimetral y una forma de distribuir las actividades de la parte administrativa, la institución seguirá generando pérdidas, debido al tiempo donde no se está parte del personal no se encuentra trabajando.
Sin un cableado adecuado, ni un servidor proxy, que regule la conexión a internet, la red se volverá bastante lenta y volátil, sin mencionar el hecho de que los alumnos seguirán teniendo acceso a páginas no educativas.
4
1.7.2.3 Control del pronostico
Implementación del sistema operativo de seguridad perimetral, basado en servidor proxy con plataforma Linux.
1.8
Objetivos
1.8.1
Objetivo general Diseñar e implementar un sistema de Seguridad Perimetral, y establecer una correcta red interna haciendo uso un servidor proxy SQUID, en un equipo con sistema operativo Linux, para la institución educativa “Enrique Pestalozzi”.
1.8.2
Objetivos específicos 1. Recopilar datos de la institución para poder obtener una visión más amplia del problema y realizar un análisis adecuado. 2. Instalación y configuración del sistema Linux (CentOS 7.3-1611) en la institución para viabilizar el desarrollo de la red de seguridad perimetral. 3. Configurar el equipo que hará de servidor e instalar el proxy SQUID, y adecuarlo a los requerimientos establecidos. 4. Probar e implementar el servidor una vez configurado.
1.9
Justificación
1.9.1
Técnica
Se usará un sistema operativo Linux para la maquina servidor, esto es debido a un SO Linux es de uso libre, lo que evitará problemas legales al hacer uso de las licencias.
El software SQUID provee una configuración sencilla de editar lo que reducirá el tiempo de implementación del proyecto.
1.9.2
Operativa
Como se mencionó en apartados anteriores, el reducir el tiempo de ocio, mejorará la productividad del área administrativa.
El tener un servidor proxy que regula la conexión a internet, no solo mejorará la latencia en la red, sino que permitirá mantener a los alumnos concentrados en sus estudios.
5
1.9.3
Económica
Se reducirán los tiempos de ocio, lo que reducirá costos en la institución, al pagar a los trabajadores por tiempos muertos.
Al establecerse todo un sistema de cableado y aumentar la seguridad interna, la institución puede utilizarlo como un plus para capturar nuevos ingresantes, lo que conlleva a un aumento en las ganancias o a una reducción en las pérdidas.
1.10
Limitaciones
Debido a que somos alumnos, el tiempo es algo con lo que no disponemos, por lo tanto, el proyecto no avanzará de manera rápida.
La institución no cuenta con un fondo amplio para conseguir todos los equipos requeridos por ello debemos adecuarnos a lo que la institución ya presenta y usarlo a la medida de lo posible.
2
MARCO TEORICO
2.1
Definiciones Teóricas
2.1.1
¿Qué es un Servidor proxy? Un servidor proxy es básicamente un dispositivo que realiza la función de enlace o intermediario entre un usuario final y un servidor externo. Es decir, un servidor proxy es aquella máquina, física o virtual, que se encarga de enviar la información a la que estamos tratando de acceder con, por ejemplo, nuestro navegador usual, a Internet.
6
2.1.2
Características del servidor Permite filtrar sitios web que son considerados de carácter malicioso para la entidad que lo esté empleando. Nos proporciona un
caché
para
recurrentemente.
Se
poder puede
almacenar configurar
páginas para
visitadas solicitar
la
autenticación de usuarios. Evita el mal gastamiento de los recursos computacionales. 2.1.3
¿Qué es un squid? Es un programa de software libre que implementa un servidor proxy y un dominio para caché de páginas web, publicado bajo licencia GPL. Tiene una amplia variedad de utilidades, desde acelerar un servidor web, guardando en caché peticiones repetidas a DNS (Servidor de nombre de dominio) y otras búsquedas para un grupo de gente que comparte recursos de la red, hasta caché de Web, además de añadir seguridad filtrando el tráfico.
2.1.4
Beneficios
Control: Solamente el intermediario hace el trabajo real, por tanto, se pueden limitar y restringir los derechos de los usuarios, y dar permisos únicamente al servidor proxy.
Ahorro: Solamente uno de los usuarios (el proxy) ha de estar preparado para hacer el trabajo real. Con estar preparado significa que es el único que necesita los recursos necesarios para hacer esa funcionalidad. Ejemplos de recursos necesarios para hacer la función pueden ser la capacidad y lógica de la dirección de red externa (IP).
Velocidad: Si varios clientes van a pedir el mismo recurso, el proxy puede hacer caché: guardar la respuesta de una petición para darla directamente cuando otro usuario la pida. Así no tiene que volver a contactar con el destino, y acaba más rápido.
Filtrado: El proxy puede negarse a responder algunas peticiones si detecta que están prohibidas.
Modificación: Como intermediario que es, un proxy puede falsificar información, o modificarla siguiendo un algoritmo.
7
2.1.5
Perímetro de la red Se conoce como perímetro de la red a la "frontera" entre el exterior y las computadoras y servidores internas. Este se forma por los equipos que brindan conexión a Internet a las computadoras de la red, así como aquellos que las protegen de accesos externos. Equipos como los gateways, proxys y firewalls forman parte de este perímetro.
2.1.6
Redes privadas virtuales (VPN) Una VPN es una tecnología de red que permite conectar una o más computadoras a una red privada, como la de una casa u oficina, utilizando internet de forma segura y remota.
2.1.7
Funcionamiento de una VPN Al conectarnos a internet a través de un servidor VPN lo haremos utilizando un "túnel", este término indica que todos los datos que solicitemos y/o suministremos siempre permanecerán encriptados, y cuando esos datos llegan al servidor VPN serán desencriptados y seguirán su curso habitual.
2.1.8
Software y servicios Host Bastión Se llama host bastión (también se denominan gates) al sistema que actúa como intermediario. Es el punto de contacto de los usuarios de la red interna de una organización con otro tipo de redes. El host bastión filtra tráfico de entrada y salida, y también esconde la configuración de la red hacia fuera. Esta máquina debe estar especialmente asegurada, pero en principio es vulnerable a ataques por estar abierta a Internet.
2.1.9
Zonas desmilitarizadas (DMZ) y subredes controladas. Una zona desmilitarizada (demilitarized zone, DZM) hace referencia a una red de ordenadores con un rango de direcciones IP privadas que sirve como franja de seguridad entre dos redes, separándolas mediante estrictas reglas de acceso.
2.1.10 Antivirus El antivirus es un programa que ayuda a proteger su computadora contra la mayoría de los virus, worms, troyanos y otros invasores
8
indeseados que puedan infectar su ordenador. Entre los principales daños que pueden causar estos programas están: la pérdida de rendimiento del microprocesador, borrado de archivos, alteración de datos, información confidencial expuestas a personas no autorizadas y la desinstalación del sistema operativo. 2.1.11 Proxy Cache Web Un servidor proxy-caché es el ordenador que nos proporcionará las páginas de Internet en vez de ir directamente al origen del documento (si hemos configurado nuestro navegador para utilizarlo), lo que acelerará el suministro de información a través de WWW.Cuando un usuario, que tiene configurado su ordenador para hacer uso del proxycaché, solicita una página web el navegador irá, en un principio, al proxy-caché y este mirará en su base de datos si tiene dicha página; en caso afirmativo la envía directamente al usuario. Si no la tiene buscará en la jerarquía de proxis a la que pertenece y si la encuentra allí, la recupera y se la envía al usuario. 2.1.12 Antivirus de navegación Este tipo de antivirus no está instalado en el equipo, sino que realiza los análisis desde Internet. Por ello, no funciona como un medio de protección para la computadora, sino que se emplea tan sólo para saber si existe algún virus en esta última. Son, además, pasivos porque no poseen un funcionamiento permanente. 2.1.13 Servidores de DNS El Sistema de Nombres de Dominio o DNS es un sistema de nomenclatura jerárquico que se ocupa de la administración del espacio de nombres de dominio (Domain Name Space). Su labor primordial consiste en resolver las peticiones de asignación de nombres. Un servidor DNS, también conocido como servidor de nombres, consiste en un software para servidores que recurre a la base de datos de un DNS para responder a las peticiones que guardan relación con el espacio de nombres de dominio.
9
2.1.14 Servidores RADIUS Radius es un protocolo para transportar información relacionada con la autentificación y autorización, y es una configuración entre un servidor de acceso de red que quiere autenticar sus enlaces, y un servidor de autenticación compartido. 2.1.15 Servidor de NTP Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable. 2.1.16 Gestor de ancho de banda Los gestores de ancho de banda son equipos que permiten separar el tráfico de nuestra línea en diferentes caudales y regularlos para que no superen un nivel determinado o para asegurar que nuestras comunicaciones
más
importantes
siempre
tengan
un
caudal
asegurado. 2.1.17 Sistema de monitorización de equipos Consiste en la implementación de software que nos permite poder monitorear el uso de los recursos computacionales y velar por la integridad y seguridad del sistema. 2.1.18 Sistemas de realización de backups En informática, el backup o copia de seguridad (de respaldo), es la copia total o parcial de información importante como respaldo frente a eventualidades. Por tanto, un sistema de realización de backups vendría a ser un software que en un determinado periodo realiza una copia de seguridad de la información almacenada en el sistema. 2.1.19 Bastionado de equipos El Bastionado de Sistemas (hardening) tiene como objetivo la correcta implantación de políticas de seguridad, endurecimiento y delimitación clara los privilegios de usuarios, grupos, roles y configuración de servicios. Active Directory, LDAP, Fortificación de contraseñas, Firewall, DMZ, etc.
10
2.2
Cortafuegos
2.2.1
Definición Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
2.2.2
Cortafuegos (firewalls) Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar o descifrar el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software o en una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios de internet no autorizados tengan acceso a redes privadas conectadas a internet.
2.2.3
Sistemas de Detección de Intrusos (IDS) Es un programa de detección de accesos no autorizados a un computador o a una red. Un IDS suelte tener sensores virtuales con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, las anomalías que pueden ser indicio de la presencia de ataques y falsas alarmas. Los IDS suelen disponer de una base de datos de “firmas” o signs de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso moral del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Se distinguen dos tipos de IDS a. HIDS(HostIDS): el principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones. b. NIDS(NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.
11
2.2.4
Cortafuegos vs IDS Un IDS está monitoreando la red para detectar cuando un sistema está realizando una actividad sospechosa a través de examinar el tráfico de red y las llamadas al sistema. Por su parte, el firewall va a establecer cuando una conexión entre dos equipos a través de Internet no está de acuerdo con las políticas de seguridad establecidas para ese entorno de red. De esta manera, con un firewall vamos a poder detectar que de forma externa algún atacante está tratando de realizar acciones maliciosas, y será posible evitarlo.
2.2.5
Configuraciones De la misma forma que un firewall o cortafuegos en un edificio previene que el fuego se extienda, un cortafuegos en el computador ayuda a evitar que los virus se esparzan por su ordenador y evita que los usuarios no autorizados accedan a su ordenador. El cortafuegos está ubicado entre su ordenador y la red. Determina qué servicios en su computador pueden acceder los usuarios remotos en la red. Un cortafuegos que haya sido configurado debidamente puede aumentar la seguridad de su sistema. Se le recomienda que configure un cortafuegos para cualquier sistema Red Hat Enterprise Linux con una conexión de Internet.
2.2.6
Cortafuego del proveedor externo Típicamente llamados firewalls de red, estos dispositivos externos se colocan entre la computadora o red y el módem de cable o DSL. Muchos fabricantes y algunos Proveedores de Servicio de Internet ofrecen dispositivos llamados “ruteadores” que también incluyen características de firewall. Son particularmente útiles para proteger varias computadoras, pero también ofrecen un alto grado de protección para una sola computadora.
2.2.7
Modos de operación El firewall normalmente se encuentra en el punto de unión entre 2 redes. En el caso que podéis ver en la captura de pantalla se halla en el punto de unión de una red pública (internet) y una red privada. Así mismo también vemos que cada una de las subredes dentro de nuestra
12
red puede tener otro firewall, y cada uno de los equipos a la vez puede tener su propio firewall por software. De esta forma, en caso de ataques podemos limitar las consecuencias ya que podremos evitar que los daños de una subred se propaguen a la otra. Lo primero que tenemos que saber para conocer el funcionamiento de un firewall es que la totalidad de información y tráfico que pasa por nuestro router y que se transmite entre redes es analizado por cada uno de los firewalls presentes en nuestra red. Si el tráfico cumple con las reglas que se han configurado en los firewalls el tráfico podrá entrar o salir de nuestra red. Si el tráfico no cumple con las reglas que se han configurado en los firewalls entonces el tráfico se bloqueará no pudiendo llegar a su destino. 2.2.8
Configuración de interfaces vlan Las VLAN están encargadas de dividir los dominios broadcast dentro de una red LAN para que estos no se transfieran entre sí. En la configuración de esta deberemos hacer el enrutamiento para su correcto funcionamiento.
2.2.9
Configuración de interfaces físicas La interfaz física será en este caso la conexión entre computadoras mediante la red en la que se trabajará. El ejemplo muestra cómo configurar las interfaces qfe0 y qfe1 en un host. Estas interfaces siguen siendo persistentes tras los reinicios.
2.2.10 Grupos de objetos Se llama “grupos de objetos” a los sistemas que integran la red.
2.2.11 Rutas Es la forma de referenciar un archivo informático o directorio en un sistema de archivos de un sistema operativo determinado. Señala la localización exacta de un archivo o directorio mediante una cadena de caracteres concreta. Esta puede ser de diversas formas dependiendo del sistema operativo y del sistema de archivos en cuestión. En líneas generales se compondrá de los nombres de los directorios que conforman el camino hasta el archivo o directorio a lo largo del árbol de directorios, y finalmente estará el nombre del archivo o directorio que se quiere referenciar.
13
Estos nombres estarán separados por un carácter delimitador que usualmente será la barra inversa (/) en sistemas operativos MS-DOS y Windows (de Microsoft) o la barra diagonal (/) en sistemas UNIX o Linux. 2.2.12 Traducción de direcciones IP La traducción
de
direcciones
de
red,
también
llamado enmascaramiento de IP o NAT (del inglés Network Address Translation),
es
un
mecanismo
intercambiar paquetes entre
utilizado
por routers IP
dos redes que
para
asignan
mutuamente direcciones incompatibles. Consiste en convertir, en tiempo real, las direcciones utilizadas en los paquetes transportados. También es
necesario
editar
los
paquetes
para
permitir
la
operación
de protocolos que incluyen información de direcciones dentro de la conversación del protocolo. El tipo más simple de NAT proporciona una traducción una-a-una de las direcciones IP. La RFC 2663 se refiere a este tipo de NAT como NAT Básico, también se le conoce como NAT una-a-una. En este tipo de NAT únicamente las direcciones IP, las sumas de comprobación (Checksums) de la cabecera IP y las sumas de comprobación de nivel superior, que se incluyen en la dirección IP, necesitan ser cambiadas. El resto del paquete se puede quedar sin tocar (al menos para la funcionalidad básica del TCP/UDP, algunos protocolos de nivel superior pueden necesitar otra forma de traducción). Es corriente ocultar un espacio completo de direcciones IP, normalmente son direcciones IP privadas, detrás de una única dirección IP (o pequeño grupo de direcciones IP) en otro espacio de direcciones (normalmente público). 2.2.13 Acceso remoto El acceso remoto a una computadora era una función que podían realizar las primeras grandes generaciones de computadoras que poseían un número de terminales de texto unidos a éstas a través de interfaces simples, básicamente cables. El desarrollo de las redes de telecomunicaciones permitió que poco a poco fueran desapareciendo estas terminales de texto, siendo sustituidos por otras computadoras (generalmente más pequeñas)
14
capaces de emular la misma funcionalidad a través de una aplicación, denominada emulador de terminal, siendo, por lo tanto, las primeras tecnologías de acceso remoto a computadoras, como telnet y ssh, popularizadas inicialmente en entornos Unix. 2.3
Sistemas Operativos
2.3.1
Linux Linux es un sistema operativo semejante a Unix, de código abierto y desarrollado por una comunidad, para computadoras, servidores, mainframes,
dispositivos
móviles
y dispositivos
embebidos.
Es
compatible con casi todas las principales plataformas informáticas, incluyendo x86, ARM y SPARC, por lo que es uno de los sistemas operativos más soportados. El sistema es la combinación de varios proyectos, entre los cuales destacan GNU (encabezado por Richard Stallman y la Free Software Foundation) y el núcleo Linux (encabezado por Linus Torvalds). Su desarrollo es uno de los ejemplos más prominentes de software libre: todo su código fuente puede ser utilizado, modificado y redistribuido libremente por cualquiera, bajo los términos de la GPL (Licencia Pública General de GNU) y otra serie de licencias libres 2.3.2
Ventajas de uso
Linux es muy robusto, estable y rápido: Ideal para servidores y aplicaciones distribuidas. A esto se añade que puede funcionar en máquinas humildes: Linux puede correr servicios en un x86 a 200 MHz con calidad
Linux es muy robusto, estable y rápido: Ideal para servidores y aplicaciones distribuidas. A esto se añade que puede funcionar en máquinas humildes: Linux puede correr servicios en un x86 a 200 MHz con calidad
Linux es muy robusto, estable y rápido: Ideal para servidores y aplicaciones distribuidas. A esto se añade que puede funcionar en máquinas humildes: Linux puede correr servicios en un x86 a 200 MHz con calidad
15
2.3.3
Desventajas
Windows es incompatible con Linux: Este punto es difícil de explicar: no quiere decir que no podamos tener instalados ambos Sistemas (que es relativamente fácil de hacer) Uno de los problemas es que desde Windows no podremos escribir en particiones Linux o que desde Linux no podremos escribir (en sentido amplio) en particiones NTFS (Windows XP, 2000...) aunque esto último se está investigando
En la mayoría de distribuciones Linux hay que conocer nuestro Hardware a la hora de instalar Sin embargo, distribuciones de Linux como Knoppix reconocen todo el sistema a lo Windows No sólo eso, en este sentido se está trabajando mucho por hacer esta tarea simple
Un de las desventajas de Linux, y que viene arrastrando desde hace años, es que muchos fabricantes no dan un buen soporte de hardware para este sistema en específico. Por eso nos encontramos con que faltan drivers o estos no se actualizan con la suficiente periodicidad.
2.4
Intranet y Extranet
2.4.1
Red Una red de computadoras (también llamada red de ordenadores, red de comunicaciones de datos o red informática) es un conjunto de equipos nodos y software conectados entre sí por medio de dispositivos físicos o inalámbricos que envían y reciben impulsos eléctricos, ondas electromagnéticas o cualquier otro medio para el transporte de datos, con la finalidad de compartir información, recursos y ofrecer servicios. Como en todo proceso de comunicación, se requiere de un emisor, un mensaje, un medio y un receptor. La finalidad principal para la creación de una red de ordenadores es compartir los recursos y la información en la distancia, asegurar la confiabilidad y la disponibilidad de la información, aumentar la velocidad de transmisión de los datos y reducir el costo. Un ejemplo es Internet, el cual es una gran red de millones de ordenadores ubicados en distintos puntos del planeta interconectados básicamente para compartir información y recursos.
16
La estructura y el modo de funcionamiento de las redes informáticas actuales están definidos en varios estándares, siendo el más importante y extendido de todos ellos el modelo TCP/IP utilizado como base para el modelo de referencia OSI. Este último, concibe cada red como estructurada en siete capas con funciones concretas pero relacionadas entre sí (en TCP/IP se habla de cuatro capas). Debe recordarse que el modelo de referencia OSI es una abstracción teórica, que facilita la comprensión del tema, si bien se permiten ciertos desvíos respecto a dicho modelo. Existen multitud de protocolos repartidos por cada capa, los cuales también están regidos por sus respectivos estándares 2.4.2
Internet Es
un
conjunto
descentralizado
de
redes
de
comunicación
interconectadas que utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes físicas heterogéneas que la componen formen una red lógica única de alcance mundial. Sus orígenes se remontan a 1969, cuando se estableció la primera conexión de computadoras, conocida como ARPANET, entre tres universidades en California (Estados Unidos). Uno de los servicios que más éxito ha tenido en internet ha sido la World Wide Web (WWW o la Web), hasta tal punto que es habitual la confusión entre ambos términos. La WWW es un conjunto de protocolos que permite, de forma sencilla, la consulta remota de archivos de hipertexto. Esta fue un desarrollo posterior (1990) y utiliza internet como medio de transmisión. 2.4.3
Intranet Una intranet es una red informática que utiliza la tecnología del protocolo de Internet para compartir información, sistemas operativos o servicios de computación dentro de una organización. Suele ser interna, en vez de pública como internet, por lo que solo los miembros de esa organización tienen acceso a ella.
2.4.4
Extranet Una extranet es una red privada que utiliza protocolos de Internet, protocolos de comunicación y probablemente infraestructura pública de comunicación para compartir de forma segura parte de la información u
17
operación propia de una organización con proveedores, compradores, socios, clientes o cualquier otro negocio u organización. Se puede decir en otras palabras que una extranet es parte de la Intranet de una organización que se extiende a usuarios fuera de ella, usualmente utilizando Internet y sus protocolos. La extranet suele tener un acceso semiprivado. Para acceder a la extranet de una empresa no necesariamente el usuario ha de ser trabajador de la empresa, pero sí tener un vínculo con la entidad. Es por ello que una extranet requiere o necesita un grado de seguridad, para que no pueda acceder cualquier persona. Otra característica de la extranet es que se puede utilizar como una Intranet de colaboración con otras compañías. 2.5
Infraestructura de la Tecnología de Información y Seguridad
2.5.1
Políticas y Procedimientos de Seguridad Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad.
2.5.2
Seguridad física y del entorno La seguridad física refiere a la seguridad de la información de una organización protegida de accesos inadecuados y otras amenazas a las que se pueda enfrentar. Si un intruso tiene la posibilidad de acceder físicamente a los equipos e infraestructuras de la red (al hardware), el mayor riesgo planteado es que podría dañar o robar los dispositivos junto con la información que contienen. Una recomendación sería activar el bloqueo del terminal mediante salvapantallas con contraseñas.
18
2.5.3
Seguridad perimetral La seguridad perimetral es un método de defensa de red, que se basa en el establecimiento de recursos de seguridad en el perímetro de la red y a diferentes niveles, permitiendo definir niveles de confianza, el acceso de usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. El perímetro se protege instalando cortafuegos, redes privadas virtuales, routers bien configurados, redes inalámbricas debidamente protegidas y módems telefónicos controlados, así como antivirus.
2.5.4
Seguridad de red propiamente dicha La seguridad de redes consiste en las políticas y prácticas adoptadas para prevenir y supervisar el acceso no autorizado, el uso indebido, la modificación o la denegación de una red informática y sus recursos accesibles. Para proteger se puede usar sistema de detección de intrusos, segmentación de redes mediante routers y switches.
2.5.5
Seguridad de equipos La seguridad de equipos tanto de servidores como de clientes implica: mantenerse al día con los parches de seguridad, desactivar todos los servicios innecesarios y mantener el antivirus activo y constantemente actualizado.
2.5.6
Seguridad de aplicaciones Las aplicaciones se protegen realizando un control de acceso mediante la sólida implantación de mecanismos de autenticación y autorización.
2.5.7
Seguridad de datos Si un atacante ha traspasado todas las barreras anteriores y posee acceso a la aplicación, autenticación y autorización, así como el cifrado, constituyen las tecnologías más empleadas para proteger los datos.
2.6
Tipo de Seguridad 2.6.1
Seguridad física Está relacionada con los recursos y el espacio físico utilizados para la protección de los elementos que conforman los sistemas de información dentro de una empresa. Uso correcto de PC’s
19
Ubicación y ambiente adecuado de los servidores y cuarto de control. 2.6.2
Seguridad lógica La seguridad lógica está relacionada con los procedimientos y recursos lógicos utilizados para proteger los sistemas de información dentro de la empresa, tales como: Creación de perfiles de usuarios, utilización de algoritmos de encriptación para la transmisión de información, utilización de sistemas de monitoreo para llevar un control sobre el acceso a los sistemas y usuarios. Utilización de sistemas de monitoreo para llevar un control sobre el acceso a los sistemas y usuarios. Creación de perfiles de usuarios.
2.7
Propiedades de la Seguridad Informática
2.7.1
Autenticidad La propiedad de ser genuino y poder ser verificado y de confianza; confianza en la validez de una transmisión, un mensaje o el originador del mensaje. Esto significa verificar que los usuarios son quienes dicen ser y que cada entrada que llega al sistema proviene de una fuente confiable.
2.7.2
Integridad Protección contra la modificación o destrucción inadecuada de la información, incluye el no repudio y la autenticidad de la información. Una pérdida de integridad es la modificación o destrucción no autorizada de la información.
2.7.3
Disponibilidad Asegura el acceso y uso oportuno y confiable de la información. Una pérdida de disponibilidad es la interrupción del acceso o uso de la información o un sistema de información.
2.7.4
Confiabilidad Preservar las restricciones autorizadas de acceso a la información y divulgación, incluidos los medios para proteger la privacidad personal y la información de propiedad. Una pérdida de confidencialidad es la divulgación no autorizada de información.
20
2.8
Vulnerabilidad en Intranet y/o Extranet
2.8.1
Tipos de vulnerabilidades
2.8.2
Amenazas Es una condición para hacer daño o perjudicar a alguien o a la red que al tener la oportunidad viola la seguridad de la misma. Las amenazas pueden ser: Amenazas naturales: Estas amenazas están relacionadas con las condiciones naturales, por ejemplo: la humedad, el polvo, etc. Amenazas accidentales o involuntarias: Son aquellas que aparecen en forma no premeditada, por ejemplo: operaciones indebidas de usuarios inexpertos, fallos de software, funcionamiento irregular de los sistemas, etc. Amenazas intencionales: Estas amenazas son la participación maliciosa de un sujeto o entidad para un uso indebido de la red. Las amenazas intencionales se denominan ataques.
2.8.3
Ataques Un ataque informático es la violación de la seguridad de una red. Hay diferentes maneras de atacar como: Interrupción o denegación de servicio: El intruso bloquea la transmisión de la información para que el receptor no la reciba, este ataque afecta al principio de disponibilidad de la información. Intercepción: El emisor transmite la información al receptor, pero esta es interceptada por una tercera persona, también puede realizarse la divulgación o repetición del contenido. Suplantación de identidad: El intruso se hace pasar por el emisor, la altera o modifica y la transmite al receptor, además, puede reordenar o retrasarla para que se produzca un efecto no deseado y evita que esta alteración sea detectada. Este ataque afecta al principio de integridad.
2.8.4
Intrusos Existen dos clases de intrusos:
Pasivo: El intruso pasivo accede a la información confidencial que está siendo transmitida sin realizar ninguna modificación en ella. Los objetivos principales son la intercepción de la información y el análisis de tráfico. Lo más importante para este
21
tipo de intruso es: conocer al emisor y receptor en una comunicación, conocer el volumen del tráfico y el horario más habitual de la transmisión de información entre las entidades. Es un intruso muy difícil de detectar debido a que no realiza ninguna modificación en la información.
Activo: A diferencia del antes mencionado, este si altera la información que es interceptada con intenciones maliciosas. Las personas que realizan este tipo de ataques generalmente son: los terroristas y los ex-empleados.
2.9
Metodología para el Diseño de Seguridad en Redes Int-Extranet
2.9.1
Análisis de riesgo Aquí analizaremos la probabilidad de que una amenaza o ataque se concrete, explote una vulnerabilidad y provoque un efecto negativo en la red. El riesgo es mayor mientras mayor es el valor del activo y mayor su grado de exposición a amenazas, el riesgo no puede no puede eliminarse por completo, pero sí se puede reducir. Entre sus objetivos está:
Identificar las amenazas que un sistema de información y su entorno pueden tener.
Cuantificar las consecuencias e impacto generado por los ataques y amenazas concretadas.
2.9.2
Diseño de seguridad Para el diseño de seguridad de la red tanto físico como lógico, el presente proyecto se basa en la metodología SAFE de CISCO para pequeñas y medianas empresas. Safe no es una guía para diseñar redes, más bien es una guía para asegurar las redes, ya que ellas seguirán ofreciendo todos los servicios que el usuario espera de la red. La metodología Safe de Cisco se basa en un enfoque modular por dos motivos importantes. El primero es que la arquitectura relaciona la seguridad entre los distintos bloques funcionales de la red, y el segundo, permite al diseñador evaluar e implementar la seguridad módulo a módulo en lugar de hacerlo generalmente.
22
2.9.3
Manual de políticas Los profesores deben, a nivel de los aplicativos, restringir acceso a archivos u otros recursos, a direcciones URL protegidas, a funciones protegidas, a servicios, a información de las aplicaciones, a atributos y políticas utilizadas por los controles de acceso y a la información relevante de la configuración, solamente a usuarios autorizados. El director y coordinador de la institución pueden solicitar la creación, modificación, bloqueo y eliminación de cuentas de usuario, para los funcionarios que laboran en sus áreas, acogiéndose al procedimiento establecido para tal fin. Los equipos de cómputo de los alumnos que se conecten o deseen conectarse a las redes de computación de la institución deben cumplir con todos los requisitos o controles para autenticarse en ellas y únicamente podrán realizar las tareas para las que fueron autorizados.
3
IMPLEMETACION
3.1
Normas, Políticas y Procedimientos de Seguridad
3.1.1
Normas Internaciones de seguridad informática Las normas ISO son normas o estándares de seguridad establecidas por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC) que se encargan de establecer estándares y guías relacionados con sistemas de gestión y aplicables a cualquier tipo de organizaciones internacionales y mundiales, con el propósito de facilitar el comercio, facilitar el intercambio de información y contribuir a la transferencia de tecnologías. En concreto la familia de normas ISO/IEC 27000 son un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad. ISO/IEC 27001 Es un estándar para la seguridad de la información propuesto como un estándar internacional en el 2005 por la Organización Internacional de
23
Estandarización
y la Comisión Internacional de Electrotécnica.
Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000. Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) Los puntos claves son: Gestión de riesgos y la Mejora continua. ISO/IEC 27002 Es un código de buenas prácticas para la gestión de la seguridad. Consiste en: Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización. Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendados a implantar, es decir, las medidas a tomar. ISO/IEC 27003 Directrices para la implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No está certificada actualmente. ISO/IEC 27004 Métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español actualmente. 3.1.2
Normas Nacionales de seguridad informática Para el caso nacional, tenemos la LEY N.º 30096, publicada en la edición del 22 de octubre del 2013 de El Peruano, la misma que dice: CAPITULO II DELITOS CONTRA DATOS Y SISTEMAS INFORMÁTICOS
24
Artículo 2. Acceso ilícito El que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días multa. Será reprimido con la misma pena el que accede a un sistema informático excediendo lo autorizado. Artículo 3. Atentado contra la integridad de datos informáticos El que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa Artículo 4. Atentado contra la integridad de sistemas informáticos El que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa. CAPÍTULO III DELITOS INFORMÁTICOS CONTRA LA INDEMNIDAD Y LIBERTAD SEXUALES Artículo 5. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos El que, a través de las tecnologías de la información o de la comunicación, contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los
25
numerales 1, 2 y 4 del artículo 36 del Código Penal. Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal. CAPÍTULO IV DELITOS INFORMÁTICOS CONTRA LA INTIMIDAD Y EL SECRETO DE LAS COMUNICACIONES Artículo 6. Tráfico ilegal de datos El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años. Artículo 7. Interceptación de datos informáticos El que, a través de las tecnologías de la información o de la comunicación, intercepta datos informáticos en transmisiones no públicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas
provenientes
de
un
sistema
informático
que
transporte dichos datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años. La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la materia. La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito comprometa la defensa, la seguridad o la soberanía nacionales. CAPÍTULO V
26
DELITOS INFORMÁTICOS CONTRA EL PATRIMONIO Artículo 8. Fraude informático El que, a través de las tecnologías de la información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días multa. La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social CAPÍTULO VI DELITOS INFORMÁTICOS CONTRA LA FE PÚBLICA Artículo 9. Suplantación de identidad El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años. CAPÍTULO VII DISPOSICIONES COMUNES Artículo 10. Abuso de mecanismos y dispositivos informáticos El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días multa.
27
Artículo 11. Agravantes El juez aumenta la pena privativa de libertad hasta en un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos en la presente Ley cuando:
El agente comete el delito en calidad de integrante de una organización criminal.
El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al conocimiento de esta información en razón del ejercicio de un cargo o función.
El agente comete el delito con el fin de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia.
El delito compromete fines asistenciales, la defensa, la seguridad y la soberanía nacionales
3.1.3
Procedimientos de la institución de seguridad informática La institución no tiene ningún procedimiento especial.
3.2
Seguridad física y del entorno
3.2.1
Perímetro físico La Institución Educativa Privada Enrique Pestalozzi se encuentra a la altura de la AV. Túpac Amaru, Mz. A Lote 13 – Km 18.5 Carabayllo. Cuenta con un sitio escogido para colocar los sistemas de información, equipos de cómputo y comunicaciones, el cual está protegido por controles físicos, además de eso cuenta con vigilancia interna.
3.2.2
Seguridad de la infraestructura Corresponde a la fiabilidad y confianza de las estructuras que componen a las instalaciones de la institución. La Institución Educativa Privada Enrique Pestalozzi cuenta con un sistema de vigilancia en sus puertas las 24 horas al día, los 7 días de la semana.
28
3.2.3
Planos de ubicación y distribución de equipos Los equipos deberán ser ubicados en lugares que no afecten al mismo, por ejemplo, no cerca de ventanas donde puedan ser afectados por la lluvia, polvo o por robo.
3.2.4
Refrigeración del ambiente Se debe poner los equipos en un lugar con una temperaTura adecuada para que no afecte al funcionamiento del equipo. Se deberá realizar, por lo menos dos veces al año, un monitoreo de las condiciones ambientales en los salones.
29
3.3
Seguridad perimetral
3.3.1
Diseño de seguridad perimetral Se pretende analizar la seguridad de las zonas externas que engloban todos aquellos servicios y redes que realizan un uso intensivo de internet y por tanto se caracterizan por un alto nivel de exposición frente a ataques o incidentes de seguridad al tener interconexión directa a la red pública de Internet. La parte interna engloba todos los sistemas internos, redes de usuarios internas y la interconexión con otras intranets y extranet relacionadas con la institución, así como los dispositivos de monitoreo y control que puedan ser aplicados a este proceso de seguridad.
3.3.2 Instalación
de
sistemas operativos 3.3.2.1 Requerimientos generales Para la implementación de un servidor proxy y la seguridad perimetral será necesario una computadora en la cual se instalará el proxy y que funcionará como servidor, de modo que controlará el tráfico de todas las máquinas que estén en su red.
30
El sistema operativo que emplearemos será Centos7, una distribución de Linux. 3.3.2.2 Requerimientos específicos Contaremos con un computador de 8GB de RAM, 1TB de disco duro y un procesador Intel I5. 3.3.2.3 Procedimientos de instalación 3.3.3
Configuración de servidor proxy
3.3.3.1 Requerimientos iniciales Por lo general para la implementación de un servidor proxy es necesario que nuestro ordenador cuente mínimamente con 4gb de RAM y un procesador de dos núcleos
3.3.3.2 Procedimientos de configuración 3.3.3.2.1 Instalación y configuración básica del sistema operativo En la instalación del sistema operativo no se harán cambios, debido a que la distribución de Manjaro cuenta con los valores predeterminados necesarios para el funcionamiento de nuestro servidor proxy. Para la correcta instalación de los diversos softwares a utilizar se debe habilitar el Repositorio de usuarios de Arch o AUR, para ellos nos dirigimos al package manager y seleccionamos las preferencias, nos vamos a la pestaña AUR y lo habilitamos.
31
3.3.3.2.2 Configuración del servidor 3.4 Instalación y activación de Squid Para instalar el software Squid en el sistema operativo Manjaro se requiere el siguiente comando. sudo pacman -S squid Para activar Squid y habilitarlo para iniciar junto al sistema se requieren los siguientes comandos sudo systemctl enable squid sudo systemctl start squid Si se desea verificar que la instalación y activación de Squid fue correcta, se ejecutará el siguiente comando systemctl status squid Si nos arroja la palabra active resaltada, como se muestra en la siguiente figura, la instalación fue exitosa.
32
3.5
Instalación y activación de Webmin Para poder hacer uso del software Webmin, nos dirigimos al package manager e ingresamos Webmin en la barra de búsqueda, procediendo a seleccionar el paquete a instalar y dar click en Aceptar.
Para la activación de Webmin se requieren los siguientes comandos: sudo systemctl enable webmin sudo systemctl start webmin Verificándose la activación del servicio de la siguiente forma: systemctl status webmin Para hacer uso del frontend del servidor nos dirigiremos a la
dirección
https://localhost:10000,
donde
se
nos
33
solicitará un usuario y una contraseña, las cuales serán “root” y la contraseña de root del sistema servidor respectivamente.
3.6
Instalación de Sarg (Generador de reportes de Squid) Se procede de forma similar que en la instalación de Webmin, ubicando el paquete Sarg en el package manager. Debemos configurar Sarg antes de poder utilizarlo junto a Webmin, para ellos nos dirigimos a la carpeta ubicada en “etc/sarg” y abrimos con el editor de texto de preferencia el archivo “sarg.exemple.conf” donde modificaremos las siguientes líneas: • access_log /var/log/squid/access.log • output_dir /home/admin/Escritorio/squid-reports • date_format e Una vez realizado esto, cambiamos el nombre de este archivo a “sarg.conf”, se deben dar los permisos adecuados al archivo access.log y a la carpeta squidreports, para ellos escribimos los siguientes comandos. • sudo chmod 777 /var/log/squid/access.log • sudo chmod -R /home/admin/Escritorio/squid-reports
34
Procedemos a verificar que la configuración es correcta con los siguientes comandos. • sudo sarg -x (Nos dará el ouput de la configuración) • sudo sarg -z (Realizará el primer análisis del archivo access.log) Procedemos a la configuración en webmin, para ellos nos dirigimos a webmin y al apartado “Unused modules”, donde ubicamos a “Generador de reportes de Squid” y realizamos el cambio de la ruta del archivo de configuración de Sarg a la ruta /etc/sarg/sarg.conf donde salvamos los cambios.
3.7
Instalación y activación de Firewalld Para instalar la solución firewall debemos ejecutar el siguiente comando: • sudo pacman -S firewalld Activamos el servicio con los siguientes comandos: • sudo systemctl enable firewalld • sudo systemctl start firewalld Verificamos que se haya iniciado correctamente con el comando • systemctl status firewalld
35
Procedemos con la configuración del puerto para el uso del firewall, para ellos se requieren los siguientes comandos • firewall-cmd –zone-public –add-port=3128/tcp – permanent • firewall-cmd –reload Si la configuración es correcta observaremos el siguiente ícono en la esquina superior derecha del escritorio.
Lo que nos indica que el firewall ha sido instalado y se encuentra ejecutándose perfectamente. 3.8
Implementación de fail2ban (Prevención de intrusos) Procederemos a instalar el software fail2ban desde el package manager de Manjaro, de la misma forma que la instalación de Webmin o Sarg. Luego debemos activar el servicio con los siguientes comandos: • sudo systemctl enable fail2ban • sudo systemctl start fail2ban Luego verificamos en Webmin si se encuentra activo.
36
Dejaremos las configuraciones por defecto de fail2ban puesto que en el caso de Manjaro viene predeterminada, y los jails se encuentra activos. Para verificar ello debemos ejecutar el comando fail2ban-client status Crearemos el archivo jail.local en la ruta “/etc/fail2ban”, y agregaremos la siguiente configuración [sshd] enabled = true port = 22 filter = sshd logpath = /var/log/auth.log maxretry = 3 3.9
Implementación del limitador de ancho de banda En el archivo squid.conf crearemos un delay pool de la siguiente forma delay_pools 1 delay_class 1 1 delay_parameters 1 65536/1048576
Y luego habilitaremos esta restricción para los usuarios de la siguiente forma acl All src 0/0 delay_access 1 allow All
3.10 Bloqueo de dominios en Squid Nos ubicamos
en
la carpeta “/etc/squid”
done
debemos crear un archivo con el nombre “blocked.acl” que es donde se encontrarán todos los dominios que deseemos bloquear. Una vez creado el archivo abrimos con el editor de preferencia el archivo squid.conf y creamos una nueva regla acl de la siguiente forma - acl blocked dstdomain “/etc/squid/blocked.acl”
37
Luego debemos crear una regla http para bloquear todos los dominios listados en el archivo “blocked.acl” - http_access deny blocked Con
los
pasos
anteriores
realizados
tenemos
implementado un bloqueo de dominios en squid. a. Acceso por horarios en Squid Solo debemos agregar la siguiente línea al archivo de configuración de squid acl work_time time MTWHF 12:00-13:00 Y luego agregar a nuestra red http_access allow work_time localnet b. Consideraciones finales Una vez realizadas todas las configuraciones debemos reiniciar el servicio Squid para ellos ejecutamos lo siguiente Sudo systemctl restart squid
Códigos de squid # # Recommended minimum configuration: # # # Agregando usuarios # auth_param digest program /usr/lib/squid/digest_file_auth -c /etc/squid/users auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/users auth_param digest children 5 auth_param digest realm login # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed #acl localnet src 0.0.0.1-0.255.255.255 # RFC 1122 "this" network (LAN) #acl localnet src 10.0.0.0/8 # RFC 1918 local private network (LAN)
38
acl localnet src 100.64.0.0/10 address space (CGN) acl localnet src 169.254.0.0/16 plugged) machines acl localnet src 172.16.0.0/12 private network (LAN) acl localnet src 192.168.0.0/16 private network (LAN) acl localnet src fc00::/7 network range acl localnet src fe80::/10 plugged) machines
# RFC 6598 shared # RFC 3927 link-local (directly # RFC 1918 local # RFC 1918 local # RFC 4193 local private # RFC 4291 link-local (directly
# Añadiendo la red local acl uni src 10.10.0.0/24 # RED LOCAL acl acl acl acl acl acl acl acl acl acl acl acl
SSL_ports port 443 Safe_ports port 80 Safe_ports port 21 Safe_ports port 443 Safe_ports port 70 Safe_ports port 210 Safe_ports port 1025-65535 Safe_ports port 280 Safe_ports port 488 Safe_ports port 591 Safe_ports port 777 CONNECT method CONNECT
# # # # # # # # # #
http ftp https gopher wais unregistered ports http-mgmt gss-http filemaker multiling http
# # Agregar nuestras reglas ACL # acl blocked dstdomain "/etc/squid/blocked.acl" acl work_time time MTWHF 08:00-19:00 acl acl acl acl
users proxy_auth REQUIRED admin proxy_auth admin alumno proxy_auth alumno profesor proxy_auth profesor
delay_pools 1 delay_class 1 1 delay_parameters 1 131072/8192 delay_access 1 allow uni # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !Safe_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports
39
# Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # http_access http_access http_access http_access
deny alumno blocked allow work_time alumno users allow all admin users allow uni
# Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed http_access allow localnet http_access allow localhost # And finally deny all other access to this proxy http_access deny all # Squid normally listens to port 3128 http_port 3128 # Uncomment and adjust the following to add a disk cache directory. cache_dir ufs /var/cache/squid 2048 16 256 # Leave coredumps in the first cache dir coredump_dir /var/cache/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 cache_effective_user proxy cache_effective_group proxy
3.11
Seguridad de red propiamente dicha
3.11.1 Ubicación y protección de los equipos Los equipos se ubicarán en el centro de cómputo, dentro de los dominios de la Institución Educativa.
40
3.11.2 Suministro de energía Se contará con un suministro de energía para cada uno, así mismo la caja donde se encuentran los interruptores de energía deben ser colocados en lugares fuera del alcance de personas externas para que no se ocasionen alguna interrupción de energía en el lugar. 3.11.3 Suministro del cableado El cableado de la red debe estar protegido por conductos como canaletas y ubicados en lugares que no obstruyan el paso a las personas para evitar daños al cable y que se vean interrumpidos los servicios de red. Las instalaciones de cableado eléctrico deberán ser independiente del cableado de red para evitar interferencias. 3.11.4 Mantenimiento de equipos Se debe contar con un plan de mantenimiento preventivo de equipos que será calendarizado, para evitar que el trabajo se vea interrumpido por falla de algún hardware del equipo y que exista pérdida de información. 3.11.5 Proteger de vulnerabilidades de seguridad Tomar las medidas necesarias para evitar cualquier tipo de problema con el equipo como amenazas al sistema, poner en peligro la información, etc. 3.11.6 Acceso restringido a la red Se restringió acceso a ciertas páginas web que podrían distraer a los alumnos y malgastar los recursos de la red. 3.12
Seguridad de equipos
3.12.1 Distribución adecuada de equipos Se debe priorizar el tener un espacio adecuado para la instalación de equipos que prevenga cualquier accidente producto de un mal manejo o un mal estado del equipo. Contar con áreas con modulación de temperatura y con sistemas de acción ante incendios sería ideal. 3.12.2 Pozo de tierra El sistema de puesta a tierra es una parte básica de cualquier instalación eléctrica, y tiene como objetivo:
41
Limitar la tensión que presentan las masas metálicas respecto a tierra. Eliminar o disminuir el riesgo que supone una avería en el material eléctrico utilizado.
3.12.3 Instalaciones y configuración adecuada Para la instalación se debe contar con ayuda de un profesional en sistemas eléctricos que pueda asesorarnos para dar el mejor servicio posible y a la vez protegernos de algún incidente. La configuración se hará de forma adecuada respetando las políticas de seguridad y conservando buenas prácticas. 3.13
Seguridad de aplicaciones
3.13.1 Uso restringido de aplicativos La institución por el momento no restringe ninguna aplicación. 3.13.2 Navegación web restringida Es preciso restringir acceso a las páginas web de redes sociales como Facebook, Twitter, Instagram. YouTube no será restringido pues muchos alumnos estudian con video tutoriales.
42
3.14
Seguridad de datos
3.14.1 Sistema de backup Se realizará una copia de seguridad de la información más importante de la Institución una vez al mes. 3.14.2 Acceso restringido a la información Los administradores serán los únicos capaces de visualizar todos los datos y la dirección será la única capaz de modificarlos. Los usuarios solo ven los datos etiquetados como disponibles.
4 4.1
PRUEBAS Prueba funcionalidad Basándonos en la ejecución, revisión y retroalimentación de las funcionalidades previamente diseñadas para el software, podemos afirmar que nuestro sistema de seguridad perimetral funciona correctamente.
4.2
Prueba de Usabilidad Todo cliente que se conecta al servidor para obtener acceso a internet se desempeña de la manera deseada. Esto es, necesita de un usuario y contraseña para poder conectarse a internet.
43
4.3
Prueba de Performance Las pruebas de performance permiten conocer y mitigar los riesgos relacionados con el mal desempeño de las aplicaciones en los entornos de la red. De acuerdo con lo analizado, podemos concluir que nuestro sistema es óptimo en funcionamiento para la red en la que trabajamos. Su infraestructura está instalada de forma correcta, aunque puede ser mejorada con ayuda de un profesional que maneje las conexiones y fuentes de energía. El personal está calificado para manejar el sistema correctamente.
4.4
Prueba de Seguridad y Controles
Nivel de seguridad de la aplicación: La interfaz contiene un sistema de seguridad que restringe su administración a solo el personal a cargo de esta.
Nivel de Seguridad del Sistema: Así mismo, se tienen instalados antivirus y firewalls que previenen la penetración en el sistema Además de haber elaborado una asesoría en políticas de seguridad que prevendrán el error humano.
44
5
CONCLUSION Y RECOMENDACIONES
5.1
Conclusión Se logró monitorear y analizar el flujo de datos de la red. Se disminuyó el consumo de ancho de banda innecesario y congestión de la red. Se restringió la interacción de sitios web externos malintencionados que ponen en riesgo la integridad de los estudiantes. Se restringió el acceso solo a usuarios autorizados.
5.2
Recomendaciones El anonimato que se les supone no siempre se cumple. Lo mejor es desconfiar de los proxys web que no pertenezcan a empresas de seguridad o que muestren demasiada publicidad. La instalación de un servidor proxy puede ser muy beneficiosa pero también puede ser muy peligrosa si es que no se logra configurar bien, puesto que podría restringir toda la red.
6
BIBLIOGRAFIA
Fabuel, Carlos. Implantación de un Sistema de Seguridad Perimetral. http://oa.upm.es/22228/1/PFC_CARLOS_MANUEL_FABUEL_DIAZ.pdf, Madrid, 2013, 228pp
Luotonen, Ari. Web Proxy Servers, USA, Prentice Hall PTR, 1998, 431 pp.
Carlos Manuel Fabuel Díaz, 2013. Implantación de un Sistema de Seguridad Perimetral. Universidad Politécnica de Madrid, pp 228.
TANENBAUM, ADREW S. Sistemas Operativos Modernos. Tercera Edición, PERSON EDUCACIÓN, México, 2009.