SlideShare una empresa de Scribd logo

Seguridad en la red

Nenita HemoZa
Nenita HemoZa

Trabajo de Seguridad en la Red del Instituto Tecnologico de Tehuacan

Tecnología
1 de 36
Descargar para leer sin conexión
SEGURIDAD EN LA RED ADMINISTRACION DE REDES Catedrático: Francisco Vázquez Guzmán Elaborado por: Fabiola Aguilar Martínez Tehuacán, Pue; 29 de mayo del 2013
SEGURIDAD EN LA RED INTRODUCCION Es muy probable que al dejar la oficina al final del día active el sistema de alarma y bloquee la puerta para proteger el equipo y la oficina. También puede que disponga de un archivador con candado para guardar los documentos confidenciales de la empresa. Su red de computadoras necesita el mismo tipo de protección. Las tecnologías de seguridad de redes protegen su red contra el robo y el uso incorrecto de información confidencial de la empresa y ofrecen protección contra ataques maliciosos de virus y gusanos de Internet. Sin ninguna seguridad de la red, su compañía se enfrenta a intrusiones no autorizadas, periodos de inactividad de la red, interrupción del servicio, incumplimiento de las normas e incluso a acciones legales. Es por eso que muchos sistemas están expuestos a agujeros de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por varias razones y miles de puertas invisibles con descubiertas cada día en sistemas operativos, aplicaciones de software, protocolos de red, browsers de internet, correo electrónico y todas clases de servicios informático disponible. Los sistemas operativos abiertos como Unix y Linux tienen agujeros más conocidos y controlados que aquellos que existen en sistemas operativos cerrados como Windows. La importancia y ventaja del código abierto radican en miles de usuarios analizan dicho código en busca de posibles bug s y ayudan a obtener soluciones en forma inmediata. Constantemente encontramos en internet avisos de nuevos descubrimientos de problemas de seguridad y herramientas de hacking que los explotan, por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado. La seguridad es un tema que debe inquietar a cualquier organización que hoy día decida conectarse a su red a otras sobre Internet. El número de incidentes contra sistemas conectados casi se duplica cada año, según el Coputer Emergency Response Team Coordination Center (CERT-CC). Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la concentración de la seguridad en un punto. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. Este punto se conoce con el nombre de firewall, y físicamente puede ser desde un simple host para un complejo conjunto de redes separadas por routers. El empleo de un firewall presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales que requieren la seguridad individual de cada host conectado, y por tan
solo pueda justificarse en entornos con un reducido número de máquinas permitiendo, concentrar todos los esfuerzos en el control de tráfico a su paso por el firewall. Funcionamiento de la seguridad La seguridad de la red no se basa en un método concreto, sino que utiliza un conjunto de barreras que defienden su negocio de diferentes formas. Incluso si falla una solución, se mantendrán otras que protegerán la compañía y sus datos de una gran variedad de ataques a la red. Las capas de seguridad de la red garantizan que tenga a su disponibilidad la información importante en la que se basa para dirigir su negocio y que estará protegida de las diferentes amenazas. En concreto, la seguridad de la red:  Protege contra ataques a la red tanto internos como externos. Las amenazas se pueden originar tanto dentro como fuera de la estructura de su empresa. Un sistema de seguridad efectivo supervisará toda la actividad de la red, detectará el comportamiento malicioso y adoptará la respuesta adecuada.  Garantiza la privacidad de todas las comunicaciones, en cualquier lugar y en cualquier momento. Los empleados pueden acceder a la red desde casa o mientras se desplazan con la garantía de que sus comunicaciones serán privadas y estarán protegidas.  Controla el acceso a la información mediante la identificación exhaustiva de los usuarios y sus sistemas. La empresa puede establecer sus propias reglas sobre el acceso a los datos. La denegación o la aprobación se puede otorgar según las identidades de los usuarios, la función del trabajo u otros criterios específicos de la empresa.  Le hará más confiable. Puesto que las tecnologías de seguridad permiten a su sistema evitar ataques conocidos y adaptarse a las nuevas amenazas, los empleados, clientes y Socio de Negocioss comerciales pueden confiar en que su información estará segura.
TIPOS DE ATAQUES SCANNING (BÚSQUEDA) El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría también se basan en este paradigma. La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de conectado, grabar el número. En otro caso, la computadora cuelga el teléfono y llama al siguiente número. Scanear puertos implica las mismas técnicas de fuerza bruta. Se envía una serie de paquetes para varios protocolos y se deduce que servicios están "escuchando" por las respuestas recibidas o no recibidas. Existen diversos tipos de Scanning según las técnicas, puertos y protocolos explotados:  TCP Connect() Scanning Esta es la forma básica del scaneo de puertos TCP. Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está abierto o que no se puede establecer conexión con a él. Las ventajas que caracterizan esta técnica es que no necesita de privilegios especiales y su gran velocidad. Su principal desventaja es que este método es fácilmente detectable por el Administrador del sistema. Se verá un gran número de conexiones y mensajes de error para los servicios en los que se ha conseguido conectar la máquina que lanza el scanner e inmediatamente se ha desconectado.  TCP SYN Scanning Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecer la conexión. La aplicación del Servidor "escucha" todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos. La información de control llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos.  TCP FIN Scanning- Stealth Port Scanning Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos,
en cambio, suelen ignorar el paquete en cuestión.  Fragmentation Scanning Esta no es una nueva técnica de escaneó como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partir una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que pudieran estar ejecutándose en la máquina objetivo. Sin embargo, algunas implementaciones de estas técnicas tienen problemas con la gestión de este tipo de paquetes tan pequeños, causando una caída de rendimiento en el sistema del intruso o en el de la víctima. Problemas de esta índole convierte en detectables a este tipo de ataque.  Eavesdropping-Packet Sniffing Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los paquetes que circulan por la red. Los Sniffers pueden ser colocados tanto en una estación de trabajo conectada a la red, como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías. En la cabecera de los paquetes enviados a través de una red, entre otros datos, se tiene, la dirección del emisor y la del destinatario. De esta forma, independientemente de protocolo usado, las tramas llegan a su destino. Cada máquina conectada a la red (mediante una placa con una dirección única) verifica la dirección destino del paquete. Si estas direcciones son iguales asume que el paquete enviado es para ella, caso contrario libera el paquete para que otras placas lo analicen.  Snooping-Downloading Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla. Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma. El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software ATAQUES DE AUTENTIFICACIÓN Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya
establecidas por la víctima u obteniendo su nombre de usuario y password.  Spoofing-Looping Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño). Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, y tiene la finalidad de "evaporar" la identificación y la ubicación del atacante  Spoofing Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso.  DNS Spoofing Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain Name Server-DNS) de Windows NT(c). Si se permite el método de recursión en la resolución de "Nombre"Dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una petición de dirección IP a partir de un nombre que no figura en su base de datos. Este es el método típico (y por defecto) de funcionamiento.  Web Spoofing En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.
 IP Splicing-Hijacking Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.  Utilización de BackDoors "Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo". Esta situación se convierte en una falla de seguridad si se mantiene, involuntaria o intencionalmente, una vez terminado el producto ya que cualquiera que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos de control normales.  Utilización de Exploits Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrado un error en los programas utilizados. Los programas para explotar estos "agujeros" reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo. Nuevos Exploits (explotando nuevos errores en los sistemas) se publican cada día por lo que mantenerse informado de los mismos y de las herramientas para combatirlos es de vital importancia.  Obtención de Passwords Este método comprende la obtención por "Fuerza Bruta" de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En este caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta. La política de administración de password será discutida en capítulos posteriores.  Uso de Diccionarios Los Diccionarios son archivos con millones de palabras, las cuales pueden ser passwords utilizadas por los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. El programa encargado de probar cada una de las palabras encripta cada una de ellas (mediante el algoritmo utilizado por el sistema atacado) y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden
se ha encontrado la clave de acceso al sistema mediante el usuario correspondiente a la clave hallada. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se esté atacando. DENIAL OF SERVICE (DOS) Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.  Jamming o Flooding Este tipo de ataques desactivan o saturan los recursos del sistema. Aquí el atacante satura el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (usando Spoofing y Looping). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por el "ping de la muerte" (una versión-trampa del comando ping). Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemas vulnerables. Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas destinos. .  Syn Flood Como ya se explicó en el TCP SYN Scanning el protocolo TCP se basa en una conexión en tres pasos. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto". El Syn Flood es el más famoso de los ataques del tipo Denial of Service, publicado por primera vez en la revista Phrack. Se basa en un "saludo" incompleto entre los dos hosts. El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el host hostil responda antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se responde a ninguna), el Servidor estará inactivo mucho tiempo esperando respuesta. Esto ocasiona la lentitud en los demás servicios.  Connection Flood La mayoría de las empresas que brindan servicios de Internet (ISP) tienen un límite máximo en el número de conexiones simultaneas. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas. Así, por ejemplo, un servidor Web puede tener, por ejemplo, capacidad para atender a mil usuarios simultáneos. Si un
atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar nuevas conexiones, (como ocurre con el caso del Syn Flood) para mantener fuera de servicio el servidor.  Net Flood En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas para cursar tráfico útil. El atacante envía tantos paquetes de solicitud de conexión que las conexiones auténticas simplemente no pueden competir. En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la línea. El siguiente paso consiste en localizar las fuentes del ataque e informar a sus Administradores, ya que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea Ip Spoofing, esto puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a su vez, víctima y el origen último puede ser prácticamente imposible de determinar  Land Attack Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP de las plataformas Windows(c). El ataque consiste en mandar a algún puerto abierto de un servidor (generalmente al 113 o al 139) un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección y puerto destino. Por ejemplo se envían un mensaje desde la dirección 10.0.0.1:139 hacia ella misma. El resultado obtenido es que luego de cierta cantidad de mensajes enviados-recibidos la máquina termina colgándose.  Supernuke o Winnuke Un ataque característico (y quizás el más común) de los equipos con Windows(c) es el Nuke, que hace que los equipos que escuchan por el puerto UDP 137 a 139 (utilizados por los protocolos Netbios de Wins), queden fuera de servicio (o disminuyan su rendimientos) al enviarle paquetes UDP manipulados. Generalmente se envían fragmentos de paquetes, que la máquina víctima detecta como inválidos pasando a un estado inestable  Teardrop I y II-Newtear-Bonk-Boink Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT(c) 4.0 de Microsoft(r) es especialmente vulnerable a este ataque. Aunque existen Patchs (parches) que pueden aplicarse para solucionar el problema, muchas organizaciones no lo hacen, y las consecuencias pueden devastadoras. Los ataque tipo Teardrop son especialmente peligrosos ya que existen multitud de implementaciones (algunas de ellas forman paquetes), que explotan esta
debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink. ATAQUES DE MODIFICACIÓN-DAÑO  Tampering o Data Diddling Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante; el Administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un competidor.  Borrado de Huellas El borrado de huellas es una de las tareas mas importantes que debe realizar el intruso después de ingresar en un sistema, ya que si se detecta su ingreso el Administrador buscará como conseguir "tapar el hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo. Los archivos Logs son una de las principales herramientas (y el principal enemigo del atacante) con las que cuenta un Administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos  Ataques Mediante Java Applets Java es un lenguaje de programación interpretado desarrollado inicialmente por SUN. Su mayor popularidad la merece en su alto grado de seguridad. Los más usados navegadores actuales, implementan Máquinas Virtuales Java (MVJ) para ser capaces de ejecutar programas (Applets) de Java. Estos Applets, al fin y al cabo no son más que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los Applets son de tal envergadura (imposibilidad de trabajar con ficheros a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad en las implementaciones de las MVJ.  Ataques Mediante JavaScript y VBScript JavaScript (de empresa Netscape(r)) y VBScript (de Microsoft(r)) son dos lenguajes usados por los diseñadores de sitios Web evitando el uso de Java. Los programas realizados son interpretados por el navegador. Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript, se pueden encontrar algunos de los siguientes:
Cuando apareció JavaScript, éste permitía el envío de mensajes de correo electrónico sin el reconocimiento del usuario, la lectura del historial de páginas visitadas, la lectura de directorios y de archivos. Estas fueron razón más que suficiente para que cientos de intrusos informáticos se aprovecharan de estas debilidades.  Ataques Mediante ActiveX ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft(r). Mediante ActiveX es posible reutilizar código, descargar código totalmente funcional de un sitio remoto, etc. Esta tecnología es considerada la respuesta de Microsoft(r) a Java. ActiveX soluciona los problemas de seguridad mediante certificados y firmas digitales. Una Autoridad Certificadora (AC) expende un certificado que acompaña a los controles activos y a una firma digital del programador. Cuando un usuario descarga una página con un control, se le preguntará si confía en la AC que expendió el certificado y/o en el control ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin ningún tipo de restricciones (sólo las propias que tenga el usuario en el sistema operativo). Es decir, la responsabilidad de la seguridad del sistema se deja en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la acción o un perfecto novato en la materia.  Ataques por Vulnerabilidades en los Navegadores Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan las tecnologías que implementan, aunque en este punto analizaremos realmente fallos intrínsecos de los navegadores, como pueden ser los "Buffer Overflow". Los "Buffer Overflows" consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo, cuando el usuario escribe una dirección en formato URL ésta se guarda en un buffer para luego procesarla. Si no se realizan las oportunas operaciones de comprobación, un usuario podría manipular estas direcciones. Los protocolo usado pueden ser HTTP, pero también otros menos conocidos, internos de cada explorador, como el "res:" o el "mk:". Precisamente existen fallos de seguridad del tipo "Buffer Overflow" en la implementación de estos dos protocolos. Para poder lanzar este tipo de ataques hay que tener un buen conocimiento de lenguaje Assembler y de la estructura interna de la memoria del Sistema Operativo utilizado. También se puede citar el fallo de seguridad descubierto por Cybersnot Industries(r) relativo a los ficheros ".lnk" y ".url"de Windows 95(c) y NT(c) respectivamente. Algunas versiones de Microsoft Internet Explorer(c) podían ser utilizadas para ejecutar la aplicación que se deseara siempre que existiera en el ordenador de la víctima (por ejemplo el tan conocido y temido format.com).
INSTRUSIONES EN LA RED La detección de ataques e intrusiones parte de la idea que un atacante es capaz de violar nuestra política de seguridad, atacando parcial o totalmente los recursos de una red, con el objetivo final de obtener un acceso con privilegios de administrador. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque. En la mayoría de los casos es deseable poder identificar el ataque exacto que se está´ produciendo, de forma que sea posible detener el ataque y recuperarse del mismo. En otras situaciones, solo será´ posible detectar e informar de la actividad sospechosa que se ha encontrado, ante la imposibilidad de conocer lo que ha sucedido realmente. Generalmente, la detección de ataques trabajara´ con la premisa de que nos encontramos en la peor de las situaciones, suponiendo que el atacante ha obtenido un acceso al sistema y que es capaz de utilizar o modificar sus recursos. Una instrusión es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo. La intrusión consistirá en la secuencia de pasos realizados por el atacante que viola una determinada política de seguridad. La existencia de una política de seguridad, en la que se contempla una serie de acciones deshonestas que hay que prevenir, es un requisito clave para la intrusión. Es decir, la violación solo se podrá detectar cuando las acciones observadas puedan se comparadas con el conjunto de reglas definidas en la política de seguridad. La detección de intrusiones es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red. Primeros sistemas para la detección de ataques en tiempo real El proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de detección de intrusos en tiempo real. Este proyecto, financiado entre otros por la marina norteamericana, proponía una correspondencia entre actividad mala y abuso o uso indebido. IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante me´todos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.
Un segundo sistema de detección de ataques en tiempo real que hay que destacar fue Dis- covery, capaz de detectar e impedir problemas de seguridad en bases de datos. La novedad del sistema radicaba en la monitorización de aplicaciones en lugar de analizar un sistema operativo al completo. Mediante la utilización de metodos estadísticos desarrollados en COBOL, Discovery pod´ıa detectar posibles abusos. Otros sistemas fueron desarrollados para ayudar a oficiales norteamericanos a encontrar marcas de ataques internos en los ordenadores principales de sus bases aé reas. Estos ordenadores eran principalmente servidores corporativos que trabajaban con informaciónno clasificada pero muy confidencial. MIDAS fue uno de los primeros sistemas de detección de intrusos conectados a internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autentificación de usuarios. ARQUITECTURA GENERAL DE UN SISTEMA DE DETECCION DE INTRUSIONES Desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:  Precisión. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.  Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada conocida como falsos negativos. Cuanto menor sea la tasa de falso negativos, mayor será la eficiencia del sistema de detección de intrusos. Este es un requisito complicado ya que en ocaciones pueda llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.  Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detecion en tiempo real responde a la detección de la intrusión antes de que esta llegue a provocar en el sistema. Este tiempo debería de ser inferior a un minuto.  Escabilidad. A medida que la red vaya creciendo, también aumentara el número de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el número de eventos, si que se produzca perdida de información.  Tolerancia en fallos. El sistema de detección de intrusiones debe ser capa de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión Detección basada en usos indebidos La detección de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los
procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos. Estas secuencias o patrones se conocen bajo el nombre de firmas de ataques y podrían ser comparadas con las firmas víricas que utilizan los productos actuales de detección de virus. Detección basada en anomalías Los procesadores de eventos que basan su detección en un esquema de anomalías trataran de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso, servicio con el comportamiento de perfil clasificado como normal. Un perfil sirve como métrica de comportamiento normal. Cualquier desviación que supere un cierto umbral respecto al perfil almacenado será tratado como una evidencia de ataque o intrusión Uno de los requisitos de este modelo es la necesidad de inicialización de un perfil por defecto que se ira adaptando progresivamente al comportamiento de un usuario, proceso o servicio no sospechoso. Unidades de respuesta Las unidades de respuesta de un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva). Las respuestas activas tienen como objetivo actuar contra el ataque, intentando su neutralización, en el momento en el que es detectado (o mientras una intrusión todavía continúa en curso). Un ejemplo de respuesta activa puede ser la cancelación de la conexión en red que origino´ el ataque o el propio seguimiento del ataque que permitiría más adelante el análisis correspondiente. Por contra, las respuestas pasivas se limitan a lanzar una alarma para informar y describir el ataque detectado en el administrador del sistema. La mayoría de los componentes de respuesta pasiva ofrecen distintas formas de hacer llegar esta información al administrador como, por ejemplo, mediante un correo electrónico mediante la utilización de mensajes SMS, et
CERTIFICADOS DE SEGURIDAD Los certificados de seguridad, mejor conocidos como SSL (Secure Sockets Layer), son un conjunto de protocolos criptográficos desarrollados en 1994 por Nestcape Communcations; su desarrollo inicial está basado en Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir, a través de una negociación, un canal seguro de comunicación entre dos puntos a nivel de socket (máquina + puerto). Básicamente, SSL proporciona autenticación y privacidad. Su uso puede darse en diferentes escenarios, dependiendo de algunos factores. Podríamos decir que SSL se implementa como una capa más del modelo OSI y/o TCP/IP, entre la capa de aplicación y transporte, esto lo hace ser independiente de la aplicación que lo use. De esta forma, proporciona seguridad a la pila de protocolos cifrando los datos salientes de la capa de Aplicación antes de que estos sean segmentados en la capa de Transporte y encapsulados y enviados por las demás capas. Del mismo modo, se usa en la mayoría de los casos junto a HTTP para formar HTTPS, que es el protocolo usado para asegurar las conexiones Web.
SSL El propósito de SSL es proporcionar seguridad a un sitio Web cifrando las comunicaciones entre el servidor (el equipo donde está corriendo el sitio Web) y el cliente (los equipos que visitan el sitio).Para usar SSL se necesita un certificado SSL. SSL es un conjunto de protocolos, el certificado de seguridad nos permite hacer uso de ese protocolo; también podríamos decir que los certificados nos permitirán cifrar las comunicaciones a través de SSL, pero tanto el protocolo como los certificados mismos forman parte de SSL. Este certificado debe estar instalado en el servidor, debe tener una dirección IP dedicada y los visitantes deben usar un navegador que soporte este protocolo y los certificados usados, que en la actualidad son casi todos. SSL contiene un par de claves, una clave pública y una clave privada, así como información verificada sobre la identificación. Básicamente se trata de un archivo de datos, que está vinculado con los datos del sitio Web y el sistema de cifrado. Estos datos pueden ser su nombre de dominio, nombre de servidor y nombre de host; dependiendo del caso también se pueden usar otros datos como el nombre y la ubicación de la empresa. El cifrado no es otra cosa que un proceso matemático, este es usado para codificar/decodificar la información; el cifrado nos garantiza que la información estará protegida durante su transferencia. Como vemos, el proceso que hace SSL es de “autenticación”, que es verificar la identidad de un sitio Web; esta verificación la hace un tercero para poder garantizar la confianza. Existen dos razones principales para querer usar SSL, la primera y posiblemente la más usada, es para el comercio electrónico y poder aceptar pagos
en línea con tarjeta de crédito. Si el sitio Web maneja transacciones comerciales, en donde se trasmitan datos de tarjetas de crédito, cualquier banco y sus asociados exigirán el uso de certificados de seguridad, incluso esto está estandarizado como PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago). Es requerido por sistemas bancarios y de pago como Visa, MasterCard, Discover Network, American Express, Diners Club, etc. En caso opuesto, si el sitio Web realiza comercio electrónico pero NO realiza procesos de pago de forma directa sino que se realizan a través de sistemas como Paypal, Amazon, etc entonces el uso de SSL no será obligatorio. La segunda razón es para mantener segura la información confidencial que maneja el sitio Web; normalmente se usa para proteger los inicios de sesión y evitar que los nombres de usuario y contraseñas sean transmitidos en texto plano. Esto también se aplica en caso de que un sitio Web ofrezca servicios de correo, en donde datos de carácter personal son usados diariamente por los usuarios. Hoy en día con el auge de los servicios en la nube (cloud computing) se estan implementando mucho más los certificados de seguridad para poder garantizar la confidencialidad e integridad de la información. Los certificados SSL deben ser emitidos por un certificado raíz, de una Autoridad de certificación que sea de confianza. Este certificado raíz debe estar presente en el ordenador del usuario para que el certificado SSL sea confiable, caso contrario, el navegador mostrará al usuario un mensaje advirtiendo que el sitio Web presenta un certificado pero no es de confianza. En el caso del comercio electrónico, este tipo de errores inducen a perder la confianza por completo de un sitio Web. Ahora bien, este tipo de alertas no necesariamente dice que el sitio Web no es de confianza, simplemente que el navegador no conoce/reconoce su certificado de seguridad. Por ejemplo, si yo creo un certificado SSL (con OpenSSL se podría hacer) porque no quiero o no puedo pagar uno, y este certificado ha sido emitido por Expresión Binaria, por muy robusto y seguro que este sea, es muy probable que los navegadores Web no lo reconozcan, repito no es porque carece de seguridad, es más bien por un asunto “protocolar y burocrático” ya que Expresión Binaria no es una Autoridad Certificadora. En un sitio Web de carácter personal esto quizás no sea un problema, pero en un portal comercial podría generar cierta desconfianza en los clientes.
Tipos de certificados de seguridad Existen diferentes tipo de certificados SSL que se pueden usar en un sitio Web, creo que básicamente todo dependerá de las necesidades, gustos y capacidad monetaria que se tenga, pero principalmente dependerá de las necesidades. Certificados compartidos (Shared Certificates) Estos certificados por lo general son gratuitos, y son dados de esta forma para empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros caso pueden ser generados de forma personal (usando OpenSSL por ejemplo) o a través de algún servicio que preste un sitio Web. Cumplen su función (de forma básica), pero el hecho de ser “compartidos” no los relaciona directamente con el nombre de dominio del sitio Web, esto provocará los mensajes de alerta de los que hablé antes. Creo que ese punto quedó claro, pero hagamos un ejemplo para ilustrarlo mejor: cuando un usuario visite mi sitio Web dominio.com se intentará verificar/autenticar a través del certificado de seguridad que está emitido por certdominio.com, esto generará “la desconfianza” ya que ambos dominios son diferentes. Estos certificados son apropiados para asegurar la conexión con un sitio Web o el servidor de un sitio Web, pero no serán usados por el todos los visitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio. Los certificados compartido no son apropiados para el comercio electrónico, en estos casos se usan certificados privados, en donde el certificado esté relacionado/emparentado con el dominio. Certificados de validación de nombre de dominio (Domain Validated Certificate) Estos son los certificados SSL más básicos, se enfocan en validar solo el nombre de dominio (dominio.com). Es ideal para situaciones en las que los visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar datos personales (nombre de usuario, contraseña, email, etc) o realizar pagos con tarjetas de crédito. A diferencia de los certificados compartidos, estos no serán objeto de mensajes de advertencia por parte de los navegadores. Estos certificados son apropiados para cualquier situación en donde se quiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser adquiridos por cualquier persona. Sus costos son bajos en la mayoría de los casos. Certificados de validación de compañías (Company Validated Certificate)
Estos certificados son muy similares a los de validación de dominios, la diferencia es que para estos es necesario validar datos de la propia compañía y no solo su dominio. Más validación, más seguridad. Desde un punto de vista de negocio y reputación, una compañía que use este tipo de certificado de seguridad, no solo esta validando su dominio (dominio.com) sino también su empresa. Esto es un poco “superficial” pero de alguna manera y hasta cierto punto, el hecho de que un tercero (asociación certificadora) valide la empresa (y no solo su dominio) generará mayor confianza a sus clientes. Es una cuestión de “reputación” si se quiere. Certificado de validación extendido (Extended Validation Certificates – EV) Estamos ante el “top” de los certificados. El proceso de verificación es aún mayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Web como de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los requerimiento como los procedimientos son minuciosos. La barra verde es exclusiva de este certificado. Les asegura a los visitantes que están ante una empresa/organización validada y asegurada. Además, un sitio protegido mediante este certificado hace que los navegadores web muestren el nombre de la organización junto a la barra de direcciones (en este caso verde) y al nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad de certificación controlan la visualización, lo que hace que las técnicas de phishing sean más difíciles de aplicar. Certificados Wildcard (Wildcard Certificates) Estos certificados permiten usar un único certificado SSL para ser usado en múltiples subdominios. Por ejemplo, el certificado será usado para dominio.com, compras.dominio.com, contacto.dominio.com, etc. Certificados Multi-dominio (Multi-Domain Certificates) Estos son similares a los Wildcard, la diferencia es que en este caso son usados para dominios (y no subdominios). Por ejemplo, el certificado será usado para dominio.com, dominio.net, dominio.org, etc.
True BusinessID: El certificado True BusinessID es válido para un único dominio o subdominio y permite una encriptación de datos de hasta 128/256 bits e introducir los datos de su empresa o entidad como datos identificativos de su certificado SSL. El TrueBusinessID es un certificado superior utilizado en empresas que permite, además de proteger los datos que circulan por la página, que la información del certificado que aparece en el navegador sea más completa y específica que el RapidSSL. Además se puede poner un sello de SSL dinámico con toda la información de la empresa. Es compatible con los navegadores; IE 5.01+, AOL 5+, Netscape 4.7+, Ópera 7+, Safari, Mozilla 1+ y Firefox 1+. True BusinessID with EV: El certificado True BusinessID with EV es válido para un único dominio o subdominio y permite una encriptación de datos de hasta 128/256 bits e introducir los datos de su empresa o entidad como datos identificativos de su certificado SSL. Además la tecnología EV, le permitirá ver en la barra de direcciones de su navegador, una pequeña barra verde notificando la autenticidad del certificado de seguridad SSL. Es compatible con los navegadores; IE 5.01+, AOL 5+, Netscape 4.7+, Ópera 7+, Safari, Mozilla 1+ y Firefox 1+. PFSENSE Pfsense es una fuente libre, abierto de distribución personalizada de FreeBSD adaptado para su uso como cortafuegos y el router. Además de ser una plataforma potente, flexible cortafuegos y enrutamiento, que incluye una larga lista de características relacionadas y un sistema de paquetes que permite mayor capacidad de expansión sin añadir hinchazón y posibles vulnerabilidades de seguridad a la distribución base. Pfsense es un proyecto popular, con más de 1 millón de descargas desde su creación, y probadas en un sin número de instalaciones que van desde pequeñas redes domésticas que protegen un solo equipo a las grandes corporaciones, universidades y otras organizaciones de protección de miles de dispositivos de red. Este proyecto se inició en 2004 como un tenedor del mOnOwall proyecto, pero enfocado hacia instalaciones completas de PC en lugar del enfoque integrado de hardware mOnOwall. Es un sistema basado en FreeBSD que ya viene con software explicito para seguridad informática. Antes que todo debemos de instalar nuestro Pfsense. Para descargar Pfsense lo puedes hacer a través de este link http://fleximus.org/mirror/pfsense/downloads. Para saber los requerimientos minimos del hardware antes de instalar podemos ir
al siguiente link http://www.pfsense.org/?option=com_content&task=view&id=45&Itemid=48 CARACTERISTICAS PfSense incluye la mayoría de todas las funciones de cortafuegos comerciales caros, y más en muchos casos. La siguiente es una lista de las funciones disponibles en la versión 2.0 de pfSense. Todas estas cosas son posibles en la interfaz web, sin tocar nada en la línea de comandos. FIREWALL  Filtrado de IP de origen y destino, puerto de protocolo, origen y destino IP para tráfico TCP y UDP  Capaz de limitar las conexiones simultáneas en una base por regla  pfSense utiliza p0f, una utilidad de fingerprinting OS / red pasiva avanzada que le permite filtrar por el sistema operativo que inicia la conexión. ¿Desea permitir que las máquinas FreeBSD y Linux a través de Internet, pero cuadra máquinas Windows? pfSense puede hacerlo (entre muchas otras posibilidades) mediante la detección pasiva del sistema operativo en uso.  Opción para registrar o no registrar el tráfico que coincide con cada regla.  Altamente flexible de políticas de enrutamiento posible por medio de puerta de enlace en una base por regla (para el equilibrio de carga, conmutación por error, múltiples WAN, etc)  Alias permiten agrupar y nombrar de IPs, redes y puertos. Esto ayuda a mantener el conjunto de reglas de firewall limpio y fácil de entender, especialmente en entornos con múltiples direcciones IP públicas y numerosos servidores.  Capa transparente 2 cortafuegos capaz - puede salvar interfaces y filtran el tráfico entre ellos, incluso teniendo en cuenta un IP-menos firewall (aunque es probable que desee una IP para fines de administración).  Normalización de paquetes - Descripción de la documentación matorral pf - "'fregado' es la normalización de los paquetes para que no haya ambigüedades en la interpretación por el destino final del paquete de la directiva scrub también reensambla los paquetes fragmentados, protegiendo algunos sistemas operativos de algunas formas de. ataque, y las gotas de paquetes TCP que tengan combinaciones de indicadores válidos ". o Habilitado en pfSense por defecto o Se puede desactivar si es necesario. Esta opción hace que los problemas para algunas implementaciones NFS, pero es seguro y se debe dejar activada en la mayoría de instalaciones.  Desactivar filtro - se puede desactivar el filtro de firewall por completo si desea encender pfSense en un router puro.
INSTALACION Bueno para comenzar con la instalacion lo primero que debemos de tener a la mano es la imagen de pfSense, despues de quemarla podremos comenzar con la instalacion Comienzo instalacion Asi es el primer pantallazo que observamos cuando nuestro cd comienza con la instalacion. Principio de instalacion Crear vlans: En este paso el sistema nos pregunta si queremos crear Vlans. lo cual decimos que no (n)
Interfaces: Este es el paso donde el sistema identifica las interfaceslan y wan. Las cuales se pueden hacer automáticas. Seleccion de interfaces: Después de haber seleccionado que tarjeta va hacer wan y lan. Presionamos enter para continuar, después de este paso este se puede demorar unos cuantos segundos. En este menu escogeremos la opcion 99. Lo cual iniciaria el asistente de instalacion.
Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto. En este paso si se comienza a dar la instalacion por completo, en este punto se hace el formateo del disco y el particionado del mismo. Formateo del disco Se comenzara el formateo del disco recordar que todos los datos que tengamos grabados en esta unidad se perderan.
Geometria disco Selecionamos la geometria del disco. Formato Damos inicio al formato del disco. Particionamiento Se nos pide particionar el disco. Esto es para poder instalar el sistema operativo
Particionado : Se puede instalar otros sistemas de archivos pero por defecto viene seleccionado FreBSD. Partición; Nos pregunta en que partición vamos a instalar pero como en este caso solo tenemos esta presionamos enter. Características de partición :En este paso nos dice que la partición es primaria y que todo se borrara sin forma de recuperar. Que si estamos seguros presionamos enter.
Particionamiento final: Nos muestra como quedo el particionado en nuestro disco. Copiando archivos: En este momento se están copiando todos los archivos al disco, después de que esto termine prácticamente tendremos instalado nuestro PfSense en nuestro equipo. Reiniciar: Solo queda reiniciar nuestro computador para poder deleitarnos de todos los servicios que trae nuestro PfSense. Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la dirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedirá autenticarnos lo que realizamos con: User: admin
Password: pfsense Después de autenticarte estarás dentro del entorno web que hay que cambiar algunos parámetros que están por defecto.
Untangle Es una plataforma para desplegar aplicaciones basadas en redes. La plataforma une estas aplicaciones alrededor de un GUI común, base de datos y señalamiento. Las aplicaciones sobre la plataforma de Untangle inspeccionan el tráfico de la red simultáneamente, lo cual reduce los requisitos de recurso de cada aplicación individual enormemente. La plataforma de Untangle soporta muchas aplicaciones de fuentes abiertas y software adicionales de comercial actualmente. Historia de fundación. Dirk Morris y John Irwin estaban hartos. Aumentar un ambiente de la red barato y seguro hacia dentro departamental o ajustes de la "Pequeña empresa" era demasiado difícil. Si el constructor usara productos de versión comercial, era demasiado costoso. Si el software de código abierto fuera usado, era pesado al máximo y requería servidores múltiples. En el invierno seco tibio de 2002, decidieron hacer algo sobre eso. De la misma manera que muchos soñadores de Silicon Valley antes de ellos, buscaron a amigos y familia por fondos y empezaron una compañía. Aprovecharon sus contactos en Carnegie Mellon University y Stanford para construir un equipo de desarrollo de punto principal fuerte. Y durante los próximos tres años, se desanimaron y cortaron el proyecto. Para cortar gastos de producción, utilizaron aproximadamente 30 proyectos de código abierto. Para acelerar el desarrollo y hacer que la base de código resultara más accesible, implementaron Java. Y para hacerlo funcionar todo sobre un servidor barato sólo inventaron y patentaron una nueva manera de racionalizar la sobrecarga de comunicaciones entre los módulos. Llamaron su solución "canalización virtual." Pruebas beta en 2005-2006 les arrojaron que tenían un producto que era rentable y funcional. En 2006, pidieron y obtuvieron la "financiación serie A”, que usaron para contratar el equipo que adoptaría la compañía. A finales del año, el equipo inicial estaba completo y las ventas estaban en auge. Estaban ahora listos para tomar el próximo paso - la "devolución" para la comunidad de fuente descubierta y ganar la influencia de cada vez más operaciones simultáneamente. Misión. Untangle existe para utilizar las prácticas de ingeniería abierto - origen para hacerlo más simple y más barato para empresas crear y mantener infraestructuras de IT. Creencias. En el mercado de software rápidamente - madurando de hoy, el ascendiente de los métodos de fuente abiertos es casi seguro. Este proceso comenzó con software de infraestructura, y está trepando a la pila de software
gradualmente. El espacio de seguridad de IT está ahora listo para la entrada, y Untangle está recogiendo la espada. Filosofía. Nos paramos en los hombros de gigantes - Linus Torvalds, James Ansarino, y muchos otros - y esperamos que otros se paren en nuestro algún día completamente. Maximizaremos nuestras contribuciones a la colectividad de software de fuente abierta, y daremos el crédito donde sea apropiado. Nuestro éxito está integralmente relacionado con nuestra conexión próspera y vibrante a la comunidad. Ambiciones. Pensamos hacer el software abierto - fuente la manera preferida que las empresas bien comunican sobre la Internet Servidor Untangle El Servidor Untangle da una forma sencilla de proteger, controlar y supervisar toda la red. Ofrece la tecnología necesaria para protegerse de amenazas como virus, spyware y ataques. Protege la productividad mediante el control de Web ilegítima surf, y da una en profundidad vista de la actividad de la red. Todo esto en una sola interfaz utilizable. Reports proporciona informes claros y concisos acerca del tráfico de red y violaciones de las políticas. Con esta información se pueden detectar los problemas relacionados con virus o spyware, así como supervisar ilegítimo comportamiento de los usuarios, tales como navegación por Internet o mensajería instantánea. El Servidor Untangle se ejecuta en un PC situado entre la conexión a Internet (módem de cable o DSL, etc) y el switch. Se puede sustituir o complementar una ya existente o router Firewall. Requisitos del hardware Recursos CPU: Memory: Hard Drive: Network Cards: Mínimo 1.0 GHz 512 MB 20 GB 2 Recomendado: 2.0+ GHz 1-2 GB 40+ GB 3+ (for DMZ) Nota: Se debe tener una unidad de CD/DVD en el servidor o computadora para instalar Untangle
Instalación PASO 1. Conecte el servidor de Untangle en su red como se lo vaya a utilizar, haciendo esto ahora ayudará en las etapas posteriores de la instalación. Los siguientes diagramas muestran los dos métodos más comúnmente utilizados. Si necesita que su servidor Untangle preparados fuera de la primera línea, asegúrese de que el servidor Untangle tiene acceso a Internet. Usted será capaz de conectarlo según lo previsto más adelante. Si ya tiene un router / firewall y desea que se mantenga instalado, instale el servidor Untangle entre el firewall y el conmutador interno principal. En este escenario, el servidor Untangle funcionará como un puente. No es necesario cambiar la ruta por defecto (gateway) en cualquier equipo detrás del firewall, ni el cambio de las rutas en el router. PASO 2.Si no tienes una ya existente o un router que desea reemplazar su enrutador existente, conecte el servidor Untangle como se muestra aquí. Además, proporcionará servicios de enrutamiento para su red, así como protección de firewall. PASO 3. Cuando el sistema haya reiniciado automáticamente iniciará el asistente que nos ayudará a la configuración de Untangle para ser usado en nuestra red.Siga los pasos en el asistente. PASO 4. Hemos instalado satisfactoriamente Untangle en el ordenador o servidor y configurado la conexión en red. Ahora ya está listo para descargar aplicaciones. Si no está seguro de las aplicaciones que deseamos descargar ¿Qué aplicaciones debemos utilizar? el Asistente de aplicaciones nos ayudará. Si sabemos lo que queremos instalar, hacer lo siguiente: •Haga clic en la aplicación que desea descargar. (Paso 1). • Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora", dependiendo de lo que le gustaría hacer y qué opciones están disponibles (paso 2). Las solicitudes de primas están disponibles en 14 días versión de prueba gratuita. • La aplicación aparecerá en su estante después de que haya sido descargado (paso 3) PASO 5. Casi todas las aplicaciones de Untangle se ejecutan e instalan automáticamente (se ven cuando están en verde) Si deseamos ajustar las configuraciones iniciales, clic en el botón de Ajustes para poder ajustar dichas configuraciones. Únicamente después se hace clic en Aceptar para guardar los
cambios y Cancelar para rechazarlos. Las aplicaciones se activan o desactivan dando clic en el botón de On Para remover las aplicaciones se hace clic en el botón Remover de la lista los aplicativos que consideremos no vamos a necesitar Implementación Untangle no solo permite la moderación de acceso a sitios web sino que podemos restringir la descarga de tipos de archivos que como administradores de red y seguridad informática consideremos de riesgo para nuestra red FORTINET Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes (firewalls, UTM...). La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado. En los últimos años Fortigate produce una amplia gama de dispositivos para la protección de redes: FortiGate-60C, FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate- 200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A, FortiGate-800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A, FortiGate- 3016B y FortiGate-5000 series. Además de estos, también cuenta con dispositivos wifi, y servidores para centralizar la seguridad de una empresa con múltiples fortigates dispersos en la red. Características  Presencia mundial de sus centros de operación, ventas y soporte  Sede central en Sunnyvale, California  Mas de 75 000 clientes en todo el mundo con más de 450 000 equipos instalados  Mas de 40 oficinas en América, Asia, emea y con cede central europea en Francia  Pioneros en la utilización de circuitos integrados de aplicaciones específicas para acelerar los procesos de seguridad hasta el nivel de aplicación
 Único modo de ofrecer protección completa en tiempo real  Líderes en el mercado utm según idc desde 2003 hasta el 2009 Fortinet es la compañía de seguridad de más rápido crecimiento en la historia. Desde su entrada en el mercado anualmente ha duplicado su penetración en el mismo asi como sus beneficios con una inversión constante Lineas de Productos FortiAP Seguridad redes Wireless wifi, Seguridad, Inalambrica Protección de Redes Wireless utilizando dispositivo FortiGate como controladora Esta nueva línea de puntos de acceso (AP) amplia la gestión unificada de amenazas de FortiGate al entorno de redes inalámbricas. Cada FortiAP dirige todo su tráfico al controlador inalámbrico integrado en las plataformas FortiGate. Este tráfico se somete a las políticas de firewall reenviando sólo tráfico wireless autorizado. El motor de inspección de FortiGate identifica las aplicaciones en la capa 7 y limita la velocidad de las aplicaciones no críticas del negocio. Desde una única consola puede controlar el acceso de red, actualizar las políticas de forma rápida y sencilla, y vigila su cumplimiento. Además, FortiAP utiliza el protocolo estándar basado en CAPWAP (Control and Provisioning of Wireless Access Point) para la conexión de puntos de acceso ligeros frente a los métodos propietarios utilizados por la competencia. Especialmente diseñada para los entornos de red más exigentes de hoy en día, la serie de FortiAPs se basa en años de experiencia de Fortinet en envíos seguros, protegidos por cable y acceso inalámbrico. Estrategia centrada en redes inalámbricas. La línea de productos FortiAP es el primer fruto de la estrategia de Fortinet centrada en la seguridad en redes locales inalámbricas de carácter empresarial. Como primeros productos dentro de la gama FortiAP, FortiAP-210 con single- radio/banda dual y FortiAP-220 con banda dual y radio dual, ofrecen cobertura fiable, alto rendimiento y un precio competitivo de alto valor comparado con productos similares de su clase. La línea FortiAP puede ser utilizada para ofrecer acceso a la red inalámbrica a empleados, locales comerciales, almacenes, puntos de venta o hotspots para el uso de invitados.
Entre los beneficios de la gama FortiAP cabe destacar los siguientes:  Autenticación: la autenticación más fuerte con WPA2 y un portal cautivo integrado para el acceso de invitados.  Inspección profunda de la capa 7: permite la priorización de ancho de banda inalámbrico para aplicaciones críticas.  Política de cumplimiento: políticas de identidad-conocimiento, junto con la detección de puntos y presentación de informes, control granular endpoint, informes de auditoría, análisis específicos y mensurables.  Bajo TCO: opciones de despliegue y capacidad flexibles para aprovechar la base instalada de FortiGate, una plataforma común de gestión centralizada y sin derechos de licencia especiales reducen aún más el coste total de propiedad. Todos los dispositivos FortiGate desde la serie FortiGate-60 podrán actuar como controladores para FortiAP, dando a los clientes la flexibilidad y escalabilidad para elegir entre la amplia gama de controladores ofrecidos por otros proveedores. Los dispositivos FortiGate también podrán actuar como puntos únicos de gestión de redes locales inalámbricas y cableadas. Además de las características de seguridad ya existentes ofrecidas por los dispositivos FortiGate, los controladores de punto de acceso FortiGate incluirán gestión WLAN y sistema inalámbrico de detección de intrusos. Cada plataforma FortiGate es capaz de ofrecer gestión centralizada de todos los puntos de acceso y dispositivos. Desde una única consola, los clientes pueden controlar el acceso a la red, actualizar de forma rápida y sencilla sus políticas y ayudar al cumplimiento de las normativas. Nuevos FortiAP-210 y FortiAP-220, que soportan los últimos estándares IEEE 802.11n, diseñados para ofrecer capacidades de red inalámbrica para clientes de la mediana empresa y de las operadoras con una base de usuarios totales o redes distribuidas de 250-5.000 usuarios. FortiGate® Plataformas y dispositivos de seguridad en redes Antispam, UTM, Firewall, Antivirus, VPN, Filtrado web, Cortafuegos, IPS/IDS La línea FotiGate proporciona una completa protección basada en la red contra múltiples tipos de amenaza sin degradar la disponibilidad de la red. FortiGuard® Servicios de subscripción de seguridad Antispam, Antivirus, Filtrado web, IPS/IDS
Los productos de Fortinet ofrecen potección dinámica a través de los servicios de suscripción de seguridad FortiGuard los cuales proveen actualizaciones automáticas para los servicios de antivirus, prevención de intrusos, filtrado web y antispam. FortiMail Dispositivos de seguridad de correo electrónico Archivado, Antispam, Antivirus, Seguridad de e-mail Los dispositivos FotiMail ofrecen avanzadas capacidades de filtrado antispam y antivirus con cuarentena y archivado. Fortinet Análisis y gestión Consola, Gestión de la seguridad, Reporting Las soluciones de gestión centralizada, registro y reporte de Fortinet ofrecen un potente aunque sencillo conjunto de herramientas que reducen la sobrecarga del administrador y las complejidades asociadas con despliegues de gran escala. FortiClient Clientes de seguridad de puestos de trabajo Seguridad del puesto de trabajo, Movilidad FortiClient PC y FortiClient Mobile proveen seguridad dinámica para Pcs, laptops y smartphones. FortiDB Seguridad y cumplimiento para bases de datos Bases de datos, Gestión de vulnerabilidades, Auditoría de seguridad, Monitorización, Cumplimiento FortiDB ofrece capacidades de detección de vulnerabilidades, monitorización y auditoría para endurecer bases de datos contra amenazas y trazar el flujo de información dentro de la misma. FortiWeb Dispositivos de seguridad para la Web Application firewall, Cortafuegos de aplicaciones FortiWeb provee firewalls de aplicación y XML para proteger, balancear y acelerar las aplicaciones Web, las bases de datos y la información intercambiada entre ellas
Seguridad en la red

Recomendados

Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Yeider Fernandez
 
Presentación Fortinet
Presentación FortinetPresentación Fortinet
Presentación FortinetCarlos Manuel Sande
 
Proyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intProyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intalberto_arroyo
 
Presentacion Productos Fortinet
Presentacion Productos FortinetPresentacion Productos Fortinet
Presentacion Productos FortinetRicardo S Steffens G
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall Catha Guzman
 
Firewall
FirewallFirewall
FirewallJAV_999
 

Recomendados

Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Actividad 1 Firewall (FortiGate)
Actividad 1 Firewall (FortiGate)Yeider Fernandez
 
Presentación Fortinet
Presentación FortinetPresentación Fortinet
Presentación FortinetCarlos Manuel Sande
 
Proyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intProyecto de seguridad perimetral calier int
Proyecto de seguridad perimetral calier intalberto_arroyo
 
Presentacion Productos Fortinet
Presentacion Productos FortinetPresentacion Productos Fortinet
Presentacion Productos FortinetRicardo S Steffens G
 
Seguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoSeguridad en cisco firewall by ro ckberto
Seguridad en cisco firewall by ro ckbertoRoberto Flores
 
Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Firewall (Corta Fuegos)
Firewall (Corta Fuegos)Charxavier_00
 
Tipos de firewall
Tipos de firewall Tipos de firewall
Tipos de firewall Catha Guzman
 
Firewall
FirewallFirewall
FirewallJAV_999
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion NiverNiver Daniel Navarro Garrido
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
Firewall
FirewallFirewall
Firewallguajiro27
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewallleandryu5
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Firewall
FirewallFirewall
Firewalljohusiro
 
Què es un firewall
Què es un firewallQuè es un firewall
Què es un firewallmiriamfransua
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
Firewalls
FirewallsFirewalls
FirewallsEugenia Nuñez
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLisreal
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicionJONNATAN TORO
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Firewall
FirewallFirewall
FirewallMiguel Guamán Bravo
 
Firewall
FirewallFirewall
FirewallGiulianna Ángeles Espinoza
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 
Firewall
FirewallFirewall
Firewallmonica2702
 
firewall
firewallfirewall
firewallBurgos_Curiel_Brandon
 
Firewall
FirewallFirewall
FirewallBurgos_Curiel_Brandon
 
dmz definicion
dmz definiciondmz definicion
dmz definicionNicolas Notempus
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informaticaFlaa Sheando
 

Más contenido relacionado

La actualidad más candente

Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informaticaJESSIKADG86
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewallleandryu5
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALLisreal
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informaticaJESSIKADG86
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewallmaryr_
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLisreal
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicionJONNATAN TORO
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su funciónConsuelo Sandoval
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewallJakol Inugami
 

La actualidad más candente (20)

Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Firewall presentacion Niver
Firewall presentacion NiverFirewall presentacion Niver
Firewall presentacion Niver
 
Actividad 5 seguridad informatica
Actividad 5 seguridad informaticaActividad 5 seguridad informatica
Actividad 5 seguridad informatica
 
Firewall
FirewallFirewall
Firewall
 
Presentacion Firewall
Presentacion FirewallPresentacion Firewall
Presentacion Firewall
 
diaspositivas FIREWALL
diaspositivas FIREWALLdiaspositivas FIREWALL
diaspositivas FIREWALL
 
Actividad 6 seguridad informatica
Actividad 6 seguridad informaticaActividad 6 seguridad informatica
Actividad 6 seguridad informatica
 
Firewall
FirewallFirewall
Firewall
 
Què es un firewall
Què es un firewallQuè es un firewall
Què es un firewall
 
Actividad 5 firewall
Actividad 5 firewallActividad 5 firewall
Actividad 5 firewall
 
Firewalls
FirewallsFirewalls
Firewalls
 
INVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALLINVESTIGACION DE FIREWALL
INVESTIGACION DE FIREWALL
 
Firewall presentaciones exposicion
Firewall presentaciones exposicionFirewall presentaciones exposicion
Firewall presentaciones exposicion
 
Que es un firewall y su función
Que es un firewall y su funciónQue es un firewall y su función
Que es un firewall y su función
 
Firewall
FirewallFirewall
Firewall
 
Firewall
FirewallFirewall
Firewall
 
Presentacion firewall
Presentacion firewallPresentacion firewall
Presentacion firewall
 
Firewall
FirewallFirewall
Firewall
 
firewall
firewallfirewall
firewall
 
Firewall
FirewallFirewall
Firewall
 

Similar a Seguridad en la red

Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informaticaFlaa Sheando
 
Trabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaTrabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaFlaa Sheando
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarIber Pardo Aguilar
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaVenomousW1
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Juan Anaya
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICANeto-bujia
 

Similar a Seguridad en la red (20)

dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informatica
 
Trabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad InformáticaTrabajo Práctico de Seguridad Informática
Trabajo Práctico de Seguridad Informática
 
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo AguilarVulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
Vulnerabilidades y soluciones Evidencias 3, Iber Pardo Aguilar
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaning
 
S eguridad
S eguridadS eguridad
S eguridad
 
Firewall's
Firewall'sFirewall's
Firewall's
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Investigacion seguridad 2
Investigacion seguridad 2Investigacion seguridad 2
Investigacion seguridad 2
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad
SeguridadSeguridad
Seguridad
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 

Último

La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Último (20)

La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfAnálisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 

Seguridad en la red

  • 1. SEGURIDAD EN LA RED ADMINISTRACION DE REDES Catedrático: Francisco Vázquez Guzmán Elaborado por: Fabiola Aguilar Martínez Tehuacán, Pue; 29 de mayo del 2013
  • 2. SEGURIDAD EN LA RED INTRODUCCION Es muy probable que al dejar la oficina al final del día active el sistema de alarma y bloquee la puerta para proteger el equipo y la oficina. También puede que disponga de un archivador con candado para guardar los documentos confidenciales de la empresa. Su red de computadoras necesita el mismo tipo de protección. Las tecnologías de seguridad de redes protegen su red contra el robo y el uso incorrecto de información confidencial de la empresa y ofrecen protección contra ataques maliciosos de virus y gusanos de Internet. Sin ninguna seguridad de la red, su compañía se enfrenta a intrusiones no autorizadas, periodos de inactividad de la red, interrupción del servicio, incumplimiento de las normas e incluso a acciones legales. Es por eso que muchos sistemas están expuestos a agujeros de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas vulnerabilidades ocurren por varias razones y miles de puertas invisibles con descubiertas cada día en sistemas operativos, aplicaciones de software, protocolos de red, browsers de internet, correo electrónico y todas clases de servicios informático disponible. Los sistemas operativos abiertos como Unix y Linux tienen agujeros más conocidos y controlados que aquellos que existen en sistemas operativos cerrados como Windows. La importancia y ventaja del código abierto radican en miles de usuarios analizan dicho código en busca de posibles bug s y ayudan a obtener soluciones en forma inmediata. Constantemente encontramos en internet avisos de nuevos descubrimientos de problemas de seguridad y herramientas de hacking que los explotan, por lo que hoy también se hace indispensable contar con productos que conocen esas debilidades, puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado. La seguridad es un tema que debe inquietar a cualquier organización que hoy día decida conectarse a su red a otras sobre Internet. El número de incidentes contra sistemas conectados casi se duplica cada año, según el Coputer Emergency Response Team Coordination Center (CERT-CC). Todas las líneas actuales de investigación en seguridad de redes comparten una idea: la concentración de la seguridad en un punto. Se obliga a que todo el tráfico entre la red que se pretende proteger y las redes externas pase por un mismo punto. Este punto se conoce con el nombre de firewall, y físicamente puede ser desde un simple host para un complejo conjunto de redes separadas por routers. El empleo de un firewall presenta enormes ventajas sobre los enfoques de seguridad en redes tradicionales que requieren la seguridad individual de cada host conectado, y por tan
  • 3. solo pueda justificarse en entornos con un reducido número de máquinas permitiendo, concentrar todos los esfuerzos en el control de tráfico a su paso por el firewall. Funcionamiento de la seguridad La seguridad de la red no se basa en un método concreto, sino que utiliza un conjunto de barreras que defienden su negocio de diferentes formas. Incluso si falla una solución, se mantendrán otras que protegerán la compañía y sus datos de una gran variedad de ataques a la red. Las capas de seguridad de la red garantizan que tenga a su disponibilidad la información importante en la que se basa para dirigir su negocio y que estará protegida de las diferentes amenazas. En concreto, la seguridad de la red:  Protege contra ataques a la red tanto internos como externos. Las amenazas se pueden originar tanto dentro como fuera de la estructura de su empresa. Un sistema de seguridad efectivo supervisará toda la actividad de la red, detectará el comportamiento malicioso y adoptará la respuesta adecuada.  Garantiza la privacidad de todas las comunicaciones, en cualquier lugar y en cualquier momento. Los empleados pueden acceder a la red desde casa o mientras se desplazan con la garantía de que sus comunicaciones serán privadas y estarán protegidas.  Controla el acceso a la información mediante la identificación exhaustiva de los usuarios y sus sistemas. La empresa puede establecer sus propias reglas sobre el acceso a los datos. La denegación o la aprobación se puede otorgar según las identidades de los usuarios, la función del trabajo u otros criterios específicos de la empresa.  Le hará más confiable. Puesto que las tecnologías de seguridad permiten a su sistema evitar ataques conocidos y adaptarse a las nuevas amenazas, los empleados, clientes y Socio de Negocioss comerciales pueden confiar en que su información estará segura.
  • 4. TIPOS DE ATAQUES SCANNING (BÚSQUEDA) El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular. Muchas utilidades de auditoría también se basan en este paradigma. La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de conectado, grabar el número. En otro caso, la computadora cuelga el teléfono y llama al siguiente número. Scanear puertos implica las mismas técnicas de fuerza bruta. Se envía una serie de paquetes para varios protocolos y se deduce que servicios están "escuchando" por las respuestas recibidas o no recibidas. Existen diversos tipos de Scanning según las técnicas, puertos y protocolos explotados:  TCP Connect() Scanning Esta es la forma básica del scaneo de puertos TCP. Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está abierto o que no se puede establecer conexión con a él. Las ventajas que caracterizan esta técnica es que no necesita de privilegios especiales y su gran velocidad. Su principal desventaja es que este método es fácilmente detectable por el Administrador del sistema. Se verá un gran número de conexiones y mensajes de error para los servicios en los que se ha conseguido conectar la máquina que lanza el scanner e inmediatamente se ha desconectado.  TCP SYN Scanning Cuando dos procesos establecen una comunicación usan el modelo Cliente/Servidor para establecer la conexión. La aplicación del Servidor "escucha" todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece la conexión con el Servidor a través del puerto disponible para luego intercambiar datos. La información de control llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos.  TCP FIN Scanning- Stealth Port Scanning Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos,
  • 5. en cambio, suelen ignorar el paquete en cuestión.  Fragmentation Scanning Esta no es una nueva técnica de escaneó como tal, sino una modificación de las anteriores. En lugar de enviar paquetes completos de sondeo, los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partir una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por los filtros que pudieran estar ejecutándose en la máquina objetivo. Sin embargo, algunas implementaciones de estas técnicas tienen problemas con la gestión de este tipo de paquetes tan pequeños, causando una caída de rendimiento en el sistema del intruso o en el de la víctima. Problemas de esta índole convierte en detectables a este tipo de ataque.  Eavesdropping-Packet Sniffing Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción (sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los cuales son programas que monitorean los paquetes que circulan por la red. Los Sniffers pueden ser colocados tanto en una estación de trabajo conectada a la red, como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías. En la cabecera de los paquetes enviados a través de una red, entre otros datos, se tiene, la dirección del emisor y la del destinatario. De esta forma, independientemente de protocolo usado, las tramas llegan a su destino. Cada máquina conectada a la red (mediante una placa con una dirección única) verifica la dirección destino del paquete. Si estas direcciones son iguales asume que el paquete enviado es para ella, caso contrario libera el paquete para que otras placas lo analicen.  Snooping-Downloading Los ataques de esta categoría tienen el mismo objetivo que el Sniffing: obtener la información sin modificarla. Sin embargo los métodos son diferentes. Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de correo electrónico y otra información guardada, realizando en la mayoría de los casos un downloading (copia de documentos) de esa información a su propia computadora, para luego hacer un análisis exhaustivo de la misma. El Snooping puede ser realizado por simple curiosidad, pero también es realizado con fines de espionaje y robo de información o software ATAQUES DE AUTENTIFICACIÓN Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya
  • 6. establecidas por la víctima u obteniendo su nombre de usuario y password.  Spoofing-Looping Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta técnica, justamente, es actuar en nombre de otros usuarios, usualmente para realizar tareas de Snooping o Tampering (ver a continuación Ataques de Modificación y Daño). Una forma común de Spoofing es conseguir el nombre y password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones en nombre de él. El intruso usualmente utiliza un sistema para obtener información e ingresar en otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este proceso, llamado Looping, y tiene la finalidad de "evaporar" la identificación y la ubicación del atacante  Spoofing Este tipo de ataques (sobre protolocos) suele implicar un buen conocimiento del protocolo en el que se va a basar el ataque. Los ataques tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web Spoofing IP Spoofing Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección de red falsa en el campo From, pero que es aceptada por el destinatario del paquete. Su utilización más común es enviar los paquetes con la dirección de un tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no la dirección real del intruso.  DNS Spoofing Este ataque se consigue mediante la manipulación de paquetes UDP pudiéndose comprometer el servidor de nombres de dominios (Domain Name Server-DNS) de Windows NT(c). Si se permite el método de recursión en la resolución de "Nombre"Dirección IP" en el DNS, es posible controlar algunos aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de nombres para resolver una petición de dirección IP a partir de un nombre que no figura en su base de datos. Este es el método típico (y por defecto) de funcionamiento.  Web Spoofing En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al que la víctima desea entrar. Los accesos a este sitio están dirigidos por el atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también es libre de modificar cualquier dato que se esté transmitiendo entre el servidor original y la víctima o viceversa.
  • 7.  IP Splicing-Hijacking Se produce cuando un atacante consigue interceptar una sesión ya establecida. El atacante espera a que la victima se identifique ante el sistema y tras ello le suplanta como usuario autorizado.  Utilización de BackDoors "Las puertas traseras son trozos de código en un programa que permiten a quien las conoce saltarse los métodos usuales de autentificación para realizar ciertas tareas. Habitualmente son insertados por los programadores del sistema para agilizar la tarea de probar código durante la fase de desarrollo". Esta situación se convierte en una falla de seguridad si se mantiene, involuntaria o intencionalmente, una vez terminado el producto ya que cualquiera que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos de control normales.  Utilización de Exploits Es muy frecuente ingresar a un sistema explotando agujeros en los algoritmos de encriptación utilizados, en la administración de las claves por parte la empresa, o simplemente encontrado un error en los programas utilizados. Los programas para explotar estos "agujeros" reciben el nombre de Exploits y lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema (hardware o software) para ingresar al mismo. Nuevos Exploits (explotando nuevos errores en los sistemas) se publican cada día por lo que mantenerse informado de los mismos y de las herramientas para combatirlos es de vital importancia.  Obtención de Passwords Este método comprende la obtención por "Fuerza Bruta" de aquellas claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados. Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En este caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves hasta encontrar la password correcta. La política de administración de password será discutida en capítulos posteriores.  Uso de Diccionarios Los Diccionarios son archivos con millones de palabras, las cuales pueden ser passwords utilizadas por los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. El programa encargado de probar cada una de las palabras encripta cada una de ellas (mediante el algoritmo utilizado por el sistema atacado) y compara la palabra encriptada contra el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden
  • 8. se ha encontrado la clave de acceso al sistema mediante el usuario correspondiente a la clave hallada. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de organización que se esté atacando. DENIAL OF SERVICE (DOS) Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma.  Jamming o Flooding Este tipo de ataques desactivan o saturan los recursos del sistema. Aquí el atacante satura el sistema con mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene falsas direcciones IP (usando Spoofing y Looping). El sistema responde al mensaje, pero como no recibe respuesta, acumula buffers con información de las conexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por ataques que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de baja por el "ping de la muerte" (una versión-trampa del comando ping). Mientras que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping de la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sido ampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemas vulnerables. Otra acción común es la de enviar millares de e-mails sin sentido a todos los usuarios posibles en forma continua, saturando los sistemas destinos. .  Syn Flood Como ya se explicó en el TCP SYN Scanning el protocolo TCP se basa en una conexión en tres pasos. Si el paso final no llega a establecerse, la conexión permanece en un estado denominado "semiabierto". El Syn Flood es el más famoso de los ataques del tipo Denial of Service, publicado por primera vez en la revista Phrack. Se basa en un "saludo" incompleto entre los dos hosts. El Cliente envía un paquete SYN pero no responde al paquete ACK ocasionando que la pila TCP/IP espere cierta cantidad de tiempo a que el host hostil responda antes de cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se responde a ninguna), el Servidor estará inactivo mucho tiempo esperando respuesta. Esto ocasiona la lentitud en los demás servicios.  Connection Flood La mayoría de las empresas que brindan servicios de Internet (ISP) tienen un límite máximo en el número de conexiones simultaneas. Una vez que se alcanza ese límite, no se admitirán conexiones nuevas. Así, por ejemplo, un servidor Web puede tener, por ejemplo, capacidad para atender a mil usuarios simultáneos. Si un
  • 9. atacante establece mil conexiones y no realiza ninguna petición sobre ellas, monopolizará la capacidad del servidor. Las conexiones van caducando por inactividad poco a poco, pero el atacante sólo necesita intentar nuevas conexiones, (como ocurre con el caso del Syn Flood) para mantener fuera de servicio el servidor.  Net Flood En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas para cursar tráfico útil. El atacante envía tantos paquetes de solicitud de conexión que las conexiones auténticas simplemente no pueden competir. En casos así el primer paso a realizar es el ponerse en contacto con el Proveedor del servicio para que intente determinar la fuente del ataque y, como medida provisional, filtre el ataque en su extremo de la línea. El siguiente paso consiste en localizar las fuentes del ataque e informar a sus Administradores, ya que seguramente se estarán usando sus recursos sin su conocimiento y consentimiento. Si el atacante emplea Ip Spoofing, esto puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a su vez, víctima y el origen último puede ser prácticamente imposible de determinar  Land Attack Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP de las plataformas Windows(c). El ataque consiste en mandar a algún puerto abierto de un servidor (generalmente al 113 o al 139) un paquete, maliciosamente construido, con la dirección y puerto origen igual que la dirección y puerto destino. Por ejemplo se envían un mensaje desde la dirección 10.0.0.1:139 hacia ella misma. El resultado obtenido es que luego de cierta cantidad de mensajes enviados-recibidos la máquina termina colgándose.  Supernuke o Winnuke Un ataque característico (y quizás el más común) de los equipos con Windows(c) es el Nuke, que hace que los equipos que escuchan por el puerto UDP 137 a 139 (utilizados por los protocolos Netbios de Wins), queden fuera de servicio (o disminuyan su rendimientos) al enviarle paquetes UDP manipulados. Generalmente se envían fragmentos de paquetes, que la máquina víctima detecta como inválidos pasando a un estado inestable  Teardrop I y II-Newtear-Bonk-Boink Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar correctamente los fragmentos que se superponen, haciendo que el sistema se cuelgue. Windows NT(c) 4.0 de Microsoft(r) es especialmente vulnerable a este ataque. Aunque existen Patchs (parches) que pueden aplicarse para solucionar el problema, muchas organizaciones no lo hacen, y las consecuencias pueden devastadoras. Los ataque tipo Teardrop son especialmente peligrosos ya que existen multitud de implementaciones (algunas de ellas forman paquetes), que explotan esta
  • 10. debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink. ATAQUES DE MODIFICACIÓN-DAÑO  Tampering o Data Diddling Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte del atacante; el Administrador posiblemente necesite darlo de baja por horas o días hasta chequear y tratar de recuperar aquella información que ha sido alterada o borrada. Como siempre, esto puede ser realizado por Insiders o Outsiders, generalmente con el propósito de fraude o de dejar fuera de servicio a un competidor.  Borrado de Huellas El borrado de huellas es una de las tareas mas importantes que debe realizar el intruso después de ingresar en un sistema, ya que si se detecta su ingreso el Administrador buscará como conseguir "tapar el hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo que guarda la información de lo que se realiza en el sistema) por el sistema operativo. Los archivos Logs son una de las principales herramientas (y el principal enemigo del atacante) con las que cuenta un Administrador para conocer los detalles de las tareas realizadas en el sistema y la detección de intrusos  Ataques Mediante Java Applets Java es un lenguaje de programación interpretado desarrollado inicialmente por SUN. Su mayor popularidad la merece en su alto grado de seguridad. Los más usados navegadores actuales, implementan Máquinas Virtuales Java (MVJ) para ser capaces de ejecutar programas (Applets) de Java. Estos Applets, al fin y al cabo no son más que código ejecutable y como tal, susceptible de ser manipulado por intrusos. Sin embargo, partiendo del diseño, Java siempre ha pensado en la seguridad del sistema. Las restricciones a las que somete a los Applets son de tal envergadura (imposibilidad de trabajar con ficheros a no ser que el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y disco directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin embargo, existe un grupo de expertos especializados en descubrir fallas de seguridad en las implementaciones de las MVJ.  Ataques Mediante JavaScript y VBScript JavaScript (de empresa Netscape(r)) y VBScript (de Microsoft(r)) son dos lenguajes usados por los diseñadores de sitios Web evitando el uso de Java. Los programas realizados son interpretados por el navegador. Aunque los fallos son mucho más numerosos en versiones antiguas de JavaScript, se pueden encontrar algunos de los siguientes:
  • 11. Cuando apareció JavaScript, éste permitía el envío de mensajes de correo electrónico sin el reconocimiento del usuario, la lectura del historial de páginas visitadas, la lectura de directorios y de archivos. Estas fueron razón más que suficiente para que cientos de intrusos informáticos se aprovecharan de estas debilidades.  Ataques Mediante ActiveX ActiveX es una de las tecnologías más potentes que ha desarrollado Microsoft(r). Mediante ActiveX es posible reutilizar código, descargar código totalmente funcional de un sitio remoto, etc. Esta tecnología es considerada la respuesta de Microsoft(r) a Java. ActiveX soluciona los problemas de seguridad mediante certificados y firmas digitales. Una Autoridad Certificadora (AC) expende un certificado que acompaña a los controles activos y a una firma digital del programador. Cuando un usuario descarga una página con un control, se le preguntará si confía en la AC que expendió el certificado y/o en el control ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin ningún tipo de restricciones (sólo las propias que tenga el usuario en el sistema operativo). Es decir, la responsabilidad de la seguridad del sistema se deja en manos del usuario, ya sea este un experto cibernauta consciente de los riesgos que puede acarrear la acción o un perfecto novato en la materia.  Ataques por Vulnerabilidades en los Navegadores Generalmente los navegadores no fallan por fallos intrínsecos, sino que fallan las tecnologías que implementan, aunque en este punto analizaremos realmente fallos intrínsecos de los navegadores, como pueden ser los "Buffer Overflow". Los "Buffer Overflows" consisten en explotar una debilidad relacionada con los buffers que la aplicación usa para almacenar las entradas de usuario. Por ejemplo, cuando el usuario escribe una dirección en formato URL ésta se guarda en un buffer para luego procesarla. Si no se realizan las oportunas operaciones de comprobación, un usuario podría manipular estas direcciones. Los protocolo usado pueden ser HTTP, pero también otros menos conocidos, internos de cada explorador, como el "res:" o el "mk:". Precisamente existen fallos de seguridad del tipo "Buffer Overflow" en la implementación de estos dos protocolos. Para poder lanzar este tipo de ataques hay que tener un buen conocimiento de lenguaje Assembler y de la estructura interna de la memoria del Sistema Operativo utilizado. También se puede citar el fallo de seguridad descubierto por Cybersnot Industries(r) relativo a los ficheros ".lnk" y ".url"de Windows 95(c) y NT(c) respectivamente. Algunas versiones de Microsoft Internet Explorer(c) podían ser utilizadas para ejecutar la aplicación que se deseara siempre que existiera en el ordenador de la víctima (por ejemplo el tan conocido y temido format.com).
  • 12. INSTRUSIONES EN LA RED La detección de ataques e intrusiones parte de la idea que un atacante es capaz de violar nuestra política de seguridad, atacando parcial o totalmente los recursos de una red, con el objetivo final de obtener un acceso con privilegios de administrador. Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque. En la mayoría de los casos es deseable poder identificar el ataque exacto que se está´ produciendo, de forma que sea posible detener el ataque y recuperarse del mismo. En otras situaciones, solo será´ posible detectar e informar de la actividad sospechosa que se ha encontrado, ante la imposibilidad de conocer lo que ha sucedido realmente. Generalmente, la detección de ataques trabajara´ con la premisa de que nos encontramos en la peor de las situaciones, suponiendo que el atacante ha obtenido un acceso al sistema y que es capaz de utilizar o modificar sus recursos. Una instrusión es una secuencia de acciones realizadas por un usuario o proceso deshonesto, con el objetivo final de provocar un acceso no autorizado sobre un equipo o un sistema al completo. La intrusión consistirá en la secuencia de pasos realizados por el atacante que viola una determinada política de seguridad. La existencia de una política de seguridad, en la que se contempla una serie de acciones deshonestas que hay que prevenir, es un requisito clave para la intrusión. Es decir, la violación solo se podrá detectar cuando las acciones observadas puedan se comparadas con el conjunto de reglas definidas en la política de seguridad. La detección de intrusiones es el proceso de identificación y respuesta ante las actividades ilícitas observadas contra uno o varios recursos de una red. Primeros sistemas para la detección de ataques en tiempo real El proyecto Instrusion Detection Expert System (IDES), desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros sistemas de detección de intrusos en tiempo real. Este proyecto, financiado entre otros por la marina norteamericana, proponía una correspondencia entre actividad mala y abuso o uso indebido. IDES utilizaba perfiles para describir los sujetos del sistema (principalmente usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de sistema o ciclos de CPU). Estos elementos permitían establecer mediante me´todos estadísticos las pautas de comportamiento necesarias para detectar posibles anomalías.
  • 13. Un segundo sistema de detección de ataques en tiempo real que hay que destacar fue Dis- covery, capaz de detectar e impedir problemas de seguridad en bases de datos. La novedad del sistema radicaba en la monitorización de aplicaciones en lugar de analizar un sistema operativo al completo. Mediante la utilización de metodos estadísticos desarrollados en COBOL, Discovery pod´ıa detectar posibles abusos. Otros sistemas fueron desarrollados para ayudar a oficiales norteamericanos a encontrar marcas de ataques internos en los ordenadores principales de sus bases aé reas. Estos ordenadores eran principalmente servidores corporativos que trabajaban con informaciónno clasificada pero muy confidencial. MIDAS fue uno de los primeros sistemas de detección de intrusos conectados a internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster en 1990, contribuyendo a fortalecer los mecanismos de autentificación de usuarios. ARQUITECTURA GENERAL DE UN SISTEMA DE DETECCION DE INTRUSIONES Desde el comienzo de la década de los ochenta se han llevado a cabo multitud de estudios referentes a la construcción de sistemas para la detección de intrusos. En todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo de cumplir los siguientes requisitos:  Precisión. Un sistema de detección de intrusos no debe que confundir acciones legitimas con acciones deshonestas a la hora de realizar su detección.  Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa no detectada conocida como falsos negativos. Cuanto menor sea la tasa de falso negativos, mayor será la eficiencia del sistema de detección de intrusos. Este es un requisito complicado ya que en ocaciones pueda llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.  Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real. La detecion en tiempo real responde a la detección de la intrusión antes de que esta llegue a provocar en el sistema. Este tiempo debería de ser inferior a un minuto.  Escabilidad. A medida que la red vaya creciendo, también aumentara el número de eventos que deberá tratar el sistema. El detector tiene que ser capaz de soportar este aumento en el número de eventos, si que se produzca perdida de información.  Tolerancia en fallos. El sistema de detección de intrusiones debe ser capa de continuar ofreciendo su servicio aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba un ataque o intrusión Detección basada en usos indebidos La detección de intrusiones basada en el modelo de usos indebidos cuenta con el conocimiento a priori de secuencias y actividades deshonestas. Los
  • 14. procesadores de eventos que implementan este esquema analizan los eventos en busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades típicas de los equipos. Estas secuencias o patrones se conocen bajo el nombre de firmas de ataques y podrían ser comparadas con las firmas víricas que utilizan los productos actuales de detección de virus. Detección basada en anomalías Los procesadores de eventos que basan su detección en un esquema de anomalías trataran de identificar actividades sospechosas comparando el comportamiento de un usuario, proceso, servicio con el comportamiento de perfil clasificado como normal. Un perfil sirve como métrica de comportamiento normal. Cualquier desviación que supere un cierto umbral respecto al perfil almacenado será tratado como una evidencia de ataque o intrusión Uno de los requisitos de este modelo es la necesidad de inicialización de un perfil por defecto que se ira adaptando progresivamente al comportamiento de un usuario, proceso o servicio no sospechoso. Unidades de respuesta Las unidades de respuesta de un sistema de detección se encargaran de iniciar acciones de respuesta en el momento en que se detecte un ataque o intrusión. Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir interacción humana (respuesta pasiva). Las respuestas activas tienen como objetivo actuar contra el ataque, intentando su neutralización, en el momento en el que es detectado (o mientras una intrusión todavía continúa en curso). Un ejemplo de respuesta activa puede ser la cancelación de la conexión en red que origino´ el ataque o el propio seguimiento del ataque que permitiría más adelante el análisis correspondiente. Por contra, las respuestas pasivas se limitan a lanzar una alarma para informar y describir el ataque detectado en el administrador del sistema. La mayoría de los componentes de respuesta pasiva ofrecen distintas formas de hacer llegar esta información al administrador como, por ejemplo, mediante un correo electrónico mediante la utilización de mensajes SMS, et
  • 15. CERTIFICADOS DE SEGURIDAD Los certificados de seguridad, mejor conocidos como SSL (Secure Sockets Layer), son un conjunto de protocolos criptográficos desarrollados en 1994 por Nestcape Communcations; su desarrollo inicial está basado en Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir, a través de una negociación, un canal seguro de comunicación entre dos puntos a nivel de socket (máquina + puerto). Básicamente, SSL proporciona autenticación y privacidad. Su uso puede darse en diferentes escenarios, dependiendo de algunos factores. Podríamos decir que SSL se implementa como una capa más del modelo OSI y/o TCP/IP, entre la capa de aplicación y transporte, esto lo hace ser independiente de la aplicación que lo use. De esta forma, proporciona seguridad a la pila de protocolos cifrando los datos salientes de la capa de Aplicación antes de que estos sean segmentados en la capa de Transporte y encapsulados y enviados por las demás capas. Del mismo modo, se usa en la mayoría de los casos junto a HTTP para formar HTTPS, que es el protocolo usado para asegurar las conexiones Web.
  • 16. SSL El propósito de SSL es proporcionar seguridad a un sitio Web cifrando las comunicaciones entre el servidor (el equipo donde está corriendo el sitio Web) y el cliente (los equipos que visitan el sitio).Para usar SSL se necesita un certificado SSL. SSL es un conjunto de protocolos, el certificado de seguridad nos permite hacer uso de ese protocolo; también podríamos decir que los certificados nos permitirán cifrar las comunicaciones a través de SSL, pero tanto el protocolo como los certificados mismos forman parte de SSL. Este certificado debe estar instalado en el servidor, debe tener una dirección IP dedicada y los visitantes deben usar un navegador que soporte este protocolo y los certificados usados, que en la actualidad son casi todos. SSL contiene un par de claves, una clave pública y una clave privada, así como información verificada sobre la identificación. Básicamente se trata de un archivo de datos, que está vinculado con los datos del sitio Web y el sistema de cifrado. Estos datos pueden ser su nombre de dominio, nombre de servidor y nombre de host; dependiendo del caso también se pueden usar otros datos como el nombre y la ubicación de la empresa. El cifrado no es otra cosa que un proceso matemático, este es usado para codificar/decodificar la información; el cifrado nos garantiza que la información estará protegida durante su transferencia. Como vemos, el proceso que hace SSL es de “autenticación”, que es verificar la identidad de un sitio Web; esta verificación la hace un tercero para poder garantizar la confianza. Existen dos razones principales para querer usar SSL, la primera y posiblemente la más usada, es para el comercio electrónico y poder aceptar pagos
  • 17. en línea con tarjeta de crédito. Si el sitio Web maneja transacciones comerciales, en donde se trasmitan datos de tarjetas de crédito, cualquier banco y sus asociados exigirán el uso de certificados de seguridad, incluso esto está estandarizado como PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago). Es requerido por sistemas bancarios y de pago como Visa, MasterCard, Discover Network, American Express, Diners Club, etc. En caso opuesto, si el sitio Web realiza comercio electrónico pero NO realiza procesos de pago de forma directa sino que se realizan a través de sistemas como Paypal, Amazon, etc entonces el uso de SSL no será obligatorio. La segunda razón es para mantener segura la información confidencial que maneja el sitio Web; normalmente se usa para proteger los inicios de sesión y evitar que los nombres de usuario y contraseñas sean transmitidos en texto plano. Esto también se aplica en caso de que un sitio Web ofrezca servicios de correo, en donde datos de carácter personal son usados diariamente por los usuarios. Hoy en día con el auge de los servicios en la nube (cloud computing) se estan implementando mucho más los certificados de seguridad para poder garantizar la confidencialidad e integridad de la información. Los certificados SSL deben ser emitidos por un certificado raíz, de una Autoridad de certificación que sea de confianza. Este certificado raíz debe estar presente en el ordenador del usuario para que el certificado SSL sea confiable, caso contrario, el navegador mostrará al usuario un mensaje advirtiendo que el sitio Web presenta un certificado pero no es de confianza. En el caso del comercio electrónico, este tipo de errores inducen a perder la confianza por completo de un sitio Web. Ahora bien, este tipo de alertas no necesariamente dice que el sitio Web no es de confianza, simplemente que el navegador no conoce/reconoce su certificado de seguridad. Por ejemplo, si yo creo un certificado SSL (con OpenSSL se podría hacer) porque no quiero o no puedo pagar uno, y este certificado ha sido emitido por Expresión Binaria, por muy robusto y seguro que este sea, es muy probable que los navegadores Web no lo reconozcan, repito no es porque carece de seguridad, es más bien por un asunto “protocolar y burocrático” ya que Expresión Binaria no es una Autoridad Certificadora. En un sitio Web de carácter personal esto quizás no sea un problema, pero en un portal comercial podría generar cierta desconfianza en los clientes.
  • 18. Tipos de certificados de seguridad Existen diferentes tipo de certificados SSL que se pueden usar en un sitio Web, creo que básicamente todo dependerá de las necesidades, gustos y capacidad monetaria que se tenga, pero principalmente dependerá de las necesidades. Certificados compartidos (Shared Certificates) Estos certificados por lo general son gratuitos, y son dados de esta forma para empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros caso pueden ser generados de forma personal (usando OpenSSL por ejemplo) o a través de algún servicio que preste un sitio Web. Cumplen su función (de forma básica), pero el hecho de ser “compartidos” no los relaciona directamente con el nombre de dominio del sitio Web, esto provocará los mensajes de alerta de los que hablé antes. Creo que ese punto quedó claro, pero hagamos un ejemplo para ilustrarlo mejor: cuando un usuario visite mi sitio Web dominio.com se intentará verificar/autenticar a través del certificado de seguridad que está emitido por certdominio.com, esto generará “la desconfianza” ya que ambos dominios son diferentes. Estos certificados son apropiados para asegurar la conexión con un sitio Web o el servidor de un sitio Web, pero no serán usados por el todos los visitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio. Los certificados compartido no son apropiados para el comercio electrónico, en estos casos se usan certificados privados, en donde el certificado esté relacionado/emparentado con el dominio. Certificados de validación de nombre de dominio (Domain Validated Certificate) Estos son los certificados SSL más básicos, se enfocan en validar solo el nombre de dominio (dominio.com). Es ideal para situaciones en las que los visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar datos personales (nombre de usuario, contraseña, email, etc) o realizar pagos con tarjetas de crédito. A diferencia de los certificados compartidos, estos no serán objeto de mensajes de advertencia por parte de los navegadores. Estos certificados son apropiados para cualquier situación en donde se quiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser adquiridos por cualquier persona. Sus costos son bajos en la mayoría de los casos. Certificados de validación de compañías (Company Validated Certificate)
  • 19. Estos certificados son muy similares a los de validación de dominios, la diferencia es que para estos es necesario validar datos de la propia compañía y no solo su dominio. Más validación, más seguridad. Desde un punto de vista de negocio y reputación, una compañía que use este tipo de certificado de seguridad, no solo esta validando su dominio (dominio.com) sino también su empresa. Esto es un poco “superficial” pero de alguna manera y hasta cierto punto, el hecho de que un tercero (asociación certificadora) valide la empresa (y no solo su dominio) generará mayor confianza a sus clientes. Es una cuestión de “reputación” si se quiere. Certificado de validación extendido (Extended Validation Certificates – EV) Estamos ante el “top” de los certificados. El proceso de verificación es aún mayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Web como de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los requerimiento como los procedimientos son minuciosos. La barra verde es exclusiva de este certificado. Les asegura a los visitantes que están ante una empresa/organización validada y asegurada. Además, un sitio protegido mediante este certificado hace que los navegadores web muestren el nombre de la organización junto a la barra de direcciones (en este caso verde) y al nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad de certificación controlan la visualización, lo que hace que las técnicas de phishing sean más difíciles de aplicar. Certificados Wildcard (Wildcard Certificates) Estos certificados permiten usar un único certificado SSL para ser usado en múltiples subdominios. Por ejemplo, el certificado será usado para dominio.com, compras.dominio.com, contacto.dominio.com, etc. Certificados Multi-dominio (Multi-Domain Certificates) Estos son similares a los Wildcard, la diferencia es que en este caso son usados para dominios (y no subdominios). Por ejemplo, el certificado será usado para dominio.com, dominio.net, dominio.org, etc.
  • 20. True BusinessID: El certificado True BusinessID es válido para un único dominio o subdominio y permite una encriptación de datos de hasta 128/256 bits e introducir los datos de su empresa o entidad como datos identificativos de su certificado SSL. El TrueBusinessID es un certificado superior utilizado en empresas que permite, además de proteger los datos que circulan por la página, que la información del certificado que aparece en el navegador sea más completa y específica que el RapidSSL. Además se puede poner un sello de SSL dinámico con toda la información de la empresa. Es compatible con los navegadores; IE 5.01+, AOL 5+, Netscape 4.7+, Ópera 7+, Safari, Mozilla 1+ y Firefox 1+. True BusinessID with EV: El certificado True BusinessID with EV es válido para un único dominio o subdominio y permite una encriptación de datos de hasta 128/256 bits e introducir los datos de su empresa o entidad como datos identificativos de su certificado SSL. Además la tecnología EV, le permitirá ver en la barra de direcciones de su navegador, una pequeña barra verde notificando la autenticidad del certificado de seguridad SSL. Es compatible con los navegadores; IE 5.01+, AOL 5+, Netscape 4.7+, Ópera 7+, Safari, Mozilla 1+ y Firefox 1+. PFSENSE Pfsense es una fuente libre, abierto de distribución personalizada de FreeBSD adaptado para su uso como cortafuegos y el router. Además de ser una plataforma potente, flexible cortafuegos y enrutamiento, que incluye una larga lista de características relacionadas y un sistema de paquetes que permite mayor capacidad de expansión sin añadir hinchazón y posibles vulnerabilidades de seguridad a la distribución base. Pfsense es un proyecto popular, con más de 1 millón de descargas desde su creación, y probadas en un sin número de instalaciones que van desde pequeñas redes domésticas que protegen un solo equipo a las grandes corporaciones, universidades y otras organizaciones de protección de miles de dispositivos de red. Este proyecto se inició en 2004 como un tenedor del mOnOwall proyecto, pero enfocado hacia instalaciones completas de PC en lugar del enfoque integrado de hardware mOnOwall. Es un sistema basado en FreeBSD que ya viene con software explicito para seguridad informática. Antes que todo debemos de instalar nuestro Pfsense. Para descargar Pfsense lo puedes hacer a través de este link http://fleximus.org/mirror/pfsense/downloads. Para saber los requerimientos minimos del hardware antes de instalar podemos ir
  • 21. al siguiente link http://www.pfsense.org/?option=com_content&task=view&id=45&Itemid=48 CARACTERISTICAS PfSense incluye la mayoría de todas las funciones de cortafuegos comerciales caros, y más en muchos casos. La siguiente es una lista de las funciones disponibles en la versión 2.0 de pfSense. Todas estas cosas son posibles en la interfaz web, sin tocar nada en la línea de comandos. FIREWALL  Filtrado de IP de origen y destino, puerto de protocolo, origen y destino IP para tráfico TCP y UDP  Capaz de limitar las conexiones simultáneas en una base por regla  pfSense utiliza p0f, una utilidad de fingerprinting OS / red pasiva avanzada que le permite filtrar por el sistema operativo que inicia la conexión. ¿Desea permitir que las máquinas FreeBSD y Linux a través de Internet, pero cuadra máquinas Windows? pfSense puede hacerlo (entre muchas otras posibilidades) mediante la detección pasiva del sistema operativo en uso.  Opción para registrar o no registrar el tráfico que coincide con cada regla.  Altamente flexible de políticas de enrutamiento posible por medio de puerta de enlace en una base por regla (para el equilibrio de carga, conmutación por error, múltiples WAN, etc)  Alias permiten agrupar y nombrar de IPs, redes y puertos. Esto ayuda a mantener el conjunto de reglas de firewall limpio y fácil de entender, especialmente en entornos con múltiples direcciones IP públicas y numerosos servidores.  Capa transparente 2 cortafuegos capaz - puede salvar interfaces y filtran el tráfico entre ellos, incluso teniendo en cuenta un IP-menos firewall (aunque es probable que desee una IP para fines de administración).  Normalización de paquetes - Descripción de la documentación matorral pf - "'fregado' es la normalización de los paquetes para que no haya ambigüedades en la interpretación por el destino final del paquete de la directiva scrub también reensambla los paquetes fragmentados, protegiendo algunos sistemas operativos de algunas formas de. ataque, y las gotas de paquetes TCP que tengan combinaciones de indicadores válidos ". o Habilitado en pfSense por defecto o Se puede desactivar si es necesario. Esta opción hace que los problemas para algunas implementaciones NFS, pero es seguro y se debe dejar activada en la mayoría de instalaciones.  Desactivar filtro - se puede desactivar el filtro de firewall por completo si desea encender pfSense en un router puro.
  • 22. INSTALACION Bueno para comenzar con la instalacion lo primero que debemos de tener a la mano es la imagen de pfSense, despues de quemarla podremos comenzar con la instalacion Comienzo instalacion Asi es el primer pantallazo que observamos cuando nuestro cd comienza con la instalacion. Principio de instalacion Crear vlans: En este paso el sistema nos pregunta si queremos crear Vlans. lo cual decimos que no (n)
  • 23. Interfaces: Este es el paso donde el sistema identifica las interfaceslan y wan. Las cuales se pueden hacer automáticas. Seleccion de interfaces: Después de haber seleccionado que tarjeta va hacer wan y lan. Presionamos enter para continuar, después de este paso este se puede demorar unos cuantos segundos. En este menu escogeremos la opcion 99. Lo cual iniciaria el asistente de instalacion.
  • 24. Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto. En este paso si se comienza a dar la instalacion por completo, en este punto se hace el formateo del disco y el particionado del mismo. Formateo del disco Se comenzara el formateo del disco recordar que todos los datos que tengamos grabados en esta unidad se perderan.
  • 25. Geometria disco Selecionamos la geometria del disco. Formato Damos inicio al formato del disco. Particionamiento Se nos pide particionar el disco. Esto es para poder instalar el sistema operativo
  • 26. Particionado : Se puede instalar otros sistemas de archivos pero por defecto viene seleccionado FreBSD. Partición; Nos pregunta en que partición vamos a instalar pero como en este caso solo tenemos esta presionamos enter. Características de partición :En este paso nos dice que la partición es primaria y que todo se borrara sin forma de recuperar. Que si estamos seguros presionamos enter.
  • 27. Particionamiento final: Nos muestra como quedo el particionado en nuestro disco. Copiando archivos: En este momento se están copiando todos los archivos al disco, después de que esto termine prácticamente tendremos instalado nuestro PfSense en nuestro equipo. Reiniciar: Solo queda reiniciar nuestro computador para poder deleitarnos de todos los servicios que trae nuestro PfSense. Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la dirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedirá autenticarnos lo que realizamos con: User: admin
  • 28. Password: pfsense Después de autenticarte estarás dentro del entorno web que hay que cambiar algunos parámetros que están por defecto.
  • 29. Untangle Es una plataforma para desplegar aplicaciones basadas en redes. La plataforma une estas aplicaciones alrededor de un GUI común, base de datos y señalamiento. Las aplicaciones sobre la plataforma de Untangle inspeccionan el tráfico de la red simultáneamente, lo cual reduce los requisitos de recurso de cada aplicación individual enormemente. La plataforma de Untangle soporta muchas aplicaciones de fuentes abiertas y software adicionales de comercial actualmente. Historia de fundación. Dirk Morris y John Irwin estaban hartos. Aumentar un ambiente de la red barato y seguro hacia dentro departamental o ajustes de la "Pequeña empresa" era demasiado difícil. Si el constructor usara productos de versión comercial, era demasiado costoso. Si el software de código abierto fuera usado, era pesado al máximo y requería servidores múltiples. En el invierno seco tibio de 2002, decidieron hacer algo sobre eso. De la misma manera que muchos soñadores de Silicon Valley antes de ellos, buscaron a amigos y familia por fondos y empezaron una compañía. Aprovecharon sus contactos en Carnegie Mellon University y Stanford para construir un equipo de desarrollo de punto principal fuerte. Y durante los próximos tres años, se desanimaron y cortaron el proyecto. Para cortar gastos de producción, utilizaron aproximadamente 30 proyectos de código abierto. Para acelerar el desarrollo y hacer que la base de código resultara más accesible, implementaron Java. Y para hacerlo funcionar todo sobre un servidor barato sólo inventaron y patentaron una nueva manera de racionalizar la sobrecarga de comunicaciones entre los módulos. Llamaron su solución "canalización virtual." Pruebas beta en 2005-2006 les arrojaron que tenían un producto que era rentable y funcional. En 2006, pidieron y obtuvieron la "financiación serie A”, que usaron para contratar el equipo que adoptaría la compañía. A finales del año, el equipo inicial estaba completo y las ventas estaban en auge. Estaban ahora listos para tomar el próximo paso - la "devolución" para la comunidad de fuente descubierta y ganar la influencia de cada vez más operaciones simultáneamente. Misión. Untangle existe para utilizar las prácticas de ingeniería abierto - origen para hacerlo más simple y más barato para empresas crear y mantener infraestructuras de IT. Creencias. En el mercado de software rápidamente - madurando de hoy, el ascendiente de los métodos de fuente abiertos es casi seguro. Este proceso comenzó con software de infraestructura, y está trepando a la pila de software
  • 30. gradualmente. El espacio de seguridad de IT está ahora listo para la entrada, y Untangle está recogiendo la espada. Filosofía. Nos paramos en los hombros de gigantes - Linus Torvalds, James Ansarino, y muchos otros - y esperamos que otros se paren en nuestro algún día completamente. Maximizaremos nuestras contribuciones a la colectividad de software de fuente abierta, y daremos el crédito donde sea apropiado. Nuestro éxito está integralmente relacionado con nuestra conexión próspera y vibrante a la comunidad. Ambiciones. Pensamos hacer el software abierto - fuente la manera preferida que las empresas bien comunican sobre la Internet Servidor Untangle El Servidor Untangle da una forma sencilla de proteger, controlar y supervisar toda la red. Ofrece la tecnología necesaria para protegerse de amenazas como virus, spyware y ataques. Protege la productividad mediante el control de Web ilegítima surf, y da una en profundidad vista de la actividad de la red. Todo esto en una sola interfaz utilizable. Reports proporciona informes claros y concisos acerca del tráfico de red y violaciones de las políticas. Con esta información se pueden detectar los problemas relacionados con virus o spyware, así como supervisar ilegítimo comportamiento de los usuarios, tales como navegación por Internet o mensajería instantánea. El Servidor Untangle se ejecuta en un PC situado entre la conexión a Internet (módem de cable o DSL, etc) y el switch. Se puede sustituir o complementar una ya existente o router Firewall. Requisitos del hardware Recursos CPU: Memory: Hard Drive: Network Cards: Mínimo 1.0 GHz 512 MB 20 GB 2 Recomendado: 2.0+ GHz 1-2 GB 40+ GB 3+ (for DMZ) Nota: Se debe tener una unidad de CD/DVD en el servidor o computadora para instalar Untangle
  • 31. Instalación PASO 1. Conecte el servidor de Untangle en su red como se lo vaya a utilizar, haciendo esto ahora ayudará en las etapas posteriores de la instalación. Los siguientes diagramas muestran los dos métodos más comúnmente utilizados. Si necesita que su servidor Untangle preparados fuera de la primera línea, asegúrese de que el servidor Untangle tiene acceso a Internet. Usted será capaz de conectarlo según lo previsto más adelante. Si ya tiene un router / firewall y desea que se mantenga instalado, instale el servidor Untangle entre el firewall y el conmutador interno principal. En este escenario, el servidor Untangle funcionará como un puente. No es necesario cambiar la ruta por defecto (gateway) en cualquier equipo detrás del firewall, ni el cambio de las rutas en el router. PASO 2.Si no tienes una ya existente o un router que desea reemplazar su enrutador existente, conecte el servidor Untangle como se muestra aquí. Además, proporcionará servicios de enrutamiento para su red, así como protección de firewall. PASO 3. Cuando el sistema haya reiniciado automáticamente iniciará el asistente que nos ayudará a la configuración de Untangle para ser usado en nuestra red.Siga los pasos en el asistente. PASO 4. Hemos instalado satisfactoriamente Untangle en el ordenador o servidor y configurado la conexión en red. Ahora ya está listo para descargar aplicaciones. Si no está seguro de las aplicaciones que deseamos descargar ¿Qué aplicaciones debemos utilizar? el Asistente de aplicaciones nos ayudará. Si sabemos lo que queremos instalar, hacer lo siguiente: •Haga clic en la aplicación que desea descargar. (Paso 1). • Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora", dependiendo de lo que le gustaría hacer y qué opciones están disponibles (paso 2). Las solicitudes de primas están disponibles en 14 días versión de prueba gratuita. • La aplicación aparecerá en su estante después de que haya sido descargado (paso 3) PASO 5. Casi todas las aplicaciones de Untangle se ejecutan e instalan automáticamente (se ven cuando están en verde) Si deseamos ajustar las configuraciones iniciales, clic en el botón de Ajustes para poder ajustar dichas configuraciones. Únicamente después se hace clic en Aceptar para guardar los
  • 32. cambios y Cancelar para rechazarlos. Las aplicaciones se activan o desactivan dando clic en el botón de On Para remover las aplicaciones se hace clic en el botón Remover de la lista los aplicativos que consideremos no vamos a necesitar Implementación Untangle no solo permite la moderación de acceso a sitios web sino que podemos restringir la descarga de tipos de archivos que como administradores de red y seguridad informática consideremos de riesgo para nuestra red FORTINET Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica especialmente al diseño y fabricación de componentes y dispositivos de seguridad de redes (firewalls, UTM...). La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces ha tenido una gran proyección en el mundo de la seguridad de las comunicaciones. Actualmente es la marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado. En los últimos años Fortigate produce una amplia gama de dispositivos para la protección de redes: FortiGate-60C, FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate- 200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A, FortiGate-800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A, FortiGate- 3016B y FortiGate-5000 series. Además de estos, también cuenta con dispositivos wifi, y servidores para centralizar la seguridad de una empresa con múltiples fortigates dispersos en la red. Características  Presencia mundial de sus centros de operación, ventas y soporte  Sede central en Sunnyvale, California  Mas de 75 000 clientes en todo el mundo con más de 450 000 equipos instalados  Mas de 40 oficinas en América, Asia, emea y con cede central europea en Francia  Pioneros en la utilización de circuitos integrados de aplicaciones específicas para acelerar los procesos de seguridad hasta el nivel de aplicación
  • 33.  Único modo de ofrecer protección completa en tiempo real  Líderes en el mercado utm según idc desde 2003 hasta el 2009 Fortinet es la compañía de seguridad de más rápido crecimiento en la historia. Desde su entrada en el mercado anualmente ha duplicado su penetración en el mismo asi como sus beneficios con una inversión constante Lineas de Productos FortiAP Seguridad redes Wireless wifi, Seguridad, Inalambrica Protección de Redes Wireless utilizando dispositivo FortiGate como controladora Esta nueva línea de puntos de acceso (AP) amplia la gestión unificada de amenazas de FortiGate al entorno de redes inalámbricas. Cada FortiAP dirige todo su tráfico al controlador inalámbrico integrado en las plataformas FortiGate. Este tráfico se somete a las políticas de firewall reenviando sólo tráfico wireless autorizado. El motor de inspección de FortiGate identifica las aplicaciones en la capa 7 y limita la velocidad de las aplicaciones no críticas del negocio. Desde una única consola puede controlar el acceso de red, actualizar las políticas de forma rápida y sencilla, y vigila su cumplimiento. Además, FortiAP utiliza el protocolo estándar basado en CAPWAP (Control and Provisioning of Wireless Access Point) para la conexión de puntos de acceso ligeros frente a los métodos propietarios utilizados por la competencia. Especialmente diseñada para los entornos de red más exigentes de hoy en día, la serie de FortiAPs se basa en años de experiencia de Fortinet en envíos seguros, protegidos por cable y acceso inalámbrico. Estrategia centrada en redes inalámbricas. La línea de productos FortiAP es el primer fruto de la estrategia de Fortinet centrada en la seguridad en redes locales inalámbricas de carácter empresarial. Como primeros productos dentro de la gama FortiAP, FortiAP-210 con single- radio/banda dual y FortiAP-220 con banda dual y radio dual, ofrecen cobertura fiable, alto rendimiento y un precio competitivo de alto valor comparado con productos similares de su clase. La línea FortiAP puede ser utilizada para ofrecer acceso a la red inalámbrica a empleados, locales comerciales, almacenes, puntos de venta o hotspots para el uso de invitados.
  • 34. Entre los beneficios de la gama FortiAP cabe destacar los siguientes:  Autenticación: la autenticación más fuerte con WPA2 y un portal cautivo integrado para el acceso de invitados.  Inspección profunda de la capa 7: permite la priorización de ancho de banda inalámbrico para aplicaciones críticas.  Política de cumplimiento: políticas de identidad-conocimiento, junto con la detección de puntos y presentación de informes, control granular endpoint, informes de auditoría, análisis específicos y mensurables.  Bajo TCO: opciones de despliegue y capacidad flexibles para aprovechar la base instalada de FortiGate, una plataforma común de gestión centralizada y sin derechos de licencia especiales reducen aún más el coste total de propiedad. Todos los dispositivos FortiGate desde la serie FortiGate-60 podrán actuar como controladores para FortiAP, dando a los clientes la flexibilidad y escalabilidad para elegir entre la amplia gama de controladores ofrecidos por otros proveedores. Los dispositivos FortiGate también podrán actuar como puntos únicos de gestión de redes locales inalámbricas y cableadas. Además de las características de seguridad ya existentes ofrecidas por los dispositivos FortiGate, los controladores de punto de acceso FortiGate incluirán gestión WLAN y sistema inalámbrico de detección de intrusos. Cada plataforma FortiGate es capaz de ofrecer gestión centralizada de todos los puntos de acceso y dispositivos. Desde una única consola, los clientes pueden controlar el acceso a la red, actualizar de forma rápida y sencilla sus políticas y ayudar al cumplimiento de las normativas. Nuevos FortiAP-210 y FortiAP-220, que soportan los últimos estándares IEEE 802.11n, diseñados para ofrecer capacidades de red inalámbrica para clientes de la mediana empresa y de las operadoras con una base de usuarios totales o redes distribuidas de 250-5.000 usuarios. FortiGate® Plataformas y dispositivos de seguridad en redes Antispam, UTM, Firewall, Antivirus, VPN, Filtrado web, Cortafuegos, IPS/IDS La línea FotiGate proporciona una completa protección basada en la red contra múltiples tipos de amenaza sin degradar la disponibilidad de la red. FortiGuard® Servicios de subscripción de seguridad Antispam, Antivirus, Filtrado web, IPS/IDS
  • 35. Los productos de Fortinet ofrecen potección dinámica a través de los servicios de suscripción de seguridad FortiGuard los cuales proveen actualizaciones automáticas para los servicios de antivirus, prevención de intrusos, filtrado web y antispam. FortiMail Dispositivos de seguridad de correo electrónico Archivado, Antispam, Antivirus, Seguridad de e-mail Los dispositivos FotiMail ofrecen avanzadas capacidades de filtrado antispam y antivirus con cuarentena y archivado. Fortinet Análisis y gestión Consola, Gestión de la seguridad, Reporting Las soluciones de gestión centralizada, registro y reporte de Fortinet ofrecen un potente aunque sencillo conjunto de herramientas que reducen la sobrecarga del administrador y las complejidades asociadas con despliegues de gran escala. FortiClient Clientes de seguridad de puestos de trabajo Seguridad del puesto de trabajo, Movilidad FortiClient PC y FortiClient Mobile proveen seguridad dinámica para Pcs, laptops y smartphones. FortiDB Seguridad y cumplimiento para bases de datos Bases de datos, Gestión de vulnerabilidades, Auditoría de seguridad, Monitorización, Cumplimiento FortiDB ofrece capacidades de detección de vulnerabilidades, monitorización y auditoría para endurecer bases de datos contra amenazas y trazar el flujo de información dentro de la misma. FortiWeb Dispositivos de seguridad para la Web Application firewall, Cortafuegos de aplicaciones FortiWeb provee firewalls de aplicación y XML para proteger, balancear y acelerar las aplicaciones Web, las bases de datos y la información intercambiada entre ellas