Este documento habla sobre los tipos de ataques a la seguridad y privacidad en redes como la interrupción, modificación, intercepción y fabricación de datos. También describe virus, troyanos y programas maliciosos como formas comunes de ataques. Finalmente, explica brevemente los tipos de certificados de seguridad como los compartidos, de validación de dominio, de validación de compañías y de validación extendida.
2. Introducción
El mundo de la información y la comunicación ha cambiado: el modo en que
adquirimos, almacenamos y diseminamos el conocimiento cada vez se parece
menos a los modos usados tradicionalmente. El motivo fundamental es el
tratamiento automatizado de la información que nos facilitan los computadores.
Sin embargo, y aunque los medios y sistemas utilizados están disponibles desde
hace algún tiempo, todavía no llegamos a comprender completamente las
consecuencias de su uso. Aun más, conforme su uso vaya extendiéndose, es
bastante probable que la situación se complique. Estamos pasando muy
rápidamente del uso de estas tecnologías por parte de comunidades restringidas
con necesidades y capacidades muy específicas, a la generalización de su uso en
aspectos muy diversos de la vida diaria, por parte de personas con muy diferentes
intereses. Evidentemente, esto es así en la mayoría de los casos por los claros
beneficios obtenidos. Pero ningún avance tiene solo beneficios y ventajas: si
adquirir, almacenar y diseminar información es cada vez más sencillo, también lo
es hacer esas mismas cosas con necesidades diferentes a los iniciales.
Algunas de las facetas que pueden verse perjudicadas por estos avances son
nuestra privacidad, y la seguridad de los datos almacenados por medios
electrónicos: cuantos más datos nuestros estén informatizados, más posibilidades
existen de que alguien que nosotros no hayamos previsto, pueda tener acceso a
los mismos. No hace mucho, para obtener datos acerca de nosotros y de nuestros
asuntos privados, un ladrón tenga que ir a nuestra casa o a nuestro centro de
trabajo, y robar los documentos (o, al menos, copiarlos); ahora, basta con que sea
suficientemente hábil para que pueda acceder a nuestro computador mientras nos
conectamos con el modem (para leer el correo electrónico, o charlar con los
amigos en el IRC) y obtener la información sin que, tal vez, lleguemos ni siquiera a
notarlo.
Aunque los motivos son muy variados, fundamentalmente podemos hablar de dos
aspectos que inciden directamente en el problema: motivos técnicos
(fundamentalmente la forma en que se transmite y almacena la información) y
motivos sociales/culturales (básicamente por el modo en que se usa la tecnología
y por las personas que la usan).
En lo que sigue vamos a hablar de estos temas, tratando de dar una visión de
cuáles pueden ser los principales problemas a los que nos podemos enfrentar y
algunas ideas de autoprotección.
3. ATAQUES A LA SEGURIDAD
Entre los tipos de ataques a las comunicaciones tenemos:
� Interrupción � Modificación
� Intercepción � Fabricación
Los esquemas de estos ataques se presentan en la Figura 24.2.
a) Interrupción
Cuando se pierde una parte del sistema o no está disponible o no puede usarse.
Por ejemplo: la destrucción física de un equipo, el borrado de una aplicación o de
un archivo de datos, una falla del sistema operativo,
etc.
b) Intercepción
Cuando alguien no autorizado logra acceder al sistema. Puede tratarse de una
persona, un programa o sistema de computación. Ejemplo: Reproducción ilícita de
archivos, intercepción de cables para sacar los datos de una red. Como no se
pierden datos es difícil detectar este tipo de ataques.
c) Modificación
Cuando alguien no autorizado accede a la información del sistema y la modifica.
Ejemplo: Cambiar valores en una base de datos o alterar un programa para que
realice operaciones adicionales.
4. d) Fabricación
Cuando alguien no autorizado crea y añade objetos a un sistema de cómputo. Por
ejemplo: Insertar registros a una base de datos existente o añadir transacciones a
un sistema de comunicación de redes. En las siguientes secciones
desarrollaremos con detalle cada uno de los elementos de la arquitectura de
servicios de seguridad, los cuales se basan en alguna forma de criptografía.
Ataques a la privacidad/seguridad
Acceso físico a los recursos: nada de lo que digamos en lo sucesivo tendrá la
más mínima utilidad si el medio que utilizamos para el almacenamiento
(computador, disquete, CD-ROM) puede ser accesible, y por lo tanto utilizable por
terceros. Bien porque está ubicado en algún lugar de acceso común, bien porque
el propio recurso es de uso común.
Técnicas de ingeniería social: Esta uno charlando tranquilamente en un canal de
IRC, o a través de una lista de correo y alguien, muy amablemente, nos informa de
que nuestro computador tiene algún problema. Él se ofrece a ayudarnos, para lo
que tenemos que ejecutar un programa que nos proporciona, o darle nuestra clave
para que lo soluciones el por nosotros; un poco más tarde (o tal vez nunca) nos
damos cuenta de que nos han tomado el pelo. Hay cientos de formas de hacer
cosas como esa, y a diario se producen muchísimos ataques de este tipo; hay que
ser extremadamente cuidadoso con lo que se hace en estos casos. En un campo
más profesional; una persona suficientemente hábil llama a una empresa y
averigua el nombre de un `jefe'; con ese nombre, hace una llamada a otra sucursal
y averigua la localización de un cierto recurso; con esos dos datos, hace una
tercera llamada y consigue que le proporcionen acceso a ese recurso: `estoy de
viaje, y no puedo hacer.
Virus, troyanos, programas maliciosos: Un virus es un programa de ordenador
que puede infectar otros programas modificándolos para incluir 3 una copia de s__
mismo según la definición que propuso Fred B. Cohen, quien en 1994 en su tesis
doctoral. Habitualmente solamente son destructivos (borrar _cheros, estropear el
sistema), molestos (comportamientos anómalos, ralentización del sistema), ... Un
gusano es un programa que se reproduce, como los virus, pero que no necesita
de otros programas para retransmitirse. Un troyano es un programa malicioso que
se oculta en el interior de otro de apariencia inocente. Cuando este último es
ejecutado el Troyano realiza la acción o se oculta en la máquina del incauto que lo
ha ejecutado: desde la simple auto-replicación y por tanto, su propia
supervivencia, al envió de información contenida en nuestra propia máquina,
pasando por la instalación de programas `durmientes' que esperan a las órdenes
del que los instalación proporcionando acceso completo a nuestros recursos
quien sabe desde donde para ser utilizados, en algunos casos, en diversos
ataques contra terceros; un ejemplo de estos últimos son los utilizados para
ataques de denegación de servicio distribuida {DDOS: Distributed Denial of
5. Service{ que se utilizan para colapsar un servidor o conjunto de servidores, y que
se instalan y controlan mediante el uso del IRC (aparentemente, esta sería la
misión de Mydoom, como ejemplo de plena actualidad). En cualquier caso, todos
ellos comparten la forma de infección: casi siempre se trata de conseguir que
ejecutemos el código malicioso en nuestro computador; una vez ejecutado, el
daño está hecho. Las vías de entrada de la infección, sin embargo, son múltiples:
Virus tradicionales y troyanos: habitualmente están añadidos como parte del
código de otros programas ejecutables normales que conseguimos en la red, o a
través de otras personas (disquetes, etc.). La ejecución del programa conlleva la
ejecución del código malicioso, y por tanto la infección. Hay variantes sobre esto,
pero la idea siempre es bastante parecida. A las formas ya nombradas de
infección se añaden algunas nuevas como pueden ser el intercambio de ficheros
P2P (estilo Napster y similares), el IRC, etc, y los ficheros adjuntos enviados
mediante correo electrónico. _ Ficheros de contenidos para aplicaciones o maticas
con capacidades programables: los ficheros con .Doc y .xls (entre otros) no solo
contienen textos, números y formulas, sino que también pueden contener mini
programas perniciosos. No solo estos: dadas las características de los programas
que los manejan, un .doc con contenido peligroso puede renombrarse a .rtf (este
ultimo formato puede considerarse seguro, puesto que no admite las
características de programación) cuando Word lo abra, se `dará cuenta' de que es
un .Doc, y lo abriría como tal, en controlándonos con los posibles problemas. No
solo podemos encontrar problemas con ficheros de estos tipos; no conviene
olvidar que el sistema operativo de uso mayoritario (Windows), oculta la extensión
de los ficheros en su configuración por defecto, eso puede 4 ser aprovechado para
introducirnos un virus de macro con el nombre LEEME.TXT.DOC. El sistema,
ocultara `amablemente' la extensión .DOC, nosotros lo abriremos, y cuando nos
demos cuenta de lo que es, ya será tarde. Aplicaciones de visualización de datos
con capacidades programables: es bastante habitual enviar mensajes escritos con
marcas de .html de manera que los mensajes adquieren un aspecto visual más
atractivo (todo es opinable, claro), pero también más peligroso. Dentro de las
etiquetas en .html (inofensivas) puede integrarse código en diversos lenguajes de
programación (java, javascript, Visual Basic Script, ...) que, si bien pueden
utilizarse para mejorar el aspecto de lo enviado, también se pueden utilizar para
forzar la ejecución de código malicioso. Entre los peligros podemos destacar la
existencia de programas espías (`spyware'). Se trata de programas que van desde
la vigilancia de nuestras costumbres de navegación para hacer perfiles de usuario,
a programas que pueden enviar nuestras claves, galletas (`cookies') del
navegador, y otros datos.
6. ¿Qué es un Certificado de Seguridad?
Un certificado de seguridad es una medida adicional de confianza a los usuarios
que visitan y realizan actividades o transacciones en una página web. Permite el
cifrado de los datos entre el servidor representante a la página y los datos del
ordenador del usuario. Cifrando la comunicación entre ambos.
Un concepto más preciso sería que un certificado de seguridad logra que los datos
personales de los usuarios queden encriptados y de esta forma sea imposible por
los demás usuarios interceptarlos.
A través del protocolo de seguridad “https” toda la información enviada mediante
internet entre servidores donde se alojen las páginas y el navegador del usuario
que visita dichas páginas queda cifrada y encriptada de manera que nadie pueda
acceder a ella.
¿Qué ventajas tiene un Certificado de Seguridad?
Aquella página que posea un certificado de seguridad será más transitada y lo
comprobará en el volumen de ventas online realizadas en su plataforma, ya que
para los clientes el hecho de poseer un certificado de calidad aumenta la
confianza en ese sitio, por lo tanto realiza sus compras en línea. Hace que el
cliente confíe en el servicio que se le está ofreciendo.
7. TIPOS DE CERTIFICADOS DE SEGURIDAD
Existen diferentes tipo de certificados SSL que se pueden usar en un sitio Web,
creo que básicamente todo dependerá de las necesidades, gustos y capacidad
monetaria que se tenga, pero principalmente dependerá de las necesidades.
Certificados compartidos (Shared Certificates)
Estos certificados por lo general son gratuitos, y son dados de esta forma para
empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros
caso pueden ser generados de forma personal (usando OpenSSL por ejemplo) o a
través de algún servicio que preste un sitio Web. Cumplen su función (de forma
básica), pero el hecho de ser “compartidos” no los relaciona directamente con el
nombre de dominio del sitio Web, esto provocará los mensajes de alerta de los
que hablé antes. Creo que ese punto quedó claro, pero hagamos un ejemplo para
ilustrarlo mejor: cuando un usuario visite mi sitio Web dominio.com se intentará
verificar/autenticar a través del certificado de seguridad que está emitido
por certdominio.com, esto generará “la desconfianza” ya que ambos dominios son
diferentes.
Estos certificados son apropiados para asegurar la conexión con un sitio Web o el
servidor de un sitio Web, pero no serán usados por el todos los visitantes. Por
ejemplo, para ingresar en el área administrativa de tu sitio.
Los certificados compartidos no son apropiados para el comercio electrónico, en
estos casos se usan certificados privados, en donde el certificado esté
relacionado/emparentado con el dominio.
Certificados de validación de nombre de dominio (Domain Validated Certificate)
Estos son los certificados SSL más básicos, se enfocan en validar solo el nombre
de dominio (dominio.com). Es ideal para situaciones en las que los visitantes del
sitio necesitan ingresar a zonas seguras, bien sea para ingresar datos personales
(nombre de usuario, contraseña, email, etc) o realizar pagos con tarjetas de
crédito. A diferencia de los certificados compartidos, estos no serán objeto de
mensajes de advertencia por parte de los navegadores.
Estos certificados son apropiados para cualquier situación en donde se quiera
asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser
adquiridos por cualquier persona. Sus costos son bajos en la mayoría de los
casos.
8. Certificados de validación de compañías (Company Validated Certificate)
Estos certificados son muy similares a los de validación de dominios, la diferencia
es que para estos es necesario validar datos de la propia compañía y no solo su
dominio. Más validación, más seguridad.
Desde un punto de vista de negocio y reputación, una compañía que use este tipo
de certificado de seguridad, no solo está validando su dominio (dominio.com) sino
también su empresa. Esto es un poco “superficial” pero de alguna manera y hasta
cierto punto, el hecho de que un tercero (asociación certificadora) valide la
empresa (y no solo su dominio) generará mayor confianza a sus clientes. Es una
cuestión de “reputación” si se quiere.
Certificado de validación extendido (Extended Validation Certificates – EV)
Estamos ante el “top” de los certificados. El proceso de verificación es aún mayor,
se necesitarán verificar una buena cantidad de datos, tanto del sitio Web como de
la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los
requerimientos como los procedimientos son minuciosos.
La barra verde es exclusiva de este certificado. Les asegura a los visitantes que
están ante una empresa/organización validada y asegurada. Además, un sitio
protegido mediante este certificado hace que los navegadores web muestren el
nombre de la organización junto a la barra de direcciones (en este caso verde) y al
nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad
de certificación controlan la visualización, lo que hace que las técnicas
de phishing sean más difíciles de aplicar.
Certificados Wildcard (Wildcard Certificates)
Estos certificados permiten usar un único certificado SSL para ser usado en
múltiples subdominios. Por ejemplo, el certificado será usado
para dominio.com, compras.dominio.com, contacto.dominio.com, etc.
Certificados Multi-dominio (Multi-Domain Certificates)
9. Estos son similares a los Wildcard, la diferencia es que en este caso son usados
para dominios (y no subdominios). Por ejemplo, el certificado será usado
para dominio.com, dominio.net, dominio.org, etc.
Introducción a PFSENSE
pfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su
objetivo es tener un cortafuego (firewall) fácilmente configurable a través de una
10. interfase web e instalable en cualquier PC, incluyendo los miniPC de una sola
tarjeta.
Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto,
de libre distribución.
El cortafuego forma parte del Kernel del sistema. De hecho, se trata del Packet
Filter (PF) originario de OpenBSD, considerado com el sistema operativo más
seguro del mundo.
Packet Filter (PF) está presente como estándar en FreeBSD desde noviembre de
2004. Incluye funcionalidades como el regulador de caudal ALTQ, que permite
asignar prioridades por tipo de tráfico.
Los desarrolladores de pfSense escogieron FreeBSD en lugar de OpenBSD por su
facilidad de instalación en el mundo de lps PCs y porqué ya existía BSD Installer,
una versión muy, muy reducida de FreeBSD.
Todo ello da una gran flexibilidad a la solución pfSense, ya que se puede montar
tanto en equipos miniPC (basados en una sola placa) que emplean como disco
una Compact Flash como en PC estándar con disco duro. En este último caso se
pueden añadir paquetes como Snort, Squid, Radius, etc.
En esta web se explica cómo se ha configurado un pfSense 1.0.1
(octubre/noviembre 2006) que está en producción. En ningún caso es una web
donde se tratan todas las posibilidades de este cortafuego de código libre.
11. Instalación
Preparativos
Antes de la implantación definitiva de pfSense se tuvieron que hacer los siguientes
cambios en la red:
Dividir el cableado existente en seis redes físicas. Ello se hizo pasando
algunos cables más del armario secundario al armario primario, instalando
más concentradores (switch) en ambos armarios y cambiando el
conexionado de equipos en los armarios. No hay más de dos
concentradores encadenados (tal como estaba antes de los cambios).
Adoptar DHCP en todos los ordenadores clientes. Ello se hizo activando
provisionalmente DHCP en uno de los routers ADSL.
Cambiar todos los procesos por lotes (archivos BAT y CMD en Windows,
scripts de shell en máquinas Unix/Linux) que empleaban direcciones IP
locales, poniendo su correspondiente nombre de máquina.
Cambiar todos los puertos de impresora que estaban por dirección IP local,
poniendo su correspondiente nombre de máquina.
Asegurarse que el DNS local resuelve correctamente todos los nombres de
máquina.
Asegurarse que el archivo hosts de las máquinas sólo contiene la línea:
127.0.0.1 localhost. Es decir, que no se emplea para resolver nombres de
máquina, excepto localhost.
Cambiar la configuración proxy de los navegadores de Internet, poniendo la
configuración automática http://www.dominio.ejemplo/proxy.pac.
Deshabilitar el acceso sin hilos de todas las impresoras que tienen esta
funcionalidad, dejando sólo el acceso por red cableada.
Hardware utilizado
Se trata de un miniPC de FabiaTech, modelo FX5620.
12. El equipo tiene 5 puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede
incorporar un disco duro de 2,5" (como los que llevan los portátiles) y una
Compact Flash (que actúa como disco duro).
Se adquirió en Gran
Bretaña, http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido el
domingo por la noche (pago con tarjeta de crédito) y el martes por la mañana ya
llegaba (cerca de Barcelona) ...
Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a un
proveedor local.
25-junio-2009
No adquirir el modelo FX5621.Sólofunciona correctamente si se deshabilita la
primera boca de 1 Gbit/s (NIC número 5 en la
BIOS):forum.pfsense.org/index.php/topic,17116.0.html
Descarga de pfSense
Se puede ir a la web oficial www.pfsense.org, pero hay otros repositorios con
configuraciones ajustadas.
Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se encuentran versiones
preparadas según la unidad que reconoce pfSense para la Compact Flash y según
su tamaño.
Notas importantes
Hay dos tipos de imágenes de pfSense:
Embedded. Es la que se emplea para Compact Flash, tiene los acesos a
disco minimizados y no admite instalación de paquetes. De esta forma se
preserva la vida de la Compact Flash. Se presenta comprimida con gzip,
con la extensión img. No soporta ni teclado ni monitor, hay que conectar
13. cable serie para acceder a la consola de pfSense y poder hacer la
configuración inicial.
LiveCD. Es una imagen iso, también comprimida con gzip, para ser
ejecutada desde el propio CD. Tiene una opción para instalar pfSense en
disco duro y a partir de entonces se pueden instalar paquetes, muchos de
ellos administrables desde la interfase web.
Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que
hayan salido):
Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedd
ed
LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso
Imágenes no-oficiales de Hacom:
Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la
mayoría de ellos basados en miniPC con tarjeta Compact Flash. Las
imágenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se
diferencian de las oficiales por:
Usar el gestor de arranque grub en lugar del propio de FreeBSD.
Soporte para teclado y monitor. No se precisa cable serie para la
configuración inicial.
Las imágenes que empiezan por pfSense-releng_1_2-
snapshot070424 corresponden a la versión 1.2 BETA de pfSense, con fecha 24-
abril-2007. Tengo esta versión funcionando satisfactoriamente desde el 25-abril-
2007.
FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2 (tercer
disco ATA en FreeBSD).
En uno de nuestros servidores FreeBSD hicimos:
mkdirpfSense
cdpfSense
vi fetch.sh
#!/bin/sh
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-
ad2.img.gz.md5
fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512-
ad2.img.gz
14. chmod+xfetch.sh
./fetch.sh
Nota: Me gusta tener un script llamado fetch.sh porqué así sé de donde he bajado
los archivos ...
Comprobamos la firma del archivo:
md5pfSense-1.0.1-512-ad2.img.gz
cat pfSense-1.0.1-512-ad2.img.gz.md5
Pasamos la aplicación a una máquina multimedia con Windows XP que tiene un
frontal para insertar toda clase de tarjetas de memoria, con el fin de poder grabar
la Compact Flash.
Como que tenemos Samba/CIFS en el servidor, copiamos los archivos del
servidor desde la máquina Windows, por ejemplo, a una carpeta D:CompactFlash
Nota: Si se bajan los archivos a través de Windows, para comprobar firmas se
puede emplear fsum: http://www.download.com/Fsum/3000-2248_4-
10127195.html
Por ejemplo, se puede crear un archivo comprueba.bat que haga lo seguiente:
fsum-jm*.gz
type pfSense-1.0.1-512-ad2.img.gz.md5
Descarga de physdiskwrite
physdiskwrite es una pequeña utilidad que permite escribir imágenes de disco. Se
la puede encontrar en:
http://m0n0.ch/wall/physdiskwrite.php
La descargamos en D:CompactFlash y descomprimimos el archivo ZIP para
obtener el EXE.
Grabación de la CompactFlash
Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS)
d:
cd /compactflash
15. Ejecutamos:
physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz
Obtendremos una respuesta similar a:
Searching for physical drives
Information for .PhysicalDrive0:
Wich disk do you want to write <0..0>?
Cancelamos la ejecución mediante Ctl+C
Con ello hemos visto qué discos físicos tiene nuestra máquina.
Insertamos ahora la Compact Flash y volvemos a ejecutar:
physdiskwrite.exe
pfSense-1.0.1-512-ad2.img.gz
Vemos que nos detecta un disco físico más y cambia la pregunta final:
Wich disk do you want to write <0..2>?
Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2).
El proceso de grabación empieza y dura un buen rato (media hora
aproximadamente).
¡¡¡ Cuando se termina, hay que hacer el proceso de desconexión segura del
dispositivo Compact Flash antes de extraerla de su ranura !!!
En muchas consolas de órdenes (Windows XP incluido) escribir los primeros
caracteres de los archivos y darle al tabulador sirve para que aparezca en pantalla
el nombre completo del archivo. Ello evita teclearlo todo.
En mi caso he creado un archivo de órdenes llamado grabar.bat que contiene la
orden
physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz
physdiskwrite controla automáticamente que no se puedan escribir discos de más
de 2 GByte. De esta manera evita las confusiones entre el disco duro y la
Compact Flash.
16. Configuración inicial de pfSense
Una vez instalada la Compact Flash en el FX5620 (con el equipo sin
alimentación) lo ponemos en marcha con un monitor, teclado y cable de red
conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s y
que pfSense reconoce como re0).
Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la
WAN:
Do you want to set up VLANs now [y|n]? n
Enter the LAN interface name or 'a' for auto-detection: re0
Enter the WAN interface name or 'a' for auto-detection: rl0
Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing is finished): _
Y confirmar la operación:
LAN -> re0
WAN -> rl0
Do you want to proceed [y|n]? y
El sistema carga su configuración por defecto y presenta al final la indicación de
que la LAN es 192.168.1.1 y su menú de consola.
Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiar de
192.168.1.1 a 192.168.XXX.1
Enter the new LAN IP address: 192.168.XXX.1
Subnet masks are entered as bit counts (as in CIDR notation) in pfSense.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN subnet bit count: 24
Do you want to enable the DHCP server on LAN [y|n]? n
Confirmando la operación se nos informará de la nueva dirección.
A partir de aquí, normalmente emplearemos el configurador web, yendo
a http://192.168.XXX.1
El acceso directo a la consola del cortafuegos tiene la pega de estar configurado
con el teclado inglés. En caso de querer acceder al cortafuegos vía consola
17. siempre será más cómodo hacerlo por SSH. Este acceso sí que nos reconocerá
nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [ Configuración
base ] explico cómo activar el acceso por SSH.
UNTANGLE (http://www.untangle.com/ )
Cuando pensamos en proteger la red de nuestra empresa son muchos los palos
que tenemos que tocar, virus, malware, filtrado web, spam, phishing y demás
amenazas a las que hay que cortar el paso intentando además no limitar las
posibilidades que nos permite el trabajo en red. Ya hemos comentado que la mejor
forma de hacerlo es proteger la entrada, poner un “portero”, y esa es precisamente
la función de Untangle, un paquete de software concebido para la protección
perimetral de nuestra red.
Más que un programa, Untangle es en realidad una recopilación de programas de
seguridad unificados bajo una interfaz común que nos permite configurar y
manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe
como servidor independiente que únicamente ejecuta esta solución o utilizarlo
como un programa en un ordenador de escritorio con Windows XP.
En Untangle categorizan las funciones de su solución en tres apartados:
productividad, seguridad y acceso remoto.
Productividad: filtrado web para bloquear el acceso a las páginas que
queramos, bloqueo de spam antes de que llegue al usuario y control de
protocolos, para impedir el uso de aplicaciones tipo eMule o aquellas que
hacen uso de determinados puertos que no queremos dejar al descubierto.
Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen
hasta los equipos y puedan infectarlos. No elimina ningun virus,
simplemente impide su entrada en la red de la empresa.
18. Acceso remoto: acceso remoto a la red de la empresa mediante red privada
virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos
dentro de la red local y una alternativa de acceso vía web a servicios
internos de la red.
Es una solución bastante completa que podemos bien descargar gratuitamente, en
cuyo caso sólo se incluyen las aplicaciones de código abierto (todas menos el
portal de acceso web) o suscribirnos por una cuota mensual o anual que añade
soporte técnico y funciones de gestión avanzadas para políticas de acceso,
integración con Active Directory y copias de seguridad remotas de la
configuración.
Lo mejor sin duda es la sencillez a la hora de instalar y configurar el sistema. Hay
que tener algún conocimiento, evidentemente, pero es mucho más fácil que ir
programa a programa instalando la solución. Lo ideal bajo mi punto de vista es
instalarlo como servidor, dedicando una máquina exclusivamente a esta función,
en cuyo caso podemos utilizarlo para sustituir nuestro router ADSLactual o
colocarlo entre éste y nuestra red.
19. UNTANGLE, CONFIGURANDO PROXY (WEB FILTER LITE) Y FIREWALL
Como bien lo habrán notado, en mis anteriores publicaciones he estado hablando
bastante sobre la protección de la red, esto mediante IDS (Sistemas de Detección
de Intrusos), Firewall's, Proxys, entre otros. Hoy quise mostrarles un appliance que
tiene grandes funcionalidades llamado Untangle que esta desarrollado por una
empresa privada que ofrece un network gateway de código abierto y tiene una
gran cantidad de aplicaciones gratuitas muy interesantes, tales como.
Spam Blocker: Bloqueo de Spam
Phish Blocker: Prevención de Phishing
Spyware Blocker: Escanea el trafico buscando Malware
Web Filter Lite: Filtro de contenidos
Virus Blocker: Detecta Malware en archivos analizando el trafico
Intrusion Prevention: IPS
Protocol Control: Bloqueo de puertos
Firewall: Filtro por protocolos, direcciones, DMZ's
Ad Blocker: Bloqueo de publicidad
Captive Portal: Obliga a los usuarios a ingresar a una web para autenticación.
OpenVPN: Red Privada Virtual
Attack Blocker: Previene ataques de tipo DDOS
Reports: Crea informes acerca de el comportamiento de la red.
Además cuenta con un gran numero de aplicaciones de pago o de prueba que
pueden complementar la seguridad de nuestra red.
NOTA: Para ver un articulo completo de las características de cada una de las
aplicaciones listadas anteriormente clic AQUÍ.
20. La practica que haremos entonces sera muy sencilla, consiste en la instalar
Untangle, familiarizarlos un poco con su entorno, e instalar su Web Filter Lite
(Proxy) y su Firewall para hacer unos bloqueos básicos, además la topología que
implementaremos sera muy sencilla LAN->Router(Untangle)->WAN utilizando tan
solo un cliente en Windows.
Instalando Untangle.
La instalación es muy sencilla y mucho mas para personas que ya han hecho
instalaciones en distribuciones basadas en Debian, tan solo hay que seguir unos
sencillos pasos para poder hacerlo.
Elegimos el idioma.
22. Y listo.
Ahora comenzara el asistente de instalación de la aplicación, primero elegimos el
idioma.
23. Elegimos las credenciales del usuario administrador.
Definimos el orden de las interfaces y cual estará conectada a la LAN y cual a la
WAN.
Ahora probaremos que el equipo este conectado a internet, en mi caso el router de
mi ISP me asigna una dirección dinamica (DHCP) entonces tan solo basta con
pedir una renovación, si no contáramos con eso tendríamos que asignarle una IP
de manera estática.
24. Ahora nos dará dos opciones, una para instalarlo detrás de un router, o Firewall
configurado anteriormente o como router, en mi caso lo instalare como router y le
definiré la dirección IP que tendrá la tarjeta de red que va hacia la LAN, además le
diré que configure un servidor DHCP que le entregue direcciones a los equipos de
mi red.
Luego nos dirá si deseamos configurar una cuenta de correo para recibir reportes
pero en mi caso lo omitiré.
25. Con esto habremos finalizado su instalación.
Cuando ingresamos al Untangle observamos una barra con las opciones que
podemos tener, entre estas ingresar a la terminal pero primero debemos
configurar un password de root.
26. Como pudimos ver su instalación fue muy sencilla tan solo configuraremos si lo
necesitamos mas opciones de la red como lo son el sufijo del DNS o los DNS que
utilizara el router para resolver direcciones en internet, como lo podemos observar
en la imagen en la parte izquierda aparecen dos opciones que son aplicaciones y
configurar, si lo necesitamos procedemos a configurar si no, nos podemos saltar
este paso y dar clic en aplicaciones y luego en mi cuenta.
Instalando las aplicaciones.
27. Ahora vamos a instalar las aplicaciones que necesitamos (Web Filter Litey
Firewall) para esto accedemos a "Mi Cuenta" y allí comenzaremos, si no tenemos
un registro lo creamos.
Luego de estar en su cuenta pueden descargar las aplicaciones gratis o comprar
las de pago, como lo dije anteriormente las que instalaremos son gratis, para
encontrarlas vamos a Home>Products>Product Overview>Firewall y desde allí
Free Download.
28. Ahora en la ventana principal del Untangle podrán observar que el Firewall se
instalo satisfactoriamente, también pueden cambiar los skins del untangle, en mi
caso se ve así siempre aparenta ser un rack y las aplicaciones se instalan una
debajo de otra y en cada una están sus botones de configuración y algunos logs.
De igual manera que con el firewall instalamos entonces el Web Filter Lite.
En mi caso tengo un cliente de Windows XP en la LAN, primero que todo
probamos que este saliendo a internet con una dirección IP asignada por el
Untangle.
29. Configurando el Proxy (Web Filter Lite)
Cuando entramos al botón de configuración en el Web Filter Lite del "Rack"
podremos observar las siguientes opciones.
Editar Categorías: Muestra un listado de las categorías de paginas web a filtrar
como pornografía, redes sociales y proxys en internet.
Editar Sitios: Permite agregar de forma manual un sitio WEB para filtrar, esto
mediante URL o dirección IP.
Editar Tipos de archivo: permite un filtrado de extensiones a descargar como
.mp3, .exe, .mov, entre otras.
Comenzaremos a filtrar en orden, primero por categorías, lo que haremos sera
denegar el acceso a paginas WEB con contenido para adultos o proxys de
internet, además observaremos el uso del botón "User By Pass" el cual permite
hacer que el proxy sea permisivo y le aparezca un botón a los usuarios para darles
la opción de continuar en la WEB cuando esta en permanente y global, por ahora
lo usaremos así solo como practica.
31. La pagina sera bloqueada, pero en la parte inferior nos permitirá continuar si lo
deseamos gracias al botón "User By Pass"
Ahora cambiaremos el botón de "User By Pass" a modo "Ninguno" para que no les
aparezcan opciones y los usuarios no tengan opción de continuar.
32. Bloquearemos la URL www.facebook.com y crearemos una categoría llamada
Redes Sociales.
Cuando los usuarios intenten ingresar observaran el motivo del bloqueo y la
pagina estará bloqueada.
33. Ahora bloquearemos por extensión y denegaremos que los usuarios descarguen
contenido .exe
Probaremos bajandonos el firefox.
34. Nos dirá que no podemos continuar por el tipo de extensión.
Si volvemos a la pagina principal podemos ver algunos de los logs del proxy.
Ahora comenzaremos la configuración del Firewall.
Configurando el Firewall.
Para configurar el Firewall podemos basarnos en las reglas de las anteriores
publicaciones tales como:
M0n0wall Configurando Reglas De Firewall y NAT
Configurando Firewall En Un Router CISCO Con Soporte Para SDM En GNS3
En este simplemente les mostrare una regla básica de denegación de HTTP y
permisión por defecto.
35. Comenzamos con denegar la salida de la LAN hacia cualquier pagina HTTP.
Ahora permitiremos todo por defecto.
Estas son nuestras reglas habilitadas.
36. Si ingresamos mediante HTTP sera denegada la solicitud pero podremos ingresar
mediante HTTPS, FTP, consultas DNS y PING, además todo estará permitido.
37. INTRODUCCIÓN A FORTINET
Fortinet fue fundada en el año 2000 por Ken Xie, visionario y previo fundador y
CEO de
NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilización de un
Circuito Integrado de Aplicación Específica (ASIC) para acelerar el proceso
Firewall. De este modo lanzó al mercado un lineal de equipos de alto rendimiento
que mediante aceleración hardware permitía realizar un control sobre el tráfico de
las redes en tiempo real, que tuvo inmediatamente una gran acogida en el
mercado Ken Xie, con objeto de seguir avanzando en su visión propia de la
seguridad en las comunicaciones, abandonó NetScreen y fundó Fortinet. Su
proyecto consistía en dar un enorme paso más en la seguridad en tiempo real,
integrando antivirus, filtrado de contenido, tecnología IDP (Intrusión Detection and
Prevention) y Antispam en un solo dispositivo, junto con el firewall y servidor VPN,
y acelerando esta Protección Completa de Contenidos mediante un nuevo ASIC,
FortiASIC, que permite romper la barrera del procesado de contenidos en tiempo
real.
Algunas de las características más destacables de Fortinet son las siguientes:
• Presencia mundial de sus centros de operación, ventas y soporte
• Sede central en Sunnyvale, California
• Más de 75.000 clientes en todo el mundo con más de 450.000 equipos instalados
• Más de 40 oficinas en América, Asia y EMEA, con sede central europea en
Sophia- Antipolis (Francia)
• Pioneros en la utilización de Circuitos Integrados de Aplicación Específica para
acelerar los procesos de seguridad hasta el nivel de aplicación
• Único modo de ofrecer Protección Completa en Tiempo Real
• Líderes en el mercado UTM (Unified Threat Management) según IDC desde el
2003 hasta el 2009
• Tecnologías certificadas ICSA (6 certificaciones), NSS (UTM), ISO 9001:2000,
Common Criteria EAL4+ y FIPS-2.
• Robusto apoyo financiero Fortinet es la compañía de seguridad de más rápido
crecimiento en la historia. Desde su entrada en el mercado, anualmente ha
duplicado su penetración en el mismo así como sus beneficios, con una inversión
en I+D+I constante.
¿Por qué Fortinet?
Equipamiento de alto rendimiento
Los equipos de seguridad Fortinet constituyen una nueva generación de equipos
de
seguridad de muy alto rendimiento que garantizan la protección completa de
nuestros sistemas en tiempo real. La serie FortiGate, que ofrece altísimos niveles
de escalabilidad, rendimiento, seguridad y flexibilidad de despliegue, es la única
plataforma de Gestión Unificada de Amenazas (UTMUnified Threat Management)
que cuenta con seis certificaciones ICSA y que además cumple el estándar ATCA
Advanced Telecom Computing Architecture–, integrando una completa gama de
38. funciones y servicios de seguridad para proteger las redes de las sofisticadas
amenazas combinadas. Entre las funcionalidades integradas de estas plataformas
de Gestión Unificada de Amenazas –UTM– se incluyen cortafuegos de inspección
de estado, VPN IPSec y SSL, detección y prevención de intrusiones, filtrado de
contenido web, antispam, antivirus, controles de mensajería instantánea y
controles P2P (peer-to peer). Estos servicios de seguridad funcionan
conjuntamente para prevenir que los ataques mixtos afecten a la red.
Servicios Fortinet
Fortinet ofrece de forma conjunta con su equipamiento servicios profesionales que
garantizan el soporte, la actualización y el correcto mantenimiento de los niveles
de servicio demandados. Gracias a los equipos técnicos distribuidos a lo largo de
todo el mundo, Fortinet es capaz de ofrecer soporte internacional con cobertura
24x7x365, actualizando en tiempo real las bases de datos de firmas de antivirus e
IDS/IPS y los motores de estas aplicaciones, así como actualizando de forma
continuada las bases de datos en las que se apoyan los servicios Fortiguard Web
Filtering y Fortiguard AntiSpam.
El Servicio FortiProtect Distribution Network (FDN) se encarga de la distribución de
estas actualizaciones a lo largo de todo el mundo, existiendo el compromiso con
aquellos clientes que contratan el servicio FortiProtect Premier Services de
disponer de la firma correspondiente a cualquier nuevo ataque en menos de 3
horas.
Características técnicas de los equipos
La Arquitectura FortiGate
La tecnología Fortinet es una poderosa combinación de software y hardware
basada en
el uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas
en inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y
análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en
el rendimiento de las comunicaciones.
La tecnología incluye el Procesador FortiASICTM y el Sistema Operativo
FortiOSTM los cuales forman el núcleo de los equipos FortiGate y son la base del
alto rendimiento ofrecido por los equipos.
Alta disponibilidad
Conjunto de dos o más máquinas que se caracterizan por mantener una serie de
servicios compartidos y por estar constantemente monitorizándose entre sí.
Activo-Activo (en modo router y transparente): La configuración de "alta
39. disponibilidad" en activo-activo es muy similar a la de activo-pasivo, aunque en
este caso los dos nodos comparten los servicios de una manera activa,
normalmente balanceados, consiguiendo una disponibilidad mayor ya que los
servicios se entregan antes. Pasivo-Activo: Se trata de disponer de un nodo
funcionando, contando con todos los servicios que componen el sistema de
información al que denominaremos Activo, y el otro nodo que se denominará
Pasivo en el que se encuentran duplicados todos estos servicios, pero detenidos a
espera de que se produzca un fallo.
Virtualización – VDOMs
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que
sobre
una única plataforma física podemos configurar hasta 500 Equipos virtuales,
completamente independientes entre sí y con todas las funcionalidades que posee
cada plataforma física.
Todos los equipos FortiGate disponen en su configuración básica de la capacidad
de definición de hasta 10 dominios virtuales, siendo posible ampliar el número de
éstos en los equipos de gama alta (a partir de la gama FG3000), llegando hasta
500 Dominios Virtuales. Cada uno de estos dominios virtuales representan de
forma lógica una máquina independiente del resto, asignándoles interfaces lógicos
(VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente,
aplicar diferentes perfiles y políticas sobre cada máquina, etc.
Networking
La línea de soluciones de seguridad multiamenaza FortiGate Series ofrece a las
empresas un sencillo despliegue, al permitir su instalación sin problemas en redes
de última generación.
Modos de Operación:
Modo NAT
Modo transparente: Se coloca delante del servidor existente y presenta una
integración imperceptible en el entorno de red donde se ubica. Permite colocar el
appliance en la red sin realizar ningún cambio de dirección IP. Cuando se opera
en modo transparente todas las interfaces de la unidad hardware se encuentran
en la misma subred IP y el appliance actúa como puente.
Soporte PPPoE (Protocolo Punto a Punto sobre Ethernet)
Soporte DDNS support
DHCP for Branch Office
Proxy DNS
Protocolos de Routing: Static, RIP v1 and v2, OSPF
SNMP Support
Posibilidad de personalización de los mensajes mostrados a los usuarios
relativos a cada una de las funcionalidades
40. ICSA Certification
Stateful Inspection (Inspección profunda de paquetes)
Virtual IP
802.1q VLAN support
Políticas de autenticación basadas en grupos de usuarios
Autenticación externa: Radius, LDAP
Proceso acelerado por ASIC
Balanceo
Suministra una completa solución de acceso remoto que consolida la aceleración
WAN,
VPN y multi-homing para garantizar una conectividad rápida y fiable de las
operaciones remotas y acceso global seguro a las aplicaciones distribuidas que se
encuentran en el centro de datos. Soporta balanceo estático de ISPs y políticas
basadas en rutas (policy routing) con la posibilidad de enrutar los paquetes por
cualquier otro dato que no sea la dirección destino del paquete.
Balanceo de carga
Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de
manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad
de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo
de servidores habilitados para ese efecto. La distribución del balanceo de carga
puede ser configurado a nivel de puertos TCP o UDP, con la posibilidad de tener
varios servicios desplegados en la misma IP y atendidos por grupos de servidores
distintos. Cada uno de los servidores que componen grupo de balanceo, puede
ser monitorizado a nivel ICMP, TCP o http de manera que ente el fallo de un
servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma
de alta disponibilidad.
Calidad de servicio
Traffic shaping
El Traffic shaping o catalogación de tráfico controla el tráfico en redes de
ordenadores
para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de
banda determinado, pudiendo priorizar políticas de firewall por:
Ancho de banda garantizado
Ancho de banda máximo
Priorización dinámica entre políticas
VPN
Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales
basadas en protocolos IPSec y SSL, además de PPTP. De esta forma, oficinas
41. pequeñas, medias, corporaciones e ISPs pueden establecer comunicaciones
privadas sobre redes públicas garantizando la confidencialidad e integridad de los
datos trasmitidos por Internet. Al estar integrada la funcionalidad VPN en la propia
plataforma FortiGate, el tráfico VPN puede ser analizado por el módulo de Firewall
así como por las funcionalidades adicionales antivirus, IPS, web filtering, antispam,
etc.
Algunas características son:
Soporte para VPN Site-to-Site, en modo router y transparente.
Soporte para VPN cliente en modo router y transparente
Soporte DDNS.
Soporte DES, 3DES,AES256, L2TP,PPTP
Load Sharing e clustering
Gestión de Certificados Digitales
Autenticación externa (Radius, LDAP)
Nat /Pat
Xauth sobre Radius
Internet Key Exchange (IKE)
• Diffie-Hellman (DH) Groups 1, 2, 5
• RSA Certificates
Protocolos de routing RIP, RIP2, OSPF
IPSEc Nat transversal
Dead peer detection
DHCP sobre IPSec
Soporte para VPN Hub and Spoke
Proceso acelerado por ASIC