SlideShare una empresa de Scribd logo

Seguridad en la red carlos guevara castillo

Carlos Guevara Castillo
Carlos Guevara Castillo

Este documento habla sobre los tipos de ataques a la seguridad y privacidad en redes como la interrupción, modificación, intercepción y fabricación de datos. También describe virus, troyanos y programas maliciosos como formas comunes de ataques. Finalmente, explica brevemente los tipos de certificados de seguridad como los compartidos, de validación de dominio, de validación de compañías y de validación extendida.

1 de 42
Descargar para leer sin conexión
MATERIA: ADMINISTRACIÓN DE REDES NOMBRE: Carlos Guevara Castillo.
Introducción El mundo de la información y la comunicación ha cambiado: el modo en que adquirimos, almacenamos y diseminamos el conocimiento cada vez se parece menos a los modos usados tradicionalmente. El motivo fundamental es el tratamiento automatizado de la información que nos facilitan los computadores. Sin embargo, y aunque los medios y sistemas utilizados están disponibles desde hace algún tiempo, todavía no llegamos a comprender completamente las consecuencias de su uso. Aun más, conforme su uso vaya extendiéndose, es bastante probable que la situación se complique. Estamos pasando muy rápidamente del uso de estas tecnologías por parte de comunidades restringidas con necesidades y capacidades muy específicas, a la generalización de su uso en aspectos muy diversos de la vida diaria, por parte de personas con muy diferentes intereses. Evidentemente, esto es así en la mayoría de los casos por los claros beneficios obtenidos. Pero ningún avance tiene solo beneficios y ventajas: si adquirir, almacenar y diseminar información es cada vez más sencillo, también lo es hacer esas mismas cosas con necesidades diferentes a los iniciales. Algunas de las facetas que pueden verse perjudicadas por estos avances son nuestra privacidad, y la seguridad de los datos almacenados por medios electrónicos: cuantos más datos nuestros estén informatizados, más posibilidades existen de que alguien que nosotros no hayamos previsto, pueda tener acceso a los mismos. No hace mucho, para obtener datos acerca de nosotros y de nuestros asuntos privados, un ladrón tenga que ir a nuestra casa o a nuestro centro de trabajo, y robar los documentos (o, al menos, copiarlos); ahora, basta con que sea suficientemente hábil para que pueda acceder a nuestro computador mientras nos conectamos con el modem (para leer el correo electrónico, o charlar con los amigos en el IRC) y obtener la información sin que, tal vez, lleguemos ni siquiera a notarlo. Aunque los motivos son muy variados, fundamentalmente podemos hablar de dos aspectos que inciden directamente en el problema: motivos técnicos (fundamentalmente la forma en que se transmite y almacena la información) y motivos sociales/culturales (básicamente por el modo en que se usa la tecnología y por las personas que la usan). En lo que sigue vamos a hablar de estos temas, tratando de dar una visión de cuáles pueden ser los principales problemas a los que nos podemos enfrentar y algunas ideas de autoprotección.
ATAQUES A LA SEGURIDAD Entre los tipos de ataques a las comunicaciones tenemos: � Interrupción � Modificación � Intercepción � Fabricación Los esquemas de estos ataques se presentan en la Figura 24.2. a) Interrupción Cuando se pierde una parte del sistema o no está disponible o no puede usarse. Por ejemplo: la destrucción física de un equipo, el borrado de una aplicación o de un archivo de datos, una falla del sistema operativo, etc. b) Intercepción Cuando alguien no autorizado logra acceder al sistema. Puede tratarse de una persona, un programa o sistema de computación. Ejemplo: Reproducción ilícita de archivos, intercepción de cables para sacar los datos de una red. Como no se pierden datos es difícil detectar este tipo de ataques. c) Modificación Cuando alguien no autorizado accede a la información del sistema y la modifica. Ejemplo: Cambiar valores en una base de datos o alterar un programa para que realice operaciones adicionales.
d) Fabricación Cuando alguien no autorizado crea y añade objetos a un sistema de cómputo. Por ejemplo: Insertar registros a una base de datos existente o añadir transacciones a un sistema de comunicación de redes. En las siguientes secciones desarrollaremos con detalle cada uno de los elementos de la arquitectura de servicios de seguridad, los cuales se basan en alguna forma de criptografía. Ataques a la privacidad/seguridad Acceso físico a los recursos: nada de lo que digamos en lo sucesivo tendrá la más mínima utilidad si el medio que utilizamos para el almacenamiento (computador, disquete, CD-ROM) puede ser accesible, y por lo tanto utilizable por terceros. Bien porque está ubicado en algún lugar de acceso común, bien porque el propio recurso es de uso común. Técnicas de ingeniería social: Esta uno charlando tranquilamente en un canal de IRC, o a través de una lista de correo y alguien, muy amablemente, nos informa de que nuestro computador tiene algún problema. Él se ofrece a ayudarnos, para lo que tenemos que ejecutar un programa que nos proporciona, o darle nuestra clave para que lo soluciones el por nosotros; un poco más tarde (o tal vez nunca) nos damos cuenta de que nos han tomado el pelo. Hay cientos de formas de hacer cosas como esa, y a diario se producen muchísimos ataques de este tipo; hay que ser extremadamente cuidadoso con lo que se hace en estos casos. En un campo más profesional; una persona suficientemente hábil llama a una empresa y averigua el nombre de un `jefe'; con ese nombre, hace una llamada a otra sucursal y averigua la localización de un cierto recurso; con esos dos datos, hace una tercera llamada y consigue que le proporcionen acceso a ese recurso: `estoy de viaje, y no puedo hacer. Virus, troyanos, programas maliciosos: Un virus es un programa de ordenador que puede infectar otros programas modificándolos para incluir 3 una copia de s__ mismo según la definición que propuso Fred B. Cohen, quien en 1994 en su tesis doctoral. Habitualmente solamente son destructivos (borrar _cheros, estropear el sistema), molestos (comportamientos anómalos, ralentización del sistema), ... Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de otro de apariencia inocente. Cuando este último es ejecutado el Troyano realiza la acción o se oculta en la máquina del incauto que lo ha ejecutado: desde la simple auto-replicación y por tanto, su propia supervivencia, al envió de información contenida en nuestra propia máquina, pasando por la instalación de programas `durmientes' que esperan a las órdenes del que los instalación proporcionando acceso completo a nuestros recursos quien sabe desde donde para ser utilizados, en algunos casos, en diversos ataques contra terceros; un ejemplo de estos últimos son los utilizados para ataques de denegación de servicio distribuida {DDOS: Distributed Denial of
Service{ que se utilizan para colapsar un servidor o conjunto de servidores, y que se instalan y controlan mediante el uso del IRC (aparentemente, esta sería la misión de Mydoom, como ejemplo de plena actualidad). En cualquier caso, todos ellos comparten la forma de infección: casi siempre se trata de conseguir que ejecutemos el código malicioso en nuestro computador; una vez ejecutado, el daño está hecho. Las vías de entrada de la infección, sin embargo, son múltiples: Virus tradicionales y troyanos: habitualmente están añadidos como parte del código de otros programas ejecutables normales que conseguimos en la red, o a través de otras personas (disquetes, etc.). La ejecución del programa conlleva la ejecución del código malicioso, y por tanto la infección. Hay variantes sobre esto, pero la idea siempre es bastante parecida. A las formas ya nombradas de infección se añaden algunas nuevas como pueden ser el intercambio de ficheros P2P (estilo Napster y similares), el IRC, etc, y los ficheros adjuntos enviados mediante correo electrónico. _ Ficheros de contenidos para aplicaciones o maticas con capacidades programables: los ficheros con .Doc y .xls (entre otros) no solo contienen textos, números y formulas, sino que también pueden contener mini programas perniciosos. No solo estos: dadas las características de los programas que los manejan, un .doc con contenido peligroso puede renombrarse a .rtf (este ultimo formato puede considerarse seguro, puesto que no admite las características de programación) cuando Word lo abra, se `dará cuenta' de que es un .Doc, y lo abriría como tal, en controlándonos con los posibles problemas. No solo podemos encontrar problemas con ficheros de estos tipos; no conviene olvidar que el sistema operativo de uso mayoritario (Windows), oculta la extensión de los ficheros en su configuración por defecto, eso puede 4 ser aprovechado para introducirnos un virus de macro con el nombre LEEME.TXT.DOC. El sistema, ocultara `amablemente' la extensión .DOC, nosotros lo abriremos, y cuando nos demos cuenta de lo que es, ya será tarde. Aplicaciones de visualización de datos con capacidades programables: es bastante habitual enviar mensajes escritos con marcas de .html de manera que los mensajes adquieren un aspecto visual más atractivo (todo es opinable, claro), pero también más peligroso. Dentro de las etiquetas en .html (inofensivas) puede integrarse código en diversos lenguajes de programación (java, javascript, Visual Basic Script, ...) que, si bien pueden utilizarse para mejorar el aspecto de lo enviado, también se pueden utilizar para forzar la ejecución de código malicioso. Entre los peligros podemos destacar la existencia de programas espías (`spyware'). Se trata de programas que van desde la vigilancia de nuestras costumbres de navegación para hacer perfiles de usuario, a programas que pueden enviar nuestras claves, galletas (`cookies') del navegador, y otros datos.
¿Qué es un Certificado de Seguridad? Un certificado de seguridad es una medida adicional de confianza a los usuarios que visitan y realizan actividades o transacciones en una página web. Permite el cifrado de los datos entre el servidor representante a la página y los datos del ordenador del usuario. Cifrando la comunicación entre ambos. Un concepto más preciso sería que un certificado de seguridad logra que los datos personales de los usuarios queden encriptados y de esta forma sea imposible por los demás usuarios interceptarlos. A través del protocolo de seguridad “https” toda la información enviada mediante internet entre servidores donde se alojen las páginas y el navegador del usuario que visita dichas páginas queda cifrada y encriptada de manera que nadie pueda acceder a ella. ¿Qué ventajas tiene un Certificado de Seguridad? Aquella página que posea un certificado de seguridad será más transitada y lo comprobará en el volumen de ventas online realizadas en su plataforma, ya que para los clientes el hecho de poseer un certificado de calidad aumenta la confianza en ese sitio, por lo tanto realiza sus compras en línea. Hace que el cliente confíe en el servicio que se le está ofreciendo.
TIPOS DE CERTIFICADOS DE SEGURIDAD Existen diferentes tipo de certificados SSL que se pueden usar en un sitio Web, creo que básicamente todo dependerá de las necesidades, gustos y capacidad monetaria que se tenga, pero principalmente dependerá de las necesidades. Certificados compartidos (Shared Certificates) Estos certificados por lo general son gratuitos, y son dados de esta forma para empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros caso pueden ser generados de forma personal (usando OpenSSL por ejemplo) o a través de algún servicio que preste un sitio Web. Cumplen su función (de forma básica), pero el hecho de ser “compartidos” no los relaciona directamente con el nombre de dominio del sitio Web, esto provocará los mensajes de alerta de los que hablé antes. Creo que ese punto quedó claro, pero hagamos un ejemplo para ilustrarlo mejor: cuando un usuario visite mi sitio Web dominio.com se intentará verificar/autenticar a través del certificado de seguridad que está emitido por certdominio.com, esto generará “la desconfianza” ya que ambos dominios son diferentes. Estos certificados son apropiados para asegurar la conexión con un sitio Web o el servidor de un sitio Web, pero no serán usados por el todos los visitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio. Los certificados compartidos no son apropiados para el comercio electrónico, en estos casos se usan certificados privados, en donde el certificado esté relacionado/emparentado con el dominio. Certificados de validación de nombre de dominio (Domain Validated Certificate) Estos son los certificados SSL más básicos, se enfocan en validar solo el nombre de dominio (dominio.com). Es ideal para situaciones en las que los visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar datos personales (nombre de usuario, contraseña, email, etc) o realizar pagos con tarjetas de crédito. A diferencia de los certificados compartidos, estos no serán objeto de mensajes de advertencia por parte de los navegadores. Estos certificados son apropiados para cualquier situación en donde se quiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser adquiridos por cualquier persona. Sus costos son bajos en la mayoría de los casos.
Certificados de validación de compañías (Company Validated Certificate) Estos certificados son muy similares a los de validación de dominios, la diferencia es que para estos es necesario validar datos de la propia compañía y no solo su dominio. Más validación, más seguridad. Desde un punto de vista de negocio y reputación, una compañía que use este tipo de certificado de seguridad, no solo está validando su dominio (dominio.com) sino también su empresa. Esto es un poco “superficial” pero de alguna manera y hasta cierto punto, el hecho de que un tercero (asociación certificadora) valide la empresa (y no solo su dominio) generará mayor confianza a sus clientes. Es una cuestión de “reputación” si se quiere. Certificado de validación extendido (Extended Validation Certificates – EV) Estamos ante el “top” de los certificados. El proceso de verificación es aún mayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Web como de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los requerimientos como los procedimientos son minuciosos. La barra verde es exclusiva de este certificado. Les asegura a los visitantes que están ante una empresa/organización validada y asegurada. Además, un sitio protegido mediante este certificado hace que los navegadores web muestren el nombre de la organización junto a la barra de direcciones (en este caso verde) y al nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad de certificación controlan la visualización, lo que hace que las técnicas de phishing sean más difíciles de aplicar. Certificados Wildcard (Wildcard Certificates) Estos certificados permiten usar un único certificado SSL para ser usado en múltiples subdominios. Por ejemplo, el certificado será usado para dominio.com, compras.dominio.com, contacto.dominio.com, etc. Certificados Multi-dominio (Multi-Domain Certificates)
Estos son similares a los Wildcard, la diferencia es que en este caso son usados para dominios (y no subdominios). Por ejemplo, el certificado será usado para dominio.com, dominio.net, dominio.org, etc. Introducción a PFSENSE pfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo es tener un cortafuego (firewall) fácilmente configurable a través de una
interfase web e instalable en cualquier PC, incluyendo los miniPC de una sola tarjeta. Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto, de libre distribución. El cortafuego forma parte del Kernel del sistema. De hecho, se trata del Packet Filter (PF) originario de OpenBSD, considerado com el sistema operativo más seguro del mundo. Packet Filter (PF) está presente como estándar en FreeBSD desde noviembre de 2004. Incluye funcionalidades como el regulador de caudal ALTQ, que permite asignar prioridades por tipo de tráfico. Los desarrolladores de pfSense escogieron FreeBSD en lugar de OpenBSD por su facilidad de instalación en el mundo de lps PCs y porqué ya existía BSD Installer, una versión muy, muy reducida de FreeBSD. Todo ello da una gran flexibilidad a la solución pfSense, ya que se puede montar tanto en equipos miniPC (basados en una sola placa) que emplean como disco una Compact Flash como en PC estándar con disco duro. En este último caso se pueden añadir paquetes como Snort, Squid, Radius, etc. En esta web se explica cómo se ha configurado un pfSense 1.0.1 (octubre/noviembre 2006) que está en producción. En ningún caso es una web donde se tratan todas las posibilidades de este cortafuego de código libre.
Instalación Preparativos Antes de la implantación definitiva de pfSense se tuvieron que hacer los siguientes cambios en la red:  Dividir el cableado existente en seis redes físicas. Ello se hizo pasando algunos cables más del armario secundario al armario primario, instalando más concentradores (switch) en ambos armarios y cambiando el conexionado de equipos en los armarios. No hay más de dos concentradores encadenados (tal como estaba antes de los cambios).  Adoptar DHCP en todos los ordenadores clientes. Ello se hizo activando provisionalmente DHCP en uno de los routers ADSL.  Cambiar todos los procesos por lotes (archivos BAT y CMD en Windows, scripts de shell en máquinas Unix/Linux) que empleaban direcciones IP locales, poniendo su correspondiente nombre de máquina.  Cambiar todos los puertos de impresora que estaban por dirección IP local, poniendo su correspondiente nombre de máquina.  Asegurarse que el DNS local resuelve correctamente todos los nombres de máquina.  Asegurarse que el archivo hosts de las máquinas sólo contiene la línea: 127.0.0.1 localhost. Es decir, que no se emplea para resolver nombres de máquina, excepto localhost.  Cambiar la configuración proxy de los navegadores de Internet, poniendo la configuración automática http://www.dominio.ejemplo/proxy.pac.  Deshabilitar el acceso sin hilos de todas las impresoras que tienen esta funcionalidad, dejando sólo el acceso por red cableada. Hardware utilizado Se trata de un miniPC de FabiaTech, modelo FX5620.
El equipo tiene 5 puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede incorporar un disco duro de 2,5" (como los que llevan los portátiles) y una Compact Flash (que actúa como disco duro). Se adquirió en Gran Bretaña, http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido el domingo por la noche (pago con tarjeta de crédito) y el martes por la mañana ya llegaba (cerca de Barcelona) ... Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a un proveedor local. 25-junio-2009 No adquirir el modelo FX5621.Sólofunciona correctamente si se deshabilita la primera boca de 1 Gbit/s (NIC número 5 en la BIOS):forum.pfsense.org/index.php/topic,17116.0.html Descarga de pfSense Se puede ir a la web oficial www.pfsense.org, pero hay otros repositorios con configuraciones ajustadas. Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se encuentran versiones preparadas según la unidad que reconoce pfSense para la Compact Flash y según su tamaño. Notas importantes Hay dos tipos de imágenes de pfSense:  Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalación de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensión img. No soporta ni teclado ni monitor, hay que conectar
cable serie para acceder a la consola de pfSense y poder hacer la configuración inicial.  LiveCD. Es una imagen iso, también comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opción para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfase web. Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que hayan salido):  Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedd ed  LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso Imágenes no-oficiales de Hacom: Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayoría de ellos basados en miniPC con tarjeta Compact Flash. Las imágenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se diferencian de las oficiales por:  Usar el gestor de arranque grub en lugar del propio de FreeBSD.  Soporte para teclado y monitor. No se precisa cable serie para la configuración inicial. Las imágenes que empiezan por pfSense-releng_1_2- snapshot070424 corresponden a la versión 1.2 BETA de pfSense, con fecha 24- abril-2007. Tengo esta versión funcionando satisfactoriamente desde el 25-abril- 2007. FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2 (tercer disco ATA en FreeBSD). En uno de nuestros servidores FreeBSD hicimos: mkdirpfSense cdpfSense vi fetch.sh #!/bin/sh fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512- ad2.img.gz.md5 fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512- ad2.img.gz
chmod+xfetch.sh ./fetch.sh Nota: Me gusta tener un script llamado fetch.sh porqué así sé de donde he bajado los archivos ... Comprobamos la firma del archivo: md5pfSense-1.0.1-512-ad2.img.gz cat pfSense-1.0.1-512-ad2.img.gz.md5 Pasamos la aplicación a una máquina multimedia con Windows XP que tiene un frontal para insertar toda clase de tarjetas de memoria, con el fin de poder grabar la Compact Flash. Como que tenemos Samba/CIFS en el servidor, copiamos los archivos del servidor desde la máquina Windows, por ejemplo, a una carpeta D:CompactFlash Nota: Si se bajan los archivos a través de Windows, para comprobar firmas se puede emplear fsum: http://www.download.com/Fsum/3000-2248_4- 10127195.html Por ejemplo, se puede crear un archivo comprueba.bat que haga lo seguiente: fsum-jm*.gz type pfSense-1.0.1-512-ad2.img.gz.md5 Descarga de physdiskwrite physdiskwrite es una pequeña utilidad que permite escribir imágenes de disco. Se la puede encontrar en: http://m0n0.ch/wall/physdiskwrite.php La descargamos en D:CompactFlash y descomprimimos el archivo ZIP para obtener el EXE. Grabación de la CompactFlash Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS) d: cd /compactflash
Ejecutamos: physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz Obtendremos una respuesta similar a: Searching for physical drives Information for .PhysicalDrive0: Wich disk do you want to write <0..0>? Cancelamos la ejecución mediante Ctl+C Con ello hemos visto qué discos físicos tiene nuestra máquina. Insertamos ahora la Compact Flash y volvemos a ejecutar: physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz Vemos que nos detecta un disco físico más y cambia la pregunta final: Wich disk do you want to write <0..2>? Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2). El proceso de grabación empieza y dura un buen rato (media hora aproximadamente). ¡¡¡ Cuando se termina, hay que hacer el proceso de desconexión segura del dispositivo Compact Flash antes de extraerla de su ranura !!! En muchas consolas de órdenes (Windows XP incluido) escribir los primeros caracteres de los archivos y darle al tabulador sirve para que aparezca en pantalla el nombre completo del archivo. Ello evita teclearlo todo. En mi caso he creado un archivo de órdenes llamado grabar.bat que contiene la orden physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz physdiskwrite controla automáticamente que no se puedan escribir discos de más de 2 GByte. De esta manera evita las confusiones entre el disco duro y la Compact Flash.
Configuración inicial de pfSense Una vez instalada la Compact Flash en el FX5620 (con el equipo sin alimentación) lo ponemos en marcha con un monitor, teclado y cable de red conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s y que pfSense reconoce como re0). Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la WAN: Do you want to set up VLANs now [y|n]? n Enter the LAN interface name or 'a' for auto-detection: re0 Enter the WAN interface name or 'a' for auto-detection: rl0 Enter the Optional 1 interface name or 'a' for auto-detection (or nothing is finished): _ Y confirmar la operación: LAN -> re0 WAN -> rl0 Do you want to proceed [y|n]? y El sistema carga su configuración por defecto y presenta al final la indicación de que la LAN es 192.168.1.1 y su menú de consola. Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiar de 192.168.1.1 a 192.168.XXX.1 Enter the new LAN IP address: 192.168.XXX.1 Subnet masks are entered as bit counts (as in CIDR notation) in pfSense. e.g. 255.255.255.0 = 24 255.255.0.0 = 16 255.0.0.0 = 8 Enter the new LAN subnet bit count: 24 Do you want to enable the DHCP server on LAN [y|n]? n Confirmando la operación se nos informará de la nueva dirección. A partir de aquí, normalmente emplearemos el configurador web, yendo a http://192.168.XXX.1 El acceso directo a la consola del cortafuegos tiene la pega de estar configurado con el teclado inglés. En caso de querer acceder al cortafuegos vía consola
siempre será más cómodo hacerlo por SSH. Este acceso sí que nos reconocerá nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [ Configuración base ] explico cómo activar el acceso por SSH. UNTANGLE (http://www.untangle.com/ ) Cuando pensamos en proteger la red de nuestra empresa son muchos los palos que tenemos que tocar, virus, malware, filtrado web, spam, phishing y demás amenazas a las que hay que cortar el paso intentando además no limitar las posibilidades que nos permite el trabajo en red. Ya hemos comentado que la mejor forma de hacerlo es proteger la entrada, poner un “portero”, y esa es precisamente la función de Untangle, un paquete de software concebido para la protección perimetral de nuestra red. Más que un programa, Untangle es en realidad una recopilación de programas de seguridad unificados bajo una interfaz común que nos permite configurar y manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe como servidor independiente que únicamente ejecuta esta solución o utilizarlo como un programa en un ordenador de escritorio con Windows XP. En Untangle categorizan las funciones de su solución en tres apartados: productividad, seguridad y acceso remoto.  Productividad: filtrado web para bloquear el acceso a las páginas que queramos, bloqueo de spam antes de que llegue al usuario y control de protocolos, para impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de determinados puertos que no queremos dejar al descubierto.  Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su entrada en la red de la empresa.
 Acceso remoto: acceso remoto a la red de la empresa mediante red privada virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro de la red local y una alternativa de acceso vía web a servicios internos de la red. Es una solución bastante completa que podemos bien descargar gratuitamente, en cuyo caso sólo se incluyen las aplicaciones de código abierto (todas menos el portal de acceso web) o suscribirnos por una cuota mensual o anual que añade soporte técnico y funciones de gestión avanzadas para políticas de acceso, integración con Active Directory y copias de seguridad remotas de la configuración. Lo mejor sin duda es la sencillez a la hora de instalar y configurar el sistema. Hay que tener algún conocimiento, evidentemente, pero es mucho más fácil que ir programa a programa instalando la solución. Lo ideal bajo mi punto de vista es instalarlo como servidor, dedicando una máquina exclusivamente a esta función, en cuyo caso podemos utilizarlo para sustituir nuestro router ADSLactual o colocarlo entre éste y nuestra red.
UNTANGLE, CONFIGURANDO PROXY (WEB FILTER LITE) Y FIREWALL Como bien lo habrán notado, en mis anteriores publicaciones he estado hablando bastante sobre la protección de la red, esto mediante IDS (Sistemas de Detección de Intrusos), Firewall's, Proxys, entre otros. Hoy quise mostrarles un appliance que tiene grandes funcionalidades llamado Untangle que esta desarrollado por una empresa privada que ofrece un network gateway de código abierto y tiene una gran cantidad de aplicaciones gratuitas muy interesantes, tales como. Spam Blocker: Bloqueo de Spam Phish Blocker: Prevención de Phishing Spyware Blocker: Escanea el trafico buscando Malware Web Filter Lite: Filtro de contenidos Virus Blocker: Detecta Malware en archivos analizando el trafico Intrusion Prevention: IPS Protocol Control: Bloqueo de puertos Firewall: Filtro por protocolos, direcciones, DMZ's Ad Blocker: Bloqueo de publicidad Captive Portal: Obliga a los usuarios a ingresar a una web para autenticación. OpenVPN: Red Privada Virtual Attack Blocker: Previene ataques de tipo DDOS Reports: Crea informes acerca de el comportamiento de la red. Además cuenta con un gran numero de aplicaciones de pago o de prueba que pueden complementar la seguridad de nuestra red. NOTA: Para ver un articulo completo de las características de cada una de las aplicaciones listadas anteriormente clic AQUÍ.
La practica que haremos entonces sera muy sencilla, consiste en la instalar Untangle, familiarizarlos un poco con su entorno, e instalar su Web Filter Lite (Proxy) y su Firewall para hacer unos bloqueos básicos, además la topología que implementaremos sera muy sencilla LAN->Router(Untangle)->WAN utilizando tan solo un cliente en Windows. Instalando Untangle. La instalación es muy sencilla y mucho mas para personas que ya han hecho instalaciones en distribuciones basadas en Debian, tan solo hay que seguir unos sencillos pasos para poder hacerlo. Elegimos el idioma.
Nuestro pais. La distribución del teclado. Decidimos si queremos formatear el disco entero.
Y listo. Ahora comenzara el asistente de instalación de la aplicación, primero elegimos el idioma.
Elegimos las credenciales del usuario administrador. Definimos el orden de las interfaces y cual estará conectada a la LAN y cual a la WAN. Ahora probaremos que el equipo este conectado a internet, en mi caso el router de mi ISP me asigna una dirección dinamica (DHCP) entonces tan solo basta con pedir una renovación, si no contáramos con eso tendríamos que asignarle una IP de manera estática.
Ahora nos dará dos opciones, una para instalarlo detrás de un router, o Firewall configurado anteriormente o como router, en mi caso lo instalare como router y le definiré la dirección IP que tendrá la tarjeta de red que va hacia la LAN, además le diré que configure un servidor DHCP que le entregue direcciones a los equipos de mi red. Luego nos dirá si deseamos configurar una cuenta de correo para recibir reportes pero en mi caso lo omitiré.
Con esto habremos finalizado su instalación. Cuando ingresamos al Untangle observamos una barra con las opciones que podemos tener, entre estas ingresar a la terminal pero primero debemos configurar un password de root.
Como pudimos ver su instalación fue muy sencilla tan solo configuraremos si lo necesitamos mas opciones de la red como lo son el sufijo del DNS o los DNS que utilizara el router para resolver direcciones en internet, como lo podemos observar en la imagen en la parte izquierda aparecen dos opciones que son aplicaciones y configurar, si lo necesitamos procedemos a configurar si no, nos podemos saltar este paso y dar clic en aplicaciones y luego en mi cuenta. Instalando las aplicaciones.
Ahora vamos a instalar las aplicaciones que necesitamos (Web Filter Litey Firewall) para esto accedemos a "Mi Cuenta" y allí comenzaremos, si no tenemos un registro lo creamos. Luego de estar en su cuenta pueden descargar las aplicaciones gratis o comprar las de pago, como lo dije anteriormente las que instalaremos son gratis, para encontrarlas vamos a Home>Products>Product Overview>Firewall y desde allí Free Download.
Ahora en la ventana principal del Untangle podrán observar que el Firewall se instalo satisfactoriamente, también pueden cambiar los skins del untangle, en mi caso se ve así siempre aparenta ser un rack y las aplicaciones se instalan una debajo de otra y en cada una están sus botones de configuración y algunos logs. De igual manera que con el firewall instalamos entonces el Web Filter Lite. En mi caso tengo un cliente de Windows XP en la LAN, primero que todo probamos que este saliendo a internet con una dirección IP asignada por el Untangle.
Configurando el Proxy (Web Filter Lite) Cuando entramos al botón de configuración en el Web Filter Lite del "Rack" podremos observar las siguientes opciones. Editar Categorías: Muestra un listado de las categorías de paginas web a filtrar como pornografía, redes sociales y proxys en internet. Editar Sitios: Permite agregar de forma manual un sitio WEB para filtrar, esto mediante URL o dirección IP. Editar Tipos de archivo: permite un filtrado de extensiones a descargar como .mp3, .exe, .mov, entre otras. Comenzaremos a filtrar en orden, primero por categorías, lo que haremos sera denegar el acceso a paginas WEB con contenido para adultos o proxys de internet, además observaremos el uso del botón "User By Pass" el cual permite hacer que el proxy sea permisivo y le aparezca un botón a los usuarios para darles la opción de continuar en la WEB cuando esta en permanente y global, por ahora lo usaremos así solo como practica.
Buscaremos paginas con contenido para adultos.
La pagina sera bloqueada, pero en la parte inferior nos permitirá continuar si lo deseamos gracias al botón "User By Pass" Ahora cambiaremos el botón de "User By Pass" a modo "Ninguno" para que no les aparezcan opciones y los usuarios no tengan opción de continuar.
Bloquearemos la URL www.facebook.com y crearemos una categoría llamada Redes Sociales. Cuando los usuarios intenten ingresar observaran el motivo del bloqueo y la pagina estará bloqueada.
Ahora bloquearemos por extensión y denegaremos que los usuarios descarguen contenido .exe Probaremos bajandonos el firefox.
Nos dirá que no podemos continuar por el tipo de extensión. Si volvemos a la pagina principal podemos ver algunos de los logs del proxy. Ahora comenzaremos la configuración del Firewall. Configurando el Firewall. Para configurar el Firewall podemos basarnos en las reglas de las anteriores publicaciones tales como: M0n0wall Configurando Reglas De Firewall y NAT Configurando Firewall En Un Router CISCO Con Soporte Para SDM En GNS3 En este simplemente les mostrare una regla básica de denegación de HTTP y permisión por defecto.
Comenzamos con denegar la salida de la LAN hacia cualquier pagina HTTP. Ahora permitiremos todo por defecto. Estas son nuestras reglas habilitadas.
Si ingresamos mediante HTTP sera denegada la solicitud pero podremos ingresar mediante HTTPS, FTP, consultas DNS y PING, además todo estará permitido.
INTRODUCCIÓN A FORTINET Fortinet fue fundada en el año 2000 por Ken Xie, visionario y previo fundador y CEO de NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilización de un Circuito Integrado de Aplicación Específica (ASIC) para acelerar el proceso Firewall. De este modo lanzó al mercado un lineal de equipos de alto rendimiento que mediante aceleración hardware permitía realizar un control sobre el tráfico de las redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado Ken Xie, con objeto de seguir avanzando en su visión propia de la seguridad en las comunicaciones, abandonó NetScreen y fundó Fortinet. Su proyecto consistía en dar un enorme paso más en la seguridad en tiempo real, integrando antivirus, filtrado de contenido, tecnología IDP (Intrusión Detection and Prevention) y Antispam en un solo dispositivo, junto con el firewall y servidor VPN, y acelerando esta Protección Completa de Contenidos mediante un nuevo ASIC, FortiASIC, que permite romper la barrera del procesado de contenidos en tiempo real. Algunas de las características más destacables de Fortinet son las siguientes: • Presencia mundial de sus centros de operación, ventas y soporte • Sede central en Sunnyvale, California • Más de 75.000 clientes en todo el mundo con más de 450.000 equipos instalados • Más de 40 oficinas en América, Asia y EMEA, con sede central europea en Sophia- Antipolis (Francia) • Pioneros en la utilización de Circuitos Integrados de Aplicación Específica para acelerar los procesos de seguridad hasta el nivel de aplicación • Único modo de ofrecer Protección Completa en Tiempo Real • Líderes en el mercado UTM (Unified Threat Management) según IDC desde el 2003 hasta el 2009 • Tecnologías certificadas ICSA (6 certificaciones), NSS (UTM), ISO 9001:2000, Common Criteria EAL4+ y FIPS-2. • Robusto apoyo financiero Fortinet es la compañía de seguridad de más rápido crecimiento en la historia. Desde su entrada en el mercado, anualmente ha duplicado su penetración en el mismo así como sus beneficios, con una inversión en I+D+I constante. ¿Por qué Fortinet? Equipamiento de alto rendimiento Los equipos de seguridad Fortinet constituyen una nueva generación de equipos de seguridad de muy alto rendimiento que garantizan la protección completa de nuestros sistemas en tiempo real. La serie FortiGate, que ofrece altísimos niveles de escalabilidad, rendimiento, seguridad y flexibilidad de despliegue, es la única plataforma de Gestión Unificada de Amenazas (UTMUnified Threat Management) que cuenta con seis certificaciones ICSA y que además cumple el estándar ATCA Advanced Telecom Computing Architecture–, integrando una completa gama de
funciones y servicios de seguridad para proteger las redes de las sofisticadas amenazas combinadas. Entre las funcionalidades integradas de estas plataformas de Gestión Unificada de Amenazas –UTM– se incluyen cortafuegos de inspección de estado, VPN IPSec y SSL, detección y prevención de intrusiones, filtrado de contenido web, antispam, antivirus, controles de mensajería instantánea y controles P2P (peer-to peer). Estos servicios de seguridad funcionan conjuntamente para prevenir que los ataques mixtos afecten a la red. Servicios Fortinet Fortinet ofrece de forma conjunta con su equipamiento servicios profesionales que garantizan el soporte, la actualización y el correcto mantenimiento de los niveles de servicio demandados. Gracias a los equipos técnicos distribuidos a lo largo de todo el mundo, Fortinet es capaz de ofrecer soporte internacional con cobertura 24x7x365, actualizando en tiempo real las bases de datos de firmas de antivirus e IDS/IPS y los motores de estas aplicaciones, así como actualizando de forma continuada las bases de datos en las que se apoyan los servicios Fortiguard Web Filtering y Fortiguard AntiSpam. El Servicio FortiProtect Distribution Network (FDN) se encarga de la distribución de estas actualizaciones a lo largo de todo el mundo, existiendo el compromiso con aquellos clientes que contratan el servicio FortiProtect Premier Services de disponer de la firma correspondiente a cualquier nuevo ataque en menos de 3 horas. Características técnicas de los equipos La Arquitectura FortiGate La tecnología Fortinet es una poderosa combinación de software y hardware basada en el uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las comunicaciones. La tecnología incluye el Procesador FortiASICTM y el Sistema Operativo FortiOSTM los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos. Alta disponibilidad Conjunto de dos o más máquinas que se caracterizan por mantener una serie de servicios compartidos y por estar constantemente monitorizándose entre sí. Activo-Activo (en modo router y transparente): La configuración de "alta
disponibilidad" en activo-activo es muy similar a la de activo-pasivo, aunque en este caso los dos nodos comparten los servicios de una manera activa, normalmente balanceados, consiguiendo una disponibilidad mayor ya que los servicios se entregan antes. Pasivo-Activo: Se trata de disponer de un nodo funcionando, contando con todos los servicios que componen el sistema de información al que denominaremos Activo, y el otro nodo que se denominará Pasivo en el que se encuentran duplicados todos estos servicios, pero detenidos a espera de que se produzca un fallo. Virtualización – VDOMs Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre una única plataforma física podemos configurar hasta 500 Equipos virtuales, completamente independientes entre sí y con todas las funcionalidades que posee cada plataforma física. Todos los equipos FortiGate disponen en su configuración básica de la capacidad de definición de hasta 10 dominios virtuales, siendo posible ampliar el número de éstos en los equipos de gama alta (a partir de la gama FG3000), llegando hasta 500 Dominios Virtuales. Cada uno de estos dominios virtuales representan de forma lógica una máquina independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas sobre cada máquina, etc. Networking La línea de soluciones de seguridad multiamenaza FortiGate Series ofrece a las empresas un sencillo despliegue, al permitir su instalación sin problemas en redes de última generación. Modos de Operación: Modo NAT Modo transparente: Se coloca delante del servidor existente y presenta una integración imperceptible en el entorno de red donde se ubica. Permite colocar el appliance en la red sin realizar ningún cambio de dirección IP. Cuando se opera en modo transparente todas las interfaces de la unidad hardware se encuentran en la misma subred IP y el appliance actúa como puente. Soporte PPPoE (Protocolo Punto a Punto sobre Ethernet) Soporte DDNS support DHCP for Branch Office Proxy DNS Protocolos de Routing: Static, RIP v1 and v2, OSPF SNMP Support Posibilidad de personalización de los mensajes mostrados a los usuarios relativos a cada una de las funcionalidades
ICSA Certification Stateful Inspection (Inspección profunda de paquetes) Virtual IP 802.1q VLAN support Políticas de autenticación basadas en grupos de usuarios Autenticación externa: Radius, LDAP Proceso acelerado por ASIC Balanceo Suministra una completa solución de acceso remoto que consolida la aceleración WAN, VPN y multi-homing para garantizar una conectividad rápida y fiable de las operaciones remotas y acceso global seguro a las aplicaciones distribuidas que se encuentran en el centro de datos. Soporta balanceo estático de ISPs y políticas basadas en rutas (policy routing) con la posibilidad de enrutar los paquetes por cualquier otro dato que no sea la dirección destino del paquete. Balanceo de carga Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribución del balanceo de carga puede ser configurado a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o http de manera que ente el fallo de un servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma de alta disponibilidad. Calidad de servicio Traffic shaping El Traffic shaping o catalogación de tráfico controla el tráfico en redes de ordenadores para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de banda determinado, pudiendo priorizar políticas de firewall por: Ancho de banda garantizado Ancho de banda máximo Priorización dinámica entre políticas VPN Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL, además de PPTP. De esta forma, oficinas
pequeñas, medias, corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet. Al estar integrada la funcionalidad VPN en la propia plataforma FortiGate, el tráfico VPN puede ser analizado por el módulo de Firewall así como por las funcionalidades adicionales antivirus, IPS, web filtering, antispam, etc. Algunas características son: Soporte para VPN Site-to-Site, en modo router y transparente. Soporte para VPN cliente en modo router y transparente Soporte DDNS. Soporte DES, 3DES,AES256, L2TP,PPTP Load Sharing e clustering Gestión de Certificados Digitales Autenticación externa (Radius, LDAP) Nat /Pat Xauth sobre Radius Internet Key Exchange (IKE) • Diffie-Hellman (DH) Groups 1, 2, 5 • RSA Certificates Protocolos de routing RIP, RIP2, OSPF IPSEc Nat transversal Dead peer detection DHCP sobre IPSec Soporte para VPN Hub and Spoke Proceso acelerado por ASIC
Seguridad en la red carlos guevara castillo

Recomendados

Hackers
HackersHackers
Hackersmateorivera
 
Guía teórica seguridad informatica
Guía teórica seguridad informaticaGuía teórica seguridad informatica
Guía teórica seguridad informaticacrisschwab
 
Virus informático y seguridad informática
Virus informático y seguridad informáticaVirus informático y seguridad informática
Virus informático y seguridad informáticaSebastián Pérez
 
Basílico, Di Sisto, Gismondi, Martinotti
Basílico, Di Sisto, Gismondi, MartinottiBasílico, Di Sisto, Gismondi, Martinotti
Basílico, Di Sisto, Gismondi, Martinottigrupo cerocerouno
 
Tics.Cuidado porque esta peligroso...
Tics.Cuidado porque esta peligroso...Tics.Cuidado porque esta peligroso...
Tics.Cuidado porque esta peligroso...mamijose
 
PROYECTO PRIMERA PARCIAL DE INFORMATICA
PROYECTO PRIMERA PARCIAL DE INFORMATICAPROYECTO PRIMERA PARCIAL DE INFORMATICA
PROYECTO PRIMERA PARCIAL DE INFORMATICAcesarincb
 
Ada3_cuadros_daniel_1A
Ada3_cuadros_daniel_1AAda3_cuadros_daniel_1A
Ada3_cuadros_daniel_1ADanielCuadrosCasanue
 
Glosario Informatico
Glosario InformaticoGlosario Informatico
Glosario Informaticojuliolacera
 

Recomendados

Hackers
HackersHackers
Hackersmateorivera
 
Guía teórica seguridad informatica
Guía teórica seguridad informaticaGuía teórica seguridad informatica
Guía teórica seguridad informaticacrisschwab
 
Virus informático y seguridad informática
Virus informático y seguridad informáticaVirus informático y seguridad informática
Virus informático y seguridad informáticaSebastián Pérez
 
Basílico, Di Sisto, Gismondi, Martinotti
Basílico, Di Sisto, Gismondi, MartinottiBasílico, Di Sisto, Gismondi, Martinotti
Basílico, Di Sisto, Gismondi, Martinottigrupo cerocerouno
 
Tics.Cuidado porque esta peligroso...
Tics.Cuidado porque esta peligroso...Tics.Cuidado porque esta peligroso...
Tics.Cuidado porque esta peligroso...mamijose
 
PROYECTO PRIMERA PARCIAL DE INFORMATICA
PROYECTO PRIMERA PARCIAL DE INFORMATICAPROYECTO PRIMERA PARCIAL DE INFORMATICA
PROYECTO PRIMERA PARCIAL DE INFORMATICAcesarincb
 
Ada3_cuadros_daniel_1A
Ada3_cuadros_daniel_1AAda3_cuadros_daniel_1A
Ada3_cuadros_daniel_1ADanielCuadrosCasanue
 
Glosario Informatico
Glosario InformaticoGlosario Informatico
Glosario Informaticojuliolacera
 
Seguridad E Internet
Seguridad E InternetSeguridad E Internet
Seguridad E InternetNet-Learning - Soluciones para e-learning
 
COLYPRO_ Curso.
COLYPRO_ Curso.COLYPRO_ Curso.
COLYPRO_ Curso.KARENT BARQUERO
 
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnologíaRamirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnologíagrupochik LLL
 
Amenazas en la red
Amenazas en la redAmenazas en la red
Amenazas en la redCinthia Lisbeth Ramirez Gutierrez
 
Glosario de terminos informaticos
Glosario de terminos informaticosGlosario de terminos informaticos
Glosario de terminos informaticosligbil
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFranco Maggi
 
virus y antivirus
virus y antivirusvirus y antivirus
virus y antivirusrubenyrafa1234
 
P ower al blog
P ower al blogP ower al blog
P ower al blogArturo Madero Márquez
 
P ower al blog
P ower al blogP ower al blog
P ower al blogWendy Torres
 
Glosario Informático
Glosario Informático Glosario Informático
Glosario Informático COLEGIO PADRE CLARET
 
Presentacion con diapositivas
Presentacion con diapositivasPresentacion con diapositivas
Presentacion con diapositivasAlma Gonzalez
 
TIC
TICTIC
TICLuciayomara1219
 
Los Virus Informáticos
Los Virus InformáticosLos Virus Informáticos
Los Virus Informáticosdaniinformatica
 
Qué es un mode1
Qué es un mode1Qué es un mode1
Qué es un mode1Tania Lopez Alcazar
 
Presentación1
Presentación1Presentación1
Presentación1Yaazmiinn Gtz
 
Video
VideoVideo
VideomiguelfernandoCruzVi
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticavaniaadrianapilares
 
Informatica virus
Informatica virusInformatica virus
Informatica virusSebastianreyesh
 
Seguridad informatica basica virus
Seguridad informatica basica virusSeguridad informatica basica virus
Seguridad informatica basica virusFernando Alfonso Casas De la Torre
 
El Ciberespacio
El CiberespacioEl Ciberespacio
El CiberespacioAntonio Hurtado
 
El Ciberespacio
El CiberespacioEl Ciberespacio
El CiberespacioAntonio Hurtado
 
Software
SoftwareSoftware
SoftwareJillmar
 

Más contenido relacionado

La actualidad más candente

Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnologíaRamirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnologíagrupochik LLL
 
Glosario de terminos informaticos
Glosario de terminos informaticosGlosario de terminos informaticos
Glosario de terminos informaticosligbil
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaFranco Maggi
 
Presentacion con diapositivas
Presentacion con diapositivasPresentacion con diapositivas
Presentacion con diapositivasAlma Gonzalez
 

La actualidad más candente (18)

Seguridad E Internet
Seguridad E InternetSeguridad E Internet
Seguridad E Internet
 
COLYPRO_ Curso.
COLYPRO_ Curso.COLYPRO_ Curso.
COLYPRO_ Curso.
 
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnologíaRamirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
Ramirez ludmila, sbrizzi lara, medrano butani laila 2do c tecnología
 
Amenazas en la red
Amenazas en la redAmenazas en la red
Amenazas en la red
 
Glosario de terminos informaticos
Glosario de terminos informaticosGlosario de terminos informaticos
Glosario de terminos informaticos
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
virus y antivirus
virus y antivirusvirus y antivirus
virus y antivirus
 
P ower al blog
P ower al blogP ower al blog
P ower al blog
 
P ower al blog
P ower al blogP ower al blog
P ower al blog
 
Glosario Informático
Glosario Informático Glosario Informático
Glosario Informático
 
Presentacion con diapositivas
Presentacion con diapositivasPresentacion con diapositivas
Presentacion con diapositivas
 
TIC
TICTIC
TIC
 
Los Virus Informáticos
Los Virus InformáticosLos Virus Informáticos
Los Virus Informáticos
 
Qué es un mode1
Qué es un mode1Qué es un mode1
Qué es un mode1
 
Presentación1
Presentación1Presentación1
Presentación1
 
Video
VideoVideo
Video
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Informatica virus
Informatica virusInformatica virus
Informatica virus
 

Similar a Seguridad en la red carlos guevara castillo

seguridad informatica 1B
seguridad informatica 1Bseguridad informatica 1B
seguridad informatica 1BJulio Hdez
 
Tecnologia 2
Tecnologia 2Tecnologia 2
Tecnologia 2davidmeji
 
Amenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAmenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAlonso Sal y Rosas
 
8. seguridad informatica
8. seguridad informatica8. seguridad informatica
8. seguridad informaticaJorge Nava
 
Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones dianabelus
 
8. Seguridad%20 Informatica
8. Seguridad%20 Informatica8. Seguridad%20 Informatica
8. Seguridad%20 Informaticavirusmania08
 
Cartilla virtual wilmar ramirez mejia
Cartilla virtual wilmar ramirez mejiaCartilla virtual wilmar ramirez mejia
Cartilla virtual wilmar ramirez mejiaWilmarpeel
 

Similar a Seguridad en la red carlos guevara castillo (20)

Seguridad informatica basica virus
Seguridad informatica basica virusSeguridad informatica basica virus
Seguridad informatica basica virus
 
El Ciberespacio
El CiberespacioEl Ciberespacio
El Ciberespacio
 
El Ciberespacio
El CiberespacioEl Ciberespacio
El Ciberespacio
 
Software
SoftwareSoftware
Software
 
La importancia seguridad
La importancia seguridadLa importancia seguridad
La importancia seguridad
 
Los virus y antivirus
Los virus y antivirusLos virus y antivirus
Los virus y antivirus
 
seguridad informatica 1B
seguridad informatica 1Bseguridad informatica 1B
seguridad informatica 1B
 
Virus
VirusVirus
Virus
 
Tecnologia 2
Tecnologia 2Tecnologia 2
Tecnologia 2
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Amenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET LatinoaméricaAmenazas Actuales - Curso ESET Latinoamérica
Amenazas Actuales - Curso ESET Latinoamérica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
8. seguridad informatica
8. seguridad informatica8. seguridad informatica
8. seguridad informatica
 
Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones Amenazas de seguridad informatica y soluciones
Amenazas de seguridad informatica y soluciones
 
8. Seguridad%20 Informatica
8. Seguridad%20 Informatica8. Seguridad%20 Informatica
8. Seguridad%20 Informatica
 
Cartilla virtual wilmar ramirez mejia
Cartilla virtual wilmar ramirez mejiaCartilla virtual wilmar ramirez mejia
Cartilla virtual wilmar ramirez mejia
 
Los virus
Los virusLos virus
Los virus
 

Seguridad en la red carlos guevara castillo

  • 2. Introducción El mundo de la información y la comunicación ha cambiado: el modo en que adquirimos, almacenamos y diseminamos el conocimiento cada vez se parece menos a los modos usados tradicionalmente. El motivo fundamental es el tratamiento automatizado de la información que nos facilitan los computadores. Sin embargo, y aunque los medios y sistemas utilizados están disponibles desde hace algún tiempo, todavía no llegamos a comprender completamente las consecuencias de su uso. Aun más, conforme su uso vaya extendiéndose, es bastante probable que la situación se complique. Estamos pasando muy rápidamente del uso de estas tecnologías por parte de comunidades restringidas con necesidades y capacidades muy específicas, a la generalización de su uso en aspectos muy diversos de la vida diaria, por parte de personas con muy diferentes intereses. Evidentemente, esto es así en la mayoría de los casos por los claros beneficios obtenidos. Pero ningún avance tiene solo beneficios y ventajas: si adquirir, almacenar y diseminar información es cada vez más sencillo, también lo es hacer esas mismas cosas con necesidades diferentes a los iniciales. Algunas de las facetas que pueden verse perjudicadas por estos avances son nuestra privacidad, y la seguridad de los datos almacenados por medios electrónicos: cuantos más datos nuestros estén informatizados, más posibilidades existen de que alguien que nosotros no hayamos previsto, pueda tener acceso a los mismos. No hace mucho, para obtener datos acerca de nosotros y de nuestros asuntos privados, un ladrón tenga que ir a nuestra casa o a nuestro centro de trabajo, y robar los documentos (o, al menos, copiarlos); ahora, basta con que sea suficientemente hábil para que pueda acceder a nuestro computador mientras nos conectamos con el modem (para leer el correo electrónico, o charlar con los amigos en el IRC) y obtener la información sin que, tal vez, lleguemos ni siquiera a notarlo. Aunque los motivos son muy variados, fundamentalmente podemos hablar de dos aspectos que inciden directamente en el problema: motivos técnicos (fundamentalmente la forma en que se transmite y almacena la información) y motivos sociales/culturales (básicamente por el modo en que se usa la tecnología y por las personas que la usan). En lo que sigue vamos a hablar de estos temas, tratando de dar una visión de cuáles pueden ser los principales problemas a los que nos podemos enfrentar y algunas ideas de autoprotección.
  • 3. ATAQUES A LA SEGURIDAD Entre los tipos de ataques a las comunicaciones tenemos: � Interrupción � Modificación � Intercepción � Fabricación Los esquemas de estos ataques se presentan en la Figura 24.2. a) Interrupción Cuando se pierde una parte del sistema o no está disponible o no puede usarse. Por ejemplo: la destrucción física de un equipo, el borrado de una aplicación o de un archivo de datos, una falla del sistema operativo, etc. b) Intercepción Cuando alguien no autorizado logra acceder al sistema. Puede tratarse de una persona, un programa o sistema de computación. Ejemplo: Reproducción ilícita de archivos, intercepción de cables para sacar los datos de una red. Como no se pierden datos es difícil detectar este tipo de ataques. c) Modificación Cuando alguien no autorizado accede a la información del sistema y la modifica. Ejemplo: Cambiar valores en una base de datos o alterar un programa para que realice operaciones adicionales.
  • 4. d) Fabricación Cuando alguien no autorizado crea y añade objetos a un sistema de cómputo. Por ejemplo: Insertar registros a una base de datos existente o añadir transacciones a un sistema de comunicación de redes. En las siguientes secciones desarrollaremos con detalle cada uno de los elementos de la arquitectura de servicios de seguridad, los cuales se basan en alguna forma de criptografía. Ataques a la privacidad/seguridad Acceso físico a los recursos: nada de lo que digamos en lo sucesivo tendrá la más mínima utilidad si el medio que utilizamos para el almacenamiento (computador, disquete, CD-ROM) puede ser accesible, y por lo tanto utilizable por terceros. Bien porque está ubicado en algún lugar de acceso común, bien porque el propio recurso es de uso común. Técnicas de ingeniería social: Esta uno charlando tranquilamente en un canal de IRC, o a través de una lista de correo y alguien, muy amablemente, nos informa de que nuestro computador tiene algún problema. Él se ofrece a ayudarnos, para lo que tenemos que ejecutar un programa que nos proporciona, o darle nuestra clave para que lo soluciones el por nosotros; un poco más tarde (o tal vez nunca) nos damos cuenta de que nos han tomado el pelo. Hay cientos de formas de hacer cosas como esa, y a diario se producen muchísimos ataques de este tipo; hay que ser extremadamente cuidadoso con lo que se hace en estos casos. En un campo más profesional; una persona suficientemente hábil llama a una empresa y averigua el nombre de un `jefe'; con ese nombre, hace una llamada a otra sucursal y averigua la localización de un cierto recurso; con esos dos datos, hace una tercera llamada y consigue que le proporcionen acceso a ese recurso: `estoy de viaje, y no puedo hacer. Virus, troyanos, programas maliciosos: Un virus es un programa de ordenador que puede infectar otros programas modificándolos para incluir 3 una copia de s__ mismo según la definición que propuso Fred B. Cohen, quien en 1994 en su tesis doctoral. Habitualmente solamente son destructivos (borrar _cheros, estropear el sistema), molestos (comportamientos anómalos, ralentización del sistema), ... Un gusano es un programa que se reproduce, como los virus, pero que no necesita de otros programas para retransmitirse. Un troyano es un programa malicioso que se oculta en el interior de otro de apariencia inocente. Cuando este último es ejecutado el Troyano realiza la acción o se oculta en la máquina del incauto que lo ha ejecutado: desde la simple auto-replicación y por tanto, su propia supervivencia, al envió de información contenida en nuestra propia máquina, pasando por la instalación de programas `durmientes' que esperan a las órdenes del que los instalación proporcionando acceso completo a nuestros recursos quien sabe desde donde para ser utilizados, en algunos casos, en diversos ataques contra terceros; un ejemplo de estos últimos son los utilizados para ataques de denegación de servicio distribuida {DDOS: Distributed Denial of
  • 5. Service{ que se utilizan para colapsar un servidor o conjunto de servidores, y que se instalan y controlan mediante el uso del IRC (aparentemente, esta sería la misión de Mydoom, como ejemplo de plena actualidad). En cualquier caso, todos ellos comparten la forma de infección: casi siempre se trata de conseguir que ejecutemos el código malicioso en nuestro computador; una vez ejecutado, el daño está hecho. Las vías de entrada de la infección, sin embargo, son múltiples: Virus tradicionales y troyanos: habitualmente están añadidos como parte del código de otros programas ejecutables normales que conseguimos en la red, o a través de otras personas (disquetes, etc.). La ejecución del programa conlleva la ejecución del código malicioso, y por tanto la infección. Hay variantes sobre esto, pero la idea siempre es bastante parecida. A las formas ya nombradas de infección se añaden algunas nuevas como pueden ser el intercambio de ficheros P2P (estilo Napster y similares), el IRC, etc, y los ficheros adjuntos enviados mediante correo electrónico. _ Ficheros de contenidos para aplicaciones o maticas con capacidades programables: los ficheros con .Doc y .xls (entre otros) no solo contienen textos, números y formulas, sino que también pueden contener mini programas perniciosos. No solo estos: dadas las características de los programas que los manejan, un .doc con contenido peligroso puede renombrarse a .rtf (este ultimo formato puede considerarse seguro, puesto que no admite las características de programación) cuando Word lo abra, se `dará cuenta' de que es un .Doc, y lo abriría como tal, en controlándonos con los posibles problemas. No solo podemos encontrar problemas con ficheros de estos tipos; no conviene olvidar que el sistema operativo de uso mayoritario (Windows), oculta la extensión de los ficheros en su configuración por defecto, eso puede 4 ser aprovechado para introducirnos un virus de macro con el nombre LEEME.TXT.DOC. El sistema, ocultara `amablemente' la extensión .DOC, nosotros lo abriremos, y cuando nos demos cuenta de lo que es, ya será tarde. Aplicaciones de visualización de datos con capacidades programables: es bastante habitual enviar mensajes escritos con marcas de .html de manera que los mensajes adquieren un aspecto visual más atractivo (todo es opinable, claro), pero también más peligroso. Dentro de las etiquetas en .html (inofensivas) puede integrarse código en diversos lenguajes de programación (java, javascript, Visual Basic Script, ...) que, si bien pueden utilizarse para mejorar el aspecto de lo enviado, también se pueden utilizar para forzar la ejecución de código malicioso. Entre los peligros podemos destacar la existencia de programas espías (`spyware'). Se trata de programas que van desde la vigilancia de nuestras costumbres de navegación para hacer perfiles de usuario, a programas que pueden enviar nuestras claves, galletas (`cookies') del navegador, y otros datos.
  • 6. ¿Qué es un Certificado de Seguridad? Un certificado de seguridad es una medida adicional de confianza a los usuarios que visitan y realizan actividades o transacciones en una página web. Permite el cifrado de los datos entre el servidor representante a la página y los datos del ordenador del usuario. Cifrando la comunicación entre ambos. Un concepto más preciso sería que un certificado de seguridad logra que los datos personales de los usuarios queden encriptados y de esta forma sea imposible por los demás usuarios interceptarlos. A través del protocolo de seguridad “https” toda la información enviada mediante internet entre servidores donde se alojen las páginas y el navegador del usuario que visita dichas páginas queda cifrada y encriptada de manera que nadie pueda acceder a ella. ¿Qué ventajas tiene un Certificado de Seguridad? Aquella página que posea un certificado de seguridad será más transitada y lo comprobará en el volumen de ventas online realizadas en su plataforma, ya que para los clientes el hecho de poseer un certificado de calidad aumenta la confianza en ese sitio, por lo tanto realiza sus compras en línea. Hace que el cliente confíe en el servicio que se le está ofreciendo.
  • 7. TIPOS DE CERTIFICADOS DE SEGURIDAD Existen diferentes tipo de certificados SSL que se pueden usar en un sitio Web, creo que básicamente todo dependerá de las necesidades, gustos y capacidad monetaria que se tenga, pero principalmente dependerá de las necesidades. Certificados compartidos (Shared Certificates) Estos certificados por lo general son gratuitos, y son dados de esta forma para empresas de hospedaje Web como los revendedores (Hosting reseller) o en otros caso pueden ser generados de forma personal (usando OpenSSL por ejemplo) o a través de algún servicio que preste un sitio Web. Cumplen su función (de forma básica), pero el hecho de ser “compartidos” no los relaciona directamente con el nombre de dominio del sitio Web, esto provocará los mensajes de alerta de los que hablé antes. Creo que ese punto quedó claro, pero hagamos un ejemplo para ilustrarlo mejor: cuando un usuario visite mi sitio Web dominio.com se intentará verificar/autenticar a través del certificado de seguridad que está emitido por certdominio.com, esto generará “la desconfianza” ya que ambos dominios son diferentes. Estos certificados son apropiados para asegurar la conexión con un sitio Web o el servidor de un sitio Web, pero no serán usados por el todos los visitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio. Los certificados compartidos no son apropiados para el comercio electrónico, en estos casos se usan certificados privados, en donde el certificado esté relacionado/emparentado con el dominio. Certificados de validación de nombre de dominio (Domain Validated Certificate) Estos son los certificados SSL más básicos, se enfocan en validar solo el nombre de dominio (dominio.com). Es ideal para situaciones en las que los visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar datos personales (nombre de usuario, contraseña, email, etc) o realizar pagos con tarjetas de crédito. A diferencia de los certificados compartidos, estos no serán objeto de mensajes de advertencia por parte de los navegadores. Estos certificados son apropiados para cualquier situación en donde se quiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser adquiridos por cualquier persona. Sus costos son bajos en la mayoría de los casos.
  • 8. Certificados de validación de compañías (Company Validated Certificate) Estos certificados son muy similares a los de validación de dominios, la diferencia es que para estos es necesario validar datos de la propia compañía y no solo su dominio. Más validación, más seguridad. Desde un punto de vista de negocio y reputación, una compañía que use este tipo de certificado de seguridad, no solo está validando su dominio (dominio.com) sino también su empresa. Esto es un poco “superficial” pero de alguna manera y hasta cierto punto, el hecho de que un tercero (asociación certificadora) valide la empresa (y no solo su dominio) generará mayor confianza a sus clientes. Es una cuestión de “reputación” si se quiere. Certificado de validación extendido (Extended Validation Certificates – EV) Estamos ante el “top” de los certificados. El proceso de verificación es aún mayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Web como de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los requerimientos como los procedimientos son minuciosos. La barra verde es exclusiva de este certificado. Les asegura a los visitantes que están ante una empresa/organización validada y asegurada. Además, un sitio protegido mediante este certificado hace que los navegadores web muestren el nombre de la organización junto a la barra de direcciones (en este caso verde) y al nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad de certificación controlan la visualización, lo que hace que las técnicas de phishing sean más difíciles de aplicar. Certificados Wildcard (Wildcard Certificates) Estos certificados permiten usar un único certificado SSL para ser usado en múltiples subdominios. Por ejemplo, el certificado será usado para dominio.com, compras.dominio.com, contacto.dominio.com, etc. Certificados Multi-dominio (Multi-Domain Certificates)
  • 9. Estos son similares a los Wildcard, la diferencia es que en este caso son usados para dominios (y no subdominios). Por ejemplo, el certificado será usado para dominio.com, dominio.net, dominio.org, etc. Introducción a PFSENSE pfSense es una distribución basada en FreeBSD, derivada de m0n0wall. Su objetivo es tener un cortafuego (firewall) fácilmente configurable a través de una
  • 10. interfase web e instalable en cualquier PC, incluyendo los miniPC de una sola tarjeta. Se trata, por tanto, de una solución muy completa, bajo licencia BSD y, por tanto, de libre distribución. El cortafuego forma parte del Kernel del sistema. De hecho, se trata del Packet Filter (PF) originario de OpenBSD, considerado com el sistema operativo más seguro del mundo. Packet Filter (PF) está presente como estándar en FreeBSD desde noviembre de 2004. Incluye funcionalidades como el regulador de caudal ALTQ, que permite asignar prioridades por tipo de tráfico. Los desarrolladores de pfSense escogieron FreeBSD en lugar de OpenBSD por su facilidad de instalación en el mundo de lps PCs y porqué ya existía BSD Installer, una versión muy, muy reducida de FreeBSD. Todo ello da una gran flexibilidad a la solución pfSense, ya que se puede montar tanto en equipos miniPC (basados en una sola placa) que emplean como disco una Compact Flash como en PC estándar con disco duro. En este último caso se pueden añadir paquetes como Snort, Squid, Radius, etc. En esta web se explica cómo se ha configurado un pfSense 1.0.1 (octubre/noviembre 2006) que está en producción. En ningún caso es una web donde se tratan todas las posibilidades de este cortafuego de código libre.
  • 11. Instalación Preparativos Antes de la implantación definitiva de pfSense se tuvieron que hacer los siguientes cambios en la red:  Dividir el cableado existente en seis redes físicas. Ello se hizo pasando algunos cables más del armario secundario al armario primario, instalando más concentradores (switch) en ambos armarios y cambiando el conexionado de equipos en los armarios. No hay más de dos concentradores encadenados (tal como estaba antes de los cambios).  Adoptar DHCP en todos los ordenadores clientes. Ello se hizo activando provisionalmente DHCP en uno de los routers ADSL.  Cambiar todos los procesos por lotes (archivos BAT y CMD en Windows, scripts de shell en máquinas Unix/Linux) que empleaban direcciones IP locales, poniendo su correspondiente nombre de máquina.  Cambiar todos los puertos de impresora que estaban por dirección IP local, poniendo su correspondiente nombre de máquina.  Asegurarse que el DNS local resuelve correctamente todos los nombres de máquina.  Asegurarse que el archivo hosts de las máquinas sólo contiene la línea: 127.0.0.1 localhost. Es decir, que no se emplea para resolver nombres de máquina, excepto localhost.  Cambiar la configuración proxy de los navegadores de Internet, poniendo la configuración automática http://www.dominio.ejemplo/proxy.pac.  Deshabilitar el acceso sin hilos de todas las impresoras que tienen esta funcionalidad, dejando sólo el acceso por red cableada. Hardware utilizado Se trata de un miniPC de FabiaTech, modelo FX5620.
  • 12. El equipo tiene 5 puertos Ethernet de 100 Mbit/s y un sexto de 1 Gbit/s. Puede incorporar un disco duro de 2,5" (como los que llevan los portátiles) y una Compact Flash (que actúa como disco duro). Se adquirió en Gran Bretaña, http://linitx.com/product_info.php?cPath=4&products_id=909. Pedido el domingo por la noche (pago con tarjeta de crédito) y el martes por la mañana ya llegaba (cerca de Barcelona) ... Se compró también una tarjeta Compact Flash Kingston, de 512 MByte, a un proveedor local. 25-junio-2009 No adquirir el modelo FX5621.Sólofunciona correctamente si se deshabilita la primera boca de 1 Gbit/s (NIC número 5 en la BIOS):forum.pfsense.org/index.php/topic,17116.0.html Descarga de pfSense Se puede ir a la web oficial www.pfsense.org, pero hay otros repositorios con configuraciones ajustadas. Así, en http://shopping.hacom.net/catalog/pub/pfsense/ se encuentran versiones preparadas según la unidad que reconoce pfSense para la Compact Flash y según su tamaño. Notas importantes Hay dos tipos de imágenes de pfSense:  Embedded. Es la que se emplea para Compact Flash, tiene los acesos a disco minimizados y no admite instalación de paquetes. De esta forma se preserva la vida de la Compact Flash. Se presenta comprimida con gzip, con la extensión img. No soporta ni teclado ni monitor, hay que conectar
  • 13. cable serie para acceder a la consola de pfSense y poder hacer la configuración inicial.  LiveCD. Es una imagen iso, también comprimida con gzip, para ser ejecutada desde el propio CD. Tiene una opción para instalar pfSense en disco duro y a partir de entonces se pueden instalar paquetes, muchos de ellos administrables desde la interfase web. Últimas imágenes oficiales de pfSense (versión oficial con todos los parches que hayan salido):  Embedded: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/embedd ed  LiveCD: http://snapshots.pfsense.org/FreeBSD6/RELENG_1_2/iso Imágenes no-oficiales de Hacom: Hacom es una empresa californiana que ofrece distintos tipos de cortafuegos, la mayoría de ellos basados en miniPC con tarjeta Compact Flash. Las imágenes Embedded en http://shopping.hacom.net/catalog/pub/pfsense se diferencian de las oficiales por:  Usar el gestor de arranque grub en lugar del propio de FreeBSD.  Soporte para teclado y monitor. No se precisa cable serie para la configuración inicial. Las imágenes que empiezan por pfSense-releng_1_2- snapshot070424 corresponden a la versión 1.2 BETA de pfSense, con fecha 24- abril-2007. Tengo esta versión funcionando satisfactoriamente desde el 25-abril- 2007. FX5620 con pfSense nos reconoce la Compact Flash como la unidad ad2 (tercer disco ATA en FreeBSD). En uno de nuestros servidores FreeBSD hicimos: mkdirpfSense cdpfSense vi fetch.sh #!/bin/sh fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512- ad2.img.gz.md5 fetch http://shopping.hacom.net/catalog/pub/pfsense/pfSense-1.0.1-512- ad2.img.gz
  • 14. chmod+xfetch.sh ./fetch.sh Nota: Me gusta tener un script llamado fetch.sh porqué así sé de donde he bajado los archivos ... Comprobamos la firma del archivo: md5pfSense-1.0.1-512-ad2.img.gz cat pfSense-1.0.1-512-ad2.img.gz.md5 Pasamos la aplicación a una máquina multimedia con Windows XP que tiene un frontal para insertar toda clase de tarjetas de memoria, con el fin de poder grabar la Compact Flash. Como que tenemos Samba/CIFS en el servidor, copiamos los archivos del servidor desde la máquina Windows, por ejemplo, a una carpeta D:CompactFlash Nota: Si se bajan los archivos a través de Windows, para comprobar firmas se puede emplear fsum: http://www.download.com/Fsum/3000-2248_4- 10127195.html Por ejemplo, se puede crear un archivo comprueba.bat que haga lo seguiente: fsum-jm*.gz type pfSense-1.0.1-512-ad2.img.gz.md5 Descarga de physdiskwrite physdiskwrite es una pequeña utilidad que permite escribir imágenes de disco. Se la puede encontrar en: http://m0n0.ch/wall/physdiskwrite.php La descargamos en D:CompactFlash y descomprimimos el archivo ZIP para obtener el EXE. Grabación de la CompactFlash Vamos a [Inicio] [Ejecutar ...] y ejecutamos cmd (intérprete de órdenes MS-DOS) d: cd /compactflash
  • 15. Ejecutamos: physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz Obtendremos una respuesta similar a: Searching for physical drives Information for .PhysicalDrive0: Wich disk do you want to write <0..0>? Cancelamos la ejecución mediante Ctl+C Con ello hemos visto qué discos físicos tiene nuestra máquina. Insertamos ahora la Compact Flash y volvemos a ejecutar: physdiskwrite.exe pfSense-1.0.1-512-ad2.img.gz Vemos que nos detecta un disco físico más y cambia la pregunta final: Wich disk do you want to write <0..2>? Indicamos pues el número de disco físico para la CompactFlash (en mi caso el 2). El proceso de grabación empieza y dura un buen rato (media hora aproximadamente). ¡¡¡ Cuando se termina, hay que hacer el proceso de desconexión segura del dispositivo Compact Flash antes de extraerla de su ranura !!! En muchas consolas de órdenes (Windows XP incluido) escribir los primeros caracteres de los archivos y darle al tabulador sirve para que aparezca en pantalla el nombre completo del archivo. Ello evita teclearlo todo. En mi caso he creado un archivo de órdenes llamado grabar.bat que contiene la orden physdiskwrite.exe pfSense-1.0.1-512-da0.img.gz physdiskwrite controla automáticamente que no se puedan escribir discos de más de 2 GByte. De esta manera evita las confusiones entre el disco duro y la Compact Flash.
  • 16. Configuración inicial de pfSense Una vez instalada la Compact Flash en el FX5620 (con el equipo sin alimentación) lo ponemos en marcha con un monitor, teclado y cable de red conectados. El cable de red lo pondremos en ETH6 (interfase a 1 Gbit/s y que pfSense reconoce como re0). Una vez en marcha el sistema, tenemos que indicar como mínimo la LAN y la WAN: Do you want to set up VLANs now [y|n]? n Enter the LAN interface name or 'a' for auto-detection: re0 Enter the WAN interface name or 'a' for auto-detection: rl0 Enter the Optional 1 interface name or 'a' for auto-detection (or nothing is finished): _ Y confirmar la operación: LAN -> re0 WAN -> rl0 Do you want to proceed [y|n]? y El sistema carga su configuración por defecto y presenta al final la indicación de que la LAN es 192.168.1.1 y su menú de consola. Seleccionaremos la opción 2)Set LAN IP address de la consola para cambiar de 192.168.1.1 a 192.168.XXX.1 Enter the new LAN IP address: 192.168.XXX.1 Subnet masks are entered as bit counts (as in CIDR notation) in pfSense. e.g. 255.255.255.0 = 24 255.255.0.0 = 16 255.0.0.0 = 8 Enter the new LAN subnet bit count: 24 Do you want to enable the DHCP server on LAN [y|n]? n Confirmando la operación se nos informará de la nueva dirección. A partir de aquí, normalmente emplearemos el configurador web, yendo a http://192.168.XXX.1 El acceso directo a la consola del cortafuegos tiene la pega de estar configurado con el teclado inglés. En caso de querer acceder al cortafuegos vía consola
  • 17. siempre será más cómodo hacerlo por SSH. Este acceso sí que nos reconocerá nuestro teclado (empleando, por ejemplo, el cliente PuTTY). En [ Configuración base ] explico cómo activar el acceso por SSH. UNTANGLE (http://www.untangle.com/ ) Cuando pensamos en proteger la red de nuestra empresa son muchos los palos que tenemos que tocar, virus, malware, filtrado web, spam, phishing y demás amenazas a las que hay que cortar el paso intentando además no limitar las posibilidades que nos permite el trabajo en red. Ya hemos comentado que la mejor forma de hacerlo es proteger la entrada, poner un “portero”, y esa es precisamente la función de Untangle, un paquete de software concebido para la protección perimetral de nuestra red. Más que un programa, Untangle es en realidad una recopilación de programas de seguridad unificados bajo una interfaz común que nos permite configurar y manejar la suite de forma sencilla. Podemos instalarlo en un equipo que actúe como servidor independiente que únicamente ejecuta esta solución o utilizarlo como un programa en un ordenador de escritorio con Windows XP. En Untangle categorizan las funciones de su solución en tres apartados: productividad, seguridad y acceso remoto.  Productividad: filtrado web para bloquear el acceso a las páginas que queramos, bloqueo de spam antes de que llegue al usuario y control de protocolos, para impedir el uso de aplicaciones tipo eMule o aquellas que hacen uso de determinados puertos que no queremos dejar al descubierto.  Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta los equipos y puedan infectarlos. No elimina ningun virus, simplemente impide su entrada en la red de la empresa.
  • 18.  Acceso remoto: acceso remoto a la red de la empresa mediante red privada virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro de la red local y una alternativa de acceso vía web a servicios internos de la red. Es una solución bastante completa que podemos bien descargar gratuitamente, en cuyo caso sólo se incluyen las aplicaciones de código abierto (todas menos el portal de acceso web) o suscribirnos por una cuota mensual o anual que añade soporte técnico y funciones de gestión avanzadas para políticas de acceso, integración con Active Directory y copias de seguridad remotas de la configuración. Lo mejor sin duda es la sencillez a la hora de instalar y configurar el sistema. Hay que tener algún conocimiento, evidentemente, pero es mucho más fácil que ir programa a programa instalando la solución. Lo ideal bajo mi punto de vista es instalarlo como servidor, dedicando una máquina exclusivamente a esta función, en cuyo caso podemos utilizarlo para sustituir nuestro router ADSLactual o colocarlo entre éste y nuestra red.
  • 19. UNTANGLE, CONFIGURANDO PROXY (WEB FILTER LITE) Y FIREWALL Como bien lo habrán notado, en mis anteriores publicaciones he estado hablando bastante sobre la protección de la red, esto mediante IDS (Sistemas de Detección de Intrusos), Firewall's, Proxys, entre otros. Hoy quise mostrarles un appliance que tiene grandes funcionalidades llamado Untangle que esta desarrollado por una empresa privada que ofrece un network gateway de código abierto y tiene una gran cantidad de aplicaciones gratuitas muy interesantes, tales como. Spam Blocker: Bloqueo de Spam Phish Blocker: Prevención de Phishing Spyware Blocker: Escanea el trafico buscando Malware Web Filter Lite: Filtro de contenidos Virus Blocker: Detecta Malware en archivos analizando el trafico Intrusion Prevention: IPS Protocol Control: Bloqueo de puertos Firewall: Filtro por protocolos, direcciones, DMZ's Ad Blocker: Bloqueo de publicidad Captive Portal: Obliga a los usuarios a ingresar a una web para autenticación. OpenVPN: Red Privada Virtual Attack Blocker: Previene ataques de tipo DDOS Reports: Crea informes acerca de el comportamiento de la red. Además cuenta con un gran numero de aplicaciones de pago o de prueba que pueden complementar la seguridad de nuestra red. NOTA: Para ver un articulo completo de las características de cada una de las aplicaciones listadas anteriormente clic AQUÍ.
  • 20. La practica que haremos entonces sera muy sencilla, consiste en la instalar Untangle, familiarizarlos un poco con su entorno, e instalar su Web Filter Lite (Proxy) y su Firewall para hacer unos bloqueos básicos, además la topología que implementaremos sera muy sencilla LAN->Router(Untangle)->WAN utilizando tan solo un cliente en Windows. Instalando Untangle. La instalación es muy sencilla y mucho mas para personas que ya han hecho instalaciones en distribuciones basadas en Debian, tan solo hay que seguir unos sencillos pasos para poder hacerlo. Elegimos el idioma.
  • 21. Nuestro pais. La distribución del teclado. Decidimos si queremos formatear el disco entero.
  • 22. Y listo. Ahora comenzara el asistente de instalación de la aplicación, primero elegimos el idioma.
  • 23. Elegimos las credenciales del usuario administrador. Definimos el orden de las interfaces y cual estará conectada a la LAN y cual a la WAN. Ahora probaremos que el equipo este conectado a internet, en mi caso el router de mi ISP me asigna una dirección dinamica (DHCP) entonces tan solo basta con pedir una renovación, si no contáramos con eso tendríamos que asignarle una IP de manera estática.
  • 24. Ahora nos dará dos opciones, una para instalarlo detrás de un router, o Firewall configurado anteriormente o como router, en mi caso lo instalare como router y le definiré la dirección IP que tendrá la tarjeta de red que va hacia la LAN, además le diré que configure un servidor DHCP que le entregue direcciones a los equipos de mi red. Luego nos dirá si deseamos configurar una cuenta de correo para recibir reportes pero en mi caso lo omitiré.
  • 25. Con esto habremos finalizado su instalación. Cuando ingresamos al Untangle observamos una barra con las opciones que podemos tener, entre estas ingresar a la terminal pero primero debemos configurar un password de root.
  • 26. Como pudimos ver su instalación fue muy sencilla tan solo configuraremos si lo necesitamos mas opciones de la red como lo son el sufijo del DNS o los DNS que utilizara el router para resolver direcciones en internet, como lo podemos observar en la imagen en la parte izquierda aparecen dos opciones que son aplicaciones y configurar, si lo necesitamos procedemos a configurar si no, nos podemos saltar este paso y dar clic en aplicaciones y luego en mi cuenta. Instalando las aplicaciones.
  • 27. Ahora vamos a instalar las aplicaciones que necesitamos (Web Filter Litey Firewall) para esto accedemos a "Mi Cuenta" y allí comenzaremos, si no tenemos un registro lo creamos. Luego de estar en su cuenta pueden descargar las aplicaciones gratis o comprar las de pago, como lo dije anteriormente las que instalaremos son gratis, para encontrarlas vamos a Home>Products>Product Overview>Firewall y desde allí Free Download.
  • 28. Ahora en la ventana principal del Untangle podrán observar que el Firewall se instalo satisfactoriamente, también pueden cambiar los skins del untangle, en mi caso se ve así siempre aparenta ser un rack y las aplicaciones se instalan una debajo de otra y en cada una están sus botones de configuración y algunos logs. De igual manera que con el firewall instalamos entonces el Web Filter Lite. En mi caso tengo un cliente de Windows XP en la LAN, primero que todo probamos que este saliendo a internet con una dirección IP asignada por el Untangle.
  • 29. Configurando el Proxy (Web Filter Lite) Cuando entramos al botón de configuración en el Web Filter Lite del "Rack" podremos observar las siguientes opciones. Editar Categorías: Muestra un listado de las categorías de paginas web a filtrar como pornografía, redes sociales y proxys en internet. Editar Sitios: Permite agregar de forma manual un sitio WEB para filtrar, esto mediante URL o dirección IP. Editar Tipos de archivo: permite un filtrado de extensiones a descargar como .mp3, .exe, .mov, entre otras. Comenzaremos a filtrar en orden, primero por categorías, lo que haremos sera denegar el acceso a paginas WEB con contenido para adultos o proxys de internet, además observaremos el uso del botón "User By Pass" el cual permite hacer que el proxy sea permisivo y le aparezca un botón a los usuarios para darles la opción de continuar en la WEB cuando esta en permanente y global, por ahora lo usaremos así solo como practica.
  • 30. Buscaremos paginas con contenido para adultos.
  • 31. La pagina sera bloqueada, pero en la parte inferior nos permitirá continuar si lo deseamos gracias al botón "User By Pass" Ahora cambiaremos el botón de "User By Pass" a modo "Ninguno" para que no les aparezcan opciones y los usuarios no tengan opción de continuar.
  • 32. Bloquearemos la URL www.facebook.com y crearemos una categoría llamada Redes Sociales. Cuando los usuarios intenten ingresar observaran el motivo del bloqueo y la pagina estará bloqueada.
  • 33. Ahora bloquearemos por extensión y denegaremos que los usuarios descarguen contenido .exe Probaremos bajandonos el firefox.
  • 34. Nos dirá que no podemos continuar por el tipo de extensión. Si volvemos a la pagina principal podemos ver algunos de los logs del proxy. Ahora comenzaremos la configuración del Firewall. Configurando el Firewall. Para configurar el Firewall podemos basarnos en las reglas de las anteriores publicaciones tales como: M0n0wall Configurando Reglas De Firewall y NAT Configurando Firewall En Un Router CISCO Con Soporte Para SDM En GNS3 En este simplemente les mostrare una regla básica de denegación de HTTP y permisión por defecto.
  • 35. Comenzamos con denegar la salida de la LAN hacia cualquier pagina HTTP. Ahora permitiremos todo por defecto. Estas son nuestras reglas habilitadas.
  • 36. Si ingresamos mediante HTTP sera denegada la solicitud pero podremos ingresar mediante HTTPS, FTP, consultas DNS y PING, además todo estará permitido.
  • 37. INTRODUCCIÓN A FORTINET Fortinet fue fundada en el año 2000 por Ken Xie, visionario y previo fundador y CEO de NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la utilización de un Circuito Integrado de Aplicación Específica (ASIC) para acelerar el proceso Firewall. De este modo lanzó al mercado un lineal de equipos de alto rendimiento que mediante aceleración hardware permitía realizar un control sobre el tráfico de las redes en tiempo real, que tuvo inmediatamente una gran acogida en el mercado Ken Xie, con objeto de seguir avanzando en su visión propia de la seguridad en las comunicaciones, abandonó NetScreen y fundó Fortinet. Su proyecto consistía en dar un enorme paso más en la seguridad en tiempo real, integrando antivirus, filtrado de contenido, tecnología IDP (Intrusión Detection and Prevention) y Antispam en un solo dispositivo, junto con el firewall y servidor VPN, y acelerando esta Protección Completa de Contenidos mediante un nuevo ASIC, FortiASIC, que permite romper la barrera del procesado de contenidos en tiempo real. Algunas de las características más destacables de Fortinet son las siguientes: • Presencia mundial de sus centros de operación, ventas y soporte • Sede central en Sunnyvale, California • Más de 75.000 clientes en todo el mundo con más de 450.000 equipos instalados • Más de 40 oficinas en América, Asia y EMEA, con sede central europea en Sophia- Antipolis (Francia) • Pioneros en la utilización de Circuitos Integrados de Aplicación Específica para acelerar los procesos de seguridad hasta el nivel de aplicación • Único modo de ofrecer Protección Completa en Tiempo Real • Líderes en el mercado UTM (Unified Threat Management) según IDC desde el 2003 hasta el 2009 • Tecnologías certificadas ICSA (6 certificaciones), NSS (UTM), ISO 9001:2000, Common Criteria EAL4+ y FIPS-2. • Robusto apoyo financiero Fortinet es la compañía de seguridad de más rápido crecimiento en la historia. Desde su entrada en el mercado, anualmente ha duplicado su penetración en el mismo así como sus beneficios, con una inversión en I+D+I constante. ¿Por qué Fortinet? Equipamiento de alto rendimiento Los equipos de seguridad Fortinet constituyen una nueva generación de equipos de seguridad de muy alto rendimiento que garantizan la protección completa de nuestros sistemas en tiempo real. La serie FortiGate, que ofrece altísimos niveles de escalabilidad, rendimiento, seguridad y flexibilidad de despliegue, es la única plataforma de Gestión Unificada de Amenazas (UTMUnified Threat Management) que cuenta con seis certificaciones ICSA y que además cumple el estándar ATCA Advanced Telecom Computing Architecture–, integrando una completa gama de
  • 38. funciones y servicios de seguridad para proteger las redes de las sofisticadas amenazas combinadas. Entre las funcionalidades integradas de estas plataformas de Gestión Unificada de Amenazas –UTM– se incluyen cortafuegos de inspección de estado, VPN IPSec y SSL, detección y prevención de intrusiones, filtrado de contenido web, antispam, antivirus, controles de mensajería instantánea y controles P2P (peer-to peer). Estos servicios de seguridad funcionan conjuntamente para prevenir que los ataques mixtos afecten a la red. Servicios Fortinet Fortinet ofrece de forma conjunta con su equipamiento servicios profesionales que garantizan el soporte, la actualización y el correcto mantenimiento de los niveles de servicio demandados. Gracias a los equipos técnicos distribuidos a lo largo de todo el mundo, Fortinet es capaz de ofrecer soporte internacional con cobertura 24x7x365, actualizando en tiempo real las bases de datos de firmas de antivirus e IDS/IPS y los motores de estas aplicaciones, así como actualizando de forma continuada las bases de datos en las que se apoyan los servicios Fortiguard Web Filtering y Fortiguard AntiSpam. El Servicio FortiProtect Distribution Network (FDN) se encarga de la distribución de estas actualizaciones a lo largo de todo el mundo, existiendo el compromiso con aquellos clientes que contratan el servicio FortiProtect Premier Services de disponer de la firma correspondiente a cualquier nuevo ataque en menos de 3 horas. Características técnicas de los equipos La Arquitectura FortiGate La tecnología Fortinet es una poderosa combinación de software y hardware basada en el uso de “Circuitos Integrados de Aplicación Específica”, conocidos por sus siglas en inglés como ASIC, a través de la cual es capaz de ofrecer el procesamiento y análisis del contenido del tráfico de la red sin que ello suponga ningún impacto en el rendimiento de las comunicaciones. La tecnología incluye el Procesador FortiASICTM y el Sistema Operativo FortiOSTM los cuales forman el núcleo de los equipos FortiGate y son la base del alto rendimiento ofrecido por los equipos. Alta disponibilidad Conjunto de dos o más máquinas que se caracterizan por mantener una serie de servicios compartidos y por estar constantemente monitorizándose entre sí. Activo-Activo (en modo router y transparente): La configuración de "alta
  • 39. disponibilidad" en activo-activo es muy similar a la de activo-pasivo, aunque en este caso los dos nodos comparten los servicios de una manera activa, normalmente balanceados, consiguiendo una disponibilidad mayor ya que los servicios se entregan antes. Pasivo-Activo: Se trata de disponer de un nodo funcionando, contando con todos los servicios que componen el sistema de información al que denominaremos Activo, y el otro nodo que se denominará Pasivo en el que se encuentran duplicados todos estos servicios, pero detenidos a espera de que se produzca un fallo. Virtualización – VDOMs Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que sobre una única plataforma física podemos configurar hasta 500 Equipos virtuales, completamente independientes entre sí y con todas las funcionalidades que posee cada plataforma física. Todos los equipos FortiGate disponen en su configuración básica de la capacidad de definición de hasta 10 dominios virtuales, siendo posible ampliar el número de éstos en los equipos de gama alta (a partir de la gama FG3000), llegando hasta 500 Dominios Virtuales. Cada uno de estos dominios virtuales representan de forma lógica una máquina independiente del resto, asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en modo router o transparente, aplicar diferentes perfiles y políticas sobre cada máquina, etc. Networking La línea de soluciones de seguridad multiamenaza FortiGate Series ofrece a las empresas un sencillo despliegue, al permitir su instalación sin problemas en redes de última generación. Modos de Operación: Modo NAT Modo transparente: Se coloca delante del servidor existente y presenta una integración imperceptible en el entorno de red donde se ubica. Permite colocar el appliance en la red sin realizar ningún cambio de dirección IP. Cuando se opera en modo transparente todas las interfaces de la unidad hardware se encuentran en la misma subred IP y el appliance actúa como puente. Soporte PPPoE (Protocolo Punto a Punto sobre Ethernet) Soporte DDNS support DHCP for Branch Office Proxy DNS Protocolos de Routing: Static, RIP v1 and v2, OSPF SNMP Support Posibilidad de personalización de los mensajes mostrados a los usuarios relativos a cada una de las funcionalidades
  • 40. ICSA Certification Stateful Inspection (Inspección profunda de paquetes) Virtual IP 802.1q VLAN support Políticas de autenticación basadas en grupos de usuarios Autenticación externa: Radius, LDAP Proceso acelerado por ASIC Balanceo Suministra una completa solución de acceso remoto que consolida la aceleración WAN, VPN y multi-homing para garantizar una conectividad rápida y fiable de las operaciones remotas y acceso global seguro a las aplicaciones distribuidas que se encuentran en el centro de datos. Soporta balanceo estático de ISPs y políticas basadas en rutas (policy routing) con la posibilidad de enrutar los paquetes por cualquier otro dato que no sea la dirección destino del paquete. Balanceo de carga Los dispositivos FortiGate permiten la configuración de IP’s virtuales (VIP’s) de manera que estas ofrecen balanceo de carga de servidores, teniendo la capacidad de que las peticiones realizadas a la IP virtual puedan ser atendidas por un grupo de servidores habilitados para ese efecto. La distribución del balanceo de carga puede ser configurado a nivel de puertos TCP o UDP, con la posibilidad de tener varios servicios desplegados en la misma IP y atendidos por grupos de servidores distintos. Cada uno de los servidores que componen grupo de balanceo, puede ser monitorizado a nivel ICMP, TCP o http de manera que ente el fallo de un servidor, el servicio continúa activo en el resto de equipos, dotando a la plataforma de alta disponibilidad. Calidad de servicio Traffic shaping El Traffic shaping o catalogación de tráfico controla el tráfico en redes de ordenadores para así lograr optimizar o garantizar el rendimiento, baja latencia, y/o un ancho de banda determinado, pudiendo priorizar políticas de firewall por: Ancho de banda garantizado Ancho de banda máximo Priorización dinámica entre políticas VPN Los equipos FortiGate soportan el establecimiento de Redes Privadas Virtuales basadas en protocolos IPSec y SSL, además de PPTP. De esta forma, oficinas
  • 41. pequeñas, medias, corporaciones e ISPs pueden establecer comunicaciones privadas sobre redes públicas garantizando la confidencialidad e integridad de los datos trasmitidos por Internet. Al estar integrada la funcionalidad VPN en la propia plataforma FortiGate, el tráfico VPN puede ser analizado por el módulo de Firewall así como por las funcionalidades adicionales antivirus, IPS, web filtering, antispam, etc. Algunas características son: Soporte para VPN Site-to-Site, en modo router y transparente. Soporte para VPN cliente en modo router y transparente Soporte DDNS. Soporte DES, 3DES,AES256, L2TP,PPTP Load Sharing e clustering Gestión de Certificados Digitales Autenticación externa (Radius, LDAP) Nat /Pat Xauth sobre Radius Internet Key Exchange (IKE) • Diffie-Hellman (DH) Groups 1, 2, 5 • RSA Certificates Protocolos de routing RIP, RIP2, OSPF IPSEc Nat transversal Dead peer detection DHCP sobre IPSec Soporte para VPN Hub and Spoke Proceso acelerado por ASIC