Este documento resume los principales sistemas de seguridad como firewalls, filtrado de contenido, proxies HTTP, redes privadas virtuales e intrusión. Describe servicios como iptables y NAT para firewalls, Squid para proxy HTTP, y Samhain para detección de intrusos. También compara Samhain y OSSEC como herramientas de detección de intrusos.

1. SISTEMAS DE SEGURIDAD

2. CONTENIDO TEMATICO:
1. SERVICIO DE FIREWALL Y TRADUCCION DE DIRECCIONES DE RED
2. FIREWALL CON SERVIDOR IPTABLES
3. SERVICIO DE FILTRADO DE CONTENIDO
4. SQUID HTTP PROXY
5. REDES PRIVADAS VIRTUALES
6. DETECCION DE INTRUSOS CON SAMHAIN

3. SERVICIOS DE FIREWALL Y NAT
• QUE ES UN FIREWALL?
• es una parte de un sistema o una red que está diseñada para bloquear el
acceso no autorizado, permitiendo al mismo tiempo comunicaciones
autorizadas.
• Se trata de un dispositivo o conjunto de dispositivos configurados para
permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre
la base de un conjunto de normas y otros criterios.

4. TIPOS DE FIREWALL
• Stateful:
• un cortafuegos stateful (cualquier firewall que realiza la inspección de
estado de paquetes (SPI) o la inspección de estado) es un cortafuegos que
realiza un seguimiento del estado de las conexiones de red (por ejemplo,
flujos TCP, comunicaciones UDP) que viajan a través de él. El cortafuegos
está programado para distinguir paquetes legítimos para diferentes tipos de
conexiones. Sólo los paquetes que coincidan con una conexión activa
conocida serán permitidos por el firewall; los otros serán rechazados.
• Deep Packet Inspection:
• es el acto de inspección realizado por cualquier equipo de red de paquetes que no
sea punto final de comunicación, utilizando con algún propósito el contenido
(normalmente la parte útil) que no sea el encabezamiento del paquete. Esto se
efectúa en el momento en que el paquete pasa un punto de inspección en la
búsqueda de incumplimientos del protocolo, virus, spam, intrusiones o criterios
predefinidos para decidir qué medidas tomar sobre el paquete, incluyendo la
obtención de información estadística. Esto contrasta con la inspección superficial de
paquetes (usualmente llamada Stateful Packet Inspection) que solo inspecciona el
encabezamiento de los paquetes

5. TRADUCCION DE DIRECCIONES DE RED NAT
• es un mecanismo utilizado por Routers IP para intercambiar
paquetes entre dos redes que asignan mutuamente direcciones
incompatibles. Consiste en convertir, en tiempo real, las direcciones
utilizadas en los paquetes transportados. También es necesario
editar los paquetes para permitir la operación de protocolos que
incluyen información de direcciones dentro de la conversación del
protocolo.

6. TIPOS DE NAT
• NAT de cono completo (Full-Cone NAT). En este caso de comunicación completa,
NAT mapeará la dirección IP y puerto interno a una dirección y puerto público
diferentes. Una vez establecido, cualquier host externo puede comunicarse con el
host de la red privada enviando los paquetes a una dirección IP y puerto externo que
haya sido mapeado. Esta implementación NAT es la menos segura, puesto que una
atacante puede adivinar qué puerto está abierto.
• NAT de cono restringido (Restricted Cone NAT). En este caso de la conexión
restringida, la IP y puerto externos de NAT son abiertos cuando el host de la red
privada quiere comunicarse con una dirección IP específica fuera de su red. El NAT
bloqueará todo tráfico que no venga de esa dirección IP específica.
• NAT de cono restringido de puertos (Port-Restricted Cone NAT). En una
conexión restringida por puerto NAT bloqueará todo el tráfico a menos que el host de
la red privada haya enviado previamente tráfico a una IP y puerto especifico,
entonces solo en ese caso ésa IP:puerto tendrán acceso a la red privada.
• NAT Simétrico (Symmetric NAT). En este caso la traducción de dirección IP privada
a dirección IP pública depende de la dirección IP de destino donde se quiere enviar
el tráfico

7. Servidor Iptables y Reglas Persistentes
• Iptables es un poderoso firewall integrado dentro del kernel Linux , Iptables puede
ser configurado directamente desde la terminal , creado reglas sean estas
persistentes o solo temporales de bloqueo.
• Hay dos tipos Iptables para ipv4 y ip6tables para ipv6.
• Para una referencia rápida de sus comandos se utiliza Iptables man
para el manual de Linux y Iptables –h para todos sus comandos
disponibles.
• Los mas importantes para crear reglas y mas usados son:
• INPUT = Trafico Entrante
• OUTPUT = Trafico Saliente.
• FORWARD = Trafico Enrutado.
• CADENAS:
• ACCEPT = Aceptar trafico
• DROP = “hace que el paquete sea tirado y olvidado”
• REJECT = “envía al host de la petición un icmp port unreachable”

8. Inicializar Servicios y Reglas
• Las reglas Iptables son por defecto almacenadas en
/etc/Iptables/iptables.rules este archivo es leído por el servicio
Iptables.service.
• Systemctl enable Iptables.service
• Systemctl start Iptables.service
• Después de añadir las reglas mediante la terminal , el archivo de
configuración no las guarda automáticamente por lo que tendremos
que guardarlo de forma manual de la siguiente forma:
• Iptables-save > /etc/iptables/iptables.rule
• En caso de modificación del archivo de configuración se debe volver a
cargar en el sistema:
• Systemctl reload iptables.

9. Definiendo reglas
• Se quiere bloquear todo el trafico entrante ping ICMP porque se cree
que los atacantes utilizan ping para saber cuando un host esta activo
o no y cual atacar.
• Se utiliza la siguiente regla:
Iptables -A INPUT -p icmp –icmp-type echo-request –j DROP
• Se desea bloquear el dominio de Facebook.com en host.
• Se utiliza la siguiente regla:
• Iptables –A OUTPUT –p tcp –d 157.240.11.35 –j DROP
• O con el mismo nombre de dominio si lo deseamos:
• Iptables –A OUTPUT –p tcp –d www.Facebook.com –j DROP

10. Laboratorio Practico.
• Se mostrara mediante la distribución de
seguridad informática Kali Linux 2.0 una
breve demostración de las reglas vistas
anteriormente.

11. ¿Qué es HTTP Proxy?
• Un proxy, o servidor proxy, en una red informática, es un servidor —
programa o dispositivo—, que hace de intermediario en las peticiones de
recursos que realiza un cliente (A) a otro servidor (C). Por ejemplo, si una
hipotética máquina A solicita un recurso a C, lo hará mediante una
petición a B, que a su vez trasladará la petición a C; de esta forma C no
sabrá que la petición procedió originalmente de A. Esta situación
estratégica de punto intermedio le permite ofrecer diversas
funcionalidades: control de acceso, registro del tráfico, restricción a
determinados tipos de tráfico, mejora de rendimiento, anonimato de la
comunicación, caché web, etc. Dependiendo del contexto, la
intermediación que realiza el proxy puede ser considerada por los
usuarios, administradores o proveedores como legítima o delictiva y su
uso es frecuentemente discutido.

12. PASOS PARA INSTALAR SQUID HTTP
PROXY
1. Instalar el proxy
•Para instalar Squid escribe en un terminal:
•sudo aptitude install squid
2. Configurar el proxy
•La configuración de Squid se hace editando el archivo
/etc/squid/squid.conf
•Para editar este archivo, presiona Alt+F2 y:
•gksu gedit /etc/squid/squid.conf

13. 2.1 Nombrar el proxy
•Squid necesita conocer el nombre de la máquina.
Para ello, ubica la línea visible_hostname.
•Por ejemplo, si la máquina se llama “ubuntu”, pon:
•visible_hostname Ubuntu
2.2 Elegir el puerto
•Por defecto, el puerto de escucha del servidor proxy
será 3128. Para elegir otro puerto, ubica la línea:
•http_port 3128
Y cambia el número de puerto, por ejemplo:
•http_port 3177

14. 2.3 Elegir la interfaz
•Por defecto el servidor proxy escucha por todas las interfaces. Por razones de
seguridad, sólo debes hacer que escuche en tu red local.
•Por ejemplo si la tarjeta de red ligada a tu LAN tiene el IP 10.0.0.1, modifica la
línea a:
•http_port 10.0.0.1:3177
2.4 Definir los derechos de acceso
•Por defecto, nadie está autorizado a conectarse al servidor proxy, excepto tu
máquina.
•Entonces hay que crear una lista de autorización.
•Por ejemplo vamos a definir un grupo que abarca toda la red local.
•Ubica la línea del archivo que comienza por acl localhost...
•Al final de la sección, agrega:
•acl lanhome src 10.0.0.0/255.255.255.0

15. • 2.5 Autorizar al grupo
• Ahora que el grupo está definido, vamos a autorizar para que utilice el proxy.
• Ubica la línea http_access allow...
• Y agrega debajo (antes de la línea http_access deny all)
• http_access allow lanhome
2.6 Autorizar los puertos no estándar
• Por defecto, Squid sólo autoriza el trafico HTTP en algunos puertos (80, etc.)
• Esto puede ocasionar problemas a algunas páginas web que utilizan otros
puertos
• Ejemplo: http://toto.com/: 81/images/titi.png seria bloqueado por Squid.
• Para evitar que lo bloquee, encuentra la línea:
• http_access deny !Safe_ports
• Y agrega un comentario:
• #http_access deny !Safe_ports

17. • 3. Iniciar el proxy
• (Re)inicia el proxy para que tome en cuenta la
nueva configuración que acabamos de realizar.
Escribe:
• sudo /etc/init.d/squid restart

18. Detección de Intrusos con
Samhain
• Se llama IDS o Sistema de Detección de Intrusiones a
una herramienta de seguridad que tiene la función de
detectar o monitorizar los eventos que busquen
comprometer la seguridad de un determinado entorno
de red.
• IDS SEGURIDAD RED

19. HIDS (Host IDS)
• Protege un único ordenador, monitorizando los eventos
locales y analizando información del sistema mediante
ficheros logs. Este IDS trabaja con la información recogida
dentro de un solo host. Por ello, es necesario tener un HIDS
en cada host que queramos monitorizar. Recomendado para
servidores WEB.

20. Samhain es un Open Source
• Samhain sido diseñado para controlar múltiples
hosts potencialmente con diferentes sistemas
operativos, proporcionando el registro y
mantenimiento centralizado , aunque también se
puede utilizar como una aplicación independiente
en un único host.
Samhain es una aplicación multiplataforma de
código abierto para sistemas POSIX (Unix, Linux,
Cygwin / Windows).

21. • Si comparamos Samhain con OSSEC, podemos calificarlo como uno
de los mejores competidores disponibles. Sin embargo, la comparación
directa entre ambos estaría un poco desvirtuada, ya que a pesar de su
estructura cliente-servidor, Samhain no se comporta de la misma forma
que este.
• El agente de este sistema tiene una amplia variedad de salidas, no solo
la de servidor central sino además otras como Email, Syslog o RDBMS.
Otra importante diferencia es dónde se realizan los análisis. En OSSEC
los análisis se realizan en el servidor mientras en Samhain tiene lugar
en el mismo cliente.
• Principales características del sistema:
• Instalación más difícil
• Clientes Windows requieren Cygwin para funcionar
• Gran funcionalidad para FIM (File Integrity Monitoring)
• Cliente muy flexible

23. • OSSEC se ejecutará sin problemas en cualquier sistema operativo y
utiliza una arquitectura de cliente-servidor, tan importante en un sistema
tipo HIDS. ¿Por qué? Debido a que un HIDS podría ser también
afectado por un ataque (con el consiguiente compromiso de la
información forense recabada por él) y por tanto es vital que toda la
información tratada en el sistema sea evacuada a una ubicación segura
cuanto antes.
• Así, este sistema incorpora una arquitectura en la que se envían alertas
y registros a un servidor centralizado, donde se podrá llevar a cabo el
análisis de datos, incluso si el sistema es comprometido/atacado.
• Otra ventaja innegable es la de contar con un control centralizado de los
agentes desde un servidor único. Dado que los despliegues pueden
alcanzar cientos o miles de clientes, por el bien del administrador es
necesario poder hacerlo en bloque.