El documento habla sobre la seguridad en las redes. Explica que las redes necesitan protección contra el robo y uso incorrecto de información confidencial así como contra ataques maliciosos. También describe varios tipos comunes de ataques como escaneo de puertos, intercepción de paquetes, y obtención de contraseñas a través de fuerza bruta o diccionarios.

1. SEGURIDAD EN LA RED
ADMINISTRACION DE REDES
Catedrático:
Francisco Vázquez Guzmán
Elaborado por:
Fabiola Aguilar Martínez
Tehuacán, Pue; 29 de mayo del 2013

2. SEGURIDAD EN LA RED
INTRODUCCION
Es muy probable que al dejar la oficina al final del día active el sistema de
alarma y bloquee la puerta para proteger el equipo y la oficina. También puede que
disponga de un archivador con candado para guardar los documentos confidenciales
de la empresa.
Su red de computadoras necesita el mismo tipo de protección.
Las tecnologías de seguridad de redes protegen su red contra el robo y el uso
incorrecto de información confidencial de la empresa y ofrecen protección contra
ataques maliciosos de virus y gusanos de Internet. Sin ninguna seguridad de la red,
su compañía se enfrenta a intrusiones no autorizadas, periodos de inactividad de la
red, interrupción del servicio, incumplimiento de las normas e incluso a acciones
legales.
Es por eso que muchos sistemas están expuestos a agujeros de seguridad que
son explotados para acceder a archivos, obtener privilegios o realizar sabotaje. Estas
vulnerabilidades ocurren por varias razones y miles de puertas invisibles con
descubiertas cada día en sistemas operativos, aplicaciones de software, protocolos
de red, browsers de internet, correo electrónico y todas clases de servicios informático
disponible.
Los sistemas operativos abiertos como Unix y Linux tienen agujeros más
conocidos y controlados que aquellos que existen en sistemas operativos cerrados
como Windows. La importancia y ventaja del código abierto radican en miles de
usuarios analizan dicho código en busca de posibles bug s y ayudan a obtener
soluciones en forma inmediata.
Constantemente encontramos en internet avisos de nuevos descubrimientos de
problemas de seguridad y herramientas de hacking que los explotan, por lo que hoy
también se hace indispensable contar con productos que conocen esas debilidades,
puedan diagnosticarlas y actualizar el programa afectado con el parche adecuado.
La seguridad es un tema que debe inquietar a cualquier organización que hoy
día decida conectarse a su red a otras sobre Internet. El número de incidentes contra
sistemas conectados casi se duplica cada año, según el Coputer Emergency
Response Team Coordination Center (CERT-CC).
Todas las líneas actuales de investigación en seguridad de redes comparten
una idea: la concentración de la seguridad en un punto. Se obliga a que todo el tráfico
entre la red que se pretende proteger y las redes externas pase por un mismo punto.
Este punto se conoce con el nombre de firewall, y físicamente puede ser desde un
simple host para un complejo conjunto de redes separadas por routers. El empleo de
un firewall presenta enormes ventajas sobre los enfoques de seguridad en redes
tradicionales que requieren la seguridad individual de cada host conectado, y por tan

3. solo pueda justificarse en entornos con un reducido número de máquinas permitiendo,
concentrar todos los esfuerzos en el control de tráfico a su paso por el firewall.
Funcionamiento de la seguridad
La seguridad de la red no se basa en un método concreto, sino que utiliza un conjunto
de barreras que defienden su negocio de diferentes formas. Incluso si falla una
solución, se mantendrán otras que protegerán la compañía y sus datos de una gran
variedad de ataques a la red.
Las capas de seguridad de la red garantizan que tenga a su disponibilidad la
información importante en la que se basa para dirigir su negocio y que estará
protegida de las diferentes amenazas. En concreto, la seguridad de la red:
 Protege contra ataques a la red tanto internos como externos. Las amenazas
se pueden originar tanto dentro como fuera de la estructura de su empresa. Un
sistema de seguridad efectivo supervisará toda la actividad de la red, detectará
el comportamiento malicioso y adoptará la respuesta adecuada.
 Garantiza la privacidad de todas las comunicaciones, en cualquier lugar y en
cualquier momento. Los empleados pueden acceder a la red desde casa o
mientras se desplazan con la garantía de que sus comunicaciones serán
privadas y estarán protegidas.
 Controla el acceso a la información mediante la identificación exhaustiva de los
usuarios y sus sistemas. La empresa puede establecer sus propias reglas
sobre el acceso a los datos. La denegación o la aprobación se puede otorgar
según las identidades de los usuarios, la función del trabajo u otros criterios
específicos de la empresa.
 Le hará más confiable. Puesto que las tecnologías de seguridad permiten a su
sistema evitar ataques conocidos y adaptarse a las nuevas amenazas, los
empleados, clientes y Socio de Negocioss comerciales pueden confiar en que
su información estará segura.

4. TIPOS DE ATAQUES
SCANNING (BÚSQUEDA)
El Scaneo, como método de descubrir canales de comunicación susceptibles
de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos
puertos de escucha como sea posible, y guardar información de aquellos que
sean receptivos o de utilidad para cada necesidad en particular. Muchas
utilidades de auditoría también se basan en este paradigma.
La idea básica es simple: llamar a un número y si el módem devuelve un
mensaje de conectado, grabar el número. En otro caso, la computadora cuelga el
teléfono y llama al siguiente número. Scanear puertos implica las mismas técnicas
de fuerza bruta. Se envía una serie de paquetes para varios protocolos y se deduce
que servicios están "escuchando" por las respuestas recibidas o no recibidas.
Existen diversos tipos de Scanning según las técnicas, puertos y protocolos
explotados:
 TCP Connect() Scanning
Esta es la forma básica del scaneo de puertos TCP. Si el puerto está
escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que
el puerto no está abierto o que no se puede establecer conexión con a él.
Las ventajas que caracterizan esta técnica es que no necesita de privilegios
especiales y su gran velocidad. Su principal desventaja es que este método
es fácilmente detectable por el Administrador del sistema. Se verá un gran
número de conexiones y mensajes de error para los servicios en los que se ha
conseguido conectar la máquina que lanza el scanner e inmediatamente se ha
desconectado.
 TCP SYN Scanning
Cuando dos procesos establecen una comunicación usan el modelo
Cliente/Servidor para establecer la conexión. La aplicación del Servidor "escucha"
todo lo que ingresa por los puertos. La identificación del Servidor se efectúa a través
de la dirección IP del sistema en el que se ejecuta y del número de puerto del que
depende para la conexión. El Cliente establece la conexión con el Servidor a
través del puerto disponible para luego intercambiar datos.
La información de control llamada HandShake (saludo) se intercambia entre el
Cliente y el Servidor para establecer un dialogo antes de transmitir datos.
 TCP FIN Scanning- Stealth Port Scanning
Este tipo de Scaneo está basado en la idea de que los puertos cerrados tienden a
responder a los paquetes FIN con el RST correspondiente. Los puertos abiertos,

5. en cambio, suelen ignorar el paquete en cuestión.
 Fragmentation Scanning
Esta no es una nueva técnica de escaneó como tal, sino una
modificación de las anteriores. En lugar de enviar paquetes completos de sondeo,
los mismos se particionan en un par de pequeños fragmentos IP. Así, se logra partir
una cabecera IP en distintos paquetes para hacerlo más difícil de monitorizar por
los filtros que pudieran estar ejecutándose en la máquina objetivo.
Sin embargo, algunas implementaciones de estas técnicas tienen problemas
con la gestión de este tipo de paquetes tan pequeños, causando una caída de
rendimiento en el sistema del intruso o en el de la víctima. Problemas de esta
índole convierte en detectables a este tipo de ataque.
 Eavesdropping-Packet Sniffing
Muchas redes son vulnerables al Eavesdropping, o a la pasiva intercepción
(sin modificación) del tráfico de red. Esto se realiza con Packet Sniffers, los
cuales son programas que monitorean los paquetes que circulan por la red. Los
Sniffers pueden ser colocados tanto en una estación de trabajo conectada a la red,
como a un equipo Router o a un Gateway de Internet, y esto puede ser realizado por
un usuario con legítimo acceso, o por un intruso que ha ingresado por otras vías.
En la cabecera de los paquetes enviados a través de una red, entre otros datos,
se tiene, la dirección del emisor y la del destinatario. De esta forma,
independientemente de protocolo usado, las tramas llegan a su destino. Cada
máquina conectada a la red (mediante una placa con una dirección única) verifica
la dirección destino del paquete. Si estas direcciones son iguales asume que el
paquete enviado es para ella, caso contrario libera el paquete para que otras
placas lo analicen.
 Snooping-Downloading
Los ataques de esta categoría tienen el mismo objetivo que el Sniffing:
obtener la información sin modificarla. Sin embargo los métodos son diferentes.
Aquí, además de interceptar el tráfico de red, el atacante ingresa a los documentos,
mensajes de correo electrónico y otra información guardada, realizando en la
mayoría de los casos un downloading (copia de documentos) de esa información a
su propia computadora, para luego hacer un análisis exhaustivo de la misma. El
Snooping puede ser realizado por simple curiosidad, pero también es realizado con
fines de espionaje y robo de información o software
ATAQUES DE AUTENTIFICACIÓN
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para
ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya

6. establecidas por la víctima u obteniendo su nombre de usuario y password.
 Spoofing-Looping
Spoofing puede traducirse como "hacerse pasar por otro" y el objetivo de esta
técnica, justamente, es actuar en nombre de otros usuarios, usualmente para
realizar tareas de Snooping o Tampering (ver a continuación Ataques de
Modificación y Daño). Una forma común de Spoofing es conseguir el nombre y
password de un usuario legítimo para, una vez ingresado al sistema, tomar acciones
en nombre de él.
El intruso usualmente utiliza un sistema para obtener información e ingresar en
otro, y luego utiliza este para entrar en otro, y así sucesivamente. Este
proceso, llamado Looping, y tiene la finalidad de "evaporar" la identificación y la
ubicación del atacante
 Spoofing
Este tipo de ataques (sobre protolocos) suele implicar un buen
conocimiento del protocolo en el que se va a basar el ataque. Los ataques
tipo Spoofing bastante conocidos son el IP Spoofing, el DNS Spoofing y el Web
Spoofing IP Spoofing
Con el IP Spoofing, el atacante genera paquetes de Internet con una dirección
de red falsa en el campo From, pero que es aceptada por el destinatario del
paquete. Su utilización más común es enviar los paquetes con la dirección de un
tercero, de forma que la víctima "ve" un ataque proveniente de esa tercera red, y no
la dirección real del intruso.
 DNS Spoofing
Este ataque se consigue mediante la manipulación de paquetes UDP
pudiéndose comprometer el servidor de nombres de dominios (Domain Name
Server-DNS) de Windows NT(c). Si se permite el método de recursión en
la resolución de "Nombre"Dirección IP" en el DNS, es posible controlar algunos
aspectos del DNS remoto. La recursión consiste en la capacidad de un servidor de
nombres para resolver una petición de dirección IP a partir de un nombre que no
figura en su base de datos. Este es el método típico (y por defecto) de
funcionamiento.
 Web Spoofing
En el caso Web Spoofing el atacante crea un sitio web completo (falso) similar al
que la víctima desea entrar. Los accesos a este sitio están dirigidos por el
atacante, permitiéndole monitorizar todas las acciones de la víctima, desde sus
datos hasta las passwords, números de tarjeta de créditos, etc. El atacante también
es libre de modificar cualquier dato que se esté transmitiendo entre el servidor
original y la víctima o viceversa.

7.  IP Splicing-Hijacking
Se produce cuando un atacante consigue interceptar una sesión ya
establecida. El atacante espera a que la victima se identifique ante el sistema y
tras ello le suplanta como usuario autorizado.
 Utilización de BackDoors
"Las puertas traseras son trozos de código en un programa que permiten a quien
las conoce saltarse los métodos usuales de autentificación para realizar ciertas
tareas. Habitualmente son insertados por los programadores del sistema para agilizar
la tarea de probar código durante la fase de desarrollo".
Esta situación se convierte en una falla de seguridad si se mantiene,
involuntaria o intencionalmente, una vez terminado el producto ya que cualquiera
que conozca el agujero o lo encuentre en su código podrá saltarse los mecanismos
de control normales.
 Utilización de Exploits
Es muy frecuente ingresar a un sistema explotando agujeros en los
algoritmos de encriptación utilizados, en la administración de las claves por
parte la empresa, o simplemente encontrado un error en los programas utilizados.
Los programas para explotar estos "agujeros" reciben el nombre de Exploits y
lo que realizan es aprovechar la debilidad, fallo o error hallado en el sistema
(hardware o software) para ingresar al mismo. Nuevos Exploits (explotando nuevos
errores en los sistemas) se publican cada día por lo que mantenerse informado de
los mismos y de las herramientas para combatirlos es de vital importancia.
 Obtención de Passwords
Este método comprende la obtención por "Fuerza Bruta" de aquellas
claves que permiten ingresar a los sistemas, aplicaciones, cuentas, etc. atacados.
Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre
u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia.
En este caso el ataque se simplifica e involucra algún tiempo de prueba y error.
Otras veces se realizan ataques sistemáticos (incluso con varias computadoras a
la vez) con la ayuda de programas especiales y "diccionarios" que prueban
millones de posibles claves hasta encontrar la password correcta. La política de
administración de password será discutida en capítulos posteriores.
 Uso de Diccionarios
Los Diccionarios son archivos con millones de palabras, las cuales
pueden ser passwords utilizadas por los usuarios. Este archivo es utilizado para
descubrir dicha password en pruebas de fuerza bruta. El programa encargado de
probar cada una de las palabras encripta cada una de ellas (mediante el
algoritmo utilizado por el sistema atacado) y compara la palabra encriptada contra
el archivo de passwords del sistema atacado (previamente obtenido). Si coinciden

8. se ha encontrado la clave de acceso al sistema mediante el usuario
correspondiente a la clave hallada. Actualmente es posible encontrar diccionarios
de gran tamaño orientados, incluso, a un área específica de acuerdo al tipo de
organización que se esté atacando.
DENIAL OF SERVICE (DOS)
Los protocolos existentes actualmente fueron diseñados para ser empleados en
una comunidad abierta y con una relación de confianza mutua. La realidad indica
que es más fácil desorganizar el funcionamiento de un sistema que acceder al
mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los
recursos de la víctima de forma tal que se inhabilita los servicios brindados por la
misma.
 Jamming o Flooding
Este tipo de ataques desactivan o saturan los recursos del sistema. Aquí el
atacante satura el sistema con mensajes que requieren establecer conexión. Sin
embargo, en vez de proveer la dirección IP del emisor, el mensaje contiene
falsas direcciones IP (usando Spoofing y Looping). El sistema responde al
mensaje, pero como no recibe respuesta, acumula buffers con información de las
conexiones abiertas, no dejando lugar a las conexiones legítimas. Muchos ISPs
(proveedores de Internet) han sufrido bajas temporales del servicio por ataques
que explotan el protocolo TCP. Muchos Hosts de Internet han sido dados de
baja por el "ping de la muerte" (una versión-trampa del comando ping). Mientras
que el ping normal simplemente verifica si un sistema esta enlazado a la red, el ping
de la muerte causa el bloqueo instantáneo del equipo. Esta vulnerabilidad ha sido
ampliamente utilizada en el pasado pero, aún hoy pueden encontrarse sistemas
vulnerables. Otra acción común es la de enviar millares de e-mails sin sentido a
todos los usuarios posibles en forma continua, saturando los sistemas destinos.
.
 Syn Flood
Como ya se explicó en el TCP SYN Scanning el protocolo TCP se basa
en una conexión en tres pasos. Si el paso final no llega a establecerse, la conexión
permanece en un estado denominado "semiabierto". El Syn Flood es el más famoso
de los ataques del tipo Denial of Service, publicado por primera vez en la revista
Phrack. Se basa en un "saludo" incompleto entre los dos hosts. El Cliente envía
un paquete SYN pero no responde al paquete ACK ocasionando que la pila
TCP/IP espere cierta cantidad de tiempo a que el host hostil responda antes de
cerrar la conexión. Si se crean muchas peticiones incompletas de conexión (no se
responde a ninguna), el Servidor estará inactivo mucho tiempo esperando
respuesta. Esto ocasiona la lentitud en los demás servicios.
 Connection Flood
La mayoría de las empresas que brindan servicios de Internet (ISP) tienen un
límite máximo en el número de conexiones simultaneas. Una vez que se alcanza ese
límite, no se admitirán conexiones nuevas. Así, por ejemplo, un servidor Web
puede tener, por ejemplo, capacidad para atender a mil usuarios simultáneos. Si un

9. atacante establece mil conexiones y no realiza ninguna petición sobre ellas,
monopolizará la capacidad del servidor. Las conexiones van caducando por
inactividad poco a poco, pero el atacante sólo necesita intentar nuevas conexiones,
(como ocurre con el caso del Syn Flood) para mantener fuera de servicio el servidor.
 Net Flood
En estos casos, la red víctima no puede hacer nada. Aunque filtre el tráfico
en sus sistemas, sus líneas estarán saturadas con tráfico malicioso, incapacitándolas
para cursar tráfico útil.
El atacante envía tantos paquetes de solicitud de conexión que las conexiones
auténticas simplemente no pueden competir. En casos así el primer paso a realizar
es el ponerse en contacto con el Proveedor del servicio para que intente
determinar la fuente del ataque y, como medida provisional, filtre el ataque en su
extremo de la línea. El siguiente paso consiste en localizar las fuentes del ataque
e informar a sus Administradores, ya que seguramente se estarán usando sus
recursos sin su conocimiento y consentimiento. Si el atacante emplea Ip Spoofing,
esto puede ser casi imposible, ya que en muchos casos la fuente del ataque es, a su
vez, víctima y el origen último puede ser prácticamente imposible de determinar
 Land Attack
Este ataque consiste en un Bug (error) en la implementación de la pila TCP/IP
de las plataformas Windows(c). El ataque consiste en mandar a algún puerto
abierto de un servidor (generalmente al 113 o al 139) un paquete, maliciosamente
construido, con la dirección y puerto origen igual que la dirección y puerto destino.
Por ejemplo se envían un mensaje desde la dirección 10.0.0.1:139 hacia ella
misma. El resultado obtenido es que luego de cierta cantidad de mensajes
enviados-recibidos la máquina termina colgándose.
 Supernuke o Winnuke
Un ataque característico (y quizás el más común) de los equipos con
Windows(c) es el Nuke, que hace que los equipos que escuchan por el puerto UDP
137 a 139 (utilizados por los protocolos Netbios de Wins), queden fuera de
servicio (o disminuyan su rendimientos) al enviarle paquetes UDP
manipulados. Generalmente se envían fragmentos de paquetes, que la máquina
víctima detecta como inválidos pasando a un estado inestable
 Teardrop I y II-Newtear-Bonk-Boink
Al igual que el Supernuke, los ataques Teardrop I y Teardrop II afectan a
fragmentos de paquetes. Algunas implementaciones de colas IP no vuelven a armar
correctamente los fragmentos que se superponen, haciendo que el sistema se
cuelgue. Windows NT(c) 4.0 de Microsoft(r) es especialmente vulnerable a este
ataque. Aunque existen Patchs (parches) que pueden aplicarse para solucionar el
problema, muchas organizaciones no lo hacen, y las consecuencias pueden
devastadoras.
Los ataque tipo Teardrop son especialmente peligrosos ya que existen multitud
de implementaciones (algunas de ellas forman paquetes), que explotan esta

10. debilidad. Las más conocidas son aquellas con el nombre Newtear, Bonk y Boink.
ATAQUES DE MODIFICACIÓN-DAÑO
 Tampering o Data Diddling
Esta categoría se refiere a la modificación desautorizada de los datos o el
software instalado en el sistema víctima (incluyendo borrado de archivos). Son
particularmente serios cuando el que lo realiza ha obtenido derechos de
Administrador o Supervisor, con la capacidad de disparar cualquier comando y
por ende alterar o borrar cualquier información que puede incluso terminar en la
baja total del sistema. Aún así, si no hubo intenciones de "bajar" el sistema por parte
del atacante; el Administrador posiblemente necesite darlo de baja por horas o
días hasta chequear y tratar de recuperar aquella información que ha sido alterada
o borrada. Como siempre, esto puede ser realizado por Insiders o Outsiders,
generalmente con el propósito de fraude o de dejar fuera de servicio a un
competidor.
 Borrado de Huellas
El borrado de huellas es una de las tareas mas importantes que debe realizar el
intruso después de ingresar en un sistema, ya que si se detecta su ingreso el
Administrador buscará como conseguir "tapar el hueco" de seguridad, evitar
ataques futuros e incluso rastrear al atacante. Las Huellas son todas las tareas que
realizó el intruso en el sistema y por lo general son almacenadas en Logs (archivo
que guarda la información de lo que se realiza en el sistema) por el sistema
operativo. Los archivos Logs son una de las principales herramientas (y el
principal enemigo del atacante) con las que cuenta un Administrador para conocer
los detalles de las tareas realizadas en el sistema y la detección de intrusos
 Ataques Mediante Java Applets
Java es un lenguaje de programación interpretado desarrollado inicialmente por
SUN. Su mayor popularidad la merece en su alto grado de seguridad. Los
más usados navegadores actuales, implementan Máquinas Virtuales Java (MVJ)
para ser capaces de ejecutar programas (Applets) de Java. Estos Applets, al fin y
al cabo no son más que código ejecutable y como tal, susceptible de ser
manipulado por intrusos. Sin embargo, partiendo del diseño, Java siempre ha
pensado en la seguridad del sistema. Las restricciones a las que somete a los
Applets son de tal envergadura (imposibilidad de trabajar con ficheros a no ser que
el usuario especifique lo contrario, imposibilidad de acceso a zonas de memoria y
disco directamente, firma digital, etc.) que es muy difícil lanzar ataques. Sin
embargo, existe un grupo de expertos especializados en descubrir fallas de
seguridad en las implementaciones de las MVJ.
 Ataques Mediante JavaScript y VBScript
JavaScript (de empresa Netscape(r)) y VBScript (de Microsoft(r)) son dos
lenguajes usados por los diseñadores de sitios Web evitando el uso de Java.
Los programas realizados son interpretados por el navegador. Aunque los
fallos son mucho más numerosos en versiones antiguas de JavaScript, se
pueden encontrar algunos de los siguientes:

11. Cuando apareció JavaScript, éste permitía el envío de mensajes de correo
electrónico sin el reconocimiento del usuario, la lectura del historial de páginas
visitadas, la lectura de directorios y de archivos. Estas fueron razón más que
suficiente para que cientos de intrusos informáticos se aprovecharan de estas
debilidades.
 Ataques Mediante ActiveX
ActiveX es una de las tecnologías más potentes que ha desarrollado
Microsoft(r). Mediante ActiveX es posible reutilizar código, descargar código
totalmente funcional de un sitio remoto, etc. Esta tecnología es considerada la
respuesta de Microsoft(r) a Java. ActiveX soluciona los problemas de seguridad
mediante certificados y firmas digitales. Una Autoridad Certificadora (AC) expende
un certificado que acompaña a los controles activos y a una firma digital del
programador. Cuando un usuario descarga una página con un control, se le
preguntará si confía en la AC que expendió el certificado y/o en el control
ActiveX. Si el usuario acepta el control, éste puede pasar a ejecutarse sin ningún
tipo de restricciones (sólo las propias que tenga el usuario en el sistema operativo).
Es decir, la responsabilidad de la seguridad del sistema se deja en manos del
usuario, ya sea este un experto cibernauta consciente de los riesgos que puede
acarrear la acción o un perfecto novato en la materia.
 Ataques por Vulnerabilidades en los Navegadores
Generalmente los navegadores no fallan por fallos intrínsecos, sino que
fallan las tecnologías que implementan, aunque en este punto analizaremos
realmente fallos intrínsecos de los navegadores, como pueden ser los "Buffer
Overflow". Los "Buffer Overflows" consisten en explotar una debilidad relacionada
con los buffers que la aplicación usa para almacenar las entradas de usuario. Por
ejemplo, cuando el usuario escribe una dirección en formato URL ésta se guarda en
un buffer para luego procesarla. Si no se realizan las oportunas operaciones de
comprobación, un usuario podría manipular estas direcciones.
Los protocolo usado pueden ser HTTP, pero también otros menos conocidos,
internos de cada explorador, como el "res:" o el "mk:". Precisamente existen fallos
de seguridad del tipo "Buffer Overflow" en la implementación de estos dos
protocolos. Para poder lanzar este tipo de ataques hay que tener un buen
conocimiento de lenguaje Assembler y de la estructura interna de la memoria del
Sistema Operativo utilizado. También se puede citar el fallo de seguridad
descubierto por Cybersnot Industries(r) relativo a los ficheros ".lnk" y ".url"de
Windows 95(c) y NT(c) respectivamente. Algunas versiones de Microsoft Internet
Explorer(c) podían ser utilizadas para ejecutar la aplicación que se deseara siempre
que existiera en el ordenador de la víctima (por ejemplo el tan conocido y temido
format.com).

12. INSTRUSIONES EN LA RED
La detección de ataques e intrusiones parte de la idea que un atacante es
capaz de violar nuestra política de seguridad, atacando parcial o totalmente los
recursos de una red, con el objetivo final de obtener un acceso con privilegios de
administrador.
Los mecanismos para la detección de ataques e intrusiones tratan de encontrar
y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente
ante un ataque.
En la mayoría de los casos es deseable poder identificar el ataque exacto que
se está´ produciendo, de forma que sea posible detener el ataque y recuperarse del
mismo. En otras situaciones, solo será´ posible detectar e informar de la actividad
sospechosa que se ha encontrado, ante la imposibilidad de conocer lo que ha
sucedido realmente.
Generalmente, la detección de ataques trabajara´ con la premisa de que nos
encontramos en la peor de las situaciones, suponiendo que el atacante ha obtenido
un acceso al sistema y que es capaz de utilizar o modificar sus recursos.
Una instrusión es una secuencia de acciones realizadas por un usuario o
proceso deshonesto, con el objetivo final de provocar un acceso no autorizado
sobre un equipo o un sistema al completo.
La intrusión consistirá en la secuencia de pasos realizados por el atacante que
viola una determinada política de seguridad. La existencia de una política de
seguridad, en la que se contempla una serie de acciones deshonestas que hay que
prevenir, es un requisito clave para la intrusión. Es decir, la violación solo se podrá
detectar cuando las acciones observadas puedan se comparadas con el conjunto de
reglas definidas en la política de seguridad.
La detección de intrusiones es el proceso de identificación y respuesta ante las
actividades ilícitas observadas contra uno o varios recursos de una red.
Primeros sistemas para la detección de ataques en tiempo real
El proyecto Instrusion Detection Expert System (IDES), desarrollado entre
1984 y 1986 por Dorothy Denning y Peter Neumann fue uno de los primeros
sistemas de detección de intrusos en tiempo real. Este proyecto, financiado entre
otros por la marina norteamericana, proponía una correspondencia entre actividad
mala y abuso o uso indebido.
IDES utilizaba perfiles para describir los sujetos del sistema (principalmente
usuarios), y reglas de actividad para definir las acciones que tenían lugar (eventos de
sistema o ciclos de CPU). Estos elementos permitían establecer mediante me´todos
estadísticos las pautas de comportamiento necesarias para detectar posibles
anomalías.

13. Un segundo sistema de detección de ataques en tiempo real que hay que
destacar fue Dis- covery, capaz de detectar e impedir problemas de seguridad en
bases de datos. La novedad del sistema radicaba en la monitorización de
aplicaciones en lugar de analizar un sistema operativo al completo. Mediante la
utilización de metodos estadísticos desarrollados en COBOL, Discovery pod´ıa detectar
posibles abusos.
Otros sistemas fueron desarrollados para ayudar a oficiales norteamericanos a
encontrar marcas de ataques internos en los ordenadores principales de sus bases aé
reas. Estos ordenadores eran principalmente servidores corporativos que trabajaban
con informaciónno clasificada pero muy confidencial.
MIDAS fue uno de los primeros sistemas de detección de intrusos conectados
a internet. Fue publicado en la red en 1989 y monitorizo el mainframe Dockmaster en
1990, contribuyendo a fortalecer los mecanismos de autentificación de usuarios.
ARQUITECTURA GENERAL DE UN SISTEMA DE DETECCION DE INTRUSIONES
Desde el comienzo de la década de los ochenta se han llevado a cabo multitud de
estudios referentes a la construcción de sistemas para la detección de intrusos. En
todos estos estudios se han realizado diferentes propuestas y diseños con el objetivo
de cumplir los siguientes requisitos:
 Precisión. Un sistema de detección de intrusos no debe que confundir
acciones legitimas con acciones deshonestas a la hora de realizar su
detección.
 Eficiencia. El detector de intrusos debe minimizar la tasa de actividad maliciosa
no detectada conocida como falsos negativos. Cuanto menor sea la tasa de
falso negativos, mayor será la eficiencia del sistema de detección de intrusos.
Este es un requisito complicado ya que en ocaciones pueda llegar a ser
imposible obtener todo el conocimiento necesario sobre ataques pasados,
actuales y futuros.
 Rendimiento. El rendimiento ofrecido por un sistema de detección de intrusos
debe ser suficiente como para poder llegar a realizar una detección en tiempo
real. La detecion en tiempo real responde a la detección de la intrusión antes
de que esta llegue a provocar en el sistema. Este tiempo debería de ser inferior
a un minuto.
 Escabilidad. A medida que la red vaya creciendo, también aumentara el
número de eventos que deberá tratar el sistema. El detector tiene que ser
capaz de soportar este aumento en el número de eventos, si que se produzca
perdida de información.
 Tolerancia en fallos. El sistema de detección de intrusiones debe ser capa de
continuar ofreciendo su servicio aunque sean atacados distintos elementos del
sistema incluyendo la situación de que el propio sistema reciba un ataque o
intrusión
Detección basada en usos indebidos
La detección de intrusiones basada en el modelo de usos indebidos cuenta con
el conocimiento a priori de secuencias y actividades deshonestas. Los

14. procesadores de eventos que implementan este esquema analizan los eventos en
busca de patrones de ataque conocidos o actividad que ataque vulnerabilidades
típicas de los equipos.
Estas secuencias o patrones se conocen bajo el nombre de firmas de ataques
y podrían ser comparadas con las firmas víricas que utilizan los productos actuales
de detección de virus.
Detección basada en anomalías
Los procesadores de eventos que basan su detección en un esquema de
anomalías trataran de identificar actividades sospechosas comparando el
comportamiento de un usuario, proceso, servicio con el comportamiento de perfil
clasificado como normal.
Un perfil sirve como métrica de comportamiento normal. Cualquier desviación
que supere un cierto umbral respecto al perfil almacenado será tratado como una
evidencia de ataque o intrusión
Uno de los requisitos de este modelo es la necesidad de inicialización de un
perfil por defecto que se ira adaptando progresivamente al comportamiento de un
usuario, proceso o servicio no sospechoso.
Unidades de respuesta
Las unidades de respuesta de un sistema de detección se encargaran de iniciar
acciones de respuesta en el momento en que se detecte un ataque o intrusión.
Estas acciones de respuesta pueden ser automáticas (respuesta activa) o requerir
interacción humana (respuesta pasiva).
Las respuestas activas tienen como objetivo actuar contra el ataque, intentando
su neutralización, en el momento en el que es detectado (o mientras una intrusión
todavía continúa en curso). Un ejemplo de respuesta activa puede ser la
cancelación de la conexión en red que origino´ el ataque o el propio seguimiento
del ataque que permitiría más adelante el análisis correspondiente. Por contra,
las respuestas pasivas se limitan a lanzar una alarma para informar y describir el
ataque detectado en el administrador del sistema. La mayoría de los componentes
de respuesta pasiva ofrecen distintas formas de hacer llegar esta información al
administrador como, por ejemplo, mediante un correo electrónico mediante la
utilización de mensajes SMS, et

15. CERTIFICADOS DE SEGURIDAD
Los certificados de seguridad, mejor conocidos como SSL (Secure Sockets
Layer), son un conjunto de protocolos criptográficos desarrollados en 1994 por
Nestcape Communcations; su desarrollo inicial está basado en Criptografía
Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas
digitales para conseguir, a través de una negociación, un canal seguro de
comunicación entre dos puntos a nivel de socket (máquina + puerto).
Básicamente, SSL proporciona autenticación y privacidad. Su uso puede darse en
diferentes escenarios, dependiendo de algunos factores.
Podríamos decir que SSL se implementa como una capa más del modelo
OSI y/o TCP/IP, entre la capa de aplicación y transporte, esto lo hace ser
independiente de la aplicación que lo use. De esta forma, proporciona seguridad a
la pila de protocolos cifrando los datos salientes de la capa de Aplicación antes de
que estos sean segmentados en la capa de Transporte y encapsulados y enviados
por las demás capas. Del mismo modo, se usa en la mayoría de los casos junto a
HTTP para formar HTTPS, que es el protocolo usado para asegurar las
conexiones Web.

16. SSL
El propósito de SSL es proporcionar seguridad a un sitio Web cifrando las
comunicaciones entre el servidor (el equipo donde está corriendo el sitio Web) y el
cliente (los equipos que visitan el sitio).Para usar SSL se necesita un certificado
SSL.
SSL es un conjunto de protocolos, el certificado de seguridad nos permite
hacer uso de ese protocolo; también podríamos decir que los certificados nos
permitirán cifrar las comunicaciones a través de SSL, pero tanto el protocolo como
los certificados mismos forman parte de SSL. Este certificado debe estar instalado
en el servidor, debe tener una dirección IP dedicada y los visitantes deben usar
un navegador que soporte este protocolo y los certificados usados, que en la
actualidad son casi todos.
SSL contiene un par de claves, una clave pública y una clave privada, así
como información verificada sobre la identificación. Básicamente se trata de un
archivo de datos, que está vinculado con los datos del sitio Web y el sistema de
cifrado. Estos datos pueden ser su nombre de dominio, nombre de servidor y
nombre de host; dependiendo del caso también se pueden usar otros datos como
el nombre y la ubicación de la empresa. El cifrado no es otra cosa que un proceso
matemático, este es usado para codificar/decodificar la información; el cifrado nos
garantiza que la información estará protegida durante su transferencia.
Como vemos, el proceso que hace SSL es de “autenticación”, que es
verificar la identidad de un sitio Web; esta verificación la hace un tercero para
poder garantizar la confianza.
Existen dos razones principales para querer usar SSL, la primera y
posiblemente la más usada, es para el comercio electrónico y poder aceptar pagos

17. en línea con tarjeta de crédito. Si el sitio Web maneja transacciones comerciales,
en donde se trasmitan datos de tarjetas de crédito, cualquier banco y sus
asociados exigirán el uso de certificados de seguridad, incluso esto está
estandarizado como PCI DSS (Estándar de Seguridad de Datos para la Industria
de Tarjeta de Pago). Es requerido por sistemas bancarios y de pago como Visa,
MasterCard, Discover Network, American Express, Diners Club, etc.
En caso opuesto, si el sitio Web realiza comercio electrónico pero NO
realiza procesos de pago de forma directa sino que se realizan a través de
sistemas como Paypal, Amazon, etc entonces el uso de SSL no será obligatorio.
La segunda razón es para mantener segura la información confidencial que
maneja el sitio Web; normalmente se usa para proteger los inicios de sesión y
evitar que los nombres de usuario y contraseñas sean transmitidos en texto plano.
Esto también se aplica en caso de que un sitio Web ofrezca servicios de correo,
en donde datos de carácter personal son usados diariamente por los usuarios.
Hoy en día con el auge de los servicios en la nube (cloud computing) se
estan implementando mucho más los certificados de seguridad para poder
garantizar la confidencialidad e integridad de la información.
Los certificados SSL deben ser emitidos por un certificado raíz, de una
Autoridad de certificación que sea de confianza. Este certificado raíz debe estar
presente en el ordenador del usuario para que el certificado SSL sea confiable,
caso contrario, el navegador mostrará al usuario un mensaje advirtiendo que el
sitio Web presenta un certificado pero no es de confianza. En el caso del comercio
electrónico, este tipo de errores inducen a perder la confianza por completo de un
sitio Web.
Ahora bien, este tipo de alertas no necesariamente dice que el sitio Web no
es de confianza, simplemente que el navegador no conoce/reconoce su certificado
de seguridad. Por ejemplo, si yo creo un certificado SSL (con OpenSSL se podría
hacer) porque no quiero o no puedo pagar uno, y este certificado ha sido emitido
por Expresión Binaria, por muy robusto y seguro que este sea, es muy probable
que los navegadores Web no lo reconozcan, repito no es porque carece de
seguridad, es más bien por un asunto “protocolar y burocrático” ya que Expresión
Binaria no es una Autoridad Certificadora. En un sitio Web de carácter personal
esto quizás no sea un problema, pero en un portal comercial podría generar cierta
desconfianza en los clientes.

18. Tipos de certificados de seguridad
Existen diferentes tipo de certificados SSL que se pueden usar en un sitio
Web, creo que básicamente todo dependerá de las necesidades, gustos y
capacidad monetaria que se tenga, pero principalmente dependerá de las
necesidades.
Certificados compartidos (Shared Certificates)
Estos certificados por lo general son gratuitos, y son dados de esta forma
para empresas de hospedaje Web como los revendedores (Hosting reseller) o en
otros caso pueden ser generados de forma personal (usando OpenSSL por
ejemplo) o a través de algún servicio que preste un sitio Web. Cumplen su función
(de forma básica), pero el hecho de ser “compartidos” no los relaciona
directamente con el nombre de dominio del sitio Web, esto provocará los
mensajes de alerta de los que hablé antes. Creo que ese punto quedó claro, pero
hagamos un ejemplo para ilustrarlo mejor: cuando un usuario visite mi sitio Web
dominio.com se intentará verificar/autenticar a través del certificado de seguridad
que está emitido por certdominio.com, esto generará “la desconfianza” ya que
ambos dominios son diferentes.
Estos certificados son apropiados para asegurar la conexión con un sitio
Web o el servidor de un sitio Web, pero no serán usados por el todos los
visitantes. Por ejemplo, para ingresar en el área administrativa de tu sitio.
Los certificados compartido no son apropiados para el comercio electrónico,
en estos casos se usan certificados privados, en donde el certificado esté
relacionado/emparentado con el dominio.
Certificados de validación de nombre de dominio (Domain Validated
Certificate)
Estos son los certificados SSL más básicos, se enfocan en validar solo el
nombre de dominio (dominio.com). Es ideal para situaciones en las que los
visitantes del sitio necesitan ingresar a zonas seguras, bien sea para ingresar
datos personales (nombre de usuario, contraseña, email, etc) o realizar pagos con
tarjetas de crédito. A diferencia de los certificados compartidos, estos no serán
objeto de mensajes de advertencia por parte de los navegadores.
Estos certificados son apropiados para cualquier situación en donde se
quiera asegurar la comunicación entre el sitio Web y sus visitantes, y pueden ser
adquiridos por cualquier persona. Sus costos son bajos en la mayoría de los
casos.
Certificados de validación de compañías (Company Validated Certificate)

19. Estos certificados son muy similares a los de validación de dominios, la
diferencia es que para estos es necesario validar datos de la propia compañía y no
solo su dominio. Más validación, más seguridad.
Desde un punto de vista de negocio y reputación, una compañía que use
este tipo de certificado de seguridad, no solo esta validando su dominio
(dominio.com) sino también su empresa. Esto es un poco “superficial” pero de
alguna manera y hasta cierto punto, el hecho de que un tercero (asociación
certificadora) valide la empresa (y no solo su dominio) generará mayor confianza a
sus clientes. Es una cuestión de “reputación” si se quiere.
Certificado de validación extendido (Extended Validation Certificates – EV)
Estamos ante el “top” de los certificados. El proceso de verificación es aún
mayor, se necesitarán verificar una buena cantidad de datos, tanto del sitio Web
como de la empresa que lo administra, incluyendo cuestiones jurídicas. Tanto los
requerimiento como los procedimientos son minuciosos.
La barra verde es exclusiva de este certificado. Les asegura a los visitantes
que están ante una empresa/organización validada y asegurada. Además, un sitio
protegido mediante este certificado hace que los navegadores web muestren el
nombre de la organización junto a la barra de direcciones (en este caso verde) y al
nombre de la autoridad de certificación que lo emitió. El navegador y la autoridad
de certificación controlan la visualización, lo que hace que las técnicas de
phishing sean más difíciles de aplicar.
Certificados Wildcard (Wildcard Certificates)
Estos certificados permiten usar un único certificado SSL para ser usado en
múltiples subdominios. Por ejemplo, el certificado será usado para dominio.com,
compras.dominio.com, contacto.dominio.com, etc.
Certificados Multi-dominio (Multi-Domain Certificates)
Estos son similares a los Wildcard, la diferencia es que en este caso son
usados para dominios (y no subdominios). Por ejemplo, el certificado será usado
para dominio.com, dominio.net, dominio.org, etc.

20. True BusinessID: El certificado True BusinessID es válido para un único dominio
o subdominio y permite una encriptación de datos de hasta 128/256 bits e
introducir los datos de su empresa o entidad como datos identificativos de su
certificado SSL. El TrueBusinessID es un certificado superior utilizado en
empresas que permite, además de proteger los datos que circulan por la página,
que la información del certificado que aparece en el navegador sea más completa
y específica que el RapidSSL. Además se puede poner un sello de SSL dinámico
con toda la información de la empresa. Es compatible con los navegadores; IE
5.01+, AOL 5+, Netscape 4.7+, Ópera 7+, Safari, Mozilla 1+ y Firefox 1+.
True BusinessID with EV: El certificado True BusinessID with EV es válido para
un único dominio o subdominio y permite una encriptación de datos de hasta
128/256 bits e introducir los datos de su empresa o entidad como datos
identificativos de su certificado SSL. Además la tecnología EV, le permitirá ver en
la barra de direcciones de su navegador, una pequeña barra verde notificando la
autenticidad del certificado de seguridad SSL.
Es compatible con los navegadores; IE 5.01+, AOL 5+, Netscape 4.7+, Ópera 7+,
Safari, Mozilla 1+ y Firefox 1+.
PFSENSE
Pfsense es una fuente libre, abierto de distribución personalizada de FreeBSD
adaptado para su uso como cortafuegos y el router. Además de ser una
plataforma potente, flexible cortafuegos y enrutamiento, que incluye una larga lista
de características relacionadas y un sistema de paquetes que permite mayor
capacidad de expansión sin añadir hinchazón y posibles vulnerabilidades de
seguridad a la distribución base. Pfsense es un proyecto popular, con más de 1
millón de descargas desde su creación, y probadas en un sin número de
instalaciones que van desde pequeñas redes domésticas que protegen un solo
equipo a las grandes corporaciones, universidades y otras organizaciones de
protección de miles de dispositivos de red.
Este proyecto se inició en 2004 como un tenedor del mOnOwall proyecto, pero
enfocado hacia instalaciones completas de PC en lugar del enfoque integrado de
hardware mOnOwall.
Es un sistema basado en FreeBSD que ya viene con software explicito para
seguridad informática.
Antes que todo debemos de instalar nuestro Pfsense. Para descargar Pfsense lo
puedes hacer a través de este link http://fleximus.org/mirror/pfsense/downloads.
Para saber los requerimientos minimos del hardware antes de instalar podemos ir

21. al siguiente link
http://www.pfsense.org/?option=com_content&task=view&id=45&Itemid=48
CARACTERISTICAS
PfSense incluye la mayoría de todas las funciones de cortafuegos comerciales
caros, y más en muchos casos. La siguiente es una lista de las funciones
disponibles en la versión 2.0 de pfSense. Todas estas cosas son posibles en la
interfaz web, sin tocar nada en la línea de comandos.
FIREWALL
 Filtrado de IP de origen y destino, puerto de protocolo, origen y destino IP
para tráfico TCP y UDP
 Capaz de limitar las conexiones simultáneas en una base por regla
 pfSense utiliza p0f, una utilidad de fingerprinting OS / red pasiva
avanzada que le permite filtrar por el sistema operativo que inicia la
conexión. ¿Desea permitir que las máquinas FreeBSD y Linux a través de
Internet, pero cuadra máquinas Windows? pfSense puede hacerlo (entre
muchas otras posibilidades) mediante la detección pasiva del sistema
operativo en uso.
 Opción para registrar o no registrar el tráfico que coincide con cada regla.
 Altamente flexible de políticas de enrutamiento posible por medio de puerta
de enlace en una base por regla (para el equilibrio de carga, conmutación
por error, múltiples WAN, etc)
 Alias permiten agrupar y nombrar de IPs, redes y puertos. Esto ayuda a
mantener el conjunto de reglas de firewall limpio y fácil de entender,
especialmente en entornos con múltiples direcciones IP públicas y
numerosos servidores.
 Capa transparente 2 cortafuegos capaz - puede salvar interfaces y filtran el
tráfico entre ellos, incluso teniendo en cuenta un IP-menos firewall
(aunque es probable que desee una IP para fines de administración).
 Normalización de paquetes - Descripción de la documentación matorral pf -
"'fregado' es la normalización de los paquetes para que no haya ambigüedades
en la interpretación por el destino final del paquete de la directiva scrub también
reensambla los paquetes fragmentados, protegiendo algunos sistemas
operativos de algunas formas de. ataque, y las gotas de paquetes TCP que
tengan combinaciones de indicadores válidos ".
o Habilitado en pfSense por defecto
o Se puede desactivar si es necesario. Esta opción hace que los
problemas para algunas implementaciones NFS, pero es seguro
y se debe dejar activada en la mayoría de instalaciones.
 Desactivar filtro - se puede desactivar el filtro de firewall por completo si
desea encender pfSense en un router puro.

22. INSTALACION
Bueno para comenzar con la instalacion lo primero que debemos de tener a la
mano es la imagen de pfSense, despues de quemarla podremos comenzar con la
instalacion
Comienzo instalacion
Asi es el primer pantallazo que observamos cuando nuestro cd comienza con la
instalacion.
Principio de instalacion
Crear vlans: En este paso el sistema nos pregunta si queremos crear Vlans. lo
cual decimos que no (n)

23. Interfaces: Este es el paso donde el sistema identifica las interfaceslan y wan. Las
cuales se pueden hacer automáticas.
Seleccion de interfaces: Después de haber seleccionado que tarjeta va hacer wan
y lan. Presionamos enter para continuar, después de este paso este se puede
demorar unos cuantos segundos.
En este menu escogeremos la opcion 99. Lo cual iniciaria el asistente de
instalacion.

24. Lo primero que debemos de configurar es el video se aconseja dejarlo por defecto.
En este paso si se comienza a dar la instalacion por completo, en este punto se
hace el formateo del disco y el particionado del mismo.
Formateo del disco
Se comenzara el formateo del disco recordar que todos los datos que tengamos
grabados en esta unidad se perderan.

25. Geometria disco Selecionamos la geometria del disco.
Formato Damos inicio al formato del disco.
Particionamiento Se nos pide particionar el disco. Esto es para poder instalar el
sistema operativo

26. Particionado : Se puede instalar otros sistemas de archivos pero por defecto viene
seleccionado FreBSD.
Partición; Nos pregunta en que partición vamos a instalar pero como en este caso
solo tenemos esta presionamos enter.
Características de partición :En este paso nos dice que la partición es primaria y
que todo se borrara sin forma de recuperar. Que si estamos seguros presionamos
enter.

27. Particionamiento final: Nos muestra como quedo el particionado en nuestro disco.
Copiando archivos: En este momento se están copiando todos los archivos al
disco, después de que esto termine prácticamente tendremos instalado nuestro
PfSense en nuestro equipo.
Reiniciar: Solo queda reiniciar nuestro computador para poder deleitarnos de
todos los servicios que trae nuestro PfSense.
Ingresamos a nuestro PfSense por medio de nuestro navegador copiamos la
dirección ip de la tarjeta lan que por defecto es 192.168.1.1.Luego nos pedirá
autenticarnos lo que realizamos con:
User: admin

28. Password: pfsense
Después de autenticarte estarás dentro del entorno web que hay que cambiar
algunos parámetros que están por defecto.

29. Untangle
Es una plataforma para desplegar aplicaciones basadas en redes. La
plataforma une estas aplicaciones alrededor de un GUI común, base de datos y
señalamiento. Las aplicaciones sobre la plataforma de Untangle inspeccionan el
tráfico de la red simultáneamente, lo cual reduce los requisitos de recurso de cada
aplicación individual enormemente. La plataforma de Untangle soporta muchas
aplicaciones de fuentes abiertas y software adicionales de comercial actualmente.
Historia de fundación. Dirk Morris y John Irwin estaban hartos. Aumentar
un ambiente de la red barato y seguro hacia dentro departamental o ajustes de la
"Pequeña empresa" era demasiado difícil. Si el constructor usara productos de
versión comercial, era demasiado costoso. Si el software de código abierto fuera
usado, era pesado al máximo y requería servidores múltiples.
En el invierno seco tibio de 2002, decidieron hacer algo sobre eso. De la
misma manera que muchos soñadores de Silicon Valley antes de ellos, buscaron
a amigos y familia por fondos y empezaron una compañía. Aprovecharon sus
contactos en Carnegie Mellon University y Stanford para construir un equipo de
desarrollo de punto principal fuerte. Y durante los próximos tres años, se
desanimaron y cortaron el proyecto.
Para cortar gastos de producción, utilizaron aproximadamente 30 proyectos
de código abierto. Para acelerar el desarrollo y hacer que la base de código
resultara más accesible, implementaron Java. Y para hacerlo funcionar todo sobre
un servidor barato sólo inventaron y patentaron una nueva manera de racionalizar
la sobrecarga de comunicaciones entre los módulos. Llamaron su solución
"canalización virtual."
Pruebas beta en 2005-2006 les arrojaron que tenían un producto que era
rentable y funcional. En 2006, pidieron y obtuvieron la "financiación serie A”, que
usaron para contratar el equipo que adoptaría la compañía. A finales del año, el
equipo inicial estaba completo y las ventas estaban en auge. Estaban ahora listos
para tomar el próximo paso - la "devolución" para la comunidad de fuente
descubierta y ganar la influencia de cada vez más operaciones simultáneamente.
Misión. Untangle existe para utilizar las prácticas de ingeniería abierto -
origen para hacerlo más simple y más barato para empresas crear y mantener
infraestructuras de IT.
Creencias. En el mercado de software rápidamente - madurando de hoy, el
ascendiente de los métodos de fuente abiertos es casi seguro. Este proceso
comenzó con software de infraestructura, y está trepando a la pila de software

30. gradualmente. El espacio de seguridad de IT está ahora listo para la entrada, y
Untangle está recogiendo la espada.
Filosofía. Nos paramos en los hombros de gigantes - Linus Torvalds,
James Ansarino, y muchos otros - y esperamos que otros se paren en nuestro
algún día completamente. Maximizaremos nuestras contribuciones a la
colectividad de software de fuente abierta, y daremos el crédito donde sea
apropiado. Nuestro éxito está integralmente relacionado con nuestra conexión
próspera y vibrante a la comunidad.
Ambiciones. Pensamos hacer el software abierto - fuente la manera
preferida que las empresas bien comunican sobre la Internet
Servidor Untangle
El Servidor Untangle da una forma sencilla de proteger, controlar y
supervisar toda la red. Ofrece la tecnología necesaria para protegerse de
amenazas como virus, spyware y ataques. Protege la productividad mediante el
control de Web ilegítima surf, y da una en profundidad vista de la actividad de la
red. Todo esto en una sola interfaz utilizable.
Reports proporciona informes claros y concisos acerca del tráfico de red y
violaciones de las políticas. Con esta información se pueden detectar los
problemas relacionados con virus o spyware, así como supervisar ilegítimo
comportamiento de los usuarios, tales como navegación por Internet o mensajería
instantánea.
El Servidor Untangle se ejecuta en un PC situado entre la conexión a
Internet (módem de cable o DSL, etc) y el switch. Se puede sustituir o
complementar una ya existente o router Firewall.
Requisitos del hardware
Recursos
CPU:
Memory:
Hard Drive:
Network Cards:
Mínimo
1.0 GHz
512 MB
20 GB
2
Recomendado:
2.0+ GHz
1-2 GB
40+ GB
3+ (for DMZ)
Nota:
Se debe tener una
unidad de CD/DVD
en el servidor o
computadora para
instalar Untangle

31. Instalación
PASO 1. Conecte el servidor de Untangle en su red como se lo vaya a
utilizar, haciendo esto ahora ayudará en las etapas posteriores de la instalación.
Los siguientes diagramas muestran los dos métodos más comúnmente utilizados.
Si necesita que su servidor Untangle preparados fuera de la primera línea,
asegúrese de que el servidor Untangle tiene acceso a Internet. Usted será capaz
de conectarlo según lo previsto más adelante.
Si ya tiene un router / firewall y desea que se mantenga instalado, instale el
servidor Untangle entre el firewall y el conmutador interno principal. En este
escenario, el servidor Untangle funcionará como un puente. No es necesario
cambiar la ruta por defecto (gateway) en cualquier equipo detrás del firewall, ni el
cambio de las rutas en el router.
PASO 2.Si no tienes una ya existente o un router que desea reemplazar su
enrutador existente, conecte el servidor Untangle como se muestra aquí. Además,
proporcionará servicios de enrutamiento para su red, así como protección de
firewall.
PASO 3. Cuando el sistema haya reiniciado automáticamente iniciará el
asistente que nos ayudará a la configuración de Untangle para ser usado en
nuestra red.Siga los pasos en el asistente.
PASO 4. Hemos instalado satisfactoriamente Untangle en el ordenador o
servidor y configurado la conexión en red. Ahora ya está listo para descargar
aplicaciones. Si no está seguro de las aplicaciones que deseamos descargar
¿Qué aplicaciones debemos utilizar? el Asistente de aplicaciones nos ayudará. Si
sabemos lo que queremos instalar, hacer lo siguiente:
•Haga clic en la aplicación que desea descargar. (Paso 1).
• Haga clic en "Free Download", "prueba gratuita" o "Comprar ahora", dependiendo
de lo que le gustaría hacer y qué opciones están disponibles (paso 2). Las
solicitudes de primas están disponibles en 14 días versión de prueba gratuita.
• La aplicación aparecerá en su estante después de que haya sido descargado
(paso 3)
PASO 5. Casi todas las aplicaciones de Untangle se ejecutan e instalan
automáticamente (se ven cuando están en verde) Si deseamos ajustar las
configuraciones iniciales, clic en el botón de Ajustes para poder ajustar dichas
configuraciones. Únicamente después se hace clic en Aceptar para guardar los

32. cambios y Cancelar para rechazarlos. Las aplicaciones se activan o desactivan
dando clic en el botón de On
Para remover las aplicaciones se hace clic en el botón Remover de la lista
los aplicativos que consideremos no vamos a necesitar
Implementación
Untangle no solo permite la moderación de acceso a sitios web sino que podemos
restringir la descarga de tipos de archivos que como administradores de red y seguridad
informática consideremos de riesgo para nuestra red
FORTINET
Fortinet es una empresa privada estadounidense, situada en Sunnyvale
(California), que se dedica especialmente al diseño y fabricación de componentes
y dispositivos de seguridad de redes (firewalls, UTM...).
La compañía que fue fundada en el año 2000 por Ken Xie y desde entonces
ha tenido una gran proyección en el mundo de la seguridad de las
comunicaciones. Actualmente es la marca de referencia en sistemas de seguridad
UTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado. En
los últimos años
Fortigate produce una amplia gama de dispositivos para la protección de
redes: FortiGate-60C, FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate-
200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A,
FortiGate-800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A, FortiGate-
3016B y FortiGate-5000 series.
Además de estos, también cuenta con dispositivos wifi, y servidores para
centralizar la seguridad de una empresa con múltiples fortigates dispersos en la
red.
Características
 Presencia mundial de sus centros de operación, ventas y soporte
 Sede central en Sunnyvale, California
 Mas de 75 000 clientes en todo el mundo con más de 450 000 equipos
instalados
 Mas de 40 oficinas en América, Asia, emea y con cede central europea en
Francia
 Pioneros en la utilización de circuitos integrados de aplicaciones específicas
para acelerar los procesos de seguridad hasta el nivel de aplicación

33.  Único modo de ofrecer protección completa en tiempo real
 Líderes en el mercado utm según idc desde 2003 hasta el 2009
Fortinet es la compañía de seguridad de más rápido crecimiento en la historia.
Desde su entrada en el mercado anualmente ha duplicado su penetración en el
mismo asi como sus beneficios con una inversión constante
Lineas de Productos
FortiAP Seguridad redes Wireless
wifi, Seguridad, Inalambrica
Protección de Redes Wireless utilizando dispositivo FortiGate como controladora
Esta nueva línea de puntos de acceso (AP) amplia la gestión unificada de
amenazas de FortiGate al entorno de redes inalámbricas.
Cada FortiAP dirige todo su tráfico al controlador inalámbrico integrado en las
plataformas FortiGate. Este tráfico se somete a las políticas de firewall reenviando
sólo tráfico wireless autorizado. El motor de inspección de FortiGate identifica las
aplicaciones en la capa 7 y limita la velocidad de las aplicaciones no críticas del
negocio. Desde una única consola puede controlar el acceso de red, actualizar las
políticas de forma rápida y sencilla, y vigila su cumplimiento. Además, FortiAP
utiliza el protocolo estándar basado en CAPWAP (Control and Provisioning of
Wireless Access Point) para la conexión de puntos de acceso ligeros frente a los
métodos propietarios utilizados por la competencia.
Especialmente diseñada para los entornos de red más exigentes de hoy en día, la
serie de FortiAPs se basa en años de experiencia de Fortinet en envíos seguros,
protegidos por cable y acceso inalámbrico.
Estrategia centrada en redes inalámbricas.
La línea de productos FortiAP es el primer fruto de la estrategia de Fortinet
centrada en la seguridad en redes locales inalámbricas de carácter empresarial.
Como primeros productos dentro de la gama FortiAP, FortiAP-210 con single-
radio/banda dual y FortiAP-220 con banda dual y radio dual, ofrecen cobertura
fiable, alto rendimiento y un precio competitivo de alto valor comparado con
productos similares de su clase.
La línea FortiAP puede ser utilizada para ofrecer acceso a la red inalámbrica a
empleados, locales comerciales, almacenes, puntos de venta o hotspots para el
uso de invitados.

34. Entre los beneficios de la gama FortiAP cabe destacar los siguientes:
 Autenticación: la autenticación más fuerte con WPA2 y un portal cautivo
integrado para el acceso de invitados.
 Inspección profunda de la capa 7: permite la priorización de ancho de
banda inalámbrico para aplicaciones críticas.
 Política de cumplimiento: políticas de identidad-conocimiento, junto con la
detección de puntos y presentación de informes, control granular endpoint,
informes de auditoría, análisis específicos y mensurables.
 Bajo TCO: opciones de despliegue y capacidad flexibles para aprovechar la
base instalada de FortiGate, una plataforma común de gestión centralizada
y sin derechos de licencia especiales reducen aún más el coste total de
propiedad.
Todos los dispositivos FortiGate desde la serie FortiGate-60 podrán actuar como
controladores para FortiAP, dando a los clientes la flexibilidad y escalabilidad para
elegir entre la amplia gama de controladores ofrecidos por otros proveedores. Los
dispositivos FortiGate también podrán actuar como puntos únicos de gestión de
redes locales inalámbricas y cableadas. Además de las características de
seguridad ya existentes ofrecidas por los dispositivos FortiGate, los controladores
de punto de acceso FortiGate incluirán gestión WLAN y sistema inalámbrico de
detección de intrusos.
Cada plataforma FortiGate es capaz de ofrecer gestión centralizada de todos los
puntos de acceso y dispositivos. Desde una única consola, los clientes pueden
controlar el acceso a la red, actualizar de forma rápida y sencilla sus políticas y
ayudar al cumplimiento de las normativas.
Nuevos FortiAP-210 y FortiAP-220, que soportan los últimos estándares IEEE
802.11n, diseñados para ofrecer capacidades de red inalámbrica para clientes de
la mediana empresa y de las operadoras con una base de usuarios totales o redes
distribuidas de 250-5.000 usuarios.
FortiGate® Plataformas y dispositivos de seguridad en redes
Antispam, UTM, Firewall, Antivirus, VPN, Filtrado web, Cortafuegos, IPS/IDS
La línea FotiGate proporciona una completa protección basada en la red contra
múltiples tipos de amenaza sin degradar la disponibilidad de la red.
FortiGuard® Servicios de subscripción de seguridad
Antispam, Antivirus, Filtrado web, IPS/IDS

35. Los productos de Fortinet ofrecen potección dinámica a través de los servicios de
suscripción de seguridad FortiGuard los cuales proveen actualizaciones
automáticas para los servicios de antivirus, prevención de intrusos, filtrado web y
antispam.
FortiMail Dispositivos de seguridad de correo electrónico
Archivado, Antispam, Antivirus, Seguridad de e-mail
Los dispositivos FotiMail ofrecen avanzadas capacidades de filtrado antispam y
antivirus con cuarentena y archivado.
Fortinet Análisis y gestión
Consola, Gestión de la seguridad, Reporting
Las soluciones de gestión centralizada, registro y reporte de Fortinet ofrecen un
potente aunque sencillo conjunto de herramientas que reducen la sobrecarga del
administrador y las complejidades asociadas con despliegues de gran escala.
FortiClient Clientes de seguridad de puestos de trabajo
Seguridad del puesto de trabajo, Movilidad
FortiClient PC y FortiClient Mobile proveen seguridad dinámica para Pcs, laptops y
smartphones.
FortiDB Seguridad y cumplimiento para bases de datos
Bases de datos, Gestión de vulnerabilidades, Auditoría de seguridad,
Monitorización, Cumplimiento
FortiDB ofrece capacidades de detección de vulnerabilidades, monitorización y
auditoría para endurecer bases de datos contra amenazas y trazar el flujo de
información dentro de la misma.
FortiWeb Dispositivos de seguridad para la Web
Application firewall, Cortafuegos de aplicaciones
FortiWeb provee firewalls de aplicación y XML para proteger, balancear y acelerar
las aplicaciones Web, las bases de datos y la información intercambiada entre
ellas