Mejoramiento en la seguridad perimetral, gestión y control de acceso de la intranet de la I. Municipalidad de Curicó

Transcripción

1 UNIVERSIDAD DE TALCA FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA CIVIL EN COMPUTACIÓN Mejoramiento en la seguridad perimetral, gestión y control de acceso de la intranet de la I. Municipalidad de Curicó FELIPE ANDRÉS MORALES ANDRADE Profesor Guía: JAIME ÁLVAREZ B. Memoria para optar al título de Ingeniero Civil en Computación Curicó Chile Abril, 2009

2 UNIVERSIDAD DE TALCA FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA CIVIL EN COMPUTACIÓN Mejoramiento en la seguridad perimetral, gestión y control de acceso de la intranet de la I. Municipalidad de Curicó FELIPE ANDRÉS MORALES ANDRADE Profesor Guía: JAIME ÁLVAREZ B. Profesor Informante: CRISTIAN ARROYO N. Profesor Informante: MAURICIO SEPÚLVEDA B. Memoria para optar al título de Ingeniero Civil en Computación Curicó Chile Abril, 2009

3 Quiero dedicar esta memoria, además de agradecer infinitamente su ayuda y apoyo, a mis padres Jorge y Gilda, así como también, a mis hermanos Constanza y Álvaro. i

4 AGRADECIMIENTOS Agradezco a todo los que siempre me apoyaron y me motivaron para seguir adelante en especial a ti, Carol. ii

5 TABLA DE CONTENIDOS página Dedicatoria Agradecimientos Tabla de Contenidos Índice de Figuras Índice de Tablas Resumen Abstract I II III VII X XI XII 1. Introducción Objetivos generales Objetivos específicos Alcances Limitaciones del proyecto Descripción del problema Marco Teórico Seguridad Seguridad informática Seguridad de red Seguridad perimetral Amenazas Firewall Zona desmilitarizada (DMZ) Direcciones IP públicas y privadas Virtual Private Network o VPN Seguridad acceso Intranet Asignación estática iii

6 iv Asignación dinámica o DHCP Servicios para el acceso público Certificado Digital Tecnologías usadas en el correo electrónico Metodología Estudio de un modelo propuesto por Cisco Análisis de una red con firewall PIX Entrevistas al usuario Requerimientos del proyecto Secuencia de desarrollo del proyecto Diseño Diseño perímetro de seguridad Diseño general de reglas de filtrado Diseño zona desmilitarizada Diseño del Servidor Web Esquema general del servidor Web Diseño del servidor de correo electrónico Zimbra Arquitectura de Zimbra Interfaz Web Paquetes libres utilizados por Zimbra DNS del servidor de correo Seguridad del servidor de correo Diseño del sistema de gestión y control de acceso para la red municipal Configuración Servidor DHCP Aplicación desarrollada Implementación Firewall Cisco ASA Reseteo y creación de usuario administrador Actualización del firewall Configuración inicial e interfaces Configuración SSH y ASDM

7 v Configuración para la conexión a Internet Configuración reglas de filtrado Configuración NAT y PAT Acotaciones para las PAT, NAT y reglas de filtrado Configuración VPN Servidor Web Configuración de certificación Configuración de Apache Servidor de correo electrónico Instalación y configuración servidor Zimbra Interfaz Web Zimbra Comandos para administración Actualización del antivirus Sistema de gestión y control de acceso para la red municipal Instalación servidor DHCP Instalación de la aplicación Web para el servidor DHCP Pruebas funcionales y resultados Firewall Cisco ASA Virtual Private Network VPN mediante cliente VPN mediante Web Sistema de gestión y control de acceso para la red municipal Servidor de correo electrónico Conclusiones y comentarios Conclusiones y comentarios Trabajo futuro Anexos Archivo de configuración firewall Cisco PIX (DIDECO) Paquetes libres utilizados por Zimbra Archivo base servidor DHCP Parametros servidor DHCP Script servidor DHCP

8 vi 8.6. Archivo de configuración firewall Cisco ASA Configuración firewall Cisco ASA Actualización del firewall Configuración de interfaces Configuración SSH y ASDM Creación de grupos y enlaces simbólicos Sintaxis de access-list y access-group Configuración reglas de filtrado Configuración NAT y PAT Configuración VPN Configuración previa e instalación de los paquetes necesarios para la implementación del servidor Web Configuración interfaz de red y repositorios Instalación Apache2, PHP5 y OpenSSL Configuración Apache Configuración previa del servidor de correo electrónico Prerrequisitos para instalación de Zimbra Instalación de paquetes servidor Zimbra Comandos para administración de Zimbra Configuración de la interfaz e instalación de lo paquetes asociados al del servidor DHCP Archivo sudores Análisis de costos CD con documentación técnica del firewall Cisco ASA Bibliografía 175

9 ÍNDICE DE FIGURAS página 2.1. Firewall de Aplicación Firewall de filtrado de paquetes Arquitectura con acceso a Internet al exterior del firewall Arquitectura con firewall simple Arquitectura con firewall doble DMZ con router y firewall DMZ con firewall simple DMZ con firewall doble Encriptación DES Encriptación 3DES Fórmula de encriptación 3DES Esquema del funcionamiento del servicio DHCP Esquema red interna Vista frontal Cisco ASA Vista posterior Cisco ASA Esquema DMZ municipal Esquema servidor Web Esquema servidor DNS Esquema servidor DHCP Esquema base de datos Protocolo de comunicación de la aplicación socket Arquitectura global de la aplicación Configuración cliente Cisco VPN Configuración cliente Cisco VPN Menú Superior servidor Zimbra Menú lateral servidor Zimbra Menú principal servidor Zimbra Menú nuevo dominio de correo Menú nueva cuenta de correo vii

10 viii 6.1. Tráfico HTTP desde un funcionario municipal hacia el exterior Tráfico DNS desde la red interna hacia el exterior Tráfico HTTPS desde la red interna hacia el exterior MSN funcionario municipal MSN Dpto. de Infómatica Tráfico FTP desde un funcionario municipal hacia el exterior Tráfico FTP desde el Dpto. de Infórmatica hacia el exterior Tráfico SQL-Server desde un funcionario municipal hacia el exterior Ping desde un funcionario municipal hacia el exterior Tráfico mediante el puerto 2095 (webmail) desde un funcionario municipal hacia el exterior Tráfico http desde Internet hacia el servidor Web Tráfico ssh desde Internet hacia el servidor Web Tráfico a través del puerto 1000 hacia el servidor Web Tráfico smtp desde Internet hacia el servidor Web Tráfico a través del puerto 4200 hacia el servidor Web Tráfico SSH desde Internet hacia el servidor postgre Tráfico a través del puerto 2456 hacia el servidor postgre Tráfico a través del puerto 5432 hacia el servidor postgre Tráfico a través del puerto 1000 hacia el servidor postgre Tráfico a través del puerto 1433 hacia el servidor SQL-Server Tráfico a través del puerto 3389 para escritorio remoto Tráfico a través del puerto 5432 hacia el servidor postgre desde la DMZ Tráfico SMTP desde la DMZ hacia el exterior Ping desde la inside hacia la DMZ Cliente VPN Cisco Propiedades de la conexión mediante el cliente VPN Cisco Propiedades del adpatador de red virtual Cisco Inicio de sesión WebVPN Menú Terminal Server Inicio de sesión de Windows Propiedades dispositivo de red Creación de un servidor DHCP mediante el sistema Creación de un equipo mediante el sistema

11 ix Creación de un funcionario municipal mediante el sistema Creación de una NIC mediante el sistema Reiniciar servidor DHCP mediante el sistema Archivos de respaldos de la configuración del servidor DHCP Log temporales del servidor DHCP Reinicio servidor DHCP Interfaz cliente Interfaz Administrador Interfaz cliente Interfaz cliente Configuración TFTP Configuración Group Policies Configuración de Address Pools Configuración de VPN Configuración de interfaz para VPN Configuración de Internet key Exchange Configuración de NAT para VPN Configuración Group Policy para WebVPN Configuración Connection Profiles para WebVPN Configuración dirección WebVPN Configuración Interfaz WebVPN

12 ÍNDICE DE TABLAS página 2.1. Clases de Direcciones IP Direcciones disponibles para las LAN Tabla de led Tabla vista posterior Cisco ASA Características técnicas de los servidores de correo Características subjetivas del servidores de correo Tabla persona Tabla equipo Tabla nic Tabla usuario Tabla opciones Nombres simbólicos de direcciones IP Propósitos de Certificados X Tabla de direcciones IP Tabla de reglas de filtrado x

13 RESUMEN El mejoramiento en la seguridad perimetral, así como también la implementación de servicios propios, es algo cada vez más común dentro de las empresas que tienen las tecnologías de red como un pilar fundamental en el mejoramiento de su desempeño. El presente proyecto se enfoca en mejorar la seguridad perimetral y generar una zona desmilitarizada para la creación de servicios propios en la Ilustre Municipalidad de Curicó. Todo esto se realizará mediante la implementación de un firewall Cisco ASA 5510, además de la configuración de un servidor Web con certificado SSL autogestionado y de un servidor de correo electrónico, los cuales pretenden reemplazar los servicios actualmente contratados. Igualmente, se configurará un sistema que permita llevar un control de los equipos municipales que acceden a la red, aumentando el nivel de seguridad interno. xi

14 ABSTRACT The improvement in the perimeter security, as well as the implementation the own services, is something more common within companies what have the network technologies as a fundamental pillar in the improvement their performance. The present project focuses in improve the perimeter security and to generate a demilitarized zone for creation the own services in the Municipalidad de Curicó. This will be done by means of the implementation a firewall Cisco ASA 5510, also to configuring a Web server with own certificate SLL and an server, which pretended replace the services actually contract. Also configured a system that permits to take a control of the PC accessing the network, and for this way increase the level internal security of this. xii

15 1. Introducción La seguridad perimetral basa su filosofía en la protección de los sistema informáticos de posibles ataques desde el exterior, cuyo objetivo es establecer una protección de los dispositivos de red frente amenazas diversas como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, ataque de servidores públicos, entre otras. Todas estas amenazas han inducido a una división de la protección perimetral en dos áreas: a nivel de red, donde se encuentran los riesgos que representan ataques como de hackers, de robo o destrucción de información, de denegación de servicios (DoS) y a nivel de contenido, donde se engloban las amenazas relacionadas con los virus, gusanos, troyanos, spyware, pishing y demás clases de malware, igualmente, el spam y el contenido Web no apropiado para las empresas según sus políticas restrictivas. Esta clara división unida al modo de evolución de las amenazas en los últimos años ha propiciado que el mercado de seguridad perimetral se centrase en la creación de dispositivos dedicados a uno u otro fin. La seguridad perimetral a nivel de red, aparte de tener un enfoque de protección de posibles amenazas desde el exterior, tiene un enfoque de protección desde el interior. Básicamente esta protección consiste en un control de acceso de los equipos que ingresan desde la LAN, así como también el registro de las direcciones IP que son asignadas a los usuarios de los equipos. Esto se entiende a que en redes de gran tamaño tener un control de esta es algo fundamental para evitar posibles ataques desde el interior, como podría ser el robo o destrucción de información de un empleado despedido o simplemente el ingresar a un sistema o acceder a información sin tener la autorización para hacerlo. El problema que se abordará en este proyecto esta enfocado en la seguridad perimetral (DMZ) a nivel de red. Para realizarlo la Ilustre Municipalidad de Curicó 1

16 CAPÍTULO 1. INTRODUCCIÓN 2 adquirió un firewall con el cual, además de proteger a la red interna de posibles ataques, permitirá la implementación de una zona desmilitarizada para la instalación de servicios públicos propios, ofreciendo mayores beneficios a sus empleados y la comunidad curicana. En la actualidad, tener servicios públicos es de gran importancia, esto debido a que el uso de Internet se ha masificado de gran manera y toda la gente quiere poder realizar pagos en línea, tener acceso a la información importante de una forma rápida y segura, así como también tener un correo electrónico exclusivo para asuntos laborales, con un dominio registrado por la empresa. Asimismo, poder llevar un control y gestión de los equipos que acceden a los recursos internos de la Municipalidad de Curicó es algo que en la actualidad es de gran importancia, puesto que de esta manera es posible aumentar el nivel de seguridad interno y mantener información para auditorías que permitan sancionar a los que cometan alguna falta, accediendo o dañando los recursos municipales Objetivos generales Mejorar la seguridad perimetral de la LAN, en la I. Municipalidad de Curicó, e implementar una zona segura con la configuración de servicios propios: servidor Web y servidor de correo electrónico. Asimismo, se diseñará e implementará un sistema que permita mejorar la seguridad física y logica de la LAN, llevando un control de los equipos que acceden a la red municipal Objetivos específicos Implementar y configurar un firewall Cisco ASA 5510 para el mejoramiento de la seguridad perimetral de la Ilustre Municipalidad de Curicó. Este mismo permitirá el diseño y la configuración de una zona desmilitarizada segura para la instalación de diferentes servicios públicos Implementar y configurar un servidor Web y de correo electrónico, ofreciendo así un servicio propio y óptimo para los empleados municipales. Independizándose de esta manera de los servicios contratados por la Municipalidad de Curicó, los cuales, muchas veces, presentan fallas en su funcionamiento y que no debieran producirse. Además, el hecho de independizarse provocaría una disminución en los costos anuales asociados al Departamento de Informática

17 CAPÍTULO 1. INTRODUCCIÓN 3 Diseñar e implementar una aplicación para la gestión y control de acceso de los equipos a la red municipal, la cual administrará los diferentes servidores DHCP configurados dentro de la red local. Estos últimos serán los responsables de registrar los equipos municipales, que pueden ser notebook o PC, asignándoles una dirección IP válida dentro de la Municipalidad de Curicó Alcances El desarrollo de este proyecto no contempla una restructuración en la actual red interna, por lo tanto, se utilizará la existente. De esta forma no es necesario volver a configurar todos los equipos municipales. La Municipalidad de Curicó, durante el segundo semestre del año 2008, realizó un contrato con la empresa CRECIC, para la implementación de un Sistema de Gestión Municipal y un Sistema para el DAEM, ambos servicios se implementaron mediante un servidor Web y un servidor de base de datos en Postgre SQL Limitaciones del proyecto El desarrollo del proyecto esta limitado por la falta de equipos con características de servidor para la implementación definitiva de los servicios, por lo tanto, es imposible asegurar un QoS óptimo para éstos. Es por ésta razón que la implementación tiene un carácter de prototipo, en relación a los servidores públicos. Una limitación crítica que tiene esta implementación, es que no existe un dominio para el servidor de correo electrónico, por lo cual no es posible dejarlo funcionando. Debido a esto, solo es posible realizar pruebas locales sobre el servidor Descripción del problema La Ilustre Municipalidad de Curicó se ha caracterizado por ir a la vanguardia con las tecnologías existentes. Es así que posee una infraestructura de red de área local (LAN ), la cual fue implementada a principios de la decada del 90, pero en la actualidad presenta muchas falencias. Una de las principales falencias, es la falta de un perímetro de seguridad capaz de otorgar continuidad operacional de los servicios dados en la LAN, así como también

18 CAPÍTULO 1. INTRODUCCIÓN 4 poder controlar los accesos a Internet por parte de los funcionarios municipales. Al inicio de este proyecto la Municipalidad de Curicó poseía un firewall basado en software, llamado Monowall, el cual prácticamente estaba instalando como gateway, puesto que no poseía ninguna regla de filtrado que pudiera proteger la red interna. Éste sólo estaba instalado con el propósito de hacer público los servidores de base de datos mediante un NAT sin ninguna protección más que la clave para acceder a los servidores. Al ser así, la Municipalidad de Curicó corre un enorme riesgo al exponer sus servicios de esa manera, además de no optimizar el uso de las direcciones IP públicas, al realizar estas NAT. La Municipalidad de Curicó contrato un servidor de correo electrónico, pero este no es del todo estable y su herramienta Webmail no es de las mejores, lo mismo sucede con la herramienta de administración y monitoreo que posee. Además tiene contratado un servicio de hosting para su página Web, el cual muchas veces presenta problemas para acceder debido a que los tiempos de respuesta muchas veces son muy altos o simplemente sobrepasan el tiempo establecido para cargar la página Web. La razón del por qué sucede esto se puede entender debido a que el servidor Web se encuentra fuera de servicio o que el ancho de banda de la empresa es limitado para prestar un servicio de hosting. Es por esto que buscar una alternativa propia traería un gran beneficio a los usuarios municipales y un ahorro al Departamento de Informática, debido al costo que incurre año tras año en este servicio. Por otro lado, no se cuenta con una zona segura para el resguardo de los servidores, por lo tanto, se ven en la necesidad de implementar una DMZ para protegerlos de posibles ataques desde el exterior y, de esta forma, prestar un mejor servicio a sus funcionarios y a la comunidad curicana en general. Dentro de la Municipalidad de Curicó hay una gran cantidad de puntos de red desocupados, lo cual puede ser un potencial riesgo. Encontrar una dirección IP libre es muy sencillo, siendo esto una gran falencia, puesto que personal no autorizado podría tener acceso a la red municipal mediante el uso de algún dispositivo móvil y de esta manera tener acceso a la información almacenada en las bases de datos municipales, pudiendo hacer un mal uso de ella, como por ejemplo modificando o eliminando datos. Dicha falencia se entiende porque no existe un sistema de control para el acceso de los equipos de la LAN, además de no poseer un sistema de registro de quién y a qué equipo fue asignada una dirección IP, para de esta forma llevar a cabo una mejor gestión y administración de la red interna.

19 2. Marco Teórico 2.1. Seguridad El concepto de seguidad es demasiado amplio pero según el diccionario de la Real Academia es, asegurar el buen funcionamiento de un mecanismo, precaviendo que este falle, se frustre o se violente. Llevando al ámbito computacional un sistema seguro consiste en garantizar la confidencialidad, integridad y disponibilidad (CIA: Confidentiality, Integrity, Availability) [25]: Confidencialidad: Sólo pueden acceder a los recursos de un sistema los agentes autorizados. Integridad: Los recursos del sistema sólo pueden ser modificados por los agentes autorizados. Disponibilidad: Los recursos del sistema tienen que estar a disposición de los agentes autorizados. Cabe mencionar que ninguna organización puede considerarse segura en ningún momento, puesto que esto es un proceso y no un estado final. La seguridad absoluta no existe, más bien, lo que se intenta es minimizar el impacto y/o riesgo [21]. La seguridad computacional se pude definir en dos tipos la informática y la de red [20], [27] Seguridad informática Conjunto de herramientas automatizadas diseñadas para proteger los datos, archivos y otro tipo de información almacenada en un computador, además de evitar la in- 5

20 CAPÍTULO 2. MARCO TEÓRICO 6 trusión de personas no autorizadas Seguridad de red Medidas necesarias para proteger los datos durante la transmisión. Se hace necesaria por la introducción de sistemas distribuidos, uso de redes y herramientas de comunicación para la transferencia de datos entre varios usuarios Seguridad perimetral La seguridad perimetral es uno de los métodos de defensa más básicos para la creación de una red segura. Consiste en establecer un perímetro externo mediante un firewall para proteger la red interna de posibles ataques provenientes desde el exterior. La forma de trabajar es mediante la definición de ciertos niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros Amenazas Una amenaza es cualquier circunstancia o evento que potencialmente puede causar un daño a los sistemas o a la información que maneja una organización [26]. Entre las principales amenazas que se buscan mitigar al establecer un perímetro seguro se encuentran: Acceso a la red interna por personal externo y no autorizado con propósitos maliciosos. Borrado o modificación de la información. Puede conllevar pérdidas de integridad o confidencialidad. Denegación de los servicios públicos mediante ataques convencionales. Ataque a servidores específicos con el fin de explotar una vulnerabilidad y causarles daño. Acceso no autorizado a información, servicios o servidores de usuarios internos.

21 CAPÍTULO 2. MARCO TEÓRICO Firewall Un firewall es un mecanismo de control de acceso a las redes, el cual puede ser implementado tanto en software, como en hardware. Su modo de funcionamiento consiste en controlar y monitorear las comunicaciones, permitiéndolas o prohibiéndolas, según las políticas de red que haya definido el administrador (responsable de la red) [23]. Por lo general, un firewall se ubica en el límite que separa la LAN con la red externa, que normalmente es Internet, de esta forma se puede proteger la red de eventuales ataques provenientes de esta última. Otra posible ubicación, que se analizará más adelante, tiene que ver con el uso de los firewall en las zonas desmilitarizada. Los firewall ya sea por software o por hardware presentan un gran número de ventajas, entre las que se destacan: Protección de la red: Permite controlar el acceso hacia y desde LAN. Control de uso de Internet: Permite controlar los servicios a los cuales se puede acceder desde la LAN (http, ftp, ssh, msn, etc) Control y estadísticas: Posibilidad de monitorear el uso de Internet en el ámbito interno y conocer los intentos de conexiones desde exterior y detectar actividades sospechosas. Optimización de acceso: Identifica los elementos de la red interna y optimiza la comunicación de forma que sea más eficaz y eficiente. Tipos de Firewall Existen básicamente tres tipos de firewall, los de la capa de aplicación, los de filtrado de paquetes y los híbridos. Cada uno trabaja de forma totalmente distinta, esto no implica que aseguren el mismo nivel de seguridad en un red. Firewall de capa de aplicación Los firewall de capa de aplicación, también llamados firewall de Proxy, trabajan bajo un conjunto de reglas que definen el permiso del flujo de tráfico desde una red, hacia otra. Si el flujo es permitido dejará fluir el tráfico, en caso contrario, denegará o retirará los paquetes. Estos trabajan a nivel de la capa de aplicación, lo que permite

22 CAPÍTULO 2. MARCO TEÓRICO 8 que los filtrados se pueden adaptar a las características que los protocolos poseen a este nivel. Al implementar un firewall de aplicación las conexiones se inician en un equipo cliente y se dirige hacia el firewall. Este acepta la conexión y analiza el contenido del paquete, además del protocolo que será utilizado, para así consultar en sus reglas si es un tráfico permitido o denegado. Si es permitido se inicia una nueva conexión con el destino y en caso contrario se deniega, este funcionamiento se puede apreciar en la figura 2.1. De forma análoga se revisa si el tráfico entrante es lícito o no. Figura 2.1: Firewall de Aplicación El firewall tiene la ventaja de poder esconder las direcciones de la red interna, puesto que éste es el que inicia la conexión con el destino y no el equipo que la solicitó. Firewall de filtrado de paquetes El funcionamiento básico del firewall de filtrado de paquetes, consiste al igual que el de aplicación, en un conjunto de reglas las cuales deciden si el tráfico entre redes es permitido o bloqueado. Estas reglas se hacen cumplir mediante el uso de filtros de inspección de paquetes, los cuales examinan los paquetes y determinan si el tráfico está o no permitido, a base de la regla establecida por el administrador de la red y el estado del protocolo. Este firewall trabaja a nivel de la capa de red, donde las reglas creadas analizan las direcciones IP de origen/destino y puertos de origen/destinto, además de la cabecera

23 CAPÍTULO 2. MARCO TEÓRICO 9 de estado, para así decidir que acción tomar dependiendo de las características del paquete analizado y la regla asociado a éste. A diferencia del firewall de aplicación las conexiones no terminan en él, sino que viajan directamente hacia el equipo destino. A medida que éste devuelve paquetes, el firewall decide según sea la regla si debe aceptar o rechazar el tráfico de la información, si el paquete es aceptado se redirecciona hacia el equipo cliente, tal como se aprecia en la figura 2.2. Figura 2.2: Firewall de filtrado de paquetes Otra gran diferencia que presenta el firewall de paquetes en relación al de aplicación, es que este no depende de un servidor Proxy, por lo que puede ser utilizado por cualquier protocolo que se ejecute sobre IP. Firewall híbrido Estos aparecieron cuando los fabricantes de los firewalls de aplicación se dieron cuenta que para algunos protocolos no existían servidores Proxy. Para suplir esta falencia se implementaron lo que se conoce como Generic Service Proxy (GSP), lo que permitió emular la forma de trabajo de los firewalls de filtrado de paquetes. Actualmente en el mercado es casi imposible encontrar un servidor de aplicación o del filtrado puro, puesto que la gran mayoría son híbridos.

24 CAPÍTULO 2. MARCO TEÓRICO 10 Políticas sobre reglas de filtrado Existen dos políticas para generar las reglas de filtrado para un firewall. Estas son completamente opuestas en su funcionamiento, pero ambas cumple el objetivo final que es mantener una red protegida. Política restrictiva: Funciona denegando todo el tráfico, con excepción de lo que explícitamente se permite dentro de las reglas de filtrado. Política permisiva: Completamente opuesta a la anterior, puesto que ésta permite todo el tráfico y sólo deniega el que está explícitamente establecido en el filtrado. La política restrictiva es mucho más segura que la permisiva, puesto que es más fácil equivocarse y no bloquear un tráfico potencialmente peligroso, que permitir uno que pueda causar daños a los servidores o equipos de la LAN. Arquitecturas para la configuración del firewall Existen muchas arquitecturas posibles para configurar un firewall [14], [18], entre las cuales se destacan las siguientes: Arquitectura con acceso a Internet al exterior del firewall En la figura 2.3 se muestra la arquitectura que ubica al firewall entre la red interna y el router que proporciona conexión a Internet. De esta forma sólo la LAN se encuentra protegida, mientras que los servidores no.

25 CAPÍTULO 2. MARCO TEÓRICO 11 Figura 2.3: Arquitectura con acceso a Internet al exterior del firewall Arquitectura con firewall simple Esta arquitectura tiene la particularidad de proteger tanto la red interna, como los servicios existentes en la red (correo o Web), puesto que ambos se encuentran tras el firewall generando dos redes distintas. Esta arquitectura se muestra en al figura 2.4. Figura 2.4: Arquitectura con firewall simple

26 CAPÍTULO 2. MARCO TEÓRICO 12 Arquitectura con firewall doble Esta arquitectura es más segura que las anteriores, puesto que sitúa los servidores entre dos firewall y la red interna, detrás de ambos. Aislando los servidores de la LAN, tal como se aprecia en la figura 2.5. Figura 2.5: Arquitectura con firewall doble Zona desmilitarizada (DMZ) Una DMZ o DeMilitarized Zone, es un término que se emplea tradicionalmente para referirse a un tramo de la red, el cual no es del todo seguro [11]. Esta zona se crea con el objetivo de separar los sistemas que tienen acceso desde una red externa (Internet) y los que sólo son accesible desde dentro de la LAN. De esta forma, es posible ofrecer una serie de servicios accesible desde el exterior sin comprometer la seguridad interna de la red. Esta zona es delimitada por lo general, por dispositivos que proporcionan un control de acceso a la red, como podrían ser firewall o router, teniendo en cuenta que deben ser configurados rigurosamente puesto que cualquier descuido puede generar una vulnerabilidad que puede ser explotada. Un esquema básico del funcionamiento de una DMZ consta de un firewall, donde éste es el responsable de proteger la red interna, impidiendo que exista tráfico desde Internet hacia esta red y determinado cuáles son los tráficos permitidos hacia la DMZ según sean los servicios ofrecidos en ésta.

27 CAPÍTULO 2. MARCO TEÓRICO 13 En una DMZ se pueden instalar distintos sistemas accesibles desde Internet, entre los que destacan los servidores de correo electrónico, servidores DNS y los servidores Web. Arquitecturas para DMZ Existen un gran número de arquitecturas posibles para la configuración de una DMZ, cada una con sus ventajas y desventajas, pero llegar a determinar cuál es mejor que otra es prácticamente imposible, puesto que cada una es pensada y diseñada en relación a los dispositivos y servidores existentes en la red, además, de los factores económicos relacionados con la implementación de la misma [15]. A pesar de la gran variedad de arquitecturas existentes las más comunes y efectivas son: DMZ con router y firewall, DMZ con firewall simple y DMZ con firewall duales. DMZ con router y firewall En la figura 2.6 se muestra una arquitectura para una DMZ basada en un router y un firewall. Este último protege la red interna de un posible ataque desde el exterior, mientras que el router esta conectado a la red de la DMZ y con el proveedor de Internet (ISP). Figura 2.6: DMZ con router y firewall

28 CAPÍTULO 2. MARCO TEÓRICO 14 En este caso la DMZ pasa a ser una red externa, puesto que se encuentra antes del firewall. Es aquí donde se deberían instalar los servidores Web y correo. El problema que genera esta arquitectura es la falta de seguridad para los servicios ofrecidos, puesto que, éstos se encuentran sólo protegidos mediante el filtrado que realiza el router en relación al tráfico que va hacia la DMZ. Por lo general este es proporcionado por los ISP y su filtrado es bastante ineficiente. DMZ con firewall simple Basta un sólo firewall correctamente configurado y localizado para construir una DMZ, tal como se muestra en la figura 2.7 en donde se puede apreciar que el firewall está separando la red externa de la DMZ. Figura 2.7: DMZ con firewall simple Este firewall debe estar configurado de tal forma que sólo permita el tráfico hacia los servidores alojados en la DMZ, convirtiéndose en una pieza crucial en este esquema, puesto que si el firewall falla deja totalmente desprotegida a la red interna y a los servicios que se encuentran corriendo en ese momento. Además, debe ser capaz de poder administrar de forma eficiente la gran cantidad de tráfico que circula por él. Una de las ventajas que tiene en relación a la arquitectura anterior es que ésta presta un nivel de seguridad mayor en la DMZ, debido a que no depende del filtrado que se le aplique al router, sino que del que se realiza en el firewall.

29 CAPÍTULO 2. MARCO TEÓRICO 15 DMZ con firewall doble Esta arquitectura a diferencia de las anteriores necesita de dos firewalls para su correcto funcionamiento, donde uno de ellos separa la red externa de la DMZ, mientras que el otro hace lo mismo pero con la red interna, por ende, la zona DMZ se encuentre entre los dos firewalls tal como se aprecia en la figura 2.8. Figura 2.8: DMZ con firewall doble El firewall 2 se encarga del tráfico tanto entrante, como saliente, desde y hacia la DMZ, por otro lado, el firewall 1 es el encargado de darle protección a la red interna. Este esquema da un mayor grado de seguridad tanto a los servicios de la DMZ, como a la LAN Direcciones IP públicas y privadas Una dirección IP es un número binario de 32 bits utilizado para identificar de manera lógica y jerárquica una interfaz de un dispositivo de red [10]. Este número se divide en 4 bytes (octetos) y se calcula el valor decimal de cada uno de ellos. Éstos se separan por un punto generando la siguiente estructura octeto1.octeto2.octeto3.octeto4, donde cada octeto es un número de 0 a 255. Algo importante de señalar es que dentro de una red no pueden existir dos direcciones IP iguales. Las direcciones IP dado su longitud permiten generar direcciones, no todas utilizables, las cuales se dividen en 5 grupos o clases [28], esto se ve reflejado

30 CAPÍTULO 2. MARCO TEÓRICO 16 en el formato de la dirección IP en su forma binaria. Las distintas clases se pueden apreciar en la tabla 2.1. Cabe mencionar, que los valores 0, 127 y 255 no están permitidos para ser asignadas a dispositivos específicos. A su vez, cada dirección IP está dividida en dos partes, una se denomina red y la otra host. Clase Bits iniciales Primer octeto A B C D E Tabla 2.1: Clases de Direcciones IP Clasificación de direcciones IP Clase A Las direcciones de clase A o IP/8 utilizan sólo el primer octeto para indicar la dirección de la red (8 bits), mientras que los tres restantes son para la dirección del host de 24 bits. El primer bit de esta clase siempre es 0, por lo tanto, el menor número del primer octeto en formato binario es o 0 decimal, mientras que el mayor número es , que es equivalente a 127 en formato decimal, ambos números están reservados, por lo tanto, cualquier dirección que comience con un valor entre 1 y 126 en el primer octeto es una dirección clase A. Al estar reservados tanto el número 0 y el 127, la cantidad máxima de redes que pueden existir es 126 y la de host es de ó Clase B Estas direcciones también denominadas IP/16 se diseñaron para redes de tamaño moderado o grande, donde se utilizan los dos primeros octetos (16 bits) para indicar la dirección de red y los dos restantes para especificar las direcciones del host. Los primeros dos bits del primer octeto siempre son 10, donde el menor número que se representa es un , 128 decimal, mientras que el número más alto que

31 CAPÍTULO 2. MARCO TEÓRICO 17 puede representarse es , 191 decimal. Por lo tanto, cualquier dirección que este entre 128 y 191 en el primer octeto será dirección clase B. El número máximo de redes de esta clase son de , puesto que de los 16 bits utilizados para identificar las redes dos están siendo ocupados, lo cual da como resultado , mientras que la cantidad máxima de host que puede existir es de ó Clase C Una dirección de clase C o IP/24 tiene 24 bits para identificar la red (3 octetos), por ende, el host utiliza los 8 bits restantes (1 octeto). Esta clase se diseñó pensando en redes pequeñas y/o domésticas. Una dirección clase C comienza con el binario 110, por lo tanto, el menor número que puede representarse es , 192 decimal. El número más alto que puede representarse es , 223 decimal. Si una dirección contiene un número entre 192 y 223 en el primer octeto, es una dirección de clase C. Dado que los tres primeros bits esta ocupados la cantidad máxima de redes de esta clase que se pueden crear es de , mientras que pueden existen ó 254 host. Clase D Esta clase es utilizada para multidifusión, donde existe una sola dirección para identificar el grupo host, donde los primeros cuatro bits deben ser Por lo tanto, el primer rango de octeto para las direcciones clase D es a , o 224 a 239. Clase E Estas direcciones fueron reservadas por la IETF (Internet Engineering Task Force) con el fin de seguir investigando sobre este tema, por lo tanto, no se han emitido direcciones clase E para ser utilizadas en Internet. Lo único que se sabe es que los primeros cuatro bits siempre son 1. Así pues, el rango del primer octeto para las direcciones clase E es a , ó 240 a 255

32 CAPÍTULO 2. MARCO TEÓRICO 18 Máscara de Subred Una máscara de subred, al igual que una dirección IP, esta compuesta por 32 bits, con la diferencia de que ésta tiene un formato específico, el cual utiliza grupos de bits consecutivos de todos con valor 1 o todos 0 [29]. Al igual que la dirección IP esta se escribe en formato decimal divido en 4 octetos. La principal función de las máscaras de subred es identificar qué parte de la dirección IP define la red y qué parte al host. Donde los bits con valor 1 especifican los que son asignados al identificador de red, mientras que los con valor 0 definen los del host. Por lo tanto, las redes de clase A tiene como máscara la dirección , la clase B la y la clase C la Las máscaras de subred son ocupadas especialmente para realizar subdivisiones en la red, con el objetivo de optimizar el uso de una dirección IP al momento de crear una red de tipo A, B o C. Direcciones disponibles para las LAN Las redes de área local deben utilizar un espacio de direcciones IP especificadas en la RFC 1918 [1]. Un resumen de éstas se puede apreciar en la tabla 2.2. Clase Rango de direcciones IP Cantidad de direcciones IP Clase A Clase B Clase C Tabla 2.2: Direcciones disponibles para las LAN NAT: Network Address Translation NAT es un mecanismo que permite intercambiar paquetes entre dos redes de dominios distintos, realizando un enrutamiento transparente para los equipos que solicitaron comunicaciones entre las redes [24]. Su principal funcionalidad se ve reflejada en traducir las direcciones IP de una red privada interna en direcciones que permitan el transporte de información a través de redes públicas, como Internet. El tráfico entrante también se transforma, para su procesamiento dentro de la red interna. Esto es fundamental puesto que no existen suficientes direcciones IP para

33 CAPÍTULO 2. MARCO TEÓRICO 19 satifacer la demanda de accesso a Internet, es por esto que es necesario realizar un proceso de NAT para que todos los equipos de un red interna tengan acceso a Internet a través de una sola dirección IP pública. Entre las principales ventajas para realizar NAT en una red se destacan las siguientes: Elimina la sobrecarga en el redireccionamiento: NAT permite eliminar la necesidad de redireccionar todos los equipos de una red interna que soliciten acceso a un red externa, ahorrando de esta forma tiempo y dinero. Conservar direcciones a través de la múltiplexación de nivel puerto de aplicación: Mediante NAT los equipos de una red interna pueden compartir una única dirección IP para todas las comunicaciones con una red externa, lo cual permite conservar las direcciones IP. Proteger la seguridad de la red: Las redes internas al realizar una NAT para acceder a una red externa no publican su direcciones o topologías internas, lo cual le da un grado de seguridad al momento de salir a Internet. Funcionamiento El protocolo TCP/IP tiene la capacidad de generar varias conexiones de forma simultánea con un dispositivo remoto. Para esto, la cabecera IP posee campos donde se almacena la dirección de origen y destino con sus puertos respectivos, esta combinación recibe el nombre de socket y define una conexión única con el dispositivo remoto. Cuando se realiza un proceso de NAT se cambia la dirección de origen de cada paquete de salida y dependiendo del método se puede cambiar el socket completo. Estos cambios son almacenados en una tabla, para recordar que dirección y que puerto le corresponden a cada dispositivo cliente y así saber dónde deben regresar los paquetes de respuesta. Si un paquete que intenta ingresar a la red interna y éste no existe en la tabla de traducciones, entonces es descartado. Debido a este comportamiento, se puede identificar en la tabla un dispositivo determinado mediante el puerto y la dirección IP. Existen muchas maneras para realizar una NAT entre las que destacan [24]: NAT Estática: Asigna a una dirección IP privada una dirección pública en una relación uno es a uno, es decir, las direcciones son siempre las mismas.

34 CAPÍTULO 2. MARCO TEÓRICO 20 NAT Dinámica: Asigna a una dirección IP privada un grupo de direcciones públicas, en una relación uno es a muchos, para acceder a una red externa. Sobrecarga: Es una forma de NAT dinámica que asigna varias direcciones IP privadas a una única dirección pública, en un relación muchos es a una, utilizando diferentes puertos. PAT: Port Address translation Es una de las principales características de la NAT, donde varias direcciones internas pueden ser traducidas a una o varias direcciones externas. Es decir traduce las peticiones solicitadas en una red pública a una dirección y puerto de una red privada, permitiendo que mediante una sola dirección pública se pueda acceder a varios equipos de la red interna. Pueden existir direcciones distintas para un mismo equipo, esto es debido a que esta es la cantidad máxima de puertos que existen en la actualidad Virtual Private Network o VPN Es una tecnología de red que permite expandir una red local por medio de una red pública, a la cual puede acceder un sin número de usuarios desde sus hogares o desde algún punto habilitado para esto. La red pública más común es Internet [30]. Para este propósito se utiliza una técnica llamada tunneling, donde los paquetes de datos son enrutados por la red pública, en un túnel privado que simula una conexión punto a punto con la red local o interna. Tipos de VPN Existen dos básicamente tipos de VPN [17] : VPN de acceso remoto Es el modelo más usado en la actualidad para realizar VPN. Su arquitectura es bastante sencilla, consiste en que los usuarios que tienen acceso a una red pública o externa, pueden acceder a la LAN mediante una vía segura, sin temor a que ésta pueda quedar expuesta. Esto debido a que una vez establecida la conexión, el usuario es autentificado con un nivel de acceso muy similar al que tendría si estuviera

35 CAPÍTULO 2. MARCO TEÓRICO 21 físicamente en la red interna. Por lo general, sólo es necesario tener un cliente y un servidor VPN para realizar esta conexión, donde al cliente VPN se le asigna una dirección IP privada. VPN punto a punto Esta arquitectura es más complicada que la anterior, consiste en conectar dos redes internas o locales, mediante una red externa o pública. Para esto, es necesario configurar dos gateways que permitan generar una conexión de este tipo, de esta forma se asegura un canal seguro para que ambas redes puedan compartir información. Cada red interna ocupa su propio ISP para generar la VPN por esta razón, no es necesario invertir en un enlace de fibra óptica o inalámbrica para comunicar ambas redes. Algo que se debe tener presente en este tipo de VPN, es que al momento de establecer la conexión se divide el rango de las direcciones IP privadas en ambas LAN, de esta forma se asegura que estas direcciones no se repitan. Propiedades del canal seguro o vía segura Para asegurar que el canal de conexión sea seguro, es necesario garantizar lo siguiente: Autentificación, Autorización y Trazabilidad Básicamente consiste en asegurar que el usuario que está intentado acceder a la red sea legítimo y que tenga permisos para iniciar una conexión. Para asegurar esto se utiliza el protocolo denominado AAA, cuyas siglas provienen de su nombre en inglés Authentication, Authorization and Accounting, que en español significa Autentificación, Autorización y Trazabilidad. Autentificación: Es el proceso de identificación de un individuo, normalmente mediante un nombre de usuario y contraseña. Se basa en la idea de que cada individuo tendrá una información única que le identifique o que le distinga de otros. Autorización: Es el proceso de aceptar o denegar el acceso de un usuario a los recursos de la red una vez que el usuario ha sido autentificado con éxito. La cantidad de datos y servicios a los que el usuario podrá acceder dependen del nivel