UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO TESIS DE GRADO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES AUTOR: VICTOR ALLAM PARRAGA NUÑEZ TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c GUAYAQUIL ECUADOR DICIEMBRE - 2014
REPOSITORIO NACIONAL EN CIENCIAS Y TECNOLOGÍA FICHA DE REGISTRO DE TESIS TÍTULO: IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO REVISORES: INSTITUCIÓN: Universidad de Guayaquil FACULTAD: Ciencias Matemáticas y Físicas CARRERA: Ingeniería en Sistemas Computacionales FECHA DE PUBLICACIÓN: Diciembre de 2014 N DE PÁGS.: 157 ÁREA TEMÁTICA: Seguridad en redes perimetrales e internas. PALABRAS CLAVES: UTM, firewall, VPN, redes de computadoras, Internet, seguridad, administración centralizada, CISC, servidores. RESUMEN: La Carrera de Ingeniería en Sistemas Computacionales de la Universidad de Guayaquil no cuenta con una herramienta especializada para gestionar de manera centralizada y eficaz las amenazas informáticas que puedan comprometer la seguridad de los servicios en línea e internos. Este proyecto de tesis propone la implementación de un gestor unificado de amenazas (UTM) para mitigar las falencias de seguridad de la red tanto interna como perimetral. N DE REGISTRO(en base de datos): N DE CLASIFICACIÓN: Nº DIRECCIÓN URL (tesis en la web ADJUNTO PDF CONTACTO CON AUTOR: VICTOR ALLAM PARRAGA NÚÑEZ CONTACTO DE LA INSTITUCIÓN x SI Teléfono: 0992124619 Nombre: Teléfono: NO E-mail: victor.parraga@outlook.com i
APROBACIÓN DEL TUTOR En mi calidad de Tutor de Tesis de Grado, IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO, elaborado por el Sr. VICTOR ALLAM PARRAGA NUÑEZ, egresado de la Carrera de Ingeniería en Sistemas Computacionales, Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de haber orientado, estudiado y revisado, la apruebo en todas sus partes. Atentamente. ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c TUTOR iii
iv
TRIBUNAL DE GRADO ING.EDUARDO SANTOS B. MS.c DECANO DE LA FACULTAD CIENCIAS MATEMÁTICAS Y FÍSICAS ING. INELDA MARTILLO Mgs. DIRECTORA CISC, CIN ING. ISRAEL ORTEGA O. MS.c TRIBUNAL ING. LORENZO CEVALLOS TORRES TRIBUNAL ING. ALFONSO GUIJARRO R. MS.c AB. JUAN CHÁVEZ A. TUTOR SECRETARIO v
DECLARACIÓN EXPRESA La responsabilidad del contenido de esta Tesis de Grado, me corresponden exclusivamente; y el patrimonio intelectual de la misma a la UNIVERSIDAD DE GUAYAQUIL VICTOR ALLAM PARRAGA NÚÑEZ vi
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO Tesis de Grado que se presenta como requisito para optar por el título de INGENIERO en SISTEMAS COMPUTACIONALES Autor: Victor Allam Párraga Núñez C.I. 0927011007 TUTOR: ING. ALFONSO GUIJARRO R. MS.c Guayaquil, Diciembre de 2014 vii
CERTIFICADO DE ACEPTACIÓN DEL TUTOR En mi calidad de Tutor de Tesis de Grado, nombrado por el Consejo Directivo de la Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil. CERTIFICO: Que he analizado la Tesis de Grado presentada por el egresado Víctor Allam Párraga Núñez, como requisito previo para optar por el título de Ingeniero cuyo problema es: IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO, considero aprobado el trabajo en su totalidad. Presentado por: Víctor Allam Párraga Núñez CI: 0927011007 TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c Guayaquil, Diciembre de 2014 viii
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES Autorización para Publicación de Tesis en Formato Digital 1. Identificación de la Tesis Nombre Alumno: Víctor Allam Párraga Núñez Dirección: Urbanización La Joya Ámbar Mz. 7 V. 11 Teléfono: 046029412 E-mail: victor.parraga@outlook.com Facultad: Ciencias Matemáticas y físicas Carrera: Ingeniería en sistemas Computacionales Título al que opta: Ingeniero en Sistemas Computacionales Profesor guía: Ing. Alfonso Guijarro Rodríguez MS.c Título de la Tesis: IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO Tema Tesis: IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO 2. Autorización de Publicación de Versión Electrónica de la Tesis A través de este medio autorizo a la Biblioteca de la Universidad de Guayaquil y a la Facultad de Ciencias Matemáticas y Físicas a publicar la versión electrónica de esta tesis. Publicación electrónica: Inmediata X Después de 1 año Firma Alumno: 3. Forma de envío: El texto de la Tesis debe ser enviado en formato Word, como archivo.doc.o.rtf y.puf para PC. Las imágenes que la acompañen pueden ser:.gif,.jpg o.tiff. DVDROM CDROM X ix
ÍNDICE GENERAL APROBACIÓN DEL TUTOR... iii CERTIFICADO DE ACEPTACIÓN DEL TUTOR... viii ÍNDICE GENERAL... x ABREVIATURAS... xii ÍNDICE DE CUADROS... xiv INDICE DE GRÁFICOS... xv RESUMEN... xvii ABSTRACT... xviii INTRODUCCIÓN... 1 CAPÍTULO I: EL PROBLEMA... 5 PLANTEAMIENTO DEL PROBLEMA... 5 UBICACIÓN DEL PROBLEMA EN UN CONTEXTO... 5 SITUACIÓN CONFLICTO NUDOS CRÍTICOS... 7 CAUSAS Y CONSECUENCIAS DEL PROBLEMA... 8 DELIMITACIÓN DEL PROBLEMA... 10 FORMULACIÓN DEL PROBLEMA... 10 EVALUACIÓN DEL PROBLEMA... 12 OBJETIVOS... 15 ALCANCES... 16 JUSTIFICACIÓN E lmportancia... 17 CAPÍTULO II: MARCO TEÓRICO... 19 ANTECEDENTES DEL ESTUDIO... 19 FUNDAMENTACIÓN TEÓRICA... 24 QUÉ ES UN GESTOR UNIFICADO DE AMENAZAS... 24 ORIGEN Y DESARROLLO ACTUAL DE LOS GESTORES UNIFICADOS DE AMENAZAS... 25 ORÍGEN Y EVOLUCIÓN DE LAS REDES DE COMPUTADORAS... 26 RAZONES COMUNES POR LAS CUALES ACCEDER A INTERNET... 29 FUNDAMENTOS DE REDES DE COMPUTADORAS... 33 EL MODELO DE REFERENCIA OSI... 34 SEGURIDAD INFORMÁTICA DE REDES DE COMPUTADORAS... 43 INTRODUCCIÓN DE LOS FIREWALLS COMO DISPOSITIVOS DE SEGURIDAD EN REDES... 46 x
EVOLUCIÓN DE LOS FIREWALLS HACIA LOS GESTORES UNIFICADOS DE AMENAZAS... 51 FUNCIONES Y SERVICIOS QUE COMPONEN UN GESTOR UNIFICADO DE AMENAZAS... 53 ANÁLISIS COMPARATIVO DE DISTINTAS SOLUCIONES UTM DEL MERCADO... 54 DESCRIPCIÓN DE CARACTERÍSTICAS DE SOPHOS UTM... 56 MÓDULOS QUE CONTIENE SOPHOS UTM... 57 IMPLEMENTACIÓN DEL UTM EN LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES... 73 FUNDAMENTACION LEGAL... 77 DECRETO PRESIDENCIAL #1014... 77 HIPÓTESIS PREGUNTAS A CONTESTARSE... 81 VARIABLES DE LA INVESTIGACIÓN... 82 DEFINICIONES CONCEPTUALES... 82 CAPÍTULO III: METODOLOGÍA... 84 MODALIDAD DE LA INVESTIGACIÓN... 84 TIPO DE INVESTIGACIÓN... 85 POBLACIÓN Y MUESTRA... 88 OPERACIONALIZACIÓN DE VARIABLES... 90 INSTRUMENTOS DE RECOLECCIÓN DE DATOS... 92 PROCEDIMIENTO DE LA INVESTIGACIÓN... 94 PROCESAMIENTO Y ANÁLISIS... 96 DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES... 100 RESULTADOS Y ANALISIS DE LA ENCUESTA REALIZADA... 105 CRITERIO PARA LA ELABORACIÓN DE LA PROPUESTA... 122 CRITERIOS DE VALIDACION DE LA PROPUESTA... 126 CAPÍTULO IV: MARCO ADMINISTRATIVO... 127 CRONOGRAMA... 127 PRESUPUESTO... 130 CAPÍTULO V: CONCLUSI+ON Y RECOMENDACIONES... 131 CONCLUSIONES... 131 RECOMENDACIONES... 133 BIBLIOGRAFÍA... 135 WEBGRAFÍA... 137 xi
ANEXOS... 138 ABREVIATURAS DoS DDoS SQL Pyme UTM CISC IP CERT HTTPS XSS IDC TI IPS IDS VPN WAF MRTG SNMP SARG NAT SSL IPSec L2TP PPTP TCP UDP URL ARPA UCLA ARPANET WWW OSI ISO MAC Denial of Service Distributed Denial of Service Structured Query Language Pequeña y mediana empresa Unified Threat Management Carrera de Ingeniería en Sistemas Computacionales Internet Protocol Computer Emergency Response Team Hypertext Transfer Protocol Secure Cross-site scripting International Data Corporation Tecnologías de la Información Intrusion Prevention System Intrusion Detection System Virtual Private Network Web Application Firewall Multi Router Traffic Grapher Simple Network Management Protocol Squid Analysis Report Generator Network Address Translator Secure Sockets Layer Internet Protocol Security Layer 2 Tunneling Protocol Point to Point Tunneling Protocol Transmission Control Protocol User Datagram Protocol Uniform Resource Locator Advanced Research Projetcs Agency University of California Los Angeles Advanced Research Projects Agency Network World Wide Web Open System Interconnection International Organization for Standardization Media Access Control xii
SMTP POP3 HTTP FTP LAN OSPF BGP DNS DHCP NTP BIND OWASP Simple Mail Transfer Protocol Post Office ProtocoL Hypertext Transfer Protocol File Transfer Protocol Local Area Network Open Shortest Path First Border Gateway Protocol Domain Name System Dynamic Host Configuration Protocol Network Time Protocol Berkeley Internet Name Domain Open Web Application Security Project xiii
ÍNDICE DE CUADROS CUADRO N 1 CAUSAS Y CONSECUENCIAS... 9 CUADRO N 2: DESCRIPCIÓN CAPAS MODELO OSI... 37 CUADRO N 3: TIPOS DE ADVERSARIOS Y SUS OBJETIVOS AL IRRUMPIR LA SEGURIDAD EN REDES... 44 CUADRO N 4: COMPARATIVO DE SOLUCIONES UTM EN EL MERCADO... 54 CUADRO N 5: CARACTERÍSTICAS DE HARDWARE SERVIDOR UTM... 74 CUADRO N 6: DIFERENCIAS ENTRE PROYECTO DE INVESTIGACIÓN Y PROYECTO FACTIBLE... 85 CUADRO N 7: COMUNIDAD ECUCATIVA... 88 CUADRO N 8: POBLACIÓN... 89 CUADRO N 9: TAMAÑO DE LA MUESTRA... 90 CUADRO N 10: MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES... 91 CUADRO N 11: CODIFICACIÓN VARIABLE 1... 100 CUADRO N 12: CODIFICACIÓN VARIABLE 2... 100 CUADRO N 13: CODIFICACIÓN DE LA VARIABLE 3... 101 CUADRO N 14: CODIFICACIÓN DE LA VARIABLE 4... 101 CUADRO N 15: CODIFICACIÓN DE LA VARIABLE 5... 102 CUADRO N 16: CODIFICACIÓN DE LA VARIABLE 6... 102 CUADRO N 17: CODIFICACIÓN DE LA VARIABLE 7... 103 CUADRO N 18: CODIFICACIÓN DE LA VARIABLE 8... 103 CUADRO N 19: CODIFICACIÓN DE LA VARIABLE 9... 104 CUADRO N 20: CODIFICACIÓN DE LA VARIABLE 10... 104 CUADRO N 21: VALORES ESTADÍSTICOS PREGUNTA 1... 105 CUADRO N 22: VALORES ESTADÍSTICOS PREGUNTA 2... 106 CUADRO N 23: VALORES ESTADÍSTICA DESCRIPTIVA PREGUNTA 2... 107 CUADRO N 24: VALORES ESTADÍSTICOS PREGUNTA 3... 108 CUADRO N 25: VALORES ESTADÍSTICOS PREGUNTA 4... 109 CUADRO N 26: VALORES ESTADÍSTICOS PREGUNTA 5... 110 CUADRO N 27: VALORES ESTADÍSTICOS PREGUNTA 6... 112 CUADRO N 28: VALORES ESTADÍSTICOS PREGUNTA 7... 114 CUADRO N 29: VALORES ESTADÍSTICOS PREGUNTA 8... 115 CUADRO N 30: VALORES ESTADÍSTICOS PREGUNTA 9... 116 CUADRO N 31: VALORES ESTADÍSTICOS PREGUNTA 10... 118 CUADRO N 32: COMPARATIVO SEXO VS MEJORAR SEGURIDAD... 119 CUADRO N 33: COMPARATIVO SEXO VS DISPONIBILIDAD DE SERVICIOS 120 CUADRO N 34: COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A INTERNET... 121 CUADRO N 35: DETALLE DE INGRESOS PARA EL PROYECTO... 130 CUADRO N 36: DETALLE DE EGRESOS PARA EL PROYECTO... 130 xiv
INDICE DE GRÁFICOS GRÁFICO N 1 DIAGRAMA RESUMEN DE SITUACION ACTUAL DE LA RED.. 20 GRÁFICO N 2: DIAGRAMA RESUMEN DE SITUACION FINAL DE LA RED... 24 GRÁFICO N 3: CRECIMIENTO DE ARPANET HACIA SEPTIEMBRE DE 1972... 28 GRÁFICO N 4: MODELO DE REFERENCIA OSI... 36 GRÁFICO N 5: TOPOLOGÍAS O ARQUITECTURAS DE RED... 38 GRÁFICO N 6: FIREWALL SEPARANDO LA RED INTERNA DE LA RED EXTERNA... 47 GRÁFICO N 7: ACCESOS A LA RED CONTROLADOS POR UN FIREWALL... 49 GRÁFICO N 8: REDES SEPARADAS POR UN ROUTER... 51 GRÁFICO N 9: REPRESENTACION DE UN GESTOR UNIFICADO DE AMENAZAS EN UNA RED... 52 GRÁFICO N 10: CUADRANTE MÁGICO DE GARTNER PARA SOLUCIONES UTM 2014... 55 GRÁFICO N 11: OPCIONES DEL MÓDULO MANAGEMENT... 58 GRÁFICO N 12: OPCIONES DEL MÓDULO DEFINITIONS & USERS... 59 GRÁFICO N 13: OPCIONES DEL MÓDULO INTERFACES & ROUTING... 59 GRÁFICO N 14: OPCIONES DEL MÓDULO NETWORK SERVICES... 60 GRÁFICO N 15: OPCIONES DEL MÓDULO NETWORK PROTECTION... 62 GRÁFICO N 16: OPCIONES DEL MÓDULO WEB PROTECTION... 64 GRÁFICO N 17: OPCIONES DEL MÓDULO EMAIL PROTECTION... 65 GRÁFICO N 18: OPCIONES DEL MÓDULO WEBSERVER PROTECTION... 66 GRÁFICO N 19: OWASP TOP 10... 67 GRÁFICO N 20: OWASP TOP 10 DETALLADO... 68 GRÁFICO N 21: OPCIONES DEL MÓDULO SITE-TO-SITE VPN... 69 GRÁFICO N 22: DIAGRAMA DE CONEXIÓN VPN SITE-TO-SITE... 70 GRÁFICO N 23: OPCIONES DEL MÓDULO REMOTE ACCESS... 71 GRÁFICO N 24: DIAGRAMA DE CONEXIÓN VPN SSL CLIENTE... 71 GRÁFICO N 25: OPCIONES DEL MÓDULO LOGGING & REPORTING... 72 GRÁFICO N 26: REPORTE DE REGLAS DE ATAQUES DETECTADAS POR EL IPS... 73 GRÁFICO N 27: DIAGRAMA DE SITUACION INICIAL DE LA RED CISC... 75 GRÁFICO N 28: DIAGRAMA DE SITUACION FINAL DE LA RED CISC... 76 GRÁFICO N 29: VALORES ESTADÍSTICOS PREGUNTA 1... 105 GRÁFICO N 30: VALORES ESTADÍSTICOS DETALLADOS PREGUNTA 2... 106 GRÁFICO N 31: VALORES ESTADÍSTICOS PREGUNTA 3... 108 GRÁFICO N 32: VALORES ESTADÍSTICOS PREGUNTA 4... 109 GRÁFICO N 33: VALORES ESTADÍSTICOS PREGUNTA 5... 110 GRÁFICO N 34: VALORES ESTADÍSTICOS PREGUNTA 6... 113 GRÁFICO N 35: VALORES ESTADÍSTICOS PREGUNTA 7... 114 GRÁFICO N 36: VALORES ESTADÍSTICOS PREGUNTA 8... 115 GRÁFICO N 37: VALORES ESTADÍSTICOS PREGUNTA 9... 116 GRÁFICO N 38: VALORES ESTADÍSTICOS PREGUNTA 10... 118 xv
GRAFICO N 39: GRÁFICO COMPARATIVO SEXO VS MEJORAR SEGURIDAD... 119 GRAFICO N 40: GRÁFICOMPARATIVO SEXO VS DISPONIBILIDAD DE SERVICIOS... 120 GRAFICO N 41: GRAFICO COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A INTERNET... 121 GRÁFICO N 42: CRONOGRAMA DE ACTIVIDADES DEL PROYECTO... 128 GRÁFICO N 43: DIAGRAMA DE GANTT... 129 xvi
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO Autor: Víctor Allam Párraga Núñez TUTOR: Ing. Alfonso Guijarro R. MS.c RESUMEN La seguridad de la información es un aspecto relevante hoy en día en el área de las redes y comunicaciones, por lo cual es importante contar con soluciones integrales que permitan gestionar de manera eficiente las amenazas informáticas que tratan de comprometer la disponibilidad de los servicios o lucrarse con información confidencial. Este proyecto de tesis tiene como objetivo primordial implementar una solución tecnológica que permita la gestión unificada de amenazas de seguridad basado en la modalidad de investigación de proyecto factible ya que el mismo quedará funcionando al cien por ciento operativo previo una reingeniería de las estructura de red en la carrera. Los gestores unificados de amenazas o UTM van más allá del concepto de los firewalls ya que en sí engloba varios servicios de red en una sola plataforma, tales como VPN, DNS, IPS, WAF, etc. Para este estudio se utilizó la modalidad de investigación cualitativa y cuantitativa, realizando encuestas a los estudiantes docentes y personal administrativo, acogiendo también la opinión emitida por un experto en el área de seguridad y redes al cual se entrevistó. Con esta propuesta se busca disminuir el impacto que puedan causar las amenazas de seguridad, facilidad de administración y configuración, y reportes oportunos que permitan la toma acertadas de decisiones al administrador de la red, con lo cual resulta beneficiada toda la comunidad educativa xvii
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO Autor: Víctor Allam Párraga Núñez TUTOR: Ing. Alfonso Guijarro R. MS.c ABSTRACT The information security is an important factor nowadays in the area of networking and communications, so it is important to have comprehensive solutions to manage cyber threats efficiently that attempt to compromise the availability of services or profiting with confidential information. This thesis project aims primarily to implement a technology solution that enables unified management of security threats based on the type of research project feasible since it will be running at one hundred percent operating prior reengineer the network structure the race. Managers UTM Unified Threat or go beyond the concept of firewalls as itself encompasses various network services on a single platform, such as VPN, DNS, IPS, WAF, etc. Mode of qualitative and quantitative research was used, making teachers students and staff surveys, also accepting the opinion given by an expert in the field of security and networks which were interviewed for this study. This proposal want to reduce the impact that could cause security threats, ease of management and configuration, and timely reports that enable sound decision making by the network administrator, which is benefiting the entire educational community. xviii
INTRODUCCIÓN Las redes de computadoras en la actualidad son cada vez más complejas, ya que no solo constituye la comunicación con equipos dentro de nuestro entorno corporativo sino que es vital estar conectado con otras redes externas a través de Internet, y el acelerado ritmo de las organizaciones a nivel mundial nos exigen estar constantemente interconectados mediante el uso de plataformas montadas sobre Internet, lo cual nos expone a las diversas amenazas que existen dentro del amplio universo de la Red de Redes. Conforme avanza la tecnología, crecen, se sofistican y se hacen más complejas las amenazas provenientes de redes externas desde cualquier lugar del planeta, como es el caso de la evolución que tuvieron los denominados ataques de Denegación de Servicios DoS- convirtiéndose más tarde en ataques Distribuidos de Denegación de Servicios DdoS, burlando así los métodos tradicionales de protección de las redes existentes hasta hace poco. La finalidad de estos ataques dejar fuera de línea los sistemas y servicios que son ejecutados sobre los servidores atacados obstruyendo las transacciones tanto para los usuarios internos y externos lo cual genera retraso en la operatividad de las actividades planificadas y esto a su vez causa pérdidas de carácter económico como también deja una mala imagen frente a los clientes. 1
Otro tipo de ataque típico es la inyección de código SQL (en inglés SQL injection) mediante el cual se puede irrumpir en sistemas vulnerables y con esto tomar control de equipos críticos dentro de la organización y a su vez sustraer información sensible la cual puede ser utilizada para generar grandes sumas de dinero y con ello grandes pérdidas para la compañía que ha sido comprometida. Es por eso que el administrador de red y seguridad de la información debe estar preparado frente a estos ataques externos, sin dejar de lado la identificación de ataques de red provenientes de equipos ubicados en la infraestructura interna; utilizando una tecnología que le permita facilidad de gestión, tiempos cortos de respuesta frente a incidentes emergentes presentados y toma de decisiones basadas en reportes históricos que ayuden a la mejora constante, evitando así que la continuidad del negocio se vea afectada. Por este motivo hoy en día para mitigar todo tipo de amenazas de seguridad de red, la tendencia en la mayoría de las organizaciones Pymes (Pequeña y mediana empresa) y grandes de todos los sectores, optan por la implementación de gestores unificados de amenazas ya que estos les permiten facilidad de administración centralizada y alto rendimiento contra las crecientes amenazas de la seguridad en red. 2
La estructura general con la que se desarrolló este proyecto de tesis se ha dividido en 5 capítulos que se detallan en resumen a continuación: El Capítulo 1 denominado EL PROBLEMA, encierra aspectos relacionados a las causas y consecuencias que generan el desarrollo de este proyecto de tesis, delimitación y formulación del problema, y se resaltan objetivos, justificación e importancia y alcances de la solución propuesta. El Capítulo 2 denominado MARCO TEÓRICO, contiene las definiciones conceptuales inherentes y relacionadas a los gestores unificados de amenazas, origen y evolución de los mismos, análisis de diversas soluciones UTM en el mercado, fundamentación legal. El Capítulo 3 denominado METODOLOGÍA, incluye la población y muestra a estudiarse, resultados de las encuestas realizadas, metodología de la investigación, tipo de proyecto, tabulación y análisis de las preguntas de las encuestas, operacionalización de variables. El Capítulo 4 denominado MARCO ADMINISTRATIVO detalla el cronograma de actividades del proyecto presentado también en formato de 3
Diagrama de Gantt y el presupuesto que contiene los ingresos y gastos correspondientes a la realización del proyecto. En el Capítulo 5 denominado CONLUSIONES Y RECOMENDACIONES, se definen los resultados de la culminación del proyecto y se emiten recomendaciones en base a observaciones encontradas durante la realización del proyecto de tesis. 4
CAPÍTULO I EL PROBLEMA PLANTEAMIENTO DEL PROBLEMA UBICACIÓN DEL PROBLEMA EN UN CONTEXTO La Carrera de Ingeniería en Sistemas Computacionales (CISC) de la Universidad de Guayaquil, dispone de una infraestructura de red y servidores propia compuesta por estaciones de trabajo, switches, routers, puntos de acceso inalámbrico, servidor web, servidor de base de datos del sistema académico, enlace de Internet, siendo esta plataforma con la cual se brinda todos los servicios tecnológicos que la comunidad educativa demanda: estudiantes, profesores y personal administrativo. Para esta estructura de red no existe un software/appliance de gestión de seguridad completo que permita configurar y administrar las reglas de acceso a la red interna e Internet, se tiene sólo un servidor proxy con sistema operativo Linux haciendo las veces de firewall donde existen algunas reglas de acceso y definiciones, el cual es complejo a nivel de administración y configuración ya que 5
todos los cambios se los debe hacer por línea de comando bajo condiciones de probables errores en la creación manual de reglas. No existe una bitácora ni documentación que determine las necesidades reales de acceso entre redes y navegación hacia Internet, ya que no existen registros desde los cuales se pueda extraer de manera oportuna y eficaz esta información. Si bien es cierto el gestor haría este trabajo, se necesita la información base sobre la cual partir para definir reglas de acceso a los servidores, limitaciones apropiadas y perfiles de navegación ajustadas a la necesidad y demanda del personal, donde el propósito sea el desarrollo de sus actividades administrativas y de gestión con el mayor aprovechamiento de las tecnologías. Así mismo no existe seguridad sobre los servicios web que se consumen desde Internet hacia los servidores en la red interna, siendo un claros ejemplos el registro de matriculación, la consulta de notas o el registro que realizan los docentes con respecto a las notas de los estudiantes, siendo blanco fácil de personas malintencionadas que buscaran alterar o sustraer esta información para fines ilícitos, dañinos y de carácter lucrativo. 6
SITUACIÓN CONFLICTO NUDOS CRÍTICOS El problema de seguridad que enfrenta la red de la CISC no implica solamente ataques de intrusos desde redes externas, sino que también se puede ver comprometida por usuarios internos como personal administrativo, docentes o estudiantes que de manera intencional o no podrían irrumpir con facilidad en los sistemas que maneja la carrera. Según artículos e informes de varios medios de comunicación, las organizaciones de todo tipo de sectores en el mundo pierden grandes cantidades de dinero por el robo o alteración de información, lo cual nos hace ver con claridad que la CISC no es inmune a este tipo de situaciones. Con respecto a los nudos críticos que se presentan en torno a la falta de seguridad aplicada a la red, se puede definir lo siguiente: - Falta de control de accesos desde usuarios de la red interna hacia los servidores. - Falta de control de accesos desde usuarios externos hacia los servidores. - La navegación web de los usuarios no cuenta con filtrado anti-malware. - Servidores sin protección contra ataques de red sofisticados. - Transaccionamiento de la información por canales inseguros. 7
Con respecto a los nudos críticos que se presentan en torno a la administración de la red, se puede definir lo siguiente: - Tendencia alta a cometer errores de configuración. - Complejidad de configuración sobre funcionalidades de seguridad de red. - Falta de reporteria consolidada para la toma de decisiones. CAUSAS Y CONSECUENCIAS DEL PROBLEMA En el siguiente cuadro se detalla las principales causas que originan el problema de inseguridad en la red administrativa y servidores de la carrera, y las consecuencias que se tienen o se podrían generar de no tomarse las medidas correctivas de implementación que se plantean en capítulos posteriores. 8
CUADRO N 1 CAUSAS Y CONSECUENCIAS Causas Complejidad de definición de reglas de Firewall Acceso de Personal no autorizado a la red y servidores Intrusiones a la red y servidores Saturación y congestionamiento de la red Servidores y equipos clientes con puertos abiertos de forma indiscriminada Modificación de la página web de la carrera con fines perjudiciales Consumo de ancho de banda no segmentada Ausencia de reporteria y notificaciones Accesos hacia sitios no confiables de Internet Consecuencias Reglas creadas con errores de definición Fuga de Información confidencial Alteración de la información comprometiendo la integridad Servicios informáticos indisponibles Generación de ataques, actuando los equipos como botnets o zombies consumiendo los recursos de red, memoria y procesador. Repercusión en la imagen institucional de la Carrera Lentitud en la trasmisión de datos de subida y bajada de Internet Toma de acciones correctivas a destiempo Infección y propagación de malware a la red interna Acceso remoto por un canal no seguro Intercepción del tráfico de red Elaborado por: Víctor Allam Párraga Núñez Fuente: Carrera de Ingeniería en Sistemas Computacionales y Networking 9
DELIMITACIÓN DEL PROBLEMA La solución propuesta se ejecutará en el entorno de la red administrativa de la carrera tomando en cuenta todo el levantamiento de información que de esta se origine, como subredes, roles de servidores, permisos de navegación, conexiones físicas, conexiones lógicas, reglas de firewall, direccionamiento IP, etc. CAMPO: Seguridad de la Información ÁREA: Red administrativa y servidores de CISC ASPECTO: Seguridad de red perimetral TEMA: Implementación de un gestor unificado de amenazas de seguridad para la red administrativa de la Carrera de Ingeniería de Sistemas computacionales, basado en un análisis de su infraestructura de red interna y de borde. FORMULACIÓN DEL PROBLEMA La estructura de seguridad actual que tiene la red administrativa de la carrera, permite todavía accesos de navegación no autorizados, penetraciones a la red, consumos no supervisados de ancho de banda y muchas debilidades expuestas que afectan la confidencialidad, integridad y disponibilidad de los datos, los intentos de intromisión por parte de las subredes de los laboratorios de la carrera 10
incrementa la posibilidad y probabilidad de ataques internos y contaminación de malware. De esto surge la siguiente interrogante: Cómo y por qué integrar un gestor unificado de amenazas de seguridad para proteger de manera eficiente y oportuna la red de la Carrera de Ingeniería en Sistemas Computacionales? "Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores (Kevin Mitnick) Afirmando la anterior cita, ningún sistema de seguridad es totalmente impenetrable, puesto que en materia de seguridad informática influyen muchos factores como el humano haciendo que la misma sea relativa, basados en esto, con la implementación de un sistema gestor unificado de amenazas de seguridad no se garantiza protección total al 100 % pero si se disminuyen los riesgos inherentes a los cuales está expuesta la CISC. 11
EVALUACIÓN DEL PROBLEMA Los aspectos que se han tomado en cuenta para la evaluación del problema planteado se los detalla a continuación: Delimitado: En la actualidad se presentan problemas de seguridad perimetral y falta de administración de amenazas informáticas en la estructura de red administrativa que se encuentra en producción en la CISC, quedando así expuestos y vulnerables los servicios que se prestan a la comunidad académica comprendida por personal administrativo, profesores y estudiantes. Evidente: La ausencia de seguridad perimetral y de red interna provoca algunos inconvenientes, y están expuestos a amenazas de todo tipo, afectando directamente a los datos alojados en los servidores y la continuidad de las actividades académicas que han sido planificadas con anterioridad. En este momento con estudiantes de una carrera en tecnologías de la información aumentan los riesgos de poder ser atacados por personas mal intencionadas o que pueden asumir que es un ambiente de pruebas y generar tráfico no autorizado sobre la red. 12
Concreto: Para descubrir y bloquear ataques del personal de forma inteligente, lo primero es establecer un programa de prevención de ataques internos Así lo comunicó Dawn Cappelli, gerente técnica del CERT Insider Threat Attack Center, de la Universidad Carnegie Mellon, es lo que la solución busca en sus objetivos principales, asegurar claramente el entorno interno, después que se haya puesto mayor énfasis en esto, se buscarán las definiciones apropiadas para asegurar la red perimetral desde y hacia Internet. Factible: La solución propuesta a implementar, nos brinda un sistema integrado que agrupa soluciones como: firewall full state inspection, sistema prevención de intrusos, calidad de servicio, control de denegación de servicios, escaneo antivirus, encriptación de correo, filtrado de navegación, escaneo antispyware, escaneo HTTPS, control a nivel de aplicaciones, protección contra ataques SQL injection y XSS. Estas características pueden adaptarse perfectamente al esquema de la red de la carrera de Ingeniería de Sistemas Computacionales levantando esta solución en un solo equipo servidor que se encargue de proporcionar las funcionalidades antes mencionadas en el marco de licenciamiento sin costo para 50 direcciones IP, siendo así factible esta solución en cuanto a recursos económicos, humanos y de tiempo. 13
Original: Al hablar de este proyecto, estamos frente a un nuevo enfoque, ya que el término de gestor unificado de amenazas fue empleado por primera vez en 2004 por Charles Kolodgy, Vicepresidente de Investigación para productos y servicios de seguridad del IDC (International Data Corporation), para describir este tipo de soluciones que engloban los múltiples servicios antes mencionados en un solo servidor. El uso de este tipo de soluciones está empezando a ser adoptado tanto por grandes, medianas y pequeñas compañías e industrias privadas y gubernamentales a nivel internacional y nacional, por su facilidad de administración y oportuna respuesta frente a incidentes presentados como resultado de las operaciones realizadas. Identifica los productos esperados: Así como los gestores unificados de amenazas están siendo poco a poco adaptados a la infraestructura de red de las compañías, también es un término desconocido para muchos profesionales de TI en nuestro entorno, es por eso que el estudio para la implementación de este proyecto dará un valor agregado reflejándose tanto en la infraestructura de red de la carrera de Ingeniería de Sistemas Computacionales de la Universidad de Guayaquil, como en el conocimiento que se aportará en el proceso de implementación al administrador de red en cuanto al manejo de esta solución. 14
OBJETIVOS OBJETIVO GENERAL: Implementar una solución integral tecnológica que permita la gestión unificada de amenazas de seguridad informática, en la estructura de red de la CISC, aplicando criterios basados en mejores prácticas de seguridad para proteger de manera centralizada el equipamiento lógico de la institución a nivel interno y perimetral asegurando la continuidad y operatividad de los servicios informáticos que son consumidos por la comunidad académica, y a su vez brindar al administrador de red facilidad de gestión e inmediata respuesta, frente a problemas o eventualidades presentados en la red. OBJETIVOS ESPECÍFICOS: Identificar la estructura de red de la CISC y la seguridad aplicada sobre la misma, mediante la recopilación de información, para el posterior análisis de los puntos de fallo y determinación de las mejoras que se pueden realizar con la integración del gestor unificado de amenazas. Rediseñar la estructura de red de la CISC, analizando las necesidades de seguridad presentes para establecer un nivel de protección robusto basado en buenas practicas que abarque tanto a usuarios internos, externos y servidores. 15
Dimensionar los recursos de hardware requeridos por el producto, basándose en las especificaciones dadas por el fabricante para preparar el servidor en el que se implementará el gestor unificado de amenazas. Instalar, configurar y poner en producción las funcionalidades del gestor unificado de amenazas de acuerdo a la información tomada del esquema de red y la propuesta realizada de niveles de seguridad. Afinar las políticas y reglas de acceso configuradas en el gestor unificado de amenazas, tomando decisiones en base a los hallazgos encontrados en los reportes generados por el gestor unificado de amenazas para garantizar la mejora continua de la seguridad en la red. ALCANCES Análisis interno y perimetral de la situación inicial de la red administrativa y de servidores de la CISC. Rediseño y adaptación de la red para así poder integrar el gestor unificado de amenazas a la misma. Dimensionar los recursos de hardware necesarios para el servidor en el que se implementara el gestor unificado de amenazas, basado en el análisis de red previamente realizado. 16
Implementación del gestor unificado de amenazas de acuerdo a las necesidades de protección, protegiendo al menos 50 equipos en la red administrativa y servidores. Desarrollo de una memoria técnica y un manual de administrador que facilite la gestión del sistema implementado. Capacitación al Administrador de Red para la implementación y uso del gestor unificado de amenazas. JUSTIFICACIÓN E lmportancia La seguridad de la información es un tema primordial dentro del ámbito de la tecnología en la actualidad, ya que para todas las actividades diarias sean estas personales, comerciales o académicas dependemos de recursos tecnológicos como lo son los ordenadores, teléfonos celulares inteligentes, tablets, etc., todos estos interconectados y con acceso al mundo a través de Internet, tener acceso a este tipo de tecnologías hoy en día más que un lujo es una necesidad. La CISC tiene que ofrecer sus servicios académicos ligada netamente a recursos tecnológicos para garantizar calidad, rapidez y eficiencia en todos sus procesos operativos, pero estar apoyados con tecnología en sus actividades diarias hace que 17
estos procesos sean vulnerable y se expone a un riesgo muy grave: la pérdida de información importante por falta de medidas de seguridad informática. La implementación e integración dentro de la red de un gestor unificado de amenazas es un muy buen inicio en la mitigación de las vulnerabilidades de seguridad presentes actualmente, este gestor incluye funcionalidades tales como firewall, filtrado de navegación y protección antivirus, administración de ancho de banda, sistema de prevención de intrusos, entre otras características, ayudará a fortalecer el entorno de la red tanto interno como externo. Este proyecto permitirá documentar todo el levantamiento de información que será parte del análisis y la implementación del gestor unificado de amenazas, eliminando con una solución la complejidad de implementar una variedad de soluciones que aseguren la red de la CISC frente a virus, spam y ataques de hackers, beneficiando de esta manera a toda la comunidad académica. 18
CAPÍTULO II MARCO TEÓRICO ANTECEDENTES DEL ESTUDIO Siempre hemos podido crear, planear y diseñar la protección de la red, deberíamos adquirir e implementar un IPS o un IDS, adquirir e implementar una solución de firewall y otra para crear perfiles en los que se pueda realizar el filtrado de contenido en la navegación web, adquirir e implementar un módulo para Anti- Spam, un appliance o un servidor que nos permite tener alta disponibilidad y balanceo de carga en el enlace de Internet, tal vez depender de terceros para los accesos remotos vía VPN (Virtual Private Network), implementar una herramienta WAF (Web Application Firewall) para la protección de ataques hacia los servidores web. Generando el uso de estas herramientas gran cantidad de registros, los cuales son complicados de consolidar y así poder obtener reportería conjunta y oportuna para poder examinar uno a uno los elementos cuando realizamos troubleshooting. Tener un especialista para administrar cada uno de los elementos antes detallados, 19
y un proveedor diferente para cada una de estas tecnologías incurre en altos costos económicos para las organizaciones aumentando así las limitaciones en el presupuesto destinado para el departamento de Tecnologías de la Información. Enfocando esto a la estructura de red lógica actualmente configurada en el centro de datos de la Carrera de Ingeniería en Sistemas Computacionales, mediante un estudio de la misma se recopiló la información necesaria para así poder representar en el siguiente GRÁFICO la situación actual de seguridad perimetral con que cuenta la red del Departamento Administrativo y Servidores, de manera resumida: GRÁFICO N 1 DIAGRAMA RESUMEN DE SITUACION ACTUAL DE LA RED Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 20
Se puede observar en el anterior gráfico que existen servidores tales como el servidor web, que están directamente publicados hacia Internet es decir, no hay un equipo de frontera que pueda protegerlo contra los ataques más comunes y avanzados que se presentan hoy en día (SQL Injection, Cross-Site Scripting. DDoS, etc), lo cual puede ocasionar tanto perdida de información confidencial y denegación de consumo de los servicios en el levantados. Si bien es cierto, se puede constatar que existen seguridades a nivel de sistema operativo levantados en este servidor, lo que es correcto y mitiga en gran manera algún tipo de ataque o intrusión, pero lo ideal y eficiente en temas de seguridad y rendimiento para el servidor web, es que exista un equipo entre Internet y el mismo que se encargue de contrarrestar estos ataques con técnicas avanzadas de detección y prevención como lo son el WAF (Web Application Firewall) y el IPS, protegiendo y a su vez aligerando así la carga operativa de procesamiento lo cual se refleja en mayor rapidez y oportuna disponibilidad de acceso a los servicios. A su vez, este servidor web se conecta punto a punto con un servidor de base de datos el cual contiene la información del Sistema Académico. También se identifica en el diagrama de red, que existe un servidor proxy que hace las veces de firewall para la red del Departamento Administrativo. Este servidor proxy, tiene como sistema operativo CentOS, dentro del cual se manejan los siguientes servicios en producción para la gestión de la red, se detalla el uso que se le da a cada uno de ellos: 21
IPTables: Creación de reglas de firewall y acceso. Squid: Filtro de contenido de navegación web. Sarg: Generación de reporteria emitida por Squid. Htb-gen: Control de ancho de banda. MRTG y SNMP: Monitoreo de interfaces de red. Con la solución propuesta se gestiona toda la seguridad desde una sola intuitiva interfaz de navegación. No son necesarios programas adicionales ni la línea de comandos obligatoriamente para poder realizar cualquier tipo de cambios en las configuraciones. Gracias a la gama completa de funciones de nivel empresarial que ofrece un Gestor Unificado de Amenazas, se tendrá mayor protección frente a amenazas, facilidad de administración, menos tendencia a cometer errores involuntarios de configuración y toma de decisiones oportuna con respecto a la seguridad de la red. A diferencia del esquema de red actual, en el que un servidor proxy basado en Sistema Operativo Linux gestiona la seguridad y accesos de red, con limitado nivel de seguridad, en la solución propuesta se podrá gestionar de manera gráfica y sencilla los niveles de seguridad representados por las siguientes funciones: - Firewall Satateful Packet Inspection. - Network Address Translator (NAT). 22
- Tipos de VPN SSL, IPSec, L2TP, PPTP. - Iintrusion Prevention System (IPS). - Control de ancho de banda. - Monitoreo en tiempo real y bajo demanda del ancho de banda consumido. - Redundancia de enlaces de Internet. - Control DDoS (Flood SYN TCP, flood UDP, flood ICMP - Filtrado de navegación web HTTP/S por categorías y URL. - Protección contra virus y spyware en la navegación web. - Control de aplicaciones. - Web Application Firewall (Form hardening, URL hardening, Antivirus, cookie protection) - Amplia reporteria consolidada y logs intuitivos en tiempo real. Ver ANEXO N 1 REPORTE EJECUTIVO. - Interfaz de usuario totalmente grafica vía browser. - Copia y respaldo de seguridad automática y periódica de configuraciones. Después de la implementación del gestor unificado de amenazas propuesto, el esquema de red del área administrativa y de servidores de la carrera, quedará en resumen de la siguiente manera: 23
GRÁFICO N 2: DIAGRAMA RESUMEN DE SITUACION FINAL DE LA RED Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez FUNDAMENTACIÓN TEÓRICA QUÉ ES UN GESTOR UNIFICADO DE AMENAZAS El término gestor unificado de amenazas o UTM por sus siglas en inglés Unified Threat Management hoy en día se está empezando dar a conocer como un factor importante dentro del campo de la seguridad perimetral de redes. Los gestores unificados de amenazas han sido poco conocidos hasta hace años atrás, ya que el termino UTM como tal fue mencionado recién por primera vez en el año 2004 por 24
Charles Kolodgy, Vicepresidente de Investigación de Productos de Seguridad del International Data Corporation. Kolodgy utilizó el termino UTM para definir la consolidación de distintas soluciones de seguridad de redes en una única solución ya sea esta de software o de hardware. La integración de estas soluciones incluye servicios como firewall, filtrado de contenido web, antivirus de puerta de enlace, prevención y detección de intrusiones, acceso remoto a través de redes privadas virtuales o VPN (Virtual Private Network), usados para contrarrestar los más variados ataques de seguridad informática que sufren las organizaciones. Además, permite el balanceo de carga de enlaces de Internet lo cual se refleja en la continuidad de negocio. Es decir, un gestor unificado de amenazas ayuda a la simplificación de la seguridad de redes, ya que permite al administrador de red centralizar y controlar todo desde un solo dispositivo sin la necesidad de recurrir a varias soluciones independientes proporcionadas por distintos proveedores. ORIGEN Y DESARROLLO ACTUAL DE LOS GESTORES UNIFICADOS DE AMENAZAS Para entender el actual desarrollo y origen de los gestores unificados de amenazas se detallará a continuación la evolución que han tenido a lo largo del tiempo las 25
redes informáticas, viniendo desde lo más simple hacia lo complejas que son hoy en día, explicando también como componente principal y pionero de los gestores unificados de amenazas, los firewalls, y por último se detallara cada uno de los servicios que componen el sistema de un gestor unificado de amenazas. ORÍGEN Y EVOLUCIÓN DE LAS REDES DE COMPUTADORAS Una red de computadoras es un conjunto de dispositivos electrónicos conectados entre sí por medios físicos y protocolos lógicos, lo cual les permite establecer comunicación bajo demanda o en tiempo real y así poder compartir información tanto de carácter personal, laboral, comercial, entretenimiento, etc. Estos dispositivos pueden ser computadores de escritorio, computadores portátiles, computadores servidores, teléfonos móviles, tablets y televisores inteligentes. Para poder llegar al nivel actual en el que se encuentran las comunicaciones entre estos dispositivos y ser algo tan común en la vida cotidiana para la mayoría de personas alrededor del mundo, el desarrollo y la evolución de las redes de computadoras ha pasado por decenas de años hasta llegar a ser lo que hoy en día conocemos como telecomunicaciones modernas. El origen de las redes de computadores se remonta a la década del 60, época en la que se creó en Estados Unidos de Norteamérica la Agencia de proyectos de 26
Investigación Avanzada ARPA por sus siglas en inglés (Advanced Research Projetcs Agency), cuyo objetivo era crear una red de computadoras que uniera las distintas instituciones gubernamentales. ARPA convocó concursos para adjudicar el contrato a proveedores y universidades locales que puedan realizar el diseño y la construcción de la red que se había ideado en un principio, finalmente y después de algunos años se creó una red experimental que unía a la University of California Los Angeles (UCLA), University of California Santa Barbara, Stanford Research University, University of Utah, esta red que nació fue denominada ARPANET (Advanced Research Projects Agency Network) lo que les permitía a los científicos compartir material investigativo y académico, después de tres años ARPANET tuvo un grado de crecimiento muy alto llegando a abarcar todo Estados Unidos (Tanenbaum, 2003). Poco a poco se fueron construyendo más redes y uniendo entre sí para establecer comunicación y es desde aquí que se originó la Red de Redes o también denominada como Internet, que no es más que la unión de millones de dispositivos conectados alrededor del mundo constituyendo así una gigante red de computadoras lo que permite a los usuarios realizar un sinnúmero de actividades hoy en día. 27
Si bien es cierto, como se comentó en un principio las primeras redes fueron netamente para desarrollo investigativo y la colaboración científica entre pocas y limitadas personas, hoy en día con la comercialización del acceso a la Red de Redes y los bajos costes que implica obtener este recurso ha hecho que sea totalmente asequible para millones de usuarios en el planeta. Esto ha ocasionado que revolucione el concepto y la percepción que se tenía de las comunicaciones hasta hace pocos años, siendo así que hoy en día se puede tener una conversación en tiempo real entre dos personas observándose cara a cara a pesar de que una de ellas se encuentre en Singapur y la otra en Alaska. GRÁFICO N 3: CRECIMIENTO DE ARPANET HACIA SEPTIEMBRE DE 1972 Elaborado por: Víctor Allam Párraga Núñez Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición 28
RAZONES COMUNES POR LAS CUALES ACCEDER A INTERNET Actividades diarias que en décadas atrás demandaban mucho más tiempo, en la actualidad son simplificadas con el uso del Internet, se menciona a continuación los usos más comunes y las razones por las cuales los usuarios domésticos acceden a Internet: - Acceso a información remota. - Comunicación de persona a persona. - Entretenimiento interactivo. - Comercio electrónico. (Tanenbaum, 2003, p. 6) Aquí Tanenbaum menciona las cuatro razones antes expuestas, englobando las más comunes como lo son el acceso a la información remota que no es más que el acceso a información alojada en servidores web ubicados geográficamente en lugares distintos y por lo general muy distantes a donde nos podamos encontrar, Los usuarios pueden acceder a esta información a través de la WWW (World Wide Web por sus siglas en inglés) consultando así gran cantidad de documentos de la web, pudiendo ser esta información de fuentes verídicas o falsas. Como ejemplo, un ciudadano ecuatoriano que se encuentra de viaje en China, puede enterarse de los hechos que se han dado en el Ecuador con tan solamente acceder al sitio del diario local www.eluniverso.com. 29
La comunicación de persona a persona es otra de las ventajas que nos proporciona el acceso a Internet, siendo así que a través de esta plataforma de carácter mundial se puede usar la telefonía basada en Voz sobre IP para establecer una llamada remota en pocos segundos y con una calidad de transmisión excelente, sin retrasos y en tiempo real, superando así las comunicaciones telefónicas basadas en plataformas analógicas. El uso de las redes también ha cambiado la forma en que las personas se entretienen, hasta hace pocos años las formas de entretenimiento se encontraban limitadas al aspecto presencial para poderse llevar a cabo, es decir, los participantes de un juego debían encontrarse físicamente en el mismo lugar para poder desarrollarlo. Ahora con los juegos en línea los participantes pueden encontrarse en cualquier lugar del planeta teniendo la experiencia de sentirse como si estuvieran físicamente uno al lado del otro. Y no solo en los juegos en línea se evidencia el uso del Internet para consumo de entretenimiento sino que también es utilizado para realizar compras, ver películas, ver los resultados de los partidos de futbol, escuchar y descargar música, en fin, una cantidad casi infinita de usos de entretenimiento que se le da al Internet. 30
El correo electrónico es la abstracción del correo convencional, en el que el proceso para hacer llegar una carta de un lugar a otro comprende la entrega al cartero, luego este la envía a la oficina postal para ser distribuida al medio de transporte por el cual se la enviara al destinatario dependiendo de la ubicación geográfica del destino, ocasionando que la carta que hemos enviado se demore días o semanas en llegar hacia el objetivo, y si vemos mucho más atrás cuando no existía el transporte aéreo y los correos eran transportados por tren o barco, el tiempo de llegada eran en muchas ocasiones varios meses. Con el desarrollo de la tecnología, específicamente de Internet, todo este tedioso y demorado proceso se redujo a tan solo segundos o minutos en el tiempo con el envío de correos electrónicos, permitiéndonos enviar las fotos que nos hemos tomado al instante o videos de algún acontecimiento importante en nuestras vidas a nuestros familiares o amigos. Así como el Internet es un recurso muy útil para los usuarios domésticos, es tan o mucho más útil para los usuarios corporativos ya que es un medio por el cual se puede llevar a cabo un sin número de actividades que aportan con el desarrollo y productividad de la organización. Entre los usos que le dan los usuarios corporativos a Internet están: - Envió y recepción de correos electrónicos. - Pago en línea de roles a la nómina. - Consulta de información vía web. 31
- Compra de insumos via web. - Venta de productos y servicios via web. - Transacciones bancarias en línea. - Conexión remota a la oficina. - Video conferencia. - Llamadas telefónicas locales e internacionales. - Colaboración en línea. - Mercadeo. Estos, entre otros múltiples usos que se le puede dar a Internet a nivel corporativo y que han simplificado las tareas cotidianas y acortado el tiempo y distancia que llevaba realizarlas antes de que se tenga acceso al mismo, contribuyendo así en la efectividad de los procesos corporativos que se realizan a diario para el crecimiento de las organizaciones. Hasta ahora he nombrado varias ventajas y bondades que nos ofrece el acceso a la Red de Redes y el aporte al desarrollo de las organizaciones y los usuarios domésticos, pero cabe mencionar también los riesgos que este conlleva, tales como robo de información confidencial por espías informáticos en busca de apoderarse de los secretos comerciales e industriales, perdida de dinero por transacciones bancarias en internet, suplantación de identidad, infección de los sistemas informáticos por malware, correos no deseado también conocido como spam, daño a la imagen corporativa de la empresa, entre otros. 32
Esto nos da paso a la siguiente sección en la que se habla acerca de la seguridad informática en general y específicamente a las medidas de seguridad que se deben tomar para salvaguardar las redes. FUNDAMENTOS DE REDES DE COMPUTADORAS Ahora que sabemos el origen de las redes de computadoras y lo que han llegado a ser hasta la actualidad para la vida de millones de organizaciones y personas en el mundo, es necesario revisar los fundamentos de redes y saber cómo funcionan estas por dentro, es decir, el proceso que se lleva a cabo para establecer la comunicación entre un computador ubicado en un extremo de la red y otro ubicado en otro extremo. Así como los seres humanos nos comunicamos entre sí a través de muchos medios, siendo el más básico el medio del habla, los computadores se comunican entre sí con su lenguaje propio de máquinas y para establecer esta comunicación la deben hacer a través de protocolos. Un protocolo es un conjunto de reglas o convenciones que se deben cumplir para establecer la comunicación entre dos o más entes. Haciendo la analogía humana para que dos personas puedan establecer comunicación deben hablar el mismo idioma ya que si uno de ellos habla alemán 33
y el otro habla hebreo nunca podrán entenderse ya que no siguen el mismo protocolo de comunicación por el impedimento del idioma, a menos que haya un intérprete de por medio. Así mismo los computadores deben hablar el mismo idioma o deben basarse en el mismo protocolo para poder comunicarse. EL MODELO DE REFERENCIA OSI En los primeros años de implementación de las redes de computadoras, los fabricantes de las mismas desarrollaban protocolos de comunicación propietarios lo cual causaba dificultades al momento de compartir o intercambiar información con otros computadores de otros fabricantes u otras tecnologías. En un párrafo de una de las obras de Gheorghe (2006, p. 8), indica cual fue la solución que se desarrolló para solventar este problema de comunicación: To solve this problem, the International Organization for Standardization (ISO) created a network model that helps vendors to create networks compatible with each other. In 1984, ISO released the Open Systems Interconnection (OSI) reference model, which is a well-defined set of specifications that ensures greater compatibility among various technologies. 34
Traducción al español: Para resolver este problema, la Organización Internacional de Normalización (ISO) creó un modelo de red que ayuda a los fabricantes a crear redes compatibles entre sí. En 1984, la ISO publicó el modelo de referencia de Interconexión de Sistemas Abiertos (OSI), que es un conjunto bien definido de especificaciones que garantiza una mayor compatibilidad entre las distintas tecnologías. Y fue bajo esta necesidad que nació el modelo de referencia OSI (por sus siglas en ingles Open Interconnection System) que consta de siete capas, con una función específica para cada una de ellas, siendo estas la capa física, capa de enlace de datos, capa de red, capa de transporte, capa de sesión, capa de presentación y la capa de aplicación. En el siguiente GRÁFICO se muestra las capas del modelo de referencia OSI: 35
GRÁFICO N 4: MODELO DE REFERENCIA OSI Elaborado por: Víctor Allam Párraga Núñez Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición 36
En el siguiente cuadro se muestra una breve descripción de cada una de las capas del modelo de referencia OSI: CUADRO N 2: DESCRIPCIÓN CAPAS MODELO OSI CAPA NOMBRE DESCRIPCION 7 Aplicación Permite a las aplicaciones solicitar servicios de red 6 Presentación Convierte los datos de modo que los sistemas que utilizan diferentes datos formatos pueden intercambiar información. 5 Sesión Establece sesiones entre aplicaciones de red 4 Transporte Provee entrega confiable de paquetes 3 Red Maneja enrutamiento de datos entre distintos segmentos de red. 2 Enlace de datos Proporciona direcciones MAC como identificador único para los equipos en la red. 1 Física Incluye los medios físicos como cableado de red, repetidores, hubs, etc. Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez CAPA FÍSICA Esta es la capa inferior del modelo de referencia OSI, y se encarga de las características físicas de la red, es decir, de aquellos componentes tales como repetidores, hubs, cables de cobre, cables de fibra, tarjetas de red de los computadores y demás dispositivos dentro de la red, conectores, señales eléctricas. Dentro de esta capa entran también las topologías de red, siendo las más conocidas: 37
- Topología de bus. - Topología de anillo. - Topología de árbol - Topología de estrella. - Topología de malla. - Topología totalmente conexa. - Topología doble anillo. - Topología mixta. La siguiente figura muestra de manera gráfica las diferentes topologías de red: GRÁFICO N 5: TOPOLOGÍAS O ARQUITECTURAS DE RED Elaborado por: Víctor Allam Párraga Núñez Fuente: Wikipedia, http://es.wikipedia.org/wiki/topolog%c3%ada_de_red 38
CAPA DE ENLACE DE DATOS En la capa de enlace de datos se le asigna un sentido a las señales eléctricas que viajan a través de la red, dentro de esta capa juegan un papel muy importantes los switches o conmutadores, ya que su función es conmutar los paquetes de datos de manera tal que estos lleguen intactos hacia su destinatario lo cual se logra con técnicas propias de estos dispositivos. En la capa de enlace de datos cada dispositivo dentro de la red tiene asignada una dirección física como identificador único, esta dirección física es denominada como dirección MAC por sus siglas en ingles Media Access Control, o control de acceso a medios. Tal como se mencionó con anterioridad, las direcciones MAC son únicas para cada dispositivo, es decir, que en todo el mundo no hay dos dispositivos con la misma dirección. Las direcciones MAC están compuestas por 6 pares de dígitos hexadecimales, comprendidos entre los números del 1 al 9 y las letras de la A a la F, como por ejemplo 24-1C-99-AF-D6-36. 39
CAPA DE RED Esta capa es la responsable del enrutamiento para la comunicación de un dispositivo a otro ubicado en una red distinta. El protocolo de red más utilizado a nivel mundial y general es el protocolo IP (Internet Protocol), en los protocolos de capa de red encontramos los conceptos de direccionamiento lógico y enrutamiento. En la capa de enlace de datos vimos que cada dispositivo de la red cuenta con una dirección física llamada dirección MAC, en la capa de red aparece el direccionamiento lógico o direccionamiento IP, que consiste en configurarle a los dispositivos una dirección para que pueda comunicarse con otros equipos dentro de la misma red o de redes foráneas. Las direcciones de red están conformadas por cuatro octetos, compuesto cada octeto por números decimales. Ejemplo: 10.172.16.30. CAPA DE TRANSPORTE Tal como su nombre lo indica, la capa de transporte se encarga de transportar los mensajes entre los dispositivos de la red, dividiendo cada mensaje en partes más pequeñas recibiéndolos desde las capas superiores, luego los transmite a la capa de red asegurándose de que estos lleguen sin errores hacia el dispositivo de 40
destino. Los protocolos de la capa de transporte son TCP (Transmission Control Protocol Protocolo de Control de Transmisión) y UDP (User Datagram Protocol Protocolo de Datagrama de Usuario). TCP se encuentra definido dentro de los estándares RFC, encontrando una amplia descripción de este protocolo en el RFC 793 (http://tools.ietf.org/html/rfc793) y el RFC 1323 (http://tools.ietf.org/html/rfc1323). TCP es un protocolo orientado a la conexión, ya que establece operaciones de control para garantizar la correcta consistencia y entrega de todos los mensajes que se transmitan de un origen hacia un destino. UDP es un protocolo sin conexión, es decir permite el envío de mensajes sin que previamente se haya establecido una conexión, y no tiene controles que garanticen la recepción de los mensajes o que estos lleguen en el orden conforme se los ha enviado. UDP se encuentra definido en la RFC 768 (http://tools.ietf.org/html/rfc768). CAPA DE SESIÓN La capa de sesión permite que dos dispositivos diferentes puedan establecer sesiones entre sí, aplicando controles para que no exista errores dentro de la comunicación garantizando el paso de los datos en correcto estado. 41
CAPA DE PRESENTACIÓN Andrew Tanenbaum en su libro Redes de Computadoras Cuarta Edición, define a la capa de presentación de la siguiente manera, (Tanenbaum, 2003, p. 6): A diferencia de las capas inferiores, a las que les corresponde principalmente mover bits, a la capa de presentación le corresponde la sintaxis y la semántica de la información transmitida. A fin de que las computadoras con diferentes representaciones de datos se puedan comunicar, las estructuras de datos que se intercambiarán se pueden definir de una manera abstracta, junto con una codificación estándar para su uso en el cable. La capa de presentación maneja estas estructuras de datos abstractas y permite definir e intercambiar estructuras de datos de un nivel más alto (por ejemplo, registros bancarios). CAPA DE APLICACIÓN La capa de aplicación contiene los protocolos usados por los usuarios en las aplicaciones, como por ejemplo el protocolo SMTP y POP3 que sirven para el envío y descarga de correos electrónicos, el protocolo de aplicación FTP que sirve para la transferencia de archivos, o el protocolo HTTP que sirve para la navegación en las páginas web. 42
SEGURIDAD INFORMÁTICA DE REDES DE COMPUTADORAS Conforme ha transcurrido el tiempo, las redes de computadoras han evolucionado hasta el punto actual como las conocemos y como se ha mencionado anteriormente todas las facilidades que estas nos brindan, y así como han avanzado las nuevas tecnologías de redes de computadoras se han multiplicado por millones los usuarios a nivel mundial que hacen uso de las redes. Esto conlleva a que gente mal intencionada quiera adueñarse de información que no le pertenece para obtener beneficios económicos o simplemente buscan hacer daño a una compañía por haberlos despedido, como puede darse el caso de un ex empleado, o también el típico estudiante que busca por cualquier manera alterar sus calificaciones accediendo a los registros académicos de su institución. En el siguiente cuadro, Andrew Tanenbaum ejemplifica los tipos de adversarios que pueden irrumpir en la seguridad de redes y sus objetivos a la hora de realizar un ataque (Tanenbaum 2003, p. 722): 43
CUADRO N 3: TIPOS DE ADVERSARIOS Y SUS OBJETIVOS AL IRRUMPIR LA SEGURIDAD EN REDES Elaborado por: Víctor Allam Párraga Núñez Fuente: Tanenbaum A., Redes de Computadoras 4ta Edición Antes de entrar en detalle acerca de las seguridades de redes que debemos aplicar para estar protegidos contra los ataques antes mencionados, es bueno revisar en que está basada la seguridad informática o los también llamados pilares de la seguridad: - Confidencialidad. - Integridad. - Disponibilidad. Confidencialidad: Con este principio se garantiza que nuestra información sea de acceso exclusivo para las personas que autoricemos, cualquier otra persona que no esté autorizada no deberá poder visualizar dicha información. Como ejemplo de la aplicación de este principio de la seguridad podemos tomar el envío de un correo 44
electrónico entre la compañía Arcos S.A y la Superintendencia de Compañías, en el que la primera hace llegar por este medio digital los estados financieros correspondientes al ejercicio fiscal 2013, la confidencialidad garantiza que únicamente la Superintendencia de Compañías sea el receptor de los estados financieros y no un espía informático que haya interceptado en el camino el correo electrónico. Integridad: La integridad garantiza que la información que tenemos no sea alterada de ninguna manera, entendiéndose por alterada el borrado, omisión o cambio de los datos que componen la información. Tomando el ejemplo anterior, aplicando la integridad en la información, ningún extraño podrá cambiar las cifras de los estados financieros en el transcurso del envió del correo desde su emisor hacia su receptor. Disponibilidad: Aplicando este último principio, nos aseguramos de que la información que poseemos sea siempre accesible para los usuarios autorizados, sin interrupción de ningún tipo. Volviendo al mismo ejemplo, la compañía Arcos S.A. deberá contar a la mano con los estados financieros y proporcionarlos de manera rápida y oportuna cada vez que la Superintendencia de Compañías se lo solicite. 45
La aplicación de estos tres pilares fundamentales es algo esencial e infaltable en todo sistema de información o en toda estructura de red, ya que son estos los que nos permitirán mantener de manera segura y disponible el más preciado bien que poseen hoy en día tanto las organizaciones como las personas naturales, la información. INTRODUCCIÓN DE LOS FIREWALLS COMO DISPOSITIVOS DE SEGURIDAD EN REDES Se mencionó en la sección anterior las desventajas o los riesgos inherentes a las comunicaciones o actividades desarrolladas sobre redes de computadoras, en especial aquellas que implican el acceso a Internet. Pero el hecho de que el acceso a Internet sea un riesgo tanto para los usuarios domésticos como para los usuarios corporativos no implica que el mundo se paralice y retroceda a realizar sus tareas cotidianas de manera cotidiana como lo hacían antes de que revolucionaran las comunicaciones, es por esto, que a la par como crecen las amenazas se desarrollan también medidas de seguridad para salvaguardar la información y así evitar pérdidas millonarias. Dentro de todas las medidas de seguridad que se puedan establecer, nos vamos a centrar únicamente en las seguridades de la comunicación que es la parte donde entran en acción los gestores unificados de amenaza protegiendo el perímetro que separa la red interna de las redes externas como Internet. 46
GRÁFICO N 6: FIREWALL SEPARANDO LA RED INTERNA DE LA RED EXTERNA Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Para entender que es y cuál es la funcionalidad de un gestor unificado de amenazas, debemos conocer primeramente los componentes bases de los mismos, empezando por los cortafuegos o firewalls, que son dispositivos que permiten separar unas redes de otras permitiendo o denegando los accesos y la comunicación entre las mismas. Para entender mejor la función de un firewall, observemos la analogía que hace Tanenbaum acerca de los firewalls, (Tanenbaum, 2003, p. 776): Los firewalls (servidores de seguridad) son simplemente una adaptación moderna de la vieja estrategia medieval de seguridad: excavar un foso defensivo profundo alrededor de 47
su castillo. Este diseño obligaba a que todos los que entraran o salieran del castillo pasaran a través de un puente levadizo, en donde los encargados de la E/S los podían inspeccionar. En las redes es posible el mismo truco: una compañía puede tener muchas LANs conectadas de formas arbitrarias, pero se obliga a que todo el tráfico desde o hacia la compañía pase a través de un puente levadizo electrónico (firewall). La analogía hecha por este autor ejemplifica de manera clara cuál es la función de un firewall, haciendo entender que todo el tráfico de red que viaje desde redes externas hacia nuestras redes internas y viceversa debe ser inspeccionado en base a las políticas de seguridad que hayamos aplicado sobre el mismo, protegiendo de esta manera el perímetro marcando límites y controlando toda la actividad de la red. De esta manera descartamos los paquetes de información que tengan como finalidad causarnos daño. Otra comparación que podemos hacer con respecto a los firewalls o cortafuegos, es la Gran Muralla China construida para protegerse de los enemigos del Imperio Chino en aquella época. En el siguiente GRÁFICO se muestra la separación de la red interna con redes externas a través de un firewall, el usuario de la red interna intenta acceder a al sitio web www.bajavirus.com pero este acceso es denegado por las políticas del firewall, así mismo al intentar acceder al sitio www.dominio.com el acceso es 48
permitido. Se ejemplifica también un acceso no autorizado por parte de un usuario externo el cual quiere iniciar una sesión en el protocolo FTP hacia un equipo de la red interna y este acceso es bloqueado por el firewall. GRÁFICO N 7: ACCESOS A LA RED CONTROLADOS POR UN FIREWALL Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 49
Con respecto a los dispositivos antecesores a los firewalls, Ingham y Forrest expresan (Ingham y Forrest, 2002, p. 2): The predecessors to firewalls for network security were the routers used in the late 1980s to separate networks from one another. A network misconfiguration which caused problems on one side of the router was largely isolated from the network on the other side. Traducción al español: Los predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados a finales de 1980 para separar las redes entre sí. Una red mal configurada que causó problemas en un lado del router era en gran parte aislada de la red en el otro lado. Si bien es cierto, antes de que aparecieran los firewalls en el campo de la seguridad en redes eran los routers los encargados del trabajo de separar unas redes de otras garantizando que una mala práctica de configuración en una red no afecta a las demás, pero estos no pueden aplicar las políticas de seguridad que se necesita para proteger la red de las amenazas tanto externas como internas. 50
GRÁFICO N 8: REDES SEPARADAS POR UN ROUTER Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez EVOLUCIÓN DE LOS FIREWALLS HACIA LOS GESTORES UNIFICADOS DE AMENAZAS Si bien es cierto los firewalls o cortafuegos, son en gran parte una medida de seguridad frente a ataques tanto internos como externos dentro de una red para permitir o denegar accesos a determinados servicios, no son lo suficientemente amplios para gestionar la seguridad perimetral en una organización, es por eso que nace el concepto de los gestores unificados de amenazas como la reunión de varios servicios de red en un solo equipo o servidor para contrarrestar los intentos 51
provenientes tanto de usuarios internos como externos para violentar la seguridad de la red. Bajo la premisa de que no es suficiente contar con solamente un firewall dentro de la infraestructura de red, surge la necesidad de la implementación de los gestores unificados de amenazas en las organizaciones como valor agregado para la protección de sus redes ya que permiten controlar los eventos de manera centralizada ahorrando costos en equipamiento y administración de los servicios. GRÁFICO N 9: REPRESENTACION DE UN GESTOR UNIFICADO DE AMENAZAS EN UNA RED Elaborado por: Víctor Parraga Núñez Fuente: Internet, http://searchnetworking.techtarget.com/how-to-evaluate-andmanage-utm-for-network-security 52
FUNCIONES Y SERVICIOS QUE COMPONEN UN GESTOR UNIFICADO DE AMENAZAS Para entender mejor a los gestores unificados de amenazas de red, describo a continuación varios de los componentes de los mismos, dentro de ellos se encuentran tanto los componentes básicos como los avanzados, cabe aclarar que los componentes básicos se encontraran siempre en cualquier gestor unificado de amenazas, y los componentes avanzados se encuentran en algunos, de acuerdo al fabricante que los produzca: - Monitoreo en tiempo real de tráfico de red. - Balanceo y alta disponibilidad de enlaces de internet. - Calidad de servicio y traffic shaping. - Enrutamiento: Estático, OSPF, BGP Multicasting. - Agregado de enlaces. - Sistema de detección y prevención de intrusos (IPS). - Alta disponibilidad en hardware. - Servicios de red: DNS, DHCP, NTP. - Soporte IPv6. - NAT: Destination NAT, Source NAT, Full NAT. - Filtrado de navegación web. - Protección antivirus y antispyware perimetral. - Control de aplicaciones. - Protección antispam y antivirus de correo. - Cifrado de correo electrónico. - VPN site-to-site: IPSec y SSL. - Acceso remoto vía VPN SSl, IPSec, PPTP, L2TP/IPsec. - Web Application Firewall (Firewall de aplicaciones web). - Autenticación de doble factor. - Protección contra amenazas avanzadas. 53
ANÁLISIS COMPARATIVO DE DISTINTAS SOLUCIONES UTM DEL MERCADO Para seleccionar el UTM ideal y que cubra las necesidades de protección de la carrera se realizó un análisis de 4 soluciones UTM disponibles en el mercado, siendo las siguientes; Sophos UTM, Zentyal Gateway & UTM, Fortigate y SonicWall. CUADRO N 4: COMPARATIVO DE SOLUCIONES UTM EN EL MERCADO Características Zentyal Sophos UTM Fortigate SonicWall Gateway & UTM Firewall SI SI SI SI IPS SI SI SI SI VPN SI SI SI SI Filtrado de Navegación SI SI SI SI QoS (Calidad de servicio) SI SI SI SI Protección Antivirus doble NO SI NO NO Firewall de aplicaciones NO SI NO NO Web Portal de usuario NO SI NO NO Reporteria completa CONDICIONADO* SI CONDICIONADO* CONDICIONADO* Factor de doble NO SI NO NO autenticación integrado Protección contra amenazas NO SI NO NO avanzadas Control de aplicaciones SI SI SI SI Versión software SI SI NO NO Versión libre SI SI NO NO *Característica dependiente de la versión del UTM Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 54
Sophos UTM se ubica como líder dentro del cuadrante mágico de Gartner para el año 2014, posición en la que se encuentran ubicados otros productos comerciales reconocidos a nivel mundial: GRÁFICO N 10: CUADRANTE MÁGICO DE GARTNER PARA SOLUCIONES UTM 2014 Elaborado por: Víctor Allam Párraga Núñez Fuente: Gartner, http://www.gartner.com/technology/reprints.do?id=1-1z6xaox&ct=140807&st=sb Una vez realizado el análisis comparativo se eligió como UTM idóneo a Sophos UTM el cual está disponible en versiones comerciales (software y appliance) y en versión Home Edition (Software), que permite la protección de 50 direcciones IP dentro de la red o dispositivos de red. Se eligió a Sophos UTM Home Edition por 55
contener las siguientes características que lo diferencian de los demás productos analizados: - Versión libre (Home Edition) que contiene todas las características de la versión comercial, sin restricciones ni costo, a excepción de la protección de solo 50 direcciones IP. Esta versión puede instalarse en cualquier servidor y no es inherente a los appliances del fabricante. - Reportería completa. - Protección contra amenazas avanzadas. - Firewall de aplicaciones web. - Factor de doble autenticación integrado. DESCRIPCIÓN DE CARACTERÍSTICAS DE SOPHOS UTM Sophos UTM es una solución basada en el sistema operativo Suse Enterprise Linux 11 y sus principales componentes están basados en proyectos Open Source, tales como: - IPS basado en Snort - DNS basado en Bind. - VPN SSL basado en OpenVPN - Firewall basado en Netfilter. - Firewall de aplicaciones web basado en ModSecurity. - IPSec basado en StrongSwam. - Módulo de encriptación basado en GNU PG. 56
- Datos de configuración, logs y reporteria son guardados en una base de datos de PostgreSQL. Los requerimientos de hardware para la instalación de Sophos UTM son los siguientes: - Disco Duro: Mínimo 20 Gb en discos IDE, SCSI o S-ATA. - Procesador: Dual Core de al menos 2.0 Ghz. - Memoria RAM : Mínimo 1024 MB - Mínimo 2 tarjetas de red. MÓDULOS QUE CONTIENE SOPHOS UTM Los módulos que contiene Sophos UTM y los cuales serán habilitados en la Carrera son los siguientes: Módulo Management: Este módulo permite realizar configuraciones iniciales y básicas del sistema tales como; fecha y hora, ubicación de zona horaria, aplicación de licencia, actualizaciones del sistema, configuración de la interfaz de configuración web, respaldo y restauración de configuraciones, administración de notificaciones, portal de usuario, administración centralizada de UTM, alta disponibilidad, entre otras. 57
GRÁFICO N 11: OPCIONES DEL MÓDULO MANAGEMENT Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Módulo Definitions & Users: Dentro de este módulo se puede realizar la creación de objetos a ser usados en las diferentes configuraciones dentro de todos los módulos del UTM, los objetos que se pueden definir son; objetos de red, objetos de servicios (puertos), objetos de periodos de tiempo, usuarios y grupos. Así también se puede realizar integración con servidores de autenticación y habilitar la autenticación de doble factor la cual se integra con la herramienta Google Authenticator. 58
GRÁFICO N 12: OPCIONES DEL MÓDULO DEFINITIONS & USERS Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Módulo Interfaces & Routing: En este módulo se puede configurar las interfaces de red, calidad de servicio, soporte para el protocolo IPv6, opciones de enrutamiento; estático, OSPF, BGP, PIM-SM. GRÁFICO N 13: OPCIONES DEL MÓDULO INTERFACES & ROUTING Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 59
Módulo Network Services: En el módulo Network Services se encuentran los principales servicios de red que debe haber en toda infraestructura, DNS para la resolución de nombres, DHCP para la asignación dinámica de direcciones IP y NTP para la sincronización del tiempo en los distintos dispositivos. GRÁFICO N 14: OPCIONES DEL MÓDULO NETWORK SERVICES Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez BIND Como se mencionó anteriormente el servicio de DNS que usa Sophos UTM es basado en BIND. El servicio DNS es el encargado de traducir las direcciones IP que se encuentran en formato numérico, a nombres de dominio que se encuentran en formato alfanumérico, los cuales son nombres fáciles de recordar para el ser humano al momento de referirse a determinado servidor local o sitio web alojado en Internet. Por ejemplo, al servidor con la dirección privada IP 10.10.10.7 está asociado el nombre de dominio srv00prd01.abc.local, o al sitio web en internet www.fanaticosdelared.com está asociada la dirección IP pública 23.67.189.74. En el libro DNS and BIND, 5th Edition, los autores Paul Albitz y Cricket Liu mencionan una breve historia de BIND (Albitz y Liu, 2006, p.35): 60
The first implementation of the Domain Name System was called JEEVES, written by Paul Mockapetris himself. A later implementation was BIND, an acronym for Berkeley Internet Name Domain, written by Kevin Dunlap for Berkeley's 4.3 BSD Unix. BIND is now maintained by the Internet Systems Consortium. BIND is the implementation we'll concentrate on in this book and is by far the most popular implementation of DNS today. It has been ported to most flavors of Unix and is shipped as a standard part of most vendors' Unix offerings. BIND has even been ported to Microsoft's Windows NT, Windows 2000, and Windows Server 2003. (Paul Albitz y Cricket Liu, pag. 35, 2006) En lo que los autores mencionan que la primera implementación de DNS fue llamada JEEVES, escrita por Paul Mockapetris. Una posterior implementación fue BIND, acrónimo de Berkeley Internet Name Domain, escrita por Kevin Dunlap para BSD Unix 4.3. Hoy en día BIND es la más popular implementación de DNS y es un standard usado tanto en sistemas operativos Unix y Windows. 61
Módulo Network Protection Es uno de los módulos más importantes y funcionales en Sophos UTM para controlar la seguridad en la red, ya que éste contiene funciones como; firewall, protección contra amenazas avanzadas, sistema de prevención de intrusos IPS, entre otros. GRÁFICO N 15: OPCIONES DEL MÓDULO NETWORK PROTECTION Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez NETFILTER El firewall de Sophos UTM es basado en el proyecto Netfilter. Netfilter o también llamado iptables es una herramienta desarrollada para funcionar como cortafuegos o firewall la cual permite realizar filtrado de paquetes y también traducción de direcciones de red o NAT (Network Address Translation por sus siglas en ingles). Con Netfilter se pueden crear reglas de firewall que procesen a los paquetes aceptándolos, descartándolos o rechazándolos. 62
SNORT Snort es un potente proyecto Open Source, el cual es implementado por Sophos UTM para su sistema de prevención de intrusos. Alejandro Gramajo de Baicom Networks, define a Snort en su artículo Introducción a conceptos de IDS y técnicas avanzadas con Snort de la siguiente manera: Snort es rápido, flexible y un NIDS Open Source. Empezó a fines de 1998 como un sniffer. Con licencia GPL version 2. Por default utiliza técnicas de detección de firmas y anomalías no estadística. Puede correr en varios modos de ejecución: - Sniffer. - Packet Logger. - NIDS. - IPS con FlexResp o Inline. Requiere libnet. Para Inline se necesita libipq. El engine del Snort está dividido en componentes: - Decodificador del paquete (Packet Decoder) - Toma los datos de libpcap o libipq. - Preprocesadores (Preprocessors o Input Plugins) - Motor de detección (Detection Engine) - Comparación contra firmas - Logging y sistema de alerta (Logging and Alerting System) 63
- Plugins de salida (Output Plugins). (Gramajo, pag. 4, 2005) Módulo Web Protection El modulo Web Protection se encarga del filtrado de navegación y permite establecer políticas de acceso a Internet mediante perfiles de navegación tanto por usuario como por direcciones IP. Los perfiles de navegación pueden configurarse de manera permisiva o restrictiva, permitiendo variedad de opciones como selección de categorías de sitios web predefinidas, ingreso de sitios web personalizados, revisión antivirus en el filtrado de navegación. GRÁFICO N 16: OPCIONES DEL MÓDULO WEB PROTECTION Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Módulo Email Protection El modulo Email Protection brinda protección de trafico SMTP y POP3, es decir, los protocolos encargados del envío y recepción de correos electrónicos, evitando el SPAM (correo no deseado) y los correos maliciosos que puedan descargarse 64
malware e infectar los equipos de los usuarios. También se puede cifrar o encriptar los correos electrónicos para evitar la fuga de información sensible. La implementación de este módulo no es aplicable a la infraestructura de la carrera ya que la misma cuenta con el servicio de correo de Microsoft Exchange OnLine, y para ser aplicable se debe contar con un servidor de correos local. GRÁFICO N 17: OPCIONES DEL MÓDULO EMAIL PROTECTION Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Módulo Wireless Protection Este módulo gestiona la seguridad de redes inalámbricas, pero trabaja con dispositivos Access Point solamente producidos por el fabricante, es decir de la marca Sophos, por tal motivo no es aplicable tampoco este módulo para la implementación en la carrera. 65
Módulo Web Server Protection Web Server Protection es el módulo que contiene el firewall de aplicaciones web, también llamado WAF, el cual protege a los servidores web ubicados dentro de la infraestructura y están publicados a Internet contra las más comunes y avanzadas amenazas que realizan los atacantes a los sitios web, entre las cuales se encuentran los ataques del tipo SQL Injection y XSS. GRÁFICO N 18: OPCIONES DEL MÓDULO WEBSERVER PROTECTION Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez El proyecto OWASP (Open Web Application Security Project), es una comunidad abierta dedicada a habilitar a las organizaciones a desarrollar, comprar y mantener aplicaciones confiables. Esta comunidad publica constantemente un documento llamado OWASP Top 10, el cual es un consenso acerca de los defectos más críticos de seguridad en aplicaciones web. Ver ANEXO N 2 OWASP TOP 10 2013. https://www.owasp.org/index.php/category:owasp_top_ten_project). 66
GRÁFICO N 19: OWASP TOP 10 Elaborado por: Victor Allam Parraga Núñez Fuente: Internet, https://www.owasp.org/index.php/category:owasp_top_ten_project 67
GRÁFICO N 20: OWASP TOP 10 DETALLADO Fuente: Internet https://www.owasp.org/index.php/category:owasp_top_ten_project Módulo Site-to-Site VPN 68
Con la característica de VPN Site-to-Site se puede realizar configuraciones de túneles virtuales entre dos o más organizaciones para establecer una relación de confianza y garantizar el intercambio de información sobre Internet de manera segura ya que los datos transmitidos por dicho canal pasan cifrados desde el origen hacia el destino. GRÁFICO N 21: OPCIONES DEL MÓDULO SITE-TO-SITE VPN Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Los tipos de VPN Site-to-Site que pueden configurarse en Sophos UTM son: - Amazon PVC. - IPsec - SSL 69
GRÁFICO N 22: DIAGRAMA DE CONEXIÓN VPN SITE-TO-SITE Elaborado por: Victor Allam Parraga Núñez Fuente: Internet http://rtfq.net/security/firewall-pages/quick-and-dirty-vpn/site-tosite-vpn-problem/. Módulo Remote Access Este módulo engloba los diferentes tipos de conexiones VPN (Virtual Private Network) cliente, para la conexión remota hacia los servidores y equipos de la carrera de forma segura hacia Internet desde cualquier ubicación. Los tipos de VPN cliente que soporta Sophos UTM son: - SSL - PPTP (conexión insegura) - L2TP sobre IPsec - IPsec - VPN HTMLv5 - VPN Cisco 70
GRÁFICO N 23: OPCIONES DEL MÓDULO REMOTE ACCESS Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez GRÁFICO N 24: DIAGRAMA DE CONEXIÓN VPN SSL CLIENTE Elaborado por: Victor Allam Parraga Núñez Fuente: Internet www.h3c.com 71
Módulo Logging & Reporting El último pero no menos importante de los módulos es el de logs y reportería, en esta sección se pueden revisar los logs y reportes que han generado todas las funcionalidades del UTM, tales como los logs de hardware, uso de la red, protección de la red, filtrado de navegación, protección de correos electrónicos, protección de redes inalámbricas, acceso remoto, protección de servidores web. GRÁFICO N 25: OPCIONES DEL MÓDULO LOGGING & REPORTING Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 72
GRÁFICO N 26: REPORTE DE REGLAS DE ATAQUES DETECTADAS POR EL IPS Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez IMPLEMENTACIÓN DEL UTM EN LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES Como se mencionó en párrafos anteriores, la implementación de este proyecto incluyo una reingeniería de la estructura de red de servidores de la carrera, posterior a un análisis detallado de la situación inicial de la misma y así poder aplicar las mejoras a este diseño. Se instaló la versión software de Sophos UTM 73
v9 en un servidor de rack proporcionado por el Departamento Técnico, con las siguientes características de hardware: CUADRO N 5: CARACTERÍSTICAS DE HARDWARE SERVIDOR UTM SERVIDOR UTM MARCA IBM MODELO System X3250 M4 Intel(R) Xeon(R) CPU E3-1230 V2 @ PROCESADOR 3.30GHz MEMORIA RAM 4 Gb DISCO DURO 900 Gb INTERFACES DE RED 4 a 10/100/1000 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 74
El siguiente gráfico muestra la situación inicial de la estructura de red de la carrera antes del análisis y re-diseño realizado: GRÁFICO N 27: DIAGRAMA DE SITUACION INICIAL DE LA RED CISC Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 75
A su vez, el siguiente GRÁFICO muestra la reingeniería de red realizada después de la implementación del Gestor Unificado de Amenazas y la re-ingeniería de red que se aplicó: GRÁFICO N 28: DIAGRAMA DE SITUACION FINAL DE LA RED CISC Elaborado por: Victor Allam Parraga Núñez Fuente: Victor Allam Parraga Núñez 76
FUNDAMENTACION LEGAL DECRETO PRESIDENCIAL #1014 El decreto presidencial #1014 que dispone a la Función Ejecutiva utilizar software libre en todas sus actividades y del cual se le otorgó al presidente un premio por este decreto, estableció lo siguiente (Ver ANEXO N 3 DECRETO EJECUTIVO 1014: CONSIDERANDO: Que en el apartado g) del numeral 6 d la Carta Iberoamericana de Gobierno Electrónico, aprobada por la IX Conferencia Iberoamericana de Ministros de Administración Pública y Reforma del Estado, realizada en Chile el 1 de Junio de 2007, se recomienda el uso de estándares abiertos y software libre, como herramientas informáticas; Que es el interés del Gobierno alcanzar soberanía y autonomía tecnológica, así como un significativo ahorro de recursos públicos y que el Software Libre es en muchas instancias unos instrumentos para alcanzar estos objetivos; Que el 18 de Julio del 2007 se creó e incorporó a la estructura orgánica de la Presidencia de la República la Subsecretaría de Informática, dependiente de la Secretaría General de la Administración Pública mediante Acuerdo Nº119 publicado en el Registro Oficial No. 139 de 1 de Agosto del 2007; 77
Que el numeral 1 del artículo 6 del Acuerdo Nº 119, faculta a la Subsecretaría de Informática a elaborar y ejecutar planes, programas, proyectos, estrategias, políticas, proyectos de leyes y reglamentos para el uso de Software Libre en las dependencias del gobierno central; y, En ejercicio de la atribución que le confiere el numeral 9 del artículo 171 de la Constitución Política de la república; DECRETA: Artículo 1.- Establecer como política pública para las entidades de la Administración Pública Central la utilización de Software Libre en sus sistemas y equipamientos informáticos. Artículo 2.- Se entiende por Software Libre, a los programas de computación que se pueden utilizar y distribuir sin restricción alguna, que permitan su acceso a los códigos fuentes y que sus aplicaciones puedan ser mejoradas. Estos programas de computación tienen las siguientes libertades: a) Utilización del programa con cualquier propósito de uso común b) Distribución de copias sin restricción alguna 55 c) Estudio y modificación del programa (Requisito: código fuente disponible) d) Publicación delo programa mejorado (Requisito: código fuente disponible) 78
Artículo 3.- Las entidades de la Administración Pública central previa a la instalación del software libre en sus equipos, deberán verificar la existencia de capacidad técnica que brinde el soporte necesario para el uso de este tipo de software. Artículo 4.- Se faculta la utilización de software propietario (no libre) únicamente cuando no exista solución de Software Libre que supla las necesidades requeridas, o cuando esté en riesgo la seguridad nacional, o cuando el proyecto informático se encuentre en un punto de no retorno. Para efectos de este decreto se comprende cómo seguridad nacional, las garantías para la supervivencia de la colectividad y la defensa del patrimonio nacional. Para efectos de este decreto se entiende por un punto de no retorno, cuando el sistema o proyecto informático se encuentre en cualquiera de estas condiciones: a) Sistema en producción funcionando satisfactoriamente y que un análisis de costo beneficio muestre que no es razonable ni conveniente una migración a Software Libre. b) Proyecto es estado de desarrollo y que un análisis de costo - beneficio muestre que no es conveniente modificar el proyecto y utilizar Software Libre. 79
Periódicamente se evaluarán los sistemas informáticos que utilizan software propietario con la finalidad de migrarlos a Software Libre. Artículo 5.- Tanto para software libre como software propietario, siempre y cuando se satisfagan los requerimientos, se debe preferir las soluciones en este orden: a) Nacionales que permitan autonomía y soberanía tecnológica. b) Regionales con componente nacional. c) Regionales con proveedores nacionales. d) Internacionales con componente nacional. e) Internacionales con proveedores nacionales. f) Internacionales. Artículo 6.- La Subsecretaría de Informática como órgano regulador y ejecutor de las políticas y proyectos informáticos de las entidades del Gobierno Central deberá realizar el control y seguimiento de este Decreto. Para todas las evaluaciones constantes en este decreto la Subsecretaría de Informática establecerá los parámetros y metodologías obligatorias. Artículo 7.- Encárguese de la ejecución de este decreto a los señores Ministros Coordinadores y el señor Secretario General de la Administración Pública y Comunicación. 80
Dado en el Palacio Nacional en la ciudad de San Francisco de Quito, Distrito Metropolitano, el día 10 de abril de 2008. HIPÓTESIS PREGUNTAS A CONTESTARSE Constituye la implementación de un gestor unificado de amenazas la solución a los problemas de seguridad perimetral de la Carrera de Ingeniería de Sistemas Computacionales? Se debe establecer canales de comunicación externa segura hacia los servidores internos de la Carrera? Qué ventajas hay al utilizar una solución UTM frente a las soluciones tradicionales? La implementación de un UTM en la carrera dará facilidades de gestión al encargado de las redes y disminuirá el tiempo de respuesta frente a incidentes presentados? 81
VARIABLES DE LA INVESTIGACIÓN Variable independiente: Gestor unificado de amenazas. Variables dependientes: Análisis de la red interna. Análisis de la red perimetral. DEFINICIONES CONCEPTUALES UTM: Gestor unificado de amenazas o Unified Threat Management por sus siglas en inglés, es la reunión de varios servicios de red y soluciones de seguridad perimetral en una sola plataforma, con la finalidad de reducir la complejidad de administración y configuración, disminuir costos y tiempos de respuesta frente a problemas presentados en la red. Seguridad perimetral: Conjunto de medidas aplicables a asegurar o fortalecer el perímetro de las redes, es decir, los equipos que se encuentran en la frontera entre los usuarios internos y los usuarios externos. VPN: Red privada local o Virtual Private Network por sus siglas en inglés, permite establecer una extensión de una LAN hacia cualquier ubicación con 82
conexión a Internet, habilitando el envío y recepción de información entre dos puntos de manera segura a través del túnel seguro que se establece. IPS: Sistema de Prevención de Intrusos o Intrusion Prevention System por sus siglas en inglés, son sistemas que controlan el acceso a la red de manera independiente y automática para evitar que se generen ataques que provoquen la indisponibilidad de los servicios. Los IPS analizan el tráfico que circula por la red y detiene dichos ataques basado en firmas, anomalías o en políticas. WEB GUI: Interfaz Web Gráfica de Usuario o Graphical Interface User Web por sus siglas en inglés, es una solución informática que permite realizar configuraciones de manera gráfica a través de un navegador de Internet, evitando así posibles errores que se pueda cometer al momento de hacer configuraciones por línea de comandos. Red de computadoras: conjunto de equipos o dispositivos informáticos conectados entre sí a través de medios físicos o inalámbricos para, cuyo principal objetivo es el intercambio de información entre los mismos. El más importante de los estándares que rige a las redes de computadoras se basa en el modelo de referencia OSI. 83
CAPÍTULO III METODOLOGÍA DISEÑO DE LA INVESTIGACIÓN MODALIDAD DE LA INVESTIGACIÓN Siendo la característica principal de los proyectos factibles la resolución de problemas de una institución, organización o grupo social, este proyecto es clasificado y considerado como un proyecto factible, puesto que una vez detectado el problema y las necesidades actuales con respecto a la seguridad perimetral de la red administrativa y el centro de datos de la CISC-CIN se plantea como solución un gestor unificado de amenazas, implementando esta herramienta tecnológica con éxito, cuya puesta en producción es realizada en su totalidad protegiendo así los servidores y estaciones de trabajo mediante políticas y buenas prácticas de seguridad para beneficio de la comunidad académica. 84
Como sustento conceptual a la clasificación de mi proyecto como proyecto factible, la Universidad Pedagógica Experimental Libertador expresa lo siguiente: Estudio que consiste en la investigación, elaboración y desarrollo de una propuesta de un modelo operativo viable para solucionar problemas, requerimientos o necesidades de organizaciones o grupos sociales. (UPEL, 2008, p.7). TIPO DE INVESTIGACIÓN El cuadro a continuación detalla las diferencias entre proyecto de investigación y proyecto factible basado en cuatro criterios: CUADRO N 6: DIFERENCIAS ENTRE PROYECTO DE INVESTIGACIÓN Y PROYECTO FACTIBLE Elaborado por: Víctor Allam Párraga Núñez Fuente: De Moya R., Proyecto factible: una modalidad de investigación 85
Por la naturaleza de este proyecto, se encuentra enmarcado dentro de la categoría de tipos de investigación por la factibilidad, siendo el mismo un proyecto factible, que, a diferencia de un proyecto de investigación, este tiene como finalidad plantear y ejecutar una propuesta que solucione un problema previamente detectado que afecte a una institución u organización, a su vez por las características del mismo se constituye también como un proyecto cualitativo y cuantitativo. Dubs de Moya sostiene que para iniciar el diseño de un proyecto factible se plantean varias preguntas (De Moya, 2002, p.10), tales como: qué hacer, para que hacerlo, por qué hacerlo, como hacerlo, donde hacerlo, que magnitud tiene, cuando se hará, quienes lo harán, con qué medios y recursos se hará, que sucede durante la ejecución, cuáles son las limitaciones. Para definir las falencias de seguridad y malas prácticas aplicadas como situación actual en el centro de datos, se realizó el análisis de la estructura lógica y física de los dispositivos de red como switches, routers, enlaces de datos, enlaces de internet, estaciones de trabajo, políticas de firewall, accesos a los sistemas, accesos a Internet, sacando como conclusión que la solución más adecuada para la seguridad de red perimetral interna y externa es la implementación de un gestor unificado de amenazas aplicando configuraciones apegadas a buenas prácticas de seguridad. 86
Una vez diagnosticados los problemas y planteada la solución de implementar un gestor unificado de amenazas, se determina que es necesario también volver a diseñar la estructura de red del centro de datos, para que en conjunto estos dos elementos constituyan una solución integral al problema. Para la recolección de información del estado actual de la red del centro de datos de la CISC-CIN y el posterior análisis se realizó entrevistas con las personas encargadas de administrar dicha plataforma y para aplicar la solución propuesta se consulta una amplia bibliografía englobando artículos de seguridad, libros, revistas, foros de Internet entre otros. 87
POBLACIÓN Y MUESTRA POBLACIÓN La implementación de este proyecto beneficiara directamente a la comunidad académica, conformada por estudiantes y docentes de la Carrera de Ingeniería en Sistemas Computacionales, estudiantes y docentes de la Carrera de Ingeniería en Networking, personal administrativo. CUADRO N 7: COMUNIDAD ECUCATIVA INTEGRANTES TAMAÑO Estudiantes 2654 Docentes 70 Personal administrativo 27 TOTAL 2751 Elaborado por: Víctor Allam Párraga Núñez Fuente: Departamento Técnico CISC-CIN Se realizó una encuesta a los estudiantes de quinto, sexto, séptimo y octavo semestre en la CISC. A este número de estudiantes se los considera como la población para obtener la muestra y realizar las encuestas. Así mismo para el personal docente y administrativo se realizó entrevistas como método de recolección de información. 88
CUADRO N 8: POBLACIÓN ESTUDIANTES TAMAÑO Quinto Semestre 215 Sexto Semestre 197 Séptimo Semestre 155 Octavo Semestre 204 TOTAL 771 Muestra Para determinar el tamaño de la muestra se aplicó la siguiente formula: n Donde: e 2 m ( m 1) 1 m= Tamaño de la población (771) E= error de estimación (5%) n = Tamaño de la muestra? Reemplazando: 771 n 2 (0.05) (771 1) 1 n 771 (0.0025)(770) 771 n 1.925 1 771 n 2.925 n 263 1 Obtenemos que el resultado global de la muestra es 349 personas. Para el cálculo de la fracción muestral realizamos la siguiente operación: 89
Cálculo de la fracción muestral: n f N 263 771 0.3411 Habiendo obtenido el valor de la fracción muestral, calculamos la muestra individualmente para cada grupo integrante de la comunidad académica, de la siguiente manera: Numero de muestra estudiantes = 771 * 0.3411 = 263 Para realizar la investigación se consideró también entrevistar a un experto en seguridad informática quien es un docente de la CISC y CIN. CUADRO N 9: TAMAÑO DE LA MUESTRA ESTUDIANTES POBLACIÓN MUESTRA Quinto Semestre 215 73 Sexto Semestre 197 67 Séptimo Semestre 155 53 Octavo Semestre 204 70 TOTAL 771 263 Elaborado por: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez OPERACIONALIZACIÓN DE VARIABLES Variable Independiente: Gestor unificado de amenazas Variable Dependiente Uno: Análisis de la red interna. Variable Dependiente Dos: Análisis de la red perimetral. 90
CUADRO N 10: MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES VARIABLES DIMENSIONES INDICADORES VARIABLE INDEPENDIENTE Gestor unificado de amenazas. VARIABLES DEPENDIENTES Análisis de la red interna Análisis de la red perimetral Administración centralizada. Diagnóstico del estado actual de la red. Elaborado por: Víctor Allam Parraga Núñez Implementación. Configuración. Corrección de errores. Dimensionamiento de hardware. Enlaces de comunicaciones. Reingeniería de la red. Verificación de disponibilidad de servicios de red. Integración del gestor unificado de amenazas. Disminución de vulnerabilidades. TÉCNICAS Y/O INSTRUMENTOS Referencias bibliográficas. Entrevista a expertos de la CISC. Manual del producto. Revisión de mejores prácticas. Estándares internacionales. Referencias bibliográficas. Consulta a docentes y personal técnico de la CISC. Observación. Fuente: Víctor Allam Parraga Núñez 91
INSTRUMENTOS DE RECOLECCIÓN DE DATOS Para el planteamiento e implementación de este proyecto factible se utiliza técnicas de campo, a continuación se describe conceptualmente las técnicas usadas: Observación. Encuesta y cuestionario. Entrevista Observación Para definir la observación, Achaerandio sostiene que: Investigación por observación significa aquella investigación en la que se recogen directamente los datos, mediante técnicas adecuadas y sin manipulación de las variables. En la investigación por observación se usan diversas técnicas, para recolectar directamente los datos: la observación libre, la observación participada, la encuesta, el cuestionario, la entrevista, etc. (Achaerandio, 2010, p.21). Para la realización de este proyecto, una de las técnicas utilizadas fue la observación libre, aplicada directamente en el centro de cómputo de la CISC, definiendo así la estructura de red actual, ubicación de los servidores, conexiones físicas y lógicas, conexiones internas y externas, de esta manera se esclareció el problema presentado y se fijaron los límites y alcances de este estudio. 92
Encuesta y cuestionario Achaerandio indica que: Para evaluar actitudes se emplean preferentemente cuestionarios de diversos tipos; en todos hay que tener en cuenta la calidad y c1ase de preguntas a plantear. EI cuestionario es una técnica de investigaci6n por observación, cuya ventaja principal es que, en poco tiempo, se puede obtener la reacción de numerosos individuos. Como todos reciben las mismas preguntas o cuestiones, es más fácil ordenar los datos de las respuestas conseguidas. (Achaerandio, 2010, p.148). Debido a las características mencionadas en el párrafo anterior, se eligió como instrumento recolector de información a la encuesta, para así poder obtener respuestas concisas con respecto al tema de estudio, para la elaboración de las preguntas se tomó en cuenta los siguientes criterios definidos por Achaerandio, publicados en su obra Iniciación a la práctica de la investigación, donde expone la calidad que deben tener las preguntas: Interesantes, relacionadas con el objetivo, no hace falta que sean interesantes en sí mismas. Necesarias, no se debe preguntar 10 que ya se sabe por otras fuentes, o es irrelevante. 93
Tabulables, es decir, hay que tener en cuenta de alguna manera como se van a organizar las respuestas para examinarlas. Precisas, se deben evitar preguntas que den respuestas vagas, no exactas. Fáciles, que no requiera mucho esfuerzo exponerlas. Breves, claras, directas, a no ser que se trate de un cuestionario proyectivo. Se realizó dos tipos de encuestas, una enfocada a los alumnos de la carrera y otra enfocada al personal docente y administrativo. Entrevista Se realizó una entrevista informal a un profesional experto en redes y seguridad perimetral, el cual con el aporte de sus conocimientos permitió afianzar o argumentar criterios para enriquecer la tesis con su experiencia y la de demás colegas de la misma área. PROCEDIMIENTO DE LA INVESTIGACIÓN El problema: Planteamiento del problema Interrogantes de la investigación Objetivos de la Investigación Justificación o importancia de la investigación 94
Marco teórico: Fundamentación teórica Fundamentación legal Preguntas a contestarse Definición de términos Metodología: Diseño de Investigación (Tipo de Investigación) Población y Muestra Instrumentos de recolección de datos Operacionalización de variables, dimensiones e indicadores Procedimiento de la Investigación Criterios para la elaboración de la propuesta Marco Administrativo Cronograma Presupuesto 95
Conclusiones y recomendaciones Conclusiones Recomendaciones Referencias bibliográficas Anexos Recolección de la información Durante la recolección de la información se empleó como media la observación y la encuesta, lo que permitió obtener los datos necesarios para la propuesta e implementación de la solución al problema actual con respecto a la seguridad perimetral de la carrera. El cuestionario que se utilizó para la encuesta dirigida a los estudiantes de la carrera se encuentra como anexo en el ANEXO N 4. Para el personal administrativo y docente se realizó una entrevista la cual se encuentra en el ANEXO N 5. PROCESAMIENTO Y ANÁLISIS Después de realizadas las encuestas, estos datos son procesados para posteriormente ser analizados, se representa los resultados en forma gráfica y con cuadros estadísticos por cada pregunta, los cuales permitan comprenderlos de manera más clara. 96
Para el análisis de la pregunta relacionada con la edad del estudiante al ser una variable cuantitativa, se tomó en cuenta los siguientes valores estadísticos: - Media. - Moda. - Mediana. - Varianza. - Desviación estándar. - Rango. - Cuartiles. - Coeficiente de asimetría. - Curtosis. Media: La media aritmética es una medida de tendencia central y es la que se utiliza con mayor frecuencia. La media aritmética se calcula sumando todas las observaciones de un conjunto de datos, dividiendo después ese total entre el número total de elementos involucrados. La media también es denominada promedio. (Estuardo A, 2012, p. 35) Mediana: La mediana es el valor que se encuentra en el centro de una secuencia ordenada de datos. La mediana no se ve afectada por observaciones extremas en un conjunto de datos. Por ello, cuando se presenta alguna información extrema, resulta apropiado utilizar la 97
mediana, y no la media, para describir el conjunto de datos. (Estuardo A, 2012, p. 39) Moda: La moda es el valor de un conjunto de datos que aparece con mayor frecuencia. Se le obtiene fácilmente a partir de un arreglo ordenado. A diferencia de la media aritmética, la moda no se afecta ante la ocurrencia de valores extremos. Sin embargo, sólo se utiliza la moda para propósitos descriptivos porque es más variable, para distintas muestras, que las demás medidas de tendencia central. Un conjunto de datos puede tener más de una moda o ninguna. (Estuardo A, 2012, p. 41) Rango: Es la diferencia entre el máximo y el mínimo valor de un conjunto de datos. (Estuardo A, 2012, p. 46) Varianza: La varianza se define como el promedio aritmético de las diferencias entre cada uno de los valores del conjunto de datos y la media aritmética del conjunto elevadas al cuadrado. (Estuardo A, 2012, p. 48) Desviación estándar: Es la raíz cuadrada positiva de la varianza. La desviación estándar indica el promedio en que se desvía cada una de las observaciones de la media aritmética. (Estuardo A, 2012, p. 51) 98
Coeficiente de variación: Constituye la dispersión relativa por la proporción que existe entre la varianza y la media. Cuartiles: En un conjunto de datos en el que éstos se hallan ordenados de acuerdo con su magnitud, el valor de en medio (o la media aritmética de los dos valores de en medio), que divide al conjunto en dos partes iguales, es la mediana. Continuando con esta idea se puede pensar en aquellos valores que dividen al conjunto de datos en cuatro partes iguales. Estos valores, denotados Q1, Q2 y Q3 son el primero, segundo y tercer cuartiles, respectivamente; el valor Q2 coincide con la mediana. (Spiegel M., Stephens L., 2009, p. 66) Curtosis: La curtosis indica qué tan puntiaguda es una distribución; esto por lo regular es en relación con la distribución normal. A una distribución que tiene un pico relativamente alto se le llama leptocúrtica, en tanto que si es relativamente aplastada se dice platicúrtica. Una distribución normal, que no es ni puntiaguda ni muy aplastada se llama mesocúrtica. (Spiegel M., Stephens L., 2009, p. 126) 99
DESCRIPCIÓN Y CODIFICACIÓN DE LAS VARIABLES Variable 1 Sexo: Con esta variable se busca determinar la cantidad de encuestados pertenecientes al género masculino y la cantidad de encuestados pertenecientes al género femenino. CUADRO N 11: CODIFICACIÓN VARIABLE 1 Sexo Código Masculino 1 Femenino 2 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Variable 2 Edad: Con la variable edad se busca determinar los rangos de edades en las que se encuentran los encuestados. CUADRO N 12: CODIFICACIÓN VARIABLE 2 Edad Código 18-20 1 21-23 2 24-26 3 27-29 4 30- En adelante 5 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 100
Variable 3 Firewall en la CISC: Con esta variable se busca determinar si la CISC cuenta o no con un firewall dentro de su infraestructura. CUADRO N 13: CODIFICACIÓN DE LA VARIABLE 3 Selección Código Si 1 No 2 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Variable 4 Mejorar seguridad en CISC: El objetivo de esta variable es determinar si es necesario mejorar o no la seguridad en los sistemas de la CISC. CUADRO N 14: CODIFICACIÓN DE LA VARIABLE 4 Selección Código Totalmente de acuerdo 5 De acuerdo. 4 Indiferente 3 En desacuerdo 2 Totalmente en desacuerdo 1 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 101
Variable 5 Ataques informáticos: Con esta variable se busca determinar el grado de conocimiento por parte de los encuestados con referencia a los ataques informáticos que pueda sufrir la CISC. CUADRO N 15: CODIFICACIÓN DE LA VARIABLE 5 Selección Código Inyección de código SQL 1 Denegación de servicios 2 Intercepción de tráfico / Escaneo de puertos 3 Exploits a Sistemas Operativos 4 Botnets 5 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Variable 6 Métodos de aseguramiento de información: Esta variable busca obtener las recomendaciones para reforzar la seguridad en la CISC por parte de los encuestados. CUADRO N 16: CODIFICACIÓN DE LA VARIABLE 6 Selección Código Uso de certificados digitales 1 Cifrado de la información (Encriptación). 2 Firewall 3 Autenticación de usuarios 4 Solución anti-malware 5 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 102
Variable 7 UTM en la CISC: Con esta variable se busca saber el grado de confianza por parte de los encuestados con respecto a la implementación de un gestor unificado de amenazas. CUADRO N 17: CODIFICACIÓN DE LA VARIABLE 7 Selección Código Totalmente de acuerdo 5 De acuerdo. 4 Indiferente 3 En desacuerdo 2 Totalmente en desacuerdo 1 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Variable 8 Disponibilidad de servicios: Con esta variable se busca saber la importancia de los encuestados con respecto a la permanente disponibilidad de los servicios informáticos que brinda la CISC. CUADRO N 18: CODIFICACIÓN DE LA VARIABLE 8 Selección Código Totalmente de acuerdo 5 De acuerdo. 4 Indiferente 3 En desacuerdo 2 Totalmente en desacuerdo 1 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 103
Variable 9 Políticas de acceso a Internet: Con esta variable se busca determinar el grado de aceptación de los encuestados para la implementación de políticas de acceso a Internet para el personal administrativo con el fin de mejorar su productividad. CUADRO N 19: CODIFICACIÓN DE LA VARIABLE 9 Selección Código Totalmente de acuerdo 5 De acuerdo. 4 Indiferente 3 En desacuerdo 2 Totalmente en desacuerdo 1 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez Variable 10 VPN: Con esta variable se busca determinar si los encuestados consideran la implementación de redes privadas virtuales como un canal seguro para el acceso remoto a los sistemas de la CISC. CUADRO N 20: CODIFICACIÓN DE LA VARIABLE 10 Selección Código Totalmente de acuerdo 5 De acuerdo. 4 Indiferente 3 En desacuerdo 2 Totalmente en desacuerdo 1 Elaborado por: Víctor Allam Párraga Núñez Fuente: Víctor Allam Párraga Núñez 104
RESULTADOS Y ANALISIS DE LA ENCUESTA REALIZADA Pregunta N 1 Sexo del encuestado: CUADRO N 21: VALORES ESTADÍSTICOS PREGUNTA 1 SELECCIÓN FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Masculino 152 58% Femenino 111 42% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 29: VALORES ESTADÍSTICOS PREGUNTA 1 70% 60% 50% 40% 30% 20% 10% 0% 58% Masculino 42% Femenino Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis: De los datos recolectados y tabulados se arroja como resultado que el 58% de los estudiantes encuestados pertenecen al sexo masculino, frente al 42% de estudiantes que corresponden al sexo femenino. 105
Pregunta N 2 Edad del encuestado: CUADRO N 22: VALORES ESTADÍSTICOS PREGUNTA 2 SELECCION FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA 18-20 44 17% 21-23 48 18% 24-26 39 15% 27-29 52 20% 30- En adelante 80 30% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 30: VALORES ESTADÍSTICOS DETALLADOS PREGUNTA 2 35% 30% 25% 20% 15% 10% 5% 17% 18% 15% 20% 30% 18-20 21-23 24-26 27-29 30- En adelante 0% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis: De los datos recolectados podemos deducir que la mayoría de los estudiantes se encuentran en edad promedio mayor a 30 años, lo cual representa un 30% de las personas encuestadas, el 35% representa a estudiantes de edades entre 18 y 23 años y finalmente estudiantes entre 24 y 29 años representan un 35%. 106
CUADRO N 23: VALORES ESTADÍSTICA DESCRIPTIVA PREGUNTA 2 Media 26.41064639 Error Estándar 0.315240686 Mediana 27 Moda 28 Desviación Estándar 5.112344807 Varianza 26.13606943 Curtosis -1.153281912 Coeficiente de asimetría -0.035401621 Rango 17 Cuartil 1 22 Cuartil 2 27 Cuartil 3 31 Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Con respecto a la media podemos observar que tiene un valor de 26.4 años, con respecto a la moda observamos que la mayor cantidad de personas encuestadas tienen 28 años de edad. La desviación estándar tiene un valor de 5.11, esto quiere decir que, la dispersión de los datos con respecto a la media es de 26.41 +- 5.11 años lo que nos indica que se obtuvo un intervalo de [31.52 21.3]. Con respecto a coeficiente de asimetría nos damos cuenta que es negativo siendo de -0.0354, esto nos indica que la dispersión es asimétrica hacia la izquierda, por lo que la mayor cantidad de los datos se encuentran acumulados hacia la derecha. 107
Pregunta N 3 Cree usted que el centro de cómputo de la Carrera posee un firewall? CUADRO N 24: VALORES ESTADÍSTICOS PREGUNTA 3 SELECCIÓN FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Si 174 66% No 89 34% No se 263 100% TOTAL 174 66% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 31: VALORES ESTADÍSTICOS PREGUNTA 3 80% 60% 40% 20% 0% 66% Si 34% No Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis: Con esta pregunta se busca conocer de manera discreta si el encuestado ha tratado al menos en una ocasión vulnerar las seguridades de la carrera, ya que al responder que se cree que la misma cuenta con un firewall es porque ha investigado los medios que ayudan a proteger las redes en la carrera. De los resultados tabulados se obtiene que el 66% de los estudiantes conoce que las redes de la carrera están protegidas mediante un firewall, el 34% creen que la carrera no cuenta con protección perimetral. 108
Pregunta N 4 Considera usted que es necesario mejorar la seguridad de los sistemas en la carrera? CUADRO N 25: VALORES ESTADÍSTICOS PREGUNTA 4 SELECCION FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Totalmente de acuerdo 49 19% De acuerdo. 64 24% Indiferente 53 20% En desacuerdo 49 19% Totalmente en desacuerdo 48 18% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 32: VALORES ESTADÍSTICOS PREGUNTA 4 30% 25% 20% 15% 10% 5% 0% 19% Totalmente de acuerdo 24% De acuerdo. 20% 19% 18% Indiferente En Totalmente desacuerdo en desacuerdo Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis Existe evidencia suficiente que determina que la mayoría de los encuestados, es decir un 43% considera necesario mejorar las seguridades en la carrera, frente a un 20 % para los cuales es indiferente el tema de la seguridad, y 37% no están de acuerdo con este criterio. 109
Pregunta N 5 Seleccione uno de los ataques informáticos que usted conozca: - Inyección de código SQL - Denegación de servicios - Intercepción de tráfico / Escaneo de puertos - Exploits a Sistemas Operativos - Botnets CUADRO N 26: VALORES ESTADÍSTICOS PREGUNTA 5 SELECCIÓN FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Inyección de código SQL 68 26% Denegación de servicios 40 15% Intercepción de tráfico / Escaneo de puertos 53 20% Exploits a Sistemas Operativos 56 21% Botnets 46 17% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 33: VALORES ESTADÍSTICOS PREGUNTA 5 30% 25% 20% 15% 10% 5% 0% 26% Inyección de código SQL 15% Denegación de servicios 20% 21% Intercepción de tráfico / Escaneo de puertos Exploits a Sistemas Operativos 17% Botnets Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas 110
Análisis De la tabulación realizada a los datos obtenidos con esta pregunta, se determina que el total de los encuestados conocen al menos unos de los ataques informáticos que se expuso en la pregunta, lo cual indica que existe evidencia suficiente para asegurar que la carrera no es ajena a recibir el intento de este tipo de ataques por parte de los estudiantes, ya sea por motivos netamente académicos o maliciosos. 111
Pregunta N 6 De los siguientes métodos de aseguramiento de la información, cuál de ellos recomendaría: - Uso de certificados digitales - Cifrado de la información (Encriptación). - Firewall - Autenticación de usuarios (Directorio Activo) - Solución anti-malware - Desconozco CUADRO N 27: VALORES ESTADÍSTICOS PREGUNTA 6 SELECCION FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Uso de certificados digitales 10 4% Cifrado de la información (Encriptación). 62 24% Firewall 43 16% Autenticación de usuarios 75 29% Solución anti-malware 73 28% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas 112
GRÁFICO N 34: VALORES ESTADÍSTICOS PREGUNTA 6 30% 25% 24% 29% 28% 20% 15% 16% 10% 5% 4% 0% Uso de certificados digitales Cifrado de la información (Encriptación). Firewall Autenticación de usuarios Solución antimalware Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis: Existe evidencia suficiente que indica que el 73% de los encuestados opina que recomendaría como opciones de seguridad incluidas en gestores unificados de amenazas tales como el uso de certificados digitales, firewall y anti-malware, el 29% recomendaría la autenticación de usuarios para asegurar la información. 113
Pregunta N 7 Considera usted que la CISC debería contar con herramientas de gestión unificada de amenazas para protegerse de los ataques informáticos? CUADRO N 28: VALORES ESTADÍSTICOS PREGUNTA 7 SELECCIÓN FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Totalmente de acuerdo 68 26% De acuerdo. 77 29% Indiferente 79 30% En desacuerdo 24 9% Totalmente en desacuerdo 15 6% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 35: VALORES ESTADÍSTICOS PREGUNTA 7 35% 30% 25% 20% 15% 10% 5% 0% 26% Totalmente de acuerdo 29% 30% De acuerdo. 9% 6% Indiferente En Totalmente desacuerdo en desacuerdo Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis: Existe evidencia suficiente que determina que el 55% de los entrevistados considera necesaria la implementación de herramientas de gestión unificada de amenazas para mejorar la seguridad de las redes de la carrera, a su vez el 15 % no está de acuerdo con esta solución y el 30 % para los cuales es indiferente este tema. 114
Pregunta N 8 Considera usted que los servicios en línea brindados por la Carrera deben estar siempre disponibles? CUADRO N 29: VALORES ESTADÍSTICOS PREGUNTA 8 SELECCION FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Totalmente de acuerdo 88 33% De acuerdo 56 21% Indiferente 13 5% En desacuerdo 66 25% Totalmente en desacuerdo 40 15% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 36: VALORES ESTADÍSTICOS PREGUNTA 8 40% 35% 30% 25% 20% 15% 10% 5% 0% 33% Totalmente de acuerdo 21% 5% 25% 15% De acuerdo Indiferente En desacuerdo Totalmente en desacuerdo Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas Análisis: Existe evidencia suficiente para indicar que el 54% de los estudiantes encuestados considera que los servicios de la carrera deben estar siempre disponibles, frente a un 40% de los estudiantes que consideran que los servicios no deben estar siempre disponibles. 115
Pregunta N 9 Considera usted que para aumentar la productividad del personal administrativo se debe implementar políticas de acceso a Internet? CUADRO N 30: VALORES ESTADÍSTICOS PREGUNTA 9 SELECCION FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Totalmente de acuerdo. 61 23% De acuerdo. 56 21% Indiferente 45 17% En desacuerdo 51 19% Totalmente en desacuerdo 50 19% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 37: VALORES ESTADÍSTICOS PREGUNTA 9 25% 20% 23% 21% 17% 19% 19% 15% 10% 5% 0% Totalmente de acuerdo De acuerdo. Indiferente En desacuerdo Totalmente en desacuerdo Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas 116
Análisis: Existe suficiente evidencia que demuestra que el 44% está de acuerdo con implementar políticas de acceso a Internet para mejorar la productividad del personal administrativo, el 38% no está de acuerdo con la implementación de este tipo de políticas. El control de acceso a Internet es determinante para mejorar la productividad de los usuarios en general, ya que es por este medio que muchos de los empleados distraen su atención con videos, redes sociales y páginas de ocio, así mismo el tener abierto totalmente y sin ningún control el acceso a este recurso puede llevar a descargas de código malicioso infectando todos los ordenadores de la red. 117
Pregunta N 10 Considera usted que las VPN (Redes privadas virtuales) permiten un canal seguro, el cual podría ser implementado para garantizar el acceso remoto a los servidores de la carrera o el ingreso de notas al sistema académico? CUADRO N 31: VALORES ESTADÍSTICOS PREGUNTA 10 SELECCION FRECUENCIA ABSOLUTA FRECUENCIA RELATIVA Totalmente de acuerdo 44 17% De acuerdo. 79 30% Indiferente 55 21% En desacuerdo 36 14% Totalmente en desacuerdo 49 19% TOTAL 263 100% Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuestas GRÁFICO N 38: VALORES ESTADÍSTICOS PREGUNTA 10 35% 30% 25% 20% 15% 10% 5% 0% 17% 30% 21% 14% 19% Totalmente De acuerdo. Indiferente En Totalmente de acuerdo desacuerdo en desacuerdo Elaboración: Víctor Allam Parraga Núñez Fuente: Recolección de datos mediante encuesta Análisis: Existe evidencia suficiente que indica que el 47% de los encuestados considera la implementación de VPNs para establecer una canal seguro de comunicación con los sistemas de la carrera, mientras que un 32% no está de acuerdo con que se implemente este tipo de solución, y para el 21% restante es indiferente el tema en cuestión. 118
ANÁLISIS BIVARIADO DE VARIABLES CUALITATIVAS Sexo vs. Mejorar Seguridad CUADRO N 32: COMPARATIVO SEXO VS MEJORAR SEGURIDAD Sexo TDS DS I AC TAC Total General Masculino 28 26 31 37 30 152 Femenino 20 23 22 27 19 111 Total General 48 49 53 64 49 263 Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez GRAFICO N 39: GRÁFICO COMPARATIVO SEXO VS MEJORAR SEGURIDAD 40 30 20 28 20 26 31 23 22 37 27 30 19 10 0 TDS DS I AC TAC Masculino Femenino Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez Basado en los resultados obtenidos de la comparación de ambas variables, se puede observar que 27 personas del sexo femenino y 37 personas del sexo masculino están de acuerdo con que se debe mejorar la seguridad en la CISC, así mismo 30 integrantes del sexo masculino y 19 integrantes del sexo femenino están de totalmente de acuerdo con el criterio antes expuesto. 119
Sexo vs. Disponibilidad de servicios CUADRO N 33: COMPARATIVO SEXO VS DISPONIBILIDAD DE SERVICIOS Sexo TDS DS I AC TAC Total General Masculino 22 13 22 29 66 152 Femenino 18 31 13 27 22 111 Total General 40 44 35 56 88 263 Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez GRAFICO N 40: GRÁFICOMPARATIVO SEXO VS DISPONIBILIDAD DE SERVICIOS 70 60 50 40 30 20 10 0 66 31 29 27 22 22 22 18 13 13 TDS DS I AC TAC Masculino Femenino Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez Basado en los resultados obtenidos de la comparación de ambas variables, se puede observar que 22 personas del sexo femenino y 66 personas del sexo masculino están totalmente de acuerdo en que los servicios informáticos que ofrece la CISC deben estar siempre disponibles, así mismo 29 integrantes del sexo masculino y 27 integrantes del sexo femenino están de acuerdo con el criterio antes expuesto. 120
Sexo vs. Políticas de acceso a Internet CUADRO N 34: COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A INTERNET Sexo TDS DS I AC TAC Total General Masculino 28 27 29 31 37 152 Femenino 22 24 16 25 24 111 Total General 50 51 45 56 61 263 Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez GRAFICO N 41: GRAFICO COMPARATIVO SEXO VS POLÍTICAS DE ACCESO A INTERNET 40 30 20 10 0 28 27 29 31 22 24 16 37 25 24 TDS DS I AC TAC Masculino Femenino Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez Basado en los resultados obtenidos de la comparación de ambas variables, se puede observar que 24 personas del sexo femenino y 37 personas del sexo masculino están totalmente de acuerdo en la implementación de políticas de acceso a Internet, así mismo 31 integrantes del sexo masculino y 25 integrantes del sexo femenino están de acuerdo con el criterio antes expuesto. 121
CRITERIO PARA LA ELABORACIÓN DE LA PROPUESTA Con la implementación de este proyecto de tesis se cubrirá la falta de un sistema centralizado y unificado para contrarrestar las amenazas informáticas dirigidas a la Carrera. Se consideró como criterios para la elaboración de la propuesta el punto antes mencionado, como también la dificultad de administración al tener todos los servicios que se prestan a la red por separado, servicios como firewall, filtrado de navegación web, web application firewall, protección antivirus en navegación web, sistema de prevención de intrusos, etc. Así mismo la falta consolidación de los logs para la presentación y análisis de la reporteria impide que se determine con exactitud el estado y los movimientos que se realicen en la red. Con la culminación de este proyecto, se habrá realizado una reingeniería de la red de la Carrera para la integración y adaptación del sistema gestor unificado de amenazas, teniendo como resultado una estructura lógica robusta frente a ataques de red, con facilidad de administración y visibilidad para el administrador de redes. Luego de la implementación del gestor unificado de amenazas quedarán habilitadas las siguientes funcionalidades: - Administración centralizada de servicios de red perimetral e internos en una amigable e intuitiva GUI (Graphical User Interface) o interfaz gráfica de usuario. 122
- Creación automática y envió de respaldos de configuraciones por correo electrónico a la cuenta del administrador. - Envío de notificaciones automáticas de los eventos generados en la red por correo electrónico. - Aislamiento de servidores publicados a Internet mediante una DMZ (Demilitarized Zone) o Zona Desmilitarizada, como buena práctica en la protección de la red interna en el caso que se hallen comprometidos por un ataque externo, constituyendo esto en una reingeniería de la estructura de red. - Separación de la red de la carrera con la red del centro de cómputo de la Universidad de Guayaquil a través del firewall, para así asegurar la protección de ambas estructuras de red. - Reestructuración y organización de reglas de firewall. - Bloqueo de tráfico proveniente de determinados países. - Habilitación de un Sistema de Prevención de Intrusos o IPS, protegiendo a la red tanto de ataques internos como externos, cubriendo un amplio ámbito de protección detallado a continuación: Ataques específicos a Sistemas Operativos: Windows, Linux y otros. 123
Ataques contra servidores: servidores HTTP, servidores de correo, servidores de bases de datos, servidores DNS, servidores SSH, servidores FTp, servidores de respaldo, servidores SNMP y servidores de Autenticación. Ataques contra software cliente: Microsoft Office, navegadores de Internet (Internet Explorer, Mozilla), Outlook, reproductores multimedia, etc. Comportamiento anormal de protocolos. Malware. Ataques de denegación de servicio. Anti-escaneo de puertos. - Creación de perfiles de navegación, habilitados con control antivirus en tiempo real, evitando así cualquier filtración de malware que busque infectar los equipos mientras los usuarios navegan por Internet. - Protección mediante Web Application Firewall de los servicios web publicados por la carrera, tales como la página web principal, evaluación docente, curso de nivelación, repositorio, sistema académico y sistema docente. Esta protección impide y mitiga ataques como inyección de código SQL, Cross Site Scripting (XSS) y otros tipos de ataques dirigidos a aplicaciones web con el objetivo de extraer o alterar información de las bases de datos. 124
- Habilitación de una VPN Secure Socket Layer, para establecer un canal seguro sobre Internet con los equipos cliente que se quieran conectar a los servicios internos desde una ubicación remota, cifrando así los datos trasferidos entre ambos puntos y evitar el robo de información por personas mal intencionadas que puedan interceptar el canal de comunicación. - Habilitación de reporteria gráfica y sencilla de generar. Los reportes habilitados son: Uso de hardware: procesador, memoria RAM, espacio en disco. Uso de la red: consumo de ancho de banda por cada una de las interfaces de red y por direcciones IP. Protección de la red: Firewall e IPS. Protección de navegación en Internet. Protección de correos entrantes y salientes. Protección wireless. Acceso remoto: conexiones entrantes mediante VPN. Protección de aplicaciones sobre servidores web. Reportes ejecutivos. 125
CRITERIOS DE VALIDACION DE LA PROPUESTA Para la elaboración de la propuesta se tomó en cuenta el criterio de un experto dentro del área de redes y seguridad informática, el cual dentro del tiempo que lleva de experiencia en este campo ha evaluado distintas soluciones que puedan cubrir de manera integral las necesidades de seguridad perimetral dentro de las organizaciones teniendo como resultados satisfactorios la implementación de herramientas gestoras unificadas de amenazas, ya que este tipo de soluciones permiten gestionar de manera centralizada entre otras cosas accesos a la red, ataques dirigidos, protección de virus en navegación web, protección de aplicaciones web, etc. La implementación de esta solución en la carrera permite reducir el tiempo de respuesta frente a incidentes que puedan presentarse en la red y a su vez tomar decisiones acertadas con respecto a los cambios o acciones que deban ejecutarse para evitar problemas a futuro gracias a una mejor visibilidad de los eventos que se generen a través de la gran cantidad de reportes que brinda la herramienta y la facilidad de administración de la misma. 126
CAPÍTULO IV MARCO ADMINISTRATIVO CRONOGRAMA Para la elaboración del cronograma de las actividades generadas por este proyecto, se ha hecho uso de la herramienta Microsoft Project. El siguiente GRÁFICO muestra las actividades desarrolladas para la implementación y culminación de este proyecto de tesis, el cual ha sido dividido en 5 fases: - FASE 1: Levantamiento de información. - FASE 2: Análisis y diseño de la solución. - FASE 3: Implementación. - FASE 4: Pruebas y análisis de rendimiento. - FASE 5: Puesta en producción. 127
GRÁFICO N 42: CRONOGRAMA DE ACTIVIDADES DEL PROYECTO Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez 128
GRÁFICO N 43: DIAGRAMA DE GANTT Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez 129
PRESUPUESTO Los rubros monetarios generados en función de la implementación de este proyecto de grado se detallan a continuación, desglosados en términos de INGRESOS y EGRESOS: CUADRO N 35: DETALLE DE INGRESOS PARA EL PROYECTO INGRESOS Financiamiento propio $930,00 TOTAL DE INGRESOS $930,00 Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez CUADRO N 36: DETALLE DE EGRESOS PARA EL PROYECTO EGRESOS DÓLARES Curso especializado de Sophos UTM v9. $ 500.00 Libros de seguridad de redes. 200.00 Empastado y anillado de tesis de grado. 150.00 Transporte 80.00 TOTAL DE EGRESOS $ 930.00 Elaboración: Víctor Allam Parraga Núñez Fuente: Víctor Allam Parraga Núñez 130
CAPÍTULO V CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES Una vez realizada y culminada la implementación del Gestor Unificado de Amenazas, se evidenció la falta que hacia contar con una herramienta centralizada que permita administrar desde un solo servidor todos los servicios de red y que a su vez permita mitigar, controlar, detectar y neutralizar las variadas amenazas informáticas presentes en la actualidad provenientes tanto de ambientes externos (Internet) como internos (usuarios de la red), amenazas que son cada vez más sofisticadas y potentes a la hora de causar daño a nuestras redes y por consiguiente a la información que circula por la misma. Los resultados obtenidos con la implementación de este proyecto se detallan a continuación: - Haber culminado con éxito la implementación del gestor unificado de amenazas en el Centro de Cómputo de la Carrera de Ingeniería de Sistemas Computacionales bajo el producto seleccionado después de un análisis comparativo entre soluciones presentes en el mercado. 131
- Se rediseñó la estructura de red tomando en cuenta los fallos de seguridad, los cuales fueron mitigados abarcando servidores y estaciones de trabajo administrativas. - Se fortaleció las políticas y reglas de acceso configuradas, tomando decisiones basado en la reporteria generada después de la puesta en producción del gestor unificado de amenazas consolidando así el uso eficiente de sus funcionalidades. - La implementación de este proyecto de tesis me permitió de manera significativa incrementar los conocimientos y habilidades en el campo profesional. 132
RECOMENDACIONES Puesto que el proyecto implementado cubre solamente uno de los vectores de la seguridad informática, como lo es la seguridad de red perimetral, se emiten las siguientes recomendaciones con respecto a la administración y control de la infraestructura de red a nivel macro en la carrera: - Implementar un Gestor Unificado de Amenazas para la red de los laboratorios y así poder cubrir todos los ámbitos de protección en la carrera. - Establecer políticas de cifrado de los enlaces de comunicación entre el Centro de Datos de la carrera y el Centro de Datos principal de la Universidad de Guayaquil. - Implementar una solución antivirus o endpoint corporativa centralizada, que tenga como ámbito la protección de los servidores y estaciones de trabajo tanto de la red administrativa como de la red de laboratorios. - Definir y establecer políticas y procedimientos de seguridad física y acceso al Centro de Datos de la carrera. 133
- Implementar un servidor de actualizaciones de seguridad de software y Sistemas Operativos, tanto para estaciones de trabajo como para servidores. - Implementar un sistema de escaneo de vulnerabilidades que dé como resultado las opciones de remediación de las vulnerabilidades encontradas en los diversos sistemas y componentes de la red, programando la ejecución de los análisis periódicos mensualmente. - Designar a un responsable del cuarto de servidores para que gestione y monitoree los servicios que están disponibles para el personal administrativo y comunidad estudiantil. 134
BIBLIOGRAFÍA Achaerandio L. (2010). Iniciación a la práctica de la investigación. Ciudad de Guatemala. Karen Cecilia de la Vega Toledo y Gustavo García Fong. De Moya R., (2002). Proyecto factible: una modalidad de investigación. Venezuela. Universidad Pedagógica Experimental Libertador. Gheorge L. (2006). Designing and Implementing Linux Firewalls and QoS using netfilter, iproute2, NAT, and L7-filter. 32 Lincoln Road Olton Birmingham, B27 6PA, UK. PACKT PUBLISHING. Gramajo A. (2005). Introducción a conceptos de IDS y técnicas avanzadas con Snort. Baicom Networks. Ingham K., Forrest S. (2002). A History and Survey of Network Firewalls. University of New Mexico. Keiser H. (2011). Open VPN 2 Cookbook. 32 Lincoln Road Olton Birmingham, B27 6PA, UK. PACKT PUBLISHING. Paul A., Cricket L. (2006). DNS and BIND, 5th Edition. 1005 Gravenstein Highway North, Sebastopol, CA. O Reilly Media Inc. 135
Rehman R. (2003). Intrusion Detection Systems with Snort Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID. New Jersey. Pearson Education Inc. Sophos UTM Administration Guide (2014). Sophos Ltd. Tanenbaum A. (2003). Redes de computadoras 4ta Edición. México. Pearson Educación. Estuardo A. (2012). Estadistica y probabilidades. Chile. Universidad Católica de la Santísima Concepción. Spiegel M., Stephen L. (2009). Estadistica Schaum Cuarta Edición. México. Mc Graw Hill. 136
WEBGRAFÍA Information Sciences Institute University of Southern California. RFC 793: TRANSMISSION CONTROL PROTOCOL. 4676 Admiralty Way Marina del Rey, California 90291. http://tools.ietf.org/html/rfc793 Internet Engineering Task Force (IETF) (2014). University of Southern California. RFC 7323: TCP Extensions for High Performance. 4676 Admiralty Way Marina del Rey, California 90291. http://tools.ietf.org/html/rfc7323 Kolodgy C. (2004), http://www.sophos.com/en-us/security-news-trends/securitytrends/securing-your-network-with-utm/what-is-utm.aspx Open Web Application Security Project (2013). OWASP TOP 10. https://www.owasp.org/index.php/category:owasp_top_ten_project Postel J. (1980). RFC 768: USER DATAGRAM PROTOCOL. http://tools.ietf.org/html/rfc768 137
ANEXOS 138
ANEXO N 1 REPORTE EJECUTIVO
ANEXO N 2 OWASP TOP 10 2013
ANEXO N 3 DECRETO EJECUTIVO 1014
ANEXO N 4 - ENCUESTA REALIZADA A ESTUDIANTES 1) Sexo del encuestado: Masculino. Femenino. 2) Edad del encuestado 18-20 21-23 24-26 27-29 30- En adelante 3) Cree usted que el centro de cómputo de la Carrera posee un firewall? Sí. No. 4) Considera usted que es necesario mejorar la seguridad de los sistemas en la carrera? Totalmente de acuerdo. De acuerdo. Indiferente. En desacuerdo. Totalmente en desacuerdo. 5) Seleccione uno de los ataques informáticos que usted conozca: Inyección de código SQL. Denegación de servicios. Intercepción de tráfico /Escaneo de puertos. Exploits a Sistemas Operativos. Botnets. 6) De los siguientes métodos de aseguramiento de la información, cuál de ellos recomendaría: Uso de certificados digitales. Cifrado de la información (Encriptación). Autenticación de usuarios. Solución anti-malware. Firewall 7) Considera usted que la CISC debería contar con herramientas de gestión unificada de amenazas para protegerse de los ataques informáticos? Totalmente de acuerdo. De acuerdo. Indiferente En desacuerdo. Totalmente en desacuerdo. 8) Considera usted que los servicios en línea brindados por la Carrera deben estar siempre disponibles? Totalmente de acuerdo. De acuerdo. Indiferente En desacuerdo. Totalmente en desacuerdo.
9) Considera usted que para aumentar la productividad del personal administrativo se debe implementar políticas de acceso a Internet? Totalmente de acuerdo. De acuerdo. Indiferente En desacuerdo. Totalmente en desacuerdo. 10) Considera usted que las VPN (Redes privadas virtuales) permiten un canal seguro, el cual podría ser implementado para garantizar el ingreso de notas al sistema académico? Totalmente de acuerdo. De acuerdo. Indiferente En desacuerdo. Totalmente en desacuerdo.
ANEXO N 5 - ENTREVISTA REALIZADA A DOCENTES Y ADMINISTRATIVOS 1) Que opina usted al respecto de la implementación de herramientas de seguridad informática en la CISC. 2) Al acceder a los sistemas de la Carrera tiene la percepción de que se lo está realizando de manera segura? 3) Qué impacto cree usted que se generaría al sufrir un ataque informático en la CISC? 4) Qué medidas de control de riesgo considera usted que debería aplicar la CISC ante la pérdida de información?
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO MANUAL TÉCNICO Y DE USUARIO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES AUTOR: VICTOR ALLAM PARRAGA NUÑEZ TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c GUAYAQUIL ECUADOR DICIEMBRE - 2014
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES IMPLEMENTACIÓN DE UN GESTOR UNIFICADO DE AMENAZAS DE SEGURIDAD PARA LA RED ADMINISTRATIVA DE LA CARRERA DE INGENIERÍA DE SISTEMAS COMPUTACIONALES, BASADO EN EL ANÁLISIS DE SU INFRASTRUCTURA DE RED INTERNA Y DE PERÍMETRO MANUAL TÉCNICO Y DE USUARIO Previa a la obtención del Título de: INGENIERO EN SISTEMAS COMPUTACIONALES AUTOR: VICTOR ALLAM PARRAGA NUÑEZ TUTOR: ING. ALFONSO GUIJARRO RODRÍGUEZ MS.c GUAYAQUIL ECUADOR DICIEMBRE - 2014 ii
INDICE GENERAL INTRODUCCIÓN... 1 MANUAL TÉCNICO... 2 RECURSOS DE HARDWARE DEL SERVIDOR... 2 INSTALACIÓN DEL SISTEMA OPERATIVO DE SOPHOS UTM... 3 SOLICITUD Y DESCARGA DE LICENCIA... 12 MANUAL DE USUARIO ADMINISTRADOR DE RED... 19 ACCESO A LA INTERFAZ DE CONFIGURACIÓN WEB (WEBADMIN)... 19 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO MANAGEMENT... 20 Auditoría de sesiones iniciadas... 20 Configuraciones de sistema... 21 Configuración de WebAdmin... 25 Configuración de Licensing... 27 Configuración de actualización de firmware... 27 Configuración de respaldos automáticos:... 28 Configuración del Portal de Usuario:... 29 Configuración de notificaciones:... 30 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO DEFINITIONS AND USER... 31 Configuración de autenticación de doble factor... 31 Configuración de políticas de bloqueo de usuarios:... 32 Configuración de políticas de contraseñas... 33 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO INTERFACES AND ROUTING... 34 Configuración de interfaces de red... 34 Configuración de calidad de servicio... 34 Interfaces and Routing -> Quality of Service -> Bandwidth Pools. Se selecciona en Bound to interface la interface en la que se quiere aplicar calidad de servicio y se da clic en New Bandwidth Pools para crear la regla de calidad de servicio, a continuación se asigna un nombre y la velocidad restringida y límite. Gráfico 54. 35 Configuración de rutas estáticas... 36 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO NETWORK PROTECTION... 37 Creación de reglas de firewall... 37 iii
Revisión de logs de firewall en tiempo real... 39 Configuración de bloqueo por países... 40 Configuración de protección contra amenazas avanzadas... 40 Configuración de Sistema de Prevención de Intrusos... 41 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO WEB PROTECTION... 42 Configuración de la política global de filtrado... 42 Configuración de perfiles de navegación... 44 Configuración de control de aplicaciones... 49 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO WEBSERVER PROTECTION... 50 Configuración de Web Application Firewall... 50 CONFIGURACIÓN DE FUNCIONES DEL MÓDULO REMOTE ACCESS... 52 Configuración de VPN SSL... 52 Configuración de VPN PPTP... 52 Configuración de VPN L2TP sobre IPSec... 53 REVISIÓN DE REPORTES Y LOGS... 54 Ver archivos de log... 54 Reports de Hardware... 55 Reportes de uso de red... 56 Reportes de protección de la red... 57 Reportes de navegación web... 59 Reporte de Web Application Firewall... 60 Configuración de reporte ejecutivo... 61 iv
INDICE DE GRÁFICOS GRAFICO N 1: Servidor IBM X3250 M4... 2 GRAFICO N 2: Pantalla de bienvenida de instalación... 3 GRAFICO N 3: Pantalla de advertencia de borrado de datos... 3 GRAFICO N 4: Pantalla de detección de Hardware... 4 GRAFICO N 5: Pantalla de selección de idioma... 4 GRAFICO N 6: Pantalla de selección de Zona Horaria (1)... 5 GRAFICO N 7: Pantalla de selección de Zona Horaria (2)... 5 GRAFICO N 8: Pantalla de configuración de fecha y hora... 6 GRAFICO N 9: Pantalla de selección de interface de administración... 6 GRAFICO N 10: Pantalla de configuración de red... 7 GRAFICO N 11: Pantalla de soporte para arquitecturas de 64 bits... 7 GRAFICO N 12: Pantalla de información... 8 GRAFICO N 13: Pantalla de particionamiento... 8 GRAFICO N 14: Pantalla de formateo de disco (Etaba 2/6)... 9 GRAFICO N 15: Pantalla de copia de paquetes (Etapa 3/6)... 9 GRAFICO N 16: Pantalla de instalación del Enterprise Toolkit (Etapa 5/6)... 10 GRAFICO N 17: Pantalla de instalación finalizada... 10 GRAFICO N 18: Pantalla de Bienvenida a Sophos UTM... 11 GRAFICO N 19: Pantalla de línea de comandos... 11 GRAFICO N 20: Página web de Sophos UTM Home Edition... 12 GRAFICO N 21: Formulario de información para la licencia... 12 GRAFICO N 22: Mensaje informativo de generación de licencia... 13 GRAFICO N 23: Pantalla de login de Webadmin Sophos UTM... 19 GRAFICO N 24: Pantalla de dashboard o panel principal... 19 GRAFICO N 25: Registro de sesiones iniciadas... 20 GRAFICO N 26: Detalle de cambios en configuraciones por usuario... 20 GRAFICO N 27: Configuración de informacipon organizacional... 21 GRAFICO N 28: Configuración de hostname... 21 GRAFICO N 29: Configuración de fecha y hora... 22 GRAFICO N 30: Activación de acceso por línea de comandos shell... 22 GRAFICO N 31: Configuración de redes permitidas a acceder por shell... 23 GRAFICO N 32: Evitar acceso root por shell... 23 GRAFICO N 33: Configuración de contraseñas de acceso vía shell... 23 GRAFICO N 34: Configuración del puerto SSH... 24 GRAFICO N 35: Configuración de opciones de escaneo... 24 GRAFICO N 36: Configuración de idioma y acceso WebAdmin... 25 GRAFICO N 37: Configuración de roles por usuario... 26 GRAFICO N 38: Configuración avanzada... 26 GRAFICO N 39: Pantalla de instalación de licencia... 27 GRAFICO N 40: Actualizaciones disponibles... 27 GRAFICO N 41: Pantalla de instalación de actualizaciones disponibles... 28 v
GRAFICO N 42: Planificación de instalación de actualizaciones... 28 GRAFICO N 43: Configuración de respaldos automáticos... 29 GRAFICO N 44: Configuración del Portal de Usuario... 29 GRAFICO N 45: Configuración de correo para notificaciones... 30 GRAFICO N 46: Selección de notificaciones... 30 GRAFICO N 47: Configuración de autenticación de doble factor... 31 GRAFICO N 48: Escaneo de código QR con Google Authenticator... 32 GRAFICO N 49: Configuración de políticas de bloqueo... 32 GRAFICO N 50: Configuración de política de contraseñas... 33 GRAFICO N 51: Configuración de interfaces de red... 34 GRAFICO N 52: Configuración de interface para calidad de servicio... 34 GRAFICO N 53: Configuración de Traffic Selector... 35 GRAFICO N 54: Creación de regla de calidad de servicio... 35 GRAFICO N 55: Configuración de rutas estáticas... 36 GRAFICO N 56: Habilitación de ruta estática... 36 GRAFICO N 57: Creación de reglas de firewall... 37 GRAFICO N 58: Regla de firewall de acceso permitido... 38 GRAFICO N 59: Regla de firewall de acceso denegado... 38 GRAFICO N 60: Regla de firewall de acceso rechazado... 38 GRAFICO N 61: Abrir logs de fireall en tiempo real... 39 GRAFICO N 62: Logs de firewall en tiempo real... 39 GRAFICO N 63: Bloqueo por países... 40 GRAFICO N 64: Configuración de protección contra amenazas avanzadas... 40 GRAFICO N 65: Habilitación del IPS... 41 GRAFICO N 66: Configuración de patrones IPS... 41 GRAFICO N 67: Configuración de anti escaneo de puertos... 42 GRAFICO N 68: Configuración de política global de filtrado... 42 GRAFICO N 69: Configuración de categorías en el perfil de navegación... 44 GRAFICO N 70: Configuración de sitios permitidos y denegados... 45 GRAFICO N 71: Configuración de sitios web permitidos y denegados (2)... 45 GRAFICO N 72: Bloqueo de archivos por extensiones... 46 GRAFICO N 73: Configuración de motor antivirus... 46 GRAFICO N 74: Configuraciones adicionales de la acción de filtrado... 47 GRAFICO N 75: Creación del perfil de navegación... 48 GRAFICO N 76: Selección de acción de filtrado... 48 GRAFICO N 77: Habilitación de control de aplicaciones... 49 GRAFICO N 78: Creación de regla de control de aplicaciones... 49 GRAFICO N 79: Regla de control de aplicaciones de Facebook... 50 GRAFICO N 80: Perfil de protección avanzado... 50 GRAFICO N 81: Configuración de servidor web... 51 GRAFICO N 82: Configuración de servidor virtual... 51 GRAFICO N 83: Configuración de perfil VPN SSL... 52 GRAFICO N 84: Configuración de VPN PPTP... 52 GRAFICO N 85: Configuración de VPN L2TP sobre IPSec... 53 vi
GRAFICO N 86: Ver archivos de logs... 54 GRAFICO N 87: Reporte de Hardware... 55 GRAFICO N 88: Reportes de uso de red... 56 GRAFICO N 89: Reporte de violaciones de firewall e IPS... 57 GRAFICO N 90: Reporte de IPS... 58 GRAFICO N 91: Reporte de atacantes detectado por el IPS... 58 GRAFICO N 92: Reporte de navegación web... 59 GRAFICO N 93: Detalle de uso de red por usuario o host... 59 GRAFICO N 94: Estadisticas de uso de sitios y aplicaciones web locales... 60 GRAFICO N 95: Tipos de ataques detectados por el WAF... 60 GRAFICO N 96: Configuración de reporte ejecutivo... 61 GRAFICO N 97: Reportes ejecutivos archivados... 61 vii
INTRODUCCIÓN Sophos UTM es una solución de seguridad perimetral basada en Suse Linux Enterprise 11, dentro del cual hay disponibles la versión en appliance, software y virtual. Para todas sus versiones existe el modo comercial, pero para la versión de software (instalable en cualquier servidor con características de hardware compatibles) existe una versión llamada Home Edition (licenciamiento libre) que ofrece todas las funcionalidades de la versión comercial con la única limitante de protección a sólo 50 direcciones IP, sean estos dispositivos tales como servidores, estaciones de trabajo, impresoras, teléfonos IP, etc. Este documento se divide en dos secciones, la primera corresponde al Manual Técnico y la segunda corresponde al Manual de Usuario, es decir, el Administrador de la Red de la CISC. En el manual técnico se detallará detalles tales como la instalación del Sistema Operativo de Sophos UTM, adquisición de la licencia, configuraciones establecidas inicialmente, diagramas de red, etc. En el manual de usuario se detallará como realizar las distintas configuraciones que se encuentran disponibles en cada uno de los módulos del producto. 1
MANUAL TÉCNICO RECURSOS DE HARDWARE DEL SERVIDOR Para la instalación del UTM se hizo uso de un servidor de rack disponible en el cuarto de servidores de la CISC, las características de este equipo se detallan a continuación en el siguiente cuadro: CUADRO N 1: Características de hardware servidor UTM SERVIDOR UTM MARCA IBM MODELO System X3250 M4 Intel(R) Xeon(R) CPU E3-1230 V2 @ PROCESADOR 3.30GHz MEMORIA RAM 4 Gb DISCO DURO 900 Gb INTERFACES DE RED 4 a 10/100/1000 GRAFICO N 1: Servidor IBM X3250 M4 2
INSTALACIÓN DEL SISTEMA OPERATIVO DE SOPHOS UTM La ventana inicial muestra la bienvenida a la instalación, y realiza la advertencia que se perderán todos los datos del disco, y la instalación sobrescribirá este dispositivo, ver Gráfico 2. A continuación se debe presionar la tecla Enter para iniciar el asistente de instalación. GRAFICO N 2: Pantalla de bienvenida de instalación En el Gráfico 3, vemos nuevamente la advertencia de borrado, y damos clic en Start. GRAFICO N 3: Pantalla de advertencia de borrado de datos 3
En el gráfico 4 observaremos la pantalla de visualización del Hardware que ha sido detectado, y en el gráfico 5 deberemos elegir el idioma del teclado desde donde hacemos la instalación, en este caso elegimos inglés y ponemos Ok. GRAFICO N 4: Pantalla de detección de Hardware GRAFICO N 5: Pantalla de selección de idioma 4
Tal como lo muestra el gráfico 6 y gráfico 7, elegimos nuestra zona horaria correspondiente, en America Guayaquil, y seguimos con la instalación. GRAFICO N 6: Pantalla de selección de Zona Horaria (1) GRAFICO N 7: Pantalla de selección de Zona Horaria (2) 5
En el gráfico 8 se muestra que el siguiente paso es configurar la fecha y hora local y damos clic en Next, luego como lo indica el gráfico 9 se deberá seleccionar la tarjeta de red que será usada para configurar la interfaz de Administración. GRAFICO N 8: Pantalla de configuración de fecha y hora GRAFICO N 9: Pantalla de selección de interface de administración 6
A continuación deberemos definir la dirección IP de la red interna administrativa, o cualquiera que nos sirva para tener conexión para la configuración inicial, mostramos su configuración en el gráfico 10. Luego se mostrará un aviso para su confirmación indicando que se recomienda instalar la versión de 64 bits para aprovechar los recursos actuales del hardware, a lo que contestaremos que sí aceptamos, veamos el gráfico 11. GRAFICO N 10: Pantalla de configuración de red GRAFICO N 11: Pantalla de soporte para arquitecturas de 64 bits 7
En el gráfico 12, observamos una pantalla de información indicando consideraciones de hardware previo a la instalación, luego de dar OK tendremos la confirmación de borrado de la partición donde se instalará Sophos UTM, observar el gráfico13. GRAFICO N 12: Pantalla de información GRAFICO N 13: Pantalla de particionamiento 8
La instalación procederá a formatear la partición previamente designada y mostrará su avance en la barra de progreso, terminado esta etapa continuará con la copia de los paquetes necesarios para su funcionamiento, ver gráficos 14 y 15. GRAFICO N 14: Pantalla de formateo de disco (Etaba 2/6) GRAFICO N 15: Pantalla de copia de paquetes (Etapa 3/6) 9
Podemos observar en el gráfico 16 el avance de la copia del Enterprise Toolkit, y finalmente si todo ha ido bien, tendremos la pantalla de aviso de finalización de la instalación en la que se debe presionar la opción Reboot para que se reinicie el servidor como lo muestra el gráfico 17. GRAFICO N 16: Pantalla de instalación del Enterprise Toolkit (Etapa 5/6) GRAFICO N 17: Pantalla de instalación finalizada 10
La siguiente pantalla que tenemos en el gráfico 18, es la antesala que nos invita ya a realizar la primera configuración de Sophos UTM. Al presionar la tecla F2 se podrá acceder a la línea de comandos local del servidor e indica la URL desde la cual se puede acceder por un browser y realizar las configuraciones iniciales, ver gráfico 19. GRAFICO N 18: Pantalla de Bienvenida a Sophos UTM GRAFICO N 19: Pantalla de línea de comandos 11
SOLICITUD Y DESCARGA DE LICENCIA Para proceder a la solicitud y descarga de la licencia de la versión Home Edition, se debe acceder al link: https://www.sophos.com/es-es/products/free-tools/sophos-utm-homeedition.aspx. Ver gráfico20. A continuación damos clic en el botón Póngase manos a la obra, después de esto aparecerá un formulario solicitando información para generar la licencia. Ver gráfico 21. GRAFICO N 20: Página web de Sophos UTM Home Edition GRAFICO N 21: Formulario de información para la licencia 12
Una vez se haya llenado la información en el formulario se debe seleccionar Acepto la Política de privacidad y los Términos y condiciones. Después damos clic en el botón Enviar, aparecerá el mensaje mostrado en el gráfico 22 y la licencia llegará a la dirección de correo que se haya ingresado en el formulario. GRAFICO N 22: Mensaje informativo de generación de licencia CONFIGURACIONES ESTABLECIDAS Información Organizacional CUADRO N 2: Información organizacional Organization Name City Country Administrator s Email Address: CISC Guayaquil Ecuador fcmf.cisc.admin@ug.edu.ec Hostname: fwscn.cisc.ug.edu.ec Servidores NTP: pool.ntp.org Política de acceso ssh CUADRO N 3: Acceso SSH Habilitado No Redes permitidas 192.168.200.0/26 13
Motor de escaneo antivirus por defecto: Sophos Idioma WebAdmin: Inglés Política de cierre de sesión despúes de: 900 segundos Puerto de administración WebAdmin: 1024 TCP Identificación de licencia: 547671 Política de descarga de actualizaciones: Automático. Política de instalación de actualizaciones: Manual Política de configuración de respaldos automáticos de configuración CUADRO N 4: Configuración de respaldos Intervalo Destinatarios Diario admin@fcmf.ug.edu.ec vpn.sys@gmail.com Portal de usuario CUADRO N 5: Configuración de Portal de Usuario Redes permitidas Todas Usuarios permitidos Todos Idioma por default Inglés Dirección IP Cualquiera Puerto 443 Política de notificaciones CUADRO N 6: Configuración de notificaciones Intervalo Destinatarios Diario admin@fcmf.ug.edu.ec vpn.sys@gmail.com 14
Configuración de interfaces de red 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000 link/ether 34:40:b5:8e:0e:49 brd ff:ff:ff:ff:ff:ff inet 192.168.200.126/26 brd 192.168.200.127 scope global eth1 3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000 link/ether 90:e2:ba:2f:e3:96 brd ff:ff:ff:ff:ff:ff inet 10.10.42.1/27 brd 10.10.42.31 scope global eth0 4: eth3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000 link/ether 34:40:b5:8e:0e:4a brd ff:ff:ff:ff:ff:ff inet 200.110.68.226/27 brd 200.110.68.255 scope global eth3 inet 200.110.68.235/27 scope global secondary eth3 5: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc hfsc state UP qlen 1000 link/ether 90:e2:ba:2f:e3:97 brd ff:ff:ff:ff:ff:ff inet 10.87.164.1/24 brd 10.87.164.255 scope global eth2 inet 10.87.164.12/24 scope global secondary eth2 inet 10.87.164.11/24 scope global secondary eth2 inet 10.87.164.13/24 scope global secondary eth2 inet 10.87.164.14/24 scope global secondary eth2 7: usb0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 36:40:b5:8e:0e:4c brd ff:ff:ff:ff:ff:ff 8: ifb0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32 link/ether ce:ba:af:2e:24:d1 brd ff:ff:ff:ff:ff:ff 9: ifb1: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32 link/ether ee:ad:43:67:04:ad brd ff:ff:ff:ff:ff:ff 10: ifb2: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32 link/ether da:6c:b3:a9:d4:a5 brd ff:ff:ff:ff:ff:ff 11: ifb3: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc tbf state UNKNOWN qlen 32 link/ether 12:0b:58:10:ee:bc brd ff:ff:ff:ff:ff:ff 12: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 10.242.2.1 peer 10.242.2.2/32 scope global tun0 15
Configuración de rutas default via 10.87.164.211 dev eth2 table 200 proto kernel onlink local default dev lo table 252 scope host default via 10.87.164.211 dev eth2 table default proto kernel metric 20 onlink 10.10.42.0/27 dev eth0 proto kernel scope link src 10.10.42.1 10.87.117.112 via 10.87.164.211 dev eth2 proto static metric 5 10.87.118.119 via 10.87.164.211 dev eth2 proto static metric 5 10.87.151.1 via 10.87.164.211 dev eth2 proto static metric 5 10.87.164.0/24 dev eth2 proto kernel scope link src 10.87.164.1 10.242.2.0/24 via 10.242.2.2 dev tun0 proto sslvpn 10.242.2.2 dev tun0 proto kernel scope link src 10.242.2.1 127.0.0.0/8 dev lo scope link 192.168.200.64/26 dev eth1 proto kernel scope link src 192.168.200.126 200.110.68.224/27 dev eth3 proto kernel scope link src 200.110.68.226 broadcast 10.10.42.0 dev eth0 table local proto kernel scope link src 10.10.42.1 local 10.10.42.1 dev eth0 table local proto kernel scope host src 10.10.42.1 broadcast 10.10.42.31 dev eth0 table local proto kernel scope link src 10.10.42.1 broadcast 10.87.164.0 dev eth2 table local proto kernel scope link src 10.87.164.1 local 10.87.164.1 dev eth2 table local proto kernel scope host src 10.87.164.1 local 10.87.164.11 dev eth2 table local proto kernel scope host src 10.87.164.1 local 10.87.164.12 dev eth2 table local proto kernel scope host src 10.87.164.1 local 10.87.164.13 dev eth2 table local proto kernel scope host src 10.87.164.1 local 10.87.164.14 dev eth2 table local proto kernel scope host src 10.87.164.1 broadcast 10.87.164.255 dev eth2 table local proto kernel scope link src 10.87.164.1 local 10.242.2.1 dev tun0 table local proto kernel scope host src 10.242.2.1 broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 broadcast 192.168.200.64 dev eth1 table local proto kernel scope link src 192.168.200.126 local 192.168.200.126 dev eth1 table local proto kernel scope host src 192.168.200.126 broadcast 192.168.200.127 dev eth1 table local proto kernel scope link src 192.168.200.126 broadcast 200.110.68.224 dev eth3 table local proto kernel scope link src 200.110.68.226 local 200.110.68.226 dev eth3 table local proto kernel scope host src 200.110.68.226 local 200.110.68.235 dev eth3 table local proto kernel scope host src 200.110.68.226 broadcast 200.110.68.255 dev eth3 table local proto kernel scope link src 200.110.68.226 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101 local ::1 via :: dev lo table local proto unspec metric 0 unreachable default dev lo table unspec proto kernel metric 4294967295 error -101 16
Políticas de reglas de firewall CUADRO N 7: Reglas de firewall ORIGEN PUERTO DESTINO Any Any 216.66.15.109 192.168.200.64/26 445 4370 5060 5061 1433 1434 135 137 139 138 10.87.0.0/16 53 21 192.168.200.64/26 10.10.42.0/27 192.168.200.64/26 PING TRACEROUTE 80 8080 4443 443 3128 1433 1434 80 8080 443 3128 INTERNET IPV4 10.10.42.0/27 192.168.200.108 4848 10.10.42.6 192.168.200.101 22 10.87.112.97 192.168.200.107 1026 5901 10.10.42.3 Política de protección contra amenazas avanzadas: Habilitado 17
IPS CUADRO N 8: Configuración IPS Redes analizadas Acciones Anti-DoS/Flooding Anti-Portscan Excepciones Todas Rechazo de ataques Habilitado Habilitado No Política de filtrado de navegación web CUADRO N 9: Política de filtrado de navegación web Bloqueo por Categorías Bloqueo por Páginas Bloqueo por extensiones Antivirus Modo Antivirus Google SafeSearch Bing SafeSearch Yahoo SafeSearch Si Si Si Habilitado Dual Habilitado Habilitado Habilitado Política de protección de aplicaciones web CUADRO N 10: Política de protección de aplicaciones web Modo Reject Filtro de amenazas comunes Habilitado Antivirus Scan Dual Bloquear contenido no escaneable Habilitado Robots maliciosos Ataques genéricos Categorías de amenazas filtradas Ataques SQL Ijection Ataques XSS Troyanos 18
MANUAL DE USUARIO ADMINISTRADOR DE RED ACCESO A LA INTERFAZ DE CONFIGURACIÓN WEB (WEBADMIN) Para acceder a la interfaz de configuración web de Sophos UTM (Webadmin) se debe ingresar a través de un navegador web poniendo la dirección IP del equipo de la siguiente forma https://192.168.2.100:444, ver gráfico 23, e ingresamos usuario y contraseña, después de esto presionamos el botón Login. A continuación veremos el panel principal o dashboard. Ver gráfico 24. GRAFICO N 23: Pantalla de login de Webadmin Sophos UTM GRAFICO N 24: Pantalla de dashboard o panel principal 19
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO MANAGEMENT Auditoría de sesiones iniciadas Acceder a la opción principal del módulo Management, y se desplegará las últimas sesiones iniciadas mediante el WebAdmin. Ver gráfico 25. Al dar clic en el botón Show (n Changes) se podrá visualizar al detalle los cambios realizados en esa sesión por dicho usuario, ver gráfico 26. GRAFICO N 25: Registro de sesiones iniciadas GRAFICO N 26: Detalle de cambios en configuraciones por usuario 20
Configuraciones de sistema Configuración de información organizacional: Management -> System Settings -> Organizational. Clic en el botón Apply. Ver gráfico 27. GRAFICO N 27: Configuración de informacipon organizacional Configuración de hostname: Management -> System Settings -> Hostname. Clic en el botón Apply. Ver gráfico 28. GRAFICO N 28: Configuración de hostname 21
Configuración de fecha y hora: Management -> System Settings -> Time and Date. Clic en el botón Apply. Ver gráfico 29. GRAFICO N 29: Configuración de fecha y hora Configuración de fecha y hora: Management -> System Settings -> Shell Access. Por defecto el acceso vía línea de comando shell viene desactivado, y se activa dando clic en el ícono en forma de interruptor que está marcado en el gráfico 30. GRAFICO N 30: Activación de acceso por línea de comandos shell 22
Una vez activado el icono cambia de color gris a verde. Se procede a indicar en la sección Allowed Networks las redes o hosts desde donde se permite el acceso vía Shell, por motivos de seguridad se recomienda que esta lista sea reducida solamente a los dispositivos que vayan a hacerlo. Clic en el botón Apply. Ver gráfico 31. GRAFICO N 31: Configuración de redes permitidas a acceder por shell En la sección Authentication, se selecciona la opción no root access para evitar que se pueda acceder en primera instancia como usuario root por Shell. Ver gráfico 32 GRAFICO N 32: Evitar acceso root por shell En el gráfico 33 se muestra la opción para configurar las contraseñas del usuario loginuser y root. Luego clic en el botón Set specified passwords. GRAFICO N 33: Configuración de contraseñas de acceso vía shell 23
Por último se configura el puerto de escucha SSH, por default está definido el puerto 22, por seguridad se recomienda cambiar este puerto a uno no conocido como se muestra en el gráfico 34. GRAFICO N 34: Configuración del puerto SSH Configuración de escaneo de virus: Management -> System Settings -> Scan Settings. Se puede seleccionar cuál de los dos motores antivirus se va a usar cuando se seleccione un escaneo simple en opciones que serán explicadas más adelante, Sophos o Avira. Así mismo se selecciona la opción Send suspicious content to SophosLabs for analysis para enviar información de tráfico sospechoso dentro de la red a los Laboratorios de investigación de Sophos. Ver gráfico 35. GRAFICO N 35: Configuración de opciones de escaneo 24
Configuración de WebAdmin Configuración general: Management -> Webadmin Settings -> General. En esta sección se selecciona el idioma en queremos que nos muestre las opciones del WebAdmin. Asi mismo en la sección WebAdmin Access configuration se configura los usuarios con privilegios de administración y los hosts desde donde se podrá acceder al UTM por administración web. Gráfico 36. GRAFICO N 36: Configuración de idioma y acceso WebAdmin 25
Configuración control de acceso: Management -> Webadmin Settings -> Access Control. En esta sección se configuran los roles de usuario con distintos privilegios de administración y supervisión. Clic en el botón New Role para agregar un nuevo rol. Gráfico 37. GRAFICO N 37: Configuración de roles por usuario Configuración avanzada: Management -> Webadmin Settings -> Advanced. Aquí se configure el tiempo en que se tiene que volver a loguear el usuario al WebAdmin despues de un determinado tiempo de inactividad. También se puede realizar el cambio de la configuración del puerto por defecto que es el 4444 a otro puerto no conocido como recomendación de seguridad. Ver gráfico 38. GRAFICO N 38: Configuración avanzada 26
Configuración de Licensing Instalación de licencia: Management -> Licensing -> Installation. Para instalar la licencia que permita habilitar las funcionalidades del UTM se debe hacer clic en el icono de la carpeta y luego dar clic en el botón Examinar, se selecciona el archivo de licencia y se procede a presionar el botón Start Upload. Gráfico 39. GRAFICO N 39: Pantalla de instalación de licencia Configuración de actualización de firmware En el dashboard se habilitará la pantalla mostrada en el gráfico 40 para indicar que hay actualizaciones disponibles, al dar clic sobre las actualizaciones aparecerá la pantalla del gráfico 41. GRAFICO N 40: Actualizaciones disponibles 27
Al hacer clic en el botón Schedule se puede planificar la instalación para una fecha y hora determinada que no afecte a producción ya que al instalar una actualización se requiere reinicio automático del servidor. Gráfico 42. GRAFICO N 41: Pantalla de instalación de actualizaciones disponibles GRAFICO N 42: Planificación de instalación de actualizaciones Configuración de respaldos automáticos: Management -> Backup and Restore -> Automatic backups. En el gráfico 43 se muestra la pantalla de configuración de los respaldos automáticos, aquí se puede establecer la periodicidad en que se van a realizar los respaldos automáticos, de preferencia se recomienda hacerlo a diario, se configura también en esta opción una dirección de correo a la cual lleguen los archivos de respaldo. 28
GRAFICO N 43: Configuración de respaldos automáticos Configuración del Portal de Usuario: Management -> User Portal -> Global. En la pantalla mostrada en el gráfico 44 se muestra la configuración del Portal de Usuario, a través del cual se puede acceder a la opciones de instalación del cliente VPN, autenticación de doble factor, etc. En Allowed Networks se especifica las redes desde donde se podrá acceder y se seleccione la opción Allow all users para permitir el acceso de todos los usuario. GRAFICO N 44: Configuración del Portal de Usuario 29
Configuración de notificaciones: Management -> Notifications -> Global. En esta pestaña se configura la dirección de correo a la cual llegará las notificaciones de los movimientos en la red, ver gráfico 45. Management -> Notifications -> Notificaciones. En esta sección se selecciona las notificaciones que queremos nos lleguen a la dirección de correo antes configurada. GRAFICO N 45: Configuración de correo para notificaciones GRAFICO N 46: Selección de notificaciones 30
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO DEFINITIONS AND USER Configuración de autenticación de doble factor Definition and Users -> Authentication Services -> One-Time Password. En esta pestaña se habilita la autenticación de doble factor que constituye el acceso a distintas funciones tales como WebAdmin, VPN, etc, usando como combinación la contraseña fijada por el usuario y una calve única generada automáticamente cada cierto tiempo por la aplicación Google Authenticator. Se deselecciona la opción All users must use one-time password en la que se indica los usuarios a los que se aplicará esta función. Ver gráfico 47. GRAFICO N 47: Configuración de autenticación de doble factor 31
Una vez configurado el usuario, este debe ingresar a través del portal de usuario (https://dirrección_ip) y le aparecerá por primera vez la pantalla del gráfico 48, luego se debe escanear el código QR previo haber descargado e instalado la aplicación Google Authenticator en un dispositivo móvil, al capturar el QR automáticamente la aplicación lo asocia con la cuenta de usuario. En el próximo inicio de sesión se deberá acceder con la contraseña definida por el usuario y el código aleatorio generado por la aplicación cada 30 segundos. GRAFICO N 48: Escaneo de código QR con Google Authenticator Configuración de políticas de bloqueo de usuarios: Definition and Users -> Authentication Services -> Advanced. En esta opción se configure que despues de 3 intentos fallidos de inicio de sesión en la administración del UTM se bloquee el acceso a ese host durate un tiempo determinado, en este caso el tiempo por default es de 600 segundos (10 minutos). Asi mismo se puede configurar hosts a los cuales nunca les bloquee el acceso en la sección Never block networks. Ver gráfico 49. GRAFICO N 49: Configuración de políticas de bloqueo 32
Configuración de políticas de contraseñas Definition and Users -> Authentication Services -> Advanced. Seleccionar el check Local Authentication Passwords para habilitar la política de complejidad de contraseñas. Se puede seleccionar las opciones (Gráfico 50): Requiere una letra minúscula Requiere una letra mayúscula Requiere un dígito numérico Requiere un carácter no alfanumérico GRAFICO N 50: Configuración de política de contraseñas 33
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO INTERFACES AND ROUTING Configuración de interfaces de red Interfaces and Routing -> Interfaces -> Interfaces. Para configurar las interfaces de red debemos dar clic en el botón New Interfaces, seleccionamos el tipo de intrface en el campo Type y la interface física en el campo Hardware. Para guardar la configuración damos clic en el botón Save. Gráfico 51. GRAFICO N 51: Configuración de interfaces de red Configuración de calidad de servicio Interfaces and Routing -> Quality of Service -> Status. Se active la interface donde se aplicará calidad de servicio indicando el ancho de banda asignado por el ISP. Gráfico 52. GRAFICO N 52: Configuración de interface para calidad de servicio 34
Interfaces and Routing -> Quality of Service -> Traffic Selectors. Se configura el Traffic Selector con origen, servicio y destino Any para indicar que se va a aplicar calidad de servicio a todos los hosts de nuestra red. Gráfico 53. GRAFICO N 53: Configuración de Traffic Selector Interfaces and Routing -> Quality of Service -> Bandwidth Pools. Se selecciona en Bound to interface la interface en la que se quiere aplicar calidad de servicio y se da clic en New Bandwidth Pools para crear la regla de calidad de servicio, a continuación se asigna un nombre y la velocidad restringida y límite. Gráfico 54. GRAFICO N 54: Creación de regla de calidad de servicio 35
Configuración de rutas estáticas Interfaces and Routing -> Static Routing -> Standard Static Routing. Como se muestra en el gráfico 55, para crear rutas estáticas debemos dar clic en el botón New static route, a continuación ingresamos la red de destino y el Gateway para alcanzar dicha red. GRAFICO N 55: Configuración de rutas estáticas Una vez creada la ruta estática, por default está deshabilitada, se la habilita dando clic en el botón en forma de interruptor. Gráfico 56. GRAFICO N 56: Habilitación de ruta estática 36
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO NETWORK PROTECTION Creación de reglas de firewall Network Protection -> Firewall -> Rules. Para la creación de reglas de firewall damos clic en el botón New Rule, luego definimos los hosts de origen (Sources), puertos (Services) y destinos (Destinations), en la opción Action seleccionamos si dejamos permitir los paquetes (Allow), descartar los paquetes (Drop) o rechazarlos (Reject). Se selecciona el check Log Traffic para que se guarde el registro de todo el tráfico de red que pase por el firewall. Ver gráfico 57. GRAFICO N 57: Creación de reglas de firewall 37
Despúes de creada la regla hay que habilitarla ya que por default estará deshabilitada. Cuando la regla permite el paso de los paquetes aparece una flecha de color verde, gráfico 58. Cuando la regla descarta los paquetes aparece una flecha de color rojo, gráfico 59. Cuando la regla rechaza los paquetes la flecha será de color amarilla. GRAFICO N 58: Regla de firewall de acceso permitido GRAFICO N 59: Regla de firewall de acceso denegado GRAFICO N 60: Regla de firewall de acceso rechazado 38
Revisión de logs de firewall en tiempo real Network Protection -> Firewall -> Rules. Para abrir la ventana de logs en tiempo real del firewall dar clic en el botón Open live log, gráfico 61, con esto aparecerá la pantalla mostrada en el gráfico 62, se puede filtrar la salida del log escribiendo parámetros en el campo Filter. Las líneas dibujadas en color verde representa los accesos permitidos, las de color rojo representan los accesos denegados. GRAFICO N 61: Abrir logs de firewall en tiempo real GRAFICO N 62: Logs de firewall en tiempo real 39
Configuración de bloqueo por países Network Protection -> Firewall -> Country Blocking. Gráfico 63. GRAFICO N 63: Bloqueo por países Configuración de protección contra amenazas avanzadas Network Protection -> Firewall -> Advanced Threat Protection. Gráfico 64. GRAFICO N 64: Configuración de protección contra amenazas avanzadas 40
Configuración de Sistema de Prevención de Intrusos Network Protection -> Intrusion Prevention -> Global. En la sección Local Networks se configure las redes que queremos sean inspeccionadas por el IPS. Gráfico 65. GRAFICO N 65: Habilitación del IPS Network Protection -> Intrusion Prevention -> Attack Patterns. En esta pestaña se configure la acción que deseamos se ejecute por cada regla, al seleccionar Drop se comporta como IPS, al seleccionar Alert se comportará como IDS. Gráfico 66. GRAFICO N 66: Configuración de patrones IPS 41
Network Protection -> Intrusion Prevention -> Anti-Portscan. GRAFICO N 67: Configuración de anti escaneo de puertos CONFIGURACIÓN DE FUNCIONES DEL MÓDULO WEB PROTECTION Configuración de la política global de filtrado Web Protection -> Web Filtering -> Global. En el módulo Web Protection se configurarán las políticas de filtrado de navegación web, en la pestaña global se configuran las opciones del perfil en el que navegarán todos los equipos que no se encuentren registrados dentro de un perfil de navegación específico. En la sección Allowed Networks configuramos las redes en las que se aplicará este filtrado global y en Operation Mode el modo en el que trabajará el proxy (Transparente o Standard). GRAFICO N 68: Configuración de política global de filtrado 42
Para ver los logs eb tiempo real de la navegación de los usuarios presionamos el botón Open Live Log. 43
Configuración de perfiles de navegación Web Protection -> Web Filtering Profile -> Filter Action. Para crear los perfiles de navegación web, en primer lugar hay que crear las acciones del filtrado en el botón New Filter Action. En la sección Categories se configura el bloqueo o acceso a las diferentes categorías de sitios web. Gráfico 69. GRAFICO N 69: Configuración de categorías en el perfil de navegación En la sección Websites se puede agregar los sitios web que deseamos bloquear siempre y los sitios web que deseamos se visualicen siempre. Gráficos 69 y 70. 44
GRAFICO N 70: Configuración de sitios permitidos y denegados GRAFICO N 71: Configuración de sitios web permitidos y denegados (2) En la sección Downloads se pueden bloquear archivos de determinadas extensiones y MIME Types que sean peligrosos para los equipos en la red, también se puede bloquear las descargas que superen el tamaño indicado en el campo Block downloads large than. 45
Gráfico 72. A su vez en la sección Antivirus se configura el escaneo simple o dual, para el escaneo dual inspecciona con el motor de Sophos y de Avira. Gráfico 73. GRAFICO N 72: Bloqueo de archivos por extensiones GRAFICO N 73: Configuración de motor antivirus 46
En Additional Options se puede seleccionar que se fuerce a usar la función SafeSearch de los buscadores Google, Bing y Yahoo. También se selecciona las opciones Log accessed pages y Log blocked pages para que se guarde el registro de la navegación de todos los usuarios. Gráfico 74. GRAFICO N 74: Configuraciones adicionales de la acción de filtrado 47
Web Protection -> Web Filtering Profile -> Filter Profiles. Luego creamos el perfil de navegación igual que cuando se creó el perfil de navegación global. Gráfico 75. En la sección Policies se hace referencia al filtro que previamente creamos, en este ejemplo el filtro llamado Filtro Administrativo. Ver gráfico 76. GRAFICO N 75: Creación del perfil de navegación GRAFICO N 76: Selección de acción de filtrado 48
Configuración de control de aplicaciones Web Protection -> Application Control -> Network Visibility. Habilitación de la función de control de aplicaciones. Gráfico 77. GRAFICO N 77: Habilitación de control de aplicaciones Web Protection -> Application Control -> Application Control Rules. Gráfico 78 y 79. GRAFICO N 78: Creación de regla de control de aplicaciones 49
GRAFICO N 79: Regla de control de aplicaciones de Facebook CONFIGURACIÓN DE FUNCIONES DEL MÓDULO WEBSERVER PROTECTION Configuración de Web Application Firewall Webserver Protection -> Web Application Firewall -> Firewall Profiles. El gráfico 80 muestra las opciones configuradas del perfil de protección avanzado, este perfil viene creado por defecto. GRAFICO N 80: Perfil de protección avanzado 50
Webserver Protection -> Web Application Firewall -> Real WebServers. En esta sección se configura el servidor web que se protegerá con el WAF. Gráfico 81. GRAFICO N 81: Configuración de servidor web Webserver Protection -> Web Application Firewall -> Virtual WebServers. En esta sección configuramos la dirección URL pública del servidor WEB, haciendo referencia al servidor web físico. Gráfico 82. GRAFICO N 82: Configuración de servidor virtual 51
CONFIGURACIÓN DE FUNCIONES DEL MÓDULO REMOTE ACCESS Configuración de VPN SSL Remote Access -> SSL -> Profiles. Para crear un perfil de VPN SSL damos clic en el botón New remote Access profiles, configuramos el usuario al cual le quedemos dar acceso por VPN y las redes o hosts específicos al que le damos acceso. Gráfico 83. GRAFICO N 83: Configuración de perfil VPN SSL Configuración de VPN PPTP Remote Access -> PPTP -> Global. Gráfico 84. GRAFICO N 84: Configuración de VPN PPTP 52
Configuración de VPN L2TP sobre IPSec Remote Access -> L2TP over IPSec -> Global. Gráfico 85. GRAFICO N 85: Configuración de VPN L2TP sobre IPSec 53
REVISIÓN DE REPORTES Y LOGS Ver archivos de log Logging and Reporting -> View Log Files -> Today s Log File. En esta sección se puede ver los archivos de log generados el mismo dia, las acciones que se puede tomar con respecto a estos archivos son: Ver en tiempo real, Ver registros guardados o eliminiarlos. Gráfico 86. GRAFICO N 86: Ver archivos de logs 54
Reports de Hardware Logging and Reporting -> Hardware. En esta sección se puede visualizar gráficas en el tiempo de los recursos de hardware como CPU y memoria. Gráfico 87. GRAFICO N 87: Reporte de Hardware 55
Reportes de uso de red Logging and Reporting -> Network Usage. En este reporte se puede visualizar el uso de la red por interfaces y el uso de ancho de banda detallado por hosts. Gráfico 88. GRAFICO N 88: Reportes de uso de red 56
Reportes de protección de la red Logging and Reporting -> Network Usage. En esta sección de reportes se puede visualizar estadísticas de violaciones de firewall y estadísticas del sistema de prevención de intrusos. Gráfico 89. GRAFICO N 89: Reporte de violaciones de firewall e IPS 57
Logging and Reporting -> Network Usage -> IPS. Visualización al detalle de las detecciones del IPS. Gráfico 90. GRAFICO N 90: Reporte de IPS GRAFICO N 91: Reporte de atacantes detectado por el IPS 58
Reportes de navegación web Logging and Reporting -> Web Protection -> Web Usage Report. En este reporte se muestral la navegación web hacia las direcciones en Internet (Gráfico 92), al dar clic sobre cada sitio nos mostrará los hosts que han accedido dicho sitio, gráfico 93. GRAFICO N 92: Reporte de navegación web GRAFICO N 93: Detalle de uso de red por usuario o host 59
Reporte de Web Application Firewall Logging and Reporting -> WebServer Protection -> Usage Graph. Este reporte muestral las estadisticas de uso de los sitios o aplicaciones web que tenemos protegidas a traves del WAF. Gráfico 94. Logging and Reporting -> WebServer Protection -> Details. Muestra granularmente los tipos de ataques recibidos, atacantes y sitios atacados. Gráfico 95 GRAFICO N 94: Estadisticas de uso de sitios y aplicaciones web locales GRAFICO N 95: Tipos de ataques detectados por el WAF 60
Configuración de reporte ejecutivo Logging and Reporting -> Executive Report -> Configuration. El reporte ejecutivo es un resumen total de todos los registros de movimientos en la red detectados por los distintos componentes del UTM, se puede configurar la generación automática de este tipo de reportes con periodicidad diaria, semanal o mensual, archivándolos en el disco duro del UTM (Gráfico 96) para su posterior descarga (Gráfico 97) y visualización, y/o configurando una cuenta de correo para que lleguen automáticamente al mail. GRAFICO N 96: Configuración de reporte ejecutivo GRAFICO N 97: Reportes ejecutivos archivados 61