TesisCompleta - 354 - 2011.pdf

TOMO I
Línea de Investigación
Redes y Sistema Operativo
Nombre del Egresado
Marixelinda Lisbeth España Escobar
Nombre del Tema
Guía de Implementación de una DMZ (Zona Desmilitarizada)
para la Empresa ITCORP
Número de Proyecto
16
Nombre del Tutor
Ing. Francisco Palacios
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUÍA DE IMPLEMENTACIÓN DE UNA DMZ
(ZONA DESMILITARIZADA)
PARA LA EMPRESA IT/CORP
TESIS DE GRADO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
AUTOR: MARIXELINDA LISBETH ESPAÑA ESCOBAR
TUTOR: ING. FRANCISCO PALACIOS ORTIZ
GUAYAQUIL – ECUADOR
2011
i
UNIVERSIDAD DE GUAYAQUIL
PORTADA
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUÍA DE IMPLEMENTACIÓN DE UNA DMZ
(ZONA DESMILITARIZADA)
PARA LA EMPRESA IT/CORP
TESIS DE GRADO
Previa a la obtención del Título de:
INGENIERO EN SISTEMAS COMPUTACIONALES
MARIXELINDA LISBETH ESPAÑA ESCOBAR
TUTOR: ING. FRANCISCO PALACIOS ORTIZ
GUAYAQUIL – ECUADOR
2011
Guayaquil,……………………….del 2011
APROBACION DEL TUTOR
En
mi
calidad
de
Tutor
del
trabajo
de
investigación,
“GUÍA
DE
IMPLEMENTACIÓN DE UNA DMZ (ZONA DESMILITARIZADA) PARA LA
EMPRESA IT/CORP” elaborado por el Srta. MARIXELINDA LISBETH ESPAÑA
ESCOBAR, egresado de la Carrera de Ingeniería en Sistemas Computacionales,
Facultad de Ciencias Matemáticas y Físicas de la Universidad de Guayaquil, previo a
la obtención del Título de Ingeniero en Sistemas, me permito declarar que luego de
haber orientado, estudiado y revisado, la Apruebo en todas sus partes.
Atentamente
………………………………….
Ing. Francisco Palacios Ortiz
TUTOR
DEDICATORIA
Dedico esta tesis primeramente a Dios y a
mis seres más queridos y a todas las
personas que estuvieron a mi lado, por
haberme apoyado a lo largo de la trayectoria
de esta carrera.
A mis padres que han sabido guiarme y
proporcionarme orientación moral, a mis
hermanas, por su sustento incondicional y
creer en mí para poder lograr este triunfo
profesional.
AGRADECIMIENTO
Al culminar esta carrera valiosa, tengo a
bien agradecer de manera especial a Dios
por proporcionarme la fuerza para seguir
adelante, a los profesores y compañeros con
quienes compartimos grandes momentos de
apoyo, ayuda, alegría, y sabias enseñanzas
durante esta carrera profesional, debido a
que logramos cultivar la preciada semilla del
saber y el amor por el estudio.
A mis padres que de alguna manera han
estado
junto
a
mí,
ayudándome,
apoyándome en todo momento para que
concluya esta carrera profesional, debido a
que es un sueño hecho realidad para ellos y
para mí, igualmente quiero agradecer a
todas las personas que estuvieron a mi lado
brindándome su apoyo incondicional, les
quedo eternamente agradecida.
TRIBUNAL DE GRADO
Ing. Fernando Abad Montero
DECANO DE LA FACULTAD
CIENCIAS MATEMATICAS Y FISICAS
Ing. Francisco Palacios Ortiz
TUTOR
Ing. Juan Chanabá Alcócer
DIRECTOR
Nombre y Apellidos
PROFESOR DEL ÁREA - TRIBUNAL
AB. Juan Chávez A.
SECRETARIO
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUÍA DE IMPLEMENTACIÓN DE UNA DMZ
(ZONA DESMILITARIZADA)
PARA LA EMPRES IT/CORP
Proyecto de trabajo de grado que se presenta como requisito para optar por el título de
INGENIERO en SISTEMAS COMPUTACIONALES
Autor/a: Marixelinda Lisbeth España Escobar.
C.I.: 120611239-1
Tutor: Ing. Francisco Palacios Ortiz.
Guayaquil, ______ de 2011
Mes
ii
CERTIFICADO DE ACEPTACIÓN DEL TUTOR
En mi calidad de Tutor del Segundo Curso de Fin de Carrera, nombrado por el
Departamento de Graduación y la Dirección de la Carrera de Ingeniería en Sistemas
Computacionales de la Universidad de Guayaquil,
CERTIFICO:
Que he analizado el Proyecto de Grado presentado por el/el egresado (a)
Marixelinda Lisbeth España Escobar, como requisito previo para optar por el título de
Ingeniero cuyo problema es:
______________________________________________________________
______________________________________________________________
______________________________________________________________
______________________________________________________________
Presentado por:
España Escobar Marixelinda Lisbeth
120611239-1
Apellidos y Nombres Completos
Cédula de ciudadanía N°
_________________________
Tutor: Ing. Francisco Palacios Ortiz.
Guayaquil, ______ de 2011
Mes
iii
ÍNDICE GENERAL
PORTADA ................................................................................................................................ i
CERTIFICADO DE ACEPTACIÓN DEL TUTOR ........................................................... ii
ÍNDICE GENERAL .............................................................................................................. iii
ÍNDICE DE CUADROS ....................................................................................................... vii
ÍNDICE DE GRÁFICOS .................................................................................................... viii
RESUMEN............................................................................................................................. xii
INTRODUCCIÓN .................................................................................................................. 1
CAPITULO I ........................................................................................................................... 3
EL PROBLEMA ..................................................................................................................... 3
PLANTEAMIENTO DEL PROBLEMA.............................................................................. 3
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO ....................................................................3
SITUACIÓN CONFLICTO NUDOS CRÍTICOS ..............................................................................4
CAUSAS Y CONSECUENCIAS DEL PROBLEMA ........................................................................5
DELIMITACIÓN DEL PROBLEMA .................................................................................................6
FORMULACIÓN DEL PROBLEMA ................................................................................................7
EVALUACIÓN DEL PROBLEMA ...................................................................................................8
OBJETIVOS............................................................................................................................ 9
OBJETIVO GENERAL .................................................................................................................9
OBJETIVOS ESPECÍFICOS .......................................................................................................10
ALCANCES........................................................................................................................... 11
JUSTIFICACIÓN E IMPORTANCIA ............................................................................... 12
CAPÍTULO II ....................................................................................................................... 14
MARCO TEÓRICO ............................................................................................................. 14
ANTECEDENTES DEL ESTUDIO .................................................................................................14
FUNDAMENTACIÓN TEÓRICA ...................................................................................................17
RED DE COMPUTADORAS ......................................................................................................17
MODELO OSI .............................................................................................................................. 17
Capas Del Modelo OSI ............................................................................................................19
Capa Física .......................................................................................................................... 19
Capa De Enlace ...................................................................................................................19
iv
Capa De Red .......................................................................................................................19
Capa De Transporte.............................................................................................................20
Capa De Sesión ...................................................................................................................21
Capa De Presentación .........................................................................................................21
Capa De Aplicación ............................................................................................................21
MODELO TCP/IP ........................................................................................................................ 22
Capas Del Modelo TCP/IP.......................................................................................................23
Capa De Acceso A La Red ..................................................................................................23
Capa De Internet .................................................................................................................23
Capa De Transporte.............................................................................................................23
Capa De Aplicación ............................................................................................................24
DIRECCIONES IP .......................................................................................................................24
Clases De Direcciones IP .........................................................................................................25
Direcciones De Clase A ......................................................................................................25
Direcciones De Clase B.......................................................................................................26
Direcciones De Clase C.......................................................................................................26
Direcciones De Clase D, E y F ............................................................................................ 26
SEGURIDAD INFORMÁTICA ..................................................................................................27
POLÍTICAS DE SEGURIDAD ...................................................................................................27
TIPOS DE ATAQUE ...................................................................................................................28
Spoofing ...................................................................................................................................28
Sniffing ....................................................................................................................................28
Negaciones de Servicio (DoS) .................................................................................................28
Barridos PING ......................................................................................................................... 29
Escaneo de puertos ...................................................................................................................29
PARA EVITAR ATAQUES EN LA RED ...................................................................................30
SERVIDORES ............................................................................................................................. 30
Servidor DNS ........................................................................................................................... 30
Servidor DHCP ........................................................................................................................ 31
Servidor De Correo ..................................................................................................................31
Servidor de FTP .......................................................................................................................32
ZONA DESMILITARIZADA (DMZ) ......................................................................................... 32
HISTORIA DE LA DMZ .............................................................................................................35
FIREWALL ..................................................................................................................................35
Categorías De Los Firewall .....................................................................................................36
Firewalls de Filtración de Paquetes (choke) ........................................................................36
v
Servidores Proxy a Nivel de Aplicación (Proxy Gateway de Aplicaciones) .......................38
Firewalls de Inspección de Paquetes (SPI, Stateful Packet Inspection). ............................. 40
TIPOS DE FIREWALL ...........................................................................................................41
Firewall Appliance (Basados En Hardware) .......................................................................41
Firewall Basados En Software ............................................................................................ 55
ANÁLISIS COMPARATIVO .................................................................................................62
FUNDAMENTACIÓN LEGAL .......................................................................................................64
HIPÓTESIS .......................................................................................................................................64
VARIABLES DE LA INVESTIGACIÓN ........................................................................................ 65
VARIABLE INDEPENDIENTE..................................................................................................65
VARIABLE DEPENDIENTE ......................................................................................................66
DEFINICIONES CONCEPTUALES ................................................................................................ 67
CAPÍTULO III ...................................................................................................................... 69
METODOLOGÍA ................................................................................................................. 69
DISEÑO DE LA INVESTIGACIÓN .................................................................................. 69
MODALIDAD DE LA INVESTIGACIÓN ......................................................................................69
TIPO DE INVESTIGACIÓN .......................................................................................................70
POBLACIÓN Y MUESTRA ............................................................................................................70
OPERACIONALIZACIÓN DE VARIABLES .................................................................................71
INSTRUMENTOS DE RECOLECCIÓN DE DATOS .....................................................................72
LA TÉCNICA .............................................................................................................................. 72
INSTRUMENTOS DE LA INVESTIGACIÓN ...........................................................................73
VALIDACIÓN ............................................................................................................................. 74
PROCEDIMIENTOS DE LA INVESTIGACIÓN ............................................................................75
RECOLECCIÓN DE LA INFORMACIÓN .....................................................................................76
PROCESAMIENTO Y ANÁLISIS ...................................................................................................77
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA ..................................................................78
CAPÍTULO IV ...................................................................................................................... 79
GUÍA DE IMPLEMENTACIÓN DE UNA DMZ EN LA RED DE LA EMPRESA
IT/CORP ................................................................................................................................ 79
DESCRIPCIÓN DEL DISEÑO ACTUAL DE LA EMPRESA IT/CORP .......................................80
DESCRIPCIÓN DEL DISEÑO RECOMENDADO PARA LA EMPRESA IT/CORP ...................83
CONFIGURACIÓN DE LOS SERVICIOS DE LA EMPRESA IT/CORP .................... 86
SERVIDOR FTP ............................................................................................................................... 87
SERVIDOR DE CORREO ................................................................................................................93
vi
SERVIDOR PROXY....................................................................................................................... 102
SERVIDOR DNS Y DHCP .............................................................................................................111
CONFIGURACION DEL FIREWALL............................................................................ 115
POLÍTICAS DE LA DMZ ................................................................................................. 116
CAPÍTULO V...................................................................................................................... 126
MARCO ADMINISTRATIVO.......................................................................................... 126
CRONOGRAMA ............................................................................................................................ 126
PRESUPUESTO ............................................................................................................................. 129
CAPÍTULO VI .................................................................................................................... 131
CONCLUSIONES Y RECOMENDACIONES ................................................................ 131
CONCLUSIONES ........................................................................................................................... 131
RECOMENDACIONES .................................................................................................................133
REFERENCIAS BIBLIOGRÁFICAS ................................................................................ 96
ANEXOS .............................................................................................................................. 101
vii
ÍNDICE DE CUADROS
CUADRO N°. 1: 5CAUSAS Y CONSECUENCIAS DEL PROBLEMA........................... 5
CUADRO N°. 2: CARACTERÍSTICAS Y DESCRIPCIÓN
3COM OFFICECONNECT ................................................................................................. 44
CUADRO N°. 3: CARACTERÍSTICAS Y DESCRIPCIÓN
CISCO ASA 5505……………….. ........................................................................................ 46
CUADRO N°. 4: CARACTERÍSTICAS Y DESCRIPCIÓN
SONICWALL PRO 2040 ..................................................................................................... 48
CUADRO
N°.
5:
CARACTERÍSTICAS
Y
DESCRIPCIÓN------------------------
NETGEAR PROSECURE UTM25 ..................................................................................... 50
CUADRO N°. 6: CARACTERÍSTICAS Y DESCRIPCIÓN --------------------------ZYXEL ZYWALL USG 100 ................................................................................................ 52
CUADRO N°. 7: CARACTERÍSTICAS Y DESCRIPCIÓN
BARRACUDA 660 ................................................................................................................ 54
CUADRO N°. 8: LISTA DE PRECIOS DE FIREWALL ................................................. 62
CUADRO N°. 9: MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES ............. 71
CUADRO N°. 10: DETALLE DE INGRESOS ................................................................ 129
CUADRO N°. 11: DETALLE DE EGRESOS .................................................................. 130
CUADRO N°. 12: RESULTADOS PREGUNTA 1 DE LA ENCUESTA ...................... 106
CUADRO N°. 13: RESULTADOS PREGUNTA 2 DE LA ENCUESTA ...................... 107
CUADRO N°. 14: RESULTADOS PREGUNTA 3 DE LA ENCUESTA ...................... 108
CUADRO N°. 15: RESULTADOS PREGUNTA 4 DE LA ENCUESTA ...................... 109
CUADRO N°. 16: RESULTADOS PREGUNTA 5 DE LA ENCUESTA ...................... 110
viii
ÍNDICE DE GRÁFICOS
GRÁFICO N°. 1: CAPAS DE MODELO OSI ................................................................... 18
GRÁFICO N°. 2: CAPAS DE MODELO TCP/IP ............................................................. 22
GRÁFICO N°. 3: CAPAS DE MODELO SCREENED SUBNET ................................... 34
GRÁFICO N°. 4: FILTRACIÓN DE PAQUETES (CHOKE) ......................................... 37
GRÁFICO N°. 5: PROXY GATEWAY.............................................................................. 39
GRÁFICO N°. 6: INSPECCIÓN DE PAQUETES ............................................................ 40
GRÁFICO N°. 7: 3COM OFFICECONNECT .................................................................. 43
GRÁFICO N°. 8: ASA 5505 ................................................................................................. 45
GRÁFICO N°. 9: SONICWALL PRO 2040....................................................................... 47
GRÁFICO N°. 10: NETGEAR PROSECURE UTM25 .................................................... 49
GRÁFICO N°. 11: ZYXEL ZYWAL USG100 ................................................................... 51
GRÁFICO N°. 12: BARRACUDA 660 ............................................................................... 53
GRAFICO N°. 13: DISEÑO ACTUAL DE LA EMPRESA IT/CORP............................ 80
GRAFICO N°. 14: DISEÑO DE RED RECOMENDADO ............................................... 83
GRÁFICO N°. 15: CONFIGURACION DEL SERVIDOR FTP ..................................... 91
GRÁFICO N°. 16: CONFIGURACION DE ARCHIVO HOST ----------------------------PARA ZIMBRA .................................................................................................................... 94
GRÁFICO N°. 17: LIBRERIAS FALTANTES EN LA INSTALACIÓN-------------------DE ZIMBRA.......................................................................................................................... 95
GRÁFICO N°. 18: LIBRERIAS FALTANTES EN LA INSTALACIÓN-------------------DE ZIMBRA.......................................................................................................................... 96
GRÁFICO N°. 19: PROCESO DE INSTALACIÓN DE ZIMBRA ................................. 97
GRÁFICO N°. 20: ERROR DE DNS EN INSTALACIÓN DE ZIMBRA ...................... 98
ix
GRÁFICO N°. 21: MENU DE CONFIGURACIÓN DE ZIMBRA ................................. 99
GRÁFICO N°. 22: SERVICIOS DE ZIMBRA ................................................................ 100
GRÁFICO N°. 23: CONSOLA DE ADMINISTRACIÓN DE ZIMBRA ...................... 101
GRÁFICO N°. 24: CONFIGURACION SERVIDOR PROXY ...................................... 110
GRÁFICO N°. 25: ASISTENTE DE CONFIGURACION DE DNS Y DHCP ............. 112
GRÁFICO N°. 26: CONFIGURACION DE DNS Y DHCP ........................................... 113
GRÁFICO N°. 27: CONFIGURACION DE FIREWALL .............................................. 122
GRÁFICO N°. 28: AÑADIR REGLAS EN EL FIREWALL ......................................... 124
GRÁFICO N°. 29: CRONOGRAMA DE ACTIVIDADES ........................................... 126
GRÁFICO N°. 30: DIAGRAMA DE GANTT – PARTE #1 ........................................... 127
GRÁFICO N°. 31: DIAGRAMA DE GANTT – PARTE #2 ........................................... 128
GRÁFICO N°. 32: PREGUNTA 1 .................................................................................... 106
GRÁFICO N°. 33: PREGUNTA 2 .................................................................................... 107
GRÁFICO N°. 34: PREGUNTA 3 .................................................................................... 108
GRÁFICO N°. 35: PREGUNTA 4 .................................................................................... 109
GRÁFICO N°. 36: PREGUNTA 5 .................................................................................... 110
GRÁFICO N°. 37: INSTALACION DE CENTOS .......................................................... 112
GRÁFICO N°. 38: PROCESO DE VERIFICACION DEL DISCO .............................. 113
GRÁFICO N°. 39: INICIO DE CENTOS ........................................................................ 114
GRÁFICO N°. 40: IDIOMA DE INSTALACIÓN .......................................................... 115
GRÁFICO N°. 41: IDIOMA DEL TECLADO ................................................................ 116
GRÁFICO N°. 42: PARTICIÓN DE LA UNIDAD ......................................................... 117
GRÁFICO N°. 43: PARTICIÓN DE LA UNIDAD ......................................................... 118
GRÁFICO N°. 44: ASIGNACIÓN DE ESPACIO EN LA UNIDAD ............................. 119
GRÁFICO N°. 45: ESPACIO DISPONIBLE................................................................... 120
x
GRÁFICO N°. 46: PARTICIO SWAP ............................................................................. 121
GRÁFICO N°. 47: PARTICIONES CONFIGURADAS ................................................. 122
GRÁFICO N°. 48: GESTOR DE ARRANQUE ............................................................... 123
GRÁFICO N°. 49: CONFIGURACIÓN DE RED ........................................................... 124
GRÁFICO N°. 50: ZONA HORARIA .............................................................................. 125
GRÁFICO N°. 51: CONTRASEÑA ROOT ..................................................................... 126
GRÁFICO N°. 52: MODO GRAFICO GNOME ............................................................. 127
GRÁFICO N°. 53: SELECCIÓN DE SERVIDORES ..................................................... 128
GRÁFICO N°. 54: ASISTENTE DE CONFIGURACIÓN ............................................. 129
GRÁFICO N°. 55: CONFIGURACIÓN DE CONTAFUEGOS..................................... 130
GRÁFICO N°. 56: CONFIGURACIÓN DE SELINUX .................................................. 131
GRÁFICO N°. 57: CREACIÓN DE USUARIO .............................................................. 132
GRÁFICO N°. 58: INICIO DE WINDOWS 2003 SERVER .......................................... 133
GRÁFICO N°. 59: LICENCIA DE WINDOWS SERVER 2003 .................................... 134
GRÁFICO N°. 60: PARTICIÓN DEL DISCO DURO.................................................... 135
GRÁFICO N°. 61: ASIGNACÓN DE ESPACIO ............................................................ 136
GRÁFICO N°. 62: UNIDAD DE INSTALACIÓN DE WINDOWS .............................. 137
GRÁFICO N°. 63: ASIGNACÓN DE ESPACIO ............................................................ 138
GRÁFICO N°. 64: SELECCIÓN DE IDIOMA ............................................................... 139
GRÁFICO N°. 65: NÚMERO DE CONEXIONES CONCURRENTES ....................... 140
GRÁFICO N°. 66: CONTRSEÑA DE ADMINISTRADOR .......................................... 141
GRÁFICO N°. 67: CONFIGURACIÓN DE RED ........................................................... 142
GRÁFICO N°. 68: GRUPO DE TRABAJO ..................................................................... 143
GRÁFICO N°. 69: SCRIPT DE WEBMIN ...................................................................... 145
GRÁFICO N°. 70: CONFIGURACIÓN WEBMIN ........................................................ 146
xi
GRÁFICO N°. 71: IP DE RED LAN (eth0)...................................................................... 149
GRÁFICO N°. 72: IP DE INTERFAZ WAN (eth1) ........................................................ 150
GRÁFICO N°. 73: IP DE LA DMZ (eth2)........................................................................ 150
GRÁFICO N°. 74: RED LOCAL ...................................................................................... 151
GRÁFICO N°. 75: PING A LA INTERFAZ DE LA LAN ............................................. 152
GRÁFICO N°. 76: PING A LA INTERFAZ DE LA WAN ............................................ 152
GRÁFICO N°. 77: TELNET A LA INTERFAZ DE LA LAN ....................................... 153
GRÁFICO N°. 78: TELNET DE UN SERVIDOR DE LA DMZ A UN---------------------EQUIPO DE LA LAN ........................................................................................................ 153
xii
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUÍA DE IMPLEMENTACIÓN DE UNA DZM
(ZONA DESMILITARIZADA)
PARA LA EMPRES IT/CORP
Autor/a: Marixelinda Lisbeth España Escobar.
Tutor: Ing. Francisco Palacios Ortiz.
RESUMEN
Actualmente la seguridad de la información en la red es un tema predominante para
las organizaciones, ya que de ello depende su comunicación con otras organizaciones
y la confiabilidad de los datos que manejan en la red. Por ello la necesidad de contar
con una DMZ debido a que nos proporciona un nivel de protección adicional en la red
de la organización. Una DMZ (Zona Desmilitarizada) es una pequeña red que se sitúa
entre la red interna o LAN de la organización y la red externa o internet, la cual
ofrece fiabilidad en el intercambio de la información y permite reducir los efectos de
ataques maliciosos en la red interna de la organización. El objetivo de una DMZ es
controlar los accesos que provienen desde el exterior de la red hacia interior de la red
de la organización y proteger la confidencialidad de los datos manejados a través de
la red. La importancia del presente proyecto radica en ofrecer una guía de
implementación de una DMZ en la empresa IT/CORP, como parte del contenido se
encontrara las diferentes alternativas hardware y software que pueden ser utilizadas
como Firewall en la red de la empresa, la configuración de los servicios que estarán
contenidos en la DMZ y las políticas que maneja la empresa para los accesos a la red.
Se concluyó que una DMZ ofrece un nivel adicional en la red de una organización,
además se puede contener aislados los servicios de la empresa. Además por medio de
la utilización de un software libre se puede disminuir el nivel de inversión de la
empresa para implementar una DMZ en la red. Se recomienda tener cuidado en la
configuración de la reglas del Firewall para evitar tener problemas posteriores con los
colaboradores de la organización.
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMATICAS Y FISICAS
CARRERA DE INGENIERIA EN SISTEMAS
COMPUTACIONALES
GUÍA DE IMPLEMENTACIÓN DE UNA DZM
(ZONA DESMILITARIZADA)
PARA LA EMPRES IT/CORP
Autor/a: Marixelinda Lisbeth España Escobar.
Tutor: Ing. Francisco Palacios Ortiz.
ABSTRACT
Currently, the information security in the network is a predominant theme for
organizations, because it depends on your communication with other organizations
and the reliability of data used in the network. Hence the need for a DMZ because it
provides an additional level of protection in the network of the organization. A DMZ
(Demilitarized Zone) is a small network that sits between your internal network or
LAN of the organization and the external network or the Internet, which provides
reliability in the exchange of information and reduces the effects of malicious attacks
on the network internal organization. The purpose of a DMZ is to control the accesses
come from outside the network to the inside of the organization's network and protect
the confidentiality of data handled by the network. The importance of this project is
to provide guidance for implementing a DMZ in the enterprise IT/CORP, as part of
the content found different hardware and software alternatives that can be used as a
firewall on the corporate network, configuring services that will be contained in the
DMZ and the company that manages policies for network access. It was concluded
that a DMZ provides an extra layer in the network of an organization and can contain
isolated services company. Also through the use of free software can reduce the level
of investment by the company to implement a DMZ on the network. Caution is
advised in the configuration of the firewall rules to avoid future problems with
employees of the organization.
INTRODUCCIÓN
El presente proyecto tiene como finalidad realizar una guía con los pasos adecuados
para implementar una DMZ (Zona Desmilitarizada), como medio de protección de la
red interna de la empresa IT/CORP1, con el objetivo de mejorar la seguridad de la
institución a fin de salvaguardar toda la infraestructura tecnológica (Software,
Hardware) que se pueda comprometer cuando algún intruso pretenda violar la
seguridad.
En la actualidad la seguridad es un tema fundamental para las organizaciones, las
cuales son cada vez más dependientes de sus redes informáticas y un problema, por
mínimo que sea, puede llegar afectar en sus operaciones diarias, la falta de medidas
de seguridad para proteger la información confidencial y la popularidad del internet
es un tema que va creciendo diariamente, por ello la importancia de tener una
arquitectura que proporcione un nivel de seguridad mayor, como contar con una
DMZ en la estructura de red de la empresa IT/CORP.
1
IT/CORP, es una empresa asesora en recursos de IT, asesoría tecnología, ofrecen servicios
especializados en mantenimiento, helpdesk y administración de infraestructura, redes, etc. Fuente:
http://www.it-corp.com/
Una DMZ (Zona Desmilitarizada) o Red Perimetral, es una red que se ubica entre la
red interna (LAN) de una organización y la red pública (internet) que incorpora
segmentos de red para acceder a los equipos internos de la empresa y la red pública;
el objetivo de una DMZ es asegurar el intercambio de información entre la red
externa y la red interna sin comprometer la seguridad de la empresa IT/CORP.
Contar con una DMZ en la red proporciona un mayor nivel de seguridad y fiabilidad
en la empresa, debido a que se consigue reducir los efectos de un ataque exitoso al
proporcionar un aislamiento de la red interna con la red externa de la organización,
sin comprometer la seguridad de la red de la institución y causar algún tipo de daño.
Si la confidencialidad de la información es importante para cualquier individuo, en
una empresa adquiere mayor magnitud, uno de los sistemas operativos utilizados para
implementar una DMZ es Linux debido a que ofrece programas Open Source, lo cual
es beneficioso para la economía de las PYMES (Pequeñas Y Medianas Empresas),
sin embargo, no es el único que puede ser utilizado por cuanto en esta guía trataremos
de recomendar la mejor solución a implementar, que se adapte al costo/beneficio de la
empresa.
3
CAPITULO I
EL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
UBICACIÓN DEL PROBLEMA EN UN CONTEXTO
La necesidad de mejorar la seguridad en la red para reducir amenazas de seguridad
que se presentan en las labores diarias, nos conlleva a mejorar las distribuciones de
acceso en la red de la empresa IT/CORP, de manera que nos permita realizar un
intercambio de información confiable.
Actualmente el acceso a las tecnologías, incrementa las amenazas de seguridad en la
red, debido a los múltiples conocimientos que se adquieren mediante la utilización de
internet, los cuales no siempre son utilizados con fines benéficos, por lo cual debemos
mantener protegida la red de la empresa día a día, esto se puede lograr mediante la
utilización de una DMZ que es un complemento adicional de la infraestructura de red.
4
SITUACIÓN CONFLICTO NUDOS CRÍTICOS
Muchos inconvenientes se inician por la falta de estrategias de protección contra las
diferentes vulnerabilidades que se presentan diariamente, esto conlleva a que la red se
encuentre expuesta a graves problemas de seguridad, a comprometer su información
sensible y por ende su imagen corporativa.
Al principio, las amenazas de internet no eran más que una molestia, sin embargo, los
maliciosos ataques de hoy en día pueden llegar a entorpecer la actividad comercial de
la empresa IT/CORP, por lo cual se debe disminuir los accesos no autorizados a la red
e incrementar la seguridad para contar una mayor protección en la transferencia y
acceso a la información.
En esta Guía de Implementación de una DMZ, se expondrá la información relevante
que permita al lector conocer como implementar una DMZ dentro de la red de la
empresa IT/CORP, las configuraciones básicas de los servicios que son accedidos
desde el exterior en la empresa IT/CORP y que estarán contenidos en la DMZ.
5
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
Las causas que motivan al problema, es incrementar el nivel de seguridad en los
accesos a los servicios externos que proporciona la empresa IT/CORP, mediante la
utilización de una DMZ para cubrir aun más las vulnerabilidades que se presentan en
la situación laboral.
CUADRO N°. 1
CAUSAS Y CONSECUENCIAS DEL PROBLEMA
CAUSAS
CONSECUENCIAS
 Exposición de la información  Utilizar
confidencial de la empresa con
contenida en los servidores.
 Libre acceso de personal no
de
fines perjudiciales.
 Pérdida
autorizado a la red.
 Transferencia
datos
autorizados.
 Incremento de tráfico en la red
información
no
de
información
contenida en la red.
 Baja
confiablidad
en
el
intercambio de información.
 Disminución de acceso a la red
por lo cual se formarían los
cuellos de botella.
Elaboración: Marixelinda España Escobar.
Fuente: Marixelinda España Escobar.
6
DELIMITACIÓN DEL PROBLEMA
Se debe tener en cuenta que a diario incrementan la cantidad de personas que desean
violar la seguridad de la red de la empresa IT/CORP, por lo cual contar con una DMZ
es un factor importante debido a que ésta se convierte en un callejón sin salida para
cualquiera que desee conectarse ilegalmente a la red.
Para obtener el diseño de red que maneja actualmente la empresa IT/CORP, se
realizara una entrevista al jefe del departamento de redes e infraestructura de la
organización, esta entrevista será realizada con el fin de obtener la información
necesaria para la correcta elaboración del presente proyecto. Adicionalmente se
investigara el diseño de red manejado actualmente por la empresa IT/CORP.
Se efectuaran investigaciones para determinar el tipo de estructura adecuado que se
puede utilizar con una DMZ, el cual se adapte al diseño de red de la empresa
IT/CORP, y determinar el modelo de estructura de DMZ que será sugerido como
referencia para el diseño de red de la empresa.
7
Se investigara el software, hardware que podrían ser utilizados cuando se realice la
implementación de la DMZ que se sugiere en el presente proyecto para la red de la
empresa IT/CORP, el cual se debe adaptar costo/beneficio que posee actualmente la
organización.
Se investigara y configurara los servicios de acceso que se van a restringir y permitir
para los usuarios de la organización, con la finalidad de realizar una correcta
configuración de la DMZ que será sugerida para la empresa IT/CORP.
FORMULACIÓN DEL PROBLEMA
Entonces, ¿Por qué no contar con una Zona Desmilitarizada para tener una mayor
protección en la arquitectura de red de la empresa IT/CORP?, para prevenir de
accesos no autorizados que pueden comprometer la estabilidad de red de la empresa y
obtener un mayor nivel de seguridad en la organización.
8
EVALUACIÓN DEL PROBLEMA
La elaboración de la presente guía está orientada a la red de la empresa IT/CORP, la
cual no cuentan con una DMZ en la red, sin embargo, esta guía se orientara en
establecer la mejor forma de implementar una DMZ y que ayude a tener controlado
los accesos a la red que se realizan diariamente en esta institución.
Contar con una guía de implementación de una DMZ, es de vital importancia debido
a que será de gran ayuda para el personal técnico, el mismo que conocerá como
realizar la implementación y la alta seguridad que se brinda por medio de una Zona
Desmilitarizada.
Una DMZ ayuda a minimizar los riegos de acceso de usuarios no autorizados que
intentan comprometer la seguridad de la red de la empresa IT/CORP, debido a los
distintos riesgos que van creciendo día a día en el entorno tecnológico.
La guía de implementación de la DMZ será redactada de manera precisa y clara con
los pasos adecuados para realizar una implementación de una DMZ, con la finalidad
de que sea de utilidad para personal técnico de la empresa IT/CORP.
9
En la actualidad la inseguridad de las redes es un tema que va creciendo
constantemente, por ello se debe mantener una alta seguridad en la red, para prohibir
los accesos no autorizados y minimizar el nivel de riesgo al que está expuesta la
información de la empresa IT/CORP.
OBJETIVOS
OBJETIVO GENERAL

Elaborar una guía para realizar una implementación de una DMZ para la empresa
IT/CORP, con la finalidad de asegurar la infraestructura de red, garantizando la
confiabilidad de los sistemas de información e intercambio de servicios que
proporciona esta Mediana Empresa y evitar los accesos indebidos de personal no
autorizado a la red.
10
OBJETIVOS ESPECÍFICOS

Evaluar las políticas de seguridad que deben ser tomadas en cuenta en la
implementación de una DMZ (Zona Desmilitarizada) en la empresa IT/CORP y
eliminar las comunicaciones directas entre la red corporativa interna y la red
pública o internet.

Estudiar la configuración adecuada de los accesos que debe tener el firewall para
la correcta elaboración de la guía de implementación de la DMZ (Zona
Desmilitarizada).

Establecer los lineamientos para elaborar la guía de implementación de una DMZ
(Zona Desmilitarizada) en la empresa IT/CORP, como un mecanismo de
seguridad en la red de esta Mediana Empresa.
11
ALCANCES

Se entrevistará al jefe de redes para determinar el diseño de red que se maneja en
la empresa IT/CORP.
 Investigar el diseño de red que maneja actualmente la empresa IT/CORP.
 Investigar los tipos de estructura de red que se puedan manejar cuando se utiliza
una DMZ.
 Determinar el modelo de estructura de DMZ que será sugerido como referencia
para ser incorporado en la red de la empresa IT/CORP.
 Investigar el software, hardware adecuado que podría ser utilizado cuando se
implemente una DMZ en la red, que mejor se adapte al costo/beneficio de la
empresa IT/CORP.
 Investigar los servicios que se deben configurar para la adecuada utilización de la
DMZ en la red de la empresa IT/CORP.
 Configurar los servicios que se van a restringir y permitir para los usuarios de la
empresa IT/CORP.
12
JUSTIFICACIÓN E IMPORTANCIA
La seguridad de la información y los equipos son cada vez más importante en una
empresa ya que de ellos depende su comunicación con otras empresas y la integridad
de su información, es por ello que se debe contar con una red cada vez más segura.
Con la elaboración de la guía de implementación se verá beneficiada la empresa
IT/CORP, la cual podrá realizar de manera práctica una implementación de una DMZ
para asegurar la red de personal no autorizado que desea dañarla, y así contar con una
protección adicional en esta organización.
Así mismo se sabrá cómo mantener segura la información de personal no autorizado,
cuya modificación solo sea realizada por las personas que se encuentren acreditadas y
dentro de los límites de autorización establecidos por la empresa. En consecuencia,
ayudará a que el personal tenga conocimientos de cómo realizar una DMZ en la
organización, para proteger la integridad de la información y la imagen tecnológica
que refleja la empresa al exterior.
13
El personal competente al analizar los riesgos que conlleva no tener protegida la
información confidencial que se maneja en la empresa, los conduce a la necesidad de
manejar una mejor estructura en la red en la organización, es por ello que nace el
interés de contar con una guía de implementación de una DMZ, con el propósito de
tener una propuesta de estructura de red, que pueda ser utilizada en la empresa
IT/CORP.
14
CAPÍTULO II
MARCO TEÓRICO
ANTECEDENTES DEL ESTUDIO
Para dar inicio a la comprensión del problema planteado, en el presente proyecto se
analizaron varios trabajos de investigación, que de manera indirecta proporcionaron
una base para el proceso de inicio de desarrollo del problema planteado, a
continuación se mencionan los que sirvieron de antecedentes para la realización del
presente proyecto.
Entre los trabajos de investigación se encuentran el de Ferrer Berbejal, Mónica
(Enero, 2006), para optar por el título de Ingeniería Técnica de Telecomunicaciones
en la Universidad Politécnica de Cataluña, titulada “Firewalls software: Estudio,
instalación, configuración de escenarios y comparativa”; en este trabajo se plantea un
estudio, implementación y análisis de tres tipos de firewall, los cuales están
implementados en diferentes Sistemas Operativos como: Debian Sarge de Linux,
Windows Server 2003 y OpenBSD, en los cuales se configuran los servicios más
comunes que ofrece una empresa y que deben ser protegidos por medio de un
firewall, además se realiza una simulación y análisis de las vulnerabilidades que
15
presentan los firewalls por medio de la herramienta Nessus. Este trabajo de
investigación
está
disponible
en:
upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
Arellano, Gabriel (Marzo, 2005), Facultad Regional Concepción del Uruguay en la
Universidad Tecnológica Nacional, titulada “Seguridad Perimetral”, plantea
alternativas de implantación para obtener una mayor seguridad en la red, como: DMZ
con Muro Doble, Router “Apantallados”, Firewall, utilización de servicios Proxys e
indica los diseños que se pueden considerar cuando se utilizan cada una de las
alternativas de implantación. Esta investigación está disponible en la siguiente
dirección: www.gabriel-arellano.com.ar/file_download/14
Zárate Pérez, Jorge A. y Farias Elinos Mario (Abril, 2006), titulada “Implementación
de una DMZ”, en esta investigación muestra las líneas de configuración para el
sistema OpenBSD, NetFlow, la sintaxis de reglas para realizar un filtrado de paquetes
en la red, bloquea los paquetes falsificados (spoofing), ofrece como realizar NAT
(Network Address Translation) y varias configuraciones para poder implementar una
DMZ; una de las conclusiones a las cuales llego esta investigación es que la DMZ
permite tener un nivel de seguridad aceptable, obtener un mayor control usuarioservicio, además que se requiere de un bajo mantenimiento de la misma y ofrece la
16
inspección de paquetes a nivel de aplicación. Esta investigación está disponible en la
siguiente dirección:
http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf
Conza Gonsález, Andrea Elizabeth (Septiembre, 2009), para optar por el título de
Tecnólogo en Análisis de Sistemas Informáticos en la Escuela Politécnica Nacional
de Quito, titulada “Diseño e Implementación de un prototipo de DMZ y la
interconexión segura mediante VPN utilizando el Firewall Fortigate 60”, este trabajo
de investigación plantea diferentes alternativas de hardware y software que se pueden
utilizar en la implementación de una DMZ, la alternativa de diseño de red que se
puede implementar en el LTI (Laboratorios de Tecnologías de Información), la
configuración de los servicios que se van a ofrecer en la DMZ a través del Firewall
Fortigate, configuraciones de VPN en la red LTI, además se realizan pruebas del
funcionamiento de la DMZ y la VPN. Una de las recomendaciones que se estableció
en el trabajo de investigación es que se deben analizar las políticas que se
implementen en el Firewall para evitar conflictos con los usuarios de la organización.
Esta
investigación
está
disponible
en
la
siguiente
http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf
dirección:
17
Estos trabajos de investigación proporcionaron puntos importantes a tener en cuenta
en la realización del presente proyecto, como son la adecuada utilización de las reglas
que se vayan implementar en el Firewall y de los servicios que se vayan a utilizar en
la DMZ, además sirvieron como adquisición de conocimientos en la utilización de
diferentes Sistemas Operativos y hardware que se pueden utilizar en la
implementación de una DMZ en la red.
FUNDAMENTACIÓN TEÓRICA
RED DE COMPUTADORAS
Una red es un conjunto de equipos conectados entre sí, a través de cables de red,
ondas o cualquier método de transmisión de datos, que se encargan de trasmitir
información a quienes lo requieran y a su vez compartir recursos y servicios.
MODELO OSI
Se refiere al conjunto de etapas definidas por las que tienen que pasar las
transferencias de datos en las redes. El Modelo de Referencia de Interconexión de
Sistemas Abiertos, conocido mundialmente como Modelo OSI (Open System
Interconnection), fue creado por el ISO (Organización Internacional de Estándares),
18
con la finalidad de hacer más fácil la comunicación entre las redes a pesar de sistemas
operativos, arquitecturas, localización y fabricantes distintos. En las capas del modelo
OSI cada dato se prepara para ir a la siguiente capa.2
GRÁFICO N°. 1
CAPAS DE MODELO OSI
Elaboración: Cecilia Urbina
Fuente:http://cecilia-urbina.blogspot.com/2010/08/modeloosi.html
2
Fuente: http://cecilia-urbina.blogspot.com/2010/08/modelo-osi.html
19
Capas Del Modelo OSI
Capa Física
Es el primer nivel del Modelo OSI y se encarga de las conexiones físicas que debe
cumplir el sistema para que el computador pueda operar normalmente en la red, como
el cableado, las conexiones entre las computadoras de la red, velocidad de
transferencia, comunicación entre equipos o host y el flujo de bits.
Capa De Enlace
Esta capa obtiene los bits transmitidos por la capa física, además se encarga de la
detección y control de errores que ocurren en esta capa, para esto agrupa la
información que se va transmitir en unidades llamadas trama (bits ordenados) o
bloques y los transmite a través del medio (LAN y WAN) e incluye en cada trama
algoritmos los cuales permiten comprobar la integridad física de la trama.
Capa De Red
Esta capa es la encargada de determinar la transmisión de los paquetes, la forma en
que serán enviados los datos y de encaminar cada uno a la dirección adecuada. Este
nivel puede subdividirse en transporte y conmutación.
20
 Transporte.- Es la encargada de encapsular los datos que van a ser
transmitidos, en este nivel se encuentra el protocolo IP (Internet Protocol)
encargada de encapsular los datos que se van a transmitir.
 Conmutación.- Es la encargada de intercambiar información de conectividad
de la red, los router son dispositivos que trabajan en este nivel de la capa del
Modelo OSI, en este nivel se encuentra el protocolo ICMP (Internet Control
Message Protocol), este protocolo es el responsable de generar los mensaje
cuando ocurre algún problema en la transmisión.
Capa De Transporte
Esta capa garantiza la calidad de la comunicación debido a que se asegura la
integridad de los datos por medio de algoritmos de detección y corrección de errores,
es aquí donde se envían los paquetes de la ruta de origen a la ruta destino, determina
cómo y cuando se deben dividir los mensajes en trozos (datagramas), además de
utilizarse la retransmisión para asegurase que lleguen los paquetes.
21
Capa De Sesión
Es la encargada de controlar la conexión entre dos computadoras que estén realizando
una transmisión de los datos, es un espacio de tiempo que se asigna para acceder al
sistema por medio del login y obtener acceso a los recursos del computador, además
si ocurre una interrupción se encarga de reanudar la conexión.
Capa De Presentación
Es la primera capa que se encarga de la representación de los datos a la capa de
aplicación, esta capa utiliza los datos recibidos y los transforma en formatos que
puedan ser entendidos por la capa de aplicación como son: imágenes, sonio, video,
audio, etc.
Capa De Aplicación
Es la capa más cercana al usuario y a diferencia de los demás niveles no proporciona
ningún servicio a ningún otro nivel, lo que realiza es una interacción con la capa de
presentación y se refiere a las aplicaciones de red que se van a utilizar, además
determina los protocolos que se van a utilizar para intercambiar datos como: HTTP,
SMTP, POP, IMAP, etc.
22
MODELO TCP/IP
El Modelo TCP/IP es un software, el cual puede ser implementado en cualquier tipo
de red, está compuesto por cuatro capas o niveles, no define una capa física ni de
enlace, en este modelo cada nivel se encarga de determinados aspectos de la
comunicación. Todos los protocolos TCP/IP se encuentran en los tres niveles
superiores de este modelo.
GRÁFICO N°. 2
CAPAS DE MODELO TCP/IP
Elaboración: Microsoft
Fuente:http://technet.microsoft.com/es-es/library/cc786900%28WS.10%
29.aspx
23
Capas Del Modelo TCP/IP
Capa De Acceso A La Red
Esta capa especifica cómo se envían físicamente los datos a través de la red, incluye
todos los detalles de la capa Física y Enlace del Modelo OSI, realiza asignaciones IP
a las direcciones Físicas, encapsulamiento de los paquetes IP en tramas, además
definirá la conexión con los medios físicos.
Capa De Internet
En esta capa realiza un enrutamiento de los datos en datagramas IP, que contendrán la
dirección origen y destino, tiene como propósito seleccionar la mejor ruta para el
envió de los paquetes por la red. Se utiliza el Protocolo de Internet (IP, Internet
Protocol) para el servicio de encaminamiento a través de varias redes.
Capa De Transporte
Proporciona servicios de transporte entre el host origen y el host destino, aquí se
forma la conexión lógica entre los puntos de la red, además proporciona una
segmentación de los datos de la capa superior y es el encargado de definir el nivel de
servicio y el estado de la conexión utilizada al transportar datos. El protocolo que se
24
utiliza en esta capa es el TCP (Transmission Control Protocol) Protocolo que
Controla la Transmisión.
Capa De Aplicación
Esta capa maneja los protocolos de alto nivel, aspectos de representación,
codificación y control de diálogo, también contiene las especificaciones para efectuar
las aplicaciones comunes y cómo se conectan los programas de host a los servicios
del nivel de transporte para utilizar la red, TCP/IP tiene protocolos que soportan la
transferencia de archivos, e-mail, y conexión remota, como son los protocolos: FTP,
TFTP, NFS, SMTP, TELNET, SSH.
DIRECCIONES IP
Los equipos para comunicarse en una red, requieren de una dirección de red única, se
utiliza esta dirección IP para diferenciar un equipo de otro y ayuda a localizar donde
se encuentra este equipo en la red. Existen cuatro clase de direcciones IP que se
utilizan para ser asignadas a los equipos, la clase dependerá del tamaño y tipo de red
que se utilice.
25
Una dirección IP está formada por 32 bits que se agrupan en octetos, además está
compuesta por dos partes:
 ID de Red.- Es la primera parte de la dirección de red, es la que define el
segmento de red al que pertenece el equipo. Todos los equipos del mismo
segmento deben tener el mismo ID de Red. Están colocados siempre a la
izquierda en la dirección de red.
 ID de Host.- Es la segunda parte de la dirección de red, son los bits que
distinguen a un equipo de otro dentro de una red. Estos bits están colocados en
la parte derecha de la dirección de red.
Clases De Direcciones IP
Existen cuatro clases de direcciones IP según el tamaño de la red de la organización,
se optara por un tipo u otro.
Direcciones De Clase A
Las direcciones de clase A, son asignadas a redes con un número alto de equipos.
Solo existen 124 redes, los tres bytes de la izquierda representan los equipos de la red.
Esta clase corresponde a redes que pueden direccionar hasta 16.777.214 máquinas
26
cada una, lo cual indica que para las Direcciones de Clase A, las redes van de 1.0.0.0
a 126.0.0.0. Además el primer bit siempre es 0. La dirección de red 127.0.0.0 se
reserva para las pruebas loopback.
Direcciones De Clase B
Las direcciones de red de clase B, permiten direccionar 65.534 máquinas cada una,
donde los primeros dos bits son siempre 0 y 1. Esto significa que hay 16.382 redes
posibles, es decir, por lo cual una Dirección de Clase B, va de 128.0.0.0 a
191.255.0.0.
Direcciones De Clase C
Las direcciones de red de clase C, se utilizan para redes de área local pequeña LAN,
permiten direccionar 254 máquinas. Existen 2.097.152 direcciones de red de clase C,
por lo tanto, las direcciones van desde 192.0.0.0 a 223.255.255.0. Donde los primeros
tres bits son 1,1 y 0.
Direcciones De Clase D, E y F
Las direcciones de clase D, E y F son un grupo especial no se las asigna a host, se las
utiliza para multicast, un servicio que permite trasmitir material a muchos puntos en
27
una internet a la vez. Donde los cuatro primeros bits son 1110, para una dirección de
clase D, E y F, las direcciones van 224.0.0.0 hasta 254.0.0.0
SEGURIDAD INFORMÁTICA
La seguridad es la ausencia de peligro, que tiende a garantizar la estabilidad,
integridad y confiabilidad de algo o alguien. La seguridad informática consiste en
asegurar que los recursos del sistema de información (material informático o
programas) sean utilizados de la manera correcta y que el acceso a la información
almacenada, así como su modificación, sólo sea posible por las personas autorizadas.
POLÍTICAS DE SEGURIDAD
Una política de seguridad es tener una directiva predeterminada y una colección de
acciones a realizar en respuesta a tipos de mensajes específicos. Cada paquete se
compara, uno a uno, con cada regla de la lista hasta que se encuentra una
coincidencia. Si el paquete no coincide con ninguna regla, fracasa y se aplica la
directiva predeterminada al paquete.3
3
Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa”
Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
28
TIPOS DE ATAQUE
Spoofing
El intruso simula la identidad de otra máquina de la red para conseguir acceso a
recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el
nombre o la dirección IP del host suplantado. El propósito de estos ataques es tentar
al host atacado, para que acepte datos como si vinieran de la fuente original o bien
para recibir datos que deberían ir hacia la máquina suplantada y alterarlos.34
Sniffing
El Sniffing (“husmear en la red”) es un tipo de ataque de interceptación en el que una
máquina diferente a la máquina destino lee los datos de la red. Esto tiene que ver con
el uso de una interfaz de red para recibir datos no destinados a la máquina donde se
encuentra dicha interfaz. 3
Negaciones de Servicio (DoS)
Las negaciones de servicio o Denial of Service son ataques dirigidos contra un
recurso informático con el objetivo de degradar total o parcialmente los servicios
43
Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa”
Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
29
prestados por ese recurso. En entornos donde la disponibilidad es valorada por
encima de otros parámetros de la seguridad global puede convertirse en un serio
problema, ya que se podría interrumpir constantemente un servicio sin necesidad de
grandes recursos. Por otra parte este tipo de ataques constituyen en muchos casos uno
de los ataques más sencillos y contundentes contra todo tipo de servicios. La
inhabilitación de un servicio se suele hacer porque el atacante lo ha bloqueado
totalmente o porque el propio servicio ha estado sometido a constantes ataques DoS.35
Barridos PING
Uno de los ataques más comunes de Denegación de Servicio es el envío continuado
de paquetes ICMP contra una dirección IP, de manera que respondan todas las
máquinas que se encuentren en esa red. Este tipo de ataque puede ser fácilmente
detectado por el administrador de la red ya que genera una gran cantidad de tráfico.3
Escaneo de puertos
Este tipo de ataque es utilizado con herramientas que verifican los puertos que se
encuentran abiertos en la red para de esta manera poner ingresar y controlar la red,
también son utilizados para verificar los fallos en la red.
3
Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa”
Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
30
PARA EVITAR ATAQUES EN LA RED
Para evitar ataques se debe codificar o cifrar la información, es decir, tener
contraseñas de acceso, las cuales sean difíciles de averiguar a partir de datos
personales del individuo. Realizar una vigilancia y monitoreo de la red, contar con
una Zona Desmilitarizada, contar con tecnologías protectoras como los cortafuegos o
Firewall, sistema de detección de intrusos antispyware, antivirus, llaves para
protección de software, etc., proteger los sistemas de información con las
actualizaciones de seguridad más importantes.
SERVIDORES
Servidor DNS
Un servidor DNS (Domain Name Service), se utiliza para proporcionar a las
computadoras de los clientes un nombre similar a las direcciones IP. Este servidor
trabaja de forma jerárquica para intercambiar información y obtener direcciones IP de
otras LAN. El uso de este servidor es transparente para los usuarios cuando éste está
bien configurado.
31
Servidor DHCP
Para que un equipo pueda comunicarse y realizar intercambio de información a través
de la red, requiere de una dirección IP y una máscara, el Servidor DHCP (Dynamic
Host Configuration Protocol), es el encargado de proporcionar una configuración
dinámica de las direcciones IP para los equipos que se encuentran dentro de la red de
la organización, además con la utilización de este servidor se puede evitar la
asignación de IP de manera manual.
Servidor De Correo
El correo electrónico es el servicio más utilizado hoy en día y que ofrece la
posibilidad de comunicarse rápidamente con todo el mundo desde una estación de
trabajo, en el cual intervienen tres agentes el remitente, el agente de trasporte de
correo y el destinatario. El remitente es el que da el formato, lo dirige y entrega al
agente de transporte de correo, este agente es el encargado de aceptar los mensajes de
los usuarios y encamina el mensaje por la red adecuada y el reenvío y finalmente el
destinatario, entrega los mensajes al receptor.
32
Servidor de FTP
El servidor FTP (File Transfer Protocol), ofrece transferencia de ficheros de un
directorio a otro, se utiliza de modo cliente-servidor, el cliente FTP indica que desea
acceder a los datos contenidos en el servidor, el servidor proporciona la dirección y el
puerto aleatorio para permitir el acceso, luego el cliente se conecta y descarga la
información deseada.
ZONA DESMILITARIZADA (DMZ)
Una Zona Desmilitarizada (DMZ, Demilitarized Zone) o también conocida como Red
Perimetral, es una pequeña red local que se ubica entre la red interna de la
organización y la red externa generalmente el internet.
El objetivo de una DMZ es controlar los accesos desde el exterior hacia el interior de
la red de la organización para proteger la confidencialidad de los datos que son
manejados en la red y controlar los accesos desde la red interna hacia el exterior de la
red, en caso de que intrusos intente comprometer la seguridad de los equipos situados
en la red, por lo cual con la utilización de una DMZ se pude obtener un mayor nivel
de seguridad en la red de la organización.
33
Una DMZ se la utiliza frecuentemente para ubicar servidores que se requieren que
sean accedidos desde el exterior de la red, como lo son Correo, FTP, Web, etc., una
DMZ se crea a través de las configuraciones del Firewall, por lo cual existen varios
tipos y diseños de Firewall.
Contar una DMZ en la red nos ofrecerá ciertas ventajas como tener mayor tolerancia
a fallos, se podrá tener un mayor control de los accesos permitidos a los usuarios,
mayor flexibilidad debido a que se pueden definir varias DMZ tanto como se necesite
para proteger la red de accesos inseguros, además no se tendrá accesos directos a la
red interna de la empresa.
Es posible agregar varios niveles de DMZ agregando mas Router o Firewall, pero las
reglas que se le apliquen a cada uno deben ser distintas, de lo contrario los niveles de
DMZ se especificarian como si se tuviera uno solo.
El siguiente grafico se utilizan dos Firewall, el exterior tiene como mision evitar el
trafico hacia la red interna y hacia la red externa, el Firewall interior evita el trafico
entre la red interna y la DMZ, la configuracion de los sistemas Dual – Host pueden
ser complicados.
34
GRÁFICO N°. 3
CAPAS DE MODELO SCREENED SUBNET
Elaboración: Unión Internautas
Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16
&t=3611
Pero si se realiza una adecuada configuracion y administracion brinda algunas
ventajas de seguridad, como: ocultamiento de la informacion, registro y autenticación
de actividades, reglas de filtrado menos complejas, entre otras.
Sin embargo, la DMZ también tiene ciertas limitaciones como: dificultad en la
administración de reglas del Firewall que deben trabajar en conjunto para los accesos
a la red, si las reglas no están bien elaboradas se puede tener una sensación de falsa
seguridad en la red de la organización.
35
HISTORIA DE LA DMZ
El nombre al sistema DMZ, es tomado de una franja de terreno neutral que separa a
Corea del Sur con Corea del Norte, es tomado de la Guerra de Corea que se
encontraba vigente y en tregua desde 1953, a pesar de que esta zona desmilitarizada
es un terreno neutral es una de las más peligrosas del planeta, por lo cual DMZ se
refiere a un área entre dos enemigos.
FIREWALL
Un Firewall o Cortafuegos es un sistema de seguridad de redes en el que se protege
una máquina o subred de servicios que desde el exterior puedan suponer una amenaza
a su seguridad. Dicho en otras palabras, es un sistema de aislamiento entre dos o más
redes para evitar comunicaciones indeseadas. El Firewall actúa de filtro, de manera
que examina todos y cada uno de los paquetes de información en base a unas reglas
definidas. Es bajo una política de seguridad que decide qué paquetes puede aceptar,
cuáles modificar o cuáles bloquear.36
3
Tesis: “Firewalls software: Estudio, instalación, configuración de escenarios y comparativa”
Fuente: upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
36
Categorías De Los Firewall
Identificar los distintos firewall que existen, nos permitirá tener una idea más clara de
las configuraciones que se deben realizar para implementar una DMZ en la red de la
empresa IT/CORP. Se indicara una descripción general de las categorías de Firewall
que existe, como son: Firewalls de Filtración de Paquetes (Choke), Servidores Proxy
a Nivel de Aplicación (Proxy Gateway de Aplicaciones) y Firewalls de Inspección de
Paquetes (SPI, Stateful Packet Inspection).
Firewalls de Filtración de Paquetes (choke)
En esta categoría se aprovecha la utilidad del router para realizar el Filtrado de
Paquetes, permite al administrador de red definir un conjunto de reglas para aceptar o
denegar un paquete que se vaya a transmitir a través de la interfaz de red.
El Firewall verifica esta dirección IP, de donde proviene el tráfico entrante y rechaza
todo tráfico que no coincida con la lista de direcciones que se manejan en el Firewall.
El Firewall de Filtración de Paquetes trabaja a nivel de la capa de transporte y capa de
red del modelo OSI y están conectados a ambos perímetros de la red (interior y
exterior).
37
El filtrado de paquetes se lo realiza según la información contenida en un paquete,
como:
 IP origen y destino
 Puerto origen y destino
 Protocolo usado TCP/UDP.
GRÁFICO N°. 4
FILTRACIÓN DE PAQUETES (CHOKE)
Elaboración: Grupo de Seguridad del CEM
Fuente: Firewall.ppt
El filtrado de paquetes mediante direcciones IP y puertos, permite al administrador de
la red establecer los servicios que estarán disponibles y determinar para que usuarios
y por cuales puertos estarán disponibles.
38
Estos Firewalls tienen las ventajas de ser transparentes para los usuarios conectados
en la red y tiene alta velocidad. Sin embargo presenta debilidades como: IP spoofing
(Espionaje IP), la idea de este ataque es que los datos parecen originarse de una
fuente confiable o incluso de una dirección IP propia de la red, no protege las capas
superiores del modelo OSI, además las reglas de filtrado de paquete son difíciles de
configurar y monitorear, cualquier error en la configuración puede dejarlo vulnerable
ante los ataques.
Servidores Proxy a Nivel de Aplicación (Proxy Gateway de Aplicaciones)
Es un software de aplicación, el cual ser encarga de examinar las aplicaciones
utilizadas por los paquetes, con la finalidad de comprobar la autenticación de los
mismos. Estas aplicaciones se las conoce como Servidores Proxy y la maquina donde
se ejecuta recibe el nombre de Gateway de Aplicaciones o Bastión Host.
El proxy actúa como intermediario entre el servidor que se desea acceder y los
equipos de una organización, siendo transparente para ambas partes, cuando un
usuario desea un servicio en realidad no acceda directamente al servidor, sino que
realiza una petición al proxy. Este realiza la conexión con el servicio que se desea
acceder y devuelve el resultado al usuario que solicito el servicio. Su función es la de
analizar el tráfico en busca de algún contenido que viole la seguridad de la red.
39
GRÁFICO N°. 5
PROXY GATEWAY
Elaboración: Unión Internautas
Fuente:http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16
&t=3611
El trafico de cada aplicación requiere de una instalación y configuración para cada
servicio como: HTTP, FTP, SMTP/POP3. Las ventajas que muestra este Firewall es
que ofrece una mayor seguridad que el de Filtrado de Paquetes, sin embargo también
tiene sus desventajas, como que no utilizan reglas de control de acceso para garantizar
la conexión, la posibilidad de que personas puedan navegar anónimamente, además
puede convertirse en un limitador al no permitir acceder a ciertos puertos y
protocolos.
40
Firewalls de Inspección de Paquetes (SPI, Stateful Packet Inspection).
Este Firewall examina todos los componentes de los paquetes que circulan por la red,
con la finalidad de decidir si es aceptado o rechazado, inspecciona la comunicación
entrante y saliente para verificar si realmente fue solicitada entonces podrá aceptarla,
de lo contrario la rechazara.
GRÁFICO N°. 6
INSPECCIÓN DE PAQUETES
Elaboración: Grupo de Seguridad del CEM
Fuente: Firewall.ppt
Los datos que son aprobados pasan al siguiente nivel de inspección y el software
determinar el estado de cada paquete de datos, así como también la procedencia y
destino del mismo. Este Firewall se aplica desde la capa de red hasta la capa de
transporte del Modelo OSI.
41
TIPOS DE FIREWALL
Unos de los mayores inconvenientes que puede presentar un Firewall es que no
protege de los ataques internos que se puedan producir en la red de la empresa, por
ello es conveniente utilizar Firewalls internos, con la finalidad de brindar una
protección desde el interior de la red.
Para determinar el tipo de Firewall adecuado para proteger la red de la empresa, hay
que tener en consideración los requerimientos de negocio de la empresa y el tamaño
de red de la misma, de acuerdo a la implementación un Firewall se clasifican en:
 Firewall Appliance (Basados en Hardware)
 Firewall Basados en Software (gratuitos y comerciales)
Firewall Appliance (Basados En Hardware)
La mayoría de los Firewall Appliance son dispositivos hardware dedicados, estos
equipos son colocados entre la red de la empresa y el internet, cuya función es la de
implementar una política de acceso, son máquinas diseñadas exclusivamente para
trabajar como Firewall especialmente para realizar filtrado de paquetes, la diferencia
con los Firewall por Software es que estos equipos son elaborados para realizar esta
42
función y suelen venir preconfigurados, de modo que solo sea necesario conectarlo a
la red, las actualizaciones son automáticas y pueden ser menos susceptibles a las
fallas de seguridad que se presentan en los Sistemas Operativos utilizados para
Firewall, debido a que estos Firewalls integran Sistemas Operativos desarrollados
específicamente para ser utilizados como Firewall.
Por lo general, los dispositivos de Firewall son más fáciles de instalar y configurar
que los productos de Firewall de Software, además reducen la necesidad de escoger
entre hardware, sistema operativo y software de filtrado debido a que todo viene
configurado en un solo paquete, requieren un nivel de mantenimiento menor que los
Firewall por Software y proporcionan un mayor nivel de seguridad aunque pueden ser
muy costosos.
43
Alternativas De Firewalls Appliance
3Com® Office Connect® Internet Firewall DMZ
GRÁFICO N°. 7
3COM OFFICECONNECT
Elaboración: 3Com
Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features
&sku=3C16771-US&pathtype=support
Este firewall bloquea el acceso no autorizado de la red, vienen preconfigurados y
previene de ataques de denegación, ataques de hackers de servicio, disponible para
100 usuarios. Un puerto DMZ permite a los clientes acceder a su sitio sin exponer su
red a los ataques. Para la seguridad global, también puede controlar y monitorear el
acceso a Internet por los usuarios de LAN.47
4
Fuente:http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support
44
CUADRO N°. 2
CARACTERÍSTICAS Y DESCRIPCIÓN 3COM OFFICECONNECT
Características
Hardware
Descripción
 Sistemas operativos compatibles:
Windows 2000 / 98 / 95/NT,
Windows para Trabajo en Grupo,
UNIX, Mac OS 7.5.3 y anteriores.
 Tenga en cuenta que este producto
requiere de un módem o router con
una 10BASE-T o la conexión
Ethernet 10/100 BASE-TX.
 3 Puertos RJ-45 10BASE-T
 1 Puerto DMZ
Interface
 1 Puerto LAN a una red Ethernet
de 10 Mbps o 10/100 Mbps switch.
 Conexión ISP
Networking
 Protocolos soportados: TCP / IP,
Dynamic
Host
Configuration
Protocol,
Network
Address
Translation
 Soporta hasta 100 usuarios
Detalles
 Evita los ataques de denegación de
servicios de hackers tales como:
Ping de la Muerte, inundaciones
SYN,
ataque
por
tierra,
suplantación de IP, y Bonk
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16
771-US&pathtype=support
 http://latam.preciomania.com/search_techspecs_full.php/masterid=256926
/st=product_tab
45
Cisco ASA 5505 Firewall Edition Bundle
GRÁFICO N°. 8
ASA 5505
Elaboración: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2
56926/st=product_tab
El Cisco ASA 5505 Adaptive Security Appliance, es un dispositivo de seguridad con
todas las funciones para las pequeñas empresas, sucursales y entornos empresariales
que ofrece firewall de alto rendimiento, SSL e IPsec, VPN, redes y servicios ricos en
un sistema modular, "plug-and-play" aparato. Uso de la Web integrado basado en
Cisco Adaptive Security Device Manager, que puede ser desplegado rápidamente y
de fácil manejo, permite a las empresas minimizar los costos de operaciones. El Cisco
ASA 5505 ofrece un switch de 8 puertos 10/100 Fast Ethernet, cuyos puertos se
pueden agrupar de forma dinámica para crear hasta tres VLAN separada para el
hogar, los negocios y el tráfico de Internet para la segmentación de red mejorada y la
seguridad.58
5
Fuente:http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_adaptativo
_seguridad_series_asa5500.html
46
CUADRO N°. 3
CARACTERÍSTICAS Y DESCRIPCIÓN CISCO ASA 5505
Características
Hardware
Descripción
 RAM instalada (máx.) 256 MB
 Memoria flash (máx.) 64 MB Flash
 Protocolo de interconexión de datos
Ethernet, Fast Ethernet
 Red / Protocolo de transporte: IPSec
Interface
 Capacidad Peers VPN IPSec: 25 ¦
Peers VPN SSL : 2
 Sesiones concurrentes: 25000
 Interfaces virtuales (VLAN): 20
 1 Puerto DMZ
Networking
 Rendimiento
Capacidad
cortafuegos: 150 Mbps
del
 Capacidad de la VPN: 100 Mbps
 Soporte para dos VPN para
comunicación entre oficinas, con
expansión de hasta 25 empleados
Detalles
 Soporte para cualquier tipo de red
de área local desde 5 usuarios.
 Appliance de seguridad que integra
VPN.
 Switch de 8 puertos 10/100 que
pueden ser agrupados en 3 VLans.
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispo
sitivo_adaptativo_seguridad_series_asa5500.html
 http://latam.preciomania.com/search_techspecs_full.php/masterid=256926/st
=product_tab
47
SonicWall PRO 2040 VPN/Firewall
GRÁFICO N°. 9
SONICWALL PRO 2040
Elaboración: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/maste
rid=2378586/st=product_tab
SonicWall ofrece la serie PRO es una plataforma de seguridad multiservicio para
empresas que requieren sólida protección de red, junto con un rápido y seguro acceso
a VPN para trabajadores remotos.69
Vinculado a organizaciones que mueven grandes cantidades de datos críticos a través
de extensas topologías de red complejas. Optimizado para redes de 200 o 50 lugares
en la red, PRO 2040 reúne las ventajas del sistema operativo SonicOS en un
dispositivo económico, rack montado, combina cortafuegos de inspección profunda
de paquetes y capacidades de VPN IPSec. Con soporte para Gateway anti-virus,
antispyware, prevención de intrusiones, filtrado de contenido y bloqueo de spam para
ofrecer seguridad en capas de red.710
6
7
Fuente: http://www.sonicwall.com/lat/TotalSecure_Solutions.html
Fuente: http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=product_tab
48
CUADRO N°. 4
CARACTERÍSTICAS Y DESCRIPCIÓN SONICWALL PRO 2040
Características
Descripción
 RAM instalada 128 MB
Hardware
Interface
 Memoria flash instalada (máx.) 64
MB Flash
 1 puerto
LAN
RJ-45
10/100Base-TX
 1 puerto
WAN
RJ-45
10/100Base-TX
 1 puerto
DMZ
RJ-45
10/100Base-TX
1
puerto
Management
RJ-45
Console
 Escanea más de 50 protocolos de red
Networking
 Túneles VPN 50 de Sitio a Sitio
 Clientes VPN (máximo) 200
 25 Interfaces VLAN
 Optimizado para redes de hasta 200
nodos o 50 lugares en la red.
Detalles
 Es un tipo de producto Appliance
VPN
 25.000 Firmas de Amenazas
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www.sonicwall.com/lat/TotalSecure_Solutions.html
 http://latam.preciomania.com/search_techspecs_full.php/masterid=23785
86/st=product_tab
49
Netgear ProSecure UTM25
GRÁFICO N°. 10
NETGEAR PROSECURE UTM25
Elaboración: Preciomania
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=2
378586/st=product_tab
Ideal para empresas que buscan ampliar la eficacia de puerta de enlace de seguridad
en un paquete de alto rendimiento. Incluyen anti-malware/anti-virus líderes en la
industria de exploración, híbrido en la nube, filtrado de URL, distribuidas Análisis de
Spam y Anti-Spam con una en el arquitectura de las nubes, HTTP / HTTPS de
inspección, SSL e IPSec VPN y soporte VoIP.811
NETGEAR ProSecure Gestión Unificada de Amenazas (UTM) combinan
rendimiento con cobertura de la seguridad global. Pendiente de patente de tecnología
Stream Scanning permite el uso de una extensa base de datos de virus y software
malicioso, manteniendo un alto nivel de rendimiento y minimizar la latencia de
exploración.912
8
Fuente: http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php
Fuente:http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=product_tab
9
50
CUADRO N°. 5
CARACTERÍSTICAS Y DESCRIPCIÓN NETGEAR PROSECURE UTM25
Características
Descripción
 2 Puertos RJ-45 WAN 10/100/1000
Base-T
 1 Zona de despeje
Interface
 4 Puertos LAN RJ-45 10/100/1000
Base-T
 1 puerto consola
administración
RS-232
de
 1 puerto USB
 Filtrado de URL
 HTTP / HTTPS de inspección
 SSL e IPSec VPN
Networking
 Soporte VoIP.
 8.000
conexiones
máximo
concurrentes
 90 Mbps de Inspección de Paquetes
Detalles
 Dimensiones: 1,70 cm Altura x 13 "de
ancho x 8.20" de profundidad
 15 Mbps promedio de Lucha contra el
virus de rendimiento
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www.prosecure.netgear.com/products/prosecure-utmseries/models.php
 http://latam.preciomania.com/search_techspecs_full.php/masterid=743185
679/st=product_tab
51
ZyXEL ZyWALL USG 100
GRÁFICO N°. 11
ZYXEL ZYWAL USG100
Elaboración: ZyXel
Fuente:
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=200
40908175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A
El ZyWALL USG 100 es de alto rendimiento, inspección profunda de paquetes
plataforma de seguridad para pequeñas y medianas oficinas. Se incorpora un firewall,
detección de intrusiones y prevención (IDP), filtrado de contenido, anti-virus, antispam, y VPN en una sola caja.1013
10
Fuente:http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&Category
GroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A
52
CUADRO N°. 6
CARACTERÍSTICAS Y DESCRIPCIÓN ZYXEL ZYWALL USG 100
Características
Hardware
Descripción
 Memoria 256 MB DDR2 RAM
 256 MB de memoria Flash
 1 Puerto RJ-45 10/100/1000 Base-T
DMZ
Interface
 4 Puertos LAN RJ-45 10/100/1000
Base-T
 2 Puertos WAN RJ-45 10/100/1000
Base-T
 2 Puertos USB
 1 Puerto de consola DB-9 RS-232 de
administración.
 IPSec VPN
 SSL VPN
Networking
 filtro de contenido
 Anti-Virus
 IDP (detección y prevención de
intrusiones)
 25 Usuarios PC
 Certificado por ICSA
Detalles
 Dimensiones del Producto: 1,40 cm
Altura x 9,50 cm Anchura x 6,90 cm
Profundidad.
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908
175941&CategoryGroupNo=4E8412D7-AF41-41EA-987CACA23F38108A
 http://latam.preciomania.com/search_techspecs_full.php/masterid=91750
290/st=product_tab
53
Barracuda 660 Web Application Firewall
GRÁFICO N°. 12
BARRACUDA 660
Elaboración: Barracuda
Fuente:http://www.barracudanetworks.com/ns/products/web-sitefirewall-overview.php
El Barracuda Web Application Firewall ofrece una protección completa de las
aplicaciones Web y está diseñado para hacer cumplir las políticas, tanto para las
normas de seguridad internas y externas de datos, tales como Payment Card Industry
Estándar de Seguridad Informática (PCI DSS). Al mismo tiempo, el Barracuda Web
Application Firewall 460 y modelos superiores disponen de un amplio conjunto de
capacidades de entrega de aplicaciones diseñada para mejorar el rendimiento,
escalabilidad y capacidad de gestión de datos más exigentes de hoy en día centro de
las infraestructuras.1114
11
Fuente: http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php
54
CUADRO N°. 7
CARACTERÍSTICAS Y DESCRIPCIÓN BARRACUDA 660
Características
Hardware
Descripción
 Firewall Appliance
 2 x RJ-45 10/100/1000Base-T LAN,
Interface
 1 x RJ-45 10/100/1000Base-T DMZ,
 1 x DB-9 Serial RS-232 Management
Dimensiones
 1.70" Alto x 16.80" Ancho x 22.60"
Profundidad
 HTTP / HTTPS / FTP Protocolo de
validación
 Sitio Web encubrimiento
 Respuesta de Control
 Salida de Protección de Datos de
Robo
 Políticas granulares a elementos
Detalles
 Protocolo de cheques
 Carga de archivos de control
 Registro, Supervisión y Presentación
de Informes
 Alta Disponibilidad
 Descarga de SSL
 Autenticación y autorización
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www.barracudanetworks.com/ns/products/web-site-firewalloverview.php
 http://latam.preciomania.com/search_techspecs_full.php/masterid=804877
140/st=product_tab
55
Firewall Basados En Software
Los Firewall Basados en software, resultan más económicos que los Firewall basados
en Hardware, estos Firewalls se pueden configurar en base a la política de acceso que
el administrador de redes implemente, sin embargo, presentan algunas situaciones que
se deben considerar adecuadamente como la plataforma de hardware y el sistema
operativo a utilizar debido a que en los sistemas como Windows o Unix se corren
servicios que no son requeridos si la máquina va a funcionar como Firewall
únicamente.
Lo que hacen estos Firewall es analizar la peticiones de entrada / salida para
bloquearlas o aceptarlas dependiendo de las políticas, sin embargo, su
implementación dependerá de la dificultad de acceso que se requiera que tenga el
Firewall, la velocidad de la máquina, la memoria, el procesador, etc.
El administrador del sistema deberá monitorearlo constantemente, con la finalidad de
instalar manualmente las actualizaciones más recientes de seguridad y del sistema
operativo, que en algunos casos no es una tarea sencilla. Sin estas actualizaciones de
seguridad, el software que utiliza el Firewall puede volverse totalmente inservible,
como medio de protección de la red.
56
Actualmente también existen los Firewall personales, los cuales se pueden ejecutar en
la maquinas de los usuarios con la finalidad de protegerlas del trafico que se genera
dentro de la misma red, además permiten definir el trafico permitido hacia y desde
cada host de la red.
Alternativas De Firewalls Por Software
Firestarter
Firestarter es una herramienta cortafuegos gratuito para máquinas Linux, sea para
proteger su estación de trabajo personal o si tiene una red de ordenadores. El software
tiene como objetivo combinar la facilidad de uso con características de gran alcance,
por lo tanto sirve para usuarios de escritorio Linux y administradores de sistemas.1215
Características: 12

Software de código abierto, disponible de forma gratuita

La interfaz gráfica es fácil de usar.

Un asistente le guiará a través de la configuración de su servidor de seguridad
en su primera vez.

Adecuado para uso en equipos de sobremesa, servidores y gateways.
 Servidor de seguridad en tiempo real de eventos.
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
57
 Muestra los intentos de intrusión a medida que ocurren.
 Permite compartir la conexión a Internet, opcionalmente con DHCP servicio
para los clientes.
 Le permite definir tanto la política de acceso de entrada y de salida.
 Abrir los puertos, la configuración de la directiva de servidor de seguridad con
sólo unos clics del ratón.
 Habilitar el reenvío de puertos para la red local en cuestión de segundos.
 Opción para el tráfico en lista blanca o lista negra
Zorp GPL
Es una nueva generación de proxy privado de cortafuegos, se utiliza a nivel de
proxies de aplicación, es modular y basado en componentes, se utiliza un lenguaje de
script para describir las decisiones de política, que permite monitorear el tráfico
cifrado, vamos a anular
las acciones del cliente, que le permite proteger sus
servidores con su construcción en las capacidades de IDS. La lista es interminable. Le
da todo el poder que necesita para implementar su política de seguridad local.1216
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
58
Características: 12

Con un lenguaje script como el lenguaje de configuración y decisión (Python)

Admite protocolos: HTTP, FTP, SSL, TELNET, etc.

La utilización de puertas de enlace de aplicaciones modulares

Capaz de analizar los sub-protocolos (por ejemplo, HTTP en SSL )

Puede añadir o eliminar reglas de filtrado de paquetes a la carta
Turtle
Permite realizar un servidor de seguridad de Linux de manera rápida y sencilla,
basado en 2.4.x/2.6.x kernel e Iptables.13 Su forma de trabajar es fácil de entender, se
17
pueden definir elementos de servidor de seguridad diferentes (zonas, anfitriones,
redes) y luego configurar los servicios que desea habilitar entre los diferentes
elementos o grupos de elementos. Usted puede hacer esto simplemente editando un
archivo XML o mediante la interfaz web, cómodo, Webmin. 12
Características: 12
12
13

Zonas, Redes, Anfitriones y Definiciones por Grupos.

Las reglas de filtrado, definiciones basadas en servicios.

NAT (traducción de Direcciones Web).

Enmascaramiento.
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
Fuente: http://www.turtlefirewall.com/
59
LutelWall
Es una herramienta de configuración Linux de alto nivel, proporciona una fácil
configuración para instalar Netfilter de manera segura. Su flexibilidad de permite a
los administradores de Firewall construir desde muy simples cortafuegos a los más
complejos, con múltiples subredes, DMZ y cambios de dirección del tráfico.1418
Puede ser utilizado en un sistema de servidor de seguridad un multi-función de
Gateway / router / servidor o en un sistema autónomo. Este servidor de seguridad está
diseñado para ser lo más simple posible, sin perder la flexibilidad de Netfilter y sus
características de seguridad.14
LutelWall es un script de Shell Linux Iptables escrito en bash para su uso como un
firewall y NAT / router para las redes de una o varias subredes.12
Características: 12
12
14

Detección automática del tipo de conexión (estático/dinámico externo/interno)

Actualización automática de la herramienta de servidor de seguridad.

Muestra estadísticas de firewall en iptables, o en formato HTML.

Fácil implementación en todas las distribuciones.
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
Fuente: http://firewall.lutel.pl/
60
Endian
Endian es una "llave en mano" de distribución de seguridad de Linux que convierte
cada sistema en un dispositivo de seguridad con todas las funciones de gestión
unificada de amenazas (UTM). El software ha sido diseñado con la facilidad de uso y
es muy fácil de instalar, utilizar y gestionar, sin perder su flexibilidad. 1519
Características: 12

Firewall de inspección de paquetes con estado.

Proxies a nivel de aplicación para los distintos protocolos (HTTP, FTP, POP3,
SMTP) con el apoyo de antivirus, virus.

Filtrado de spam para el tráfico de correo electrónico (POP y SMTP).

Filtrado de contenido de tráfico de Internet
Smoothwall
SmoothWall Express es una distribución de código fuente abierto basado en firewall
de GNU / Linux de sistema operativo. SmoothWall incluye un subconjunto
endurecido del sistema operativo GNU / Linux, por lo cual no se lo puede separar del
sistema operativo al instalar. Diseñado para la facilidad de uso, SmoothWall se
12
15
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
Fuente: http://www.endian.com/en/community/overview
61
configura a través de un GUI basado en web, y no requiere absolutamente ningún
conocimiento de Linux para instalar o utilizar.12
20
CentOS
Es una de las distribuciones de Linux que ofrece más robustez y dinamismo con
respecto al trabajo y lo necesario de cualquier índole, esta distribución ofrece varias
funciones entre la cuales tenemos: Servidor web Apache (SSL), Servidor de correo
Postfix con SMTP-AUTH y TLS, Servidor DNS BIND, Servidor FTP ProFTP,
Servidor MySQL, Servidor POP3/IMAP POP3/IMAP, Firewall, etc.
12
Fuente: http://www.tech-faq.com/where-can-i-download-a-free-firewall.html
62
ANÁLISIS COMPARATIVO
A continuación se mostraran los costos de los dispositivos Firewall, los cuales fueron
nombrados anteriormente, considerando el tamaño de la organización.
CUADRO N°. 8
LISTA DE PRECIOS DE FIREWALL
Firewalls
Tamaño Empresa
Precio
3Com® OfficeConnect® Internet Firewall
DMZ
Pequeña y Mediana
Empresa
$ 252.10
Cisco ASA 5505 Firewall Edition Bundle
Pequeña y Mediana
Empresa
$ 549.00
SonicWall PRO 2040 VPN/Firewall
Medianas Empresas
$ 1,770.00
Netgear ProSecure UTM25
Pequeña y Mediana
Empresa
$ 379.00
ZyXEL ZyWALL USG 100
Pequeña y Mediana
Empresa
$ 361.00
Barracuda 660 Web Application Firewall
Pequeña y Mediana
Empresa
$ 16,054.00
Elaboración: Marixelinda España Escobar
Fuentes:
 http://www2.shopping.com/firewall/products?CLT=SCH
 http://latam.preciomania.com
63
Selección De La Mejor Alternativa De Firewall
Considerando que la empresa IT/CORP es una Mediana Empresa, que no realiza
inversión anual para los equipos del área de redes, se concluye que es necesario
utilizar un Firewall Software para la configuración de la DMZ en la red, como el
software CentOS 5.2 que es utilizado actualmente en el Firewall.
Sin embargo, si la empresa en un futuro desea invertir en equipos de redes se
recomienda la utilización de un Firewall Appliance, debido a que son equipos
dedicados y son fáciles de implementar y configurar debido a que proporcionan un
Sistema Operativo creado para Firewall. El Firewall Appliance que se recomienda
para la empresa IT/CORP es CISCO ASA 5505 Firewall Edition Bundle, debido a
que se ajusta a las necesidades que posee actualmente la empresa, le proporciona 8
puertos de red, para un futuro crecimiento proporciona 25000 sesiones recurrentes,
posee un bajo costo de inversión al minimizar los costes de operaciones y varias
características adicionales que están expuestas anteriormente.
64
FUNDAMENTACIÓN LEGAL
La autoría de esta tesis de grado corresponde exclusivamente a los subscritos,
pertenecientes a la Universidad de Guayaquil los derechos que generen la aplicación
de la misma. (Reglamento de Graduación de la Carrera de Ingeniería en Sistemas
Computacionales, Articulo 26).
HIPÓTESIS
 Si se configura adecuadamente los parámetros de la DMZ para la empresa
IT/CORP se lograra tener una mayor seguridad en la red de la empresa.
 Si la empresa IT/CORP no tiene configuradas adecuadamente las políticas de
seguridad y no lleva un control de su Firewall se comprobara que las
comunicaciones son directas entre la red interna y la red externa.
65
VARIABLES DE LA INVESTIGACIÓN
Las variables a considerar en la realización del proyecto “Guia de Implementacion de
una DMZ” son las siguientes:
VARIABLE INDEPENDIENTE
Guía De Implementación De Una DMZ
Una guía de implementación de una DMZ es un documento que contiene información
adecuada y comprensiva acerca de cómo se debe implementar una DMZ en la red,
con la finalidad de llevar a cabo el funcionamiento de la DMZ en la red de la empresa
IT/CORP, es realizada para los usuarios que poseen poca experiencia acerca de este
tema, e incluso podrá ser utilizada para mejorar la seguridad en la red que posee
actualmente la empresa.
66
VARIABLE DEPENDIENTE
Firewall Como Medio De Protección En La Red
Un Firewall sirve como medio de protección para la red interna de la empresa,
además ayuda a tener un mejor control de los accesos e intercambio de información
en la red, adicionalmente por medio del Firewall se determinan las políticas y accesos
que se permiten a los diferentes usuarios en la red haciendo uso de la DMZ.
67
DEFINICIONES CONCEPTUALES
BIT.- Es la unidad mínima de información, con el cual se pueden representar valores
en informática.
PROTOCOLO IP (INTERNET PROTOCOLO).- Es un protocolo usado para la
comunicación de datos a través de una red.
DATAGRAMAS.- Son datos que viajan a través de la red que son tratados de forma
independiente, los que contienen una dirección IP y los datos que van a ser enviados
al destino.
ENRUTAMIENTO.- También conocido como encaminamiento o ruteo, es el
camino o ruta por el que viajan los datos que son enviados desde un origen para llegar
a su destino.
ENCAPSULAMIENTO.- Es el ocultamiento del estado de un objeto de la red de
manera que solo pueda cambiar mediante operaciones establecidas para ese objeto.
68
LAN (LOCAL ÁREA NETWORK).- Es una red de área local o red interna, que
conecta los ordenadores en un área pequeña de una organización.
WAN (WIDE AREA NETWORK).- Es una red de área amplia o red externa, la
cual contiene varias maquinas a grandes distancias geográficas para la comunicación
entre LAN.
VLAN (VIRTUAL LAN O RED DE ÁREA LOCAL VIRTUAL).- Es una red de
ordenadores lógicamente conectados dentro de una misma red física.
DMZ.- Pequeña red que se ubica entre la red Interna o LAN de una organización y la
red externa comúnmente conocido como el Internet.
FIREWALL.- Un firewall es un dispositivo que funciona como medio de protección
entre las redes, permitiendo o negando las transmisiones de una red hacia otra, lo más
común es situarlo entre la red interna y la red externa, para evitar que intrusos
accedan a la información confidencial de una organización.
69
CAPÍTULO III
METODOLOGÍA
DISEÑO DE LA INVESTIGACIÓN
MODALIDAD DE LA INVESTIGACIÓN
Para la realización del tema de acuerdo al problema planteado se determinó que la
modalidad de investigación es bibliográfica, la cual consta de 30% campo y 70%
bibliográfica. La modalidad escogida es debido a que el proyecto se basa en
establecer los pasos para implementar una DMZ en el diseño de red que utiliza
actualmente la empresa IT/CORP, obtener una configuración adecuada y los servicios
que se deben configurar para implementar una DMZ en la red, para ello se procedió a
recopilar y verificar material bibliográfico, con la finalidad de alcanzar los objetivos
planteados.
La investigación Bibliográfica, se basa en el estudio que se realiza a partir de la
revisión de diferentes fuentes bibliográficas o documentales sobre el tema de
investigación, en esta modalidad predomina el análisis, la investigación y opinión.
70
La investigación y recolección de información que permite estudiar y evaluar el
proyecto de estudio se efectuó sobre la misma empresa donde se realiza el proyecto,
como es la empresa IT/CORP.
TIPO DE INVESTIGACIÓN
Se determino que el tipo de investigación a utilizar, es descriptivo, puesto que
pretende ante todo expresar los pasos de como implementar una DMZ en la red de la
empresa IT/CORP, para aumentar la seguridad y prevenir de accesos no autorizados
en la red. Asimismo este tipo de investigación nos permite realizar una descripción de
la situación o realidad de la red de la empresa IT/CORP.
POBLACIÓN Y MUESTRA
Se estableció como población de estudio el Departamento de Infra-Net, el cual está
referido a cuatro personas responsables de manejar la red de la empresa IT/CORP, la
muestra se definió como no probabilística, debido a que la elección de los elementos
no dependen de la probabilidad y estas son las unidades directamente involucradas en
el problema de estudio.
71
OPERACIONALIZACIÓN DE VARIABLES
CUADRO N°. 9
MATRIZ DE OPERACIONALIZACIÓN DE VARIABLES
Variables
Dimensiones
Indicadores
Guía
Información del
trabajo
de
investigación.
Variable Independiente
Guía
de
implementación de una
DMZ para la empresa
IT/CORP.
Técnicas y/o
Instrumentos
Ejecución de cada
Implementación paso para el logro Bibliografía, de
La
Guía
de
cómo
de los objetivos.
implementación es un
estructurar una
documento que contiene
DMZ
Red
pequeña
información adecuada y
entre
la
red
comprensiva acerca de
interna y la red
cómo
se
debe
DMZ
externa
como
implementar una DMZ
medio
de
en la red de la empresa
seguridad.
IT/CORP.
Variable Dependiente
Firewall
Medio
de
Protección en la
red.
Seguridad
Configuraciones
del Firewall para
protección de la
información.
El Firewall
Es
la
variable
dependiente debido a que
depende
de
las
configuraciones que se le
realicen para contar con
una DMZ en la red e la
empresa IT/CORP.
Red
Elaboración: Marixelinda España Escobar
Fuente: Marixelinda España Escobar
Bibliográfica,
acerca
del
Firewall,
configuraciones
de seguridad.
Conjunto
de
equipos
conectados que Entrevistas.
proporcionan
diferentes
recursos
72
INSTRUMENTOS DE RECOLECCIÓN DE DATOS
LA TÉCNICA
La técnica utilizada para la recolección de información, es de campo, debido a que se
realizo una entrevista al Gerente del área de Redes e Infraestructura de la empresa
IT/CORP, la cual nos ayudara a conseguir los objetivos propuestos en el presente
proyecto y obtener una amplia información de la empresa IT/CORP.
Además se realizo una entrevista a la Junta de Beneficencia que posee DMZ, con la
finalidad de obtener información adicional acerca del diseño de red utilizado y la
configuración de los servicios protegidos en la DMZ, para el correcto desarrollo del
presente proyecto.
73
INSTRUMENTOS DE LA INVESTIGACIÓN
Los instrumentos utilizados para la recopilación de la información son la entrevista y
la investigación bibliográfica.
La entrevista, está conformada por preguntas abiertas, para recabar la mayor
información posible acerca de la estructura de red utilizada en las empresas, los
accesos que se permiten y procedimientos para la elaboración adecuada del presente
proyecto de investigación.
Asimismo se realizo una observación directa, en el sitio donde se suscitan los hechos,
es decir, la empresa IT/CORP, la cual tuvo como finalidad comprobar la veracidad de
los datos obtenidos. Se escogió este tipo de observación debido a que permite
participar en el proceso investigativo desde el mismo lugar donde acontecen los
hechos.
En la investigación bibliográfica, se reviso en primer lugar los antecedentes de
estudio, las cuales nos permiten tener una amplia visión acerca del tema y
comprender su desarrollo; al mismo tiempo se hizo uso del internet para obtener
74
información útil e importante en el desarrollo del tema, para posteriormente proceder
a la interpretación y adaptación de la información recabada de acuerdo a los objetivos
que persigue el presente proyecto.
VALIDACIÓN
La validación de los instrumento utilizados para realizar la entrevista al personal de la
empresa IT/CORP y la encuesta realizada a los Profesores de Sistemas Operativos y
Redes y/o tutores del segundo seminario de fin de carrera, para la correcta
elaboración de la Guía de Implementación de la DMZ, se entrego a los siguientes
expertos los cuales evaluaron y aprobaron los instrumentos utilizados. Los expertos
que evaluaron los instrumentos de recolección de datos son:
 Oswaldo Aguilar Villena
 Lcda. Rosa Pérez Ramírez
 Abg. Miguel Sarmiento
 Abg. Juan Chávez
 Ing. Luis Dier.
75
PROCEDIMIENTOS DE LA INVESTIGACIÓN
Los procedimientos a seguir para el desarrollo de la investigación son los siguientes:
Problema
 Planteamiento del problema
 Alcances de la Investigación
 Objetivos de la Investigación
 Justificación o importancia de la investigación
Marco Teórico
 Fundamentación teórica
 Fundamentación legal
 Hipótesis
 Variables de la Investigación
 Definición de términos
Metodología
 Diseño de Investigación (Tipo de Investigación)
 Población y Muestra
 Instrumentos de Recolección de Datos
 Operacionalización de variables, dimensiones e indicadores
 Procedimiento de la Investigación
 Criterios para la elaboración de la propuesta
76
RECOLECCIÓN DE LA INFORMACIÓN
La técnica utilizada para recolectar información es la entrevista, la misma que fue
realizada en la empresa IT/CORP, mediante la cual se logro obtener los datos
necesarios para el desarrollo del presente proyecto. Además se realizo una entrevista
a la Junta de Beneficencia de Guayaquil, para tener referencia acerca de la estructura
de la DMZ que poseen en su red, las políticas y los accesos permitidos en la red que
poseen actualmente. Para la recolección de datos se realizaron las siguientes
actividades:
a. Visita a la empresa IT/CORP para proceder con la entrevista y el levantamiento
de información necesaria para la realización del proyecto.
b. Observación directa en la empresa IT/CORP para comprobar la veracidad de los
datos obtenidos.
c. Realización de la entrevista al Gerente de la Junta de Beneficencia de Guayaquil,
para recolectar información adicional acerca de la estructura de una DMZ.
77
d. Análisis cualitativo de las entrevistas realizadas, para determinar la estructura de
red utilizada por las empresas.
e. Elaboración de una encuesta aplicada a los profesores de Sistemas Operativos y
Redes y/o tutores del Segundo Seminario de Fin de Carrera que trabajan en la
Carrera de Ingeniería en Sistemas Computacionales de la Universidad de
Guayaquil, con el objetivo de validar el problema plateado.
f. Revisión bibliográfica de textos referentes a implementación de una DMZ en la
red con la finalidad de poder elaborar adecuadamente el presente proyecto.
PROCESAMIENTO Y ANÁLISIS
Una vez realizada la entrevista en la empresa IT/CORP y en la Junta de Beneficencia
de Guayaquil, se procedió a realizar un análisis general de los datos obtenidos, acerca
de la situación presentada por los entrevistados en las empresas, el análisis se puede
observar en el Anexo #2.
78
CRITERIOS DE VALIDACIÓN DE LA PROPUESTA
La técnica utilizada para validar la propuesta del presente proyecto, fueron las
encuestas realizadas a los profesores de Sistemas Operativo y Redes y/o a los tutores
del Segundo Seminario de Fin de Carrera que trabajan en la Carrera de Ingeniería en
Sistemas Computacionales de la Universidad de Guayaquil. En donde se realizo un
cuestionario de preguntas cerradas. (Ver Anexo #3)
La técnica utilizada para el análisis de los datos en la validación de la propuesta es
cuantitativa, debido a que se realizo un conteo y tabulación de los datos obtenidos en
un archivo de Excel para su posterior análisis y representación grafica. El resultado de
las mismas se puede observar en el Anexo #4.
79
CAPÍTULO IV
GUÍA DE IMPLEMENTACIÓN DE UNA DMZ EN LA RED DE
LA EMPRESA IT/CORP
IT/CORP es una empresa asesora en recursos tecnológicos, desarrolla e implementa
proyectos de software acorde a las necesidades de cada cliente, cuenta con 24
profesionales capacitados para cumplir con los requerimientos del cliente y ofrecer de
la mejor forma un servicio e información confiable al usuario, profesionales
especializados en brindar sus servicios para obtener el mayor índice de satisfacción
del cliente. Cada servicio que ofrece es de manera rápida y efectiva dando a notar su
profesionalismo en las diferentes áreas de la empresa.
En esta sección se indicaran los pasos adecuados que se deben para realizar para la
correcta configuración de una DMZ en el diseño de red que posee actualmente la
empresa IT/CORP y se indicara la configuración de cada uno de los servicios con los
que cuenta la empresa en la red.
80
GRAFICO N°. 13
DISEÑO ACTUAL DE LA EMPRESA IT/CORP
Elaboracion: Empresa IT/CORP
Fuente: Empresa IT/CORP
DESCRIPCIÓN DEL DISEÑO ACTUAL DE LA EMPRESA IT/CORP
Actualmente la empresa IT/CORP, en su infraestructura de red cuenta con lo
siguiente:
Poseen un Router Cisco 800, que es el proveedor del servicio de internet el cual se
encuentra ubicado entre el Firewall externo proporcionado por la empresa Telconet
como un medio adicional de seguridad y el equipo que funciona como Firewall en la
81
red de la empresa, el cual además de funcionar como Firewall, tiene integrado el
Proxy, Correo y FTP.
El equipo que funciona como Firewall es un PC-Clon, el cual se encuentra entre el
Router Cisco 800 que provee internet a la empresa y el switch que reparte la red a los
usuarios de la LAN, este equipo posee la siguientes características: Mainboard Intel
DG43BT, un procesador Core 2 duo 3.0 GHZ, 500 GB de Disco Duro y 2 GB de
memoria RAM, el software que opera en este equipo es una distribución Linux
CentOS 5.2, como software de Correo poseen Zimbra 5.6
El switch que proporciona la red a los usuarios de la LAN de la organización, es un
Switch TPLINK, modelo TLF-1024, con 24 puertos disponibles.
El Servidor de Dominio y DHCP que es utilizado en la red LAN de la empresa
IT/CORP, es un equipo HP-ML150, procesador Intel Xeon E5520 (4 núcleos, 2,26
GHz, 8 MB L3, 80W), memoria RAM de 4 GB; el software que opera en este equipo
es Windows Server 2003.
Como conexión a la red utilizan cable categoría 5e y los equipos de los usuarios
poseen los siguientes Sistemas Operativos: Windows7 Professional, Windows Vista
82
Ultimate y Windows XP Professional SP3. La empresa Telconet proporciona un
ancho de banda de 1 Mb. Adicionalmente la empresa IT/CORP posee 1 equipo
Wireless.
Actualmente en la red LAN existen 24 usuarios, de los cuales 4 son de
Administración, 9 Desarrolladores, 6 Técnicos, 3 de Networking y 2 del área
Comercial. Las maquinas existentes en la empresa actualmente son 11 laptops y 13
Desktop.
83
GRAFICO N°. 14
DISEÑO DE RED RECOMENDADO
Elaboracion: Marixelinda España Escobar.
Fuente: Marixelinda España Escobar.
DESCRIPCIÓN DEL DISEÑO RECOMENDADO PARA LA EMPRESA
IT/CORP
En el Diseño que se recomienda para la empresa IT/CORP, se utilizan los
dispositivos de red con los que cuenta actualmente la empresa en su infraestructura, el
cual se recomienda de la siguiente manera:
84
Router Cisco 800, que es el proveedor del servicio de internet el cual se mantendrá
ubicado entre el Firewall externo proporcionado por la empresa Telconet y el equipo
que funciona como Firewall en la red de la empresa, el cual funcionara en una PCClon, con las siguientes características: Mainboard Intel DP55KG, procesador I5
Core 2 Duo, 500 GB de Disco Duro y 8 GB de memoria RAM, el cual operara bajo la
distribución de Linux CentOS 5.2
La DMZ contendrá un Servidor FTP y el Servidor de Correo, que permitirá las
conexiones externas de la empresa, bajo Distribución CentOS 5.2, esto debido a que
la empresa actualmente no invierte en equipos dedicados para la red, ya que utilizan
distribuciones libres, las cuales pueden ser implementadas en un equipo normal, estos
servidores podrán funcionar bajo un equipo PC-CLON con similares características al
equipo que funciona como Firewall y para el Servidor de Correo se mantendrá
utilizado Zimbra 5.6 que es el maneja actualmente la empresa y sus usuarios ya se
encuentran familiarizados con el mismo.
El Switch TLF-1024 seguirá proporcionando red a los usuarios y a los servidores que
se encuentran dentro de la red de la empresa IT/CORP, el cual se mantendrá entre la
red LAN y el Firewall de protección para la red.
85
El Servidor Proxy, funcionara bajo el equipo PC-CLON que poseen actualmente
como Firewall, bajo el sistema operativo CentOS 5.2 que es el utilizado actualmente
por la empresa.
El servidor de Dominio y DHCP continuara funcionando en el servidor HP-ML150 el
cual es utilizado actualmente por la empresa, bajo el sistema operativo Windows
2003 Server.
Lo restante de la infraestructura que posee la empresa seguirá funcionando como lo
hace actualmente, con Sistemas Operativos: Windows 7 Professional, Windows Vista
Ultimate y Windows XP Professional SP3, para los equipos de la red LAN.
86
CONFIGURACIÓN DE LOS SERVICIOS DE LA EMPRESA
IT/CORP
Con el fin de comprobar el diseño recomendado para la empresa IT/CORP, se
utilizaron maquinas virtuales, para levantar cada uno de los servicios con los que
cuenta actualmente la empresa y comprobar las configuraciones que se deben realizar
para incluir una DMZ en la red de la empresa IT/CORP.
Los servicios que estarán contenidos en la DMZ son los siguientes:
 Servidor FTP
 Servidor de Correo
Los servicios que estarán contenidos en la Red Interna de la empresa IT/CORP son
los siguientes:
 Servidor Proxy
 Servidor DNS y DHCP
Previo a la configuración de cada uno de los servicios con los que cuenta la empresa,
se debe realizar la instalación de CentOS 5.2 (Ver Anexo #5), para el Firewall,
Correo, FTP, Proxy, además en el Servidor que funcionara como DNS y DHCP se
debe instalar Windows Server 2003 Standard Edition (Ver Anexo #6).
87
A continuación se indicaran los pasos para configurar los servicios con los que cuenta
actualmente la empresa IT/CORP y los servicios que estarán contenidos en la DMZ.
SERVIDOR FTP
En el equipo que funcionara como servidor FTP, posterior a la instalación de CentOS
5.2 (Ver Anexo #5), se procederá a instalar el servicio que será utilizado para el
Servidor FTP, para iniciar la instalación se debe ingresar como root o administrador
en el Servidor, se puede iniciar el servicio vsftpd el cual será utilizado en el Servidor
FTP, en caso de que el servicio ya se encuentre instalado en el servidor se debe dirigir
al menú sistema, administración, Configuración de Servidores, Servicio y
posteriormente buscar el servicio vsftpd e iniciarlo para poder utilizarlo el servidor
FTP, en caso de que no exista el servicio se puede instalar el paquete vsftpd para lo
cual se debe abrir un terminal y digitar lo siguiente:
 yum install –y vsftpd, para descargar el paquete para utilizar el FTP
FTP utiliza un archivo de configuración localizado en /etc/vsftpd/vsftpd.conf, en el
cual existen un gran número de parámetros que pueden ser habilitados o negados, si
no requiere cambiar la configuración por defecto entonces no se deben descomentar
las líneas de configuración predefinidas, el signo # indica que la línea esta comentada,
88
si requiere modificar el archivo vsftpd se deben descomentar los parámetros de
configuración que el administrador considere necesarios, caso contrario puede
provocar problemas en tiempo de ejecución, además se debe evitar dejar espacios
cuando se modifican los parámetros de configuración.
Además se deberá crear manualmente un archivo en la siguiente ruta /etc/vsftpd/ el
cual será nombrado como chroot_list, en donde se indica una lista de usuarios que
ingresaran como invitado al servidor FTP, si no se crea este archivo no se
configurarán los usuarios invitados para el servidor FTP
El fichero denominado chroot_list contendrá los nombres de los usuarios FTP que
trabajaran únicamente en su directorio de trabajo, de esta manera es restringido el
acceso a otras partes del sistema operativo, cualquier otro usuario que no esté
agregado en este archivo podrá ingresar a cualquier parte del sistema operativo.
Se debe abrir el archivo de configuración vsftpd.conf con el editor de preferencia,
para realizar las modificaciones que considere convenientes el administrador, en cada
una de los parámetros se debe digitar YES o No de acuerdo a lo que se requiera, los
parámetros de configuración para el servidor FTP son los siguientes:
89
El parámetro anonymus_enable, se utiliza para habilitar o negar el acceso de
usuarios anónimos al servidor FTP, este parámetro está habilitado de manera
predefinida.
El parámetro local_enable, se utiliza para habilitar o negar el acceso de usuarios
autenticados al servidor FTP, este parámetro está habilitado de manera predefinida.
El parámetro write_enable, se utiliza para habilitar o negar la escritura en el servidor
FTP, este parámetro está habilitado de manera predefinida.
El parámetro ftpd_banner, se utiliza para establecer un mensaje de bienvenida en el
servidor FTP el cual se mostrara cada vez que un usuario acceda al servidor FTP, de
manera predefinida este parámetro esta comentado en el archivo de configuración.
El parámetro chroot_list_enable, se utiliza para limitar a los usuarios a trabajar en su
carpeta de trabajo, además se deberá habilitar el parámetro chroot_list_file, este
parámetro contiene la ruta donde se encuentra el archivo en el cual se indica los
usuarios que ingresaran como invitado al servidor FTP, este archivo se debió crear
90
previamente con los usuarios que ingresaran como invitado al servidor FTP, lo cual
será indicado más adelante, este parámetro está deshabilitado de manera predefinida.
El parámetro anon_upload_enable, se utiliza para habilitar o negar a los usuarios
anónimos subir archivos al servidor FTP, este parámetro está deshabilitado de manera
predefinida.
El parámetro anon_mkdir_write_enable, se utiliza para habilitar o negar al usuario
crear carpetas en el servidor FTP, este parámetro está deshabilitado de manera
predefinida.
El parámetro local_umask, se utiliza para establecer permisos de lectura, escritura y
ejecución al contenido que se encuentra en el servidor FTP, de manera predefinida
tiene los permisos de escritura para el grupo y los demás, es decir, contiene el valor
022, si se desea agregar otro tipo de permisos se deberá modificar el valor por defecto
(Ver Anexo #8).
91
El parámetro max_clients, se utiliza para indicar el número máximo de conexiones
que podrán acceder de manera simultánea al servidor FTP, de manera predefinida
establece que se podrán accesos 3 veces al servidor.
Para la configuración del archivo que contiene la lista de los usuarios que ingresaran
como invitado al Servidor FTP, se deberá crear el archivo en cualquier directorio del
disco duro y en seguida se deberán ingresar los nombres de los usuarios que serán
limitados a trabajar en su carpeta personal de trabajo.
Las configuraciones realizas en el Servidor FTP que será utilizado por la empresa
IT/CORP son las siguientes:
GRÁFICO N°. 15
CONFIGURACION DEL SERVIDOR FTP
Elaboración: Marixelinda España Escobar
Fuente: Archivo de Configuración de FTP
92
Una vez concluida las configuraciones del archivo vsftpd.conf se debe guardar las
configuraciones y restaurar el servicio de vsftpd y añadir el servicio al arranque del
inicio del sistema, para lo cual se debe digitar lo siguiente:
 /etc/init.d/vsftpd restart, para restaurar el servicio, si se inicia por primera vez
se lo debe iniciar con start.
 chkconfig vsftpd on, para añadir el servicio al arranque del sistema.
A continuación se realizará la creación de las cuentas de los usuarios FTP, en primera
instancia para que el servidor FTP permita el acceso a los directorios de inicio /home,
para que los usuarios puedan ingresar a su carpeta de trabajo se debe abrir un terminal
y digitar lo siguiente:
 setsebool –P ftp_home_dir=1
Para iniciar la creación de las cuentas de los usuarios FTP, en un terminal se debe
digitar lo siguiente:
 useradd -d /home/ftp/Jose, con esto se indica que se está creando el usuario
FTP en la carpeta de trabajo ubicada en el directorio /home/ftp/
93
Luego de que el cliente establezca una comunicación con el servidor FTP, este le
pedirá que se autentique, para lo cual deberá digitar su usuario y contraseña
Para los usuarios que tendrán acceso al servicio FTP, se debe instalar un aplicativo
que facilite el acceso al servidor, uno de los aplicativos que se puede utilizar es el
Filezilla que es libre y fácil de utilizar para los usuarios de la empresa.
SERVIDOR DE CORREO
En el equipo que será utilizado como Servidor de Correo, luego de la instalación de
CentOS 5.2 (Ver Anexo #5), se procederá a descargar Zimbra 5.6 de 32 bits en el
directorio /root/zimbra creado previamente, el paquete de instalación de Zimbra será
descargado de la página siguiente página web www.zimbra.com
Previo al inicio de la instalación, se debe desactivar el servicio Sendmail en caso de
estar activo, debido a que puede causar conflicto con los puertos que utiliza Zimbra.
Para desactivar este servicio se ingresa como root o administrador al Servidor de
Correo, abrir un terminal y digitar lo siguiente:
 service sendmail stop, para detener el servicio de sendmail.
94
 chkconfig sendmail off, para apagar el servicio sendmail.
Además se debe cambiar el archivo de configuración hosts, que se encuentra en el
directorio /etc/hostsr
, en el cual se añade la dirección IP y el Dominio del Servidor
en el que se va instalar Zimbra.
GRÁFICO N°. 16
CONFIGURACION DE ARCHIVO HOST PARA ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Archivo host de Servidor de Correo.
Una vez realizado los cambios indicados anteriormente y concluida la descarga del
paquete para utilizar Zimbra se inicia la instalación, para lo cual se debe digitar lo
siguiente:
 cd zimbra, para posicionarse en la carpeta donde se encuentre el paquete para
Zimbra.
 tar xzvf nombre del paquete descargado, para descomprimir el paquete
descargado.
95
 cd nombre de la carpeta descomprimida, para posicionarse dentro de la
carpeta extraída del paquete de Zimbra.
 ./install.sh –platform-override, para iniciar la instalación de Zimbra, se utiliza
–platform-override para indicarle que al momento de instalar omita la versión
del sistema operativo.
A continuación empieza a verificar los requisitos de las librerías para la instalación,
en este caso se observaran que hacen falta librerías.
GRÁFICO N°. 17
LIBRERIAS FALTANTES EN LA INSTALACIÓN DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Instalación de Zimbra.
96
Para lo cual se debe proceder a instalar cada librería faltante digitando yum –y install
: el nombre de la librería que hace falta, por ejemplo, en este caso las librerías que
hacen falta son gmp, compat-libstdc++-296, compat-libstdc++-33, libtool-ltdl,
entonces se debe digitar yum –y install : gmp, con cada una de las librerías.
Una vez concluida la instalación de las librerías faltantes, se vuelve a digitar
./install.sh–platform-override, para iniciar nuevamente el proceso de instalación y se
observa que los requisitos para la instalación están completos. Posteriormente
comienza a verificar los paquetes para la instalación y preguntara que paquetes se
desea instalar, en este caso se instalaran todos menos el proxy.
GRÁFICO N°. 18
LIBRERIAS FALTANTES EN LA INSTALACIÓN DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Instalación de Zimbra.
97
Consecutivamente pregunta si se desea continuar con la instalación ya que los
paquetes descargados son diferentes a la versión del sistema operativo y muestra la
versión del sistema operativo y la versión del paquete de zimbra, se indica que si se
desea continuar con la instalación y se procederá a instalar los paquetes de zimbra.
GRÁFICO N°. 19
PROCESO DE INSTALACIÓN DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Instalación de Zimbra
98
Es posible que aparezca un error DNS, se debe a que no encuentra el nombre del
servidor de DNS, de ser el caso indica si se desea cambiar el hostname, digitar “Y” y
digitar itcorp.com, si indica nuevamente el mismo error se debe digitar no, debido a
que ya se indico el nombre del Servidor DNS.
GRÁFICO N°. 20
ERROR DE DNS EN INSTALACIÓN DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Instalación de Zimbra
Posteriormente mostrara un menú de configuración, en el cual se puede digitar la
contraseña del administrador, para ello se selecciona la opción 3 y luego 4 para
cambiar la contraseña del administrador. Para regresar al menú principal se digita “r”,
además se puede cambiar la zona horaria para lo cual se digita 1 y luego 6, aquí se
mostrara un listado de diversas zonas horarias, se debe seleccionar la que corresponda
99
a la zona horario del país, en este caso es la 16 que corresponde a Lima. Regresamos
al menú anterior para cambiar la URL por la cual se desea que ingresen al correo,
para lo cual se digita 18 y se indica la URL por la cual accederán al correo Zimbra, en
este caso se indico “mail.itcorp.com”. Una vez concluida las configuraciones
necesarias, se debe digitar “a” para aplicar los cambios realizados.
GRÁFICO N°. 21
MENU DE CONFIGURACIÓN DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Instalación de Zimbra
100
Una vez zimbra concluya las configuraciones finales, se debe abrir otro terminal
como usuario zimbra para verificar si los servicios de zimbra están corriendo, para lo
cual se digita lo siguiente:
 su –zimbra
 zmcontrol status
GRÁFICO N°. 22
SERVICIOS DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Instalación de Zimbra
Una vez que los servicios estén corriendo, se puede ingresar a la consola de
administración
de
zimbra
https://mail.itcorp.com:7071/zimbraAdmin.
de
la
siguiente
manera
101
En la consola de administración se llevaran a cabo todas las acciones de
administración del servidor de correo como dar de alta cuentas, borrarlas, editarlas,
asignarles alias, etc. Para ingresar al mail de Zimbra se deberá digitar la
http://mail.itcorp.com/
GRÁFICO N°. 23
CONSOLA DE ADMINISTRACIÓN DE ZIMBRA
Elaboracion: Marixelinda España Escobar.
Fuente: Consola de Zimbra
102
SERVIDOR PROXY
En el equipo que funcionara como servidor Proxy, posterior a la instalación de
CentOS 5.2 (Ver Anexo #5), se procederá a instalar Squid de CentOS que será
utilizado como Proxy, habitualmente los servidores Proxy trabajan simultáneamente
como Firewall, pero en este caso el servidor Proxy estará separado del Firewall. Para
iniciar la instalación del Proxy Squid se debe ingresar como root o administrador al
servidor, se puede iniciar el servicio de Squid, en caso de que el servicio ya se
encuentre instalado en el servidor se debe dirigir al menú sistema, administración,
Configuración de Servidores, Servicio y posteriormente buscar el servicio Squid e
iniciar el servicio y a continuación se podrá utilizar el servidor Proxy con Squid, en
caso de que no exista el servicio se puede instalar el paquete de Squid para lo cual se
debe abrir un terminal y digitar lo siguiente:
 yum install –y squid, para descargar el paquete Squid que se va utilizar el
Proxy.
Squid utiliza el fichero de configuración localizado en /etc/squid/squid.conf, en el
cual existen un gran número de parámetros que pueden ser habilitados o negados, si
no requiere cambiar la configuración por defecto entonces no se deben descomentar
las líneas de configuración predefinidas, el signo # indica que la línea esta comentada,
103
si requiere modificar el archivo Squid se deben descomentar los parámetros de
configuración del Squid que el administrador considere necesarios, caso contrario
puede provocar problemas en tiempo de ejecución, además se debe evitar dejar
espacios cuando se modifican los parámetros de configuración.
Se debe abrir el archivo de configuración squid.conf con el editor de preferencia, para
realizar las modificaciones que consideren convenientes el administrador, los
parámetros básicos que se sugieren configurar en el servidor Proxy son los siguientes:
 http_port
 cache_mem
 cache_dir
 Al menos una Lista de Control de Acceso
 Al menos una Regla de Control de Acceso
 maximum_object_size
 hierarchy_stoplist
 error_directory
 access_log
 cache_log
104
Parámetro http_port, indica las direcciones donde Squid escuchara a los clientes
HTTP, en este parámetro se puede indicar la dirección de varias formas, para lo cual
existen tres formas de hacerlo:
 Solo el puerto donde escuchara el Squid. Ejemplo:
 http_port 3128
 Nombre del Host con el puerto. Ejemplo:
 servidor:3128
 Dirección IP con el puerto
 192.168.20.3:3128
El puerto predeterminado por donde escucha el servidor Proxy es el puerto 3128, sin
embargo, se puede indicar que lo haga por cualquier otro puerto disponible o bien que
lo haga en varios puertos disponibles a la vez.
Parámetro cache_mem, indica el tamaño máximo de memoria para almacenar los
objetos de transito, objetos frecuentemente utilizados y objetos negativamente
almacenados en cache, este parámetro está limitado por la memoria RAM que posea
105
el servidor, de manera predefinida se establecen 8 MB, se puede especificar mayor
cantidad de memoria si se considera necesario dependiendo de las necesidades
establecidas por el administrador.
Parámetro cache_dir, indica el tamaño que va tener el caché en el disco duro para
Squid, se debe tener cuidado al especificar el tamaño de caché debido a que si este
excede el tamaño disponible del disco duro, squid se bloqueara irrevocablemente.
De modo predefinido Squid utiliza una caché de 100 MB, el cual contendrá 16
directorios de 256 niveles cada uno, esto no es necesario modificarlo, lo que se puede
incrementar es el tamaño del caché hasta donde lo considere necesario el
administrador, mientras más grande sea el caché más objetos se almacenaran y se
utilizara menos ancho de banda.
Listas de Control de Acceso, es necesario establecer listas de control de accesos para
tener un mayor control del Squid, asimismo se deben asignar reglas de control a las
listas para que permitirá o deniegue el acceso al Servidor Proxy. Existen algunos tipos
de reglas que se pueden utilizar en Squid como: src, time, url_regex, urlpath_regex,
106
dts, srcdomain, dstdomain, req_mime, srcdom_regex, macaddress, dstdom_regex,
password.
Sin embargo, los tipos de reglas que va a ser utilizadas en esta guía son las que se
adapten a las necesidades de la empresa IT/CORP, la sintaxis de la lista de control de
acceso es la siguiente:
 acl [nombre de la lista] tipo de regla [lo que compone a la lista]
El tipo de regla src, es utilizada para especificar direcciones IP que tendrán acceso a
Squid, en la cual se puede indicar una dirección IP y máscara de la sub-red o
especificar un fichero que contenga una lista de direcciones de red. Existen tres
formas de especificar la dirección IP:
 En la regla llamada lan se permitirá el acceso al segmento de red 192.168.10.0
con mascara 255.255.255.0, es decir, esta regla abarca todo el segmento de
red indicado.
 acl lan src 192.168.10.0/255.255.255.0
107
 Se indica cada dirección IP que tendrá acceso al Servidor Proxy
 acl lan src 192.168.10.10 192.168.10.20
 Se define un archivo que contiene una lista de direcciones IP, en donde se
especificara cada una de las direcciones de red que tendrán acceso a Squid,
este archivo está localizado en cualquier parte del disco duro del servidor.
 acl lan src "/etc/squid/permitidos"
El tipo de regla time, se establece para especificar un tiempo límite de conexión que
se tendrá acceso al Squid dentro de una semana. La abreviatura de los días de la
semana son los siguientes: S – Domingo, M - Lunes, T – Martes, W – Miércoles, H –
Jueves, F – Viernes, A – Sábado.
El tipo de regla url_regex, permite especificar expresiones regulares para comprobar
en una url, para este tipo de regla se recomienda tener un archivo con las palabras que
se crean convenientes.
108
El tipo de regla urlpath_regex, permite administrar las descargas por medio de la
extensión de los archivos, para lo cual se recomienda tener un archivo que contenga
las extensiones que se consideren necesarias.
Reglas de Control de Acceso, estas reglas definen si se permite o deniega el acceso
al Servidor Proxy, las cuales se aplican a las Listas de Control de Acceso, las mismas
que deben colocarse en la sección de reglas de control de acceso las cuales serán
definidas por el administrador, la sintaxis es la siguiente:
 http_access [deny o allow] [lista de control de acceso]
Se puede utilizar denegar o aceptar (deny o allow), se debe iniciar primeramente con
los accesos que se van a denegar en el Servidor Squid, adicionalmente se puede
utilizar la expresión “!” la cual significa no. Por ejemplo, que existan dos listas de
control de acceso, en la cual se indica que se permite el acceso a Squid a todo lo que
comprenda la lista llamada permitidos excepto aquello que comprenda la lista
llamada negados, la sintaxis de la regla indicada es la siguiente:
 http_access allow permitidos !negados
109
Parámetro maximum_object_size, indica el tamaño máximo que tendrán los objetos
que se van almacenar en la cache del servidor Proxy, de modo predefinido el tamaño
de los objetos es de 4096 KB el cual se puede incrementar de acuerdo a las
necesidades establecidas por el administrador.
Parámetro hierarchy_stoplist, indica a Squid que las páginas que contengan ciertos
caracteres no sean almacenadas en caché, además se pueden incluir páginas locales de
la red y sitios de webmail, de manera predefinida no viene especificado ningún
carácter que contengan las páginas que no serán almacenadas en caché.
Parámetro error_directory, indica el idioma en que serán mostrados los mensajes de
error, de manera predefinida muestra los mensajes de error en Inglés, sin embargo, se
puede configurar de acuerdo a las necesidades del administrador.
Parámetro access_log, indica el directorio donde se almacena los registros de los
accesos al squid, de manera predefinida se almacenan en /var/log/squid/access.log.
110
Parámetro cache_log, indica el directorio donde se almacenan los mensajes del
comportamiento de la cache del servidor Squid, de manera predefinida este parámetro
viene desactivado en el archivo de configuración del Squid
cache_log
/var/log/squid/cache.log.
Las configuraciones realizas en el Servidor Proxy Squid que será utilizado por la
empresa IT/CORP son las siguientes:
GRÁFICO N°. 24
CONFIGURACION SERVIDOR PROXY
Elaboración: Marixelinda España Escobar
Fuente: Archivo de Configuración PROXY
111
Una vez concluida las configuraciones del archivo squid.conf se debe guardar las
configuraciones y restaurar el servicio de squid y añadir el servicio al arranque del
inicio del sistema, para lo cual se debe digitar lo siguiente:
 service squid restart, para restaurar el servicio, si se inicia por primera vez se
lo debe iniciar con start
 chkconfig squid on, para añadir el servicio al arranque del sistema.
SERVIDOR DNS Y DHCP
El equipo que será utilizado como Servidor DNS y DHCP funcionara sobre Windows
2003 Server Standart Edition (Ver Anexo #6), se procederá a realizar la configuración
del equipo.
Previo a la configuración el servidor se debe asignar una IP estática, debido a que si
tienen una asignación dinámica de IP podría hacer que los clientes pierdan contacto
con el servidor DNS. Lo más sencillo para realizar la configuración del Servidor es
utilizar el asistente de configuración, el cual nos permitirá añadir los roles del
servidor de manera más práctica.
112
En caso de que el asistente de configuración no se inicie automáticamente cuando
inicia sesión al Servidor, entonces lo podrá iniciar dirigiéndose a Panel de Control,
Herramientas Administrativas y seleccionar Asistente de configuración del Servidor.
GRÁFICO N°. 25
ASISTENTE DE CONFIGURACION DE DNS Y DHCP
Elaboración: Marixelinda España Escobar
Fuente: Configuración de DNS y DHCP
A continuación se añadirán los roles que realizara el Servidor en este caso funcionara
como DNS y DHCP, para lo cual dar clic en add or remove a role, una vez
seleccionada el tipo de configuración a realizar mostrara una lista de roles que se
113
pueden configurar en el servidor. Seleccionar el role DNS a continuación dar clic en
Next para iniciar la configuración del role.
GRÁFICO N°. 26
CONFIGURACION DE DNS Y DHCP
Elaboración: Marixelinda España Escobar
Fuente: Configuración de DNS y DHCP
Una vez iniciada la configuración se pedirá que indique una nueva zona ya que es el
primer controlador de dominio que se va crear, a continuación se indica si es un
servidor primario que guardara la zona o si es una copia secundaria que reside en este
114
servidor, consecutivamente se debe indicar el nombre de la zona, en este caso el
nombre indicado será itcorp.com, posteriormente preguntara si se debe tener
actualizaciones automáticas para el servidor en la cual se debe seleccionar la que
considere conveniente el administrador de red, consecutivamente solicita una
dirección IP en caso de que todas las solicitudes sean remitidas al servidor DNS, de
esta manera se complementa la configuración del DNS.
A continuación se indicara la configuración del role DHCP, para lo cual se debe
seleccionar el role DHCP, dar clic en next para iniciar la configuración en la cual
solicita el nombre que tendrá el scope del DHCP en este se indico el nombre de la
empresa itcorp, esto ayuda a la rápida identificación del scope que es usado en la red
dar clic en next para continuar con la configuración.
Posteriormente se debe indicar el rango de IP que serán distribuidas por el servidor
DHCP, donde se indicia la IP inicial y la IP final y la máscara de la subred, a
continuación se debe configurar el rango de IP que serán excluidas por el servidor
DHCP, consecutivamente se debe indicar el límite de tiempo en que el servidor
distribuirá la dirección IP, en seguida indicara si desea configurar las demás opciones
para el servidor DHCP, dar clic en next para continuar con la configuración.
115
A continuación se debe añadir la dirección IP para el router que va ser utilizado por
los clientes, consecutivamente solicita el nombre del Servidor padre en caso de
poseerlo además el nombre del servidor DNS y la IP del servidor DNS que es usado
en la red, luego indica la configuración del WINS, posteriormente pregunta si desea
activar el scope ahora y finaliza la configuración del DHCP.
Una vez realizadas las configuraciones indicadas y finalizadas cada una de las
configuraciones se podrá comenzar a utilizar el Servidor DNS y DHCP.
CONFIGURACION DEL FIREWALL
En el equipo que será utilizado como Firewall funcionara sobre CentOS 5.2 (Ver
Anexo #5), además para facilitar la administración del Firewall se va a instalar
Webmin (Ver Anexo #7), el cual es una herramienta de configuración vía web que
permitirá a los administradores del Firewall gestionar de manera fácil e interactiva los
accesos y políticas a configurar en el Firewall.
Con Webmin se pueden establecer de manera práctica reglas para filtrado de
paquetes, alteración de paquetes (mangle) y traducción de dirección de red (nat). A
116
continuación se indicaran las políticas a configurar en el Firewall utilizando la
herramienta Webmin.
POLÍTICAS DE LA DMZ
Todos los Firewall se deben regir por una política de seguridad definida previamente
antes de realizar la configuración, es decir, se debe contar con un conjunto de
acciones a realizar en el Firewall. Además se debe verificar cada regla que se desea
configurar y realizar la acción correspondiente.
En este punto se indicaran las políticas a considerar para elaborar las reglas de acceso
que serán sugeridas para la implementación de un DMZ en la red de la empresa
IT/CORP. Existen dos políticas básicas de seguridad para un Firewall, las cuales son:
 Denegar todo de forma predeterminada y permitir que pasen paquetes
seleccionados de forma explícita.
 Aceptar todo de forma predeterminada y denegar que pasen paquetes
seleccionados de forma explícita.
117
La política de denegar todo es la propuesta más segura debido a que facilita la
configuración de un Firewall seguro, sin embargo, es necesario ir habilitando cada
servicios de acuerdo al protocolo de comunicación. Por lo tanto, para obtener una
mayor seguridad en el Firewall se trabajará con esta política.
La política de aceptar todo de forma predeterminada facilita la configuración de un
Firewall, pero se deberá prevenir todo tipo de acceso que se quiera deshabilitar. Sin
embargo, no se podrá prevenir si un tipo de acceso es peligroso hasta que sea
demasiado tarde o habilitar un servicio inseguro sin bloquear primero el acceso
externo. Es por ello que aceptar todo implica más trabajo, mayor dificultad y es más
propenso a errores.
Definiremos las políticas de seguridad y los permisos de entrada o salida para las
redes utilizadas, siguiendo la política de seguridad de denegar todos los paquetes e ir
habilitando los que se considere necesario:
 Acceso de la red interna a la DMZ está permitido
Se habilitara el acceso de los usuarios de la red interna a los servicios que se
ofrecen en la DMZ, como el Servidor FTP y Servidor de Correo.
118
 Acceso de la DMZ a la red interna está prohibido.
Se va descartar cualquier paquete que provenga de la DMZ, puesto que no es
necesario permitir el paso de ningún tipo de tráfico que provenga de la DMZ,
debido a que se podría provocar un agujero de seguridad que podría llegar
desde la red externa a la red interna.
 Acceso de la red externa a la DMZ está permitido
Todo cliente podrá ver los servicios que ofrece la empresa a través de la DMZ,
la misma que contendrá el Servidor FTP y el Servidor de Correo. Se habilitará
el tráfico desde cualquiera de las redes externas (0.0.0.0) a la red de la DMZ
(192.168.30.0/24).
 Acceso de la DMZ a la red externa no está permitido
En este sentido no se habilitará el tráfico, debido a que en la DMZ solo se
encuentran los servicios que ofrecen la empresa y ninguna máquina de usuario
para acceder a la red externa.
 Accesos de la red interna a la red externa o internet está permitido.
Los usuarios tendrán acceso a los servicios más comunes como es el WEB, el
resto deben ser cerrados.
119
 Acceso de la red externa a la red interna está prohibido
No se permitirá el tráfico en este sentido puesto que si se permite se perdería
el sentido de colocar una Zona Desmilitarizada que proteja la red interna.
De acuerdo a las políticas de seguridad mencionadas anteriormente las reglas que se
deben aplicar en el firewall son las siguientes:
 Redireccionamientos de correos
Se re-direccionará las cuentas de correo de los usuarios de la empresa con la
finalidad de que lleguen a una cuenta redireccionada y que sea admitida por el
Firewall.
 Enrutar tráfico de los demás a Internet.
Las peticiones de servicios de envió de paquetes que requieran los usuarios,
serán enrutadas en las diferentes redes.
 Permitir acceso selectivo a la red local
Solo se permitirá el ingreso a la red de la empresa a los usuarios que estén
autorizados y de esta forma evitar que cualquier intruso invada la red
causando serios daños y proteger la confidencialidad de la información.
120
 Enmascaramiento de la red local para que puedan salir hacia internet.
La red será enmascarada de manera que los usuarios puedan salir al internet
siempre protegiendo la dirección de la red de tal forma que no sea vulnerable
frente a cualquier individuo.
 Redireccionamiento del servicio HTTP a SQUID.
El servicio será redireccionado para que trabaje como una cache de páginas
web, esto permite realizar un proxy para requerimientos de los usuarios y
permitir que la navegación se realice de una forma más fácil.
 Cerrar el acceso de la DMZ a la LAN.
No se permitirán los accesos de la DMZ a red LAN de la empresa debido a
que se pueden dejar abiertas brechas de seguridad en la red.
 Cerrar el acceso de la DMZ al propio firewall.
Los accesos de la DMZ al Firewall serán cerrados, debido que en la DMZ no
existirán PC que requieran el acceso al Firewall.
121
Una vez establecidas las políticas que se van a configurar en el Firewall, iniciamos la
configuración a través de Webmin, además este indica la ruta donde se almacenara la
configuración de las reglas del Firewall, además el Webmin ofrece múltiples
configuraciones que se pueden realizar de manera grafica y facilitar el trabajo del
administrador así como una forma de simplificar la creación de las reglas del
cortafuegos o Firewall.
Una vez iniciada la sesión en Webmin, para iniciar la configuración de las reglas del
Firewall se debe dirigir a red o Networking, Configuración del Firewall y mostrara la
siguiente pantalla en donde mostrara una lista de todas las reglas que posee
actualmente en el Firewall, es aquí donde se iniciará la configuración de las reglas de
Firewall.
122
GRÁFICO N°. 27
CONFIGURACION DE FIREWALL
Elaboración: Marixelinda España Escobar
Fuente: Webmin
123
La página principal del Webmin muestra tres opciones de configuración en la parte
superior izquierda, en la cual podrá añadir reglas acorde a estas tres opciones o de lo
contrario añadir una nueva cadena conforme a los requerimientos que considere
necesarias el administrador de red.
Se pueden establecer las políticas por defecto para paquetes de entrada (input), salida
(output) y redirigidos (forward), por cada una de las cadenas seleccionadas y añadir
las reglas para cada una de las políticas.
Para grabar y aplicar las configuraciones realizadas se debe presionar el botón Aplicar
Configuración, de esta manera se almacenan las reglas añadidas en el Firewall.
Adicionalmente para activar las reglas configuradas al arrancar el Firewall se debe
seleccionar Si y presionar el botón Activar al arrancar, igualmente se puede Revertir
la configuración y Resetear del Firewall.
El Firewall contiene tres interfaces de red; la interfaz eth1 es la conectada al Router,
eth0 a la LAN y eth2 la DMZ, cada interfaz contiene una dirección IP las cuales en la
realización de pruebas fueron asignadas manualmente para verificar las reglas
configuradas en el Firewall (Ver Anexo #9).
124
Para ir añadiendo las reglas necesarias, dar clic en el botón añadir regla en la cual se
podrá indicar el comentario que se le puede asignar a la regla y la acción que se va
ejecutar.
GRÁFICO N°. 28
AÑADIR REGLAS EN EL FIREWALL
Elaboración: Marixelinda España Escobar
Fuente: Webmin
En la parte posteriormente se podrán establecer los detalles de la regla, en donde se
indicara: la dirección IP origen y destino, se podrá indicar la máscara de la red, la
interfaz de red, el protocolo, puerto y varias opciones de configuración para la regla
que se está estableciendo. Se podrá observar que hay muchas condiciones disponibles
125
que se pueden combinar para crear reglas muy complejas o muy sencillas acorde a las
necesidades de la red de la empresa.
Una vez concluida la configuración de la regla presionar el botón crear, para crear la
regla que se está configurando, en caso de que la regla no haya sido configurada
adecuadamente Webmin mostrara un mensaje de error y deberá indicar las
condiciones adecuadas para la creación de la regla.
Una vez que se almacena una regla y se desea editarla se deberá dar clic en la
condición de la regla y se abrirá una ventana como la utilizada para añadir una nueva
regla y a continuación podrá realizar las modificaciones adecuadas.
De esta manera se deben ir añadiendo las reglas que se consideren convenientes a
configurar en el Firewall.
126
CAPÍTULO V
MARCO ADMINISTRATIVO
CRONOGRAMA
GRÁFICO N°. 29
CRONOGRAMA DE ACTIVIDADES
Elaboración: Marixelinda España Escobar.
Fuente: Marixelinda España Escobar.
127
GRÁFICO N°. 30
DIAGRAMA DE GANTT – PARTE #1
Elaboración: Marixelinda España Escobar.
Fuente: Marixelinda España Escobar.
128
GRÁFICO N°. 31
DIAGRAMA DE GANTT – PARTE #2
Elaboración: Marixelinda España Escobar.
Fuente: Marixelinda España Escobar.
129
PRESUPUESTO
CUADRO N°. 10
DETALLE DE INGRESOS
Detalle de Ingresos Del Proyecto Expresado en Dólares
INGRESOS
MENSUALES
AL TERMINO
(5 MESES)
Sueldo
$
200.00 $
1000.00
Otros Ingresos
$
20.00 $
100.00
TOTAL………………………………………..... $
Elaboración: Marixelinda España Escobar
Fuente: Marixelinda España Escobar
220.00
$
1100.00
130
CUADRO N°. 11
DETALLE DE EGRESOS
Detalle De Egresos Del Proyecto Expresado en Dólares
EGRESOS
AL TERMINO
(5 MESES)
7.00 $
35.00
MENSUALES
Suministros de oficina y computación
$
Fotocopias e impresiones
$
17.00 $
85.00
Libros, documentos
$
50.00 $
250.00
Computadora y Servicios de Internet.
$
43.00 $
215.00
Transporte
$
8.00 $
40.00
Refrigerio
$
5.00 $
25.00
Empastado de la Tesis de Grado
$
20.00 $
100.00
Servicios (Electricidad, Agua, Alimentación)
$
50.00 $
250.00
Otros
$
20.00 $
100.00
TOTAL………………………………………
$
220.00 $
1100.00
Elaboración: Marixelinda España Escobar
Fuente: Marixelinda España Escobar
131
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
 Luego del análisis e interpretación de los instrumentos aplicados, se observa que
hay una factibilidad para la realización de un proyecto como la implementación
de una DMZ en el diseño de red que posee actualmente la empresa IT/CORP,
permitiendo obtener un mayor control de los servicios que posee actualmente la
empresa.
 Con la utilización de la Guía se facilita la implementación de la DMZ en el diseño
de red de la empresa IT/CORP, debido que una DMZ permite proteger los
servicios privados que posea una organización, puesto que estos son un punto
vulnerable.
 Se demostró que el gasto en que se incurre en la implementación de una DMZ en
la empresa IT/CORP incluye únicamente la compra de equipos hardware, ya que
el software que se utiliza por ser de código abierto, se distribuye gratuitamente
por internet.
132
 El Diseño de Red Recomendado presenta flexibilidad y expansión, porque la
DMZ cubre los servicios que serán accedidos desde el exterior de la red y se
pueden ir añadiendo servicios que la empresa desee que sean accedidos.
 Se concluyo que el Diseño Recomendado no solo es funcional para la empresa
IT/CORP, sino que puede ser tomado como base para cualquier mediana empresa
o institución que desee realizar la implementación de una DMZ de este tipo en su
red.
133
RECOMENDACIONES
 Las políticas que se establecen en el Firewall deben ser analizadas previo a la
instalación, con la finalidad de evitar conflictos posteriores con los usuarios de la
organización y evitar contratiempos en la configuración del Firewall.
 Previo a una nueva configuración del firewall, es necesario tener un respaldo de la
configuración del firewall existente, para proteger futuros cambios erróneos.
 Se recomienda tener un equipo adicional de Firewall en caso de que el equipo que
está funcionando presente algún inconveniente con la finalidad de no dejar
desprotegida la red en ningún momento y seguir controlando los accesos.
 Si la empresa invierte en un futuro en un Firewall se recomienda utilizar un
hardware debido a que son equipos dedicados para dicha función y presentan
facilidades en la configuración y administración de la red en la organización.
96
REFERENCIAS BIBLIOGRÁFICAS
PUBLICACIONES
Ferrer Berbegal, Mónica. (2006). Trabajo de Fin de Carrera: “Firewalls software:
Estudio, instalación, configuración de escenarios y comparativa”. España:
Universidad
Politécnica
de
Cataluña.
Disponible
en:
upcommons.upc.edu/pfc/bitstream/2099.1/3756/2/54344-2.pdf
Conza Gonsález, Andrea Elizabeth. (2009), Proyecto de Grado: “Diseño e
Implementación de un prototipo de DMZ y la interconexión segura mediante VPN
utilizando el Firewall Fortigate 60”. Quito: Escuela Politécnica Nacional. Disponible
en: http://bibdigital.epn.edu.ec/bitstream/15000/1868/1/CD-2442.pdf
DIRECCIONES WEB
IT/CORP. Información de la empresa IT-CORP. Extraído el 14 de Julio del 2010
desde http://www.it-corp.com/
Modelo OSI. Extraído el 05 de Agosto del 2010 desde http://ceciliaurbina.blogspot.com/2010/08/modelo-osi.html
97
3Com
Officeconnect.
Extraído
el
25
de
Agosto
del
2010
desde
http://www.3com.com/products/en_US/detail.jsp?tab=features&sku=3C16771US&pathtype=support
ASA5500.
Extraído
el
25
de
Agosto
del
2010
desde
http://www.cisco.com/web/solutions/smb/espanol/productos/seguridad/dispositivo_ad
aptativo_seguridad_series_asa5500.html
SONICWALL.
Extraído
el
27
de
Agosto
del
2010
desde
http://www.sonicwall.com/lat/TotalSecure_Solutions.html
Precios y Productos Firewall. Información de diferentes Firewall y precios del
producto.
Extraído
el
30
de
Agosto
del
2010
desde
http://latam.preciomania.com/search_techspecs_full.php/masterid=2378586/st=produ
ct_tab
NETGEAR.
Extraído
el
26
de
Agosto
del
2010
desde
http://www.prosecure.netgear.com/products/prosecure-utm-series/models.php
Precios y Productos Firewall. Información de diferentes Firewall y precios del
producto.
Extraído
el
30
de
Agosto
del
2010
desde
98
http://latam.preciomania.com/search_techspecs_full.php/masterid=743185679/st=pro
duct_tab
ZYXEL.
Extraído
el
26
de
Agosto
del
2010
desde
http://www.us.zyxel.com/Products/details.aspx?PC1IndexFlag=20040908175941&C
ategoryGroupNo=4E8412D7-AF41-41EA-987C-ACA23F38108A
BARRACUDA.
Extraído
el
28
de
Agosto
del
2010
desde
http://www.barracudanetworks.com/ns/products/web-site-firewall-overview.php
Firewall Software. Las diferentes alternativas de Firewall Software. Extraído el 03
de Septiembre del 2010 desde http://www.tech-faq.com/free-firewall-software.html
TURTLE. Información de Firewall Software Turtle. Extraído el 05 de Septiembre
del 2010 desde http://www.turtlefirewall.com/
LUTEL. Información de Firewall Software Lutel. Extraído el 05 de Septiembre del
2010 desde http://firewall.lutel.pl/
ENDIAN. Información de Firewall Software Endian. Extraído el 06 de Septiembre
del 2010 desde http://www.endian.com/en/community/overview
99
Zárate Pérez, Jorge A. y Farias Elinos, Mario. (Abril del 2006). Implementación
de
una
DMZ.
Extraído
el
12
de
Julio
del
2010
desde
http://www.cudi.edu.mx/primavera_2006/presentaciones/wireless02_mario_farias.pdf
Arellano E., Gabriel. (Marzo del 2005). Seguridad Perimetral. Extraído el 12 de
Julio del 2010 desde www.gabriel-arellano.com.ar/file_download/14
Gutiérrez Riffo, Alejandro Marcelo. (2009 – Chile). Vulnerabilidades de las Redes
TCP/IP y Principales Mecanismos de Seguridad. Extraído el 13 de Julio del 2010
desde http://cybertesis.uach.cl/tesis/uach/2009/bmfcir564v/doc/bmfcir564v.pdf
Gerardo de la Fraga, Luis. (Noviembre del 2006). Redes de Computadoras y
Cortafuegos con GNU/Linux. Extraído el 13 de Julio del 2010 desde
http://delta.cs.cinvestav.mx/~fraga/Charlas/redeslinux.pdf
DMZ. Información acerca de la DMZ. Extraído el 15 de Julio del 2010 desde
zeus.lci.ulsa.mx/divulgacion/Material/pdf/DMZ.pdf
Modelos
TCP/IP.
Extraído
el
05
de
Agosto
del
2010
http://technet.microsoft.com/es-es/library/cc786900%28WS.10%29.aspx
desde
100
Firewalls. Información de los Firewalls. Extraído el 05 de Agosto del 2010 desde
http://www.google.com.ec/url?sa=t&source=web&cd=1&ved=0CBgQFjAA&url=htt
p%3A%2F%2Fhomepage.cem.itesm.mx%2Frogomez%2Fseguridad%2FFirewalls.pp
t&rct=j&q=Firewalls.ppt&ei=gX_ETLzQFcH38Ab46q3oBg&usg=AFQjCNEakIMV
ASrKnsguGx5bjv7pkD97rA&cad=rja
DNS. Que es un DNS y como Funciona. Extraído el 13 de Agosto del 2010 desde
http://www.ccm.itesm.mx/dinf/redes/sdns.html
¿Qué es una DMZ? Extraído el 07 de Septiembre del 2010 desde
http://www.unioninternautas.com.ar/foro/viewtopic.php?f=16&t=3611
Precios y Productos Firewall. Extraído el 09 de Septiembre del 2010 desde
http://www2.shopping.com/firewall/products?CLT=SCH
101
ANEXOS
ANEXO #1: ENTREVISTA
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
La siguiente entrevista es con la finalidad de facilitar información de la estructura la
red de la empresa, las políticas de seguridad que manejan en el Firewall, los servicios
con los que cuentan y toda la información que facilite la elaboración de una Guía de
Implementación de una DMZ (Zona Desmilitarizada).
DATOS DE IDENTIFICACION
Nombre de la Empresa:
Nombre del Entrevistado:
Cargo Del Entrevistado:
e-mail:
Dirección:
Teléfono:
Sitio web:
1. ¿Cuáles son sus responsabilidades en la empresa?
2. ¿Cómo está estructurado el Departamento de Sistemas?
3. ¿Cómo está estructurada la Red de la empresa?
4. Tienen implementada una DMZ en la Red y cómo está diseñada la DMZ?
5. ¿Cuántos Firewall tienen en la Red y de qué forma está estructurado cada
Firewall?
6. ¿En qué plataforma trabaja el Firewall?
7. ¿Qué versión o Distribución utiliza la plataforma del firewall?
8. ¿Cuáles son las políticas de seguridad implementadas en el firewall?
9. ¿Qué accesos están configurados en el firewall?
102
10. ¿Qué puertos están abiertos en el firewall?
11. ¿Cada cuánto tiempo son verificadas las políticas configuradas en el firewall?
12. ¿Qué servicios están prohibidos para ser accedidos en la red?
13. ¿Cuál es el ancho de banda que tiene la red?
14. ¿Cuántos servidores tienen en la red de la empresa?
15. ¿Qué clase de servidores utiliza en la empresa?
16. ¿Quiénes tienen acceso a los servidores?
17. La red de la empresa esta segmentada
18. La empresa tiene agencias y cuantas agencias se conectan a la red
19. Tiene VLAN en la red de la empresa
20. Tienen acceso VPN a los servidores de la red
21. ¿Qué tipo de amenazas han intentado vulnerar la DMZ?
22. ¿Con qué frecuencia los usuarios externos acceden a la red y qué cantidad de
usuarios acceden?
23. ¿Qué tipo de software utilizan para controlar la DMZ?
24. ¿Cuán beneficioso es para la empresa contar con una DMZ?
25. ¿Cuál es el nivel de inversión anual de hardware/software en la empresa?
26. Cuentan con certificaciones digitales en la red
103
ANEXO #2: ANALISIS GENERAL DE LAS ENTREVISTAS
Análisis General De La Entrevista Realizada en la Empresa IT/CORP
El análisis de los datos recolectados permitió conocer la situación actual de la red de
la empresa IT/COP, en la cual los servicios como Correo, FTP, Proxy y el Firewall
están contenidos en un mismo servidor realizando varias funciones. La red que
maneja es pequeña, aunque tratan de asegurar los servicios que posee actualmente y
de mantener protegida la red de accesos no autorizados.
El Firewall es monitoreado diariamente y se configuran los accesos de acuerdo a las
necesidades que se presenten en la empresa, actualmente no tienen planificado la
ampliación de la empresa en su infraestructura, asimismo el software que manejan es
open source lo que ayuda en el costo/beneficio actual de la empresa.
104
Análisis General De La Entrevista Realizada en la Junta de Beneficencia
El análisis de los datos recolectados permitió conocer la situación actual de la red de
la Junta de Beneficencia, la red que posee actualmente es compleja, pero por fines
confidenciales no fue facilitada en la realización de esta entrevista, poseen como
Firewall Checkpoint.
El Firewall es monitoreado diariamente y se realizan configuraciones del mismo cada
6 meses de acuerdo a las necesidades que se presenten en la empresa, poseen un alto
nivel de inversión anual lo cual ayuda a mantener actualizados sus equipos e
infraestructura de red.
105
ANEXO #3: ENCUESTA
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS
CARRERA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES
La siguiente encuesta es con la finalidad de obtener información de lo que opinan los
profesores de Redes y Sistemas Operativos acerca de la realización de una Guía de
Implementación de una DMZ (Zona Desmilitarizada).
Anote una “X” en la respuesta que usted considere más adecuada, solo seleccione una
opción. No deje respuestas en blanco.
1. ¿Cómo califica usted que una PYME (Pequeña y Mediana Empresa) no posea
DMZ dentro de su diseño de red?
Buena
( )
Regular ( )
Mala
( )
2. ¿Cómo considera usted la implementación de una DMZ dentro del diseño de red
de una PYME (Pequeña y Mediana Empresa)?
Muy prioritario
( )
Medianamente prioritario ( )
No prioritario
( )
3. En caso de que una PYME (Pequeña y Mediana Empresa) no cuente con una
DMZ, considera usted que la inversión y reestructuración del diseño de red es:
Muy prioritario
( )
Medianamente prioritario ( )
No prioritario
( )
4. ¿Conoce o ha escuchado de una Guía que facilite a los colaboradores del área de
redes la implementación de una DMZ en una PYME (Pequeña y Mediana
Empresa)?
Si conoce ( )
No conoce ( )
5. ¿Cómo catalogaría usted, por el nivel de prioridad la realización de una Guía de
Implementación de una DMZ para las PYME (Pequeña y Mediana Empresa)
donde se explique paso a paso la implementación y se facilite el trabajo de los
colaboradores del área de redes?
Muy prioritario
( )
Medianamente prioritario ( )
No prioritario
( )
106
ANEXO #4: RESULTADO ENCUESTAS
1. ¿Cómo califica usted que una PYME (Pequeña y Mediana Empresa) no
posea DMZ dentro de su diseño de red?
CUADRO N°. 12
RESULTADOS PREGUNTA 1 DE LA ENCUESTA
Respuesta
Buena
Regular
Mala
Valor
0
3
2
Porcentaje
0%
60 %
40 %
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
GRÁFICO N°. 32
PREGUNTA 1
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
Las personas encuestadas califican como regular, el que una PYME no posea una
DMZ dentro del diseño de red de la empresa.
107
2. ¿Cómo considera usted la implementación de una DMZ dentro del diseño de
red de una PYME (Pequeña y Mediana Empresa)?
CUADRO N°. 13
RESULTADOS PREGUNTA 2 DE LA ENCUESTA
Respuesta
Muy prioritario
Medianamente
Prioritario
No prioritario
Valor
3
Porcentaje
60 %
2
40 %
0
0%
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
GRÁFICO N°. 33
PREGUNTA 2
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
La implementación de una DMZ en el diseño de red de una PYME es considerado
Muy Prioritario por las personas encuestadas, debido a que es una pequeña red que
proporciona una seguridad adicional en la red interna de la empresa.
108
3. En caso de que una PYME (Pequeña y Mediana Empresa) no cuente con una
DMZ, considera usted que la inversión y reestructuración del diseño de red
es:
CUADRO N°. 14
RESULTADOS PREGUNTA 3 DE LA ENCUESTA
Respuesta
Valor
Porcentaje
Muy prioritario
3
60 %
Medianamente
2
40 %
Prioritario
No prioritario
0
0%
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
GRÁFICO N°. 34
PREGUNTA 3
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
Se considera Muy Prioritario realizar una inversión y reestructuración del diseño de
red en una PYME que no cuente con una DMZ, debido a que esto ayudara a obtener
un mayor nivel de seguridad en la red.
109
4. ¿Conoce o ha escuchado de una Guía que facilite a los colaboradores del área
de redes la implementación de una DMZ en una PYME (Pequeña y Mediana
Empresa)?
CUADRO N°. 15
RESULTADOS PREGUNTA 4 DE LA ENCUESTA
Respuesta
Si conoce
No conoce
Valor
0
5
Porcentaje
0%
100 %
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
GRÁFICO N°. 35
PREGUNTA 4
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
La grafica resultante indica que las personas encuestadas no conocen de la existen de
una Guia que facilite a los colaboradores del área de redes realizar una
implementacion de una DMZ en la red de una empresa.
110
5. ¿Cómo catalogaría usted, por el nivel de prioridad la realización de una Guía
de Implementación de una DMZ para las PYME (Pequeña y Mediana
Empresa) donde se explique paso a paso la implementación y se facilite el
trabajo de los colaboradores del área de redes?
CUADRO N°. 16
RESULTADOS PREGUNTA 5 DE LA ENCUESTA
Respuesta
Muy Prioritario
Medianamente
Prioritario
No Prioritario
Valor
2
Porcentaje
40 %
3
60 %
0
0%
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
GRÁFICO N°. 36
PREGUNTA 5
Elaboración: Marixelinda España Escobar
Fuente: Encuestas
111
La mayoría de las personas encuestadas indican que es Medianamente Prioritario
realizar una Guía de Implementación de una DMZ para una pequeña y mediana
empresa.
Como resultado de las encuestas realizadas indica que la realización una Guía de
Implementación de una DMZ para una Pequeña y Mediana es medianamente
prioritario, sin embargo, no se descarta completamente la realización de la Guía la
cual será realizada para una Mediana Empresa como es la empresa IT/CORP.
112
ANEXO #5: INSTALACION DE CENTOS 5.2
Los pasos de instalación diferirán si se seleccionan múltiples componentes del
software para su instalación en una computadora. Los pasos que se proporcionan son
los recomendados para la instalación y configuración del Servicio que se esté
levantando.
PASOS DE LA INSTALACIÓN

Insertar el disco de CentOS 5.2 o superior, iniciar el equipo desde el disco, a
continuación mostrara la pantalla de bienvenida de CentOS, presionar Enter.
GRÁFICO N°. 37
INSTALACION DE CENTOS
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
113

Si desea comprobar que el disco este grabado correctamente antes de la
instalación seleccionar OK, de lo contrario elegir Skip y presionar ENTER.
GRÁFICO N°. 38
PROCESO DE VERIFICACION DEL DISCO
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
114
 Mostrara la pantalla de Bienvenida de CentOS, para iniciar con la instalación dar
clic en next.
GRÁFICO N°. 39
INICIO DE CENTOS
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
115
 Los siguientes pasos están relacionados al lenguaje y el teclado, se deben
seleccionar los apropiados de acuerdo al entorno. Seleccionar el idioma que se
utilizara durante la instalación.
GRÁFICO N°. 40
IDIOMA DE INSTALACIÓN
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
116
 Seleccionar el idioma del teclado para el sistema en este caso se selecciona
español. En seguida pregunta si se desea inicializar en esa unidad y eliminar todos
los datos dar clic en Sí.
GRÁFICO N°. 41
IDIOMA DEL TECLADO
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
117
 A continuación mostrara la pantalla para realizar particiones en el disco duro, para
lo cual se puede utilizar la configuración por defecto o crear una partición, una
vez seleccionada la opción que se desea dar clic en siguiente.
GRÁFICO N°. 42
PARTICIÓN DE LA UNIDAD
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
118
 Al seleccionar la opción Crear Disposición Personalizada, mostrara la herramienta
de particiones, para iniciar la partición del disco dar clic en el botón Nuevo, para
realizar una partición nueva en el disco.
GRÁFICO N°. 43
PARTICIÓN DE LA UNIDAD
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
119
 Para realizar la partición del disco, seleccionamos “/” en el punto de montaje y
digitamos el tamaño de la unidad, posteriormente dar clic en aceptar.
GRÁFICO N°. 44
ASIGNACIÓN DE ESPACIO EN LA UNIDAD
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
120
 En el espacio que permanece disponible, dar clic en el botón modificar para
asignar el espacio disponible.
GRÁFICO N°. 45
ESPACIO DISPONIBLE
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
121
 Seleccionar SWAP para el tipo de sistema de archivo, asignar el espacio
disponible y dar clic en aceptar.
GRÁFICO N°. 46
PARTICIO SWAP
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
122
 Una vez concluida la partición del disco, mostrara las particiones realizadas dar
clic en siguiente para continuar la instalación de CentOS.
GRÁFICO N°. 47
PARTICIONES CONFIGURADAS
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
123
 Mostrara la configuración del gestor de arranque, dar clic en siguiente.
GRÁFICO N°. 48
GESTOR DE ARRANQUE
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
124
 Posteriormente se configura la red y el nombre del host, de lo contrario dejar que
se seleccione de forma automática a través de DHCP, además se podrá modificar
la red del servidor en el botón modificar o configurarla al iniciar CentOS, dar clic
en siguiente.
GRÁFICO N°. 49
CONFIGURACIÓN DE RED
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
125
 Consecutivamente se define la zona horaria, seleccionar la región adecuada y dar
clic en siguiente.
GRÁFICO N°. 50
ZONA HORARIA
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
126
 Definir la contraseña para el root del servidor.
GRÁFICO N°. 51
CONTRASEÑA ROOT
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
127
 En la siguiente pantalla se activada la opción Desktop - Gnome para instalarlo en
modo grafico, si se desea instalar CentOS en modo texto dejar desactivadas todas
las opciones. Se activa la opción de personalizar ahora, con el propósito de poder
elegir el software a instalar, dar clic en siguiente.
GRÁFICO N°. 52
MODO GRAFICO GNOME
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
128
 Se inicia la configuración de los paquetes de instalación, en la cual se debe
seleccionar lo que se requiera dar clic en siguiente para iniciar la instalación el
servidor. Durante la instalación se indica donde se puede encontrar la
documentación de CentOS. Una vez concluida la instalación, dar clic en el botón
reiniciar.
GRÁFICO N°. 53
SELECCIÓN DE SERVIDORES
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
129
 Una vez reiniciado el servidor se inicia el asistente de Primer inicio de CentOS,
dar clic en Adelante para continuar la configuración.
GRÁFICO N°. 54
ASISTENTE DE CONFIGURACIÓN
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
130
 Consecutivamente se especifica los servicios que serán confiables para el
servidor.
GRÁFICO N°. 55
CONFIGURACIÓN DE CONTAFUEGOS
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
131
 Se especifica la configuración de SELinux. Posteriormente mostrara una ventana
donde se ingresar la fecha y hora del sistema.
GRÁFICO N°. 56
CONFIGURACIÓN DE SELINUX
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
132
 Posteriormente se podra crear un usuario que podra ingresar al servidor diferente
al usuario administrador.
GRÁFICO N°. 57
CREACIÓN DE USUARIO
Elaboración: Marixelinda España Escobar.
Fuente: CentOS
 Después mostrara una pantalla donde se configura la tarjeta de sonido, si no se
desea ninguna modificación dar clic en Adelante, inmediatamente se muestra una
pantalla para instalación de software adicional, si no cuenta con ningun disco
adicional pulsar finalizar para concluir la instalación de CentOS.
133
ANEXO #6: INSTALACION DE WINDOWS SERVER 2003 STANDART
EDITION
Los pasos de instalación diferirán de acuerdo a las múltiples opciones que se elijan a
medida que avanza la instalación del servidor bajo Windows 2003 Server.
Pasos de la Instalación
 Insertar el disco de Windows 2003 Server Standard Edition o superior. Arrancar
el equipo desde el disco. Al iniciar Windows Server muestra la pantalla en la cual
se podrá Crear una instalación, reparar una existente y quitar una instalación, en
cada opción se indica la tecla para escoger la acción deseada, en este caso
seleccionaremos crear una nueva dando Enter.
GRÁFICO N°. 58
INICIO DE WINDOWS 2003 SERVER
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
134
 Enseguida muestra la licencia de Windows Server 2003, digitamos F8 para
aceptar los términos de la licencia.
GRÁFICO N°. 59
LICENCIA DE WINDOWS SERVER 2003
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
135
 Mostrara la ventana para realizar la partición de disco e instalación del sistema,
dar Enter si se desea instalar el sistema en el espacio disponible, en este caso se
realizar una partición para los respaldos y digitar C.
GRÁFICO N°. 60
PARTICIÓN DEL DISCO DURO
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
136
 Indicara el espacio disponible para particionar el disco duro, se digita el espacio
en MB que se le asignara a la primer partición y precionar Enter.
GRÁFICO N°. 61
ASIGNACÓN DE ESPACIO
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
 En seguida se mostrara el espacio disponible para la siguiente particion, se
presiona Enter para crear la nueva partición y se digita el espacio que se le
asignara a la nueva partición; una vez asignado el espacio precionar Enter.
137
 Posteriormente se debe seleccionar la partición en la que se instalará el Sistema
Operativo, como es la partición C, presionar Enter para iniciar la instalación del
Sistema Operativo
GRÁFICO N°. 62
UNIDAD DE INSTALACIÓN DE WINDOWS
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
138
 Enseguida mostrar el tipo de formato que se desea dar a la unidad donde se
instalara el sistema operativo, en la cual se seleccionara usando Formato NTFS,
esperamos que se realice el Formateo de la partición, que se copien los archivos
de instalación de Windows Server y se reinicie el Servidor.
GRÁFICO N°. 63
ASIGNACÓN DE ESPACIO
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
139
 Una vez reiniciado el servidor, se podrá configurar la región y lenguaje de
teclado, una vez realizada la configuración dar clic en Next o Siguiente y a
continuación se muestra la pantalla para digitar la clave del producto, clic en
Next.
GRÁFICO N°. 64
SELECCIÓN DE IDIOMA
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
140
 Posteriormente mostrara el número de conexiones recurrentes que se desea que
tenga el servidor, dar clic en Next.
GRÁFICO N°. 65
NÚMERO DE CONEXIONES CONCURRENTES
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
141
 Enseguida mostrara la pantalla para establecer el nombre del Servidor y la
contraseña del administrador.
GRÁFICO N°. 66
CONTRSEÑA DE ADMINISTRADOR
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
142
 Mostrara el tipo de configuración que desea realizar para la red de servidor.
GRÁFICO N°. 67
CONFIGURACIÓN DE RED
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
143
 Pregunta si el Servidor pertenecerá a un Grupo de Trabajo de la red. Dar clic en
next y se finalizara la instalación de Windows 2003 Standart Edition.
GRÁFICO N°. 68
GRUPO DE TRABAJO
Elaboración: Marixelinda España Escobar.
Fuente: Windows 2003 Server
144
ANEXO #7: INSTALACION DE WEBMIN
Para la instalación de Webmin se debe realizar la descarga del paquete de Webmin, el
cual está disponible en www.webmin.com, para utilizar Webmin deben estar
instaladas las herramientas de desarrollo de CentOS como: perl (lenguaje de
programación utilizados por webmin), openssl (para acceder a las pagina de Webmin
de manera segura) y perl-Net-SSLeay (extensión de perl para el uso de openssl). En
caso de que el equipo no tenga instaladas estas herramientas, se las puede instalar
digitando lo siguiente:
 yum install perl
 yum install openssl
 yum install perl-Net-SSLeay
Una vez concluida la descarga de Webmin, se debe posicionar en la carpeta en que se
desea instalar Webmin y donde debe estar el paquete descargado, para lo cual se debe
abrir un terminal y digitar lo siguiente:
 cd /usr, para posicionarse en la carpeta donde se encuentra el paquete de
Webmin en la cual va ser instalado.
 tar –xf nombre del paquete, para descomprimir el paquete descargado.
145
 cd webmin-1.520 (nombre de la carpeta), para posicionarse en la carpeta
creada por el paquete descomprimido.
 ./setup.sh, para iniciar la instalación de Webmin.
Una vez que se iniciada la instalación de Webmin, se mostrara una ventana de
configuración como la siguiente, donde muestra el directorio por defecto:
GRÁFICO N°. 69
SCRIPT DE WEBMIN
Elaboración: Marixelinda España Escobar.
Fuente: Webmin
Consecutivamente empezara a indicar los directorios de Webmin, presionar Enter
hasta que muestre el puerto de Webmin, que por defecto es el puerto 10000, en esta
opción se puede elegir el puerto desde el cual se podrá acceder a Webmin, si se desea
146
que sea accedido desde el puerto 10000 presionar Enter, caso contrario indicar el
puerto, en este caso se indicara el puerto 25000.
A continuación se debe indicar el usuario que será utilizado para ingresar a Webmin,
el cual por defecto está asignado admin, además se debe indicar la contraseña para
acceder a Webmin, elegimos usar SSL e indicar si se desea que Webmin arranque al
inicio del servidor Linux.
GRÁFICO N°. 70
CONFIGURACIÓN WEBMIN
Elaboración: Marixelinda España Escobar.
Fuente: Webmin
Una vez concluida la instalación del paquete se puede acceder a Webmin mediante:
http://localhost.localdomain:25000, donde se digitara el usuario y contraseña que se
indico en la instalación para comenzar a utilizar Webmin.
147
ANEXO #8: PERMISOS DE ACCESOS DE ARCHIVOS
Para la configuración de los permisos de accesos se tienen tres tipos de permiso:
ejecución, lectura y escritura, en donde se establecen tres tipos de usuarios como:
 Propietario.- Es la persona que creo o subio el archivo al servidor FTP.
 Grupo.- Se refiere al grupo de usuarios al que probablemente pertenece el
propietario.
 Otros.- Son todos los demás usuarios anónimos o que no pertenecen al grupo
indicado.
Para configurar correctamente el parámetro local_umask del archivo vsftpd.conf, en
el cual se indican los permisos que tendrán los usuarios para los archivos contenidos
en el Servidor FTP, la manera usual de asignar los permisos es numéricamente, en
donde:
 0= sin acceso
 2= escritura
 1= ejecución
148
Los permisos se asignan acorde a la suma de estos números, por ejemplo:
 3 (2+1)= escritura y ejecución
 5 (4+1)= lectura y ejecución
 6 (4+2)= lectura y escritura
 7 (4+2+1)= lectura, escritura y ejecución
En donde las combinaciones se deben realizar en el orden: propietario, grupo y otros.
Por ejemplo: 664, asigna permisos de lectura y escritura al propietario y al grupo, a
otros le asigna solo permisos de lectura.
Otro ejemplo: 022, sin acceso para el propietario y al grupo y otros usuarios solo le
asigna permisos de escritura.
De esta manera se pueden combinar y establecer los permisos que tendrán los
archivos que contenga el Servidor FTP.
149
ANEXO #9: IP CONFIGURADAS PARA PRUEBAS
Las interfaces de red del Firewall están configuradas con las siguientes IP. Para la
realizar las pruebas del Firewall.
GRÁFICO N°. 71
IP DE RED LAN (ETH0)
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Firewall
150
GRÁFICO N°. 72
IP DE INTERFAZ WAN (ETH1)
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Firewall
GRÁFICO N°. 73
IP DE LA DMZ (ETH2)
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Firewall
151
La dirección IP para el cliente que será utilizado para las pruebas fue asignada por
DHCP.
GRÁFICO N°. 74
RED LOCAL
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Cliente para Pruebas
152
ANEXO #10: PRUEBAS DE SEGURIDAD DE LA DMZ
Las pruebas permitirán conocer si la Zona Desmilitarizada (DMZ) está cumpliendo
con su función para lo cual se utilizaran ping y telnet.
GRÁFICO N°. 75
PING A LA INTERFAZ DE LA LAN
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Cliente para Pruebas
GRÁFICO N°. 76
PING A LA INTERFAZ DE LA WAN
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Cliente para Pruebas
153
GRÁFICO N°. 77
TELNET A LA INTERFAZ DE LA LAN
Elaboración: Marixelinda España Escobar.
Fuente: VMware Equipo Cliente para Pruebas
GRÁFICO N°. 78
TELNET DE UN SERVIDOR DE LA DMZ A UN EQUIPO DE LA LAN
Elaboración: Marixelinda España Escobar.
Fuente: VMware Servidor de la DMZ