Miguel ngel Garca Felipe

UD 4: Instalacin y configuracin de cortafuegos

CORTAFUEGOS:
1. CONFIGURACIN ROUTER-FIREWALL Configura un router-firewall utilizando los simuladores correspondientes:

a) Router DLINK:
Nos logueamos como administrador en el router.

Denegamos el rango de direcciones de la 2-100 y de la 101 a la 200, pero ste ltimo los puertos desde el 80 al 110. Adems tienen un control horario de 3:30 AM a 5:00 AM.

b) Router LINKSYS:

Miguel ngel Garca Felipe

Podemos realizar un bloqueo de peticiones de annimos, filtros multicast, filtrar el puerto 113 y un filtro de NAT.

Este router, slo tiene la opcin de habilitar y deshabilitar el firewall.

2. ACL (CISCO) a) Resolucin de ejercicios. b) Resolucin escenario UD3-2.a. Router Frontera.

Miguel ngel Garca Felipe

Uso de ACL estndar: 1) Elige el router adecuado para que los paquetes del PC1 no sean transmitido por la red 10.XX.0.0. Comprobar que si se permite los

Comprobamos que el PC2 puede mandar paquetes al RSUR

Miguel ngel Garca Felipe

Sin embargo si hacemos lo mismo con el PC1 no permite mandar paquetes.

2) Configurar en la red 192.XX.0.0/24 un filtro anti-spoofing para que no sea enviado ningn paquete por la red 10.XX.0.0 que no coincida con su direccin de origen. Realizarlo tambin para la red 196.XX.0.20 Configuramos las acl para la IP 196.2.0.20.

Miguel ngel Garca Felipe

Configuramos las acl para la IP 196.2.0.2.

En la red 192.2.0.0:

Miguel ngel Garca Felipe

Configuramos las acl para la IP 192.2.0.10

Configuramos las acl para la IP 192.2.0.20

Miguel ngel Garca Felipe

Configuramos las acl para la IP 192.2.0.2

Comprobamos los resultados.

Miguel ngel Garca Felipe

3) Borrar las ACLs definidas anteriormente. Router Norte:

Router Sur:

Uso de ACL COMPLEJAS 4) Permitir que el equipo PC3 pueda utilizar el servidor HTTP de SERVNORTE y no pueda utilizar el resto de servicios de dicho servidor.

Miguel ngel Garca Felipe

5) Permitir que el equipo PC1 pueda utilizar el servidor FTP de SERVSUR y el PC2 no pueda utilizarlo dicho servicio. Configuramos en el router NORTE, para agregar las ACLs.

Comprobamos que PC1 puede acceder va FTP de SERVSUR

Miguel ngel Garca Felipe

Comprobamos que el PC2 no puede acceder.

6) No permitir que el PC2 pueda comunicarse con el PC4.

Comprobamos que ya no podemos acceder a PC4 desde PC2.

Miguel ngel Garca Felipe

7) Borrar las ACLs anteriores. Borramos las ACLs.

8) No permitir que los ordenadores de la red 192.XX.0.0 se comuniquen con los ordenadores de la red 196.XX.0.0

Comprobamos el resultado

Miguel ngel Garca Felipe

9) Borrar las ACL definidas anteriormente.

10) Impedir cualquier trfico ICMP entrante excepto el Destino Unreachable y el Echo Reply en el router RNORTE.

3. IPTABLES (LINUX) a) Resolucin de ejercicios

1) Ver la versin de Iptables:

2) Borrado de todas las reglas

3) Aadir una regla a la cadena INPUT para aceptar todos los paquetes que se originan desde la direccin 192.168.0.155.

Comprobamos.

Miguel ngel Garca Felipe

4) Eliminar todos los paquetes que entren.

5) Permitir la salida de paquetes.

6) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la direccin 192.168.0.155.

7) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la direccin de red 192.168.0.0.

8) Aadir una regla a la cadena INPUT para rechazar todos los paquetes que se originan desde la direccin 192.168.0.155 y enviar un mensaje de error icmp.

Miguel ngel Garca Felipe

9) Permitir conexiones locales (al localhost), por ejemplo a mysql.

10) Permitir el acceso a nuestro servidor web (puerto TCP 80).

11) Permitir el acceso a nuestro servidor ftp (puerto TCP 20 y 21).

12) Permitimos a la mquina con IP 192.168.0.155 conectarse a nuestro equipo a travs de SSH.

13) Rechazamos a la mquina con IP 192.168.0.155 conectarse a nuestro equipo a travs de Telnet.

14) Rechazamos las conexiones que se originen de la mquina con la direccin fsica 00:db:f0:34:ab:78.

Firewall de una LAN

Miguel ngel Garca Felipe

15) Rechazamos todo el trfico que ingrese a nuestra red LAN 192.168.0.0 /24 desde una red remota, como Internet, a travs de la interfaz eth0.

16) Cerramos el rango de puerto bien conocido desde cualquier origen:

17) Aceptamos que vayan de nuestra red 192.168.0.0/24 a un servidor web (puerto 80):

18) Aceptamos que nuestra LAN 192.168.0.0/24 vayan a puertos https:

19) Aceptamos que los equipos de nuestra red LAN 192.168.0.0/24 consulten los DNS, y denegamos todo el resto a nuestra red:

Miguel ngel Garca Felipe

20) Permitimos enviar y recibir e-mail a todos:

21) Cerramos el acceso de una red definida 192.168.3.0/24 a nuestra red LAN 192.168.2.0/24:

22) Permitimos el paso de un equipo especfico 192.168.3.5 a un servicio (puerto 5432) que ofrece un equipo especfico (192.168.0.5) y su respuesta:

23) Permitimos el paso de paquetes cuya conexin ya se ha establecido o es nueva pero est relacionada a una conexin ya establecida.

b) Resolucin escenario UD3-1.a. NAT. Escenario

Miguel ngel Garca Felipe

Establecemos la iptable, para que todo lo que salga por la interfaz eth1 salga por la eth0.

Comprobamos la Ip del equipo que est dentro de la red.

Comprobamos que el ordenador del exterior no puede conectar con el cliente de la lan.

Miguel ngel Garca Felipe

Sin embargo el de dentro s que puede conectar con el exterior.

Miguel ngel Garca Felipe

CORTAFUEGOS: 5. CORTAFUEGOS SOFTWARE. a) Cortafuego integrado en Windows. Instalacin de software de cortafuegos en Windows y Linux: i) Instalar y configura el cortafuegos Kerio Winroute Firewall (Windows/Linux).

Nos descargamos la aplicacin Kerio Winroute en nuestro equipo, que es un cortafuegos software muy potente para nuestro equipo (slo entornos Windows.)

Comenzamos la instalacin de la aplicacin Kerio WinRoute.

Aceptamos los trminos de licencia.

Miguel ngel Garca Felipe

Marcamos las siguientes opciones para deshabilitar elementos como el firewall integrado de Windows y otros.

Introducimos el nombre de usuario y contrasea que usaremos para el administrador.

Miguel ngel Garca Felipe

Comienza la instalacin.

Una vez terminada la instalacin finalizamos.

Miguel ngel Garca Felipe

Ejecutamos la aplicacin, y nos aparece esta ventana de autenticacin.

Accedemos con la cuenta que nos hemos creado anteriormente.

Miguel ngel Garca Felipe

La primera vez que accedamos nos aparecer este asistente de configuracin.

Elegimos la opcin de nico enlace de Internet.

Miguel ngel Garca Felipe

Elegimos nuestra tarjeta o interfaz de red.

En esta pantalla, podemos escoger los protocolos a deshabilitar desmarcando el checkbox. Pero de momento, lo vamos a dejar como est.

Miguel ngel Garca Felipe

Dejamos marcadas estas opciones.

Dejamos estas reglas por defecto.

Miguel ngel Garca Felipe

Por ltimo finalizamos el asistente.

Miguel ngel Garca Felipe

Nos situamos en poltica de trfico. Donde podemos habilitar-deshabilitar diferentes protocolos de nuestro equipo.

Nos situamos en acceso a internet, y pulsamos a la casilla servicio. Se desplegar la siguiente ventana, donde podemos deshabilitar protocolos como en ste caso el HTTP.

Miguel ngel Garca Felipe

Comprobamos al acceso a internet a travs de otro protocolo, donde el resultado ser:

Comprobamos una pgina con protocolo HTTPS, para comprobar que a stas s que podemos acceder.

Miguel ngel Garca Felipe

Si de la misma manera, deshabilitamos el protocolo FTP.

Comprobamos que no podemos establecer conexiones FTP a travs de internet.

Miguel ngel Garca Felipe

En la opcin interfaces, podemos seleccionar la interfaz que queramos. O configurar VPN.

Aqu podemos controlar el ancho de bando, haciendo diferentes limitaciones.

Miguel ngel Garca Felipe

Aqu podemos realizar configuraciones, que por defecto ya realizan por defecto en el protocolo HTTP.

Hacemos configuraciones del DHCP.

Miguel ngel Garca Felipe

Configuramos opciones de DNS.

Podemos comprobar la tabla de enrutamiento en esta ventana.

Miguel ngel Garca Felipe

En opciones avanzadas, podemos realizar configuraciones ms especficas del servicio.

Aqu podemos agregar y configurar usuarios, adems de crear respectivos grupos.

Miguel ngel Garca Felipe

Aqu podemos auditar, los hosts a los que se ha accedido.

En esta pantalla, podemos auditar las conexiones realizadas entre el exterior y la propia red.

Miguel ngel Garca Felipe

Podemos observar un pequeo grfico con las estadsticas de procesamiento.

En los registros, el administrador de red, puede consultar diversos informes acerca de diferentes campos, a los que el firewall est controlando.

Miguel ngel Garca Felipe

ii) Elabora un pequeo documento sobre Microsoft ForeFront y su funcionalidad en la empresa:

Microsoft Forefront: Qu es Microsoft Forefront? Microsoft Forefront es una completa lnea de productos de seguridad que permite una mayor proteccin y control por medio de una excelente integracin con su infraestructura de TI actual y una operacin ms sencilla de implantacin, gestin y anlisis. La lnea de productos de seguridad Microsoft Forefront ofrece proteccin para las mquinas cliente, aplicaciones de servidor y la red perimetral. Su completo conjunto de productos de seguridad, que se integran entre s y con la infraestructura informtica de su empresa, puede complementarse e interoperar con soluciones de terceros. Una completa familia de productos Microsoft Forefront ofrece una familia de productos de seguridad completa e integrada, que brindan proteccin para cliente, servidor y permetro, de modo que su empresa est a salvo de las amenazas que constantemente van evolucionando: Microsoft Forefront Client Security (anteriormente denominada Microsoft Client Protection). Microsoft Forefront Server for Exchange Server (anteriormente denominada Microsoft Antigen for Exchange). Microsoft Forefront Server for SharePoint (anteriormente denominada Microsoft Antigen for SharePoint). Microsoft Forefront Security for Office Communications Server (anteriormente denominada Antigen for Instant Messaging). Microsoft Internet Security and Acceleration (ISA) Server 2006 (Descargue la informacin de este producto en XPS / PDF) Intelligent Application Gateway (IAG) 2007 (Descargue la informacin de este producto en XPS / PDF) Forefront Server Security Management Console. Funcionalidades y ventajas Todos ellos ofrecen una serie de funcionalidades y ventajas sobre los productos actuales de la competencia que podemos resumir en: Proteccin para sistemas operativos Forefront ayuda a proteger los sistemas operativos de clientes y servidores. Ofrece deteccin en tiempo real, programado o a demanda as como eliminacin de virus, spyware, rootkits y otras amenazas emergentes. Proteccin de aplicaciones de servidores crticas

Miguel ngel Garca Felipe

Forefront ayuda a proteger los servidores de aplicaciones Microsoft a travs de una estrategia de defensa en profundidad. ISA 2006 ofrece un slido control de acceso e inspeccin de datos especficos de protocolo y de aplicaciones. Acceso seguro y controlado Forefront ofrece una amplia gama de tecnologas de firewall, VPN y encriptacin, as como funcionalidades de administracin de identidades que ayudan a asegurar que slo los usuarios autorizados tengan acceso a los datos y recursos de TI especificados. Proteccin de datos confidenciales Los productos Forefront resguardan los datos confidenciales y protegen la propiedad intelectual. ISA 2006 proporciona una combinacin de filtros especficos para cada aplicacin en toda la red, como tambin tecnologas que garantizan la confidencialidad y autenticidad de los datos valiosos para su empresa. Integracin desde el diseo Los productos Forefront ofrecen mltiples niveles de integracin, de modo que se pueda lograr una mayor eficiencia y control en trminos de seguridad de la red. Integracin con aplicaciones Los productos anti-malware y de seguridad de acceso Microsoft Forefront estn especialmente diseados para proteger e integrarse con aplicaciones de servidores de misin crtica tales como Exchange, Outlook Web Access y SharePoint. Integracin con la infraestructura informtica Esta infraestructura unificadora permite administrar sin inconvenientes la implementacin, distribucin, configuracin y aplicacin de los productos de seguridad, y permite hacerlo con un nivel de control detallado y minucioso. Integracin en Forefront Los productos Forefront estn diseados para poder operar juntos, de modo que se puedan aprovechar sus funcionalidades y lograr una mayor cobertura de seguridad. Administracin simplificada y centralizada Los productos Microsoft Forefront estn diseados de forma tal que permiten simplificar la implementacin, configuracin, administracin, generacin de informes y anlisis. De esta forma, su empresa tiene mayor confiabilidad en cuanto a una excelente proteccin. Implementacin simplificada Los utilitarios como ISA Server Best Practices Analyzer Tool y los asistentes de configuracin ayudan a establecer una base slida para una instalacin de seguridad contundente. La integracin de Forefront con Active Directory y los sistemas de actualizaciones como Systems Management Server proporcionan los cimientos comunes para la administracin de configuraciones y cambios. Tanto los usuarios como los administradores se benefician con la distribucin centralizada de

Miguel ngel Garca Felipe

configuraciones y polticas actualizadas as como de actualizaciones de sistemas operativos o antivirus para clientes y servidores. Unificacin de generacin de informes y anlisis Forefront centraliza la recopilacin y el anlisis de la informacin de administracin de seguridad, dado que toda la informacin de seguridad se almacena en un nico repositorio SQL Server, que puede utilizar los servicios de generacin de informes y anlisis (SQL Server Reporting and Anlisis Services) para identificar e interpretar los eventos de seguridad. Administracin simplificada La administracin y la generacin de informes de seguridad estn centralizadas en Forefront. Sus componentes se integran plenamente con los sistemas de administracin existentes, incluyendo Microsoft Operations Manager, Microsoft Systems Management Server y Windows Server Update Services. Las consolas de administracin integradas de Forefront ofrecen las conocidas interfaces de Microsoft y son, adems, fciles de utilizar; por otra parte, reducen el tiempo de capacitacin necesaria y ayudan a controlar los costes. nfasis en la capacidad de "aseguramiento" Al concentrar gran parte de sus esfuerzos en los aspectos relacionados con la integracin y la administracin de la seguridad el "aseguramiento" de la infraestructura-, Forefront ayuda a su empresa a: - Centralizar la administracin de la seguridad. - Evitar los errores en la configuracin. - Implementar la seguridad en toda la red. - Obtener una visin unificada de la seguridad de la red. Conclusin En conclusin, nos encontramos ante una familia de productos que, tanto juntos como de manera independiente, nos ofrecen una solucin: Completa A medida que los ataques aumentan, se tornan cada vez ms costosos para su empresa, aumentando el tiempo de reposo necesario, la recuperacin e impactando en forma negativa en la productividad y en la utilizacin de su software. Integrada En general, los productos de seguridad no se integran mucho entre s ni con la infraestructura de TI existente de uno. Esta falta de sinergia en la infraestructura actual hace que sea ms difcil de controlar, creando potencialmente brechas e ineficiencias en la seguridad de su red.

Miguel ngel Garca Felipe

Microsoft Forefront integra capacidades de seguridad en toda la lnea de productos, con aplicaciones de servidor Microsoft y con su infraestructura de TI existente, de modo que usted puede lograr mayor eficiencia y control sobre la seguridad de su red. Simplificada Puede ser difcil obtener visibilidad crtica acerca del estado de seguridad de su red, especialmente sin una herramienta de administracin central. Sin este tipo de visibilidad, implementar y administrar la seguridad es ms difcil, ineficiente, propicia al error y consume ms tiempo. Microsoft Forefront mejora su capacidad para mantener la seguridad de su organizacin al simplificar la administracin, instalacin y uso de los productos de seguridad, con lo que aumentar su confianza en que su organizacin est bien protegida. Forefront aumenta la visibilidad en el estado de seguridad de su red al brindar una vista individual de la red, permitiendo una administracin y una mitigacin de amenazas mejor y ms informadas. http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=225

b) Distribuciones libres para implementar cortafuegos en mquinas dedicadas. i) Instalacin y configuracin del cortafuegos Firewall Zentyal.

Tenemos el cortafuegos instalado por defecto en nuestro sistema, si nos situamos en cortafuegos, podemos configurar los siguientes escenarios.

Miguel ngel Garca Felipe

O en cambio stos otros.

Escogemos la primera opcin, ya que vamos a denegar un servicio a un PC de nuestra LAN para comprobar el resultado de nuestro cortafuegos.

Una vez configurado guardamos los cambios. Hemos denegado el protocolo ICMP para el equipo 10.33.2.120.

Miguel ngel Garca Felipe

Comprobamos nuestra IP de Zentyal.

Comprobamos la IP del cliente denegado, y comprobamos que no puede conectar con el Zentyal, por el cortafuegos.

Miguel ngel Garca Felipe

Sin embargo, a la inversa s que podemos.

ii) Instalacin y configuracin del cortafuegos Firewall IpCop.

Miguel ngel Garca Felipe

Introducimos la ISO de la aplicacin, y arrancamos la mquina virtual, una vez arrancado, procedemos a instalarlo en nuestro idioma.

Confirmamos el siguiente mensaje.

Elegimos instarlo desde la primera opcin.

Miguel ngel Garca Felipe

Nos indica el disco donde se llevara a cabo la instalacin, que en este caso es /dev/sda

Nos saltamos el proceso de backup.

Miguel ngel Garca Felipe

Comprobamos nuestras tarjetas, con la opcin prueba.

Una vez nos detecte las tarjetas de red, aceptamos.

Miguel ngel Garca Felipe

Elegimos la primera interfaz, que ser green, y configuramos la direcciones IP de la siguiente manera.

Miguel ngel Garca Felipe

Una vez las tengamos pulsamos OK.

Elegimos nuestro mapa de teclado, que es en nuestro caso es.

Elegimos nuestra zona horaria, Europe/Madrid

Miguel ngel Garca Felipe

Introducimos el nombre de la mquina, ipcopmiguel

Ingresamos el nombre de nuestro dominio, miguelasir.

Miguel ngel Garca Felipe

Inhabilitamos la configuracin de RDSI.

Miguel ngel Garca Felipe

Una vez realizados los pasos anteriores, accedemos a este men de configuracin, que configuramos uno a uno.

Elegimos el tipo de configuracin GREEN + RED, que corresponden a nuestras 2 tarjetas de red instaladas en la mquina.

Miguel ngel Garca Felipe

Pulsamos la opcin controladores y tarjetas asignadas.

Pulsamos OK para habilitar la segunda tarjeta de red, RED.

Miguel ngel Garca Felipe

Configuramos las direcciones de nuestra tarjeta.

Elegimos la interfaz GREEN o tarjeta nmero 1.

Miguel ngel Garca Felipe

Establecemos las direcciones IP si no las tuviramos, pero ya las hemos configurado anteriormente.

Elegimos la interfaz RED o tarjeta nmero 2.

Miguel ngel Garca Felipe

Establecemos la direccin IP de esta interfaz.

Como ya hemos configurado las dos interfaces, acabamos el proceso.

Miguel ngel Garca Felipe

Accedemos a las opciones de DNS y puerta de enlace.

Ingresamos la informacin de las DNS y la puerta de enlace a internet.

Miguel ngel Garca Felipe

Por, ltimo si queremos, hacemos la configuracin del servidor DHCP, seguidamente pulsamos OK, y finalizamos la configuracin.

Ingresamos la contrasea para el usuario root, que ser invesinves.

Miguel ngel Garca Felipe

Ingresamos la contrasea para el administrador de IPCot.

Adems ingresamos una contrasea para la realizacin de backups de forma segura.

Miguel ngel Garca Felipe

Una vez configurado todo perfectamente, pulsamos OK en esta pantalla y reiniciamos la mquina.

Arrancamos el sistema, y apreciamos un arranque similar a otros sistemas Linux.

Miguel ngel Garca Felipe

Nos logueamos como root.

Ejecutamos un ipconfig para comprobar que nos ha almacenado el valor de las tarjetas de red.

Miguel ngel Garca Felipe

Desde un cliente, accedemos a la mquina va web. Nos logueamos con la cuenta de administrador.

Podemos realizar diversas tareas con esta aplicacin, como por ejemplo mirar el estado del sistema.

Miguel ngel Garca Felipe

Podemos comprobar el estado de las interfaces de la mquina, que hemos configurado anteriormente.

Podemos habilitar el acceso ssh a la mquina.

Miguel ngel Garca Felipe

En acceso externo, deshabilitamos el servicio FTP por el puerto 21

Tambin podemos denegar las respuestas de ping a las interfaces, aqu por ejemplo denegamos la tarjeta roja o 2 interfaz.

Miguel ngel Garca Felipe

Comprobamos que podemos hacer ping con el cliente a la tarjeta verde, pero no a la roja.

Comprobamos tambin que no podemos acceder al servicio FTP.

Miguel ngel Garca Felipe

Podemos realizar en control de trfico un control del mismo.

Podemos configurar en servidor de horario un servidor NTP.

Miguel ngel Garca Felipe

Tambin podemos destacar el estado de las conexiones, para auditar todas las conexiones con la mquina.

6. CORTAFUEGOS HARDWARE.
a) Elabora un informe sobre los cortafuegos hardware Cisco PIX (Private Internet Exchange) y la tecnologa ASA de Cisco. Comenta en detalle algn producto Cisco PIX. Cisco PIX (Private Internet Exchange)
PIX es el acrnimo de Private Internet EXchange. Esta sigla es utilizada por el fabricante tecnolgico Cisco, para referirse a sus modelos de equipos Cortafuegos (FireWalls). Se trata de un firewall completamente hardware: a diferencia de otros sistemas cortafuegos, PIX no se ejecuta en una mquina Unix, sino que incluye un sistema operativo empotrado denominado Finesse que desde espacio de usuario se asemeja ms a un router que a un sistema Unix clsico.

Miguel ngel Garca Felipe

El cortafuegos PIX utiliza un algoritmo de proteccin denominado Adaptive Security Algorithm (ASA): a cualquier paquete inbound (generalmente, los provenientes de redes externas que tienen como origen una red protegida) se le aplica este algoritmo antes de dejarles atravesar el firewall, aparte de realizar comprobaciones contra la informacin de estado de la conexin (PIX es stateful) en memoria; para ello, a cada interfaz del firewall se le asigna un nivel de seguridad comprendido entre 0 (la interfaz menos segura, externa) y 100 (la ms segura, interna). La filosofa de funcionamiento del Adaptive Security Algorithm se basa en estas reglas:

Ningn paquete puede atravesar el cortafuegos sin tener conexin y estado. Cualquier conexin cuyo origen tiene un nivel de seguridad mayor que el destino (outbound) es permitida si no se prohbe explcitamente mediante listas de acceso. Cualquier conexin que tiene como origen una interfaz o red de menor seguridad que su destino (inbound) es denegada, si no se permite explcitamente mediante listas de acceso. Los paquetes ICMP son detenidos a no ser que se habilite su trfico explcitamente. Cualquier intento de violacin de las reglas anteriores es detenido, y un mensaje de alerta es enviado a syslog. Cuando a una interfaz del cortafuegos llega un paquete proveniente de una red con menor nivel de seguridad que su destino, el firewall le aplica el adaptive security algorithm para verificar que se trata de una trama vlida, y en caso de que lo sea comprobar si del host origen se ha establecido una conexin con anterioridad; si no haba una conexin previa, el firewall PIX crea una nueva entrada en su tabla de estados en la que se incluyen los datos necesarios para identificar a la conexin.

El cortafuegos PIX puede resultar muy complejo de gestionar, especialmente a los que provienen del mundo Unix, ya que como hemos dicho se asemeja ms a un router que a un servidor con cualquier flavour de Unix; es por tanto recomendable consultar bibliografa adicional antes de trabajar con estos equipos. Una buena referencia puede ser [JF01], as como la documentacin sobre el producto que est disponible a travs de la web de Cisco Systems

Miguel ngel Garca Felipe

Tecnologa ASA de Cisco

Los dispositivos Cisco ASA 5505 y 5550 son componentes centrales de la estrategia Self-Defending Network de Cisco Systems. Ambos dispositivos forman parte de una familia de dispositivos de seguridad de red multifuncin que ofrece la amplitud y profundidad necesarias para proteger empresas de cualquier tamao. Su defensa proactiva frente a amenazas evita que los ataques se extiendan por toda la red de la empresa, permitiendo a las empresas proteger varios segmentos de una red al mismo tiempo, lo que consolida la inversin en seguridad y minimiza la complejidad de las instalaciones y reduce los costes operativos. Diseado para proporcionar servicios de seguridad de alto rendimiento para entornos de ancho de banda de nueva generacin, Cisco ASA 5505 ofrece una rendimiento de firewall de 150 Megabits por segundo (Mbps) y una rendimiento de VPN encriptado de 100 Mbps. Tambin ofrece flexibilidad y proteccin de la inversin significativa mediante su diseo modular nico, ofreciendo una ranura de expansin para capacidades futuras. Adems, el Cisco ASA 5505 puede funcionar como un cliente VPN de hardware para simplificar la gestin. Ofrece servicios VPN SSL acelerados a travs de hardware, un switch de 8 puertos 10/100 integrado compatible con la creacin de mltiples zonas de seguridad y dos puertos integrados de Power-over-Ethernet (PoE). Entre sus diversos usos, dichos puertos PoE ofrecen una instalacin intuitiva y sencilla para telfonos Cisco IP y puede proporcionar energa a puntos de acceso Cisco con la que se mejora la movilidad del usuario. El Cisco ASA 5550 incluye el firewall de Cisco, lder del sector y los servicios IPsec/SSL VPN dirigidos a entornos de red para grandes empresas. Puede proporcionar ms de 1,2 gigabits por segundo (Gbps) de rendimiento de firewall y da soporte a 200 redes de rea local virtuales (VLAN), de modo que las empresas pueden segmentar su red en numerosas zonas de alto rendimiento para mejorar la seguridad. Tambin ofrece servicios VPN escalables, que soportan hasta 5.000 clientes IPsec y SSL VPN por aplicacin. Mediante sus capacidades de agrupacin de VPN y de balanceo de carga, las empresas pueden agrupar hasta 10 dispositivos Cisco ASA 5550, dando servicio a 50.000 usuarios simultneos de IPsec y SSL VPN. Al ampliar el alcance de la familia Cisco ASA y aprovecharse de los nuevos servicios Cisco ASA Software 7.2, las empresas pueden ampliar la aplicacin de seguridad a travs de su red. Ofrece ms de 50 nuevas opciones de seguridad que refuerzan el firewall de capa de aplicaciones de la familia Cisco ASA, VPN de acceso remoto, alta disponibilidad, integracin de redes y capacidades de gestin.

Miguel ngel Garca Felipe

De estas mejoras, algunas de las ms significativas son los servicios de firewall en la capa de aplicaciones y la integracin de servicios con Cisco Network Admission Control (NAC). Los servicios de firewall en la capa de aplicaciones de Cisco proporcionan a las empresas un mayor control sobre sus dispositivos y ayudan a prevenir que las amenazas accedan a las redes empresariales. Adems, mejoran la proteccin de protocolos de aplicaciones como web, correo electrnico, voz sobre Protocolo Internet (VoIP), mensajera instantnea, transferencia de archivos y protocolos de red Microsoft. El soporte de Cisco ASA para las soluciones NAC de Cisco administra evaluaciones integrales para usuarios y dispositivos que accedan a la red mediante conexiones IPsec y SSL VPN. Esta evaluacin incluye la comprobacin de las actualizaciones correspondientes de software de seguridad y sistemas operativos antes de conceder acceso a los privilegios en red.

b) Elabora un informe sobre productos comerciales que implemente Gestin Unificada de Amenazas Firewall UTM (Unified Threat Management).

D-Link Firewall UTM NETDEFEND

Firewall UTM para delegaciones El firewall UTM DFL-260 ofrece una potente solucin de seguridad para las oficinas de pequeo o medio tamao, con hasta 50 usuarios, contra una amplia variedad de amenazas para la red en tiempo real. Al integrar un sistema de prevencin de intrusos (IPS), un gateway antivirus (AV) y el filtrado de contenidos web (WCF) en un diseo industrial de tamao de sobremesa, este dispositivo est dirigido a las empresas que buscan seguridad para la red a un precio competitivo.

Gestin de amenazas unificada El DFL-260 integra un sistema de prevencin de intrusos (IPS), un gateway antivirus (AV) y el filtrado de contenidos/URL web para una mejor proteccin con inspeccin de contenido de nivel 7. Est disponible un servicio opcional de subscripciones para mantener actualizadas en tiempo real cada una de estas defensas.

Miguel ngel Garca Felipe

Potente prevencin de intrusos El DFL-260 sigue una nica tecnologa IPS, firmas de virus basadas en componente, que se integra para reconocer todas las variedades de ataques conocidos y desconocidos y proteger contra ellas, y que puede tratar todos los aspectos crticos de un ataque o potencial ataque, incluidos la carga, NOP sled, infeccin y exploits. En cuanto a la cobertura de las firmas de virus, la base de datos IPS incluye informaciones y datos de ataque procedentes de una parrilla de sensores global y, adems, exploits recopilados de sitios pblicos, tales como la National Vulnerability Database y Bugtrax. El DFL-260 cuenta con firmas de virus IPS de alta calidad porque constantemente crea y optimiza las firmas de virus NetDefend por medio del sistema sensor de autofirma de D-Link (Auto-Signature Sensor System). Sin sobrecargar el dispositivo, estas firmas garantizan una alta tasa de precisin de deteccin y la menor tasa de falsos positivos. Escaneado de virus basado en el flujo El DFL-260 escanea archivos de cualquier tamao utilizando una tecnologa de escaneo de virus basada en el flujo que no requiere almacenamiento temporal. Este mtodo de escaneado mejora el rendimiento de inspeccin al mismo tiempo que elimina los cuellos de botella en la red. El dispositivo usa firmas de virus de la respetada compaa antivirus Kaspersky Labs para proporcionar a los usuarios unas firmas antivirus precisas y fiables, as como comunicar las actualizaciones de firmas. Por consiguiente, se pueden bloquear con eficacia los virus y el malware antes de que lleguen a los dispositivos mviles o de sobremesa de la red. Filtrado de contenido web El filtrado de contenido web ayuda a los administradores a monitorizar, gestionar y controlar el uso que los empleados hacen de internet. El DFL-260 implementa varios servidores de ndice global con millones de URL e informacin de sitios web en tiempo real para mejorar la capacidad de rendimiento y maximizar la disponibilidad del servicio. El firewall usa polticas granulares y explcitas listas blancas y listas negras para permitir o denegar el acceso a determinados tipos de sitios web para cada combinacin de usuarios, interfaces y redes IP. Puede desmontar los potenciales objetos maliciosos, como applets de Java, JavaScripts/VBScripts, objetos ActiveX y cookies, para tratar activamente el contenido de internet. Acelerador por hardware El DFL-260 usa un acelerador por hardware para llevar a cabo las funciones de escaneado antivirus e IPS simultneamente, sin que se degrade el rendimiento del firewall ni el de la red privada virtual. Este potente acelerador le permite al firewall trabajar con un rendimiento muy superior al de los firewall UTM con funcin antivirus del mercado.

Miguel ngel Garca Felipe

Potente rendimiento de la red privada virtual El DFL-260 dispone de un motor de red privada virtual basado en hardware para soportar y gestionar hasta 100 tneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo cliente/servidor y tambin puede manejar el trfico que pasa a travs de l. La autentificacin de usuario puede llevarse a cabo por medio de un servidor RADIUS externo o a travs de la base de datos interna del firewall, que admite hasta 150 cuentas. Monitorizacin y gestin El DFL-260 puede gestionarse remotamente a travs de la interfaz basada en web, la interfaz de lnea de comandos por el puerto consola RS-232 o una conexin SSH (Secure Shell). La configuracin es rpida gracias a un asistente de instalacin que incluye caractersticas avanzadas para monitorizar la red y conservarla en buen estado y con total seguridad, tales como avisos por correo electrnico, registro del sistema, comprobaciones regulares y estadsticas en tiempo real.

Clavister Extended UTM

Desde el principio, el requerimiento mnimo UTM era un Firewall, Deteccin de Intrusin de red (IDS) y funcionalidad de Prevencin de Intrusiones (IPS), y Antivirus de Entrada (AV Perimetral). El ltimo producto de Clavister ofrece esta funcionalidad junto con capacidades VPN, Control de Trfico y Gestor de Filtrado de Contenidos, todos con capacidad de multi-gigabit. Lo llamamos xUTM. La demanda de dispositivos, al contrario de software, se explica por el aumento del requerimiento de la conveniencia plug & play, son de fcil instalacin y de administracin centralizada. Los dispositivos son ms fciles de desplegar que las soluciones de software, ya que incluyen su hardware y software pre-integrados. Son generalmente muy confiables y pueden resistir gran volumen de trfico. La mayora pueden tener ms escala agregando ms dispositivos. Cuando una maquina falla, es ms fcil cambiarla que localizar el problema. Este proceso pone al nodo en lnea ms rpido, y puede realizarse por personal no tcnico. Esto es especialmente importante para oficinas remotas o para las PYMES con poco personal capacitado.

Miguel ngel Garca Felipe

Integridad Oferta producto completo Incluye todos los componentes necesarios para despliegue, administracin y apoyo de su infraestructura de seguridad de por vida. El conjunto ms variado Incluye Firewall, VPN, Anti-virus, Prevencin y Deteccin de Intrusin, Administracin de trfico, Control de Aplicacin, Failover, Control P2P, Routing avanzado y mucho ms.

Ximark UTM/Firewall
La administracin de Firewalls y UTMs es intensiva en recursos y requiere un alto nivel de conocimientos. Debido a la complejidad asociada a estas tareas, la mayora de las violaciones son causadas por la incorrecta configuracin de reglas y polticas de firewall. Ximark UTM/Firewall Administrado es un servicio de administracin de dispositivos de seguridad de permetro, conocidos tambin como Administradores de Amenazas Unificadas que protegen a las organizaciones con herramientas integrales como: anti-spam, anti-virus, sistema de prevencin de intrusos (IPS), filtro de contenido web, control de peer-to-peer (P2P) y control de chat, entre otros. El registro de eventos, la administracin de la configuracin y los reportes centralizados son fundamentales de acuerdo a las mejores prcticas de seguridad modernas. Con Ximark UTM/Firewall Administrado las organizaciones pequeas y medianas pueden cumplir con estas prcticas. Con nuestro modelo de seguridad OnDemand las empresas de todos los tamaos pueden beneficiarse de una solucin centralizada de administracin y monitoreo de sus dispositivos de seguridad perimetral de varios fabricantes lderes. No hay requerimientos adicionales de hardware, software o facilidades, lo cual provee un costo competitivo. Funcionalidades del Servicio

Miguel ngel Garca Felipe

Monitoreo Administracin de registros (logs). Revise registros en tiempo real o histricamente. Para diagnstico o anlisis de seguridad. Monitoreo de la disponibilidad del dispositivo. Sea notificado cuando el dispositivo presenta problemas de desempeo o conectividad.

Reportes Servicio On-demand. Acceda al servicio desde cualquier ubicacin va Internet va un browser. Reportes pre-configurados. Vea reportes de actividades como los hosts ms activos, servicios ms usados, sitios ms visitados y otra informacin til para diagnstico y control.

Administracin Administracin de la configuracin. La ejecucin de cambios programados se incluye dentro Ximark UTM/Firewall Administrado. Mantenimiento. Las tareas de mantenimiento como actualizacin de firmware y otras. Actualizacin de servicios de proteccin. Los servicios de proteccin UTM como anti-spam, anti-virus, IPS y filtrado de contenido web se actualizan.

Mesa de Servicio Mesa de servicio va Web. Puede abrir casos 24x7x365 das al ao va web y por telfono. Como un slo punto de contacto para todas sus necesidades de soporte, nuestros ingenieros que atienden va nuestra plataforma web, tienen experiencia en soportar redes y ayudar a diagnosticar problemas y proveer soluciones. La mesa de servicio permite que Ximark responda tan rpido como sea posible o de acuerdo a los acuerdos de niveles de servicio (SLA) establecidos con el cliente. Para ellos es posible manejar escalamientos y alertas a los gerentes del rea de soporte. La mesa de servicio es basado en Web y en tecnologas de ltima generacin. El sistema posee una base de datos conocimiento, calendario, manejo de SLAs, y otras funcionalidades que permiten brindar un servicio de soporte avanzado.

Niveles de Servicio Ximark UTM/Firewall Administrado ofrece niveles de acuerdo de servicio (SLA) para garantizar la disponibilidad y confiabilidad.

Miguel ngel Garca Felipe