You are on page 1of 88

Fuente del Texto: EurekaSans-Bold 14 pts

INSTITUTO TECNOLGICO DE QUERTARO

IMPLEMENTACION DE SEGURIDAD EN RED DE GRUPO PHI-IT Y DATA CENTER

INFORME TCNICO DE RESIDENCIA PROFESIONAL

Que presenta: Nohemi Zamorano Gonzlez

Estudiante de la carrera: INGENIERA EN SISTEMAS COMPUTACIONALES

Periodo: Enero-Junio 2012

2012, Ao de la Lectura

SUBSECRETARA DE EDUCACIN SUPERIOR DIRECCIN GENERAL DE EDUCACIN SUPERIOR TECNOLGICA

AGRADECIMIENTOS A Dios: Porque a pesar de que muchas veces puse mis intereses por encima de ti, nunca me faltaste y aunque no soy tu hija ms devota, en ti confi. Siempre me has ayudado a seguir adelante y por ti an no pierdo las esperanzas, s que todos pueden decepcionarme menos t y reconozco que sin ti no hubiera podido sobrevivir estos ltimos meses. Muchas Gracias Seor. A mis padres: Por darme la vida, una maravillosa formacin, por su ternura y todo su amor y por contagiarme de sus mayores fortalezas. Mam, t me pusiste como ejemplo el ser luchona y decidida; y el pelear contra la adversidad que es una condicin dolorosa pero pasajera, me enseaste a levantarme despus de cada tropiezo y a tener siempre un colchn para los tiempos difciles, me enseaste a ser perseverante y paciente, a ponerme pasos fijos para alcanzar mis metas, a ver los problemas con la cabeza fra y como situaciones solucionables y no como dramas y a guiarme por la premisa de que toda disciplina tiene su recompensa. A mis maestros: Que son parte esencial en este logro, el cual les comparto, ya que ustedes tambin lo trabajaron y esperamos que su esfuerzo y empeo se vea reflejado en este trabajo.

NDICE INTRODUCCIN ........................................................................................................ 1 CAPITULO 1 GENERALIDADES DE LA EMPRESA ................................................................... 3 1.1. Datos Generales ........................................................................................... 3 Nombre o razn social de la empresa ................................................. 3 Ubicacin de la empresa....................................................................... 3 Giro de la empresa ................................................................................ 3 Tamao de la empresa .......................................................................... 3 Rama ....................................................................................................... 3

1.1.1. 1.1.2. 1.1.3. 1.1.4. 1.1.5. 1.2. 1.3. 1.4.

Resea histrica de la empresa .................................................................. 4 Organigrama de la empresa ........................................................................ 4 Misin, Visin y Polticas ............................................................................ 5 Misin ..................................................................................................... 5 Visin ...................................................................................................... 5 Poltica de Calidad ................................................................................. 5

1.4.1. 1.4.2. 1.4.3. 1.5.

Premios y certificaciones ............................................................................ 6

CAPITULO 2 PLANTEAMIENTO DEL PROBLEMA .................................................................... 7 2.1. Caracterizacin del rea de realizacin el proyecto. ................................ 7 Descripcin del rea.............................................................................. 7 Organigrama del rea ............................................................................ 7 Actividades del rea .............................................................................. 8 Interaccin con las otras reas de la empresa ................................... 9 Funciones y ubicacin del residente ..................................................10

2.1.1. 2.1.2. 2.1.3. 2.1.4. 2.1.5. 2.2. 2.3.

Antecedentes y definicin del problema. ................................................. 10 Objetivos. .................................................................................................... 10 Objetivo general....................................................................................10 Objetivos especficos. ..........................................................................10

2.3.1. 2.3.2. 2.4. 2.5.

Justificacin ............................................................................................... 11 Alcances y limitaciones ............................................................................. 12

2.5.1. 2.5.2.

Alcances ................................................................................................12 Limitaciones ..........................................................................................12

CAPITULO 3 MARCO TERICO ................................................................................................ 13 3.1. 3.2. ISO/IEC 27001:2005 .................................................................................... 13 Fortinet ........................................................................................................ 16 Qu es Fortinet? .................................................................................16 Comparacin de equipos Fortinet con otros equipos.......................17

3.2.1. 3.2.2. 3.3.

FORTIGATE 100.......................................................................................... 17 Qu es FortiGate 100? .......................................................................17

3.3.1. 3.4.

FORTIANALYZER ....................................................................................... 18 Qu es FortiAnalyzer? .......................................................................18

3.4.1. 3.5.

Herramientas de Monitoreo ....................................................................... 19 Qu son las herramientas de monitoreo? ........................................19 Solarwinds ............................................................................................20

3.5.1. 3.5.2. 3.6.

Protocolo .................................................................................................... 21 Tipos de protocolo ...............................................................................21 Protocolo SNMP....................................................................................21


Versiones del protocolo SNMP .............................................................. 24

3.6.1. 3.6.2. 3.6.3. 3.6.4. 3.7.

3.6.2.1.

Protocolo ICMP .....................................................................................24


Ping ......................................................................................................... 24

3.6.3.1.

NetFlow ..................................................................................................25

NetEnforcer AC- 1400 ................................................................................ 26 Qu es el NetEnforcer? ......................................................................26

3.7.1.

CAPITULO 4 DESARROLLO DEL PROYECTO ........................................................................ 28 4.1.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. Reconocimiento del equipo de seguridad..........................................28 Estado de los leds ................................................................................28 Conexiones ...........................................................................................29 Ubicacin y propsito del equipo en la red .......................................30 Conexin con el administrador web ...................................................30

4.1.6. 4.1.7.

Interfaz Grfica .....................................................................................32 Configuracin .......................................................................................33


Configuracin de Interfaces .................................................................. 33 Configuracin de DNS ............................................................................ 34 Configuracin de Gateway..................................................................... 34 Configuracin del equipo en modo transparente................................. 35 Establezca la contrasea de Administrador ......................................... 35 Registro de Usuario................................................................................ 36 Registros por grupo ............................................................................... 37 Creacin de proteccin-profile .............................................................. 38 Creacin de polticas de uso ................................................................. 49 Interaccin con equipo de seguridad FortiAnalyzer 100 A .................. 51 Backup & Restore ................................................................................... 51

4.1.7.1. 4.1.7.2. 4.1.7.3. 4.1.7.4. 4.1.7.5. 4.1.7.6. 4.1.7.7. 4.1.7.8. 4.1.7.9. 4.1.7.10. 4.1.7.11.

4.2.

Configuracin e implementacin del equipo FortiAnalyzer 100A......... 52 Reconocimiento del equipo de seguridad ..........................................52 Ubicacin del equipo...........................................................................53 Conexin con el administrador web ...................................................53 Interfaz Grfica .....................................................................................54 Configuracin .......................................................................................54
Configuracin de Interfaces .................................................................. 54 Configuracin de DNS ............................................................................ 54 Configuracin de Gateway..................................................................... 55 Configuracin de password ................................................................... 55 Conexiones en tiempo real .................................................................... 55 Unidad central......................................................................................... 56 Agregacin de un administrador de dominio ....................................... 56

4.2.1. 4.2.2. 4.2.3. 4.2.4. 4.2.5.

4.2.5.1. 4.2.5.2. 4.2.5.3. 4.2.5.4. 4.2.5.5. 4.2.5.6. 4.2.5.7.

4.2.6.

Reports ..................................................................................................57
Vista de reportes generados .................................................................. 57 Generar nuevo reporte ........................................................................... 57 Alertas de eventos .................................................................................. 58 Creacin de un servidor de E-mail ........................................................ 59 Configuracin de SNMP Access list ..................................................... 59

4.2.6.1. 4.2.6.2. 4.2.6.3. 4.2.6.4. 4.2.6.5.

4.2.7. 4.3. 4.4.

Monitoreo en tiempo real .....................................................................60

Configuracin de Herramientas de Monitoreo ........................................ 61 Configuracin e implementacin de equipo AC- 1400 en Data Center . 65 Reconocimiento del equipo .................................................................65 Descripcin de los leds ........................................................................66 Conexiones ...........................................................................................66
Cables utilizados .................................................................................... 67

4.4.1. 4.4.2. 4.4.3. 4.4.5.

4.4.3.1.

Segmentacin de Bandwidth ...............................................................68


QoS .......................................................................................................... 68 Host ......................................................................................................... 70 Servicios ................................................................................................. 71

4.4.5.1. 4.4.5.2. 4.4.5.3.

4.4.6.

Listas de acceso ...................................................................................72

CAPITULO 5 ANLISIS Y RESULTADOS ................................................................................. 73 CONCLUSIONES ..................................................................................................... 74 REFERENCIAS BIBLIOGRFICAS ......................................................................... 75 ANEXOS ................................................................................................................... 76 ANEXO A GLOSARIO ........................................................................................... 76

NDICE DE TABLAS Tabla 1 -Solarwinds. ................................................................................................ 21 Tabla 2 -Estado de los leds. ................................................................................... 29 Tabla 3 -Conexin. .................................................................................................. 29 Tabla 4 -Estado de los leds allot. ........................................................................... 66 Tabla 5 -Conexiones allot. ...................................................................................... 66 Tabla 6 -Cables utilizados....................................................................................... 67

NDICE DE FIGURAS Figura 1 -Ubicacin de PHI-IT................................................................................... 3 Figura 2 -Organigrama empresarial. ........................................................................ 5 Figura 3 -Noc & Soc. ................................................................................................. 8 Figura 4 -Interaccin con otras reas. ..................................................................... 9 Figura 5 -Comparacin de equipos. ...................................................................... 17 Figura 6 -FortiASIC. ................................................................................................. 18 Figura 7 -Ping. ......................................................................................................... 25 Figura 8 -Hardware cisco. ....................................................................................... 26 Figura 9 -Frontal. ..................................................................................................... 28 Figura 10 -Trasera. .................................................................................................. 28 Figura 11 -Ubicacin del FortiGate. ....................................................................... 30 Figura 12 -Login. ..................................................................................................... 31 Figura 13 -Hyperterminal. ....................................................................................... 31 Figura 14 -Consola. ................................................................................................. 32 Figura 15 -Interfaz grfica. ...................................................................................... 32 Figura 16 -Indicadores. ........................................................................................... 33 Figura 17 -Alertas. ................................................................................................... 33 Figura 18 -Interfaz. .................................................................................................. 34 Figura 19 -DNS......................................................................................................... 34 Figura 20 -Gateway. ................................................................................................ 35 Figura 21 -IP de administracin. ............................................................................ 35 Figura 22 -Password. .............................................................................................. 36 Figura 23 -Address. ................................................................................................. 36 Figura 24 -Ip. ............................................................................................................ 37 Figura 25 -Group. .................................................................................................... 37 Figura 26 -Grupos. .................................................................................................. 38 Figura 27 -Profile. .................................................................................................... 39

Figura 28 -Antivirus. ................................................................................................ 39 Figura 29 -Web Filtering.......................................................................................... 40 Figura 30 -Bloqueo por palabra. ............................................................................ 41 Figura 31 -Palabra. .................................................................................................. 41 Figura 32 -URL ......................................................................................................... 42 Figura 33 -Bloqueo por URL. .................................................................................. 43 Figura 34 -Bloqueos generales. ............................................................................. 43 Figura 35 -Spam Filtering. ...................................................................................... 44 Figura 36 -IPS. ......................................................................................................... 45 Figura 37 -IPS sensor. ............................................................................................. 45 Figura 38 -Figura. .................................................................................................... 45 Figura 39 -add custom override. ............................................................................ 46 Figura 40 -Formulario. ............................................................................................ 46 Figura 41 -Bloqueo de ares. ................................................................................... 46 Figura 42 -Excepcin de filtro. ............................................................................... 47 Figura 43 -Formulario. ............................................................................................ 47 Figura 44 -Add Filter. .............................................................................................. 47 Figura 45 -P2P. ........................................................................................................ 48 Figura 46 -Figura. .................................................................................................... 48 Figura 47 -Ubicacin del filtro. ............................................................................... 48 Figura 48 -Posicin del filtro. ................................................................................. 48 Figura 49 -Nueva ubicacin. ................................................................................... 49 Figura 50 -Creacin de poltica. ............................................................................. 50 Figura 51 -Polticas. ................................................................................................ 50 Figura 52 -Conexin FortiAnalyzer. ....................................................................... 51 Figura 53 -Backup & Restore. ................................................................................ 52 Figura 54 -Frontal FortiAnalyzer. ........................................................................... 52 Figura 55 -FortiAnalyzer. ........................................................................................ 52 Figura 56 -Ubicacin del Analyzer. ........................................................................ 53 Figura 57 -Login. ..................................................................................................... 53 Figura 58 -Interfaz de FortiAnalyzer. ..................................................................... 54 Figura 59 -Editar puertos. ....................................................................................... 54 Figura 60 -DNS Analyzer. ........................................................................................ 55 Figura 61 -Gateway Analyzer.................................................................................. 55 Figura 62 -Password Analyzer. .............................................................................. 55 Figura 63 -Conexin en tiempo real. ...................................................................... 56 Figura 64 -Unidad Central. ...................................................................................... 56 Figura 65 -Dispositivos. .......................................................................................... 56 Figura 66 -Reportes Generados. ............................................................................ 57 Figura 67 -Contenido de reporte. ........................................................................... 57 Figura 68 -Nuevo reporte. ....................................................................................... 58

Figura 69 -Alerta de eventos. ................................................................................. 59 Figura 70 -Servidor de e-mail. ................................................................................ 59 Figura 71 -Servidor SNMP. ..................................................................................... 60 Figura 72 -Monitoreo. .............................................................................................. 60 Figura 73 -Informacin de bloqueo. ....................................................................... 61 Figura 74 -Putty. ...................................................................................................... 62 Figura 75 -Conectividad SSH. ................................................................................ 62 Figura 76 -Comandos NetFlow. .............................................................................. 62 Figura 77 -SNMP. ..................................................................................................... 63 Figura 78 -IP de vlan. ............................................................................................. 63 Figura 79 -Configuracin de SNMP. ...................................................................... 63 Figura 80 -Verificacin de configuracin. ............................................................. 64 Figura 81 -Solarwinds. ............................................................................................ 64 Figura 82 -Verificacin de configuracin 2. .......................................................... 65 Figura 83 -Frontal allot. ........................................................................................... 65 Figura 84 -Frontal allot Bypass. ............................................................................. 65 Figura 85 -Autentificacin allot. ............................................................................. 67 Figura 86 -Interfaz allot. .......................................................................................... 68 Figura 87 -Total de Bandwidth. .............................................................................. 68 Figura 88 -Primer segmento. .................................................................................. 69 Figura 89 -Segundo segmento. .............................................................................. 70 Figura 90 -Segmentacin. ....................................................................................... 70 Figura 91 -Host. ....................................................................................................... 71 Figura 92 -Servicios. ............................................................................................... 71 Figura 93 -Protocolo. .............................................................................................. 72 Figura 94 -Lista de acceso...................................................................................... 72 Figura 95 -Configuracin de switchcisco catalyst 6504. ..................................... 73 Figura 96 -Configuracin de equipos. ................................................................... 74 Figura 97 -Monitoreo en tiempo real. ..................................................................... 74

INTRODUCCIN El presente proyecto de residencia se realiz en PHI IT S.A. de C.V., es una empresa que ofrece servicios de tecnologas de la informacin, estos servicios son cubiertos por diferentes unidades de negocio, PHI IT S.A. de C.V. est conformada por cuatro departamentos, siendo Operaciones IT el departamento involucrado para la realizacin de este proyecto. El tiempo que se permaneci dentro de la empresa como residente para la realizacin del proyecto Implementacin de Seguridad en Red de Grupo PHI-IT y Data Center fue aproximadamente de 4 meses, tiempo en el cual adems del proyecto, se realizaron diferentes actividades que no eran directamente relacionadas con el mismo, pero si relacionadas con el rea. El proyecto Implementacin de Seguridad en Red de Grupo PHI-IT y Data Center surge como un requerimiento a la implementacin de la norma ISO/IEC 27001:2005 basada en seguridad de la informacin, actualmente implementndose en la empresa, requerimiento para cubrir una necesidad es la implementacin de equipos de seguridad en la red corporativa de PHI y Data Center, lo que incluye desde el diseo e identificacin de las necesidades de la norma en relacin al rea correspondiente hasta la configuracin, mantenimiento y mejoras los equipos. Todo esto con el fin de lograr la certificacin en el ramo Tecnologas de la Informacin, beneficiando de igual forma a la empresa y a sus clientes, asegurando la integridad de la informacin y la estabilidad de la red como una red segura, as como la optimizacin su rendimiento. Para atender la solicitud de requerimientos de la norma y poder implementar adecuadamente los equipos de seguridad fue necesario involucrarse con otras reas de la empresa, visionando el mismo objetivo asa la implementacin de la norma. Para llevar a cabo el proyecto Implementacin de Seguridad en Red de Grupo PHIIT y Data Center, como primera etapa se llev a cabo una vista general de la norma y conociendo los procesos involucrados en ella, de esta forma y en base a ella se realizaron polticas de seguridad que dan como base la implementacin y configuracin de estos equipos. La realizacin de este proyecto tiene como objetivo principal proponer que acciones se deben tomar sobre los ataques internos que se generan dentro de la empresa y la productividad que puede tener la creacin de listas de acceso para los usuarios de la empresa, contribuyendo a mejorar la administracin sobre la red, garantizando la disponibilidad, integridad y confidencialidad de los datos, as como generar reportes de eventualidades presentada histricamente en el momento que sea requerido. El desarrollo del proyecto es titulado Implementacin de Seguridad en Red de Grupo PHI-IT y Data Center, y est compuesto por cinco captulos.
1

En el captulo 1, contiene las generalidades de la empresa donde fue realizada la residencia profesional, as como el nombre, su ubicacin, giro, organigrama, misin, visin, entre otros datos generales, dando a conocer un poco sobre esta empresa. En el captulo 2, se describe claramente el problema que existe en la empresa, motivo por el cual se dio lugar a la realizacin del proyecto de residencia. En el captulo 3, explica los conceptos bsicos en que se apoya el proyecto, considerantos algunos temas relevante para poder tener en claro algunas de las configuraciones realizadas a lo largo del desarrollo del proyecto, adems conocer la importancia que tiene cada una de estas. En el captulo 4, Se describen las actividades que se realizaron, ademas de la realizacion de manuales de usuario para que en un futuro personal que no sabe al respecto pueda dar seguimiento o mejoras a los equipos, dichos manuales son propiedad privada de la empresa por tal motivo no se detallan en este reporte. En el captulo 5, hace referencia al anlisis de los resultados obtenidos al finalizar el desarrollo del proyecto y as mismo poder realizar las conclusiones correspondientes.

CAPITULO 1 GENERALIDADES DE LA EMPRESA

1.1. Datos Generales 1.1.1. Nombre o razn social de la empresa PHI IT, S.A. DE C.V. 1.1.2. Ubicacin de la empresa Av. del Marqus No. 42-C, Parque Industrial Bernardo Quintana, el Marqus Quertaro.

Figura 1 -Ubicacin de PHI-IT.

1.1.3. Giro de la empresa Servicio 1.1.4. Tamao de la empresa Pequea 1.1.5. Rama Tecnologas de la Informacin.

1.2. Resea histrica de la empresa PHI IT est conformada por un capital 100% Mexicano, inicia siendo una compaa desarrolladora de soluciones y prestadora de servicios de tecnologas de informacin. Es respaldada por GRUPO PHI, grupo multi-ingeniera instalado en la ciudad de Quertaro, actualmente operando en diversos sectores como son telecomunicaciones, servicios informticos, tecnologas de informacin y automatizacin de procesos para diversas industrias del sector privado como gobierno. PHI-IT inicia sus operaciones sirviendo principalmente a todas aquellas organizaciones con dificultades en los procesos de operacin, realizando madurez de los mismos aplicando tecnologas de informacin. Comenz sus actividades en 2009, preparando toda la plataforma de lanzamiento para soportar cualquier requerimiento del mercado visionando a mercados emergentes, oficialmente iniciando operaciones en enero del 2010. Se ha destacado por mantener calidad en todos los servicios, realizando procesos de mejora continua para cumplir con las certificaciones ISO 9001, ISO 20000 (ITIL v3), ISO 27000, ICREA nivel 3. A pesar de su corto tiempo de operacin, es una de las empresas que ha destacado en el mercado por su impulso evolutivo, dando como consecuencia una mejora continua de los procesos, siempre para beneficio del cliente.

1.3. Organigrama de la empresa PHI al igual que muchas empresas cuenta con una estructura organizacional que sub-divide a todas sus reas empezando como primer nivel la direccin general, prosiguiendo de un gerente general donde a partir de ese ramo se dividen todos los departamentos, para una vista ms clara de la estructura organizacional de PHI IT, vea la Figura 2 -Organigrama empresarial.

Figura 2 -Organigrama empresarial.

1.4. Misin, Visin y Polticas 1.4.1. Misin Procurar soluciones de negocio basadas en tecnologas de informacin y comunicaciones para que las empresas alcancen sus objetivos de rentabilidad, configurndonos como elemento fundamental de su competitividad. 1.4.2. Visin En el 2020 ser el elemento vertebrador de la competitividad empresarial, como un canal imprescindible a travs del que nuestros clientes amplen perspectivas, alcancen sus objetivos de negocio y se integren en el contexto global. 1.4.3. Poltica de Calidad PHI IT, S.A. DE C.V. ofrece soluciones de negocio basadas en servicios de Tecnologas de Informacin encaminados a lograr la satisfaccin total de nuestros clientes, en estricto apego al cumplimiento de las normas, ticas profesionales y estndares internacionales que aseguren la calidad del servicio, logrando ser un socio estratgico para qu nuestros clientes alcancen su rentabilidad. Para los fines antes descritos, y satisfacer los requisitos de calidad se cuenta con una base de formacin humana y tecnolgica de cada una de las personas que colaboran en nuestra empresa, la gerencia general revisa esta poltica para asegurar su continua adecuacin y efectividad, la comunica a todo su equipo de trabajo, asegura su aplicacin dentro de la organizacin y
5

se compromete a mejorar continuamente la eficacia del sistema de gestin de la calidad. Para cumplir con la poltica de calidad PHI IT, S.A. DE C.V. establece los siguientes objetivos: 1. Incrementar la satisfaccin de nuestros clientes de un 80% a un 90%, a travs del manejo adecuado de sus peticiones de servicio, dudas y/o sugerencias del servicio prestado, as como manejo de incidencias a travs del help desk. 2. Proporcionar a nuestros clientes un servicio eficaz y de calidad con la respuesta rpida a las incidencias, logrando cumplir las fechas de respuesta establecidas en los SLA en un 99.95% o ms. 3. Cumplir con todas las actividades del programa de capacitacin a un 85% o ms, ya que un personal capacitado puede afrontar los cambios en la organizacin, mejorar sus funciones y responsabilidades en beneficio de la organizacin.

1.5. Premios y certificaciones - ICREA NIVEL 3. - NMX-I-20000-1-NYCE-2010 GESTIN DEL SERVICIO. / ISO/IEC 20000-1:2005 SISTEMA DE

- NMX-CC-9001-IMNC-2008 /ISO 9001:2008 SISTEMA DE GESTIN DE CALIDAD.

CAPITULO 2 PLANTEAMIENTO DEL PROBLEMA La empresa requiere atender necesidades de seguridad a la implementacin de la norma ISO/IEC 27001:2005 basado en seguridad de la informacin, una necesidad requerida para esta norma es la implementacin de equipos de seguridad en la red corporativa de la empresa y data center que ayude a la optimizacin de recursos y disponibilidad de la red en tiempo y forma que as se requiera. La implementacin de equipos de seguridad resolver la problemtica que actualmente se tiene en la empresa como lo es el control de acceso a pginas web no autorizadas, acceso a aplicaciones de mensajera instantnea no autorizadas por la empresa, saturacin de ancho de banda hacia internet en data center y red corporativa del grupo PHI-IT. Realizando lo siguiente: implementacin de equipos de seguridad, aplicando listas de acceso y polticas de seguridad a estos equipos atendiendo requerimientos de la norma, segmentacin de ancho de banda en data center evitando saturacin en la salida a internet, implementacin de herramientas de monitoreo en tiempo real.

2.1. Caracterizacin del rea de realizacin el proyecto. 2.1.1. Descripcin del rea NOC & SOC. El Centro de Operacin de Red (NOC) es responsable del monitoreo del estado de la red, atencin, resolucin y anlisis de incidentes a problemas que afecten a la disponibilidad y funcionalidad de la infraestructura de red de la empresa PHI-IT. El Centro de Operaciones de Seguridad (SOC) conforme a estndares y mejores prcticas proporciona la implantacin, operacin, monitoreo de toda la infraestructura de seguridad requerida por PHI IT, con altos niveles de servicio. 2.1.2. Organigrama del rea Organigrama del rea de redes ubicado dentro del departamento del NOC & SOC, observe la Figura 3 -Noc & Soc.

Figura 3 -Noc & Soc.

2.1.3. Actividades del rea NOC

Brinda soporte de monitoreo, gestin y evaluacin de disponibilidad, desempeo e interrelacin de infraestructura de red (servidores, routers, switches, UPSs, etctera.). Cuenta con infraestructura de operacin basada en un centro de datos para recepcin y respaldo de logs y configuraciones. Adems de una mesa de servicio telefnica. Dispone de sistemas para realizar la evaluacin de la infraestructura y detectar los eventos que pudieran afectar los elementos de la red. Analistas de redes certificados y especializados le brindan soporte los 365 das del ao, en monitoreo, alerta miento, mantenimiento y gestin de sus redes de misin crtica, cumpliendo con los acuerdos de nivel de servicio.

SOC Aplica la pro actividad (prevencin) necesaria para evitar ataques e incidentes de seguridad a la infraestructura tecnolgica de PHI IT y en su caso detectarlos y contenerlos, para as evitar ataques e intrusiones de y hacia la red.

Genera memorias tcnicas en donde especifica las actividades ligadas directamente a la administracin, operacin, monitoreo y supervisin de los servicios, considerando los requerimientos del sistema de gestin del documental de PHI IT. Registra requerimientos en cuanto a solicitud de cambios, reportes y atencin de incidentes, as como consultas con relacin al estado de la seguridad. Realizar reportes automticos con la herramienta del centro de operaciones de seguridad (SOC) al detectarse un incidente de seguridad. Despus de esto se deber notificar inmediatamente al personal asignado por PHI IT sobre el incidente, mediante llamada telefnica, E-Mail o SMS.

2.1.4. Interaccin con las otras reas de la empresa El rea de redes se encuentra dentro del departamento NOC & SOC que junto con las dems reas tienen como objetivo en comn garantizar la satisfaccin de los clientes ofreciendo productos y servicios integrales de la ms alta calidad, mediante tecnologas innovadoras, dicho departamento cuenta con un help desk que atiende las necesidades tanto de clientes como de la empresa, observe la Figura 4 -Interaccin con otras reas.

Figura 4 -Interaccin con otras reas.

2.1.5. Funciones y ubicacin del residente Implementacin y configuracin de equipos de seguridad FortiGate 100, FontiAnalyzer 100 A, en red corporativa de PHI y NetEnforcer AC-1400 en Data Center, as como implementacin de herramientas de monitoreo de red en algunos switches cisco dentro del Data Center de clientes y de la empresa con el fin de tener control del trfico de la red en tiempo real, dentro de PHI y Data Center. El proyecto se estar realizando en el rea de redes dentro del departamento del NOC & SOC ubicado dentro de la empresa PHI-IT S.A. de C.V.

2.2. Antecedentes y definicin del problema. Todo el personal de PHI accede a pginas web no autorizadas por la empresa ni relacionadas con el desarrollo de su trabajo, lo cual trae consigo una saturacin de trfico en la red, provocando que la red se vuelva lenta en su modo de operatividad y de poco rendimiento a sus labores. Adems de que con el acceso a estas pginas restringidas por la empresa como lo es el caso de facebook, ares, mensajera instantnea, etc., se puede filtran muchas amenazas en la red con lo que se tiene poca confidencialidad en la informacin que circula por la red. Por otro lado PHI cuenta con un Data Center en el cual se tiene contratado un ancho de banda de 10 MB por el proveedor de servicios alestra y se necesita segmentar para que el trfico que circule tenga diferentes vas de entrada y no sea solo un segmento el que consuma todo el ancho de banda evitando el poco rendimiento para los dems.

2.3. Objetivos. 2.3.1. Objetivo general. Tener un control de acceso a pginas web no autorizadas por la empresa, teniendo monitoreada la red interna de PHI en tiempo real a travs de dispositivos de seguridad como lo es FortiGate 100, FortiAnalyzer 100A y segmentar el ancho de banda en Data Center a travs del equipo NetEnforcer AC-1400 de acuerdo a la norma ISO/IEC 27001:2005 basado en seguridad de la informacin. 2.3.2. Objetivos especficos. 1. Implementacin y configuracin de equipo de seguridad FortiGate 100 en la red corporativa de PHI.
10

2. Implementacin y configuracin de equipo FortiAnalyzer 100A en red corporativa de PHI. 3. Implementacin y configuracin de equipo NetEnforcer AC-1400 en Data Center. 4. Aplicacin de polticas de control de acceso a los equipos de seguridad. 5. Elaboracin de manuales de usuario de los equipos FortiGate 100, FortiAnalyzer 100A. 6. Monitorizacin del trfico de la red en tiempo real. 7. Segmentacin de ancho de banda en Data Center. 8. Implementacin de herramientas de monitoreo en algunos switches de clientes y de la empresa dentro del Data Center 9. Generacin de documentacin del rea de redes de acuerdo a la norma ISO/IEC 27001:2005 basada en seguridad de la informacin. 10. Seguimiento a la norma ISO/IEC 27001:2005.

2.4. Justificacin Actualmente la empresa se encuentra en la implementacin de la norma ISO/IEC 27001:2005, basada en seguridad de la informacin, requerimiento de esta norma es la implementacin de equipos de seguridad en la red corporativa de PHI ya que estos son de gran importancia pues gracias a estos equipos se tendr ms seguridad en la red, esto con el fin de mejorar la comunicacin interna de la red corporativa del grupo PHI-IT y del Data Center, as como el control del trfico hacia internet. Se implementarn herramientas de monitoreo que permitan obtener reportes ms confiables de la disponibilidad de los servicios, con esto los clientes se vern beneficiados ya que se tendr un monitoreo preciso de servicios, indicando el momento de que algn servicio falle o deje de funcionar para atenderlo rpidamente y no se vea afectado el cliente en sus actividades. Con la segmentacin de la red y la instalacin de equipos de seguridad se tendr un control en la entrada/salida de la informacin a travs de la red. Se espera que con la implementacin de estos equipos se tenga mayor seguridad en la red adems de evitar l saturacin de trfico en l salida hacia internet en la red corporativa del grupo PHI-IT y Data Center.
11

2.5. Alcances y limitaciones 2.5.1. Alcances La implementacin del equipos de seguridad FortiGate 100 y FortiAnalyzer sern implementado dentro de la red interna de PHI para el monitoreo de trfico de la red en tiempo real, aplicando polticas de seguridad o listas de acceso conforme a la implementacin de la norma ISO/IEC 27001:2005, cubriendo as con los requerimientos planteados por la empresa y el departamento de redes. Implementacin de herramientas de monitorizacin soportadas en algunos switches dentro del data center tanto de clientes como de la misma empresa. Durante la realizacin del proyecto la empresa PHI-IT S.A de C.V. se beneficiar y as podr brindar un mejor servicio a sus clientes quienes son una pieza fundamental en la empresa, quienes de cierta forma se beneficiarn de la misma manera. Se realizara la configuracin del equipo NetEnforcer AC-1400 en el centro de datos de la misma empresa en un modo de operatividad bsica, requerimiento establecido por el departamento de redes. 2.5.2. Limitaciones El tiempo es el principal limitante ya que para la realizacin de algunas actividades es necesario trabajar en conjunto con las entidades involucradas. Las cuales pueden retrasar los tiempos por causas externas. Los recursos econmicos, son muy importantes debido a que algunas actividades dependen de la aprobacin de presupuesto, para la expansin de licencia de los equipos. Se requiere dar una capacitacin a los usuarios finales para que sepan el funcionamiento de los equipos, por lo que es necesario dedicar un poco ms de tiempo para esta actividad, incluso fuera de las horas laborales. Se tendr que depender de otras reas para la realizacin y aprobacin de configuraciones del mismo, considerando adaptarse de igual forma al tiempo de respuesta en las solicitudes realizadas a cada una de las reas involucradas.

12

CAPITULO 3 MARCO TERICO 3.1. ISO/IEC 27001:2005 El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques Information security management systems Requirements) fue aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization y por la comisin International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin. Beneficios de esta norma El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organizacin: Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su informacin es primordial. Verifica independientemente que los riesgos de la organizacin estn correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de proteccin de la informacin. Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin.

Creacin de polticas de seguridad conforme a seguridad de redes Ttulo de la poltica: Filtrado de contenido Objetivo: Establecer los criterios bajo los cuales se regir el filtrado de contenido. Propsito: Definir los criterios y caractersticas del filtrado de contenido. mbito de aplicacin: Este criterio aplica al rea de NOC & SOC encargada de la administracin e implementacin del filtrado de contenido.

13

Descripcin de poltica. La solucin de Filtrado de Contenido se regir bajo los siguientes enunciados: 1. Se requiere que la solucin de filtrado de contenido sea implementado por medio de un sistema tipo appliance, que deber ser instalado e implantado en el enlace de salida a Internet. El Sistema de Filtrado de Contenido deber ser soportada por un dispositivo appliance que soporte de manera conjunta como mximo a otro de los componentes o tales como: firewall, IDS/IPS, antispam, antivirus. Debern existir la documentacin para que configure las polticas de filtrado de contenido La actualizacin automtica de pginas en Internet que representen riesgos de seguridad, deber operar de manera automtica mximo cinco minutos despus de su descubrimiento Las pginas detectadas cuyo contenido represente riesgos a la seguridad debern ser agregadas automticamente a la lista de URLs, de manera inmediata y automtica despus de haber sido detectadas. Al detectar un sitio infectado con cdigos mviles maliciosos o el nombre y la URL utilizada en ataques de phishing, ataques fraudulentos u otros ataques maliciosos, deber notificar a la gerencia de soporte tcnico con detalles del ataque y con las medidas que llevar a cabo para detener su propagacin. El responsable del SOC a travs de su herramienta, y bajo un programa autorizado por la gerencia general, deber realizar bsquedas regulares de los servidores Web para efectuar un hackeo tico no intrusivo sobre las vulnerabilidades y posibles amenazas, a travs de un portal basado en Web que proporcione informes de niveles de riesgo, impacto y acciones recomendadas para que la gerencia general pueda tomar medidas correctivas. Las pruebas estarn alineadas al estndar OSSTMM (Open Souce Security Testing Methodology Manual), definido por el ISECOM (Institute for Security and Open Methodologies). Se permitir la reclasificacin manual de cualquier pgina Web segn las necesidades de PHI IT, es decir permitir que ciertas pginas puedan ser accedidas en cualquier momento aunque pertenezcan a categoras bloqueadas. La configuracin permitir el bloqueo de pginas que pertenezcan a categoras definidas, pero cuya URL posea ciertas palabras-clave. Asimismo se permitir el acceso a pginas de ciertas categoras,
14

2.

3.

4.

5.

6.

7.

8.

9.

bloqueando el intento de ciertos tipos de archivo (tales como video, audio, archivos comprimidos, ejecutables, documentos, etc.) desde dichas pginas. 10. Los tipos de archivos permitirn que se personalicen por el tipo de extensin del mismo, as como la creacin de nuevos tipos de archivos, aunque no sean comnmente encontrados en Internet. 11. Se deber permitir la definicin de polticas por IP, rangos de IPs, usuarios y grupos. 12. Se deber reconocer de forma transparente a los usuarios de las siguientes maneras: Usuarios de Dominios NT. Usuarios de Active Directory.

13. Permitir la definicin de una poltica general, aplicable para los usuarios que no tengan una poltica especfica asignada. 14. Se deber permitir contar con diferentes tipos de bloqueo por horarios del da y das de la semana para cualquiera de las polticas que defina PHI IT. 15. Se deber permitir la definicin de ventanas en distintos tiempo para grupos de usuarios diferentes, para usuarios especficos y para los usuarios generales. 16. Cada vez que un usuario intente acceder a una pgina bloqueada, se deber exhibir una pgina HTML personalizable. 17. Mediante una pgina HTML personalizable, se pedir la confirmacin del usuario cada vez que se requiera usar su cuota de tiempo para navegar hacia cualquier pgina que pertenezca a una categora que haya sido definida como permitida con el uso de las cuotas de tiempo. Una vez que se haga la confirmacin, se exhibir a travs de una pgina HTML personalizable el trmino de responsabilidad. 18. Se enviar una alerta administrativa por E-Mail, MIB II, o SNMP, en los casos en que haya una cierta cantidad (configurable) de accesos a pginas de las categoras deseadas durante el da. 19. Se deber permitir la definicin de polticas en las cuales ciertos usuarios puedan usar o no sistemas de mensajera instantnea; y ciertos usuarios al poder usarlos, al intentar enviar o recibir cualquier archivo adjunto, debern ser bloqueados.
15

20. Se deber permitir el uso del producto sin integrarse a ningn tipo de Gateway, sin actuar como proxy, es decir, que el filtrado de contenido deber operar en modo bridge transparente. 21. Se deber soportar el filtrado de protocolos no-HTTP basado en listas de protocolos, de acuerdo a los siguientes escenarios: Tener la capacidad de identificar y bloquear protocolos maliciosos. Identificar Gusanos generados a travs del puerto 25 (SMTP) y otro tipo de trfico malicioso. Identificar redes zombis o redes BOTS, y bloquear el trfico que stas generen. Identificar y bloquear el trfico que generen Spyware, addware, MMC, etc. Tener la capacidad de detectar el trfico de esos protocolos directamente desde la red, en capa 2 del Modelo TCP/IP.

3.2. Fortinet 3.2.1. Qu es Fortinet? Fortinet es una empresa privada estadounidense, situada en Sunnyvale (California), que se dedica especialmente al diseo y fabricacin de componentes y dispositivos de seguridad de redes (firewalls, UTM.). La compaa que fue fundada en el ao 2000 por Ken Xie y desde entonces ha tenido una gran proyeccin en el mundo de la seguridad de las comunicaciones. Actualmente es la marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint. FortiGate produce una amplia gama de dispositivos para la proteccin de redes: FortiGate-50B, FortiGate-60B, FortiGate-100A, FortiGate-200A, FortiGate-300A, FortiGate-310B, FortiGate-400A, FortiGate-500A, FortiGate800, FortiGate-1000A, FortiGate-3600A, FortiGate-3810A, FortiGate-3016B y FortiGate-5000 series.

16

3.2.2. Comparacin de equipos Fortinet con otros equipos

Figura 5 -Comparacin de equipos.

3.3. FORTIGATE 100 3.3.1. Qu es FortiGate 100? FortiGate es un corta fuegos basado en hardware con funciones de antivirus que proporciona proteccin a la red en tiempo real, basado en el revolucionario chip FortiASIC de Fortinet, el sistema FortiGate es el nico sistema que puede detectar y eliminar virus, gusanos y otras amenazas basadas en contenido, sin afectar al rendimiento de la red, incluso para aplicaciones en tiempo real como la navegacin web. Las soluciones de FortiGate tambin incluyen firewall, filtrado de contenido, VPN, deteccin y prevencin de intrusos y gestor de trfico, haciendo de FortiGate la ms rentable, conveniente, potente y segura de las soluciones de seguridad de red disponibles. Este hardware, es ideal para pequeas empresas, oficinas remotas, tiendas de venta al por menor, etc. tiene las mejores caractersticas de su clase en cuanto a su velocidad y a sus prestaciones. El FortiGate-100 se mantiene actualizado automticamente gracias a la red FortiProtect de Fortinet que proporciona continuas actualizaciones que aseguran la proteccin contra los ltimos virus, gusanos, troyanos, intrusiones y otras amenazas a cualquier hora y en cualquier lugar. FortiASIC El procesador FortiASIC es un componente de la tecnologa de hardware FortiGate, ofrece un alto rendimiento de red. Estos procesadores trabajan con el fin de acelerar los procesadores de red a nivel de las aplicaciones y funciones de seguridad.

17

FortiASIC tambin proporciona la aceleracin necesaria para la obtener un alto rendimiento para alcanzar capacidades multi-amenaza de seguridad. La plataforma FortiGate est basada en el sistema operativo FortiOS, el cual es propietario y robustecido especialmente, diseado especficamente para la seguridad de las redes.

Figura 6 -FortiASIC.

La red es usualmente la parte ms insegura de una organizacin. Por consiguiente, se deben desarrollar polticas de seguridad para poder prevenir cualquier acceso no autorizado a la misma como pueden ser hackers o usuarios de la misma red que no deberan tener acceso a ciertos recursos del sistema. Estas polticas deben ser ms exigentes sobre todo si dicha organizacin cuenta con un acceso a alguna red pblica, como puede ser Internet.

3.4. FORTIANALYZER 3.4.1. Qu es FortiAnalyzer? Unidades FortiAnalyzer son dispositivos de red que proporcionan informacin slida, datos el anlisis y la integracin de herramientas de recopilacin de registro. Los informes detallados de registro proporcionan histrica as como el anlisis actual de trfico de la red, como correo electrnico, FTP y actividad de navegacin web, para ayudar a identificar problemas de seguridad y reducir el mal uso de la red y abuso. Caractersticas La unidad FortiAnalyzer recibe archivos de registro de mltiples FortiGate y dispositivos. Usando las capacidades robustas de la unidad FortiAnalyzer de presentacin de informes, se puede controlar el trfico, ataques y malos usos de los usuarios de la red.

18

Registro de los anlisis e informes analiza los registros presentados desde mltiples dispositivos y generar una variedad de informes que le permite asegurar de forma proactiva las redes como amenazas surgen, evite el abuso de red, gestionar los requisitos de ancho de banda, supervisar las visitas de sitios web, y garantizar el uso adecuado de la red. Informes de la vulnerabilidad estos Informes muestran las debilidades potenciales de vulnerabilidad a los ataques que puedan existir para un dispositivo seleccionado. Las consultas de la unidad FortiAnalyzer para los puertos abiertos, y donde posiblemente, recoge informacin sobre los servicios que se ejecutan. La unidad FortiAnalyzer proporciona caractersticas de minera de datos que le permite fcilmente acceder a los informes simples para obtener informacin sobre los intentos de intrusin en su red, as como los tipos de trfico que ocurren en la red.

3.5. Herramientas de monitoreo 3.5.1. Qu son las herramientas de monitoreo? Cuando se habla de gestin y monitoreo de redes de computadores se est haciendo referencia a dos conceptos diferentes. La gestin define el control de los recursos en una red con el fin de evitar que esta llegue a funcionar incorrectamente degradando sus prestaciones. El monitoreo define un proceso continuo de recoleccin y anlisis de datos con el fin de anticipar problemas en la red. As, los sistemas de gestin y monitoreo de redes permiten controlar los recursos hardware y software en una red a partir de un monitoreo peridico a los mismos. Un sistema de gestin y monitoreo de redes est diseado para ver la red entera como una arquitectura unificada con direcciones y etiquetas asignadas a cada punto y con atributos especficos en cada elemento y enlace del sistema conocidos. Algunos elementos involucrados en la administracin de red son: Objetos: son los elementos de ms bajo nivel y constituyen los aparatos administrados. Agentes: un programa o conjunto de programas que colecciona informacin de administracin del sistema en un nodo o elemento de la
19

red. El agente genera el grado de administracin apropiado para ese nivel y transmite informacin al administrador central de la red acerca de: Notificacin de problemas. Datos de diagnstico. Identificador del nodo. Caractersticas del nodo. Administrador del sistema: Es un conjunto de programas ubicados en un punto central al cual se dirigen los mensajes que requieren accin o que contienen informacin solicitada por el administrador al agente. 3.5.2. Solarwinds Es una plataforma integral de gestin del rendimiento que permite a los usuarios ver estadsticas histricas y en tiempo real, y la disponibilidad de las redes con cualquier navegador web. Solarwinds supervisa, recoge y analiza datos de routers, switches, firewall, servidores y otros dispositivos para proporcionar a los ingenieros de redes una visin general del estado de las redes. Los diversos mdulos de solarwinds amplan sus capacidades de gestin para cubrir los datos de trfico NetFlow, el rendimiento de las aplicaciones y los servidores, Voz a travs de IP y los dispositivos inalmbricos. Caractersticas de Solarwinds
CARACTERSTICAS QUE CUMPLE Monitoreo comprensivo Genera informacin Monitoreo proactivo y en tiempo real Monitoreo visual Soporte de Netflow y sFlows Visibilidad de toda la solucin Visualizacin de informacin histrica Generacin de reportes de estado Soporte de envi de eventos Generacin de informacin para anlisis Solucin de almacenamiento distribuida Coleccin de mtricas en SI LO CUMPLE Si Si si Si SI Si Si Si si si si si 20 NO LO CUMPLE

tiempo real Sistemas de aletas avanzado

si
Tabla 1 -Solarwinds.

3.6. Protocolo Es un conjunto de reglas usadas por computadoras para comunicarse unas con otras a travs de una red. Un protocolo es una regla o estndar que controla o permite la comunicacin en su forma ms simple, puede ser definido como las reglas que dominan la sintaxis, semntica y sincronizacin de la comunicacin. Los protocolos pueden ser implementados por hardware, software, o una combinacin de ambos. A su ms bajo nivel, un protocolo define el comportamiento de una conexin de hardware. 3.6.1. Tipos de protocolo
FTP HTTP NFS POP3 IMAP4 TCP/IP SSL S-HTTP ICMP SNMP SMTP NTTP

3.6.2. Protocolo SNMP El Protocolo Simple de Administracin de Red o SNMP es un protocolo de la capa de aplicacin que facilita el intercambio de informacin de administracin entre dispositivos de red. Permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y planear su crecimiento. En los RFC 1441 a 1452 se defini una versin mejorada del SNMP (SNMPv2) que se volvi un estndar en Internet. Componentes de la arquitectura SNMP

Gestores (NMSs) Agentes (nodos administrados)


21

MIB (base de datos con informacin) SMI (administracin de la base de datos) protocolos (rdenes)

Gestores (NMSs) El principio de funcionamiento reside, por consiguiente, en el intercambio de informacin de gestin entre nodos gestores y nodos gestionados. Habitualmente, los agentes mantienen en cada dispositivo gestionado informacin acerca de su estado y su configuracin. El gestor pide al agente, a travs del protocolo SNMP, que realice determinadas operaciones con estos datos de gestin, gracias a las cuales podr conocer el estado del recurso y podr influir en su comportamiento. Cuando se produce alguna situacin anmala en un recurso gestionado, los agentes, sin necesidad de ser invocados por el gestor, emiten los denominados eventos o notificaciones que son enviados a un gestor para que el sistema de gestin pueda actuar en consecuencia. El gestor SNMP puede lanzar cualquiera de estos tres comandos sobre un agente SNMP:

Get. Una peticin por el valor especfico de un objeto en la MIB del agente. Este comando es utilizado por el gestor para monitorizar los dispositivos a gestionar. Get-next. Una peticin por un valor en el siguiente objeto en la MIB del agente. Este comando es utilizado para obtener cada valor sucesivo en un subconjunto o rama de la MIB. Set. Utilizado para cambiar el valor de un objeto en la MIB de un agente, en el caso de que el objeto tenga habilitada la lectura y escritura de su valor. Debido a la limitada seguridad de SNMP, la mayora de los objetos de la MIB slo tienen acceso de lectura. Este comando es utilizado por el gestor para controlar los dispositivos a gestionar.

Agentes (nodos administrados) Los nodos administrados pueden ser hosts, routers, puentes, impresoras u otros dispositivos. Para ser administrado directamente por SNMP, un nodo debe ser capaz de ejecutar un proceso de administracin SNMP, llamado agente SNMP. Cada agente mantiene una base de datos local de variables que describen su estado e historia y que afectan a su operacin.

22

La administracin de la red se hace desde estaciones administradoras, que son equipos con un software de administracin especial. La estacin administradora contiene uno o ms procesos que se comunican con los agentes a travs de la red, emitiendo comandos y recibiendo respuestas.

Utilizacin de MIB La Base de Informacin para Gestin (Management Information Base o MIB) es un tipo de base de datos que contiene informacin jerrquica, estructurada en forma de rbol, de todos los dispositivos gestionados en una red de comunicaciones. Parte de la gestin de red. Define las variables usadas por el protocolo SNMP para supervisar y controlar los componentes de una red. Est compuesta por una serie de objetos que representan los dispositivos (como enrutadores y conmutadores) en la red. Cada objeto manejado en un MIB tiene un identificador de objeto nico e incluye el tipo de objeto (tal como contador, secuencia o indicador), el nivel de acceso (tal como lectura y escritura), restricciones de tamao, y la informacin del rango del objeto. Debido a que la informacin no es esttica, esta debe estar estructurada de forma tal que sea fcil extender y revisar antiguas tecnologas y a su vez aadir nuevas tecnologas. Se basa en el uso de un mtodo consistente en la definicin de nombres de las diferentes variables a ser utilizadas. Una estructura de rbol cumple con los tres requisitos antes mencionados y recibe el nombre de Estructura de Informacin de Administracin (SMI). El SMI est dividido en tres partes: Definiciones de modulo. Utilizadas para describir los mdulos de informacin. Se usa para llevar consistentemente la semntica de un mdulo de informacin. Definiciones de Objeto. Se utilizan para describir los objetos manejados y para llevar consistentemente la semntica de un objeto. Definiciones de Notificacin. Se usan al describir transmisiones de informacin de direccin y para llevar consistentemente la sintaxis de una notificacin. SNMP se puede implementar usando comunicaciones UDP o TCP, pero por norma general, se suelen usar comunicaciones UDP en la mayora de los
23

casos. Con UDP, el protocolo SNMP se implementa utilizando los puertos 161 y 162. Puerto 161 se utiliza para las transmisiones normales de comando SNMP Puerto 162 se utiliza para los mensajes de tipo trap o interrupcin. 3.6.2.1. Versiones del protocolo SNMP Las versiones actuales aprobadas por la IETF (Internet Engineering Task Force) son tres: SNMP Versin 1 (SNMPv1): Est definido en RFC 1157. La seguridad en esta versin est basada en comunidad, la cual no son nada ms que contraseas, texto plano que permite a cualquier aplicacin basada en SNMP obtener acceso a la informacin del dispositivo administrable, hay bsicamente 3 comunidades en SNMPv1, solo lectura, lectura-escritura y trap. SNMP Versin 2 (SNMPv2): Es a menudo referido para trabajar basado en comunidad, est referenciado mediante RFC 1905, 1906 y 1907, es un experimento de la IETF aunque a pesar de ser experimental, algunos vendedores han empezado a emplearlo en la prctica. SNMP Versin 3 (SNMPv3): Esta nueva versin agrega soporte para fuertes autenticaciones y comunicaciones privadas entre entidades administrables. 3.6.3. Protocolo ICMP Protocolo de Mensajes de Control de Internet o ICMP (por sus siglas de Internet Control Message Protocol) es el sub protocolo de control y notificacin de errores del Protocolo de Internet (IP). Como tal, se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no est disponible o que un router o host no puede ser localizado. ICMP difiere del propsito de TCP y UDP ya que generalmente no se utiliza directamente por las aplicaciones de usuario en la red. La nica excepcin es la herramienta ping y traceroute, que envan mensajes de peticin Echo ICMP (y recibe mensajes de respuesta Echo) para determinar si un host est disponible, el tiempo que le toma a los paquetes en ir y regresar a ese host y cantidad de hosts por los que pasa. 3.6.3.1. Ping Packet Internet Groper es una herramienta de administracin de redes, una de las herramientas ms simples ya que todo lo que hace es enviar paquetes para verificar si un equipo remoto est respondiendo y si es accesible a travs de la red.
24

La herramienta ping permite de esta manera diagnosticar la conectividad a la red mediante un comando un ejemplo de ello es la Figura 7-ping.

Figura 7 -Ping.

3.6.4. NetFlow NetFlow es un protocolo de red, desarrollado por Cisco Systems para recolectar informacin sobre trfico IP. Netflow se ha convertido en un estndar de la industria para monitorizacin de trfico de red, y actualmente se est soportado para varias plataformas adems de Cisco IOS y NXOS Orgenes Esta tecnologa fue desarrollada y patentada por CISCO IOS en 1996, es ahora la principal tecnologa de monitoreo de trfico en la red Beneficios de NetFlow Monitoreo de la Red: con tcnicas de anlisis de flujo Monitoreo de Aplicaciones: para planificar, entender nuevos servicios, y distribuir recursos y aplicaciones en la red Monitoreo de Usuarios: para revisar de forma efectiva la utilizacin de los recursos por parte de los usuarios. Planificacin de la Red: para anticiparse a los crecimientos de la red, ya sea en dispositivos, puertos y ancho de banda Anlisis de seguridad: con el fin de detectar anomalas en el trfico de la red. Almacenamiento de los Datos Netflow: para futuros anlisis.

25

Hardware que soportan NetFlow

Figura 8 -Hardware cisco.

3.7. NetEnforcer AC- 1400 3.7.1. Qu es el NetEnforcer? Es un dispositivo de optimizacin de banda ancha que recoge las estadsticas de trfico de la red y puede poner en prctica la calidad del servicio por aplicacin y por suscriptor. Las estadsticas de trfico se recogen con el fin de proporcionar datos en tiempo real y de largo plazo sobre la red. Adems de la recopilacin de informacin detallada sobre el trfico de paso, NetEnforcer tambin puede dar forma a ese trfico mediante estadstica y grfica, la aplicacin de parmetros de calidad de servicio que han sido previamente definidos por el usuario. Caractersticas Firewall de nivel 7 Control de conexiones Limitacin de conexiones por regla Asignacin de ancho de banda por conexin Proteccin del data center / proteccin de DoS Control de DDoS y trafico malicioso (NetDeflector) Control de P2P Control de aplicaciones Gestin de ancho de banda (QoS) Gestin de servicios, control de trfico virtual
26

Accounting and Billing. Diferencias de los equipos allot contra sus competidores Puerto de gestin independiente que otorga seguridad tras una DMZ esto tiene mayor seguridad ya que los puertos de trfico no tienen direccin IP y por lo tanto son transparentes para la red y para ataques de DoS. El rendimiento del equipo no se degrada en funcin del nmero de flujos que atraviesan el equipo. Gestin de ancho de banda independiente en cada sentido de la comunicacin. Interfaz web basada en java, ms rpida y verstil que la interfaz http. Permite hacer un zoom de la informacin que puede ser desde muy detallada hasta muy personalizada. Capacidad de planificacin de informes automticos por dispositivo, aplicacin, usuario, grupo de aplicaciones en mltiples equipos, etc. Capacidad de enviar dichos informes de forma automtica al administrador de la red de forma peridica. Capacidad de monitorizacin de histricos de varias semanas, varios meses y varios aos, segn se requiera. Capacidad de saber las conversaciones entre mltiples usuarios Capacidad de generar informes de aplicaciones y usuarios en la misma vista

27

CAPITULO 4 DESARROLLO DEL PROYECTO 4.1. Configuracin e implementacin de equipo de seguridad FortiGate 4.1.1. Reconocimiento del equipo de seguridad El equipo de seguridad FortiGate 100 es un corta fuegos basado en hardware con funciones de Antivirus que proporciona proteccin a la red en tiempo real. En la Figura 9 -Frontal se muestra la parte frontal del equipo, posteriormente en la Figura 10 -Trasera se muestra la parte trasera del equipo mostrndose los puertos utilizados.

Figura 9 -Frontal.

Figura 10 -Trasera.

4.1.2. Estado de los leds El estado de los leds en la parte frontal mostrada anteriormente en la Figura 9 - Frontal indican el status de operacin del equipo, es importante conocer cada uno de los indicadores y su funcin lo cual ayuda en la verificacin y deteccin de fallas en el equipo, vase en la Tabla 2 -Estado de los leds.
28

LED Power

Estado Verde Apagado

Status

Verde Intermitente Verde Apagado Verde

Descripcin El FortiGate est encendido y operando. El FortiGate no cuenta con alimentacin elctrica. La operatividad del equipo es total. El equipo est funcionando de manera normal. El equipo ha sido apagado. Se est utilizando el cable correcto y el equipo conectado en el otro extremo tambin esta encendido. Las interfaces presentan actividad.

Internal External DMZ

Verde Intermitente (Frente) Apagado

No se ha establecido una conexin con algn otro dispositivo.


Tabla 2 -Estado de los leds.

4.1.3. Conexiones Como se mencion anteriormente las conexiones del FortiGate 100 no se utilizan del todo, la conexin DMZ debe estar sin uso, las dems conexiones deben de estar ocupadas y en completo funcionamiento, observe el modo de conexin presentada en la Tabla 3 - Conexin.

Conector Internal External DMZ Consol

Tipo RJ-45 RJ-45 RJ-45 DB-9

Velocidad 10/100 Base-T 10/100 Base-T 10/100 Base-T 9600 Bps

Protocolo Ethernet Ethernet Ethernet RS-232

Descripcin Conexin a la red interna Conexin hacia Internet Conexin opcional a la red u otros FortiGate. Conexin opcional de configuracin provee acceso a la consola de administracin Tabla 3 -Conexin.

29

4.1.4. Ubicacin y propsito del equipo en la red El equipo FortiGate 100 est ubicado en la frontera de la red local antes del modem que proporciona salida a internet del proveedor de servicios Infinitum. En la Figura 11 -Ubicacin del FortiGate se observa la conexin que se ocup dentro de la instalacin de la red, la interfaz external est conectada directamente al modem de Infinitum modelo EchoLife HG520c y la interfaz internal est conectada al puerto X del switch cisco catalyst 3560 dentro de la vlan X. Cuenta con una IP de configuracin X, la cual es accesible desde cualquier punto de la red interna.

Figura 11 -Ubicacin del FortiGate.

Como se puede observar en la Figura 11 -Ubicacin del FortiGate el dispositivo est en modo transparente y as debe de estar configurado para su correcto funcionamiento y trabajo con los dems equipos de la red. Ms adelante se explica cmo realizar esta configuracin. El equipo proporciona filtrado de informacin y aplicacin de polticas de seguridad adems de listas de acceso a usuarios conectados a la red, lo anterior con la ayuda de direcciones ip asignadas a cada uno de los usuarios existentes en la empresa. Con esto se asegura el buen uso del ancho de banda adems de que los usuarios no podrn acceder a recursos en internet que no son competentes a sus intereses laborales. 4.1.5. Conexin con el administrador web Realizada la conexin del equipo de seguridad en la frontera hacia internet mostrado en la Figura 11 -Ubicacin del FortiGate, se realiz la configuracin del equipo para ello se requiri de una computadora con una conexin ethernet, que contara con microsoft Internet explorer versin 6.0 o superior. Se conect la interfaz interna del FortiGate a la computadora a travs de un cable ethernet R-J45 y se inicializ el navegador en el que se escribi la direccin https://192.168.1.99, que es la direccin predeterminada del
30

FortiGate 100 con mscara de 255.255.255.0 para la interfaz del puerto interno, en el cual se configuraron los puertos para el uso de la red, al ingresar la ip configurada al equipo en la URL se observ la Figura 12 -Login en el cual se deber ingresar el usuario admin que es el usuario por default, inicialmente este usuario no cuenta con password de autentificacin.

Figura 12 -Login.

Si el navegador no muestra ninguna pgina para la configuracin del equipo FortiGate 100 se debe de conectar un cable de consola a una computadora una vez conectado el equipo a la consola se debe de ejecutar el cliente de Hyperterminal encontrado en: Inicio > Programas > Accesorios > Comunicaciones > Hyperterminal. Nueva Conexin: FortiGate 100. Conectar Usando: COM1 (dependiendo del puerto de la maquina). Dicha terminal se debe configurar como se observa en La Figura 13 Hyperterminal.

Figura 13 -Hyperterminal.

31

Se muestra una consola a base de lnea de comandos donde se sigui la siguiente secuencia mostrada en la Figura 14 -Consola, para la configuracin de la ip de administracin e interfaz interna del equipo.

Figura 14 -Consola.

4.1.6. Interfaz Grfica Una vez accedido a la pgina de configuracin del equipo mostrada en la Figura 15 -Interfaz grfica, muestra el status general del equipo es importante lograr entender dicha informacin para la revisin y deteccin de fallas en el dispositivo.

Figura 15 -Interfaz grfica.

En la parte inferior izquierda de la pgina se observa el rendimiento del equipo en cuanto a memoria y uso de la CPU.

32

Los indicadores no deben de apuntar a la zona marcada en rojo de lo contrario se est sobrepasando la capacidad del dispositivo en la operacin indicando que se debern de tomar medidas de precaucin como restablecer el sistema, observe la Figura 16 -Indicadores.

Figura 16 -Indicadores.

En la parte derecha de la pgina observe los mensajes de alerta del equipo mostrado en la Figura 17 -Alertas, cada uno de ellos ayudan a establecer que est sucediendo, en el equipo, si el internet se muestra intermitente en la red o si estn fallando las listas de acceso o polticas de seguridad. En la imagen solo muestra los reinicios del equipo lo cual no es normal en ningn escenario, el equipo fue diseado para estar el 100% del tiempo operativo.

Figura 17 -Alertas.

4.1.7. Configuracin 4.1.7.1. Configuracin de Interfaces La configuracin de interfaces hace referencia a los puertos conectados en este caso se realiz la configuracin del puerto external e internal. Para lo cual se sigui la siguiente ruta system > network > interface> create new, donde se ingres el nombre de la interfaz, seleccionando el administrador de acceso que se van a tener por esa interfaz, apply, ok, en la Figura 18 -Interfaz se muestra el proceso descrito.

33

Figura 18 -Interfaz.

4.1.7.2. Configuracin de DNS Se prosigui a configurar los DNS en la cual se sigui la siguiente ruta system > network > options, en esta opcin se pidi ingresar 2 DNS (consultarlos con el departamento de redes) y posteriormente se dio clic en apply, grficamente no se permiti la configuracin, por lo cual la realizacin de esta configuracin se hizo a travs de lnea de comandos ingresando los siguientes, vase la Figura 19 -DNS.

Figura 19 -DNS.

4.1.7.3. Configuracin de Gateway La configuracin del gateway por defecto se realiza con la finalidad de dar al equipo la puerta de enlace para tener salida hacia internet, ir a system > network > routing table > en el cual se ingresa el gateway X y seleccione ok, en este apartado no es necesario ingresar la IP ya que esto se realiza ms adelante, vea Figura 20 -Gateway.

34

Figura 20 -Gateway.

4.1.7.4. Configuracin del equipo en modo transparente Este apartado muestra las opciones configurables as como el modo de operacin que puede ser Transparente o NAT. Para este caso se eligi transparente y se configuro la ip de administracin, esta ip va ser con la cual se podr conectar a travs de internet al equipo y la mscara de subred, para ello se sigui la siguiente secuencia system > config > operation > apply, pero al mostrarse algunos errores de configuracin se decidi realizarse a travs de lnea de comandos ingresando los mostrados en la Figura 21 -IP de administracin.

Figura 21 -IP de administracin.

4.1.7.5. Establezca la contrasea de Administrador De acuerdo a la implementacin de la norma ISO/IEC 27001:2005 basa en seguridad de la informacin establece que todo equipo, aplicacin, u otros servicios debern contar con una clave de seguridad o password que no ponga en peligro la integridad de informacin, para proporcionar seguridad en el acceso a este equipo se estableci un password de administrador para evitar que nadie acceda al equipo y pueda cambiar opciones de configuracin. Esta parte se realiz en system > admin > administrator > seleccionamos change password e introducimos un password, ok, la configuracin se realiz como se observa en la Figura 22 -Password.
35

Figura 22 -Password.

4.1.7.6. Registro de Usuario En esta parte se comenz con la restriccin de los accesos que se tendrn para los usuarios del grupo PHI para denegarle u otorgarle permisos de accesos, por lo cual se ingresaron las IP o rangos de IPs asignadas a los usuarios. Dentro de la pgina inicial se sigui la ruta firewall > address, mostrndose un men en la parte derecha de la pantalla en la cual se ingresaron las direcciones ip de los usuarios a los que se desea restringir. Se elabor un documento anexo en Excel en donde se encuentra el inventario completo de las ips en uso, dicho documento por polticas de seguridad de la empresa e implementacin de la norma ISO/IEC 27001:2005 basado en Sistema de Gestin de Seguridad de la Informacin no es anexado en este reporte. Para ingresar una direccin nueva damos clic en create new, mostrada en la Figura 23 -Address.

Figura 23 -Address.

Se despliega un formulario donde se ingresaron los datos de la direccin, los datos requeridos son, el nombre que puede servir como referencia, el tipo (solo utilizar el mostrado en la imagen), la direccin especfica y la mscara
36

con los 4 octetos para hacer referencia solo a esa ip, y seleccionando any para la interfaz, presentados en la Figura 24 -Ip.

Figura 24 -Ip.

4.1.7.7. Registros por grupo Est compuesto por un conjunto de direcciones ip, la finalidad de registrar direcciones ip de usuarios y crear grupos es tener dentro del sistema a todos los usuarios que van a ser restringidos de alguna manera, para la realizacin de grupos se llev a cabo en la pestaa anexa despus de address, dando clic en create new, desplegando un formulario interactivo, como el que muestra la Figura 25 -Group.

Figura 25 -Group.

Dentro del men interactivo se estableci el nombre del grupo (establecer un nombre significativo nos ayudara como referencia), en la parte superior se muestran las direcciones ip disponibles que son todas las creadas en el apartado anterior en la Figura 24 -Ip, nicamente se seleccionaron las ips que van a formar parte del grupo y dndole clic en la flecha que se encuentra hacia abajo, se observ que la direccin ip pasa al segundo recuadro llamado miembros formando as parte de este grupo, si requerimos excluirlas del grupo de igual manera se interacta con la flecha que se muestra hacia arriba, realizada la creacin de grupos seleccionando ok.
37

La empresa ha establecido dentro de las labores del residente crear diferentes grupos y listas de accesos para otorgar o denegar permisos a distintos rangos de IP, como por ejemplo un grupo de usuarios que tengan permiso de todas las pginas y descargas este grupo est conformado por personas autorizadas por la gerencia general, tambin se creara un grupo de descargas donde los usuarios solo tendrn permiso de descargar de las paginas autorizadas y no bloqueadas ms adelante se hablara del bloqueo de estas pginas y un tercer grupo donde el usuario podr acceder a todas las paginas pero no podr descargar nada, entre otras labores ms asignadas. Despus de la creacin de los grupos se mostraron como se indica en la Figura 26 -Grupos.

Figura 26 -Grupos.

4.1.7.8. Creacin de proteccin-profile Un proteccin profile es el conjunto de restricciones que se aplican dentro de alguna poltica estas restricciones aplican a diferentes aplicaciones y protocolos. Creado los grupos en la figura 26 -Grupos, se explica cmo crear un profile para establecer los accesos a cada rango de IPs o direcciones especficas, en la cual se sigui la siguiente ruta firewall > proteccin profile, al dar clic en create new nuevamente se desplego un formulario donde en la primera parte se otorg el nombre al proteccin profile y un breve comentario para hacer referencia a l, como nos muestra la Figura 27 -Profile.

38

Figura 27 -Profile.

Anti-Virus El antivirus es una herramienta cuyo objetivo es detectar y eliminar virus informticos. Establecido el nombre y comentario se procedi con el primer apartado el cual se refiere al antivirus, la revisin contra virus se realiza internamente dentro de la unidas FortiGate, la bsqueda de virus se realiza segn la base de datos del dispositivo y las opciones que se proporciona para configurar, se refieren a donde se quiere que se haga la revisin de virus o mejor dicho en que protocolo HTTP (Pginas Web), FTP (descarga de archivos), POP3 (recepcin de correo), SMTP (envi de correo), son los que ms inters se tienen para la configuracin del FortiGate. Habilitando las opciones correspondientes para la revisin de virus requeridos as como el filtrado de archivos, observe la Figura 28 -Antivirus.

Figura 28 -Antivirus.

Como se puede observar en la Figura 28 -Antivirus en la opcin oversized file/e-mail fue bloqueado para que no permita ninguna descarga que exceda a 1 MB, en la parte de file filter se eligi la opcin de builtin-patterns es el nombre asignado a la configuracin de
39

extensiones a bloquear cuando se requiera realizar una descarga, esta parte se explica a detalle ms adelante. Web Filtering El web filtering es la herramienta del FortiGate que permite bloquear pginas de internet ya sea por URL (direccin de la pgina o nombre) o por el contenido de palabras que se establezcan, tambin se aplica un bloqueo a los contenidos de las pginas que a su vez dependen de aplicaciones como pueden ser controles activex (juegos online), filtrado de cookies (pginas de correo o formularios), applets de Java (juegos y aplicaciones web) y URLs invalidas (paginas no validas). La creacin de este profile en especfico permitir solo pginas, para la cual se ha establecido la configuracin mostrada en la Figura 29 -Web Filtering.

Figura 29 -Web Filtering.

Antes de continuar con la configuracin del proteccin profile se configuro el filtrado de contenido por palabra y el filtrado por URLs, por lo que momentneamente se dej la configuracin actual dando clic en ok para guardar los cambios realizados hasta el momento. Una vez hecho lo anterior regresamos al men principal en la parte izquierda en web filter > content block> create new, de igual manera como en configuraciones anteriores se pide un nombre de referencia, se establecen las palabras que van a ser motivo de que la pagina no se muestre dando clic en create new para agregar nuevas palabras, aparece un nuevo formulario donde se indica la palabra a bloquear, el tipo (regularmente siempre utilizar wildcard para un bloque estricto), se elige el lenguaje (referido a ubicacin solamente se utiliza western) y por ltimo el score, este apartado es importante ya que determinara segn el conteo de las palabras encontradas si se muestra o no la
40

pgina. La configuracin predeterminada mostrada en la Figura 30 Bloqueo por palabra indica que la palabra sexo tiene una puntuacin de 10 no importa cuntas veces aparezca. Ms adelante se establece algo llamado treshold que es la puntuacin total admitida, por ejemplo se agrega otra palabra como porno con una puntuacin de 15 y se configura el treshold en 20, si alguien quiere entrar a una pgina que contiene las palabras sexo y porno al mismo tiempo rebasara el treshold y no se mostrara, para mayor referencia observe la Figura 30 -Bloqueo por palabra.

Figura 30 -Bloqueo por palabra.

Cuando se termin la agregacin de palabras se guardaron las configuraciones, si se desea eliminar una palabra nicamente se da clic en el botn de eliminar, de igual manera se observan los distintos perfiles de bloqueo de contenido y pueden ser eliminarlos mediante el mismo botn observado en la Figura 31 -Palabra.

Figura 31 -Palabra.

Realizado el bloqueo por palabra se procedi a configurar la restriccin por URL el cual ayuda al bloqueo de pginas mediante el nombre de la pgina o la URL completo. Siguiendo la ruta indicada, web filter > URL filter > create new, pidi ingresar un nombre para la lista y una breve descripcin indicado en la Figura 32 -URL.
41

Figura 32 -URL

Se despliego una lista vaca la cual se llen dando clic en el botn create new que despliega un formulario en donde se ingres la extensin completa URL o el nombre de la pgina a bloquear, la sintaxis de la pgina puede variar los ejemplos pueden ser: www.microsoft.com / microsoft / microsoft.com Es importante saber que si se agrega un * antes del nombre de la pgina bloqueara todo lo anterior y adems el nombre de la pgina por ejemplo *.messengerfx.com Bloquear tambin www1.messengerfx.com www2.messengerfx.com www3.messengerfx.com Y todas sus derivadas. Si se agrega el * despus del nombre de la pgina por ejemplo www.mercadolibre.* Bloquear tambin www.mercadolibre.com.mx www.mercadolibre.com.es www.mercadolibre.com.us , etc. Se ingres la informacin requerida en el formulario como fue, type que ser siempre simple, la accin ser block para habilitar el bloqueo como se muestra en la Figura 33 -Bloqueo por URL .
42

Figura 33 -Bloqueo por URL.

Las pginas bloqueadas tambin se observan mientras se agregan otras pginas ms a la lista, como se muestra en la Figura 34 -Bloqueos generales, una vez que se encontr completa la lista se da clic en ok para terminar, cabe resaltar que las pginas bloqueadas en este apartado fueron conforme a una lista otorgada por la gerencia general de PHI.

Figura 34 -Bloqueos generales.

Terminada la configuracin del web content block como el URL filter se procedi a terminar de configurar el protection profile. Para regresar al proteccin profile que se estaba creando y ms especficamente al web filtering donde se qued pendiente la configuracin simplemente se regres al men principal firewall > protection profile > seleccionando el creado y en la hoja marcada con un pequeo lpiz se da clic para editar y modificar el protection profile. Habilitndose las opciones correspondientes observadas en la imagen de abajo, observe que en la parte derecha aparece un rubro llamado option adems de unos mens de eleccin debajo de l, si no se ha creado ningn web content block solamente mostrara la opcin de None -, en este caso se habilito la opcin NONE con esta opcin se

43

estar indicando que acepten todos el trfico de la interfaz externa a la interna. La siguiente opcin para la configuracin es el web URL filter en el cual se ha seleccionado el creado anteriormente para aplicar la restriccin a pginas deseada, de igual forma en esta parte no se realizaron restriccin de nada para que acepte todo dejando en NONE como se muestro anteriormente en la Figura -29 Web Filtering. Spam Filtering La siguiente opcin no es profundamente configurada ya que es la opcin de spam dentro del correo electrnico, sobre todo porque este es analizado por el antivirus interno de la empresa y administrado por un servidor interno, nicamente se activaron las opciones de spam submission en los protocolos utilizados, observe la Figura 35 -Spam Filtering.

Figura 35 -Spam Filtering.

IPS Esta herramienta permite bloquear aplicaciones especficas dentro del equipo de seguridad FortiGate 100 el ejemplo para utilizarlo ser bloqueando una aplicacin altamente utilizada y que es de alto riesgo para la estabilidad y seguridad de la red: Ares, el cual es un programa P2P utilizado para descargar msica y archivos. Dentro del men que aparece en el protection profile se eligi un IP sensor ya creado, se recomienda elegir siempre all-default-pass, una vez seleccionado se guard temporalmente el protection profile dando clic en ok. Para configurar el IP sensor seleccionado observe la Figura 36 -IPS. Con esto se termin la configuracin de protection profile que ms adelante en la aplicacin de polticas se utilizara.

44

Figura 36 -IPS.

Los IPS sensor ya vienen por default en la unidad FortiGate solo se deben de editar esta herramienta se encuentra en el men principal intrusion protection > IPS Sensor, mostrado en la Figura 37 -IPS sensor.

Figura 37 -IPS sensor.

Sin embargo aqu no se crear uno nuevo simplemente se configura uno ya existente el cual es el all-default-pass, dando clic en el smbolo de editar para editar las propiedades del mismo, donde se abri una ventana de configuracin alterna, la cual es indicada en la Figura 38Figura.

Figura 38 -Figura.

Al dar clic sobre el icono editar, se despliega la informacin a editar, en este momento todas las aplicaciones estn permitidas, sin embargo se
45

aadi un filtro nuevo dando clic en add pre-defined override, donde pide aadir una aplicacin ya registrada dentro del FortiGate 100 (si se quiere aadir una aplicacin personalizada se debe de dar clic en Add custom override), vase la Figura 39 -add custom override.

Figura 39 -add custom override.

Esto muestra un formulario en el cual se debe seleccionar la aplicacin a bloquear, como nos indica la Figura 40-Formulario.

Figura 40 -Formulario.

Muestra en pantalla una ventana con un nmero importante de aplicaciones y protocolos registrados que pueden ser bloqueados, en este caso se seleccion la aplicacin P2P Ares, vase la Figura 41Bloqueo de ares.

Figura 41 -Bloqueo de ares.

46

Terminado finalmente de llenar el formulario correspondiente segn corresponde para no permitir la aplicacin dar clic en ok, es importante mencionar que se puede agregar ips con excepcin a este bloqueo en la parte inferior sin embargo por naturaleza de la aplicacin no habr excepciones en este filtro, observe la Figura 42 -Excepcin de filtro.

Figura 42 -Excepcin de filtro.

Aparecer el override ya creado en el cual se especific el bloqueo de bloquear ares, observe la Figura 43 -Formulario.

Figura 43 -Formulario.

Lo siguiente fue agregar un filtro para poder bloquear la aplicacin, se da clic en add filter, como indica la Figura 44 -Add Filter.

Figura 44 -Add Filter.

Despliega una ventana donde se habilitaron exactamente los datos que nos aparecan en el catlogo de aplicaciones, en la parte de protocol excluimos todos los protocolos excepto el de la aplicacin en este caso ser P2P (seguir la Figura 45 -P2P como gua), una vez concluido dar clic en ok como nos muestra la Figura 46 -Figura.
47

Figura 45 -P2P.

Figura 46 -Figura.

Aparece entonces el filtro del ares el cual se debe colocar antes del filtro predeterminado, dando clic en el botn arriba/abajo mostrado en la Figura 47 -Ubicacin del filtro, aparecer una ventana para ingresar el numero donde se requiere ubicar el filtro. Como se requiere que el filtro se aplique antes del predeterminado se debe ingresar el nmero 1 indicado en la Figura 48 -Posicin del filtro.

Figura 47 -Ubicacin del filtro.

Figura 48 -Posicin del filtro.

Se puede observar en la Figura 49 -Nueva ubicacin que el lugar del filtro ha cambiado por lo que tendr preferencia el bloqueo de ares a el
48

paso normal de las aplicaciones. Una vez hecho esto se guarda la configuracin damos clic en ok, terminada la configuracin.

Figura 49 -Nueva ubicacin.

4.1.7.9. Creacin de polticas de uso La determinacin del uso de polticas de seguridad de red debe proteger las redes, riesgos y prdidas asociadas con recursos de red y seguridad. Las polticas de seguridad de red tienen la responsabilidad de encontrar una reputacin as como responsabilidad potencial. Las polticas de seguridad de red y la seguridad constituyen un riesgo por lo que se debe de determinar junto con las opciones configuradas la correcta aplicacin a los usuarios y al flujo de datos. La creacin de polticas se llev a cabo en el men principal firewall > policy > create new, observe la Figura 50 -Creacin de poltica, dentro de este men se encontraron 2 tipo de polticas Externa > Internal e Internal > External en este ejemplo solamente se mostrara el funcionamiento y configuracin de la segunda poltica ya que es el tipo de poltica aplicada a los usuarios de la red internan de PHI. Es de gran importancia mencionar que la aplicacin de estas polticas se establecieron de acuerdo a las polticas creadas conforme a la documentacin establecida a la norma ISO/IEC 27001:2005 determinadas como primera etapa del desarrollo del proyecto y citadas en los archivos anexos a la carpeta POLTICAS DE SEGURIDAD del departamento de redes con claves, filtrado de contenido PHIiT-N&C-DIR-006 , firewall PHIiT-N&C-DIR-005, antivirus y antispam perimetral PHIiT-N&C-DIR-008, sistema de deteccin y prevencin de intrusos PHIiT-N&C-DIR-007, etc.

49

Figura 50 -Creacin de poltica.

En la creacin de la poltica observada en la Figura 50 -Creacin de poltica se establecer la interfaz de origen de la poltica en este caso por ser de adentro hacia afuera se eligi internal, source address hace referencia a la direccin IP o rangos de IPs a la cual se le aplicara la poltica o grupo de usuarios (se eligi el grupo creado con anterioridad), en la parte derecha se puede observar un botn llamado mltiple en el cual se eligi grupo de IPs para aplicarles la poltica, destination Interface indica que el destino de la informacin ser externo, schedule, service y action sern predeterminados, en protection profile elegimos la poltica que requerimos aplicar a dicho rango de IPs. Una vez creada las polticas es importante saber la forma de operar de las mismas, ya que si se tiene la poltica predeterminada que en la imagen es la ultima la cual no tiene ningn tipo de filtro activado con mayor prioridad, es decir en primer lugar, ninguna de las polticas creadas aun si estn habilitadas se van a aplicar, las polticas deben estar ordenadas de menor a mayor proteccin y la predeterminada siempre debe de estar en ltimo lugar para las direcciones nuevas en la red. Se debe asegurar que estn habilitadas y operando, ordenamos nuestras polticas de acuerdo a prioridades dando clic en el botn arriba/abajo donde apareci un men para mover la poltica antes o despus de alguna otra guindonos en el ID de la poltica un ejemplo de esto es la Figura 47 -Posicin del filtro, observe la Figura 51 -Polticas.

Figura 51 -Polticas.

50

Una vez hecho esto est concluida la configuracin inicial y bsica del equipo de seguridad FortiGate 100, para la creacin de grupos de IPS de accesos y bloqueo, as como la creacin de protection profile requeridos por el departamento de redes, entre algunas cosas ms configuradas en el quipo las cuales no se detallan en este reporte. 4.1.7.10. Interaccin con equipo de seguridad FortiAnalyzer 100 A Configurado el equipo de seguridad FortiGate 100 se asign una direccin IP con la cual se comunicara remotamente con el equipo de seguridad FortiAnalyzer 100A para que funcione como un analizador de trfico de la red esta configuracin se llev a cabo en la parte principal del men en logs & reports > log config > log setting > seleccionando la unidad FortiAnalyzer e indicndole que tipo de informacin ser enviada as como la direccin IP esttica del equipo FortiAnalyzer 100 A y el puerto que le permitir tener esta salida, observe la Figura 52 -Conexin FortiAnalyzer.

Figura 52 -Conexin FortiAnalyzer.

4.1.7.11. Backup & Restore Realizada la configuracin se realiza una copia de seguridad del equipo, en system > maintenace > backup & restore > backup> local PC > indicando una contrasea > clic en backup. Restore> para carga una copia de seguridad > local PC > examine el backup a cargar > ingrese password si es que tiene > clic en restore, vea la Figura 53 Backup & Restore.

51

Figura 53 -Backup & Restore.

4.2. Configuracin e implementacin del equipo FortiAnalyzer 100A 4.2.1. Reconocimiento del equipo de seguridad En la Figura 54 -Frontal FortiAnalyzer muestra el estado del equipo y sus leds, vea tambin la parte trasera del equipo en la Figura 55 -FortiAnalyzer que muestra las conexiones.

Figura 54 -Frontal FortiAnalyzer.

Figura 55 -FortiAnalyzer.

52

4.2.2. Ubicacin del equipo El equipo FortiAnalyzer por cuestin de espacio en el site se encuentra ubicado dentro del departamento NOC de la empresa conectado a travs de un switch cisco al puerto X, un bosquejo de ello es la Figura 56 -Ubicacin del Analyzer.

Figura 56 -Ubicacin del Analyzer.

4.2.3. Conexin con el administrador web Realizada la conexin del equipo FortiAnalyzer 100 A, se dio inicio con la configuracin de la unidad, para ello se requiri de una computadora con una conexin ethernet con microsoft Internet explorer versin 6.0 o superior, y un cable Ethernet. Se conect la interfaz interna del FortiAnalyzer a la computadora a travs de un cable ethernet R-J45 y se inici el navegador escribiendo la direccin https://192.168.1.99 en la URL, esta direccin IP es la predeterminada de los equipos Fortinet con mscara de 255.255.255.0 para la interfaz del puerto 1, se configura este puerto para el uso de la red, al ingresar la ip configurada al equipo en la URL se mostr la Figura 57 -Login en la cual se ingresa el usuario admin que es el usuario por default, inicialmente este usuario no tiene password.

Figura 57 -Login.

53

4.2.4. Interfaz Grfica Observe la Figura 58 -Interfaz de FortiAnalyzer, es la pantalla principal del equipo el cual hasta el momento no cuenta con ninguna configuracin.

Figura 58 -Interfaz de FortiAnalyzer.

4.2.5. Configuracin 4.2.5.1. Configuracin de Interfaces Primeramente se llev a cabo la configuracin de la interfaz, solo se realizara la configuracin de la interfaz del puerto 1 que corresponde a la direccin IP con la cuan se tendr comunicacin con el quipo para este procedimiento se ingresaron las siguientes lneas de comandos mostrado en la Figura 59 -Editar puertos.

Figura 59 -Editar puertos.

4.2.5.2. Configuracin de DNS Para la configuracin de los DNS primario y secundario de direcciones IP se llev acabo la configuracin a travs de las siguientes lneas de comando mostrado en la Figura 60 -DNS Analyzer.

54

Figura 60 -DNS Analyzer.

4.2.5.3. Configuracin de Gateway Lo siguiente es la configuracin de la puerta de enlace predeterminada con la que el equipo tiene salida asa internet para lo cual se ingresaron las siguientes lneas de comandos mostradas en la Figura 61 -Gateway Analyzer.

Figura 61 -Gateway Analyzer.

4.2.5.4. Configuracin de password Por defecto, el usuario administrador no cuenta con un password de autentificacin. Para restringir el acceso a la unida FortiAnalyzer se configuro una contrasea para la cuenta del usuario administrador para darle un poco ms de restriccin a este acceso y que ninguna otra persona pueda entrar a modificar configuraciones existentes en el equipo, para esta accin se ingresaron los comandos siguientes mostrados en la Figura 62 -Password Analyzer.

Figura 62 -Password Analyzer.

4.2.5.5. Conexiones en tiempo real Para el monitoreo de ips conectadas al equipo y el administrador poderlas desconectar desde otro equipo diferente solo basta ir en system > admin > monitor > seleccionando la ip a la que quiere desconectar del equipo y oprimiendo el botn disconnet, observe la Figura 63 -Conexin en tiempo real.
55

Figura 63 -Conexin en tiempo real.

4.2.5.6. Unidad central Este apartado hace referencia a la agregacin de registros de ms unidades FortiAnalyzer para llegar a una unidad central, este no es el caso ya que PHI solo cuanta con 1 unidad que es la central. Para la configuracin de esta unidad como central, se sigui la siguiente ruta de configuracin system > config > log aggregation > oprimir el botn Enable log aggregation TO remote FortiAnalyzer > donde se ingres la ip del FortiAnalyzer correspondiente > y el password configurado, como lo indica la Figura 64 -Unidad Central.

Figura 64 -Unidad Central.

4.2.5.7. Agregacin de un administrador de dominio Un ADOM puede incluir varios dispositivos que puede acceder a informacin, como registros, alertas, y cambiar las configuraciones de los dispositivos de su ADOM de acuerdo con su perfil de acceso. Para agregar el equipo FortiGate a un ADOM se sigui la secuencia device > all > add device. En esta parte se puede apreciar los dispositivos conectados y pertenecientes al ADOM en el equipo FortiAnalyzer, vea la Figura 65 -Dispositivos.

Figura 65 -Dispositivos.

56

4.2.6. Reports 4.2.6.1. Vista de reportes generados Este apartado muestra una vista general de todos los reportes generados ejecutado en la unidad FortiAnalyzer, la cual cuanta con una serie de campos, como lo son eliminar reporte, editar, refrescar, y seleccionar el tipo de dispositivo del cual se requiere el reporte, observe la Figura 66 -Reportes Generados y la Figura 67 -Contenido de reporte.

Figura 66 -Reportes Generados.

Figura 67 -Contenido de reporte.

4.2.6.2. Generar nuevo reporte Se program una serie de reporte solicitados por el departamento de redes para conocer la actividad que realizan a diario algunas IPs en especficas, para generar un nuevo reporte o alerta se tuvo que programar el siguiente apartado en la seccin report > schedule > crate new, observado en la Figura 68 -Nuevo reporte.
57

Figura 68 -Nuevo reporte.

4.2.6.3. Alertas de eventos Proporcionar un mtodo de informar problemas que surgen en una unidad FortiGate de la red o la unidad FortiAnalyzer, como fallas del sistema o ataques, lo que le permite reaccionar de manera oportuna para el evento. En este apartado se programaron alertas de informes de ataques internos de los usuarios programados. Para lo cual tiene que ir a event > alert event > create new, en este apartado se ingresan los datos siguientes mostrados en la Figura 69 -Alerta de eventos. Nombre de la alerta El dispositivo al que se le programa la alerta Seleccionar el trigger de lo que se incluir en la alerta Puede generar texto, genere el tiempo de alerta (inmediato). Se ingres el correo a quien se le enva la alerta (departamento de redes) y se aadi add. - Se indic el tipo de gravedad de la alerta. -

58

Figura 69 -Alerta de eventos.

4.2.6.4. Creacin de un servidor de E-mail La creacin de un servidor de e-mail permite recibir informes de reportes creados mostrados en la Figura 68 -Nuevo reporte, para la creacin de un servidor de e-mail y poder mantenerse informado de forma oportuna de los eventos de las unidades, fue la creacin de un servidor de e-mail, esta configuracin se realiz en alert > output > mail server > create new, ingresando el nombre del servidor, marcando la casilla de autentificacin e ingresando la direccin de correo. En la Figura 70 -Servidor de e-mail se puede apreciar el servidor creado.

Figura 70 -Servidor de e-mail.

4.2.6.5. Configuracin de SNMP Access list Configurar el servidor de SNMP en la unidad FortiAnalyzer enva traps SNMP al encontrar una alerta. Ir alert > output > SNMP access list > create new > ingresas el nombre > Ingresar la IP del servidor > ok, observe la Figura 71 Servidor SNMP.

59

Figura 71 -Servidor SNMP.

4.2.7. Monitoreo en tiempo real La unidad FortiAnalyzer puede verlos registros de dispositivos en tiempo real, lo que le permite ver los eventos y el trfico que ocurre en un dispositivo como es el caso. Para tener una visualizacin del trfico que circula por la red debe seguir los siguientes pasos: Log > log viewer > real-time, mostrados en la Figura 72 Monitoreo. En este apartado se puede seleccionar el o los dispositivos que se desean monitorear y la informacin que se desea visualizar de cada uno de ellos, un ejemplo de ello es bloqueo de las polticas aplicadas a diferentes rangos de IPs en la unidad FortiGate 100.

Figura 72 -Monitoreo.

Observe por partes el trfico eligiendo algunos campos por ejemplo en device > FortiGate-100 > log types > web filter. Estos campos proporcionaran una vista general de las pagina filtradas y obviamente bloqueadas por el equipo FortiGate, mostrando algunos campos de informacin, poltica aplicada, el mensaje que indica que asido bloqueada, la URL bloqueada, etc., observe la Figura 73 -Informacin de bloqueo.
60

Figura 73 -Informacin de bloqueo.

Con esta informacin el departamento de redes se puede dar cuenta de que personas intentan violar las polticas de control de acceso de seguridad de la empresa, aplicando diferentes sanciones de acuerdo al motivo que lo demande, adems de que paginas visitan y si es en relacin a su trabajo laboral o no.

4.3. Configuracin de Herramientas de Monitoreo De acuerdo a la implementacin de la norma ISO/IEC 27001:2005 se establece que la seguridad de la informacin de la empresa es primordial y debido a esto se debe de tener un monitoreo sobre el flujo de trfico y eventos realizados en la red, para lo cual se establecen herramientas y protocolos de monitorizacin. Para configurar algunas herramientas de monitoreo que muestren estadsticas del flujo de trfico se realizar la configuracin del protocolo SNMP y NetFlow, en algunos switches ubicados en el Centro de Datos en especial a los del cliente potencial que es X. Por implementacin de la norma ISO/IEC 27001:2005 basado en Sistema de Gestin de Seguridad de la Informacin presentada en este informe no se mostrara muy a detalle la implementacin de estos protocolos ya que es informacin confidencial del cliente. Primeramente se llev a cabo la conexin al switch cisco catalyst 6504 a travs de putty que es un emulador de terminal, un programa que permite conectar con mquinas remotas y ejecutar programas a distancia, se conecta como cliente a mltiples protocolos en la parte sombreada de la Figura 74 Putty se ingres la direccin del switch, indicando una conexin SSH, e indicando el puerto, como se observa en la Figura 74 -Putty y la Figura 75 Conectividad SSH.
61

Figura 74 -Putty.

Figura 75 -Conectividad SSH.

Se configura la interfaz para la vlan X con NetFlow, el cual se llev a cabo mediante la lnea de comandos mostrados en la Figura 76 -Comandos NetFlow.

Figura 76 -Comandos NetFlow.

Realizada la configuracin del protocolo NetFlow se sigui a realizar la configuracin del protocolo SNMP al mismo switch cisco catalyst 6504, dentro de la configuracin SSH en consola se ingresaron los siguientes comandos mostrados en la figura 77- SNMP

62

Figura 77 -SNMP.

Se configur una IP a la vlan para poder administrar el equipo remotamente, vea la Figura 78 -IP de vlan.

Figura 78 -IP de vlan.

Esta casi todo listo para el monitoreo solo falta el agente SNMP en el switch, este protocolo se configura con el comando mostrado en la Figura 79 Configuracin de SNMP.

Figura 79 -Configuracin de SNMP.

Terminada la configuracin se procede a realizar un show run mostrado en la Figura 80 -verificacin de configuracin, para verificar que los datos ingresados se hayan configurado correctamente en el switch.

63

Figura 80 -Verificacin de configuracin.

Realizada la configuracin de estos protocolos y configurada la IP de administracin se observa el monitoreo, estadsticas y flujo de trfico del switch configurado, analizando un chequeo del funcionamiento de los protocolos implementados e ingresemos la IP de administracin a travs del URL que nos conectara a la aplicacin solarwinds configurada en la empresa, observe la Figura 81 -Solarwinds.

Figura 81 -Solarwinds.

Para verificar que el protocolo implementado se configuro de manera adecuada en la parte principal se muestra una barra llamada NetFlow, en esta parte indica la configuracin del protocolo implementado, vase la Figura 82 verificacin de configuracin 2.
64

Figura 82 -Verificacin de configuracin 2.

Este proceso se sigui para la implementacin del monitoreo en otros switches de clientes como de la empresa, los cuales de acuerdo a polticas de la empresa y sobre todo por la implementacin de la norma ISO/IEC 27001:2005 actualmente en la empresa, no se permite visualizar un monitoreo de todos los procesos y servicios que ofrece PHI-IT al cliente.

4.4.

Configuracin e implementacin de equipo AC- 1400 en Data Center 4.4.1. Reconocimiento del equipo En la Figura 83 -Frontal allot y Figura 84 -Frontal allot Bypass se muestra un panorama del panel frontal del equipo.

Figura 83 -Frontal allot.

Figura 84 -Frontal allot Bypass.

65

4.4.2. Descripcin de los leds En la Tabla 4 -Estado de los leds allot se presenta una breve descripcin del estado que se tiene de cada led para ver su correcto funcionamiento.

Nombre System

PS1

PS2

Descripcin Muestra el estado actual del sistema. Si el indicador aparece verde constante, NetEnforcer est funcionando normalmente, si parpadea en rojo, un error fatal ha ocurrido. Indica el estado de una fuente de alimentacin. Si el indicador aparece verde constante, la fuente de alimentacin est funcionando normalmente, si el led est apagado, significa que la fuente de alimentacin est funcionando mal. Indica el estado de la fuente de alimentacin dos. Si el indicador led aparece verde constante, la fuente de alimentacin est funcionando normalmente, si el led est apagado, significa que la fuente de alimentacin est funcionando mal.
Tabla 4 -Estado de los leds allot.

4.4.3. Conexiones La Tabla 5 -Conexiones allot, Indican la funcionalidad de cada conexin del equipo.

Nombre Console MGMNT

SERVICES 1-4 Bypass

Descripcin Puerto de consola(conector RJ-45),el puerto serial RS232 se implementa como una conexin RJ-45 Es el sistema de "puerto de administracin con una interfaz Ethernet (RJ-45) y deben ser utilizado para el monitoreo y mantenimiento del sistema. Este puerto permite la conexin a dispositivos externos de gestin. Son cuatro puertos de cobre que pueden ser utilizados para el trfico asimtrico. Tambin pueden ser utilizados para redirigir o reflejar el trfico a servicios externos. Slo debe utilizarse para conectar el NetEnforcer a la unidad especial.
Tabla 5 -Conexiones allot.

66

4.4.3.1. Cables utilizados Algunos de los cables utilizados para la conexin del equipo NetEnforcer con el switch y el router se describen en la Tabla 6 -Cables utilizados.

Nombre R-J45 R-J45 R-J45 D-Type 9-Pin R-J45

conector Administrador del puerto Puerto de consola Bypass ( Internal / External ) NetEnforcer Bypass Connector to Bypass Unit Entre Bypass y la unida Internal / External para la red.
Tabla 6 -Cables utilizados.

4.4.4. Conexin con el administrador Ingresando el administrador de configuracin a travs de la URL para segmentar el ancho de banda requerido por la empresa, se deber ingresar con el usuario y contrasea respectivas como indica la Figura 85 Autentificacin allot, mostrando la interfaz grfica en la Figura 86 -Interfaz allot.

Figura 85 -Autentificacin allot.

67

Figura 86 -Interfaz allot.

4.4.5.

Segmentacin de Bandwidth

4.4.5.1. QoS El Catlogo de QoS contiene entradas que son valores posibles para la calidad de la accin de servicio para poder segmentar el ancho de banda, la segmentacin se realiza conforme a requerimientos planteados por la empresa. Realizada la investigacin del funcionamiento del equipo como primera etapa se cre una lnea esta lnea es por donde ingresa todo el ancho de banda del proveedor de servicios de internet en este caso alestra, se sigui la siguiente ruta de configuracin quality of service > create new line enhanced QoS y all se establecen los valores representados en la Figura 87 -Total de Bandwidth. 1.- Para esta primera divisin la configuracin est indicada para que acepte los 10 MB de internet proporcionados por el proveedor de servicios en este caso Alestra este segmento que es el mayor ancho de banda se le otorgo el mximo de prioridad.

Figura 87 -Total de Bandwidth.

68

2.- A partir de la creacin de la lnea presentado en la en la Figura 87 -Total de Bandwidth, se llev a cabo la segmentacin de ancho de banda conforme a prioridades establecidas por la empresa. La segmentacin de la lnea se llama pipe o tubos ests pipes son la gua que seguir cada segmento de ancho de banda. El primer segmento o creacin de pipe se llev a cabo para X que se le otorg un ancho de banda de 4 MB esta segmentacin se configuro en la parte izquierda de la pantalla principal en quality of service > create new pipe enhanced QoS mostrados en la Figura 88 Primer segmento, en esta parte se le asignaron algunos valores lo cual va a indicar el tamao del segmento y sealando el circulo de priority (besteffort). Este mismo proceso fue configurado para la creacin de un segundo segmento (pipe) para Y que de igual forma se le asignaron 4 MB para uso de ancho de banda siguiendo la misma ruta indicada en este mismo paso.

Figura 88 -Primer segmento.

3.- Una tercera y ltima etapa fue la segmentacin de una nueva pipe diseada para los usuarios Z donde se les otorgo un ancho de banda de los 2 MB restantes, para la configuracin de esta ltima pipe se sigui la misma ruta de configuracin planteada en el paso 2 planteado arriba, observe la Figura 89 Segundo segmento.

69

Figura 89 -Segundo segmento.

Terminada la segmentacin del ancho de banda se deber mostrar la lnea segmentada como se indica en la Figura 90 -Segmentacin.

Figura 90 -Segmentacin.

4.4.5.2. Host Para ingresar la direccin IP o el grupo de direcciones que van a pertenecer a un segmento y poderles aplicar listas de acceso o polticas de seguridad se sigui la siguiente ruta de configuracin, en la pantalla principal en calogs > host > new host list, se le asign un nombre, una descripcin, se ingres un rango de IPs y seleccionamos add, en esta parte se seleccion un rango especifico que conformaran el grupo al que se aplica el acceso, observe la Figura 91 -Host.

70

Figura 91 -Host.

4.4.5.3. Servicios Proporciona una lista de todos los servicios que ofrece el equipo y que pueden incluirse en los accesos, observe la Figura 92 -Servicios, algunos de estos servicios fueron creados conforme a requerimientos del departamento de redes, otros servicios ms es la aplicacin de protocolos observados en la Figura 93 Protocolo.

Figura 92 -Servicios.

71

Figura 93 -Protocolo.

4.4.6. Listas de acceso Se sigui con la creacin de polticas de seguridad para el segmento Z, creando un canal virtual de acceso dentro de la pipe de 2 MB para el grupo Ip_comercializacin perteneciente a la empresa GROUP PHI, observe la Figura 94 -Lista de acceso.

Figura 94 -Lista de acceso.

72

CAPITULO 5 ANLISIS Y RESULTADOS Los resultados fueron alcanzados en su totalidad, aunque hubo actividades que se retrasaron un poco, se pudieron finalizar con xito, debido a que se dependa de otras reas y su personal involucrado, para la aprobacin y realizacin del mismo, cumpliendo as con el objetivo general del proyecto y los objetivos especficos, antes planteados en el captulo 2 seccin 2.3; la implementacin y configuracin de los equipos de seguridad fueron satisfactoriamente configurados, presentando un gran beneficio en la empresa debido a que con la aplicacin de polticas de seguridad, herramientas de monitoreo y segmentacin de ancho de banda, se pudo tener un control sobre el acceso a pginas no permitidas por la empresa que a su vez, la implementacin de estos equipos en la red de PHI se vieron reflejados en el rendimiento laboral de los empleados de la empresa. Por otra parte la documentacin realizada en base a la implementacin de la norma ISO/IEC 27001:2005, fue de gran ayuda adems de que dicha informacin documental fue aprobada cumpliendo con un requisito de implementacin de la norma. En cuanto a las configuraciones de monitoreo de los switches, inicialmente se aplicaron a todos los ubicados dentro del Data Center, pero por rdenes ajenas al rea se retomaron como inicialmente se tenan, algunas de las configuraciones de los equipos y switch. Algunos de los resultados obtenidos se pueden observar en la Figura 95 Configuracin de switch cisco catalyst 6504, Figura 96 -Configuracin de equipos, Figura 97 -Monitoreo en tiempo real, que por cuestiones de privacidad de la empresa no fue aprobada la extraccin total de informacin en este reporte, ms que la que se detalla en el mismo.

Figura 95 -Configuracin de switchcisco catalyst 6504.

73

Figura 96 -Configuracin de equipos.

Figura 97 -Monitoreo en tiempo real.

CONCLUSIONES Con los resultados obtenidos a la implementacin de equipos de seguridad se alcanza apreciar la gran importancia que se tiene de ellos en base a la ayuda y al rendimiento laboral que puede resultar con los mismos dentro de una empresa. Con la implementacin de estos equipos de seguridad y herramientas de monitoreo se tendr un gran beneficio ya que se generaran reportes detallados de eventualidades requeridas antes por la empresa y los clientes en el momento que ellos dispongan. Despus de haber desarrollado el proyecto de residencia se tiene en mente lo importante que fue esta ltima fase a lo largo de la carrera, ya que aparte de reforzar y poner en prctica los conocimientos y habilidades adquiridas anteriormente, tambin se adquirieron otros conocimientos que no se tenan, y que sin lugar a dudas apoyan nuestra formacin profesional, la residencia nos ayuda a tener una formacin ms profesional e interactuar directamente con el mbito laboral.
74

En lo particular estoy satisfecha por este logro, ya que se concluy el proyecto con los resultados esperados atendiendo los requerimientos planteados por la empresa, con holgura en tiempos pero as mismo cumpliendo con los objetivos especficos del desarrollo de proyecto. A lo largo del desarrollo del proyecto se utilizaron diferentes formas de cmo realizar ciertas configuraciones, ya que pueden ser realizadas por lnea de comandos o por la interfaz grfica de los equipos Fortinet, segn se requiera o se facilite. Tambin pude observar la relacin que existe entre las distintas reas y la forma en cmo funcionan, ya que para poder realizar una solicitud a otra rea se realiza un proceso de solicitud donde esta tiene que ser aprobada, es por ello que los tiempos tuvieron que ser ajustados, ya que se dependa de otras reas involucradas. Con la instalacin de los equipos de seguridad, ahora se tiene control sobre lo que viaja atreves de la red, protegida de amenazas externas e internas. Sobre todo porque haba mucha vulnerabilidad de seguridad en la red corporativa de PHI-IT y centro de datos.

REFERENCIAS BIBLIOGRFICAS (28 de Abril de 2012). Recuperado el 02 de Mayo de 2012, de http://es.wikipedia.org/wiki/PuTTY (20 de Febrero de 2012). Recuperado el 27 de Abril de 2012, de http://es.wikipedia.org/wiki/Secure_Shell Gutirrez Cavalcanti, A. (28 de Julio de 2008). Recuperado el 11 de Abril de 2012, de http://puntointegro.blogspot.mx/2008/07/aprenda-configurar-snmpen-un-switch.html Humberto Rodrigez, J. (s.f.). Recuperado el 10 de Abril de 2012, de http://www.bibliociencias.cu/gsdl/collect/eventos/archives/HASH010e.dir/doc.p df Martinez, L. F., & Teran T, W. (Junio de 2007). Recuperado el 02 de Mayo de 2012, de http://www.uninorte.edu.co/divisiones/ingenierias/Dpto_Sistemas/lab_redes/upl oad/file/MANUAL%20DE%20CONFIGURACION%20DEL%20ADMINISTRAD OR%20DE%20ANCHO%20DE%20BANDA%20NETENFORCER.pdf

75

ANEXOS ANEXO A GLOSARIO A Acceso remoto: Acceder desde una computadora a un recurso ubicado fsicamente en otra, a travs de una red local o externa (internet). B Backup: Es la copia total o parcial de informacin importante del disco duro, CDs, u otro medio de almacenamiento, que pueden utilizarse para restaurar el estado original despus de una eventual prdida de datos. C Canal Virtual: Un canal virtual proporciona una manera de clasificar el trfico y se compone de uno o ms conjuntos de condiciones y un conjunto de acciones que se aplican cuando alguna de las condiciones se cumplan. D DNS: Domain Name System o sistema de nombres de dominio es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. DMZ: Zona Desmilitarizada es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de esta zona desmilitarizada es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, los equipos (hosts) en la DMZ no pueden conectar con la red interna. Disponibilidad: Es la condicin donde un recurso dado puede ser accedido por sus consumidores. F FTP: Es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol). H Holgura: Cantidad de tiempo que puede demorar una actividad sin afectar la fecha de terminacin del proyecto total. I Informacin: Es un conjunto ordenado de datos procesados los cuales son manejados segn la necesidad del usuario.
76

L Lnea: Una lnea es una entidad lgica dentro de una poltica y representa el nivel ms alto de la jerarqua. El ancho de banda total que pasa por la puerta de enlace de NetEnforcer. N NAT: Network Address Translation es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. O Objetivos: Metas o logros que se pretenden conseguir y cuya medida de consecucin sirve para valorar el rendimiento alcanzado. P P2P: Red punto a punto es una red de computadoras en la que todos o algunos aspectos funcionan sin clientes ni servidores. Putty: Es un cliente de acceso remoto a mquinas informticas de cualquier tipo mediante SSH, Telnet o RLogin. Pipe: Es una entidad lgica dentro de una poltica. El ancho de banda total acumulado a travs de cada lnea se puede dividir en las tuberas, y cada tubo se puede administrar de forma independiente. Cada tubo se compone de una regla basada en uno o ms conjuntos de condiciones y un conjunto de acciones que se aplican cuando todas las condiciones se cumplan Phishing: Denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta S Segmento: Un segmento de red suele ser definido mediante la configuracin del hardware o una direccin de red especfica. en un segmento de red se incluyen todas las estaciones de trabajo conectadas a una tarjeta de interfaz de red de un servidor y cada segmento tiene su propia direccin de red. Spyware: Es un software que recopila informacin de un ordenador y despus transmite esta informacin a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. SSH: Es el nombre de un protocolo y sirve para acceder a mquinas remotas a travs de una red.
77