CAPITULO 1 INTRODUCCION

1.1 ASPECTOS GENERALES 1.1.1 AMBITO La empresa Santo Domingo Contratistas Generales S.A entrega servicios de construccin en proyectos civiles, estructurales,

electromecnicos y automatizacin, puesto en marcha y mantenimiento integral para los sectores minero, energtico, pesquero, petrolero, qumico, agroindustrial y manufacturero. 1.1.2 PROBLEMA La empresa Santo Domingo Contratitas Generales S.A debe proteger la informacin que considera confidencial dentro de su propia red, al igual que los servicios y recursos internos; de tal forma que si algn usuario malicioso intenta causar algn tipo de dao no sea posible. Actualmente se establecen conexiones a los servicios con un nivel mnimo de seguridad, dejando abierta la posibilidad de ataques de agentes externos. Adems considerando que toda organizacin en la actualidad debe garantizar la transmisin de los datos de manera segura a travs de la red Internet, de manera que stos no sean hurtados y/o manipulados y que lleguen a su destino de forma ntegra. De tal manera que se plantea separar los servicios de la empresa de los personales, as como establecer una conexin segura a los servicios, mediante la implantacin de un firewall Fortigate 90D en la oficina de Chincha e interconectar con la oficina de Lima .

1.2 ALCANCE El presente proyecto plantea realizar el anlisis, implementacin de un firewall FortiGate 90D. Esta aplicacin permitir proteger los recursos

compartidos de la red interna de cualquier intento de ataque por parte de intrusos maliciosos, y garantizar una conexin segura con otros host asi como el filtro de contenidos a travs de Internet. 1.3 OBJETIVOS 1.3.1 OBJETIVOS GENERALES Proteger la red interna de una organizacin, separando los servicios privados de la red pblica de los servicios personal as como asegurar la transferencia de datos, reducir el ancho de banda para evitar cuellos de botella en horarios crticos. 1.3.2 OBJETIVOS ESPECIFICOS Investigar los mtodos de ataques que usan los intrusos y hackers Investigar las distintas herramientas que existen en el mercado para proteger a la red privada y la transmisin segura de datos e informacin a travs de la red pblica Analizar las alternativas de solucin para implementar una red perimetral Establecer polticas de seguridad. Anlisis e implementacin un firewall Fortigate 90D.

1.4 JUSTIFICACION En la actualidad surge la necesidad de estar en constante comunicacin, gracias al Internet podemos recibir una respuesta inmediata en cuestin de segundos sin importar que los sujetos de la comunicacin se encuentren separados geogrficamente. El prototipo propuesto permitir mejorar los siguientes aspectos: Habilitar el acceso a usuarios remotos; conectarse y acceder a la red. Disminuir el consumo de ancho de banda en horas crticas. Filtrar por seguridad el contenido de pginas web. Proporcionar conectividad segura entre dos o mltiples redes privadas o LAN. Proteccin durante la transmisin de los datos.

CAPITULO 2 MARCO TEORICO

2.1 SEGURIDAD INFORMATICA

En la actualidad, las organizaciones son cada vez ms dependientes de sus redes informticas y un problema que las afecte, por mnimo que sea, puede llegar a comprometer la continuidad de las operaciones. La falta de medidas de seguridad en las redes es un problema que est en crecimiento. Cada vez es mayor el nmero de atacantes y cada vez estn ms organizados, por lo que van adquiriendo da a da habilidades ms especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las faltas de seguridad provenientes del interior mismo de la organizacin. La propia complejidad de la red es una dificultad para la deteccin y correccin de los mltiples y variados problemas de seguridad que van apareciendo. En medio de esta variedad, han ido aumentando las acciones poco respetuosas de la privacidad y de la propiedad de recursos y sistemas. hackers, crakers, entre otros, han hecho aparicin en el vocabulario ordinario de los usuarios y de los administradores de las redes Adems de las tcnicas y herramientas criptogrficas, es importante recalcar que un componente muy importante para la proteccin de los sistemas consiste en la atencin y vigilancia continua y sistemtica por parte de los responsables de la red.

2.1.2 CONCEPTO DE SEGURIDAD INFORMATICA

La seguridad informtica consiste en asegurar que los recursos de los sistemas de informacin (material informtico o programas) de

una organizacin sean utilizados de la manera que se decidi y que el acceso a la informacin all contenida as como su modificacin slo sea posible a las personas que se encuentren acreditadas y dentro de los lmites de su autorizacin.

2.2.2 GENERALIDADES 2.2.1 ALIAS

Nombre diferente por el cual se conoce un virus.

2.2.2 CRACKER
Persona que elimina las protecciones lgicas y fsicas de los sistemas para acceder a los mismos sin autorizacin y generalmente con malas intenciones.

2.2.3 HACKER
Usuario de ordenadores especializado en penetrar en las bases de datos de sistemas informticos con el fin de obtener informacin secreta. Adems, este trmino a los cibernautas que realizan operaciones delictivas a travs de las redes de ordenadores existentes.

2.2.4 PIRATA INFORMATICO

Persona que accede a un sistema informtico sin autorizacin para observar su funcionamiento interno y explotar vulnerabilidades. Este trmino se suele utilizar indistintamente con el trmino cracker (intruso), pero supuestamente hacker no implica necesariamente malas intenciones, mientras que cracker s.

2.2.5 VIRUS INFORMATICO

Los virus informticos son programas diseados expresamente para interferir en el funcionamiento de una computadora, registrar, daar o eliminar datos, o bien para propagarse a otras computadoras y por Internet, a menudo con el propsito de hacer ms lentas las operaciones y provocar otros problemas en los procesos.

2.2.5.1 TIPOS DE VIRUS INFORMATICOS 2.2.5.1.2 GUSANO O WORN

Es un programa cuya nica finalidad es la de ir consumiendo la memoria del sistema, se copia as mismo sucesivamente, hasta que desborda la RAM, siendo sta su nica accin maligna.

2.2.5.1.3 VIRUS DE SOBREESCRITURA

Sobrescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.

2.2.5.1.4 VIRUS DE PROGRAMA

Comnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados ms frecuentemente por que se utilizan ms.

2.2.3 VULNERABILIDADES 2.2.3.1 NEGACION DE SERVICIO (DENIAL OF SERVICE)

Es un tipo de ataque cuya meta fundamental es la de negar el acceso del atacado a un recurso determinado o a sus propios recursos.

2.2.3.2 CRACKING DE PASSWORD

Una vez encriptada una clave, no se puede desencriptar. Sin embargo, esto no garantiza la seguridad de la clave, puesto que no significa que la clave no se pueda averiguar. El mecanismo que se utiliza para descubrir (no

desencriptar) las claves consiste en efectuar encriptaciones de palabras (posibles claves) y comparar estas

encriptaciones con el original.

2.2.3.3 E-MAIL BOMBING Y SPAMMING

E-mail Bombing Consiste en enviar muchas veces un mensaje idntico a una misma direccin saturando el mailbox del destinatario. El spamming que es una variante del e-mail bombing, se refiere a enviar el email a centenares o millares de usuarios e, inclusive, a listas de inters. El Spamming puede resultar an ms perjudicial si los destinatarios contestan el mail, haciendo que todos reciban la respuesta.

2.2.3.4 CONSIDERACIONES DE SOFTWARE

Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantas aumenta los riesgos).

2.2.3.5 CONSIDERACIONES DE HARDWARE

Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus.

2.2.4 SISTEMAS OPERATIVOS 2.2.5.1 SOFTWARE LIBRE (OPEN SOURCE) 2.2.5.1.1 GNU/LINUX
El proyecto GNU se inici en 1984 con el objetivo de crear un sistema operativo completo tipo Unix de software libre. GNU es el trmino empleado para referirse al sistema operativo similar a Unix que utiliza como base las herramientas de sistema de GNU y el ncleo Linux. Su desarrollo es uno de los ejemplos ms prominentes de software libre; todo el cdigo fuente puede ser utilizado, modificado y

redistribuido libremente por cualquiera bajo los trminos de la GPL de GNU (Licencia Pblica General de GNU).

2.2.5.1.1.1 CARACTERISTICAS
Multiplataforma.- Dispone de varios tipos de sistema de archivos para poder acceder a archivos en otras plataformas. Multiusuario.- Es un sistema operativo capaz de responder, simultneamente, a las solicitudes de varios usuarios que empleen el mismo

ordenador,

incluso

con

necesidades

distintas.

Adems proporciona los elementos necesarios para garantizar la seguridad y privacidad de los datos entre los diferentes usuarios. Multitarea.- Permite ejecutar varios programas a la vez, de forma que no tiene que esperar a que termine uno para empezar otro. La multitarea est controlada por el Sistema Operativo y no por las aplicaciones, por lo que es muy difcil que el fallo de un programa colapse el sistema por una mala utilizacin de los recursos del equipo. Estabilidad.- Es robusto, por lo que si un programa falla no interrumpir el trabajo de los dems. Esta caracterstica permite que el sistema funcione durante perodos muy largos de tiempo sin

necesidad de parar y volver a arrancar. Es libre.- Al disponer del cdigo fuente, se puede sin un tener parche que para

hacer cualquier modificacin esperar que solucionarlo. alguien enve

2.2.5.2 SOFTWARE BAJO LICENCAMIENTO 2.2.5.2.1 WINDOWS SERVER 2008 (SERVIDOR)

Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que sali al mercado en el ao 2008 Windows Server 2008 se podra considerar como un Windows 7 modificado, no con menos funciones, sino que se encuentran deshabilitadas por defecto

para obtener un mejor rendimiento y para centrar el uso de procesador en las caractersticas de

servidor.

2.2.5.2.1.1 CARACTERISTICAS
Sistema de archivos NTFS: Gestin de almacenamiento, backups; incluye

gestin jerrquica del almacenamiento, consiste en utilizar un algoritmo de cach para pasar los datos menos usados de discos duros a medios pticos o similares ms lentos, y volverlos a leer a disco duro cuando se necesitan. Windows Driver Model: Implementacin bsica de los dispositivos ms utilizados, de esa manera los fabricantes de dispositivos slo han de

programar ciertas especificaciones de su hardware. ActiveDirectory Directorio de organizacin basado en LDAP, permite gestionar de forma centralizada la seguridad de una red corporativa a nivel local. Autentificacin Kerberos5 DNS con registro de IP's dinmicamente Polticas de seguridad

2.2.5.2.1 WINDOWS 7
Windows 7 es una lnea de sistemas operativos desarrollado por Microsoft que fueron hechos pblicos el 22 de octubre de 2009

Windows 7 tiene una interfaz grfica de usuario (GUI) perceptiblemente reajustada, un cambio de Microsoft promovido para un uso ms fcil que en las versiones anteriores. Es tambin la primera versin de Windows que utiliza la activacin del producto para reducir la piratera del software,

2.2.5.2.1.1 CARACTERISTICAS
Ambiente totalmente grfico Secuencias ms rpidas de inicio y de hibernacin. Capacidad del sistema operativo de desconectar un dispositivo externo, de instalar nuevas aplicaciones y controladores sin necesidad de reiniciar. Una nueva interfaz de uso ms fcil, incluyendo herramientas escritorio. Uso de varias cuentas, que permite un usuario guarde el estado actual y aplicaciones abiertos en su escritorio y permita que otro usuario abra una sesin sin perder esa informacin. Escritorio Remoto, que permite a los usuarios abrir una sesin con una computadora que funciona con Windows XP a travs de una red o Internet, teniendo acceso a sus usos, archivos, impresoras, y dispositivos. para el desarrollo de temas de

2.2 SERVIDORES 2.2.1 SERVIDORES DE CORREO

El correo electrnico clasifica como el servicio ms utilizado de todos los que existen actualmente de arquitectura cliente-servidor, teniendo la

posibilidad de comunicarse rpidamente con todo el mundo desde una estacin de trabajo de forma muy simple y barata. Basta con tener un buzn en un servidor de correo correctamente configurado y una aplicacin cliente para operar con dicho buzn. Un buzn de correo electrnico no es ms que un fichero o un conjunto de ellos agrupados en un directorio donde se almacenan en cierto formato los mensajes que llegan.

2.2.2 SERVIDORES WEB

Es un programa que implementa el protocolo HTTP (HyperText Transfer Protocol). Este protocolo pertenece a la capa de aplicacin del modelo OSI y est diseado para transferir lo que llamamos hipertextos, pginas web o pginas HTML (HyperText Markup Language): textos complejos con enlaces, figuras, formularios, botones y objetos

incrustados como animaciones o reproductores de msica.

2.2.2.1 APACHE
El Servidor Apache HTTP es un servidor Web de tecnologa Open Source slido y para uso comercial desarrollado por la Apache Software Foundation (www.apache.org). Red Hat Enterprise Linux incluye el Servidor Apache HTTP versin 2.0 as como tambin una serie de mdulos de servidor diseados para mejorar su funcionalidad. Apache ocupa un enorme porcentaje del mercado, superando de esta forma a cualquier otro servidor Web de cualquier otro sistema operativo por la cantidad de sitios Web que maneja.

2.2.2.2 INTERNET INFORMATION SERVERS (IIS)

Es una serie de servicios para los ordenadores que funcionan con Windows. Originalmente era parte del Option Pack para

Windows NT. Luego fue integrado en otros sistemas operativos de Microsoft (Windows 2000 o Windows Server 2003. Windows XP Profesional incluye una versin limitada de IIS) destinados a ofrecer servicios como son: FTP, SMTP, NNTP y HTTP/HTTPS.

2.2.3 SERVIDORES DE DATOS

Un servidor de base de datos es un programa que provee servicios de base de datos a otros programas u otras computadoras, como es definido por el modelo cliente-servidor. referencia ejecutar a esos aquellas programas, base de Tambin puede hacer a

computadoras (servidores) prestando datos el

dedicadas

servicio. Los sistemas de generalmente proveen

administracin de

(SGBD)

funcionalidades para servidores de base de datos, en cambio otros (como por ejemplo, MySQL) solamente proveen construccin y acceso a la base de datos. Dentro de los servidores de datos ms conocidos tenemos; Oracle, Informix, MySQL, PostgreSQL, DB2, SAP.

2.3 MECANISMOS DE SEGURIDAD EN REDES 2.3.1 RED PRIVADA VIRTUAL (VPN)

Las redes de rea local (LAN) son las redes internas de las organizaciones, es decir las conexiones entre los equipos de una organizacin particular. Estas redes se conectan cada vez con ms frecuencia a Internet mediante un equipo de interconexin. Muchas veces, las empresas necesitan comunicarse por Internet con filiales, clientes o incluso con el personal que puede estar alejado geogrficamente.

2.3.1.1 CARACTERISTICAS
Seguridad.- verificar la identidad de los usuarios y restringir el acceso a la

VPN a aquellos usuarios que no estn autorizados. Confiabilidad.- en vista que los datos viajan a travs de Internet, es necesario protegerlos para que no puedan ser comprendidos por personas no autorizadas. Escalabilidad.- se debe asegurar que pueda crecer la red para mltiples conexiones VPN cliente. Administracin.- debe ser fcil de administrar Desempeo.- la VPN debe dar el rendimiento que requiere cada aplicacin y tipo de servicio.

2.3.1.2 ELEMENTOS DE UN VPN

Servidor VPN.- ordenador que acepta conexiones VPN de clientes VPN. Cliente VPN.- ordenador que inicia conexiones VPN a un servidor VPN. Puede ser enrutador o un ordenador individual. Tnel.- aquella porcin de la conexin en que los datos estn encapsulados. Protocolos de entubacin (tunneling protocols) estndares de comunicacin utilizados para gestionar el tnel y encapsular los datos privados. Red de trnsito.- es la red pblica o compartida a travs de la que circulan los datos.

2.3.1.3 REQUERIMIENTOS BASICOS

Identificacin de usuario: Las VPN deben verificar la identidad de los usuarios y restringir su acceso a

aquellos que no se encuentren autorizados. Codificacin de datos: Los datos que se van a transmitir a travs de la red pblica (Internet), antes deben ser cifrados, para que as no puedan ser ledos. Esta tarea se realiza con algoritmos de cifrado como DES o 3DES que slo pueden ser ledos por el emisor y receptor. Administracin de claves: Las VPN deben actualizar las claves de cifrado para los usuarios.

2.3.1.4 FUNCIONAMIENTO DE UN VPN

Una red privada virtual se basa en un protocolo

denominado protocolo de tnel, es decir, un protocolo que cifra los datos que se transmiten desde un lado de la VPN hacia el otro.

La palabra "tnel" se usa para simbolizar el hecho que los datos estn cifrados desde el momento que entran a la VPN hasta que salen de ella y, por lo tanto, son incomprensibles para cualquiera que no se encuentre en uno de los

extremos de la VPN, como si los datos viajaran a travs de un tnel. En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los datos del lado del usuario y el servidor VPN (comnmente llamado servidor de acceso remoto) es el elemento que descifra los datos del lado de la organizacin. De esta manera, cuando un usuario necesita acceder a la red privada virtual, su solicitud se transmite sin cifrar al sistema de pasarela, que se conecta con la red remota mediante la infraestructura de red pblica como

intermediaria; luego transmite la solicitud de manera cifrada. El equipo remoto le proporciona los datos al servidor VPN en su red y ste enva la respuesta cifrada. Cuando el cliente de VPN del usuario recibe los datos, los descifra y finalmente los enva al usuario.

2.3.2 ZONA DESMILITARIZADA (DMZ)

Una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ slo se permitan a la red externa, los equipos (hosts) en la DMZ no pueden conectar con la red interna. Esto permite que los equipos (hosts) de la DMZ puedan dar servicios a la red externa a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos (host) situados en la zona desmilitarizada. Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejn sin salida.

2.3.3 FIREWALL
Un cortafuegos (o firewall en ingls), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red. Su modo de funcionar es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. La ubicacin habitual de un cortafuegos es el punto de conexin de la red interna de la organizacin con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de una red interna.

2.3.4 PRINCIPALES FABRICANTES DE SOFTWARE

Fortinet.- Es una empresa privada estadounidense, que se dedica especialmente al diseo y fabricacin de componentes y dispositivos de seguridad de redes (firewalls, UTM.) Actualmente es la marca de referencia en sistemas de seguridad UTM, habiendo superado a Cisco y Checkpoint en su lucha por este mercado.

Las

aplicaciones de

FortiGate

proporcionan proteccin

rentable, comprensiva contra amenazas de red - incluyendo los ataques complejos sin degradar el rendimiento de la red. Las plataformas de de red, FortiGate tales incorporan caractersticas como alta para disponibilidad la mxima

sofisticadas (activa/activa,

activa/voz

pasiva)

disponibilidad, capacidades virtuales de dominio para separar las varias redes que requieren diversas polticas de la seguridad. Cisco.- Cisco Systems es el lder mundial en redes para Internet. Las soluciones de conectividad de Cisco basadas en el protocolo de Internet (IP), son la base de Internet y de las redes corporativas, educativas y de gobierno en todo el mundo. Cisco entrega la lnea ms amplia de soluciones para el transporte de datos, voz y video. Aqu encontrar toda la informacin tcnica y de negocios sobre redes e Internet. D-Link.- Es uno de los lderes mundiales en proveer equipamiento de networking, conectividad y de

comunicaciones de datos. La compaa disea, fabrica y comercializa hardware necesario para permitir a los usuarios compartir recursos y comunicarse sobre una red de rea local, y equipos que permiten a los individuos y oficinas conectarse a WANs y a Internet fciles, rpidos y con una buena relacin calidad-precio. Proporciona equipos de seguridad tales como router y firewall de fcil instalacin y ms efectivos que aquellos basados en software, dada su conexin Plug-and- Play, seguridad

completa para dejar fuera de la red a los intrusos, soporte de VPN con encriptacin de datos y autentificacin.

A travs de su lnea de Firewalls NetDefend la mejor plataforma de seguridad proactiva, en conjunto con su familia de switches X-Stack. Sonicwall.- (Fundada en 1991), es uno de los mas prestigiosos fabricantes de sistemas de seguridad (Firewall, VPN, Aceleradores SSL, etc) ofrece una calidad excepcional a unos precios ventajosos, con una gama de productos que cubren desde las Pymes a grandes empresas y proveedores de servicios, sus soluciones son utilizadas por una gran variedad de compaas, a nivel mundial. Checkpoint.creada en el Checkpoint ao Software Technologies LTD,

1993, est especializada nica y

exclusivamente en soluciones de seguridad lgica, cubriendo desde usuarios finales hasta proveedores de servicios de Internet (ISP/ASP). Las soluciones de seguridad de Checkpoint destacan por su arquitectura unificada, lo que, por ejemplo, permite gestionar multitud de sus productos de seguridad perimetral o seguridad interna, desde un nico punto de forma

centralizada.

2.3.5 ALTERNATIVAS DE FIREWALL EN EL MERCADO

D-Link DFL-800 El firewall VPN DFL-800 ofrece una proteccin de red completa as como servicios de red privada virtual, a las pequeas empresas de hasta 150 usuarios, mediante robustas funciones de seguridad, una configuracin flexible y la mxima proteccin de red.

Alojado en un chasis normalizado, el firewall VPN DFL-800 ofrece un impresionante conjunto de funciones de hardware que incluyen un procesador de alta velocidad, una base de datos de gran capacidad y un potente firewall que puede gestionar hasta 25.000 sesiones simultneas.

CARACTERISTICAS
Factor de forma: Tecnologa de conectividad:

DESCRIPCIN
Externo

CONEXIN DE REDES

Protocolo de interconexin de datos: Caractersticas de

Cableado

proteccin Proteccin firewall,

Encaminamiento, Asistencia tcnica VPN, Limitacin de trfico

Ethernet, Fast Ethernet

D-Link NetDefend DFL-860 El DFL-860 usa un acelerador por hardware para llevar a cabo las funciones de escaneado antivirus e IPS

simultneamente, sin que se degrade el rendimiento del firewall ni de le la red privada al virtual. Este potente con un

acelerador

permite

firewall

trabajar

rendimiento muy superior al de los firewall UTM con funcin antivirus del mercado. Potente rendimiento de la red privada virtual El DFL-860 dispone de un motor de red privada virtual basado en hardware para soportar y gestionar hasta 300 tneles VPN. Admite los protocolos IPSec, PPTP y L2TP en modo cliente/servidor y tambin puede manejar el

trfico que pasa a travs de l. La autentificacin de usuario puede llevarse a cabo por medio de un servidor RADIUS externo o a travs de la base de datos interna del firewall, que admite hasta 500 cuentas. El firewall UTM DFL-860 ofrece una potente solucin de seguridad para las oficinas de pequeo o medio tamao, con hasta 150 usuarios, contra una amplia variedad de amenazas para la red en tiempo real.

CARACTERSTICAS
Factor de forma: Tecnologa de conectividad: Protocolo de interconexin de datos: Red / Protocolo de transporte: Protocolo de direccionamiento

DESCRIPCIN
Externo Cableado Ethernet, Fast Ethernet PPTP, OSPF L2TP, IPSec

Rendimiento CONEXIN DE REDES

Capacidad de cortafuegos Capacidad de VPN (3DES,AES) 150 Mbps 60 Mbps

Capacidad:
Sesiones concurrentes: Polticas de seguridad: Tneles VPN (de sitio a sitio) : 25000 1000 300

FortiGate-90D Proporciona todas las mismas funcionalidades que otros dispositivos FortiGate y est diseado para trabajadores de casa y pequeas oficinas remotas. Conector dual WAN para una conexin de Internet

redundante, 4 puertos switch elimina la necesidad de un switch o hub externo, dando a los dispositivos de red una conexin directa al FortiGate-90D. Entrega rendimiento superior y fiabilidad del hardware acelerado, arquitectura basada en ASIC.

CARACTERSTICA

DESCRIPCIN

BENEFICIOS

Detecta y elimina virus, Cerrando ANTIVIRUS estas gusanos en tiempo real. (CERTIFICADO ICSA)

vulnerabilidades no Escanea datos adjuntos de entran virus ni correos electrnicos de entrada gusanos a la red y salida (SMTP, POP3, IMAP), local tambin todo el trfico FTP y HTTP Deteccin y prevencin de ms de 1300 intrusiones y ataques basada en configuraciones de usuarios. Actualizaciones automticas de IPS desde el FortiProyect Network Detecta ataques que evaden los antivirus convencionales, en tiempo real

PREVENCIN Y DETECCIN DE INTRUSIN DINMICAS (CERTIFICADO ICSA)

Controla todas las Proteccin FIREWALL (CERTIFICADO ICSA) comunicaciones que pasa de certificada,

una red a la otra y en funcin de lo que se permite o se mximo deniegue en la poltica funcionamiento y Bloquea todo contenido Web inapropiado y scripts maliciosos provenientes de la Web escalabilidad Bloqueo de sitios web que no son permitidos por las polticas de la empresa, aumentando la productividad del personal y reduciendo la posibilidad de infeccin de virus Provee comunicacin segura en el tnel entre redes y clientes. Bajo costo, en cualquier momento y todas partes tendrn acceso sus trabajadores mviles y remotos Con dos interfaces WAN proporcionan redundancia a Internet si una interface falla, la otra Automticamente toma todas las sesiones

FILTRADO DE CONTENIDO WEB

VPN (CERTIFICADO ICSA)

Soporta tneles IPSec,PPTP y L2TP

ACCESOS REMOTOS Soporta

accesos remotos desde cualquier PC equipadas con el software

FORTICLIENT HOST SECURITY INTERFACES WAN

Proporcionan conexiones a Internet

SonicWALL TZ 190 Es un dispositivo de seguridad de red multicapa que puede utilizarse como acceso principal a Internet o como sistema de reserva cuando la conexin DSL (u otra conexin por cable) no funciona

CARACTERSTICAS
PROCESADOR /MEMORIA /ALMACENAMIENTO
RAM instalada (mx.) Memoria flash instalado (mx.):

DESCRIPCIN
128 MB 16 MB Flash

Factor de forma: Tecnologa de conectividad: Protocolo de interconexin de datos: Protocolo de conmutacin : Red / Protocolo de transporte: Modo comunicacin:

Externo Cableado Ethernet, Fast Ethernet Ethernet L2TP, IPSec Semidplex, dplex pleno.

Rendimiento:
Capacidad de pleno estado : Capacidad de antivirus de pasarela:

90+ Mbps 10 Mbps

Cisco ASA 5505 Firewall Edition Bundle El dispositivo de seguridad adaptable de la serie Cisco ASA 5500 es una plataforma que proporciona servicios de seguridad y VPN de prxima generacin para entornos que van desde oficinas pequeas/hogareas y empresas medianas hasta grandes empresas. Nmero ilimitado de usuarios. La serie Cisco ASA 5500 permite la estandarizacin en una sola plataforma para reducir el costo operativo general de la seguridad.

CARACTERSTICAS
PROCESADOR / RAM instalada (mx.) MEMORIA / ALMACENAMIENTO Memoria flash instalado (mx.):
Factor de forma: Tecnologa de conectividad: Protocolo de interconexin de datos: Red / Protocolo de transporte:

DESCRIPCIN
256 MB 64 MB Flash Externo Cableado Ethernet, Fast EthernetIPSec

Rendimiento:
Capacidad del cortafuegos Capacidad de la VPN: 150 Mbps 100 Mbps

CONEXIN DE REDES

Capacidad:
Peers VPN IPSec : Peers VPN SSL : Sesiones concurrentes : 10 2 10000

Caractersticas de proteccin: Proteccin firewall,

Puerto DMZ, Asistencia tcnica VPN, Soporte VLAN,

Algoritmo de cifrado:
Triple DES, AES , SSL

CAPITULO 3 IMPLEMENTACION
En este apartado se explica cmo se estructur la implantacin del proyecto. ste qued definido en cuatro partes bien diferenciadas. Se empez por un proceso de Pre-Implementacin en el que se comprob el funcionamiento de la red cableada. La siguiente fase correspondi a la Implantacin donde se configuro el firewall Fortigate 90D. Para la realizacin de las tareas definidas dentro de las siguientes fases se necesit disponer de los servicios de un tcnico especializado en seguridad perimetral proporcionado por la empresa ISEC proveedora del firewall. En cada fase se especifica el total de horas que fueron necesarias que invirtiera el tcnico.

3.1 PRE-IMPLEMENTACION
En esta fase se empez a plasmar la idea inicial del proyecto. Se comprob el funcionamiento de los tres de la Red cableada UTP que servir para la conexin Se ubic el firewall en el armario de equipos, seguidamente del router CISCO Circuito digital 86454 para no contar acumulacin de cableado. Se realiz la conexin, mediante cable UTP, entre el CISCO Circuito digital 86454 y el firewall Fortigate 90D Debido a que los equipos de la empresa de se encontraban en produccin no se realiz ninguna prueba con ellos hasta el da de la implantacin.

3.2 IMPLEMENTACION
Esta fue la parte ms crtica y la ms complicada de todo el proyecto. En esta fase se configuro el firewall Fortigate 90D. Posteriormente se comprob que conectando el firewall a la red, desde ste se poda hacer ping al router CISCO Circuito digital 86454, con esto, aseguramos que las interconexiones estaban bien configuradas y que podamos llegar a los equipos que estaban directamente conectados al router CISCO. Posteriormente debamos averiguar que el resto de configuracin aplicada al firewall funcionaba correctamente (VPN, rutas, filtro, etc.) Este proceso se comprob validando una lista de requerimientos previos en las que especificamos las pginas que por seguridad no se debera permitir el acceso as como las que sirven de soporte para los procesos crticos del negocio, cuyo funcionamiento no debe ser bloqueado.

Representacin mediante el diagrama de Gantt de las tareas del proyecto.

CAPITULO 4 CONCLUCIONES 4.1 CONCLUCIONES GENERALES

Con el firewall Fortigate 90D se consigue monitorizar y controlar el ancho de banda as como filtrar por seguridad el control de contenido de los colaboradores de la empresa Santo Domingo Contratistas Generales S.A. El sistema perimetral tambin satisface otros requerimientos del proyecto: utilizar el sistema de seguridad que exista inicialmente en la empresa Santo Domingo Contratistas Generales S.A. como parte de la nueva infraestructura y utilizar solo la configuracin del router CISCO Circuito digital 86454

4.1 CONCLUCIONES ESPECFICAS

 Ancho de Banda y Aplicaciones

Con mucha claridad queda evidenciado que el consumo de ancho de banda ocurre con mayor frecuencia los entre las horas 07:00 am y 12:00 am. Si comparamos estas horas con el nivel de trfico (KB) se determina que tienen una relacin muy estrecha con el cuello de botella que reportan los colaboradores en horas laborales. Este aspecto es muy importante porque nos hace notar que la investigacin tiene un inters especial en lo que hacen los colaboradores y cmo a partir de estos datos se pueden realizar diversas acciones desde un enfoque correctivo que favorezcan las funciones laborales, as incluso se promueve el no uso de las paginas denominadas redes sociales, ya que as comprometen al correcto uso de la banda ancha con la que cuenta la empresa.

Principales fuentes de consumo de Ancho de Banda

Segn se aprecia en la tabla, el consumo del ancho de banda por parte de la ip 192.168.1.124 obtiene unos resultados realmente altos (44,1%), la ip

192.168.1.141 consume (16,5), por lo que se puede asegurar que estos dos primeros colaboradores consumo el 60% del ancho de banda, para el manejo de herramientas necesarias aunque por otra parte no se descarta el uso para distraccin. Siguiendo con la valoracin, las ips restantes mantienen un consumo regular y no muestran riesgo de crear un cuello de botella en horas criticas de trabajo.

Principales pagina de consumo de Ancho de Banda

Segn se aprecia en la tabla, la pgina web que ms ancho de banda consumo es mail.google.com obteniendo un resultado alto (24.6%), esta pgina es necesaria para las funciones laborales de los colaboradores ya que sirve de medio para el envo (Sent) y recepcin (Received) de correos con informacin crtica. Siguiendo con la valoracin, la pgina web www.facebook.com es la segunda pgina que ms consume ancho de banda (18,8 %), esta pgina es de carcter de entretenimiento por lo que su uso est totalmente prohibido de acuerdo con la poltica de la empresa. Siguiendo con la valoracin, las pginas web restantes son de carcter laboral y uso es necesario para las funciones laborales de los colabores.