INSTALA GVON@ GON DP! GUIRAGHION Y ADMINISTRACION &SEGURIDAD SEGURIDAD EN REDES CABLEADAS E INALAMBRICAS En este fasciculo veremos aspectos de seguridad en la implementacién de redes, revisaremos el funcionamiento del firewall y entregaremos consejos iitiles. > FIREWALL POR HARDWARE > FIREWALL POR SOFTWARE > INSTALACION DE UN FIREWALL > DETECCION DE INTRUSOS = > HONEYPOTS Y HONEYNETS No > DNS Y SEGURIDADTecnico en &SEGURIDAD Coordinador editorial Nuestros expertos Paula Buds Valentin Almirén José Bustos Asesores tecnicos Gustavo Cardelle Federico Pacheco Rodrigo Chavex Javier Richarte Alejandro Gomez Javier Medina Gustavo Martin Moglie Pablo Pagani Gerardo Pecraza Ezequiel Sanchez Cuts visual yprctio Téanico en redesy seguridad es ura publican de Fox Andina en coecén con Dalaga S.A st publcacén no puede ser repreducida nen todo en pat, por ningin medio actual uu sin el pemiso previo y por escrito te Fox Andina S.A. Distibuidoresen Argentina: Capital: Vaccaro Since y Cia. Moreno 794 piso 9 (1097), Cuda de Buenos ies, Te $41 1-4342-403114032, Intro Distibuidorinerpazas S.A (DISA Pe Lis Sone aia 1832 (C1 13548), Buenos Aes, Te $411-4305-0114, Boia: Agencia Modema, General Aca -0132, Casa de caren 462, Cochabamba Tel 5914-422-1414, Cie: METAS A, Wiliams Reboledo 1717 - Ruca- Santiago Tl 562-620-1700. Clarbia:istrbuidors, Unidas SA, Catrra71 No 21-73, ogo D.C, Tl §71-486-8000. Ecuade Disandes(isribuidora de os Andes) Cale 7 yAv. Agustin Fee, Guayaqul, Tel §9342-271651. México: Distribuidera Intermex, A. dC, Lui Blanco #435, Col. San juan Whuaca, México DF (0240) Tel, 5255 52 30 9543. Prk Distribidor Bolvwiana S.A, Av. Relic de Panama 3635 pso 2 San lio, ima, Tel 511.4412948 anewo 21. Uruguay: spe SL, Paraguay 1924, Manteo, Tel 5982-824-0766,Venezea:istibuidore Continental Bloque demas, Efi Bloque de érmas Piso So, A. San Mai, cuce cn nal Av La Fa, Caracas Te, 58212-405-4250, Impreso en Sevagrat SA. Inpreso en Avgertna Copyright © Fox Andina S| MM is Técnico jen &SEGURIDAD SEGURIDAD EN REDES CABLEADAS E INALAMBRICAS Enel cial res pects de seid et Ingemar eee, esac ecenanit eval eegaanes ems es. > RENAL POR RON > ew soruuaE > san we FREWAL > ere esos > ROREOTS HORNETS > oe yseiaau8 Técnico enredes y seguridad / coordinade por Paula Budtis.- 1a ed, ~ Buenos Aires: Fox Andina, 2013, 576 p.; 28 20 cm. (Users; 22) ISBN 978-987-1857-78-4 1. Informatica. 2. Redes I. Bubs, Paula, coord. ‘cDD 004.68En esta clase veremos... Caracteristicas y opciones de seguridad en redes cableadas e inalambricas asi como también las opciones de un firewall por software y por hardware. Ena clase anterior, ios en profuncidad las tareas de configuracién de una red inalémbrica. Analizaros las topologias WF y configuramos un access point en forma avanzada, Conocimos los alcances del wardiving yl tipos de antenasy repetidores exstentes. Por otra pate, también revisamos algunos conceptos sabre autenticacin con senidores AAA, TKIP MIC. Finalmente, aprendimos a ocuitar SSID para aumentar el nivel de seguridad de una red En esta case, reviserems en deal fa seguridad en rede cableadas einalémbicas. Conoceremas qué es un frevally cuales Som sus cracteristicasyfunciones.Reisareas os akances Ge firewall que acompaia alos sistemas operatvos Windows y caractrizaremos ls frewals por software yhardware. Detalaemos os pasos que deberos efectuar para instalar una aplcacion de firewall y conoceremos ls stoma de deteccién de instusos. Para terminay,conocerems lashaneypots, os haneynets y veremos a sequidad relaconada con los DNS. —— AAT 2 Firewall por software 16 Firewall por hardware 22 Seguridad relacionada con los DNS. vinasciTECNICO EN REDES Y SEGURIDAD | 08 © Qué es un firewall Un firewall nos ayuda a proteger nuestra red informatica de potenciales amenazas. En estas paginas podremos conocer sus caracteristicas, asi como también todas sus ventajas. | firewall, conocido como cortafuegos, tiene su arigen en la seguridad industrial, donde se aban gruesas paredes con Firewall ara de aie en los lugares «on peligo de incendio; asi, se los poia isla épidamente,y su potencal dafio. seria mucho menor. Estas paredes de seguridad pueden ser con fines intemos ‘extemas. Por ejemplo, en ambas casos, Si quetemos aislar un determinado sector, porque por la actividad que se realiza ena existe un factor deresgo ato de incendi, lo que trataremos de hacer es que ese fuego no se propague al resto del lugar, om fo cual los muros de firewall serviran de contencin, También puede ocurtir que, por razones de seguridad, aunque el riesgo de incendio no sea ato, se decid utlizat Red Protegida paredes firewall en un determinado sector por la informacin etic que contiene: pueden ser desde sarvidores hasta un Conjunta de archivos donde hay iculacién de personas constantemente; en este caso, los mutos de protec funcionarfan coma aunque el avin sufredafos otaes la Firewall informatico aislante ya que, ise produjera un incendio caja pueda esta segura, de esta manera, Aplicada ala informatica, el término general, se protegeria este sector posteriormente se podré realizar el firewall hace referencia a un nivel de Un ejemplo sera a caja negra de los ‘analisis del problema que suré el avién, seguridad, usado para limita el acceso aviones:estéconstrida de forma que, para determinar sus causas. interno o externa de contenidos en la PHC TH CNM ATID [et Debemos aplicar las actualizaciones lo mas répido posible, en especial en aquellos equipos cuya confidencialidad queremos proteger. Si contamos con un firewall por harchware las actualizaciones no son tan Denn eo enn eee nd seguridad, yun mantenimiento al hardware aumentan el nivel de seguridad ante la aparcion de alguna nueva modalidad de intrusion. Si algo logra esquivar al firewall, puede ser detenido o anulado desde el mismo equipo. wow.redusers.comred, por personal no autorizada,o evtar que este pueda descarga algin software ‘afina para el equipo ola re. El firewall es una herramienta para proteger nuestro equipo de potenciales dafios desde la red, como el producido por la infeccin de un virus, o que algin atacante intente acceder a nuestra red, Se puede implementar pr hardware o por software; ademas, existe hardware especial, como los IDS € IPS, ue complementan la funcién del firewall para cevtaringresos no autorizados a nuestra red. La funcion principal que persigue la implementacion de un firewall es proteger alos equipo y sus datos de accesos no avtorizados externos a la red. ES POSIBLE UTILIZAR EL PUERTO DMZ (DE ZONA DESMILITARIZADA) PARA SEPARAR LAS REDES. Hardware y software Se puede liza rewall por hardware © por software, dependiendo de la necesidad que tengamos. El costo de hardware dseRado paafreval, admis de ser mas elvado que el costo de un firewall por software, puede ofrecer varias heramienas, i questa red cuenta con muy pocos equpos actvas constantemente en internet, dui un firewall por software es la mejor open ya que nose justitcara instar un firewall por hardware. En cambio, cuando el volumen de la red y de los equipos activ es mayor, y también lo su actividad, demos encontrarnos can tres equipos que realizan varias operaciones de transferencia monetaria por dia, y por lo tant, su seguridad es muy importante. En casos como este se jusfca por complet realizar la addguisicion de un firewall por harduare. Frewall Funcionamiento Elfin de un firewall es evtar que paquetes IP no deseados lequen a nuestra ed; actian como las zaras profundas que rodeaban als castles de la Edad Meda, ¥ todo lo que ingresaba (o sali) de ellos podia ser inspecclonado por los quatdias Segin su modo de actuar, €! firewall puede canfigurarse como: > Filtrado de paquetes > Inspeccién de paquetes de estado, > Firevall del prog. Para elfitrado de paquetes, deberos configura determinadasreglas, con las cuales rewall permtiré 0 denegaré el Ingreso del paquete inspeccionado, La primera generacion de firewalls fitraba los paquetesleyendo sus encabezados, donde se almacenan las diteccianes IP de corigen y destino (capa 3 del modelo OS), egg, los filtros se apicaron al encabezadlo de ls paquetes TCP 0 UDP (copa En esta capa, los paquetes, usllzan nimeros de puettas para dlreccionar los paquetes de datos, configuranda las lstas de acceso en ime Servidor prony de web —— —— ia apa de aplicacion Servidor proxy de e-mal —_ capa de transporte capade red Red externa Red interna ‘worw.redusers.comTECNICO EN REDES Y SEGURIDAD | 08 el firewall (Acces List, 0 ACL), utlizando los puerts de origen y destino para pert 0 denegar el paquete se puede establecer que todo el trafico destinado a un puerta especfco sea direccionado a una I especitica Configuracion Agunos firewalls pueden conigurarse para examina los bits de cbdigo que forman parte del encabezada TCP. sts bits de contr son para sinronizar os paquetes TCP entre los equipos {que mantienen una cone; al ser analizados pore fiewall, este puede saber si se tratan de paquelesesperados 0 no os Como UDP junto con IP son pratocolos na orentados a conexién, «firewall debe tomar decisiones para dejar pasar el trfico sin ‘conexién esperado,y denegat el resto. ara hace so, e firewall monitor qué tipo de fico sin conexién se origina en la red LAN, sobre esa base crea una tabla que almacena ls puertos UDP de organ y destino. En ota tabla, también se almacenan las diecciones IP de cxgen y destino Este tipo de fitradose llama inspeccién de paquets por estado, ya que analiza el trfico, as ‘conversacionesente los equipos para deterinar qué paquetes LUDP ear pasa, analzéndol y comparéndolo con las tablas intemas que se generaron al evisr la red interne,‘owen eu nen sesuRAd| Od ” © El Firewall de Windows En estas paginas, conoceremos las caracteristicas y la funcionalidad del firewall de software incorporado en los sistemas Windows. ‘and Windows XP fue lanzado orignalmente en ‘octubre de 2001, ncuys ol» treet» Somieareren oP nd ert Fo rom “jade rouge sv supe con Fowl de Wbdoms ‘un iewall iitado llamado irae Firewall de conexion fuuiaee a internet; este veri deshabilitado ciara WG ts tics ode wat phos por defecto debido a preacupaciones ‘oadontns mapencgeaty Spticots por compatibilide,y las pata de ar aateeawax = configuracién fueron ubicadas en las recor comoesonne ipa cai saya pantales de configurecon de ed que an ‘muchos usuarios nunca vieron. Como ae ees ee resultado de el, elo usiizaba raramente. ecm ‘A mediados de 2003, debido al ataque W902 ition concate @ de diferentes malware que afectaron Kiccbenikincc mene aa a un gran nimero de miquinas Seer i Windows, Microsoft deciié mejorar eae! commerce pee de pans i signifcativamente la funcionalidad y comvac ces i la interfaz de Firewall Integrado de fergctrmane ee Windows XP yes activado por defecto con el Service Pack 2. ‘partir dl SP2 en Windows X® y SPY en WindowsServer 2003, comerzamos a dsponer de un protecién de frevall naa en es productos Micosot. Perfiles Firewall de Windows dispone de tres perfiles que se activan automaticamente: > Publico: supone que la red se comparte con el munda yes el perfil mi restrctvo > Privado: asume que la ed est aislda de iterety permite conesiones entrantes, Una red no se supone que es privada a menos que sea designada como tal pore administrador local > Perf de dominio: ese! menos restrictvo, Admite més conexiones,entrantes para permitirel uso compartido de archivos, etc; se selecciona automaticamente cuando se conecta a una red con un dominio cde confianza para el equipa local Caracteristicas Una de as funciaalidades de Firewall de Windows sl Registro de seguridad, permite registrar ls dieccanes IP y (ros datos reltivos alas conexones procedentes dela ed s pesible grabar tanto los paquetes perdidos como las conexiones corectas; esto se puede utiliza, por ejemplo, para seguir cada vez que un equipo dela red se conecta 2 un determinado equipo. Este registro de Seguridad no est habilitad de forma predeterminaca, el administrador debe habilitarlo a demanda EL FIREWALL DE WINDOWS ES UNA MEDIDA DE PROTECCION QUE NO DEBEMOS OBVIAR EN NUESTRO EQUIPO. Como funciona? Cuando alguien en internet o en una red itentaconectase aun equipo, ese intent se conace coma soictud no autorizada. Cuando el equipo racbe ung solicitud no autorizada, el Firewall de Windows bloquea la conexién. $i utiliza un programa, por ejemplo, cde mensajeria instanténea o un juego dered con varios participates, que tiene que recibir informacién desde Internet ode una ted senior de seguridad le pregunta si desea bloquear 0 desbloquear (pent) la conexin. Con la llegada de Windows Vista y Windows Sever 2008 (sus versiones posterior), viene de forma nativa ol Firewall de Windows con Sequidad Avanzada, que dispone de muchas funcionalidades basics de as que care su predecesor, como por ejemplo el bloqueo a las conexiones salientes, permitiendo de esta manera tener un mayor contro de las conexiones dered del equipo. En Windows Vista y Windows Server 2008, solo un peri de firewall puede estar activo ala vez. Sel equipo «std conectado a més de una red el pf que ene las normas mas restcivas se alia a todas las conexiones ene equipo. El perfil piblic es el mas restrict, Segui por el perfil prvado y, luego, porel peril de dominio, Windows 7 fn Windows 7 y Windows Server 2008 2, a cada adaptador de red sel asigna et perfil adecuado (dominio, privada 0 pablica,indapendientemente dels otros adeptadores de red en el equipo El trai de ed enviado a 0 procedente de cada red es procesado por las rglas que son apropadas para ee tipo dered Laadministracion del frewal se puede realizar por media de comandos através del simbolo del sistema, elecutando netsh firewall 0 por medio dela consol, yendo a Inicio/Ejecutay/Fuewall. cpl 0 consola MMC a partir de Firewall con Seguridad ‘Avanzada. Cuando comencemos a configura fev, debemos ten a precaucin de hablar es notifcaciones para cuando el Frevall de Windows bloquee un programa Reglas El firewall ya dspone de reglas predeterminadas para hala, por ejemplo, la pasiblidad de compartir C2 archivos e impresoras y el escritorio remoto, entre otas. nla creacion de reglas de excepciones, deoemos tener en ‘venta qué tipo de protocolo usa ICMP, TCP 0 UDP-y el puerto por utilizar ademas, podemos especicar el dmbito de red: sies para toda lared, una subred ‘para determinadas direciones I Desventajas Una desventaja que trae el Firewall de Windows es que no permite la seeccén de rangos de puerto; para est, lo mas convenient es ulizarunserit en netsh Y abrir ura determina cantidad de puertos, para no hacerlo en forma manual ‘A momento de configura el Firewall de Windows, deberas tener en cuenta y abrir solo los pueros que sean necesarios; no sua prcicaconveniente dshebiltar el few porque ana apicacisno un software no funciona; aungu parenca igo muy obo, ya que podemos exponer Ja integridad del sistema operatvo a cualquier posible stacante. worw-redusers.comPerse TECNICO EN REDES Y SEGURIDAD | 08 © Firewall por software En estas paginas revisaremos las caracteristicas principales para tener en cuenta al elegir el firewall que proteja nuestra red de datos. ara proteger nuestros equipos,o si contamas con una pequefa red en una empress la mejor solucin seré implementar un fewall por sofware en cada una {de os equipos. También es posible adquii un firewall por software para protege tod la ed. En ambos 280s, lfirenal se insta como una aplicaion més; si nos encontramos en una red corpoativa, se nos pei la contraseia de Aciminstrador para su instalacion y configuacin, Un firewall por software que se configura en un equipo con sistema Linux es iptables. Se trata de una potente herramienta su configuracién se realiza por comandas desde la terminal, lo ‘que implica que su configuracén se limita a usuarios que estén sumamente familarizados con el entomo Linux. Alternativas disponibles Para decidir qué firewall aquir, debemos tener presente rwestas necesidades, ver qué tipo de frewal se ajusta a nuestros requerimientos, le as desripctonesofrecitas pola empresa desarolladaray, adem, ses poste let ls comertaros de ots usuarios que hayan utilzadoo estén utlizando dicho software. También debemos tener presente e soporte ofrecido por la empresa desaroladora del firewall: orece soporte remato?, {en qu idioma? Todas las duas que ns sujan debemas dejartas en aro antes de tealizar una implemertacién ca la sequridad de los equip y de la red que afect demas, al momento de elegr un software de firewall, en Io posible, debemos watar de utiizar el mismo producto para el resto de los equipos, y no utiliza distints software para cada uno, por tuna cuestion de precio o licencia. i bien la funcién de todos los firewalls es la de defender e! equipo, cada producto utiliza sus propia técncas para leva a cabo su fin. Tados los equipos y sus software pueden tener alguna vulnerabilidady, po esa razbn, las empresas desaroladoras scan acualizaciones para contrarestar los potenciale resgos. Utlizaristintos software de firewall para una misma re incrementa ese riesgo, ya que una vulnerabilidad puede estar contemplada en un firewall pero no en otto, y la seguridad de toda la red queda comprometida wow.redusers.comSecureAnyutiee instanténea 0 los servidores de correo, Orecen soporte en inglés, también soporte remoto a través de Team\Viewer, por teléfono 0 ‘eal. Su sito oficial es wwwwu.networkshield.com. | que tiene Funciones para servidor |Luego de instalrl, tendremos que configura las placas de red; pdremos elegir si se trata de placas de redintema, externa, arene ‘0 DMZ, Luego de configuar las placas de red, paderos instalar los servicios para red, como DHCP, DNS, Varia de las opciones no estar disponibles si ulizamos a licencia de prueba, Podemas configurar los tras @ sitios por categoria o escribiendo el nombre de sitio web que deseamos bloquear. Adem, es posible configuraro para que esté bloqueado todo e! tiempo, © eegi das yhoraros espeifico. Con esto podemos confgurar el acceso a redes sociales en un determinado horaro, y que ppetmanezca bloqueado el resto del tiempo, Lo encontramas en su sto web oficial: wwwwingate.com. Para ayudainos a elegiry comparar productos de firewall analizaremos algunos de ellos, para luego evaluar cual ZoneAlarm Firewall se ajustaa nuesras necesidades especica. £1 ZoneAlarm ha so una de as aplicaciones mis utlizadas porafos. Ente sus productos oftece antivirus firewall, o ambos. NetworkShield Firewall ‘También dispone de una versién gratuita del firewall, Luego Es un potente firewall diseiado para ejecutarse en un equipo de ainstalacin, ingresamos a os detalles ce firewall. En ellos, servidor Una vez insalad, al abrir el programa, sens aba _veremos las configuaciones, ns habrédetectado ruesras pacas ruesto navegador por defeco,yse nos ped que cemos un dered, yestardn marcadas como zonas seguras scrcemumsanren roe meness0a) UN FIREWALL MAL CONFIGURADO ties epee htm etn dcr eino PROVOCARA DIVERSOS PROBLEMAS firewall podemos configuario como servidor DHCP y elegir DE SEGURIAD EN LA RED. el rango de cirecciones IP; al configurero, demos decir si proteger toda la redo solo un sector de ela Para bloquear un sitio web, haremos cic en View Zones, uego Une caractetistica importante es que contiene un fitra de ‘en Add, y seleccionamas Host/Site. Apareceré una nueva ventana ravagacién que nos permite blequear una gran cantidad de que debemos completa, en Zane seleccionamos Blocked, luego sitios de Internet seleccionando la tematica de los sitios por _ingresamos la dieccién web de stio que deseamos bloqueay, blaquear(redes sociales, compra y venta, cultura y art). 1 abajo pondremos una descripcién que nos ayude & nosotis Este blaqueo puede ser para toda la red, o podemos definir a identicar rdpidamente por qué deciimos bloquear el acceso una IP especiica, a qué sitios no puede ingresar. Los regisros a ese sitio. Este proceso lo debermas realizar para cada sitio tienen una interfaz muy simple que nos ayudara rdpidamente que deseemos bloquear 0 permitir su acceso total ‘2 buscar algin dato en partiulay, ya que podemos fitrar para Es posible tener el control de las aplicaciones aue quleran acceder ‘que Solo nos mueste informacion sobre navegacién, mensajetia ala red, y por medio de la configuacién, podemos catalogaras en Al tener instalado un firewall como filtro de la red editando adecuadam: de Internet, se notard una disminucién en el trafico, que por lo general es trfico ocioso. Si nos encontramos en una red empresarial, al limitar los accesos a redes sociales, sitios de adultos, salas de chat, no solo lograremos proteger la red, sino también evitar que los empleados puedan utilizarla para fines personales que pueden comprometer la seguridad del equipo o de la red wow.redusers.comTECNICO EN REDES Y SEGURIDAD | 03 datos eincluye servicios de proteccén la navegacién we sin permitimos edtar de identidad para protegetios, aué sitios queremos bloquea. ‘demas de cumplircon los requistos Una cracteistica importante es que de un firewall, su versién gratuita es ‘mantiene la navegacién en modo seguro = ‘una gran opcién para aquellos padres de las paginas que utilicemos para ment chat nossa {que dejan solos a sus hijos pequefios con realizar transacciones electrénicas. Nome a Ife os equipos. Su configuracién podemos Incluye el andlisis de redes sociales, tomer tc potegeia mediante una contaseia, _encriptando las conversaciones y aioe i aseguréndonos de que nicamente __analizando todos las inks que podamos a nosotros podremos realizar cambios. recibir También, podemosutlzalo secre non La gran desventaja de Zonealaim como un eficiente antispam. Porpng. Conta saece consiste en que, si activamos la barra Es importante tener en cuenta que, en cove de herramientas, hay muchas funciones forma predeterminada, encontraremos =< que no pertenecen 3 ells misma, y que vienen cargados divers perils, = seremos redirigidos a otros sitios. los cuales podemos seleccionar segiin Encontramos su sito web oficial en lala actividad que estemos reaizando. En direccién www.zonealarm.com. particular, ofrece configuraciones para | modo Gaming y tiene un apartado BitDefender Internet en la configuracisn del firewall, donde Security podemos agregar las aplicaciones de itDefender oftece sus tres clases juegos que no estén reconocidas 0 sean de productos: Antvius Plus, Internet nuevas. sto evita que, cuando estemas Security y Total Security. Los dos itimas en otra aplicacon a pantalla complet, incluyen la funcién de firewall, se nos cierre la ventana por mensajes Durante la instalacién, BD realizaré de alerta. Podemos encontrarlo visitando los niveles de confianza que nas oftece un escaneo en bisqueda de vius, su sitio web oficial, en la direccion ZoneAlarm, Podemos agregar a esta este proceso puede tomar varios www bitdefenderes lista aplicaciones para que no tengan minutos. Luego descargara los archivos problemas, o editar su configuracién, _necesarias y comenzara la instalacién, como para juegos multiplayer online, _La ersin trial es poco personalizable;, Entre ott funciones, nos provee de ena configuracin del firewall solo 5.GB de espacio online para quardar existe la opcin de permit bloquear 2 vations 2 Henny Latest viseos coe Rete snag 6 See ot ate 1 comand Inia! help topics Koy concopts asiWebRootSecureAnywhere WebRoot es viracombinacién de antiviusy firewall Incuye funciones de proteccién de identidad. Oece varias caractersticas de seguridad que se encuentran separadas por las categorias Escudo y Cortafuegos. También ftece proteccién 2 dispositivos movies, sean smarthphones 0 tabletas. En esta aplcacién, no potemos edtar la configuracién de firewall Toda su configuracién ya esta precontigurada y no es posible agregar configuraciones personalizables, Coma la prateccin de antivirus que oftece es muy buena, buscando amenazas en ruestrasunidades removbles ybloqueando sitios de phishing, se convierte en una opcién complementatia @un firewall dedicado en la red Su sitio web es www.webroot.com. UN FIREWALL NO REEMPLAZA ALANTIVIRUS. SON DISTINTOS, Y AMBOS SE COMPLEMENTAN PARA AUMENTAR LA SEGURIDAD. COMODO Firewall Antes de comenzarlainstalacion, tendremos que seleccionar unas configuracionesprevas: i deseamos utilizar los servidores DNS de Comodo pare toda nuestra navegacién en ia Web, enviar informacion sobre nuestra actividad, enviar a ‘Comoda los programas no reconocidos (que pueden ser una amenaza). demas incuye el navegador ComodoDragon, que 5 una version modifcada del Google Chrome Podemos configurat el firewall de modo genera, aplicar reglas para permitr 0 denegar el tric seg el protocolo. {TCP, UDP), y en que send, traicoentranteo salient. No podemos editar para bloquear el acceso a determinados sitios. comoao a> Recordemos que se pueden configurar las aplicaciones que ‘deseemos que tengan comunicacisn externa, como también, bloquearla, yen caso de que una aplicacin se quiera ‘canectar a Internet, nos avise mediante una ventana de alerta, Por otra parte, se puede activar el modo denominado Gaming. En la parte superior, se incluye un icona para que ppodamos iniciar una conversacion directa con un técnico ‘de Comado ante alguna duda o ayuda en su configuracién, Lo podemos encontrar visitando su sitio web oficial, en la siguiente dreccién: www.comodo.com. TCE Ml (rT Instalar un firewall por software para cada equipo de la red no tendria que afectar significativamente al rendimiento general de cada equipo, los cuales podremos seguir indo para realizar las actividad cotidianas. Pere ee no) eee uae a firewall para proteger toda la red, ademas de Seer eae cote ee mee POE eg uc! ee See ey seguridad de toda la red de datos. ro wecnsass fTTECNICO EN REDES Y SEGURIDAD | 08 © El firewall y los puertos Los niimeros bajos de os puertas de niimero puertos estan asgnados a los mei J alto (comprendidos frotoclos mas usados, como entre 1024y 49151) salen al FT GN, ls 5h Usarse para olros protocolos HTTP (0) ye POPS (110. menos comunes,y muchos aun estan disponibles. {Uno de los métodos que usan los iewalls para evtar intrusions y robo de informacion es mediante e! bloqueo ‘de puerto: solo aquellos habilitados podrén establecer Tas coneviones etrantes o salentes,segin corespanda 0s puertos se numeran entre el Oy 165535, exstiendo tres categorias: senicios ms usados, protocolos | ‘menos usados y de us libre, L Puerto 23, I © los puerts de momero alto entre 49132 6553) sn ddeusolibre, ya que ro estén regulads porel rganismo IANA, Los pueitos se cera ‘erminando el proceso {que los mantene en escucha, Ore forma es mediante una nueva regla en e firewall 15 elas te pres aon fava Bloquarn ods x pero xen ls Aue nosoosiniqueas De esta Ta oot sar eta amends qu Dates comes aepeie Gat olka seniae ee vec oe uilades coe ete, navegeion vie. coetons Pte)© Funcionamiento de NAC | Siun usuario necesita hacer uso de Fecusos internos de una red, como ingresar aun web server, NAC leva a cabo la autenticacion antes de que see permits acoder. Supeadala atencacion dl usuario se procede ala certificacion de! dispositivo desde el cual se fsta generando la ctexon, Sel dpostio en ‘est igure alist, el ust pods aereditase en un panel paral, ys do Comieco aun anal para verifcrs el dispositivo se encuentra sin vulnerabilidades. Si NAC concluye que el sistema no calc (por cuestiones de uinersbilidad o de una autemcacio falda) e usuario io pos obtener acces ala red sera puesto en cuarentna, Sia pataforma NAC se cercira de que el usuario cumple con la autenticacén requeriday el disposi es Sequro (sin vulnerablidades) le otorga el acceso ala red Servidor de autenticacion PRAAANYYTECNICO EN REDES Y SEGURIDAD | 03 © Instalacion de una aplicacion firewall En estas paginas, conoceremos en detalle la instalacién de un firewall de software para un sistema Windows. ZONEALARO Secon nae mara rss AN efcitar el instalador Durant a insalcin, termina la Ena consola de aque obtenemos en potters deshabiltar instalacin, se nos adnan, wuvwzonealarm.com, lsinstaladén de las pei eniciar demos ver podtemosrealzar una intalacién bares de navegador selecdonar equipo. Al iniar nuevamente, | la configurcin actual del rapid o parsonazada sta ima la descarga de frmas ytambin la detetaréla ed, para que fire live de sequidad ‘pci, nos pemité seleconar fama configura nical del identiquemos ia conesén en | que corresponde a cada unos items partiulares frenal: Por aprendizaje oSe- la queestamas conectados, 20a historia de intentos Lainstalacén pda suele utlzar — guro;el primero permit aprender utiizando les categories de acesosbloqueados y las configuacones més estandares. de es apcacionesinstaades Piiblica (més resi realizar las confguraciones vel segundo bloquearé todo, De confianza. de acceso ybloqueo. . sm amenos que selohabiite . . www redusers.comfe Chee en eiton Chet pcdepachnertnmeet Para continua, Enel apartado nos driginos a Zonas, pemos ver la configuracin ladesignacin de averzadi en alla, paraquena cada red que hemos cataloged se generen incompatiblidades, en nuesto firewall es posible ‘eshablitamos el Firewall de modiicaras si consderamos Windows ademas nos permite que es ecesaio yen la misma Aefnir los pos debioquens pantalla, agregar nuevas zona yle configuacén dered paralas zonas. Enel panel de administra, ingresamos a Ver programas, y se abtiré una opciin mostrndanas los programas habiltados para cada zona de red, Aqui podenos modifica, denegar el acceso Yy agregar nuevos programas. Debemos revi frecuentemente el Visor de registrosy no obidarnos de realizar esta tara, @ que quizis punda haber agin ‘cftware malintenconado que esté intentad establcer una cones yo sepamos lo que suced, ‘oque un softaare que ulcemos no funcione porque est siendo bloqueadlo por el irewall worw.redusers.comTECNICO EN REDES Y SEGURIDAD | 09 © Firewall por hardware La solucién mas robusta que podemos encontrar para nuestra red en términos de seguridad es un firewall por hardware dedicado a protegernos. 0s firewalls fsicos, al gual que os frenals por software proporcionan una barre que evita que intrusos tengan acceso a informacion confidencial en nuestros servidores 0 computadoras de nuestra red El frewal hace su trabajo mediante la inspeccin de ts paquetes de datos de la red la toma de decisones sobre ta convenienca de dejar pasar cirtos paquets, obloquearlos « imped su acceso Con este equipamiento podremos defy, imponery auitarpoticas de uso aceptables y de seguridad, lo que aumentaré la productvidad y disminuita el iesgo de la propiedad intelectual o informacion critica de nuestros clientes. Métodos de intrusién Los métodos de intrusion son numerasas, por nombrar solo algunos: inyeciones de SQL Gnfitracin de céigointruso cue se vale de una wulneabildad informatica, crosssite scripting (ipico dels aplicaciones web, permite a ura tecera parte injectar en paginas web cédigoJaveScipt malcioso, desbordamientos de buffer (si nuestro servidor no controle, adecuadamente ia cantidad de datos que se copia sobre el buffer, se podia legar a conseguir cierto nivel de contol saltndos las imtacones de seguridad basicas),denegacion Ce eric (D0, Denial of Service es un ataque que causa la pérdida de la conectividad de la ed por el consumo del ancho de banda en nuestra red), entre otros. wow.redusers.com @chrome ‘te sitio web contione software mmaliclse! Software Un software instalado en un servidor puede causa un retraso en ard ya qu hay mas software ivolucrado, como el sstema operativo, servicios de seguridad, prony, VPN, fitrado de contenido, ec. Un software instalado en la computadora personal también ve afectada su performance po as msmasrazones; sn embargo, el retaso es levey en la mayora de as PyMEs, noes corsiderado de mayor importance, era a medida que aumenta rico por cntidad de usuarios el impacto nel rendimiento aumenta,y debemas pensar en una soluién ‘més robusta, Una pieza de hardware que tiene toda el software instalado es el frmuare del dispositive. Firewall por hardware Los firewalls por hardware rien su capacdad de rendiminta segin su velocidad. En la actaldad,podemes encontrar equipos con una velocidad de firewall de hasta 20 ‘Gbps velocidad de VPN de hasta 2 Gbps y més de2mllones de sesi dde administracion centaliza las funciones de seguridad que suelen inclu bloqueo de spyware, ataques Dos, paquetes fragmentados y malformados, amenazas combinadas, proteccién de proxy en distintos protocclos: HTTP, HTTPS, FTP, SMTP, POPS, DNS, TCP/UDP. La VPN también suele ser el punto fuerte de esta clase de equipos con miliples formatos de cftado, como ejemplo, podemos mencionar los siguientes: DES, 3DES, AES 128-, 192 bit), IPsec (Internat Protocol Security, PPTP (Point to Foint de usuarios concurrentes. La cansola Tunneling Protoco}, y ademas afrece un completo soparte para diversos dispositivos méviles, entre otras caracteristicas, Los administradores IT pueden imponer una politica de uso que puede hacer baridos de prevencién de intrusiones de trafico, como aceptable para usuarios y grupos de usuatios: por categoria, asi también tener eoneiencia sobre las aplicaciones que se mueven por aplicacin y por subfunciones. Esto se da especialmente en a través de él (oma WolP) ointegrarse con el AD (Active Director de la mensajes instanténea (IM) y peer-to-peer (P2P), donde son nuesto servdor Si hablamos de marcas, WatchGuard y Fortinet quizés particularmente notorias la apertura de puertas traseras en sean las més reconocida del mercado, Las altemativas de igual calidad la red y la cifusion de contenido maliioso. Un ejemplo seria son: SonicWALL (de Del), Palo Alto Networks, Juniper, Cisco y la definicién de una politica que permite al departamento de Barracuda. Este ultimo también cuenta con versiones virtuales para ‘mantatla en servidores dedicados con Hiper-v en VMware, Con este mismo EL CONCEPTO DE LOS NGFW ESTA ‘ovr tnbien ens a post de mortar nusto prope sein (hidéndoncs dela rincpalflosofayvetaja de os wells por hardare) BASADO EN UN MODELO EN einsalar alguna disbucin Linux que est optinizada para aber con EL CUAL SOLO LO AUTORIZADO iptables, como es la distribucién IPCop entre otras. m= ES PERMITIDO, LO DEMAS ES BLOQUEADO. marketing acceder @ Facebook pero no a los juegos Las suscripciones de seguridad acualizan las bases de datos del firewall para estar siempre al dia, Nos permiten carga fitras. de diecciones URL que, de otra manera, seria imposible que e administrador de la red los cargara a mano, No solo hablames a nivel de seguridad también podemos inhabiltar sitios que consideremas inapropiados e incrementar la productividad de los empleados. La funcin basica de un router es encaminar la Informacion hacia su destino, Para hacerlo, necesita informacion acerca de las rutas existentes para alcanzat los dstntos destinas en nuestra red El frewal tiene, también, la capacidad de errutamiento(dindmicoy esto), lo cual aglzaré nuestra re, Un dato interesante ala hora de elegi un firewall se refiere ala cerifcacin. Hay equipas que cuentan con la aprobacion MAMA Estadisticas de 1CSA Labs (Intornational Computer Security Associaton. Seguin una estadistica publicada en el Google Ura disién independence de Verizon, que se encargadelteseo ER eae ee? intensvo de est tipo de hardvare alse someten a riguoses RR rey prusbas que reproducen ef munda rel delesredes corporatves. UMC at ge Alguros equips incluyen WF, lo cue nas permita preveer ee eee ec acceso a Internet a nuestosinvtados sin comprometer la Sa ect tan seguridad. ue eure s ee a Recordemos que 9.500 sitios web maliciosos Préxima generacién nuevos surgen cada dia, y se registran cerca de Los lamados firewalls de préxima generacién (NGFW - Next avisos de malware de descargas por dia. Generation Firewall) describen un frewallVPN corporatvo wow.redusers.com