Академический Документы
Профессиональный Документы
Культура Документы
“UNIANDES”
CARRERA DE SISTEMAS
TEMA:
AMBATO – ECUADOR
2018
APROBACIÓN DEL ASESOR DEL TRABAJO DE TITULACIÓN
CERTIFICACIÓN:
Quien suscribe, legalmente CERTIFICA QUE: El presente Trabajo de Titulación realizado por
sido prolijamente revisado, y cumple con todos los requisitos establecidos en la normativa
apruebo su presentación.
_______________________________
Ing. Baño Naranjo Freddy Patricio
ASESOR
DECLARACIÓN DE AUTENTICIDAD
Yo, Villacrés García Nelson Javier estudiante de la Carrera de Sistemas, Facultad de Sistemas
Mercantiles, declaro que todos los resultados obtenidos en el presente trabajo de investigación,
absolutamente originales, auténticos y personales; a excepción de las citas, por lo que son de
mi exclusiva responsabilidad.
_____________________________
Sr. Nelson Javier Villacrés García
CI. 0915329767
AUTOR
DERECHOS DE AUTOR
Yo, Villacrés García Nelson Javier declaro que conozco y acepto la disposición constante en el
literal d) del Art. 85 del Estatuto de la Universidad Regional Autónoma de Los Andes, que en
_______________________________
Sr. Nelson Javier Villacrés García
CI. 0915329767
AUTOR
DEDICATORIA.
A mis padres Nelson Villacrés Zamora (+) y Rosa García López, que siempre me apoyaron en
A toda mi familia, a mis hermanos, sobrinos y mis cuñadas le agradezco por siempre
respetarme y valorarme.
Graciela, mi vida como no agradecer tu apoyo incondicional, tu dedicación para que pueda
A mis hijos Valeria, Javier, Elizabeth e Iván, que son mi alegría, son producto del amor con mi
amada esposa, por eso este logro es para ustedes, los amo.
Nelson Javier
INDICE GENERAL
PORTADA
DECLARACIÓN DE AUTENCIDAD
DERECHOS DE AUTOR
DEDICATORIA
RESUMEN
ABSTRACT
INTRODUCCION ................................................................................................................1
OBJETIVOS .........................................................................................................................4
JUSTIFICACIÓN.................................................................................................................5
CAPITULO I ........................................................................................................................8
1.4.3 AMENAZAS................................................................................................................ 34
1.4.4 ACCIONES DE MITIGACIÓN....................................................................................... 35
CAPITULO II ..................................................................................................................... 39
3 MARCO PROPOSITIVO............................................................................................. 57
BOLIVARIANO. ..................................................................................................................... 58
CONTENIDOS PAG.
ILUSTRACIÓN 13 ESTADÍSTICAS................................................................................... 37
ILUSTRACIÓN 29 LOG...................................................................................................... 76
INDICES DE TABLAS
CONTENIDOS PAG.
CONTENIDOS PAG.
nuevos profesional técnicos y tecnólogos. Los Institutos son empresas que están estructuradas
Los activos informáticos deben protegerse antes los diversos sucesos que ocurren a diario en
las instituciones.
por los ataques internos y externos, por este motivo es necesario preservar los servicios físicos
sucesos dentro y fuera de la red, dando facilidad a los operadores de sistemas a sus
de la empresa para dar un grado de efectividad a la solución planteada, y determinar las mejoras
In Ecuador, technological education has gained more prominence in recent years by training
new technicians and technologists. These institutes are companies that are structured around
administrative users, teachers and students. The advance of information technology is present
Computer assets must thus be protected in light of the various events that occur daily in
institutions.
The Bolivarian Technological Institute has an IT infrastructure that is liable to internal and
external attacks. For this reason, it is necessary to protect the physical services and those
published on the Internet. Subsequently, we implemented a Perimeter Security Scheme for the
Monitoring of Events.
By doing a careful study of Gardner's Magic Quadrant, we were able to determine the use of a
Unified Threat Manager (UTM), which was done according to the characteristics of local
systems and cloud computing. For the implementation of the Perimeter Security Scheme for
the Monitoring of events, Hillstone Networks was chosen since its strength lies in the ease of
Within the event reporting feature, the firewall presents statistics of events inside and outside
the network, thereby making it easy for system operators to modify them if necessary.
In the study, the observations of the administrators of the Computer Services of the company
were compiled to give a degree of effectiveness to the proposed solution, and to determine
ANTECEDENTES DE LA INVESTIGACION
ejecutan proyectos de redes de datos, estas tienen el riesgo de estar expuestas a constantes
ataques de personas no autorizadas que puede ser internos como externos sobre todo lo s
Los at aques demuest ras un alto índice de exposición esto literalmente se denominan
amenazas que puede afectar a la fiabilidad y confiabilidad de los datos en las instituciones.
Dentro de las políticas de las organizaciones deben desarrollarse para asegurar sus redes de
equipos para la seguridad informática para contrarrestar posibles daños por acciones de
cualquier atacante o grupo que pueda tener acceso malicioso a la red. La severidad de los
ataques pueden ocasionar pérdidas irreparables estas son: totales, parciales o la alteración de
la data.
informáticos, ya que para el hacker resulta atractivo provocar una pérdida económica para su
Uno de los mecanismos de protección es: La Seguridad Perimetral se puede definir como la
colocación de las protecciones necesarias en la entrada de una red privada para protegerlo de
las amenazas. Las redes de datos se protegen con la instalación de componentes físicos que
1
efectúan una barrera contra los atacantes en donde se realizan políticas de seguridad
Este periférico se le da el nombre Firewall y se ubican entre las redes Lan (área local),
INDUSTRIAL.” (Miranda Moreira, 2015), realizado por Ing. Christian Mauricio Miranda
• Segmentación de la Red
información de los activos informativos a nivel de red y sus interfaces. El resultado que nos
datos, todavía se evidencia que los esfuerzos son más de carácter reactivo que preventivo, es
para hacer Hacking de Sombrero Blanco. Con este proceso se pudo obtener antecedentes muy
• Encontrar tormenta de broadcast que consume importante ancho de banda, esto origina
de diferentes carreras.
La institución tiene una gran acogida ante la población que necesita carreras tecnológicas, por
Con este equipo se realiza la denegación de servicios, bloqueo de ataques, filtrado de contenido,
etc. Pero debido al crecimiento estudiantil y a las diversas limitaciones que tienen los Firewalls
a nivel software; el ITB tiene índice muy alto de ataques debido a las varias vulnerabilidades
En base a este análisis se han encontrado equipos que presentaron perdida de información por
ransomware, perdida de conectividad, ataques recursivos, entre otras. Podemos interpretar que
3
la red es vulnerable a los atacantes informáticos que existen en el exterior.
¿Cómo mejorar la seguridad perimetral ante los constante ataques que se presente en las sedes
Objeto de Investigación
Seguridad Informática
Campo de Acción
Seguridad Perimetral
Objetivos
Objetivo General
Objetivos Específicos
4
• Fundamentar científicamente los modelos de gestión y los procesos de seguridad
• Validar la propuesta.
Idea a Defender
ingreso generado por los usuarios, también se podrá proteger de una manera eficiente y
Justificación
La seguridad perimetral es una infraestructura tecnológica que se realiza en las redes de datos,
que puede ser detectado y ejecutado por Hackers que ocasionarían consecuencia irreparable a
5
partir de los cuales podemos hacer políticas de control para bloquear o filtrar los accesos desde
deben ser interpretado correctamente por él o los administradores para que realicen las
políticas de mitigación correctas, caso contrario puede tener fácil acceso a la red por ataques
locales y foráneos.
Los administradores de seguridad informática deben observar detenidamente los sucesos que
amenazas profundas, ofrece a los clientes una visibilidad completa de la situación de riesgo en
la red, así como los detalles de amenaza para cada huésped. Debe proporcionar a los
alcance, que nos permite ganar tiempo para examinar los datos forenses, tomar una decisión
6
informada acerca de la autenticidad del ataque, y reducir al mínimo los daños. (Hillstone
Networks, 2017)
haber implementado el esquema, esto permitirá tener un control sobre la arquitectura existente
red saludable.
7
CAPITULO I
1 MARCO TEÓRICO
1.1 Redes
Se puede definir una red informática como un sistema de comunicación que conecta
ordenadores y otros equipos informáticos entre sí, con la finalidad de compartir información y
Una red es un medio de comunicación que permite a personas o grupos compartir información
2015)
Una red informática es el medio de comunicación entre dos o más computadores personales
8
1.1.1 Funcionamiento
Las redes están integradas por tres componentes que son: el software de aplicaciones
(aplicativos se comunican con los usuarios), software de red (programa de comunicación entre
Los tipos de redes se clasifican dependiendo del alcance que se desea llegar, estas pueden estar
Fuente: http://esmeyxime.blogspot.com/2011/03/redes-lanman-y-wam.html
9
1.1.2.1 Redes de Área Personal (Pan)
Las redes de área personal, llamadas PAN (Personal Área Network) permiten a los dispositivos
comunicarse en un rango de poco alcance. Ella generalmente convive con nosotros, tenemos
dispositivos como mouses, teclados, impresoras. Entre los medios de comunicación tenemos a
los cables usb y a los infrarrojos. (Galván Hernandez & García Reyes)
Fuente: https://sites.google.com/site/montadoderedesenlapc/clasificacion
Las redes de área local LAN, son redes de propiedad privada que se encuentran en un solo
Son redes privadas que funcionan dentro de un área no mayor a 100 metros entre los diversos
dispositivos de comunicación.
La red metropolitana o Metropolitan area network (MAN), que también se conoce con red
10
federalista, garantiza la comunicación a distancias más extensas y a menudo interconecta varias
redes LAN. Puede servir para interconectar, por una conexión privada o pública, diferentes
Red de área ampliada (Wide Area Network, Wan): consisten en la unión de varias redes LAN
O MAN. Estas redes alcanzan grandes distancias, normalmente entre ciudades, países o
Fuente: https://definicion.de/wp-content/uploads/2011/08/RedWAN.png
11
1.1.3 Análisis de la Red
El análisis de redes nos permite comprobar el intercambio de información entre los usuarios,
periféricos y aplicativos dentro de una red estructurada. Este proceso ayuda para obtener un
punto equilibrio entre las necesidades de los usuarios con las características de los sistemas.
La seguridad es un área del diseño de una red en la que no deben adoptarse compromisos.
Aunque pudiera ser necesario encontrar formas más baratas o menos optimizadas para disponer
de una red segura, no resulta aceptable reducir la seguridad para añadir otras capacidades a la
Una evaluación de riesgos de la red permitirá identificar las áreas en las que esta será más
de riesgos como parte de sus planes globales del negocio y de recuperación ante desastres.
Este proceso nos permite observar una perspectiva de todo el diseño, en base a los exigencias
de los usuarios y analizando las limitaciones que tendrán en el área de la seguridad informática
Dialogar con el recurso humano de todas las áreas en la empresa ayuda a poder analizar la
Los procesos esenciales deben incluir los diferentes servicios de una red, tales como el manejo
12
Existen servicios adicionales, que podemos detallar como los circuitos cerrados, el uso de
aplicativos, video con streaming, estos requerimientos consumen un gran ancho de banda.
La planificación y diseño de las redes locales siempre se ha hecho teniendo en cuenta varias
cuestiones:
La forma de interconectar las estaciones de una red local, mediante un recurso de comunicación,
las prestaciones que de la red pueden obtenerse. (Alabau Muñoz & Riera García, 1992)
tipo de tráfico que debe cursar y de una valoración de la importancia relativa de las prestaciones
que de la red se pretende obtener. (Alabau Muñoz & Riera García, 1992)
13
• Topología en estrella.
• Topología en bus.
• Topología en anillo
La Topología estrella se caracteriza por existir en ella un modo central al cual se conectan
directamente todas las computadoras, de un modo muy similar a los radios de una rueda, Como
se deducir, si falla el nodo central se afecta toda la red. Sin embargo, esta topología ofrece una
gran modularidad, lo que permite aislar una estación defectuosa con bastante sencillez y sin
14
1.1.5.2 Topología en Bus.
La topología de bus es la estructura que más se utiliza en las redes pequeñas. Todas las
estaciones de trabajo, con el servidor incluido, están conectadas a un segmento de red a través
de un cable propio que lleva una resistencia terminal en cada extremo. (Durán Rodríguez, 2007)
información pasa de una estación a la siguiente hasta que llega al destinatario al que va dirigida.
Si este anillo cerrado queda interrumpido por el fallo de una estación de trabajo toda la red deja
TCP/IP es un protocolo jerárquico compuesto por módulos interactivos, cada uno de los cuales
Mientas el modelo OSI especifica que funciones pertenecen a cada uno de sus niveles de la
mezclar y hacer coincidir dependiendo de las necesidades del sistema. (Behrouz A., 2002)
15
La composición TCP/IP está estructurado por la unión de dos protocolos que permiten la
comunicación de los datos, estos son: el protocolo TCP (Transmission Control Protocol) y el
El modelo OSI usa un proceso conocido como encapsulación secuencial procesar datos a través
de varias capas del modelo hasta que esté listo para la transmisión a través de un medio de red.
Cada capa del modelo OSI realiza alguna transformación de los datos, agregando un
encabezado que encapsula los datos recibidos de la anterior capa o convirtiendo los datos en
5 Sesión
4 Transporte Transporte
3 Red
2 Enlace Orientadas a red (o subred)
1 Físico
16
Ilustración 8 Pila OSI
Fuente https://commons.wikimedia.org/wiki/File:Pila-osi-es.svg
El nivel físico coordina las funciones necesarias para transmitir el flujo de datos a través de un
medio físico. Trata con las especificaciones eléctricas y mecánicas de la interfaz y del medio
de transmisión. También define los procedimientos y las funciones que los dispositivos físicos
y las interfaces tienen que llevar a cabo para que sea posible la transmisión. (Behrouz A., 2002)
Si un pirata informático tiene acceso a un componente físico de una red informática, como una
computadora conectada a esa red o los propios cables, puede utilizar un localizador de paquetes
Estos dispositivos simplemente monitorean el cable de red y capturan los bits que pasan, lo que
permite al usuario monitorear todo el tráfico en la red. Si estos paquetes no están encriptados,
el hacker esencialmente tiene acceso completo para ver todo el tráfico de la red, invalidando
que la capa de red no los vea. Para lograr esta tarea, el emisor divide los datos de entrada en
tramas de datos (por lo general, de algunos cientos o miles de bytes) y transmite las tramas en
forma secuencial. Si el servicio es confiable, para confirmar la recepción correcta de cada trama,
el receptor devuelve una trama de confirmación de recepción. (Tanenbaum & Wetherall , Redes
de Computadoras, 2012)
La capa de red realiza la transferencia de información entre sistemas finales a través de algún
utilizadas para conectar los sistemas. En esta capa, el computador establecerá un diálogo con la
red para especificar la dirección destino y solicitar ciertos servicios, como por ejemplo, la
La capa de transporte proporciona un mecanismo para intercambiar datos entre sistemas finales.
El servicio de transporte orientado a conexión asegura que los datos se entregan libres de
errores, en orden y sin pérdidas ni duplicaciones. La capa de transporte también puede estar
involucrada en la optimización del uso de los servicios de red, y en proporcionar la calidad del
Una vez establecida la conexión entre dos terminales, esta capa se asegura de controlar y
mantener el enlace establecido. Dependiendo del servicio, esta capa asegura esta sesión
(conexión entre dos máquinas) desde principio a fin, reanudándola en caso de interrupción o
Es el nivel que trata el contenido de la información, que puede estar construida por datos,
imágenes, sonido, etc. Los datos llegan mediante una u otra codificación, dependiendo del
sistema que los trate los traduce para que el usuario pueda verlos y comprenderlos. (Aguilera
López, 2010)
Esta capa es responsable de coger los formatos (tanto patentados como estandarizados)
La actividad más importante que tiene lugar en la capa de presentación a nivel de la seguridad
transmitidos a través de la red de forma transparente. Maneja estos procesos matemáticos para
La capa de aplicación proporciona a los programas de aplicación un medio para que accedan al
19
entorno OSI. A esta capa pertenecen las funciones de administración y los mecanismos
también residen las aplicaciones de uso general como, por ejemplo, la transferencia de archivos,
(Stallings, 2004)
ocurren en la capa de aplicación del modelo OSI. Esta capa incluye casi todos los objetos de
La mayoría de veces necesitamos configurarlos equipos de red de forma que hagan más
eficiente y más segura la comunicación. Los equipos de una red deben ser identificados de
forma univoca en esa red, pero si unimos redes, los dispositivos de interconexión de redes deben
tener al menos un identificador único en esa Wan. Está claro que la dirección MAC nos serviría,
pero en el caso de las redes Ethernet, estas se basan en otro código, la dirección IP. (Gómez,
2011)
En el plan de montaje lógico debemos saber que direcciones IP tendrán los equipos o por lo
menos, en que rango de direcciones IP se pueden mover. Es decir crearemos subredes dentro
de las redes para acelerar la transmisión y crear redes lógicas que puedan actuar como redes
independientes. Además estas redes formarían parte de una red mayor privada (del usuario o
una empresa) o, incluso parte de una red pública (de proveedores externos, los ISP). Para crear
subredes lógicas dentro de una red física, debemos segmentar las redes (Gómez, 2011)
Existen dos razones esenciales para segmentar una red, que son las siguientes:
• Brinda contención de las colisiones. Estas son más pequeñas y en queda en el segmento
20
de red. Sin la segmentación, las redes más grandes pueden tener colisiones en el tráfico
• La conexión es fluida entre los hosts y las subredes, la información llegan directamente
La seguridad informática es la disciplina que con base en políticas y normas internas y externas
minimizando los riesgos tanto físicos, a los que está expuesta. (Baca Urbina, 2016)
de acuerdo con el marco de gestión y de negocio global para el gobierno y la gestión de las TI
(Tecnología Informática) de la empresa, las características que debe poseer la información son:
La Ingeniera Social es el acto de manipular a una persona para que lleve a cabo una acción que
puede ser o no lo más conveniente para cumplir con cierto objetivo. Este puede ser la obtención
21
de información, conseguir algún tipo de acceso o logar que se realice una determinada acción.
(Hadnagy, 2011)
embargo un ingeniero social experimentado es un arma letal contra la que resulta imposible
eso es tan importante, tanto para una organización como para nosotros -usuarios de internet-,
tratar de no dar información confidencial o personal a extraños. Y ante algún suceso inesperado
La Ingeniería Social se orienta hacia las personas con menos conocimientos, dado que los
argumentos y otros factores de influencia tienen que ser construidos generando una situación
creíble que la persona ejecute. La principal defensa contra la Ingeniería Social es educar y
entrenar a los usuarios en la aplicación de políticas de seguridad y asegurarse de que éstas sean
medio para obtener información acerca de una o varias personas, con el fin de alcanzar
un beneficio o de causar algún daño. No se asocia sólo a las acciones ejecutas en línea (o en
Los atacantes estudian los orígenes de las fallas de seguridad conocidas y utilizan herramientas
automáticas para violar la seguridad de la red y luego explotar cualquier debilidad identificada.
El monitoreo es una parte importante para mantenernos al tanto de las nuevas amenazas y
vulnerabilidades de seguridad.
tipos de amenazas de las que hay que proteger al sistema, desde las físicas como cortes
eléctricos, fallos del hardware o riesgos ambientales hasta los errores intencionados o no de los
Las vulnerabilidades son brecha de seguridad que existe en la parte tecnológica relacionadas
con el software y el hardware. Estas son aprovechadas por delincuentes informáticos para
Los tipos de amenazas que puede sufrir una organización dependen del tipo de organización o
de la forma en que utiliza la tecnología para realizar sus procesos diarios. (Areitio, 2008)
Según la forma de producirse, las amenazas pueden ser accidentales (intento no premeditado),
23
como el malfuncionamiento de sistemas, los errores del software y los fallos operacionales e
Ataques lógicos:
1.2.3.2 Monitorización:
Los atacantes se dedican a monitorear a sus futuras víctimas, analizando sus sistemas
publicados en sitios web, para localizar vulnerabilidades y ver las factibles formas de ingreso.
Conocido como Spoofing, este ataque nos permite localizar el nombre y contraseña de un
usuario legítimo para, luego ingresar al sistema, tomar el mando sobre el mismo. El atacante
utiliza esta técnica para obtener información y tener la facultad de ingresar a otros sistemas.
Para prevenir estos y otros ataque, ningún antivirus es suficiente, de ahí que lo más
cibernético bien preparado puede violar con facilidad la seguridad de cualquier tipo de red.
Se trata de impedir el correcto funcionamiento de los sistemas a los usuarios autorizados para
ellos. Son muy habituales, en el caso de las redes, saturar servidores web a base de accesos
simultáneos de forma que las peticiones de los usuarios no puedan ser atendidas. (Aguilera
López, 2010)
24
Los ataques de Denegación de Servicios (DoS) consisten en distintas actuaciones que persiguen
colapsar determinados equipos o redes informáticos, para impedir que puedan ofrecer sus
El Instituto Tecnológico Bolivariano de Tecnología, por ser una institución educativa está
expuesto a ataques internos, ya que los propios estudiantes utilizan medios del Tecnológico, tal
Nos encontramos con ataques de fuerza bruta, sql inyection, entre otros. Los estudiantes con la
curiosidad de aprender, intentan vulnerar las seguridades de la institución. Por lo cual se los
Otros tipos de ataques internos son aquellos ex colaboradores que han trabajado en el área de
Tics, por ver manejado usuarios y contraseñas, por eso la institución debe tener una política de
Los administradores de seguridad del Instituto Tecnológico Bolivariano, deben ser persona con
buena reputación y confiabilidad para el manejo de todos los conceptos de seguridad que
En los ataques externos tenemos más herramientas para detectarlo, con el uso de Firewall,
podemos utilizar la reportería y los logs para interpretar el tipo de ataques que tenemos.
Los atacantes suelen realizar diversas técnicas como: denegación de servicios, sql injection, xss
25
1.2.3.7 Ataques de virus informáticos.
Los virus informáticos son programas con la capacidad de replicarse a sí mismos sin el
consentimiento del usuario. Existen muchos tipos de virus, de acuerdo al lugar donde se alojan
en el ordenador o para lo que están programados. (Diaz Orueta, Alzórriz Armendáriz, &
los equipos informáticos, su comportamiento se verá reflejado en las actividades anormales que
presenta el computador.
Los virus se han convertido en un gran problema en Internet y han causado que se pierdan miles
Toda empresa que maneje sistemas informáticos y almacene datos debe seguridad y de
Las copias de seguridad son duplicados de toda la información o parte de ella que se desee
sea a través de internet, en otro disco duro o en un medio extraíble. En caso de que se produjera
Cualquier empresa que realice copias de seguridad debe seguir una estricta política a la hora de
almacenar sus copias, ya que de lo contrario podría darse el caso de restaurar una versión muy
26
1.3 Seguridad Perimetral
sensibles. Entre estos sistemas cabe destacar los radares tácticos, videosensores, vallas
Jimenez, 2012)
Son tareas y mecanismos físicos cuyo objetivo es proteger al sistema (y, por tanto
También podemos añadir que es un sistema integrado por varios componentes tecnológico
tanto de Hardware y Software, que funcionan de manera sincronizada para detectar y tomar
Las políticas de mitigación tienen como característica el detectar de forma proactiva las
amenazas que pase en los periféricos de la red y solucionar las alteraciones posibles.
El firewall debe tener bien estructuradas las políticas para que dé acceso o deniegue el flujo de
simultáneamente tanto a la red externa (internet) como a la red interna (la zona privada) y tiene
Un proxy es un agente que realiza una función en nombre de o por encargo de otro, en este caso
la conexión a y desde internet con los ordenadores de la zona visible de la intranet. El único
ordenador que tiene una dirección de internet será el del proxy, y solo el efectúa una conexión
Cortafuegos de tipo stateful inspection, o de filtrado dinámico de paquetes, que son capaces de
mantener el estado de cada sesión a través del cortafuegos y cambiar las reglas de filtrado
Es una solución eficaz que ofrece una plataforma de seguridad compuesta por funciones de red
antivirus, routing, permite crear políticas por grupo o usuario. Está diseñado para proteger
contra las amenazas de la capa de aplicación y ofrece una consola con monitoreo, logs y un
28
granular sobre las aplicaciones. Puede identificar y prevenir amenazas potenciales asociadas
con las aplicaciones de alto riesgo mientras que ofrece control basado en políticas para
aplicaciones, usuarios y grupos. Se pueden definir políticas para garantizar el ancho de banda
para aplicaciones de misión crítica mientras que se restringen o se bloquean las aplicaciones no
Los cortafuegos son sistemas integrados, por diferentes módulos de seguridad. Estos son
Los Firewalls a nivel de Software, son instalados en Servidores, donde cumple con la función
fragilidad de los estados de los componentes del equipo, Estos son recomendado en
Los Cortafuegos físicos, son diseñados para manejar gran volumen de usuarios, tienen una
IPS, Intrusion Prevention System, está diseñado para monitorear varios ataques de red en
tiempo real y tomar medidas apropiadas acciones (como bloque) contra los ataques según su
configuración.
El IPS puede implementar una detección completa basada en el estado que reduce
En el Instituto Tecnológico Bolivariano se han creado reglas de IPS, unas destinadas al uso de
29
Los estudiantes tienen una regla que bloquea las ips de los atacantes por el tipo de sistemas
operativo, por el grado de severidad, por las vulnerabilidades de los aplicativos y por el tipo de
Los administrativos poseen una regla que efectúa un reset de la página web que presenta
anomalías. También se lo mide por la severidad del ataque, vulnerabilidades conocidas y posee
una excepción por falso positivo en el sistema gestión académico, por el motivo que los
usuarios comente en ciertos casos errores en el login del aplicativo y el firewall lo puede
El filtro de URL controla el acceso a ciertos sitios web y registra los mensajes de registro para
Entre los listados tenemos para los usuarios que se ubican en zona críticas como las cajas, ellos
solo tienen acceso al sistema de gestión académica y el resto se les bloquea el acceso.
diferentes páginas. Todos los listados diseñados para el Itb, tiene bloqueo de pornografía, spam,
El sistema está diseñado con un antivirus que está controlado por una solución de alta velocidad,
alto rendimiento y baja demora. Con esta función configurada se pueden detectar varios
30
amenazas, incluidos gusanos, troyanos, malware, sitios web maliciosos, etc.,
En la función Anti Virus se creado una regla que permite detectar los tipos de archivos comunes
y los tipos de protocolos que son más propensos a transportar el virus y proteger a la red de
ellos.
Los dispositivos que generalmente se pueden detectar son tipos de protocolos de POP3, HTTP,
HTTPS, SMTP, IMAP4 y FTP, y los formatos de archivos comprimidos GZIP, BZIP2, TAR,
Se estableció diferentes campos de acción para los protocolos. Para los HTTP –HTTPS, al
momento de detectar un virus, el antivirus va resetear la página web, evitando que la acción
Para los protocolos de correo de electrónico, se generó que al momento de detectar un virus en
un archivo adjunto, haga el proceso de Fill Magic, que no es cosa que la reparación del archivo
de manera binaria.
Si IPv6 está habilitado, la función Anti Virus detectará archivos y protocolos basados en IPv6.
La base de datos de firmas de virus puede contener más de 10,000 firmas, y es compatible con
1.4 Monitoreo
estadísticas en un gráfico de barras, línea gráfico, tablas, etc., lo que ayuda a los usuarios
tiempo.
los datos de gestión del tráfico, los datos de amenazas, el monitor datos y datos de
multi-dimensional.
• Registro: registra varios registros del sistema, incluidos registros del sistema, registros
Es un análisis multidimensional que muestra en profundidad todos los activos críticos, hosts
Podemos generar un monitoreo de los equipos publicados en la Web, estos pueden ser servidor,
Dentro del análisis podemos tener alertas de elementos críticos, alto, medio o bajo. El
administrador debe tomar correctivos en caso que las políticas de mitigación, no esté dando los
resultados deseados.
32
Podemos obtener una estadística a tiempo real, horas, día, mes y personalizada.
Fuente Investigador
Este proceso permite identificar el Host del atacante y el Host de la víctima. Nos indica un
reporte donde se puede identificar el nombre del ataque y la frecuencia en que se da el mismo.
De acuerdo a las políticas de seguridad realizadas por el administrador, esta hace concordancia
y realiza una acción, que es reflejada en el reporte en la parte del status y están suele ser de
33
Para Hillstone los hosts son parte del aseguramiento tecnológico, es una parte clave ya que por
medio de este se minimiza las posibles intrusiones y se bloquea accesos por medio de
vulnerabilidades que afecten las aplicaciones o programas que estén en los equipos de cómputo
o servidores.
Los firewall de host permiten por medio de reglas restringir conexiones externas a servicios y
puertos del equipo, el firewall de red restringe tráfico de red y limita desde el perímetro accesos
Fuente Investigador
1.4.3 Amenazas
El cortafuego ayudara a proteger contras las amenazas que existen en Internet. Esta se da con
34
El control de amenazas de Hillstone permitirá contrarrestar los múltiples de ataques que se dan
Tiene un avanzado filtro de contenido, que permitirá dar acceso o denegar la navegación web.
personalizadas.
Para generar comunicación remoto podemos utilizar un aplicativo para Vpn que tiene un alto
El módulo de Mitigación tiene una tecnología de respuesta activa que ayuda a mitigar las
amenazas de acuerdo a lo que pase en sus dispositivos de red, punto final o firewall, y corrige
1.4.5 Estadísticas
(Tiempo real, últimas 1 hora, últimas 1 día, últimas 1 semana, último mes, período
35
personalizado) Las estadísticas incluyen el número de aplicaciones para la interfaz /
aplicaciones.
• QoS: muestra las estadísticas de tráfico de la tubería dentro del período especificado
(Tiempo real, últimas 1 hora, últimas 1 día, últimas 1 semana, último mes, período
personalizado)
• Dispositivo: muestra las estadísticas del dispositivo dentro del período especificado
(Tiempo real, últimos 5 minutos, últimos 15 minutos, último 1 hora, último 1 día, última
36
1 semana, último mes, período personalizado), incluido el tráfico total, Estado de CPU
• URL Filter: puede recopilar estadísticas en usuarios / IP, URL y categorías de URL.
• Monitor de estado de enlace: muestra las estadísticas de tráfico de las interfaces que se
Ilustración 13 Estadísticas
Fuente Investigador
37
1.5 Conclusiones Parciales de Capitulo
seguridad perimetral.
• La Seguridad Informática debe ser prioritaria ya que los activos de la empresa está dado
• Tenemos unas herramientas de monitoreo que nos permite determinar los ataques
activos críticos que son muy útiles en servicios publicados en la web. Podemos ver
• Existen en el mercado sistemas de alertas para determinar los diversos ataques internos
y externos. Esta parte muy útil para los administradores para añadir, eliminar o
38
CAPITULO II
2 MARCO METODOLOGICO
obtenidos sobre él, esquema de seguridad perimetral para el monitoreo de eventos en el Instituto
Superior, con Registro Institucional Nro. 09-030 otorgado por el CONESUP, de derecho
Inicia con la cesión de derechos que realiza el Sr. Antonio Gregorio Gutiérrez Peñafiel del
Instituto Técnico Superior Particular Mastercomp con sede en la ciudad de Milagro, creado por
resolución 2763 del Ministerio de Educación y Cultura del 24 de Junio de 1996 al Lsi. Manuel
acuerdo No. 0068 del 12 de octubre de 1999 autoriza el cambio de nombre a Instituto Técnico
Luego la Subsecretaria Regional de Educación con acuerdo No. 0474 del 28 de junio del 2000
reconoce el acuerdo No. 0068 expedido por la Dirección Provincial de Educación y Cultura del
12 de octubre de 1999; la cesión de derechos a favor del señor Lsi. Manuel Roberto Tolozano
39
Benites; y, autoriza el cambio de domicilio del cantón Milagro a la ciudad de Guayaquil;
El 11 de Diciembre del año 2001 la Junta General de Directivos y Profesores acepta la renuncia
presentada por el Lic. Gonzalo Enrique Jarrín Mora a su cargo de Rector y nombra en su lugar
al Lsi. Manuel Roberto Tolozano Benites, documento que se hizo llegar al CONESUP.
Bolivariano de Tecnología.
ámbito es nacional.
Ser una institución caracterizada por su autonomía de pensamiento y de desarrollo interno como
Ecuador que:
40
• Sea reconocida como un aliado estratégico de instituciones educativas, empresas y otros
su equipo de trabajo.
desarrollo.
41
Ilustración 15 Organigrama Institucional
Fuente: Investigador
42
2.2 Descripción del procedimiento metodológico
cuantitativa.
Investigación Bibliográfica
Investigación de Campo.
institución.
a) Deductivo: Este método permitirá examinar técnicamente una serie de datos, conceptos
y características generales para llegar a particularidades relevantes que sirvan como base
43
seleccionar la mejor alternativa de seguridad perimetral a implementarla dentro del
Las técnicas que se utilizaron en esta investigación son: La entrevista y la encuesta. Cada una
2.2.4.1 La entrevista
preguntas abiertas acerca de los ataques producidos en la red informática por intrusos internos
y externos.
2.2.4.2 La encuesta
Esta técnica nos permite exponer un cuestionario cerrado de preguntas a un grupo pequeño de
usuarios con finalidad de hacer un sondeo de opinión, y poder tener datos confiables acerca del
tema seleccionado.
La muestra se la recolectó a los directivos, área técnica, directores de áreas, docentes y alumnos
del Instituto Tecnológico Bolivariano, las preguntas estructuradas fueron acerca de la seguridad
44
2.2.5 Población y Muestra
2.2.5.1 Población
Rector 1
Vicerrectores 2
Directores de Áreas 3
Ingenieros de Soportes 3
Docentes 3
Total 12
Tabla 2 Población
Fuente: Encuesta
Realizado por: Investigador
Encuesta aplicada a rectores, directores de áreas, ingenieros de soporte y los docentes del
Análisis de encuesta
45
1.- ¿Considera necesario que exista la seguridad perimetral dentro de la institución?
Seguridad Perimetral
ALTERNATIVA CANTIDAD %
SI 10 83
NO 2 17
TOTAL 12 100
Fuente: Encuesta
Elaborador por: Investigador
Análisis
Interpretación
Con la implementación del esquema permitirá a la institución proteger de mejor manera los
46
2.- El Instituto Tecnológico Bolivariano cuenta con algún firewall sea por software o
hardware.
Gráfico 2 Firewall
Fuente: Encuesta
Elaborador por: Investigador
Análisis
Los encuestados indicaron en un 67% que conocían que ITB, tiene en los actuales momentos
Interpretación
Con el esquema actual no sería adecuado continuar, debido al gran número de usuarios
Fuente: Encuesta
Elaborador por: Investigador
Análisis
El 100% de los encuestados detallaron que a diario existen ataques de seguridad a la red del
Interpretación
Los ataques de seguridad han sido mitigados con políticas de seguridad, tanto para los ataques
48
4.- ¿Considera que existen vulnerabilidades en los computadores de los usuarios?
Fuente: Encuesta
Elaborador por: Investigador
Análisis
Los encuestados llegan a un 75%, indicando que los computadores son vulnerables a los
Interpretación
De acuerdo a los datos proporcionados un alto porcentaje de los encuestados indican que los
49
5.- ¿Los administradores de seguridad están preparados para controlar los ataques
de seguridad?
Administradores de seguridad
ALTERNATIVA CANTIDAD %
1.-
SI 10 83
NO 2 17
TOTAL 12 100
Tabla 7 Administradores de seguridad
Fuente: Encuesta
Realizado por: Investigador
Fuente: Encuesta
Elaborador por: Investigador
Análisis
Los encuestados detallaron que los administradores de seguridad del ITB esta preparados para
Interpretación
los ataques de seguridad. Pero esto debe ir de la mano con un centro de monitoreo de eventos.
6.- ¿Puede indicar usted si existen un registro de accesos a los servidores de la empresa
50
no autorizados o sus intentos fallidos?
Fuente: Encuesta
Elaborador por: Investigador
Análisis
Los encuestados se encasillaron en 83% que indica NO se lleva un registro de los accesos no
Interpretación
Los Institución no presenta un monitoreo de incidencias o eventos para poder detectar y corregir
políticas de seguridad que puedan mitigar los posibles accesos o hackeos a los servidores.
Fuente: Encuesta
Elaborador por: Investigador
Análisis
eventos.
Interpretación
Las herramientas para realizar monitoreo de eventos en una red son muy útiles para determinar
los accesos no autorizados a una red. Con la ayuda de estas los administradores de seguridad
pueden tomar correctivos para bloquear o mitigar esos intentos de accesos no deseados.
La entrevista se realizó a la Lic. Tatiana Tapia Bastidas, Directora del área de Tecnología de
Preguntas Respuestas
Pregunta 1. ¿Considera eficiente la Sí, porque en la actualidad el desarrollo de
seguridad perimetral para proteger los aplicativos web, utilización de centrales
sistemas institucionales? telefónicas ip, circuitos cerrados entre otros, se
encuentra publicados en el ciberespacios y son
fácilmente detectado por intrusos locales y
foráneos. Por lo cual están expuestos a ser
vulneradas sus seguridades. Entonces la
seguridad perimetral permite estructurar una
barrera para estos ataques.
Pregunta 2. ¿Actualmente la institución Sí, tenemos levantado un Firewall a nivel
cuenta con firewall para la protección software con Linux Centos 5.0, donde existen
de la seguridad perimetral? iptables, acl, en funcionamiento para mitigar los
ataques.
Pregunta 3. ¿Usted cree el servidor No, los cortafuegos a nivel software tienen sus
Linux cumple con las necesidades para limitaciones en la administración y el diseño de
evitar los ataques? políticas de seguridad. Estos firewall son
eficientes en empresas pequeñas
Pregunta 4. ¿En la actualidad su diseño Si, se ha trabajado con el personal técnico en el
de red es compatible con la diseño de una red certificada. Se ha segmentado
implementación de firewall físico de en vlans, con switch core. Los servidores se
última generación? encuentran ubicado en una dmz, y la wan, lan
entre otros segmentos de la red.
53
Pregunta 6. ¿Considera preparados a Bueno esto es un tema muy importante nuestros
los Ingenieros de infraestructura de la personal tiene algunas certificaciones a nivel de
institución para diseñar políticas de servidores. Tiene conocimientos a nivel
seguridad para proteger el perímetro seguridad y después de la implementación para
de la red? va a tener un traspaso de conocimiento acerca
del equipo. Buscaremos certificar a nuestros
ingenieros en el firewall.
Pregunta 7. ¿Se diseñara un esquema Sí, es muy importante y necesario que se adecue
de monitoreo de eventos? para que los administradores tengan la facilidad
de detectar el tipo ataque y puedan mitigar los
mismos con políticas de denegación de
servicios.
Pregunta 8. ¿El firewall propuesto tiene Si, presenta un dashboard donde nos indica en
un módulo para monitoreo de eventos? qué estado están los servidores críticos, los
ataques por virus y las amenazas encontradas en
nuestra red. Y tiene un módulo de reportería
muy amigable donde para nuestros expertos de
seguridad son muy útiles para tomar soluciones.
para el desarrollo tecnológico que tiene el ITB. Ya que la misma carece de un dashboard,
de los casos.
54
Para solventar este inconveniente, se realizó un análisis que vaya de la mano a las
migración al Firewall
• Adquirir el Firewall Hillstone T1860, que tiene un desarrollo que se acomoda fácilmente
• Diseñar un esquema de monitoreo de eventos, con los módulos de reportes que tiene
Firewall.
55
2.5 Conclusiones Parciales del Capítulo.
seguridad anterior, era muy limitado y complejo su uso. Al encontrarnos con esta
Tecnológico Bolivariano. Todo este proceso debe ir bien encaminado de una buena
• Los gastos de adquirir e implementar el Firewall Hillstone T1860, son necesario para
56
CAPITULO III
3 MARCO PROPOSITIVO
3.1 Tema
Bolivariano
3.2 Objetivos
• Crear redes virtuales (Vlan), para evitar la congestión de la red interna y tener una
• Optimizar el ancho de banda del internet con la finalidad de dar el mejor uso a los
• Diseño de listas, para dar acceso o denegar la navegación a los usuarios a las
• La información será importada por un servidor de syslog, para poder tener una
57
3.3 Desarrollo de la Propuesta
3.3.1 Antecedentes
seguridad perimetral, un servidor que tiene el sistema operativo Linux distribución Centos 5.0,
manejo del monitoreo de eventos, hace que el proceso sea casi nulo.
• Servidor Hp Ml110 G9
• Implementación y capacitación
El Instituto Tecnológico Bolivariano de Tecnología, tienen una red lan segmentada para
Cuenta con 1000 puntos de datos de su red alámbrica. Las sedes se encuentran unidas en Bridge
Esta red se encuentra en un crecimiento constante, por esta razón la seguridad perimetral toma
58
Por este motivo se hace necesario colocar equipos con mejor performance y realizar una
infraestructura debe estar protegido por los posibles ataques internos y externos a la red.
Los equipos actuales fueron instalados en el 2012, donde se tenían apenas 200 usuarios con
puntos de red de datos alámbricos. Para las labores de seguridad, se ha estado utilizando un
servidor bajo sistema operativo Linux. Por estos motivos resulta imperante renovarlos por las
siguientes causas:
• El equipo actual es un Servidor Hp con sistema operativo Linux Centos 5.0, este
detalla de los ataques. No existe un servidor de syslog, para guardar los logs.
59
3.3.1 Diagrama de red Instituto Tecnológico Bolivariano de Tecnológica
Fuente Investigador
60
3.3.1.2 Diagrama de la red Lan.
61
3.4 Esquema Propuesto
Niche Players.
Hillstone tiene su sede en Beijing, China, con sede regional en Sunnyvale, California. Es
filtrado de URL para el tráfico HTTPS y la descarga TLS / SSL y la mejora de sus funciones
existentes.
Hillstone es uno de los pocos proveedores chinos de seguridad de redes que se está expandiendo
gradualmente en otras regiones fuera de China, como el sudeste de Asia, Medio Oriente y África
mercado chino.
Los cortafuegos de Hillstone son un buen candidato para las empresas con redes híbridas, como
3.4.1.2 Fortalezas
Estrategia de producto: las ofertas de productos Hillstone y las mejoras de funciones cumplen
con todos los casos de uso empresarial más enfocados hacia las redes de infraestructura de
operador y nube con entornos virtualizados. El proveedor introdujo la descarga de SSL y las
funciones de espacio aislado de la red basada en la nube en 2016 para admitir casos típicos de
62
Las mejoras de funciones como el equilibrio de carga de enlace y QoS granular son más útiles
para los casos de uso del operador, y las ofertas como CloudHive y CloudEdge (con soporte
para nubes públicas de múltiples proveedores) son mejores para infraestructura de nube y casos
Esto hace que Hillstone sea una candidata deseable para empresas con redes híbridas, ya que
Características: Hillstone ha mejorado su función de equilibrio de carga del enlace para hacerlo
más inteligente y granular. Puede realizar funciones como agregación de enlaces, ECMP,
enrutamiento de ISP, redirección de dominio DNS, DNS inteligente, etc., para la selección de
enlace dinámico.
Los VAR encuestados han informado que esta es una de las características más sólidas del
producto. El proveedor ofrece una función de QoS granular basada en cronograma con controles
Esto ofrece a las empresas la capacidad de implementar estrictos controles de QoS sobre su
tráfico. Los socios encuestados han calificado la característica de análisis de tráfico de red de
detección de comportamiento anormal de Hillstone como uno de los puntos fuertes del
producto.
63
3.4.1.3 Componentes de la solución.
64
.
continuación:
• Acciones IPS: por defecto, monitoreo, bloqueado, reinicio (IP de los atacantes o de la
• Protección DoS basada en tasas IPv4 e IPv6 con configuración de umbral contra
Anti-Virus
FTP/SFTP
• Filtrado web definido manualmente basado en URL, contenidos web y por cabecera.
• Filtrado web dinámico con base en datos de categorización en tiempo real, basados en
la nube: más de 140 millones de URLs con 64 categorías (8 de los cuales están
• Anulación del perfil web de filtrado: permite que el administrador asigne temporalmente
Firewall
66
• Objetos de política: predefinidos, personalizados y por agrupación de objetos
• Gateways a nivel de aplicación y soporte de sesiones: MSRCP, PPTP, RAS, RSH, SIP,
• Soporte NAT y ALG: NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT,
modelo
67
Visibilidad y Mitigación de Amenazas
• Índice de riesgo de red, activos críticos y riesgo del estado del anfitrión, gravedad del
• Mapeo del Kill Chain sobre los eventos de amenaza en cada anfitrión
Servicios de Red
Registros e Informes
• Registros detallados del tráfico: reenviados, sesiones violadas, tráfico local, paquetes
con WiFi
• Los informes se pueden exportar en formato PDF, a través de correo electrónico y FTP
69
• Ancho de banda asignado por hora, prioridad, o reparto equitativo del ancho de banda
Para realizar estas publicaciones se tuvo que hacer un Dnat, de la dirección de destino (ip
70
pública) hacia la dirección de origen (ip privada) y trasladando su servicio hacia un puerto.
Fuente Investigador
presenta diferentes procesos que se emplean cotidianamente, entre los que podemos detallar el
uso de aplicativos para cámaras, biométricos, impresoras, dominio activo, ntp, etc.
71
Ilustración 21 Configuración de política
Fuente Investigador
En el desarrollo se crearon listado de filtros de contenido, por grupo de usuarios, los cuales se
les da acceso o se les deniega de acuerdo a la importancia o al área que labora el usuario.
Fuente Investigador
72
Antivirus perimetral: reglas.
El firewall permite utilizar el antivirus perimetral para las zonas o para las políticas. Tiene una
cualidad de poder definir los formatos a ser revisado y el medio por donde se los utiliza. Las
acciones son diversas que van desde el reset de la conexión, hasta la corrección del archivo
afectado.
Análisis críticos.
La herramienta de Análisis críticos, su uso es de mucha importancia, porque con ella podemos
ver los ataques locales y foráneos. Se la aplica tanto a las zonas establecidas como a las
73
Ilustración 24 Risky Hosts
Fuente Investigador
Ilustración 25 Threat
Fuente Investigador
74
Monitoreo y reportes
Los módulos de monitoreo y reportería son un complemento a los que genera el análisis críticos.
Son de mucha ayuda para los administradores porque con ellos podemos analizar el tráfico de
la red, el consumo del ancho de banda, la navegación de los usuarios e incluso hasta el estado
del firewall.
75
Ilustración 28 Url Filter
Fuente Investigador
Ilustración 29 Log
Fuente Investigador
76
3.4.4 Estimación de costos
77
3.4.5 CONCLUSIONES.
• La seguridad perimetral tiene como finalidad crear una barrera y proteger los activos
constantemente por intrusos con el único objetivo de vulnerar la red del Instituto
perimetral, con el uso de los aplicativos integrados para proteger las posibles
seguridad por la forma dúctil de hacer reglas y políticas de acceso o denegación a los
servicios requeridos
última tecnología en cual tenemos presentaciones por horas hasta por meses.
78
3.4.6 RECOMENDACIONES
• El recurso humano deben estar capacitado para controlar y corregir los eventos que
la seguridad perimetral.
79
Bibliografía
Alabau Muñoz, A., & Riera García, J. (1992). Teleinformática y redes de computadoras.
Madrid: Marcombo.
Aubrey, A., & Kenneth D., S. (2009). Diseño y soporte de redes de computadores. Madrid:
Patria.
Hill.
Diaz Orueta, G., Alzórriz Armendáriz, I., & Sancristóbal Ruiz, E. (2014). Procesos y
de Seguridad Perimetral:
https://esperanza7989.files.wordpress.com/2012/01/tema3_seguridad.pdf
perimetral. Obtenido de
http://oa.upm.es/22228/1/PFC_CARLOS_MANUEL_FABUEL_DIAZ.pdf
Fernández Gómez, E. (2004). Conocimientos y aplacaciones tecnológicas para la dirección
https://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Simulador%20
de%20un%20laboratorio.pdf
MA.
Hadnagy, C. (2011). Ingeniería social. El arte del hacking personal. Anaya Multimedias.
content/uploads/Hillstone_-T-Series_5.5R4_SP_Web-version.pdf
Matamala Peinado, M., & Caballero González, C. (2016). Instalación y configuración de los
Mejia, A. (2004). Guía práctica para manejar y reparar el computador. Medellín: Ditel.
84815.pdf
content/uploads/Hillstone_-E-Series_5.5R5_SP.pdf
S.A.
Tanenbaum, A. (2003). Redes de Computadoras. México: Pearson Educacion.
Educacion.