Analisis Pfsense

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO
4.1 ANLISIS DE LA RED ACTUAL.

Las redes inalmbricas constituyen hoy en da uno de las tecnologas con mayor
crecimiento tecnolgico, ya que ha llegado a tener como caractersticas principales
una movilidad y una conexin ms sencilla, adems permite la fcil ampliacin de
una red. Es decir, que podemos estar en movimiento sin perder la conectividad
con Internet. Esto es algo que actualmente est tomando gran importancia ya que
con la evolucin de las tecnologas el uso de Internet se ha multiplicado y poder
disponer de l en cualquier parte sin cables lo que es muy interesante.
El anlisis tiene como finalidad conocer el funcionamiento de la red inalmbrica de
la universidad tecnolgica de la regin norte de guerrero, con ello identificar los
problemas potenciales que se tienen, como en su seguridad y en su
funcionamiento.
Actualmente en la universidad se cuenta con una topologa similar a la figura 4.1
en la cual se muestra a detalle cmo est constituida la red de toda la universidad.


Aqu el problema es que en la PC llamado control, como se ilustra en la figura 4.2
se tiene los segmentos en mquinas virtuales. Estos segmentos son para los
diferentes tipos de usuarios en la red de la universidad.
- Segmento para la red inalmbrica
- Segmento para los laboratorios
- Segmento para los administrativos
Fig.4.1 diseo actual de la red
inalmbrica.

Cuando uno de los segmentos no funciona correctamente, se ven en la necesidad
de reiniciar el equipo y con esto toda la red deja de funcionar, debido a que en la
misma PC se tienen los otros segmentos.
En cuanto a la red inalmbrica se tienen los problemas de conexin, mala
administracin y conexiones inseguras el cual deriva de una amenaza para la
seguridad de la red.
Otra de las problemticas de la institucin es que no se cuenta con una estructura
adecuada al nmero de usuarios conectados en la universidad, no se tiene un
control a detalle de los usuarios conectados.
En cuanto a la seguridad de la red no cuenta con un firewall capaz de restringir
acceso a ciertas pginas que constituyen una amenaza a los datos de la red
interna, ya que se manejan informacin que es de suma importancia para la
institucin.
En cuanto a la estructura fsica el mayor problema es que no se le ha dado
mantenimiento en los cables, desde que se instal el sistema de red no se ha
cambiado los cables y eso disminuye a una buena calidad en el servicio de la red.
Fig.4.2 Control

Analizando detalle a detalle de cmo est constituido la red de la universidad se
deriv a instalar un servidor que sea capaz de solventar los requisitos necesarios
para tener un servicio de calidad, el servidor se enfoc a la red inalmbrica que es
uno de los servicios con mayor vulnerabilidad en los ataques que pueda sufrir
desde el exterior, con esto tenemos una conexin estable con mayor seguridad de
que los datos que se encuentren en la red sean manejados de manera segura,
otra de las ventajas que tiene el servidor es que se cuenta con una administracin
esto constituye un mejor control de quienes y cuantos son los que estn
conectados a la red.


4.2 COMPARATIVA DE SOLUCIONES DIGITALES EN SEGURIDAD.
La estructura central de todo el diseo es el firewall, concretamente lo que se
conoce como firewall de red. Un firewall es un dispositivo que acta en la capa de
red del modelo OSI. Estrictamente se trata de un dispositivo que enruta paquetes
entre redes, como un Reuter. A diferencia de un Reuter, un firewall enruta
paquetes en base a unas reglas definidas por el administrador.
Generalmente las reglas definen el comportamiento de un firewall estn basadas
en caractersticas del paquete de red, como el protocolo de capa superior que
contiene, direcciones IP de origen o destino, puertos TCP o UDP (lo que
generalmente define el uso que define ese trfico), etc.
Adems, los firewall modernos son capaces de identificar trfico por propiedades
relativas a capas superiores, como por ejemplo el sistema operativo que lo ha
generado (Windows, Linux, etc.), o el tipo de aplicacin que lo est usando
(aplicaciones de voz sobre IP, aplicaciones de trafico P2P, streaming de audio y
video, etc.). Y tambin permiten la aplicacin de las reglas en funcin de un
horario determinado.
As pues, es sencillo definir una regla que, por ejemplo, solo permita el trfico de
streaming de video a ciertas emisoras de televisin definidas, fuera del horario
laboral.
Uniendo todas las definiciones de todo tipo de propiedades del trfico, se pueden
definir las reglas muy complejas, que establezcan exactamente el tipo de
comportamiento que se desea para la red.
En cuanto al conjunto de reglas definidas en un firewall, se definen y se aplican a
nivel de interfaz de red (hay un conjunto de reglas para cada interfaz). El firewall

enrutara todos los paquetes que entren en su interior, las reglas solo definirn que
paquetes entran o no dentro del firewall.
Las reglas se ejecutan por orden ascendente, de manera que cuando un paquete
cumple todas las condiciones de la regla, se establece la accin que la regla
defina (permitir o no permitir) y no se revisan las siguientes reglas. Adems de las
acciones definidas, los firewall tambin permiten registrar la accin realizada (lo
que se conoce como escribir en un log o loguear). Esto es muy til para
mantener registros de suceso y para identificar acciones no permitidas o
estadsticas de trfico.
Existen dos polticas aplicables al funcionamiento de un firewall, aceptar por
defecto y denegar por defecto. Las reglas se ejecutan secuencialmente y cuando
se llega al final de las reglas, el firewall decide qu hacer con el paquete en
funcin de la poltica por defecto. Generalmente, los firewall que se ponen en
explotacin se configuran con polticas de denegacin por defecto. Se suele usar
la aceptacin por defecto en fases de desarrollo y optimizacin de las reglas, para
despus de estar bien definidas y verificadas (con lo que pocos paquetes usan la
regla por defecto) se establece la denegacin.
En cuanto a la arquitectura del equipo, existen dos tipos de firewall de red:
Firewall hardware, que son aquellos equipos diseados especialmente para
realizar funciones de enrutado y filtrado de paquetes y para establecer
comunicaciones VPN. Generalmente se usan para unir sedes de grandes
infraestructuras, a travs de redes pblicas, suelen tener un rendimiento y
un coste elevados. Cisco Systems es una de las empresas ms importantes
que comercializan estos productos.
Firewall software, que son aquellos programas o sistemas operativos que
se ejecutan en un equipo estndar, para realizar las funciones de firewall.
Sus costes es muy inferior al de los firewall hardware y a su vez permiten
ms flexibilidad. Pero generalmente requieren de una compresibilidad

mayor, sobretodo en la fase de implementacin. En cuanto a firewall
software, existe una multitud de productos, tanto implementados con
software libre, como propietario.
En el desarrollo de este proyecto se instalara un firewall por software, por
motivos especialmente de coste y de flexibilidad.
Una vez diseada la topologa de red y teniendo presentes los objetivos a
cumplir, hay que escoger que opcin de software se va a utilizar. Buscando por
internet, se encuentran muchas opciones que cumplen con los objetivos
funcionales del proyecto, pero cuando se investigan a fondo, muchas de ellas
dejan de ser opciones claras, ya bien sea por falta de funciones, o por coste.
Despus de una eleccin inicial basada en hojas de especificaciones, se han
elegido 6 opciones para escoger el software final a utilizar:
1. IPCop, una distribucin Linux dedicada para trabajar como firewall.
2. m0n0wall, una distribucin FreeBSD dedicada, orientada a sistemas
embebidos y diseados para usar en almacenamiento tipo flash.
3. Pfsense, derivado de m0n0wall, es una distribucin ms compleja y
actual que esta misma, orientada a sistemas abiertos (a equipos
comunes) y que permite ser instalada en discos duros estndar.
4. Smoothwall, otra distribucin Linux dedicada para trabajar como firewall.
5. Microsoft Internet, Security and Acceleration (ISA) server, software de
Microsoft, que si bien no es software libre, la universidad tiene licencia
de uso ilimitado, con lo que el coste del software es cero.
6. Ubuntu (software de enrutamiento y filtrado) y fwbuilder (interfaz de
creacin de reglas).
A continuacin se detallan las caractersticas y el anlisis de cada una de las
opciones a valorar. Tambin se muestran unas capturas de pantalla de las
interfaces de administracin.


4.2.1 IPCop
IPCop es una de las opciones a valorar especialmente por el hecho de que es
la distribucin que se estaba utilizando hasta la realizacin de este proyecto.
Se trata de una distribucin basada en RedHat Linux (por lo tanto software
libre) con una interfaz grfica por web bastante sencilla. Utiliza iptables como
software de enrutado/filtrado de paquetes.
Como puntos a favor tiene el hecho de que es conocida por ser la utilizada
hasta ahora. Adems, tiene un sistema de backup muy completo que permite
desde la propia instalacin una restauracin completa del sistema. Tambin es
destacable la cantidad de desarrolladores que tiene detrs, programando
paquetes para funciones especficas como un filtro para trafico P2P. No existe
mucha documentacin sobre su instalacin/funcionamiento, pero la que hay es
bastante buena.
Como puntos en contra tiene que definir las reglas es muy complejo, ya que se
debe hacer editando el fichero de reglas (no desde la interfaz web de
administracin) y no tiene ninguna funcionalidad de portal cautivo (para la
validacin de la red inalmbrica), tampoco dispone de VPN para usuarios
individuales, ni opcin de montar una estructura redundante.


}

Fig.4.3 IPCOP

4.2.3 m0n0wall
m0n0wall es un sistema operativo derivado de FreeBSD, dedicado para la
implementacin de firewall corporativos. Al estar basado en FreeBSD, se trata
de software libre.
Se trata de un sistema diseado para embedded PCs, es decir, sistemas
embebidos. Estos sistemas son equipos que tienen todos los componentes
montados en una placa de pequeo tamao. Se suelen utilizar para
aplicaciones a medida (controladores de robots, sistemas de adquisicin de
datos, etc.) y con la extensin de los firewall, se utilizan estos equipos
adaptados con varias tarjetas de red y de gran ancho de banda. El
almacenamiento suele ser una tarjeta de memoria y las especificaciones de
hardware, no son muy elevadas (para las funciones que estn diseados,
tampoco se necesitas).
Los sistemas embebidos para redes, suelen montar en cajas de tamao
estndar de los armarios de comunicaciones y con los conectores por la parte
delantera para que tengas una integracin sencilla con los equipos de
comunicaciones (switches, router, etc.)
Los puntos a favor de m0n0wall son una interfaz de administracin web muy
completa y atractiva y una gran cantidad de funcionalidades, como la creacin
de reglas desde la interfaz, portal cautivo y servidor de walk-on-lan. Adems
la documentacin disponible sobre m0n0wall es excelente y los foros de
soporte son muy activos.
En cuanto a los puntos negativos, bsicamente que est orientado a una
arquitectura de equipos que no son estndar. De hecho, actualmente no es
sencillo en Espaa conseguir un equipo compatible totalmente con el sistema,
lo que hace que, en caso de fallar el hardware se pueden producir problemas
importantes. Tampoco dispone de un sistema de redundancia activa ni la

posibilidad de implementar en la misma maquina un sistema de detector de
intrusos.

Fig.4.4 M0N0WALL

4.2.3 Pfsense
Pfsense es un sistema operativo exclusivo para la implementacin de firewalls.
Naci como un derivado de m0nowall que se pudiera instalar fcilmente en
equipos comunes, aunque actualmente deriva ya directamente de FreeBSD
(utiliza pf, el gestor de enrutado y filtrado de FreeBSD). Al ser as, la tabla de
compatibilidad de hardware es la misma que para FreeBSD, con lo que tiene
soporte para casi cualquier equipo del mercado.
Su evolucin ha sido muy rpida y dispone de todas las funcionalidades de
m0n0wall, adems de otras.
Como puntos a favor dispone de una interfaz web muy atractiva y totalmente
funcional ( desde all se puede administrar el sistema por completo) y muchas
funciones entre las que destacan: CARP (sistema de redundancia activo),
portal cautivo, Open VPN ( estndar abierto de conexiones VPN), wake-on-lan,
implementacin del protocolo de calidad de servicio (permite establecer
prioridades a segn qu tipo de trfico, por ejemplo, telefona) y es compatible
con VLAN ( si las tarjetas de red los son),a nivel de interfaz.
Adems permite instalar paquetes creados por desarrolladores externos (pero
diseados especialmente para pfsense e integrados totalmente con su interfaz
de administracin) como por ejemplo, un sistema de deteccin de intrusos
activos (snot, que permite bloquear de manera dinmica y temporal aquellos
equipos que generan una alerta).
Como puntos en contra, al ser una distribucin muy joven y activa, el sistema
no tiene una buena documentacin. De hecho, la mayora de las
funcionalidades no estn documentadas y hay que acudir a foros y a tutoriales
de usuarios avanzados para tener un conocimiento amplio de la configuracin.

Fig.4.5 PFSENSE

4.2.4 Smoothwall
Smoothwall Express es una distribucin Linux, con licencia GNU, creada por
la empresa Smoothwall Limited. Est especializada en firewalls y es un
derivado del producto comercial de la compaa.
Sus puntos fuertes son que es un sistema muy estndar y es mucho ms
completo que otras distribuciones Linux para firewalls (como IPCop, por
ejemplo). Es totalmente administrable desde la interfaz web, que es muy
completa. Tiene soporte de hardware bastante amplio.
En cuanto a sus puntos en contra estn que no tiene interfaz de portal cautivo
para la red inalmbrica, ni dispone de un sistema de redundancia activa (cosa
que la distribucin comercial si la tiene). Adems, el hecho de que sea
mantenida por una empresa privada, puede provocar que pase a ser un
producto de software privativo.

Fig.4.6 SMOOTHWALL

4.2.5 Microsoft Internet Security and Acceleration Server
Internet Security and Acceleration Server (ISA) server es un sistema de firewall
orientado a redes de ordenadores implementadas con tecnologa Microsoft, ya
que es capaz de establecer reglas basadas en criterios de usuarios y grupos.
Adems, no es un sistema operativo independiente, sino que se debe instalar
sobre Windows 2003 server y se integra con sus herramientas de
administracin.
Como puntos fuertes tiene que es un sistema muy sencillo de instalar y
configurar, con unas herramientas visualmente muy activas y con gran
cantidad de asistentes de configuracin. Adems, dispone de una gran
cantidad de documentacin al respecto. Y el soporte para VPN, tanto
roadwarrior como site-to-site, es muy bueno. Se integra perfectamente con la
base de datos de usuarios del dominio implementado con Windows Server.
Como puntos flojos, el principal son los requisitos de sistema. El hecho de
tener que ejecutarse bajo Windows 2003 server, hace que se necesiten
demasiados recursos para ejecutar solo el sistema operativo (y el antivirus de
rigor) y que el sistema pueda estar afectado por los peligros que Windows
pueda tener (virus, vulnerabilidades, etc.).
Adems, tampoco dispone de todas las funcionalidades, como portal cautivo y
la redundancia solo se puede efectuar con Windows 2003 Enterprise Server,
que todava tiene unos requisitos de hardware mayores. La consola de
administracin no es por web, con lo que se deben utilizar sistemas como
Terminal server (que tiene un rendimiento muy bajo a travs de redes pblicas
de datos) para poder administrarlo remotamente.
Por ltimo, la posibilidad de realizar un backup ntegro del sistema para
restaurarlo en caso de necesidad, es muy compleja.

Fig.4.7 Microsoft Internet Security
and Acceleration Server

4.2.6 Ubuntu Linux
La ltima opcin evaluada ha sido Ubuntu Linux en su versin Server. Ubuntu
Server se trata de una distribucin Linux orientada a servidores, especialmente
de correo electrnico, ficheros y dems. Su instalacin es sencilla. Pero para
su uso como firewall, se debe realizar una configuracin a mano, nada
sencilla y en la que se deben combinar varios programas que hagan las
funciones.
Como puntos fuertes est el hecho que al ser una distribucin abierta, se
puede implementar todos los objetivos a cumplir, eso s, de manera compleja.
Adems, se podra usar el servidor para otros objetivos si fuera necesario
Como puntos negativos est el hecho de que la implementacin y la
administracin ya no son centralizadas, ni sencillas (dependen de diversos
componentes, que cada uno se administra de una manera. El sistema de
recuperacin de errores, tampoco es trivial.


Una vez se han evaluado los sistemas hay que tomar una decisin del sistema
a implementar. Como las pruebas no se han realizado en un entorno real con
una carga de trabajo ni una configuracin real, se realizara una preseleccin
del sistema en funcin de los criterios hasta ahora conocidos.
Habiendo visto las especificaciones, realmente el sistema ms adecuado es
PFSENSE. Dispone de la posibilidad de implementar todos los objetivos,
siendo un software totalmente libre y preparado para sistemas abiertos.
Revisado sus requisitos hardware, se puede comprobar que, al heredar la
compatibilidad de FreeBSD, casi cualquier sistema ser soportado.
Adems, se ha investigado a travs de otros usuarios del foro de pfsense la
infraestructura montada y no es de prever que el sistema no tenga el
rendimiento esperado. As pues, teniendo en cuenta todo esto, el siguiente
paso es seleccionar hardware para su instalacin y configuracin.

Fig.4.7 UBUNTU LINUX

Analisis Pfsense

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Analisis Pfsense

Transféré par

Droits d'auteur :

Formats disponibles

UNIVERSIDAD TECNOLGICA DE LA REGIN NORTE DE GUERRERO

4.1 ANLISIS DE LA RED ACTUAL.

Vous aimerez peut-être aussi