Vous êtes sur la page 1sur 38

PROYECTO DE INTEGRADO FINAL

Integracin de Servicios - Administracin de Redes


Tcnico Nivel Superior en Conectividad y Redes
2016 - 2017 (V)

Integrantes : Cristbal Tobar Banto


Julio Ulloa Salazar

Docente : Hctor Salazar Robinson

Fecha de entrega : Martes, 28 de noviembre de 2017


NDICE GENERAL

INTRODUCCIN ............................................................................................................... 3
PRESENTACIN DEL PROBLEMA ................................................................................. 4
DESARROLLO.................................................................................................................. 6
SITUACIN ACTUAL: Problemticas.......................................................................... 6
La empresa ha crecido exponencialmente por lo que necesita habilitar sus propios
servidores (web, correo electrnico y otros servicios) (C. T) ............................................ 6
Los usuarios pueden ocupar cualquier computador de cualquiera de estas reas, ya
que no existe un control de acceso a los computadores.(J. U) ........................................ 8
No existe control de uso de los recursos computacionales por lo que cualquier usuario
puede instalar/desinstalar aplicaciones en los computadores personales. (C. T) ......... 9
No hay control de las conexiones desde y hacia el exterior de la empresa, ya sea va
web, terminal (SSH, telnet o de transferencia de archivos). (J. U)................................. 13
Los usuarios pueden navegar libremente por la red, por lo que la productividad baja
cuando no hay una supervisin directa, por lo que se requiere bloqueo de todos los
sitios que no sean los institucionales (J.U). ....................................................................... 15
No hay control de acceso a las distintas reas de la organizacin, cualquier funcionario
puede desplazarse libremente por las instalaciones (C.T). ............................................. 18
Proteccin de los servidores (C. T): .................................................................................... 21
Segmentacin lgica de la red (J. U) .................................................................................. 25
CONCLUSIN................................................................................................................. 26
ANEXO 1: Servidor de correo en Ubuntu ..................................................................... 27
ANEXO 2: Instalacin y Configuracin de Nagios3 ..................................................... 32
Anexo 3: Instalacin y Configuracin de Apache2 / MySQL / PHPMyAdmin ............ 35
Anexo 4: Configuracin de IPTables ............................................................................ 36
Anexo 5: Cotizacin de equipos de telecomunicaciones ........................................... 38

2
INTRODUCCIN

En este escrito veremos plenamente, nuestras ideas plasmadas en una hoja de


papel, esfuerzo absoluto y muchas veces desencuentros entre nosotros mismos,
para llevar a buen trmino este trabajo.

Muy interesante trabajo sobre una constructora que necesita suplir algunas
falencias en que ha estado cayendo como empresa, sobre todo en el tema de
seguridad, y es ah donde se centrar nuestro trabajo, para ver cul ser la ms
adecuada. Creemos fielmente que son estas ideas que veremos a continuacin las
mejores decisiones que tendrn que tomar, aseguramos que con estas propuestas
la empresa crecer y podr ser una gran constructora.

3
PRESENTACIN DEL PROBLEMA

Existe una red computacional que presta servicios de construccin, mantencin y


actualizacin de sitios web y sistemas corporativos para empresas.

Tienen 3 servidores (IPs 10.204.1.49, 10.204.1.50 y 10.204.1.51) y una red


computacional bien implementada fsicamente, con equipos de comunicacin de
alto rendimiento.

Los datos de la configuracin de red son:


Mscara: 255.255.252.0
Gateway: 10.204.0.1
DNS: 10.204.1.1

La organizacin posee tres reas de red separadas, es decir, la red computacional


est segmentada fsicamente en 3 espacios, cada uno controlado por un switch no
administrable).

Existe la siguiente problemtica:


La empresa ha crecido exponencialmente por lo que necesita habilitar sus
propios servidores (web, correo electrnico y otros servicios)
Los usuarios pueden ocupar cualquier computador de cualquiera de estas
reas, ya que no existe un control de acceso a los computadores (si existe
control de acceso a las aplicaciones institucionales mediante uso de
contraseas).
No existe control de uso de los recursos computacionales por lo que cualquier
usuario puede instalar/desinstalar aplicaciones en los computadores
personales.
No hay control de las conexiones desde y hacia el exterior de la empresa, ya
sea va web, terminal (SSH, telnet o de transferencia de archivos).
No hay control de acceso a las distintas reas de la organizacin, cualquier
funcionario puede desplazarse libremente por las instalaciones.

El directorio informtico de la empresa requiere solucionar dicho problema, adems


de agregar una serie de requerimientos, entre los cuales se encuentra:

La empresa requiere la habilitacin de los siguientes servidores:


o Correo va webmail y web (.49). El servidor debe tener Apache2 y un
sistema de correo va web.
o Sistemas corporativos y produccin (.50). El servidor debe tener instalado
Apache2, MySQL, PHP y todo lo necesario para la programacin y
explotacin.
o Servidor de pruebas de sistemas/sitios web (.51). El servidor debe tener
instalado Apache2, MySQL, PHP y todo lo necesario para la
programacin y explotacin.
Control de trfico por la red

4
Control de Acceso a recursos de la red
Obtencin de estadsticas de uso de recursos
o Por usuario
o Por segmento de red
o Por usuarios externos (acceso a la red)
Segmentacin lgica de la red
Proteccin de servidores de datos
La solucin final debe estar implementada en ambiente Linux Debian
utilizando IPTables como solucin en un servidor.

5
DESARROLLO
SITUACIN ACTUAL: Problemticas

La empresa ha crecido exponencialmente por lo que necesita habilitar sus


propios servidores (web, correo electrnico y otros servicios)

Requerimientos:
La empresa requiere la habilitacin de los siguientes servidores:
Correo va webmail y web (.49). El servidor debe tener Apache2 y un
sistema de correo va web.
Sistemas corporativos y produccin (.50). El servidor debe tener instalado
Apache2, MySQL, PHP y todo lo necesario para la programacin y
explotacin.
Servidor de pruebas de sistemas/sitios web (.51). El servidor debe tener
instalado Apache2, MySQL, PHP y todo lo necesario para la
programacin y explotacin.

Nota: Para ver el manual de instalacin de cada uno de los servicios solicitados,
dirigirse a las pginas anexas (Servidor de Correos Ubuntu) en las pginas finales
del documento. Si desconoce la pgina, dirigirse al ndice para apoyarse en las
guas.

Por medio de estas aplicaciones, podremos implementar un correcto sistema de


inicio de sesin independiente de cada usuario; la confeccin de un sistema de
correos.

MySQL: Es un sistema administrativo relacional de bases de datos (RDBMS por


sus siglas en ingls (Relational Database Management System). Este tipo de bases
de datos puede ejecutar desde acciones tan bsicas, como insertar y borrar
registros, actualizar informacin o hacer consultas simples, hasta realizar tareas tan
complejas como la aplicacin lo requiera

PHPMyAdmin: es una aplicacin PHP que permite gestionar servidores de bases


de datos MySQL desde cualquier navegador Web. Es una herramienta ideal para
permitir a desarrolladores el acceso y creacin de bases de datos para una
aplicacin Web, ya que provee una vista conveniente y prctica a un motor de bases
de datos MySQL

Apache2: Apache es usado principalmente para enviar pginas web estticas y


dinmicas en la World Wide Web (www). Muchas aplicaciones web estn diseadas
asumiendo como ambiente de implantacin a Apache, o que utilizarn
caractersticas propias de este servidor web

6
Solucin propuesta: Instalacin de Postfix; SquirrelMail; Apache2

Postfix:
Las razones de usar postfix son bastantes, pero la esencial y principal del porque
hemos optado por este servidor de correo es netamente el servidor que fuimos
utilizando, durante el ao, algo que conocemos. Si bien slo hemos simulado con l
y no hemos creado un servidor real propiamente tal, nos es ms familiar. Tambin
al momento de elegir hemos visto que en varios foros lo tildan como uno de los ms
estables y mejores servidores de correos que existen para nuestro sistema
operativo de Linux.

1. Diseo modular (no es un nico programa monoltico) est compuesto de


varios procesos que se comunican entre s, aparte de varias utilidades que
puede usar el administrador para influir en el sistema u obtener informacin
de l
2. La seguridad ha sido un condicionante desde el comienzo de su diseo.
Seguridad frente a ataques contra el servidor y tambin contra el uso
inadecuado (spam, etc).
3. Un muy buen rendimiento. Por ejemplo, cuando se produce algn atasco de
correo, tras resolverse los mensajes salen a una velocidad mucho mayor que
otros
4. Soporte para las tecnologas ms usadas hoy da: LDAP, Bases de datos
(MySQL), autentificacin mediante SASL, LMTP, etc.
5. Facilidad de su configuracin: esta caracterstica es una de las ms
aclamadas entre los usuarios de los distintos foros y pginas que visitamos
para interiorizarnos en el tema
6. Una fcil integracin con Antivirus.

SquirrelMail:
Elegimos squirrelmail tambin por ya tener familiarizado el programa webmail, as
que se nos hace ms cmodo trabajar con algo que conocemos, y obviamente
posee caracterstica s que llaman la atencin como por ejemplo:
Por su excesiva simpleza carga de forma muy rpida y menos complicaciones
pudiera presentar a la hora de la carga del Inbox.
Bsicamente, amigable con Postfix que ser nuestro servidor, y es muy manejable
este servidor y eso nos llama mucho la atencin porque todos los de la empresa
segn nuestro proyecto manejaran correos y entre ms simple de manejarlo sea
mejor.

7
Los usuarios pueden ocupar cualquier computador de cualquiera de estas
reas, ya que no existe un control de acceso a los computadores.

Nota: Para ver el manual de instalacin de cada uno de los servicios solicitados,
dirigirse a las pginas anexas (Instalacin y configuracin de MySQL y
PHPMyAdmin) en las pginas finales del documento. Si desconoce la pgina,
dirigirse al ndice para apoyarse en las guas.

Solucin: Propuesta

En este apartado, El DBA (Data Base Admininistrator) es el administrador de base


de datos. Es el profesional informtico encargado de la administracin de una o
varias bases de datos gestionando su uso y funcionamiento. Eso quiere decir, que
ser l quien le d la correcta configuracin a la base de registro del personal de la
empresa, de manera que puedan acceder a los computadores con cuentas
individuales. En donde se requiera un usuario y su respectiva contrasea de acceso.

Las funciones y responsabilidades de un DBA dependern en gran medida de la


organizacin de la empresa o proyecto en el que est trabajando. En las grandes
empresas o proyectos los DBA tendrn unas funciones y responsabilidades ms
especficas y probablemente estn asignadas a un equipo donde sus miembros se
especializarn en aspectos ms concretos, mientras que el las ms pequeas stas
sern ms amplias y generales.

(Imagen referencial)

8
No existe control de uso de los recursos computacionales por lo que cualquier
usuario puede instalar/desinstalar aplicaciones en los computadores
personales.

Requerimientos:
Obtencin de estadsticas de uso de recursos
Por usuario
Por segmento de red
Por usuarios externos (acceso a la red)

Obtencin de estadsticas de uso de recursos:

Informe de registro de archivos: Logs

Los ficheros log se encargan de almacenar las transacciones que se realizan en un


sistema. Hoy en da prcticamente todo genera un fichero log (sistema operativo,
programas, aplicaciones de telfonos mviles, entre otros) y siempre queda un
rastro escrito en algn sitio.
El anlisis de un fichero log nos permitir conocer quin nos visita y con qu
frecuencia, cunto tiempo est en cada pgina, qu necesidades de informacin
tienen, si la estructura del sitio es la correcta o no, si el usuario tiene que desplazarse
mucho o poco hasta llegar a donde quiere llegar, qu palabras clave emplea en las
bsquedas internas

Logs hay de muchos tipos, desde errores mnimos en el uso de aplicaciones, hasta
intentos fallidos de entrada en el sistema.

Qu nos podemos encontrar en /var/log? Podemos encontrar una serie de


subdirectorios como:

/var/log/message: registro de los mensajes generales del sistema.


/var/log/auth.log: Informacin sobre eventos de autenticacin de
usuarios.
/var/log/kern.log: registro del kernel, muy interesante para detectar
problemas con el ncleo.
/var/log/cron.log: registro de la herramienta de crond
/var/log/maillog: registro del servidor de emails.
/var/log/qmail: registro de Qmail.
/var/log/httpd: registro de errores y accesos del servidor web Apache
/var/log/lightpd: registro de errores y acceso a Lighttpd.
/var/log/boot.log: registro de inicio del sistema, si se producen problemas al
inicio, es aqu donde tenemos que acudir.
/var/log/mysqld.log: registro para la base de datos MySQL.
/var/log/secure: log de autenticacin, muy importante para la seguridad, ya
que podrs ver lo referente a la autenticacin del sistema.
/var/log/syslog: Registro del sistema de registro.
/var/log/utmp o /var/log/wtmp: registro de logins.

9
Por ejemplo: si queremos saber si alguien se ha autenticado en el sistema, por
medio de los logs podemos ver las fechas y horas de inicios de sesin que se
hicieron de forma remota por SSH desde la red. De esta manera, tendremos
registros de quienes hacen ingreso a cada uno de los computadores, efectan
instalaciones o desinstalaciones en el sistema de aplicaciones del sistema.

Con este comando, podemos filtrar el informe de inicio de sesiones por SSH

Los comandos less y tail son tiles para leer estos archivos en tiempo real. Algunos
de los archivos estn protegidos, hace falta iniciar una sesin como usuario root o
usar sudo para leerlos.

El comando tail
Use el comando tail -f para ver las ltimas lneas de un archivo y las actualizaciones
del mismo. Por ejemplo, el comando:

Esto nos muestra eventos de autenticacin como sesiones nuevas y el uso de sudo
en el sistema. Si un usuario inicia una nueva sesin, ver la actualizacin del archivo
con la nueva informacin usando este comando.

El comando less
El comando less +F es casi igual a usar tail -f, pero proporciona acceso al archivo
entero en vez de las ltimas lneas y tambin muestra cualquier actualizacin en
tiempo real. Por ejemplo, este comando:

El kern.log muestra mensajes del kernel.

Almacenar registros logs


La configuracin de los logs bsicamente suele realizarse de forma equivalente en
todas las mquinas que administramos, pues habitualmente necesitamos la misma
informacin en todas y cada una de las mquinas. Una vez configurados los ficheros

10
correspondientes en todas nuestras mquinas cmo saber que tendremos
respaldo permanente de nuestros informes de registros?

Para guardar de forma centralizada todos los logs de nuestras mquinas, lo que
podemos realizar es una configuracin tal que un equipo central recibir los logs de
todas nuestras mquinas. De esta forma, un ataque a una de ellas implicar
probablemente la destruccin de los registros en esta mquina atacada, pero
tendremos siempre una copia de todos los registros en la mquina que centraliza
los logs.

Aplicar restricciones a modo de usuario en aplicaciones


Para evitar que los usuarios hagan instalaciones o desinstalaciones de distintos
softwares de los equipos de la organizacin, es necesario aplicar algunas
restricciones que pueden realizarse al momento de generar usuarios en nuestro
equipo.
Para ello, una vez instalado nuestro sistema operativo, en modo grfico,
aplicaremos las siguientes configuraciones:

Perfil. Esto definir que puede hacer y qu no puede hacer el usuario. Hay tres
perfiles predefinidos, pero luego veremos que esto se puede personalizar ms en la
pestaa "Privilegios del usuario".

11
Los perfiles por defecto son:
a. Usuario del escritorio: Podr abrir programas, navegar, tener sus ficheros,
etc. No podr administrar el ordenador, es decir, nada de editar usuarios, ni
aadir impresoras, ni instalar programas.
b. Usuario sin privilegios: El usuario no podr hacer nada. Similar a cuenta
deshabilitada.
c. Administrador: Puede hacer todo lo que hace un usuario de escritorio y
adems puede administrar el equipo.

Contrasea. Podemos establecerla manualmente o permitir que el SO genere una


contrasea aleatoria por nosotros.

En la pestaa "Privilegios de usuario" podremos editar lo que ese usuario podr y


no podr hacer de forma ms detallada. De esta forma los movimientos efectuados
en el equipo de ese usuario estarn limitados a lo que el administrador decida. Para
darle permiso sobre alguna de las reas solo tienes que marcar la casilla; para
quitrselo, desmarcarla.

12
No hay control de las conexiones desde y hacia el exterior de la empresa, ya
sea va web, terminal (SSH, telnet o de transferencia de archivos).

Debido a la dbil proteccin de seguridad en este punto de la red de servidores,


hemos decidido optar por hacer uso de una configuracin propia de nuestro sistema.
Aplicaremos una configuracin de control de acceso a nuestros servicios de
nuestros server, por medio de TCP Wrapper.

Un TCP Wrapper es una biblioteca que


provee un control de acceso simple y
administracin de logs estandarizada para
aplicaciones que lo soporten, y reciban
conexiones de red.
Es decir, aquellas aplicaciones de red que
pueden recibir conexiones, como los
servicios de red (sshd, telnetd por ejemplo),
si soportan TCP Wrappers, vamos a poder
realizar algunos controles y logs
adicionales con las conexiones entrantes.
Los TCP Wrappers son listas de control de
acceso (ACL access control list) basadas
en hosts, y utilizadas para filtrar accesos de
red a los servicios locales.
Los TCP/Wrappers presentan una gran
ventaja sobre los firewalls comunes:
trabajan en capa 7 (Aplicaciones), por lo
que pueden, entre otras cosas, filtrar
consultas aun cuando se utilice cifrado.

Beneficios de los TCP Wrappers


Logging: las conexiones monitoreadas con TCP wrappers son reportadas
por medio del syslog del sistema
Control de acceso: soportan un control de acceso simple basado en
patrones de comparacin.
Verificacin del hostname: verifican el nombre del hostname del cliente
utilizando los servicios DNS.
Poseen proteccin contra spoofing1.

Archivos y binarios importantes


Daemon tcpd: Software que controla el acceso para los servicios de red.

1
Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas a travs de las cuales un
atacante, generalmente con usos maliciosos o de investigacin, se hace pasar por una entidad distinta a
travs de la falsificacin de los datos en una comunicacin.

13
/etc/hosts.allow: Este archivo contiene los nombres de hosts que tienen
permitido utilizar servicios de red.
/etc/hosts.deny: Este archivo contiene los nombres de hosts que no pueden
utilizar servicios de red.
Si el mismo cliente, usuario o IP est listado en ambos archivos, hosts.allow
tiene prioridad sobre hosts.deny.

Sintaxis de los archivos hosts.allow y hosts.deny


La sintaxis de estos archivos es la siguiente:
lista_de_servicios: lista_de_clientes [: comando_shell]

Donde:

a) lista_de_servicios es una lista de los nombres de proceso de los daemons a


considerar.
b) lista_de_clientes es una lista de los hostnames, direcciones IP, patrones
especiales o comodines que se compararn con cada cliente conectado.

Ejemplo:
Un ejemplo tpico de Unix: en el hosts.allow podemos habilitar a ciertos y
determinados hosts a acceder a algunos servicios:

Y denegamos el resto de los accesos en el hosts.deny:


ALL:ALL

En conclusin, recordar qu a la izquierda de los dos puntos, debemos poner los


demonios a los que hacemos referencia, por lo tanto en el fichero hosts.allow, si
queremos permitir que el ordenador de IP 192.168.0.101 acceda a nuestro servidor
mediante telnet, lo que escribiremos ser:

sshd,telnetd: 192.168.0.101,192.168.1.102

14
Los usuarios pueden navegar libremente por la red, por lo que la
productividad baja cuando no hay una supervisin directa, por lo que se
requiere bloqueo de todos los sitios que no sean los institucionales.

Solucin: Aplicar restricciones de sitios web y/o aplicaciones con conexin a


Internet en horario de trabajo por medio de iptables.

Nota: Para este punto, dirigirse al anexo 4: Configuracin de Iptables para mayor
informacin.

TENER A CONSIDERAR: al momento de aplicar polticas de firewall


Las reglas que tuvisemos aplicadas en IPtables, desaparecen al reiniciar el equipo.
Para dar solucin a este punto, lo que haremos, ser crear un script que permita
que las polticas de firewall se inicien en conjunto con el sistema de nuestro
ordenador.

Lo primero que tendremos que hacer ser el script con las reglas que nos interese
aplicar.

Para movernos a la carpeta que alojar el script:


cd /etc

Escribimos el siguiente comando, con lo que se nos crear un archivo llamado


'activar-cortafuegos' y se nos abrir inmediatamente en un editor de texto en el que
copiaremos el siguiente texto:

nano activar-cortafuegos

15
Aqu lo nico que estamos haciendo es eliminar (FLUSH) las reglas que aplica por
defecto IPtables al iniciar la mquina para inmediatamente despus aplicar las que
ya pusimos.

Al terminar el script nos mostrar el mensaje de la ltima lnea del archivo, para
decirnos que todo se ha activado satisfactoriamente.

Ahora que tenemos creado el script, nos interesa que se ejecute al inicio del sistema
por lo que lo primero que tenemos que hacer es otorgar permisos de ejecucin al
archivo que lo contiene para que sea ejecutable, en caso de no realizar este paso
el sistema no tendr una confirmacin nuestra de si queremos que se ejecute dicho
script. En una terminal escribimos la siguiente lnea:

chmod +x /etc/activar-cortafuegos

Y por ltimo especificamos en el sistema que queremos que se ejecute dicho script,
modificando el archivo con nombre 'rc.local' que encontramos en la carpeta /etc.
Abrimos terminal y escribimos esto:

nano /etc/rc.local

Y directamente nos abrir el archivo en un editor de texto que tendremos que dejar
tal que as:

16
Y con esta modificacin al iniciar la mquina se aplicarn las reglas de nuestro
firewall de forma automtica.

Slo comentar que la carpeta donde se crea o aloja el script y el nombre de este
son totalmente personalizables, siempre que luego se especifique en el 'rc.local' la
ruta absoluta del mismo.

17
No hay control de acceso a las distintas reas de la organizacin, cualquier
funcionario puede desplazarse libremente por las instalaciones.

Implementar Medidas de seguridad en cada una de las instalaciones de las reas


de la organizacin.

Teniendo en cuenta que no existe un sistema de seguridad 100% seguro ni tampoco


efectivo, es necesario ser precavidos al momento de pensar en nuestro sistema de
seguridad.
El implementar un costoso sistema de seguridad, no nos dejar exentos de robos o
prdidas, ya que todo sistema es vulnerable. Lo correcto es pensar en no dejarle un
camino fcil para aqul que quiere ingresar forzadamente a nuestro sistema.

a) Salas:
Las principales debilidades que pudieran presentarse en este tipo de casos,
es que al no tener un adecuado control de acceso a las salas y/o oficinas de
la organizacin, existe una alta probabilidad que se generen perdida de
equipos, accesorios computacionales, o incluso cosas mnimas como las
cosas de oficina, por el simple hecho que no hay un sistema de seguridad o
resguardo que nos permita tener control de nuestro lugar de trabajo.
No tener la precaucin de mantener puertas cerradas con la adecuada
seguridad, aumentan mucho ms las probabilidades de que las situaciones
anteriores se generen con mayor libertad.

Es por esto, que nuestra propuesta de solucin para este punto, es


resguardar cada uno de los equipos, insumos, accesorios que se encuentren
dentro de las reas, iniciando la seguridad desde la puerta de acceso de las
salas.
Para llevar a cabo esto, es necesario instalar en las puertas la adecuada
seguridad que nos ayude a resguardar nuestro lugar de trabajo.

Solucin bsica:
- Cierra puertas hidrulico
- Cerraduras de seguridad sin pomo.

Instalacin avanzada:
- Control de acceso con tarjetas magnticas (proximidad)

Ahora, como solucin bsica, siempre que salgamos de la sala, el muelle se


encargar de cerrar la puerta cada vez que lo olvidemos, quedando sta
bloqueada y slo se podr abrir desde fuera con llave. De esta manera,
obstaculizaremos ms el acceso de aquellos personajes que quieran hacer
ingreso a nuestro lugar de trabajo sin nuestra autorizacin. Una desventaja
de este sistema, es la facilidad con la que pudiera duplicarse las copias de la
lleve de esta cerradura.
Como solucin avanzada, y ms recomendada, es la instalacin de un control
de acceso por medio de tarjetas magnticas. La ventaja de este tipo de

18
dispositivos es que se pueden configurar en remoto, es decir, podemos de
forma centralizada, autorizar o no a una tarjeta el acceso a un despacho en
concreto, cambiar la autorizacin, o anular la propia tarjeta en el caso de que
el usuario de la misma ya no trabaje en la empresa o en el departamento
correspondiente.
Si la entrada a la sala de servidores est protegida por un control de accesos
con tarjeta magntica, entonces el registro de las entradas a esta sala est
controlado, tan solo ser necesario que el responsable informtico de la
empresa obtenga, estudie y presente a sus superiores el informe de los
accesos a dicha sala. Este informe puede formar parte del cuadro de mandos
que el responsable de la informtica tenga a su disposicin.

Cerrojo Odis 605 Llave Seguridad Cierra puertas hidrulico


Precio ref.: $25.590 Precio ref.: $34.970

Sistema de Control de acceso RFID proximidad puerta


entrada con 10pcs llaveros (Soporta 250 usuarios)

$120.000 aprox

El lector de cdula de identidad, es un sistema de control


de acceso, y como lo dice su nombre, utiliza la propia
cdula de identidad para dar acceso a sus
dependencias. Este sistema evita que las personas
olviden su clave o tarjeta de proximidad, ya que siempre
llevan su cdula consigo, adems es intransferible, por
lo cual permite tener un registro de cuando ingresa o sale
del recinto cada persona.

19
Este sistema funciona con una lectora de cdigos, la cual es capaz de leer
cdigo QR y cdigo PDF417 presentes en el dorso de las cdulas de
identidad (antiguas y nuevas), permitiendo brinda acceso a sus
dependencias, al acercar la cdula al dispositivo. Adems cuenta con un
controlador que procesa la informacin escaneada por esta lectora.

Este sistema incorpora nuestro software de gestin de accesos Auto Lau 1.2,
permitiendo gestionar la informacin de acceso del personal.

b) Equipos:
Los equipos de cmputo, son posesiones muy valiosas en las empresas y
siempre estarn expuestas al robo.
Algunas formas y consejos para evitar este tipo de situaciones, es:
- Colocando plataformas de anclaje en los distintos elementos de la
computadora, u otros equipos que hayan en la sala.
- Disear muebles para ordenadores de forma que pueda asegurar
fcilmente la mquina y los perifricos.
- Poner candados seguros u otras trabas para los equipos: computadores
de escritorios, notebook, servidores, etc.

Candado de seguridad con Llave


Precio ref.: $17.090

20
Proteccin de los servidores:

Uno de los puntos ms importante es el de cuidar los servidores y para esto hay
que dividir obviamente esta proteccin en dos grandes aspectos que son hardware
y software (fsico y lgico) es de gran importancia mantener una limpieza y buenos
mtodos de seguridad a la hora de tener servidores, es por eso que daremos a
conocer nuestra propuesta en este aspecto

Software:

1) Autenticacin
a) Use contraseas potentes: Asegrese de elegir una contrasea que tenga
mezclados tipos de letra (maysculas y minsculas), nmeros y caracteres
especiales. Como preferencia, la contrasea debe tener al menos ocho
caracteres.
b) Cambie las contraseas con regularidad: Esto es lo que define una poltica
de caducidad de una contrasea. La frecuencia de cambio de una contrasea
depende de la funcin que tengan
c) Guarde sus credenciales y claves de forma segura: Puede utilizar un
administrador de contraseas para almacenar las contraseas de forma
segura (vea algunos ejemplos) o gurdelas en una particin encriptada con
herramientas de cifrado como TrueCrypt, BitLocker, FileVault para Mac, etc.
Y para Linux uno de los ms usados gestores de contraseas es Buttercup.
2) Usuarios y grupos
a) Elimine usuarios y grupos que ya no se encuentren en uso: Compruebe
la lista de usuarios y grupos que se haya configurado para su servidor o
aplicaciones y elimine todas las listas que ya no estn en uso.
b) Implemente la separacin de funciones: Si su servidor e infraestructura de
TI (rea tecnolgica) estn administrados por un grupo de personas
(administradores, desarrolladores de aplicaciones web, etc.) o si parte de su
administracin de la infraestructura de TI est subcontratada, la separacin
de funciones (tambin conocida como separacin de deberes) le ayudar a
limitar el poder que tenga un miembro del equipo. Tambin ayuda a poner
adecuadamente una barrera para prevenir fraudes o errores que pueden
causar problemas de seguridad. Una cuenta de usuario debera tener
suficiente acceso para hacer lo que tiene que hacer dada su funcin y no ms
que eso.
3) Servicios (Paquetes)
a) Elimine los servicios y los paquetes de software que su servidor no necesita:
Para evitar riesgos de seguridad no necesarios relacionados con esos
paquetes y servicios ahora y en el futuro.
b) Cuando sea posible, delimite el acceso a sus servicios: Algunos servicios
deberan ser accesibles solamente desde algunas direcciones IP. Entonces,
en lugar de dejar el servicio abierto y accesible desde todas partes del
mundo, debe delimitar el acceso mediante el firewall (ver ms abajo), los
parmetros de configuracin del servicio o con TCP wrappers.

21
c) Proteja los servicios que se ejecutan en su servidor: Aplique las mejores
prcticas de seguridad que brindan los proveedores de paquetes de
servicios. Por ejemplo, proveedores como cPanel, Plesk, SQL Server,
Apache, etc.
4) Sistema de archivos, archivos y directorios
a) Establezca los permisos adecuados: Deben establecerse los permisos
adecuados para todas las carpetas, archivos y particiones en su sistema de
archivos. Encuentre ms detalles en el artculo Entienda los permisos de
archivos de Linux. No use el bit ce SUID innecesariamente, especialmente
para archivos con propiedad de root. Es mejor usar "sudo" cuando los
usuarios sin privilegios necesitan tener acceso a una funcin administrativa.
b) Asigne la propiedad apropiada: Para proteger su valiosa informacin y
velar por la integridad de su sistema de archivos, tiene que identificar y
asignar la propiedad adecuada a los usuarios y grupos a los que se les
permite leer, modificar o incluso ejecutar comandos y scripts.
c) Controle la integridad de su sistema de archivos: Para proteger los
sistemas ms importantes, es sumamente importante supervisar la integridad
de los archivos si usted debe seguir ciertos estndares de cumplimiento (PCI-
DSS, etc.). La supervisin de integridad de archivos le ayudar a responder
a algunas preguntas: Quin hizo el cambio, qu ha cambiado, cundo se
cambi, cul era el valor anterior, etc.
d) Examine su servidor en busca de virus, rootkits, backdoors y
vulnerabilidades locales: Especficamente para los clientes especializados
en alojamiento compartido, donde usuarios distintos (clientes) pueden cargar
archivos, administrar sus sitios web, instalar paquetes y software (CMS,
complementos, etc.) en su espacio. La mayora de los entornos de
alojamiento compartido contienen una gran cantidad de sitios web
comprometidos, paquetes sin revisiones y estn utilizados por usuarios que
no toman las medidas necesarias para proteger sus sitios web. Es importante
que examine su servidor para detectar, prevenir y limpiar el sistema de
ficheros de cualquier archivo malicioso (backdoors, virus, etc.).
e) Cuando lo necesite, cifre sus datos: Si usted tiene que cumplir con ciertas
normas (PCI-DSS, etc.) o bien, solo desea proteger su valiosa informacin y
evitar la visualizacin no autorizada de sus bienes, la mejor prctica es el
encriptado de datos sensibles.
5) Sistema operativo y software
a) Aplique las mejores prcticas de seguridad del proveedor: La mayora de los
proveedores de software tienen sistemas de gestin de conocimiento donde
puede encontrar una lista de recomendaciones y mejores prcticas para
asegurar la instalacin.
b) Tenga su software y sistema operativo actualizados: Este es uno de los
principios fundamentales de la administracin de cualquier infraestructura de
TI. Si mantiene actualizados los paquetes y el software de la infraestructura,
evitar problemas de vida til o problemas de seguridad ocasionados por
versiones antiguas de paquetes y software.
c) Aplique las revisiones de seguridad del proveedor tan pronto como estn
disponibles: Esto se aplica a cualquier tipo de software o paquete instalado

22
por usted o sus clientes en el servidor. Por ejemplo, si usted instal software
de terceros, asegrese de tener estos programas actualizados o revisados.
d) Instale software de fuentes y proveedores de confianza: Instalar software o
paquetes de fuentes que no son de confianza es un riesgo importante para
la seguridad de su infraestructura de TI y bienes.
6) Firewall, IDS e IPS
a) Proteja su infraestructura con un firewall: Puede elegir entre firewalls de
software o hardware para proteger a sus servidores. Nuestro equipo de
soporte tcnico puede ayudarle a instalar y configurar un firewall de software
en su servidor.
b) Asegrese de que el firewall se est ejecutando: Para que su infraestructura
de TI y servidores estn protegidos, el firewall tiene que estar funcionando
en absolutamente todo momento.
c) Cuando sea necesario, proteja su infraestructura con un WAF (Firewall para
aplicaciones web).
d) Cuando sea necesario, use un sistema de deteccin de intrusos (IDS):
Existen diferentes soluciones y marcas para ejecutar un sistema de IDS
basado en un host o red en funcin de sus necesidades y requisitos de
cumplimiento. Lea este artculo para obtener ms detalles sobre IDS.
e) Cuando sea necesario, use un sistema de prevencin de intrusos (IPS): Elija
un IPS que incluya fases de deteccin y prevencin. Pngase en contacto
con nuestros especialistas en ventas si necesita ayuda para elegir la mejor
solucin IPS de nuestras ofertas.
7) Respaldo
a) Asegrese de que su informacin se respalda con frecuencia y de forma
segura: Resulta til realizar respaldos de manera frecuente por si acaso su
servidor es vctima de un ataque.

Cuarto de Equipos: Hardware


Pero como decamos al principio de este punto es de suma importancia tambin
poder lograr equilibrar el cuidado interno con el externo, como vamos a proteger
nuestro sistema en contra de factores muchas veces humano pero tambin a
desastres naturales que pueden suceder en cualquier momento.

a) Control de acceso: Lo primero que hay que mencionar es que usaremos


rack para cada servidor, con llave y que por supuesto las llaves las manejen
solo personal calificado y de confianza para cualquier eventualidad.
b) El rack de servidores ms comn es probablemente el rack de cuatro postes
diseado para sostener servidores y dispositivos de 19 pulgadas de ancho.
Un tpico rack de altura completa mide 42U y el de media altura 24U.
c) Dos alternativas para locaciones de espacio reducido son los racks abiertos
o los pequeos armarios montados en la pared. Tenga en cuenta, sin
embargo, que los racks o bastidores abiertos tienen requisitos especiales de
montaje como ser atornillados al suelo, mientras los armarios montados en
la pared no son adecuados para cargas ms pesadas que los conmutadores
de red o unos pocos servidores.

23
d) Al tener una especie de sala de servidores o un lugar adecuado para
resguardar en lo posible nuestro equipamiento, tambin hay que considerar
otras cosas
e) La proteccin contra la electricidad esttica y el calor.
f) No hay que conectar otros dispositivos a este suministro de corriente, porque
pueden generar ruidos que anulen las ventajas de la proteccin ofrecida por
la fuente de corriente dedicada. La conexin a la fuente de energa se ha de
hacer con cable estndar de tres hilos, con el hilo de masa conectado a tierra.
g) Sistema contra incendios: En la sala donde se encuentre instalado el servidor
debe haber detectores de humo de alta sensibilidad y un sistema contra
incendios. Actualmente, se usan bastante los de co2 que no daan tanto el
equipamiento como los otros. Tambin deber estar protegido el servidor
contra peligros de inundaciones y goteras que podran provocar
cortocircuitos.

24
Segmentacin lgica de la red

25
CONCLUSIN

Si bien la seguridad es un tema que debemos considerarlo en todos los mbitos, en


este caso una empresa del mbito de la construccin, estaba fallando en varias
reas que con trabajo y esfuerzo debimos encontrar solucin, supimos encontrarle
la vuelta a los temas y as lograr respuestas favorables.
Lo Mejor de todo esto es que con las herramientas que hemos pasado en clases y
con el libro que nos dio como apoyo el profesor, sacamos adelante esto.
La seguridad nos queda muy claro que es parte esencial del da a da de nuestro
trabajo y que debemos estar siempre alertas a cualquier eventualidad que ocurra.

26
ANEXO 1: Servidor de correo en Ubuntu

Paso 1: Instalar Apache 2


Para Instalar Apache2 escribiremos en una terminal lo siguiente en modo de sper
usuario:

Para verificar una correcta instalacin de apache accedemos desde nuestro


servidor a nuestro navegador predeterminado. En pantalla habr un texto que nos
dir que est trabajando correctamente.

Paso 2: Instalar y configurar servidor de correo

POSTFIX

Para instalar Postfix, tendremos que escribir lo siguiente en un terminal:


apt-get install postfix

Durante la instalacin nos aparecern diferentes ventanas:

Seleccionaremos Sitio de Internet.

27
En la siguiente escribiremos el dominio que hayamos escogido. Para poder tener
nuestro servidor de correo en Ubuntu, en nuestro caso lo que hemos puesto de la
siguiente manera:

A continuacin editaremos el siguiente archivo:


nano /etc/postfix/main.cf

Al final del archivo le aadiremos las siguientes lneas de cdigo:


inet_protocols = ipv4
home_mailbox = Maildir/

Mediante estas lneas le indicaremos que protocolo vamos a usar y donde se


guardarn los emails.

Para que los cambios surtan efecto, escribiremos en terminal lo siguiente:


/etc/init.d/postfix restart

COURIER POP Y COURIER IMAP

Para conseguir nuestro servidor de correo en Ubuntu, instalaremos courier-pop y


courier-imap mediante los siguientes comandos en terminal:

28
Instalamos courier-pop:

En la instalacin de courier-pop le indicaremos que NO crearemos directorios para


web-base aministration.

Instalamos courier-imap:

SQUIRRELMAIL

El objetivo es instalar Squirrelmail para que gracias al servidor web que hemos
instalado (Apache2), podamos ver los emails que nos enven. Para instalar
Squirrelmail, en un terminal introduciremos lo siguiente:

Una vez instalado, escribiremos en la terminal lo siguiente para configurarlo:


squirrelmail-configure

Veremos el siguiente men:

Elegiremos la opcin D (Set pre-defined settings for specific imap servers).

29
Acto seguido elegiremos el tipo de correo: Courier.

Lo siguiente ser escribir 2 y pulsar la tecla ENTER. Veremos lo siguiente:

Una vez hecho esto, lo siguiente ser seleccionar la opcin Dominio (1) y pulsar
ENTER nuevamente.

En Dominio escribiremos el dominio de nuestro sitio web (en nuestro caso


servredesvg.cl) que ms adelante utilizaremos para acceder a nuestro servidor de
correo en Ubuntu. Posterior a eso, pulsamos la letra Q para salir del men.

Lo siguiente que haremos ser configurar el webmail de Squirrelmail para que


podamos acceder al va web mediante apache. Para ello, escribiremos lo siguiente
en un terminal

30
Despus, reiniciaremos Apache mediante el siguiente comando en la terminal:

/etc/init.d/apache2 restart

Esperaremos a que Apache2 reinicie y volvemos a entrar a


http://servredes.virginiogomez.cl /webmail y veremos lo siguiente:

Para actualizar la configuracin del servidor web, utilizamos el siguiente comando:

Tambin es necesario ajustar un parmetro en PHP. Se hace editando el archivo


/etc/php5/apache2/php.ini:
nano /etc/php5/apache2/php.ini

Buscar el parmetro short_open_tag debe estar en ON:


short_open_tag = On

Reiniciamos el servidor web con:


service apache2 restart

31
ANEXO 2: Instalacin y Configuracin de Nagios3

Paso 1: Instalar Nagios3


Para comenzar con la instalacin de Nagios, necesitamos tener instalado un
servidor Apache.

$ sudo apt-get install nagios3

Se instalar en el directorio /etc/nagios3/. Instalar nagios3 implica instalar tambin


nagios-plugins que contiene los programas que monitorizarn los hosts.

Configuracin del sistema


Directorios de configuracin: Nagios utiliza archivos de configuracin que se
encuentran repartidos en el sistema.

/etc/apache2/conf.d/ Contiene /etc/init.d/ Contiene un script que inicia,


un enlace simblico al archivo de reinicia y detiene el demonio de Nagios.
configuracin que usa el servidor
web.
/etc/nagios3/ Contiene archivos /etc/nagios3/conf.d/ Contiene archivos de
de configuraciones globales, configuraciones especficas de los dispositivos
vamos a modificar algunos de y servicios monitorizados, son los que
ellos. principalmente vamos a crear,modificar o
borrar.
/etc/rc*.d/ Contienen enlaces /usr/lib/nagios/plugins/ Esta carpeta es muy
simblicos para el inicio y la importante ya que contiene los archivos
detencin de Nagios en los binarios encargados de monitorizar protocolos
runlevels de Debian. (FTP, HTTP, SSH, etc.) y otros aspectos de
los sistemas, como el espacio disponible de
memoria o los usuarios logueados.
/usr/sbin/ Contiene el archivo /usr/share/doc/nagios* Contienen
binario de Nagios. documentacin y ejemplos sobre el uso de los
plugins.
/usr/share/nagios/htdocs/ Cont /usr/share/nagios/htdocs/images/logos/ Co
iene los archivos .html utilizados ntiene imgenes para identificar los
por el servidor web. dispositivos en un mapa.
/var/log/nagios3/ Contiene el
registro de las alertas detectadas
por Nagios.

32
Ficheros de configuracin de Nagios

En esta seccin vamos a modificar los archivos del directorio /etc/nagios3/ para la
configuracin del programa:

apache2.conf: Contiene la cgi.cfg: Contiene configuracin de


configuracin utilizada por el servidor ciertas rutas y parmetros.
web Apache.
commands.cfg: Contiene comandos nagios.cfg: Contiene la configuracin
predefinidos y/o personalizados por el principal.
usuario.
resource.cfg: Contiene informacin de
variables y macros.

Ficheros de configuracin de dispositivos y servicios

Los dispositivos y servicios que se deseas monitorizar se crean y configuran en el


directorio /etc/nagios3/conf.d/; los archivos siguientes han sido creados durante la
instalacin inicial y contienen informacin que ha permitido el funcionamiento inicial
de Nagios, puedes modificar lo que necesites de ello para tu configuracin personal:

contacts_nagios2.cfg: Contiene extinfo_nagios2.cfg: Contiene


informacin de usuarios que recibirn informacin adicional para dispositivos
avisos de alertas. y servicios.
generic-host_nagios2.cfg: Contiene generic-service_nagios2.cfg:
informacin genrica de dispositivos. Contiene informacin genrica de
servicios.
host-gateway_nagios3.cfg: Contiene hostgroups_nagios2.cfg: Contiene
informacin el dispositivo puerta de informacin sobre grupos de
enlace. dispositivos
localhost_nagios2.cfg: Contiene services_nagios2.cfg: Contiene
informacin sobre el equipo en donde informacin sobre grupos de servicios.
est instalado Nagios
timeperiods_nagios2.cfg: Contiene
informacin sobre los perodos de
notificaciones.

33
Aadir un host/servidor

Para aadir un host/servidor tenemos que escribir lo siguiente en un archivo .cfg


(podemos crear un archivo, o utilizar los que se encuentran por defecto ya creados).

34
Anexo 3: Instalacin y Configuracin de Apache2 / MySQL /
PHPMyAdmin

Paso 1: Instalacin y Configuracin de MySQL


Instalacin de Apache2:

Para Instalar Apache2 escribiremos en una terminal lo siguiente en modo de sper


usuario:

Para verificar una correcta instalacin de apache accedemos desde nuestro


servidor a nuestro navegador predeterminado. En pantalla habr un texto que nos
dir que est trabajando correctamente.

Instalacin de MySQL:
En la consola de comandos (shell) ejecutar el siguiente comando:
apt-get install mysql-server mysql-client
Usuario : root
Contrasea : MySQL
Reiniciar Sistema de MySQL
sudo /etc/init.d/mysql restart

Instalacin de phomyadmin:
Para instalar phpMyAdmin en Debian y derivados, simplemente ejecutar:
apt-get install phpmyadmin
service apache2 restart

Una vez instalado, slo resta habilitar el acceso a la aplicacin en Apache.


Afortunadamente, phpMyAdmin incluye una configuracin de directorio virtual, por
lo que basta con incluirla en la configuracin global de Apache.

Editar el archivo de configuracin global del servidor Apache

nano /etc/apache2/apache2.conf
# Habilitar phpmyadmin
Include /etc/phpmyadmin/apache.conf

Finalmente reiniciar Apache:


service apache2 restart

35
Anexo 4: Configuracin de IPTables

Los usuarios pueden navegar libremente por la red, por lo que la


productividad baja cuando no hay una supervisin directa, por lo que se
requiere bloqueo de todos los sitios que no sean los institucionales.

Dado que uno de los puntos que le preocupa a la empresa, es la capacidad que
tiene el personal para aumentar la cantidad de produccin realizada en el da, se ha
querido tomar el resguardo de realizar bloqueos en aquellos sitios que no tengan
que ver con las labores correspondientes a su funcin.

Por lo que en este punto, hemos decidido trabajar son seguridad obtenida desde el
firewall, ms directamente, trabajaremos con iptables.

Se proceder a bloquear los sitios de Internet que desven la concentracin de sus


funciones al personal en horario de trabajo. Para ello, bloquearemos el acceso a las
pginas y/o puertos que tengan acceso a estos mismos: Facebook, Twitter,
Instagram, Juegos, etc.

Por ejemplo:

iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP


iptables -A OUTPUT -p tcp -d www.twitter.com -j DROP

Esta lnea de comandos, lo que hace es decirle al servidor:


iptables A: agregar una regla (puede ser OUTPUT, INPUT O FORWARD)
-p: protocolo al cual se le aplicara la regla (dejarlo en blanco aplica para
todos)
-d: seleccin de direccin (puede ser direccin o IP)
-j: a que va dirigido la regla (puede ser DROP, REJECT O ACCEPT)

Para restaurar o eliminar las polticas que hasta ese momento son vigentes, se digita
el comando:
$ iptables -F

Qu pasara si la conexin intentan hacerla en nuestra red, pero por medio de un


telfono mvil, como por ejemplo, desde un juego, u otra aplicacin que requiera
acceso a Internet?

En el caso de sistemas operativos Linux podremos usar el siguiente comando Linux


para obtener los procesos y el puerto de comunicaciones que usan:

$ lsof -w -n -i

36
El comando Linux nos mostrar el proceso, el PID2, el usuario, tipo, dispositivo,
protocolo y estado de la conexin:

Para obtener la aplicacin que tiene un puerto abierto en Linux usaremos el


comando Linux:

$ ls -l /proc/XXX/exe

Donde XXX ser el PID del proceso a consultar:

Existen otros comandos Linux para obtener datos de los procesos que usan puertos
de comunicaciones como:

$ netstat -panut | grep LISTEN

O tambin:

$ ss -a | grep LISTEN

2
PID (Process ID o ID de proceso o identificador de procesos) es un nmero entero usado por el kernel de
algunos sistemas operativos (como el de Unix o el de Windows NT) para identificar un proceso de forma
unvoca.

37
Anexo 5: Cotizacin de equipos de telecomunicaciones

TP-LINK TL-SL2452 (Administrable)

Precio Efectivo Precio Normal


$ 169.990 $ 178.990

Precio Final (x3 Switch)


$509.990

48 puertos 10/100 Mbps, 2 puertos 10/100/1000, y dos ranuras Gigabit SFP


a) Estrategia de Seguridad Integrada: incluyendo 802.1Q, VLAN, Seguridad de
Puerto y El control de Tormenta ayuda a proteger el rea LAN
b) Modos administrables WEB/CLI; SNMP, RMON: proporciona abundantes
caractersticas de administracin.

38