INSTALACIÓN Y ADMINISTRACIÓN DE HARDWARE Y

SOFTWARE DE SEGURIDAD EN LA RED A PARTIR DE

NORMAS INTERNACIONALES.

http://networkingtools.blogspot.com/

1
 INTRODUCCIÓN.

Este proyecto se hace con el propósito de instalar y administrar hardware y software de

seguridad en una red de una mediana empresa. Se implementara todos los servicios a nivel
de seguridad de tal manera que cumpla con los requisitos y normas técnica exigidas a nivel
internacional. Todo esto con el fin de proteger a la empresa de posibles amenazas que
provengan tanto del exterior de la red como a nivel interno.

Se utilizará software especializado como CISCO PACKET TRACER, para proyectar

gráficamente la topología de la red, realizar la configuración de los dispositivos, y el
direccionamiento entre entre los equipos de las 3 sedes en la empresa.

Respecto a la distribución de los dispositivos se hará a través de las 3 sedes. En una de las
sedes se ubicaran 3 servidores, en otra será la parte administrativa y en otra se
implementara tecnología inalámbrica y el acceso a Internet. Además en las sedes se crearan
diferentes tipos de restricciones.

2
 PLANTEAMIENTO DE PROYECTO.

Justificación.

Se implementara la seguridad en la red para una mediana empresa, con el fin de protegerlos
de toda clase de violaciones y amenazas que se pueden sernir sobre la información privada
que maneja la empresa, así como también los datos personales de directivos y empleados.

Identificación de las competencias que se desarrollan.

Instalar y administrar hardware y software de seguridad en la red a partir de normas

internacionales.

Identificación básica del contenido.

● Definir las normas y políticas de seguridad que se deben seguir a nivel físico para la
seguridad.
● Utilizar herramientas tecnológicas a nivel se hardware y software para proteger la
red.
● Establecer la topología lógica más adecuada.
● Direccionar redes y subredes.
● Configurar servicios de red.

3
Cronograma de actividades.

Actividad a Duración Recursos requeridos Competencia

desarrollar especifica
Visita y reconocimiento 1 semana Cámara digital, libreta de notas, Análisis
Planeación y 2 semanas Computadores, memorias USB, Planeación y
estructuración del libreta de notas, software estructuración.
proyecto simulador
Exposición y 2 día Computador, proyector, memoria Relaciones publicas
presentación del plan al USB
cliente
Aprobación del proyecto 1 semana
Estudio de recursos y 1 semana Computadores, catálogos de Identificación de
adquisición de proveedores, comprador recursos y
materiales materiales
Inicio del trabajo 1 mes Canaletas plásticas, alicates, Instalación de
(Instalación de destornilladores, pinzas, taladro, componentes de la
canaletas) brocas, sierra de metales, chasos red
y tornillos y clavos.
Tendido y ponchado del 2 semanas Ponchadoras, X metros de cable Instalación de
cableado e instalación de UTP 5e, conectores RJ45, pinzas, componentes de la
dispositivos probador rápido de cable, 3 red
Router, 3 Switches. 1 router
inalambrico.
Configuración de los 2 meses Software de estructuración y Configuración de
equipos y dispositivos e configuración, Software de componentes de la
inicio de pruebas de chequeo red y servicios de
funcionamiento red
Pruebas de 2 semanas Software de chequeo Análisis de
funcionamiento y funcionamiento y
finalización corrección de
errores

4
Costos.

Producto Precio Unidades a

usar
Router Cisco 2811 3.100.000 3
Switch Cisco 2950-24 1.500.000 3
Servidor (AMD Opteron, 8GB RAM DDR2, HDD 500GB) 2.000.000 3
Roter inalambrico 600.000 1
Canaleta Plástica 100x50mm (Metro) 9.500
Face Plate (Unidad) 2.500
Jack RJ45 (50 Unidades) 9.800
Linux Ubuntu Server Priceless 3
Licencia Windows 7 Enterprisse 1.500.000
Cables Seriales (5m) 300.000
Cable UTP 5e (Metro) 800
Rack 490.000 3

5
 DESARROLLO DEL PROYECTO.

Aspectos metodológicos.

Se plantea instaurar una red de datos realizando las configuraciones básicas de los
dispositivos y de los servicios requeridos por la compañía, tales como servidores DNS, FTP,
TFTP, y HTTP, también implementar el servicio de e-mail interno administrado por un
servidor.

Se implementaran políticas de seguridad, que permiten y deniegan acceso a ciertas áreas de

la compañía con el fin de proteger la información, esto se hará a través de contraseñas, y
también con dispositivos físicos como el firewall.

Las actividades se realizaran de la siguiente forma:

● Se organizara una cita con el cliente para conocer sus necesidades y planear una
visita para reconocimiento de campo.
● Se analizara la disposición de los dispositivos y las necesidades por sede.
● Se presentara la información al cliente del plan de acción, y se llegara a un mutuo
acuerdo sobre el desarrollo de este y los recursos requeridos para su correcta
finalización.
● Se identificaran y se adquirirán los recursos físicos, tales como cableado, conectores
y herramientas, dispositivos y equipos (PCS) faltantes.
● Se procederá en la fecha acordada con el cliente, el inicio de las actividades de
instalación.
● Se configuraran debidamente los dispositivos y se probaran con el fin de asegurar su
correcto funcionamiento.
● Se configuraran los servicios de red y se probara su debido funcionamiento.
● Se implementaran las políticas de seguridad de la red a nivel lógico.
● Se implementaran las políticas de seguridad de la red a nivel físico.
● Se entregaran los debidos manuales y planos estructurales y lógicos de la red al
cliente, para facilitar su futuro mantenimiento.

Recursos.

Didácticos:
● Software simulador (Packet Tracer 5.3).
● Software Utilizado (MS Word, MS Power Point).
● Guías textuales y tutoriales.
● Bibliografía (Manuales y Textos sobre Normativas).

Físico:
● Herramientas (Pinzas, Alicates, Ponchadoras, probadores, taladro, destornilladores,
sierra de metales, computadores (Software simulador), memorias USB (Transporte
de documentación))
● Materiales (Cables UTP, conectores RJ45, canaletas metálicas, chazos, tornillos y
clavos)
● Recursos Humanos (Tecnólogos y Técnicos instaladores).

6
Estudio y desarrollo de la topología lógica y física de la red.

La topología física general de las tres sedes: La sede central contara con 600 host en el cual
se ubicaran los servidores y el acceso a internet, la sede norte contara con 250 host y tendrá
la tecnología inalámbrica, y la sede sur será la sede principal.

Implementación de los servidores.

Los servidores se ubicaran en la sede central, y serán 3. Un servidor contará con los
servicios de DNS y html. El Segundo servidor prestará los servicios de ftp y tftp, y el tercer
servidor prestará el servicio de email.

Implementación de las políticas de seguridad.

La sede sur será la principal, y a esta tendrán acceso restringido las otras dos sedes, se
implementara una seguridad física a través de la correcta protección de los equipos, y una
seguridad lógica a través de firewall, software especializado y configuración de los
dispositivos intermedios. En los swicht se implementará restricción a los puertos, en los
servidores y pcs se instalarán antivirus y antispyware, y finalmente el firewall será un
dispositivo ubicado en la sede central.

7
 Sistemas Operativos.

1. Linux

Mirando las variables costo – beneficio, se ha decidido utilizar en los servidores el sistema
operativo Ubuntu, dado que es el más seguro y estable, es gratuito, es liviano, y se puede
actualizar con facilidad. El manejo de este sistema operativo será a cargo del administrador
de la red.

Para servidor FTP usaremos proftpd

Para servidor DNS usaremos bind

8
Para servidor de correo electrónico usaremos Sendmail

Para Servidor web utilizaremos servidor Apache.

Para manejar el servidor tftp instalaremos HPA’s tftp server

Para mayor protección activaremos el firewall de Ubuntu UFW

Veamos cómo se utilizaría UFW para el bloqueo de puertos.

9
Este firewall tiene varias funciones:
● Protege de intrusiones.
● Protección de información privada.
● Optimización de acceso.

2. Windows

Respecto a los demás usuarios, se ha decido utilizar el Windows 7, dado que es más
amigable con el usuario común, está más familiarizado con el entorno gráfico, y es mucho
más fácil el uso de la multimedia, así como también el acceso a los programas tradicionales.
Ya en este sistema operativo, se instalaran los correspondientes programas de seguridad.

Para estar más seguros de cómo mejoran los programas y cuál es su respuesta dentro del
público, hemos visitado el sitio web de Softonic, y hemos consultado los programas más
populares y sus comentarios. Hemos encontrado la siguiente lista.

1. avast!
2. AVG
3. ESET NOD32
4. Avira AntiVir Personal
5. Panda Cloud Antivirus
6. Kaspersky Anti-Virus
7. Norton AntiVirus
8. Malwarebytes Anti-Malware
9. MSNCleaner
10. SpyBot Search & Destroy

Basándonos en ella, hemos decidido utilizar dos programas para proteger los equipos
Windows de todas las amenazas. Un antivirus que se encarga de proteger el equipo contra
toda clase de virus, y un antimalware, que se encarga de proteger contra troyanos, espías y
demás amenazas. No hemos querido agregar más programas para no sobrecargar el equipo
y además consideramos que estos dos programas cumplen muy bien la función.

10
Software antivirus Avast

Protección contra Malwares el MalwareBytes

11
GOOGLE APPS

Respecto a la seguridad en la navegación por internet, hemos decidido utilizar el conjunto de

herramientas de google para empresas, el google Apps, que cuenta con varios servicios que
cubren todas las necesidades ofimáticas de la empresa y además es gratuito, es en línea y es
seguro.

En esta suite de programas encontraremos Google Docs, que es similar al Office, solo que
con las ventajas que se puede hacer documentos de manera colaborativa y en línea, además
de que así se está libre de virus por estar trasportando dispositivos de almacenamiento de
un lado a otro.

En cuanto al correo, se puede ofrecer una alternativa a la empresa con Gmail, que puede
ser adaptado a las necesidades de la empresa e incluso quedar con el dominio de la
empresa. Gmail es excelente porque tiene un excelente mecanismo AntiSpam.

También cabe mencionar que para proteger al equipo de molestas ventanas emergentes, y
de sitios web potencialmente peligrosos se ha optado por instalar en los equipos el
navegador de google, el Chrome, el cual es reconocido por su velocidad y por proteger al
equipo de las ya mencionadas molestias.

12
FIREWALL DE WINDOWS

Para consolidar la seguridad de los equipos, y así evitar que aplicaciones roben información
vital, se ha activado y optimizado el firewall de Windows, bloqueando las aplicaciones que
son más propensas a generarle problemas al equipo, como son los programas P2P y los más
conocidos son: El Ares y el Emule.

Con todos los programas ya mencionados se garantiza una protección para el equipo en
todos los ángulos y lo más importante sin sobrecargarlo. Además debemos mencionar que el
sistema operativo Windows 7 es muy estable y seguro hasta el momento.

13
HARDWARE FIREWALL

Para terminar de completar las seguridad de los datos que se mueven en la intranet, se ha
decidido, utilizar el Firewall Cisco Asa, debido a que es simple y rápido de administrar.

La interfaz es bastante intuitiva y fácil de manejar. Se pueden configurar las reglas de

filtrado directamente desde una interfaz gráfica en https:// gracias al acceso cliente JAVA.

14
El firewall Cisco ASA, le proporciona protección múltiple, gracias a sus numerosas
funcionalidades:
Inspección aplicativa: controla aplicación, soporte de protocolos voz y video;
Prevención de instrusiones: protección en tiempo real contra ataques de aplicaciones DOS,
detección y filtrado de la actividad de red de los gusanos y los virus, detección de spywares,
adwares y malwares;
Seguridad IPCom: inspección avanzada de protocolos de voz, firmas IPs específicas;
Conectividad SSL y IPsec: servicios IPSec y SLL protegidos, servicios SSL con cliente o con
portal ;
Gestión de 450 Mbps de tráfico;
Activar o desactivar firewall, directamente desde el manager.

Mejor que un firewall software, el firewall Cisco ASA no puede ser víctima de una
desactivación no deseada que provenga de una acción humana o de un programa malicioso.
Además su protección se mantiene activa independientemente del nivel de recursos
disponibles en un servidor dedicado.

15
HARDWARE IDS – IPS

La sigla IDS corresponde en ingles a “Intrusion Detection System”, “Sistemas de Detección

de Intrusiones” programas diseñados para detectar ataques a una red.
Los IPS se encuentran permanentemente “escuchando” el trafico de la red, al detectar
alguna anomalía en el mismo comparan los datos sospechosos con la “firma” con una
muestra de algún ataque conocido y de reconocerlo como tal lanzan una alarma.
Los IPS, “Intrusion Prevention Systems”, no solo detectan los ataques y dan alarma de ellos
sino que también cuentan con capacidad para detenerlos.

Hay varios programas que prestan funciones de IDS/IPS como Snort.

Pero dado que se va a implementar en servidores dedicados que demandaran gran capacidad
de procesamiento, se usará mejor un hardware, el más conocido es TopLayer

Además trae un controlador que puede mostrar a través de interfaz gráfica los datos
agregados desde cualquier combinación, proporciona datos en tiempo real, la edición es muy
intuitiva. Además ofrece un servicio de subscripción que permite actualización frecuente de
paquetes de protección.

16
RACKS y la Seguridad Física.

El rack será instalado en la sede central donde ubicaremos los servidores, el firewall, el IPS,
y también el router.

Será ubicado dentro de una habitación donde también se encontrara la oficina del
administrador de redes, el cual en el día se encargara de vigilar el correcto funcionamiento
de la red. En la noche el sitio permanecerá vigilado a través de una cámara conectada en
una esquina de la oficina donde monitorea en tiempo real lo que pasa en el sitio, y esta
cámara puede ser accedida desde internet. Esto facilitara hacer un seguimiento, desde la
oficina principal o desde el hogar de la persona encargada.

Adicionalmente esta sede cuenta con el servicio de vigilancia, la cual dará especial atención
al cuidado de los equipos de res. Por otra parte para incrementar la seguridad se le ha
añadido a la puerta unas chapas especiales que requieren de varias llaves para ser abiertas.

17
Restricción a páginas web.

Existen varias formas de hacer restricciones a las páginas web, mencionaremos varios
métodos, ya que se complementan entre sí, y esto genera mucho mayor seguridad en la red.
Respecto al ISA server se dejara como opción que se puede instalar en un futuro, ya que
para ello se necesita instalar Windows server.

1. El primero es a través de la propia página web. Se realizar con un lenguaje de

programación PHP desde el lado del servidor; con .htpasswd. Más sin embargo hay una
herramienta más fácil de manejar. .htpasswd Password generator. Visitando el sitio
http://tools.dynamicdrive.com/password/

Utilice esta herramienta para generar todos los códigos necesarios para proteger la
contraseña de un directorio o selecciona los archivos dentro de ella en su sitio a través.
Htaccess. Se encripta las contraseñas que desee, a continuación, las salidas de los códigos
correspondientes para poner dentro de su. Htaccess y. Htpasswd.

Esto se puede implementar en la página web de la empresa.

2. La segunda forma es a través de Microsoft ESP Isa Server 2006 (Internet Security &
Acceleration Server). ISA Server es un Gateway integrado de seguridad perimetral que
protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un
acceso remoto rápido y seguro a las aplicaciones y los datos.
Dado que estamos usando Ubuntu como servidor, entonces esta opción se puede pensar
para más adelante.

18
3. WinGate el mejor servidor proxy

Permite conectar toda una red local (LAN) a Internet usando una única conexión física. Se
puede usar programas (navegadores, Telnet, FTP, etc) sin tener que configurar routers.

Permite que todas las aplicaciones se ejecuten como si estuviesen conectadas directamente
a Internet, opciones de vigilancia, reglas extendidas, cuentas, audiciones, base de datos para
usuarios, mensajes, alertas remotas de sistema, un servidor SOCKS 5 con HTTP, proxies,
base de datos para llamadas, soporte para múltiples módems, y la posibilidad de usarse
como un servicio.

19
Seguridad en dispositivos y asignación de contraseñas.

Host: En los host se utilizara software especializado (antes mencionado) en seguridad lógica,
complementario a esto se asignara una cuenta de dominio con sus respectivas restricciones de
acuerdo al usuario.
Se controlara su conexión por medio de seguridad aplicada en los puertos del Switch
(“switchport port-security violation shutdown” y “switchport port-security mac-address sticky)
para prevenir intruciones en la red.

Servidores: Estos se ubicaran en espacios controlados de acceso restringido, al igual que con
los host se implementara software para protección y contraseñas.

Dispositivos: Se ubicaran en espacios controlados de acceso restringido, al igual que se usaran

RACK’s con cerradura a la cual solo tendrá acceso el administrador.
En la seguridad lógica de estos, se usaran contraseñas encriptadas tanto para su acceso local
como remoto, además de seguridad por puertos.

El acceso a la red desde el exterior será controlado por un dispositivo Firewall con funciones
IDS e IPS.

20
Implementación de seguridad para los servicios de aplicación.

E-mail: Se asigaran cuentas de dominio controladas, además de servicios de Antivirus/Anti-

Spam especializados para el servicio.

FTP/TFTP: Se asignaran cuentas con diferentes niveles de permisos, siendo solo de lectura y
listado para usuarios comunes y control total para administradores de confianza.

Telnet: El acceso por medio de Telnet solo será permitido para administradores.

Wireless: En los segmentos de red inalámbrica se usara protección tipo WPA2 a nivel personal,
siendo necesario el uso de contraseña para el acceso a la red, de igual forma se asignaran
periodos de tiempo de inactividad de ser necesario (por días u horas).

21