Departamento De Seguridad-Network Operations Center

UNIVERSIDAD GALILEO

Tecnología de Hardware y Software

Departamento de Seguridad

Network operations center

CRISTIAN RODOLFO BLANCO OCHOA IDE: 10143052

GUATEMALA, 24 de Agosto de 2013

Introducción

La seguridad interna de la red es, las más veces, menospreciada por sus administradores. Muy a menudo, dicha seguridad incluso no existe, permitiendo a un usuario acceder fácilmente al equipo de otro usuario utilizando debilidades bien conocidas, relaciones de confianza y opciones predeterminadas. La mayor parte de estos ataques necesitan poca o ninguna habilidad, poniendo la integridad de una red en riesgo.

La mayoría de los empleados no necesitan y no deben tener acceso al resto de equipos, funciones administrativas, dispositivos de red, etcétera. Sin embargo, debido a la cantidad de flexibilidad necesaria para la función normal, las redes internas no pueden permitirse una seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios internos pueden ser una importante amenaza para muchas redes corporativas.

Un usuario de la empresa ya tiene acceso a muchos recursos internos y no necesita evitar cortafuegos u otros mecanismos de seguridad que previenen que las fuentes no confiables, como usuarios de Internet, accedan a la red interna. Dichos usuarios internos, equipados con mucha habilidad, pueden penetrar satisfactoriamente y conseguir derechos de administración remota de red mientras que asegura que su abuso sea difícil de identificar o incluso de detectar.

Una pobre seguridad de red también significa que, si un hacker externo fuerza un equipo de su red, podrá acceder al resto de la red interna más fácilmente. Esto habilitaría a un atacante sofisticado leer y posiblemente filtrar correo y documentos confidenciales; equipos basura, haciendo creer en pérdidas de información; y más. Por no mencionar que entonces utilice su red y recursos para volverse e iniciar el ataque a otros sitios, que cuando sean descubiertos le apuntarán a usted y a su empresa, no al hacker.

En este proyecto aplicaremos los siguientes servidores para la seguridad de un NOC:

• IPCop

• Webmin

• syslog-ng

• Snort

Tabla de contenido

Network operations center 1

Introducción 2

IPCop 4

Instalación de IPCop 5

Syslog-ng 15

Configuración del syslog-ng 16

Webmin 18

Instalar Webmin en ubuntu server 12.04 19

Snort 20

Instalar y configurar Sistema Detección de Intrusiones-Snort en ubuntu 22

Conclusiones 36

Recomendaciones 37

E-Grafía 38

IPCop

IPCop es una distribución Linux que implementa un cortafuegos (o firewall) y proporciona una simple interfaz web de administración basándose en una computadora personal. Originalmente nació como una extensión (fork) de la distribución SmoothWall cuyo desarrollo había estado congelado bastante tiempo.

IPCop tiene como objetivos ser un cortafuegos sencillo, con pocos requerimientos hardware orientado a usuarios domésticos o a pequeñas empresas (SOHO), administrado a través de una interfaz web, con funcionalidades básicas y avanzadas, yendo (a manera de ejemplo) desde el simple filtrado de paquetes hasta la asignación de ancho de banda fijo a cada puesto de trabajo o la configuración de redes virtuales VPN. IPCop se actualiza desde la Interfaz Web de manera muy sencilla, incluyendo actualizaciones del Kernel.

IPCop está capado y solo tiene instaladas las herramientas justas para su función como firewall, limitando el daño que podría hacer un intruso que comprometiera el sistema. Si se desea ampliar la funcionalidad existen extensiones (addons), comunes conSmoothWall, que permiten instalar todo tipo de utilidades como por ejemplo instalar Nmap para escanear IPs.

La distribución Linux se puede bajar desde el sitio oficial en inglés, consiste de una imagen ISO de menos de 100Mb la cual puede ser grabada en un CD e instalada en cualquier computador que tenga al menos dos interfaces de red.

Extensiones (Addons): Algunas de las extensiones mas importantes son:

• BOT: (Block Out Traffic) esta extensión nos permite cortar o bloquear todo el tráfico de salida de IPCop ya que en un principio este firewall solo bloquea las conexiones entrantes.

• Advanced proxy: Otra de las extensiones mas usadas, ya que el servidor proxy que trae por defecto este firewall es poco avanzado y con pocas opciones de configuración.

• URL Filter: Esta extensión nos permite crear listas blancas y negras de las diferentes url's que queremos bloquear a los usuarios de IPCop, esta extensión se usa junto a la anterior puesto que se sirve de un proxy para bloquear dichas url's.

Topologías de red soportadas: Permite la implementación de diferentes topologías de red, ya sea desde la simple LAN que sale a internet, hasta la creación de una zona desmilitarizada (DMZ), soportando también la inclusión de una red inalámbrica.

Las diferentes zonas las divide en colores, siendo:

• Roja = zona de Internet,

• Verde = Red de Área Local (LAN) cableada,

• Naranja = zona desmilitarizada (DMZ, para la granja de servidores),

Instalación de IPCop

La instalación de IP Cop no representa ninguna dificultad para cualquier usuario. Deberemos descargar la imagen .iso, en la web oficial, grabarla en un CD y arrancar el sistema desde éste.

El proceso de instalación no cuenta con interfaz

...