escuela politecnica del ejercito maestria en redes de informaciÓn y conectividad

ESCUELA POLITECNICA DEL EJERCITO

MAESTRIA EN REDES DE INFORMACIÓN Y CONECTIVIDAD

«REPOTENCIACIÓN DE UN SISTEMA DE FIREWALL DE CÓDIGO ABIERTO BASADO EN

FUNCIONALIDADES DE PLATAFORMA PROPIETARIA»

REALIZADO POR:MARCO POLO SANCHEZ AGUAYO

PATRICIO XAVIER ZAMBRANO RODRIGUEZ

INTRODUCCIÓN

JUSTIFICACIÓN: Este proyecto pretende dar respuesta a un problema actual y

real que afecta a los servicios y prestaciones de las redes de información. Así mismo, dada la obligatoriedad de acogerse al mandato constitucional 1014, este proyecto, favorece la posibilidad de evaluar sí el firewall de software libre, es lo suficientemente robusto y tiene la efectividad requerida.

OBJETIVO GENERAL: Evaluar y repotenciar una plataforma de firewalling de código

abierto basado en las características distintivas de un sistema propietario y verificar su comportamiento en términos de performance y efectividad ante ataques informáticos, con el fin reforzar la detección, control y mitigación de ataques de seguridades informáticos en las instituciones gubernamentales.

DISEÑO DE FIREWALLS

FIREWALLS: Los Firewalls están insertados entre la red local y la Internet. Único punto de convergencia Protección de ataques internos y externos a la RED


WATCHWARD

APLICACIONES DE SEGURIDAD OPEN SOURCE Snort TCPDUMP Psad Nessus


Scanner / Attacker11.1.1.1

Internet

Webserver192.168.10.5

DNS server192.168.10.5

LAN192.168.10.0/24Scan / Attack

Iptables / Psad12.2.2.2

Scan / Attack

CLEAROS - REDHAT ZENTYAL – UBUNTU PFSENSE - FREEEBSD

EVALUACIÓN DE SISTEMADE FIREWALLING

DISEÑO E IMPLEMENTACIÓN DE LA TOPOLOGIA DE PRUEBA – AMBIENTE REAL

LAN INTERNA

FIREWALL

EQUIPO EXTERNO

INTERNET

SWITCH CORE

EQUIPO INTERNO3

PROGRAMASMALICIOSOS

BLOQUEO AUTOMATICO

EQUIPO INTERNO2

CLEAROS - SO REDHATZENTYAL - SO DEBIAN

PFSENSE - SO FREEBSD

ScriptExecuta 100 solicitudes de páginas WEB categorizadas

Almacena y procesa LOGS generados dentro del FIREWALL

SCRIPTS CAPTURA Y REGISTRO DE

EVENTOS

EQUIPO INTERNOEJECUTA SCRIPTS

1

AMBIENTE FÍSICO

ESCENARIOS AVALUADOS

NAT+ Filtrado de contenido

NAT+ Filtrado de contenido+ Antivirus

NAT+ Filtrado de contenido+Antivirus+ IPS

ATAQUES HERRAMIENTA

Escaneo de puertos ZenMap, nmap

Sniffing The dude

Denegación de Servicios Loic


EVALUACIÓN DE RESULTADOS DE PLATAFORMAS SELECCIONADAS

Equipo 1EJECUCION SCRIPT

Firewall ClearOS

Firewall WatchguardHD - SISTEMA OPERATIVO

Equipo 2EJECUCION SCRIPT – 100 conexiones


0

5

10

15

20

25

30

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

PERFORMANCE - CPU WATCHGUARD

NATWATCHGUARD

NAT - AV WATCHGUARD

NAT - CF - AV WATCHGUARD

360500361000

361500362000

362500

363000

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

PERFORMANCE - RAM WATCHGUARD

NAT NAT - AV NAT - CF - AV


05

101520253035

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE - CPU ZENTYAL

NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFINGZENTYAL

NAT - CF - AV PORT SCANZENTYAL

NAT - CF - AV DoSZENTYAL

010203040506070

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE - CPU CLEAROS

NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFINGCLEAR OS

NAT - CF - AV PORT SCANCLEAR OS

NAT - CF - AV DoSCLEAR OS

0.001.002.003.004.005.006.007.00

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE - CPU PFSENSE

NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFINGPFSENSE

NAT - CF - AV PORT SCANPFSENSE

NAT - CF - AV DoSPFSENSE


1250000

1300000

1350000

1400000

1450000

1500000

1550000

1600000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE - RAM ZENTYAL

NAT NAT - CF NAT - CF - AV NAT - CF - AV SNIFFING

NAT - CF - AV PORT SCAN

NAT - CF - AV DoS

0

200000

400000

600000

800000

1000000

1200000

1400000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE - RAM CLEAROS



NAT - CF - AV DoS

0

100000

200000

300000

400000

500000

600000

700000

800000

900000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE - RAM PFSENSE



NAT - CF - AV DoS


0

5

10

15

20

25

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PROCESAMIENTO ANTE ATAQUESSNIFFING

NAT - CF - AV SNIFFINGZENTYAL

NAT - CF - AV SNIFFINGCLEAR OS

NAT - CF - AV SNIFFINGPFSENSE

0

2

4

6

8

10

12

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PROCESAMIENTO ANTE ATAQUESPORTSCAN

NAT - CF - AV PORT SCANZENTYAL

NAT - CF - AV PORT SCANCLEAR OS

NAT - CF - AV PORT SCANPFSENSE

0

2

4

6

8

10

12

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PROCESAMIENTO ANTE ATAQUESDDoS

NAT - CF - AV DoSZENTYAL

NAT - CF - AV DoSCLEAR OS

NAT - CF - AV DoSPFSENSE

REPOTENCIACIÓN DEFIREWALL SELECCIONADO

CLEAROS

ESCANEO ZENMAP

FIREWALLIPTABLES IPS IDS

SNORT

Ataque PORTSCANEXTERNO

LAN ESCANEO ZENMAP

Ataque PORTSCANINTERNO

WAN

IMPLEMENTACIÓN DE IPS (PSAD), TCPDUMP, P0F, Y NESSUS


CLEAROSIMPLEMENTACIÓN DE IPS (PSAD), TCPDUMP, P0F, Y NESSUS


CLEAROSDESARROLLO DE MÓDULO PSAD


CLEAROSDESARROLLO DE MÓDULO PSADEl desarrollo del módulo se lo realizo bajo el nombre de PSAD :

/usr/clearos/app/psad

Directorios: controllers (Clases de lógica del negocio) view (Vistas o Capa de presentación) deploy (Archivos de configuración e información del módulo) language (Archivos de idioma)


CLEAROSCONTROLADORES Clase principal PSAD


CLEAROSCONTROLADORES Clase controladora de vista Status

VISTAS/usr/clearos/apps/psad/views/status.php


CLEAROS


CLEAROSELIMINACIÓN DE IP BLOQUEADA/usr/clearos/apps/psad/libraries/Validation.php


CLEAROSVISTA SERVER/usr/clearos/apps/psad/controllers/psad.php


CLEAROSEVALUACIÓN DE RESULTADOS – FIREWALL REPOTENCIADO

0

10

20

30

40

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57

PERFORMANCE CLEAROSCPU

CLEAR OS - REPOTENCIADO CLEAR OS

0

5

10

15

20

25

30

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

% P

ORC

ENTA

JE

PERFORMANCE WATCHGUARDCPU

WATCHGUARD NAT

WATCHGUARD NAT + AV

WATCHGUARD NAT + AV +CF



10000001050000110000011500001200000125000013000001350000

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59

PERFORMANCE CLEAR OSMEMORIA

CLEAR OS CLEAR OS - REPOTENCIADO

0

200000

400000

600000

800000

1000000

1200000

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

MEM

ORI

A

PERFORMANCE WATCHGUARDUSO DE MEMORIA

WG NAT + AV +CF

WG NAT + AV

WG NAT


CLEAROS

CONCLUSIONES Y RECOMENDACIONES

• Falta de mecanismos de mitigación ante ataques orientados a la obtención de información relevante, por parte de las herramientas OPENSOURCE.

• En la continua carrera entre fabricantes y desarrolladores de Firewalls OPENSOURCE, se evidencia una brecha muy marcada en aspectos de seguridad. La presente investigación coadyuvará en el desarrollo de las plataformas OPENSOURCE, haciéndolas más competitivas en aspectos de performance y confiabilidad.

• CLAROS como distribución especializada en seguridad bajo el sistema operativo RED HAT, demostró su amplia escalabilidad y soporte a la hora de mejorar sus prestaciones a diferencia de las herramientas no seleccionadas.

• Ante el ataque DDoS generado por la herramienta LOIC, WATCHGUARD demostró una potencial vulnerabilidad, misma que prueba que las plataformas propietarias también se enfrentan a retos de continua mejora.

CONCLUSIONES

• Con la configuración correcta cualquier sistema de FIREWALLING basado en GNU LINUX puede ser más seguro, pero más predominante aún es la selección del sistema base y su soporte.

• Al valorizar la información, es importante determinar si se desea orientar la data en un equipamiento propietario, apoyado por continuo desarrollo, estándares de calidad y seguridad o por medio de OPENSOURCE (software) que continuamente se encuentra en evolución, que es altamente personalizable y mejorable (repotenciar) a la medida de las necesidades.

• Sin adecuadas políticas de seguridad (normativas legales) y capacitación a los empleados mal se podría hablar de seguridad incluyente, misma que obliga a todas las persona a responsabilizarse de la información, ya que no depende únicamente de un equipamiento sino de un adecuado manejo de la información y el compromiso de los mismos por resguardarla.

RECOMENDACIONES

PUBLICACIONES INTERNACIONALES

Walter Fuertes, Patricio Zambrano, Marco Sánchez, and Pablo Gamboa, “Alternative Engine toDetect and Block Port Scan Attacks using Virtual Network Environments”, accepted for itsPublication inIJCSNS‐International Journal of Computer Science and Network Security”, Volumen 11, No.11,Special Issues: Communication Network & Security. Seul, Korea, Nov. 30, 2011. ISSN: 1738‐7906.

Walter Fuertes, Patricio Zambrano, Marco Sánchez y Mónica Santillán, “Repotenciación de unfirewall de Código abierto basado en una Evaluación Cuantitativa”, Publicación III EncuentroInternacional y VII Nacional de Ingeniería de Sistemas EIISI 2012 ‐ Universidad PedagógicaTecnológica de Colombia. ISSN 0121‐1129, Sogamoso, Colombia, 2012.

GRACIAS POR LA ATENCION

escuela politecnica del ejercito maestria en redes de informaciÓn y conectividad

Documents