1. 1
TEMA:
SEGURIDAD, PFSENSE, UNTANGLE Y FORTINET
Nombre:
Apolinar Melquiadez Roberto
Profesor:
Vázquez Guzmán Francisco
Materia:
Administración de redes
Carrera:
Ingeniería en Sistemas Computacionales

2. 2
INDICE
Seguridad ............................................................................................................... 3
Introdución............................................................................................................... 4
Tipos de ataques..................................................................................................... 5
¿Cómo defenderse de estos ataques? ........................................................... 7
Instrucciones en la red ............................................................................................ 8
Certificados ............................................................................................................. 9
Pfsense ................................................................................................................. 10
Introducción........................................................................................................... 11
Desarrollo ............................................................................................................. 12
Sitios ftp....................................................................................................... 12
Instalación ............................................................................................................. 12
Implementación..................................................................................................... 17
Ejemplo ................................................................................................................. 18
Untangle................................................................................................................ 20
Introducción........................................................................................................... 21
Sitio Ftp ................................................................................................................. 22
Instalación ............................................................................................................ 23
Implemetación....................................................................................................... 27
Fortinet .................................................................................................................. 32
Introducción........................................................................................................... 33
Implementación..................................................................................................... 32
Resumen de costos............................................................................................... 37
Bibliografia............................................................................................................. 39

3. 3

4. 4
INTRODUCCIÓN
Hoy en día todos dependemos de la información que radica y generamos en
nuestras computadoras; estos objetos ya no se encuentran aislados como en los
80´s y principios de los 90´s; si no por el contrario, hoy dependemos de una
conexión física para podernos comunicar, el avance que se ha tenido con
las redes nos ha permitido solucionar problemas y hacer provecho
de sistemas que nos ayudan a manipular la información.
Empresas, organizaciones y cualquier persona que utiliza una computadora envía
y recibe correos electrónicos, comparte información de manera local o a nivel
mundial, realiza transacciones, ofrece servicios y encuentra soluciones a sus
requerimientos. Es así que la información se vuelve algo muy preciado tanto para
los usuarios como para los Hackers. Es por eso que tenemos que tener una serie
de precauciones para evitar que alguien no deseado busque en nuestra
información y seamos presa fácil de extorsiones, fraudes y pérdidas irreparables.
La seguridad de redes es un nivel de seguridad que garantiza que el
funcionamiento de todas las máquinas de una red sea óptimo y que todos los
usuarios de estas máquinas posean los derechos que les han sido concedidos:
Esto puede incluir:
 evitar que personas no autorizadas intervengan en el sistema con fines
malignos
 evitar que los usuarios realicen operaciones involuntarias que puedan dañar el
sistema
 asegurar los datos mediante la previsión de fallas
 garantizar que no se interrumpan los servicios
La seguridad de la red no se basa en un método concreto, sino que utiliza un
conjunto de barreras que defienden su negocio de diferentes formas. Incluso si
falla una solución, se mantendrán otras que protegerán la compañía y sus datos
de una gran variedad de ataques a la red.
Las capas de seguridad de la red garantizan que tenga a su disponibilidad la
información importante en la que se basa para dirigir su negocio y que estará
protegida de las diferentes amenazas. En concreto, la seguridad de la red:
 Protege contra ataques a la red tanto internos como externos. Las amenazas se
pueden originar tanto dentro como fuera de la estructura de su empresa. Un
sistema de seguridad efectivo supervisará toda la actividad de la red, detectará
el comportamiento malicioso y adoptará la respuesta adecuada.

5. 5
 Garantiza la privacidad de todas las comunicaciones, en cualquier lugar y en
cualquier momento. Los empleados pueden acceder a la red desde casa o
mientras se desplazan con la garantía de que sus comunicaciones serán
privadas y estarán protegidas.
 Controla el acceso a la información mediante la identificación exhaustiva de los
usuarios y sus sistemas. La empresa puede establecer sus propias reglas sobre
el acceso a los datos. La denegación o la aprobación se puede otorgar según
las identidades de los usuarios, la función del trabajo u otros criterios específicos
de la empresa.
 Le hará más confiable. Puesto que las tecnologías de seguridad permiten a su
sistema evitar ataques conocidos y adaptarse a las nuevas amenazas, los
empleados, clientes y Socio de Negocios comerciales pueden confiar en que su
información estará segura.
TIPOS DE ATAQUES
Ataques de intromisión: Este tipo de ataque es cuando alguien abre archivos,
uno tras otro, en nuestra computadora hasta encontrar algo que le sea de
su interés. Puede ser alguien externo o inclusive alguien que convive todos los
días con nosotros. Cabe mencionar que muchos de los ataque registrados a nivel
mundial, se dan internamente dentro de la organización y/o empresa.
Ataque de espionaje en líneas: Se da cuando alguien escucha la conversación y
en la cual, él no es un invitado. Este tipo de ataque, es muy común en las redes
inalámbricas y no se requiere, como ya lo sabemos, de un dispositivo físico
conectado a algún cable que entre o salga del edificio. Basta con estar en un
rango donde la señal de la red inalámbrica llegue, a bordo de un automóvil o en un
edificio cercano, para que alguien esté espiando nuestro flujo de información.
Ataque de intercepción: Este tipo de ataque se dedica a desviar la información a
otro punto que no sea la del destinatario, y así poder revisar archivos, información
y contenidos de cualquier flujo en una red.
Ataque de modificación: Este tipo de ataque se dedica a alterar la información
que se encuentra, de alguna forma ya validada, en computadoras y bases
de datos. Es muy común este tipo de ataque en bancos y casas de bolsa.
Principalmente los intrusos se dedican a cambiar, insertar, o eliminar información
y/o archivos, utilizando la vulnerabilidad de los sistemas operativos y sistemas
de seguridad (atributos, claves de accesos, etc.).

6. 6
Ataque de denegación de servicio: Son ataques que se dedican a negarles el
uso de los recursos a los usuarios legítimos del sistema, de la información o
inclusive de algunas capacidades del sistema. Cuando se trata de la información,
esta, se es escondida, destruida o ilegible. Respecto a las aplicaciones, no se
pueden usar los sistemas que llevan el control de la empresa, deteniendo
su administración o inclusive su producción, causando demoras y posiblemente
pérdidas millonarias. Cuando es a los sistemas, los dos descritos anteriormente
son inutilizados. Si hablamos de comunicaciones, se puede inutilizar dispositivos
de comunicación (tan sencillo como cortar un simple cable), como saturar e
inundar con tráfico excesivo las redes para que estas colisionen.
Ataque de suplantación: Este tipo de ataque se dedica a dar información falsa, a
negar una transacción y/o a hacerse pasar por un usuario conocido. Se ha puesto
de moda este tipo de ataques; los "nuevos ladrones" ha hecho portales similares a
los bancarios, donde las personas han descargado sus datos
de tarjetas de crédito sin encontrar respuesta; posteriormente sus tarjetas de
crédito son vaciadas.
Amenazas Lógicas
Los protocolos de comunicación utilizados carecen (en su mayoría) de seguridad
o esta ha sido implementada en forma de "parche" tiempo después de su
creación.
 Existen agujeros de seguridad en los sistemas operativos.
 Existen agujeros de seguridad en las aplicaciones.
 Existen errores en las configuraciones de los sistemas.
 Los usuarios carecen de información respecto al tema.

7. 7
¿Cómo defenderse de estos Ataques?
La mayoría de los ataques mencionados se basan en fallos de diseño inherentes
a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no
son "solucionables" en un plazo breve de tiempo. La solución inmediata en cada
caso es mantenerse informado sobre todos los tipos de ataques existentes y las
actualizaciones que permanentemente lanzan las empresas desarrolladoras de
software, principalmente de sistemas operativos.
Las siguientes son medidas preventivas. Medidas que toda red y administrador
deben conocer y desplegar cuanto antes:
1. Mantener las máquinas actualizadas y seguras físicamente.
2. Mantener personal especializado en cuestiones de seguridad.
3. Aunque una máquina no contenga información valiosa, hay que tener en
cuenta que puede resultar útil para un atacante, a la hora de ser empleada.
4. Auditorias de seguridad y sistemas de detección.
5. Mantenerse informado constantemente sobre cada una de las
vulnerabilidades encontradas y parches lanzados
6. Por último, pero quizás lo más importante, la capacitación continúa del
usuario.

8. 8
INSTRUCCIONES EN LA RED
La correspondencia de las necesidades de su empresa con las tecnologías de
seguridad correctas es el primer paso en el lanzamiento de un proyecto de
seguridad de la red.
Tenga en cuenta la siguiente lista de consideraciones para empezar:
Su nivel actual de seguridad.
Realice un inventario de las características de seguridad de que dispone su red.
Esta lista le ayudará a identificar las carencias de sus métodos de protección
actuales.
Sus activos.
Realice una lista exhaustiva de sus activos para determinar cuántos niveles o
capas de protección necesita el sistema.
Transferencia de información.
Evalúe el método mediante el que se comparte información dentro y fuera de su
compañía.
Evaluación de riesgos.
Determine si las consecuencias de una falla de seguridad se extienden más allá
de una pérdida de productividad o de una interrupción del servicio.
Facilidad de uso.
La mejor tecnología de seguridad no le aportará ninguna ventaja si no se puede
instalar y utilizar fácilmente. Asegúrese de que dispone de los recursos necesarios
para administrar el sistema que desea instalar.

9. 9
CERTIFICADOS
Los certificados digitales representan el punto más importante en las
transacciones electrónicas seguras. Estos brindan una forma conveniente y fácil
de asegurar que los participantes en una transacción electrónica puedan confiar el
uno en el otro. Esta confianza se establece a través de un tercero llamado
Autoridades Certificadoras.
Los tipos de certificados digitales que existen actualmente son:
 Certificados de Servidor (SSL : Capa de zócalos seguro)
 Microsoft Server Gated Cryptography Certificates (Certificados de CGC-una
extensión del protocolo SSL- ofrecida por Microsoft).
 Certificados Canalizadores.
 Certificados de Correo Electrónico.
 Certificados de Valoración de páginas WEB.
 Certificados de Sello, Fecha y Hora
Las autoridades certificadoras son organismos reconocidos por la comunidad
Internauta sobre los que descansa toda la seguridad de este proceso de
certificación, el símil habitual es el de los notarios. Es decir, la autoridad
certificadora entrega un certificado digital personalizado a un individuo que le
permitirá identificarse ante terceros.
Algunas de las autoridades certificadoras son:
Servicio de Certificación Digital de las Cámaras de Comercio (CAMERFIRMA). El
objetivo de este servicio es definir y ofrecer a las empresas un certificado digital de
alta calidad, diseñado específicamente para las necesidades de las empresas y
con reconocimiento internacional basado en la garantía que supone su emisión
por una cámara de comercio.

10. 10

11. 11
INTRODUCCIÓN
El proyecto pfSense se inició en septiembre de 2004 por Chris Buechler y Ullrich
Scott como un fork de monowall, enfocado a las instalaciones en PC y Servidores
(al contrario de monowall que se orientaba a ambientes embebidos y ordenadores
de bajos recursos). Se calcula que para diciembre de 2010, pfSense contaba con
más de un millón de descargas. De acuerdo a su página oficial, se ha instalado
exitosamente en distintos ambientes, que van desde redes domésticas hasta
grandes corporaciones, universidades y otros tipos de organizaciones. Pfsense es
una distribución personalizada de FreeBSD para usarlo en servicios deredes LAN yWAN tales
como firewall, enrutador, servidor de balanceo de carga, entre
otras lascualesserán mencionadas másadelante.Elproyecto es comercialmente sostenido
por BSD perimeter LLC. Este proyecto nació el año2004 por Chris Buechler y Ullrich Scott en
instalaciones para PC y servidores. El modelo de desarrollo de pfsense es de código abierto, la
última versión estable es la versión 1 2 3, el núcleo de pfsense es basado en el sistema
operativo libre llamado BSD, eltipo de núcleo de pfsense esde tipomonolítico.
Existen 60 modulos disponibles para descargar al pfsense e instalarlos entre estos son el proxy
squid IMinspector, Snort, ClamAV entre otros. Para manejar pfsense no es necesario tener
conocimientos avanzados sobre línea de comandos de BSD. Pfsense puede ser instalado en
cualquier ordenador PC o servidor independientemente de su arquitectura que cuente con un
mínimo de 2 tarjetas de red. Al poseer software de código abierto, la comunidad de
desarrolladores pueden dar soporte y asistencia con costo por parte de BSD Perimeter. Cada
persona es libredemodificar yvender su propia distribución.

12. 12
DESARROLLO
Requerimientos de hatware
Para la instalación de pfsense sobre arquitectura i386 los requerimientos de hardware son los
siguientes.
1. ProcesadorIntelPentium III, hasta un Intel Xeon,nada de AMD.
2. Memoria RAMdesde 256 Mb hasta 3 Gb.
3. Disco Durode 2 Gb hasta 80 Gb, IDE, SCSI, SATA YSAS-SATA.
4.Tarjetas de red cableadas Intel yRealtek (la red inalámbrica solamente funcionan las tarjetas
de red marca Atheros).
Sitios FTP
FTP (File Transfer Protocol) es un protocolo de transferencia de ficheros entre
sistemas conectados a una red TCP basado en la arquitectura cliente-servidor, de
manera que desde un equipo cliente nos podemos conectar a un servidor para
descargar ficheros desde él o para enviarle nuestros propios archivos
independientemente del sistema operativo utilizado en cada equipo.
Un servidor FTP es un programa especial que se ejecuta en un equipo servidor
normalmente conectado a Internet (aunque puede estar conectado a otros tipos
de redes, LAN, MAN, etc.). Su función es permitir el intercambio de datos entre
diferentes servidores/ordenadores, permitiendo una buena transferencia de
información.
Se necesitaba acceder a un servidor FTP para poder trabajar con la página web.
Dicha conexión, daba problemas y no se podía conectar. Se pudo observar que
hay que desactivar el FTP Helper. Para ello, debemos ir a la interfaz en la que
queremos y en el sub apartado FTP Helper, tener acceso y marcar la casilla
“Disable the userland FTP-Proxy application“.
Instalación
PfSense puede instalarse en cualquier ordenador o servidor que cuente con un
mínimo de dos tarjetas de red, el proceso de instalación es similar a FreeBSD.
Una vez copiados los archivos del sistema al disco duro, se procede a configurar
las direcciones IP de las tarjetas de red. Una vez concluido lo anterior, se puede
acceder al sistema desde un explorador web. El portal de administración está
basado en PHP y teóricamente todas las configuraciones y administración se
pueden realizar desde allí, por lo tanto no es indispensable contar con
conocimientos avanzados sobre la línea de comandos UNIX para su manejo.

13. 13
Antes de instalar PfSense lo primero es preparar el ordenador para después
instalar la aplicación.
Para ello será necesario al menos tres tarjetas de red donde una se conectará a
internet (WAN), y las otras dos dividirán las zonas de la red (DMZ, red interna).
Bueno para comenzar con la instalación lo primero que debemos de tener a la
mano es la imagen de pfSense, después de quemarla podremos comenzar con la
instalación.
Así es el primer pantallazo que observamos
cuando nuestro cd comienza con la instalación.
En este paso el sistema nos pregunta si queremos
crear Vlans. Lo cual decimos que no (n).

14. 14
Este es el paso donde el sistema identifica las
interfaces LAN y WAN. Las cuales se pueden
hacer automáticas o personalizadas.
Después de haber seleccionado que tarjeta
va hacer WAN y LAN. Presionamos enter
para continuar, después de este paso este
se puede demorar unos cuantos segundos.
En este menú escogeremos la opción 99. Lo
cual iniciaría el asistente de instalación.
Lo primero que debemos de configurar es el
video se aconseja dejarlo por defecto.
En este paso si se comienza a dar la
instalación por completo, en este punto se
hace el formateo del disco y el particionado
del mismo.
Se comenzara el formateo del disco recordar
que todos los datos que tengamos grabados
en esta unidad se perderán.

15. 15
Seleccionamos la geometría del disco.
Damos inicio al formato del disco.
Se nos pide particionar el disco. Esto es
para poder instalar el sistema operativo
Se puede instalar otros sistemas de archivos
pero por defecto viene seleccionado
FreeBSD.
Nos pregunta en que partición vamos a
instalar pero como en este caso solo
tenemos esta presionamos enter.

16. 16
En este paso nos dice que la partición es
primaria y que todo se borrara sin forma
de recuperar. Que si estamos seguros
presionamos enter.
Nos muestra como quedo el particionado
en nuestro disco.
En este momento se están copiando
todos los archivos al disco, después
de que esto termine prácticamente
tendremos instalado nuestro PfSense
en nuestro equipo.
Solo queda reiniciar nuestro computador para poder deleitarnos de todos los
servicios que trae nuestro PfSense.

17. 17
IMPLEMENTACIÓN
Pfsense es una aplicación que se instala como un sistema operativo ya que
tiene varias funcionalidades entre estos servicios de redes LAN y WAN, con
detalle estos servicios son los siguientes:
Firewall: Pfsense se puede configurar como un cortafuego permitiendo y
denegando determinado tráfico de redes tanto entrante como saliente a partir
de una dirección ya sea de red o de host de origen y de destino, también
haciendo filtrado avanzado de paquetes por protocolo y puerto.
Servidor VPN: Pfsense se puede configurar como un servidor VPN usando
protocolos de tunneling tales como IPSec, PPTP, entre otras.
Servidor de Balanceo de Carga: Pfsense puede ser configurado como
servidor de balanceo de carga tanto entrante como saliente, esta característica
es usada comúnmente en servidores web, de correo, de DNS. También para
proveer estabilidad y redundancia en él envió de tráfico a través del enlace
WAN evitando los cuellos de botella.
Portal Cautivo: Este servicio consiste en forzar la autenticación de usuarios
redirigiéndolos a una página especial de autenticación y/o para aceptar los
términos de uso, realizar un pago etc. para poder tener acceso a la red. El
portal cautivo es usado comúnmente para control de accesos a la red en los
puntos de accesos inalámbricos de los hoteles, restaurantes, parques y
kioscos.
Tabla de estado: PFSense es un stateful firewall, el cual como característica
principal guardad el estado de las conexiones abiertas en una tabla. La
mayoría de los firewall no tienen la capacidad de controlar con precisión la
tabla de estado. Pfsense tiene un enorme número de características que
permiten una granularidad muy fina para el manejo de la tabla de estado.
Servidor DNS y reenviador de cache DNS: Pfsense se puede configurar
como un servidor DNS primario y reenviador de consultas de DNS.
Servidor DHCP: Tambien funciona como servidor de DHCP, se puede también
implementar VLAN desde Pfsense.
Servidor PPPoE: Este servicio es usado por los ISP para la autenticación de
usuarios que puedan ingresar a internet, por una base local o vía radius.
Enrutamiento estatico: Pfsense funciona como un enrutador ya que entrega
direccionamiento IP y hace el nateo hacia afuera.

18. 18
Redundancia: Pfsense permite configurar dos o más cortafuegos a través del
protocolo CARP (Common Address Redundancy Protocol) por si uno de los
cortafuegos se cae el otro se declara como cortafuegos primario.
Reportes Y Monitoreo: A través de los gráficos RDD Pfsense muestra el
estado de los siguientes componentes:
 Utilización de CPU
 Rendimiento Total
 Estado del Firewall
 Rendimiento individual por cada interface
 Paquetes enviados y recibidos por cada interface
 Manejo de tráfico y ancho de banda.
Ejemplo
Nuestra máquina que tendrá el PFSENSE deberá tener 3 tarjetas de red, una para
el acceso a Internet y las otras dos que conecten con la red LAN y DMZ.
La dirección Ip de pfsense será 192.168.1.1

19. 19
La máquina de la LAN tendrá una dirección IP,
dentro del mismo rango del pfsense, para podernos
conectar por http://192.168.1.1 a la configuración en
modo gráfico del pfsense.
Por medio de un ping, podemos comprobar
que las máquinas de la red LAN y del pfsense
puedan verse.
Iniciamos la conexión al pfsense:
A continuación veremos la configuración inicial de las interfaces en el pfsense.

20. 20

21. 21
INTRODUCCIÓN
Untangle es una empresa privada que ofrece una pasarela de red (network
gateway) de código abierto para pequeñas empresas. Untangle ofrece muchas
aplicaciones como el bloqueo de correo electrónico no solicitado (spam), bloqueo
de software malicioso (malware), filtrado de web, protección contra robo de
información sensible (phishing), prevención de intrusiones, y más sobre
la Plataforma Untangle Gateway.
Untangle fue fundada en 2003 como Metavize, Inc. por John Irwin y Dirk
Morris. Metavize se lanzó oficialmente en 2005 en Demo. En 2006, Metavize
recaudó $10.5 Millones de dólares a través de una financiación por parte de las
empresas CMEA Ventures y Canyon Ventures y Asociados, nombró a Bob Walters
como CEO (Presidente de la compañía), y cambió su nombre a Untangle, Inc. En
2007, Untangle lanzó la Plataforma Untangle Gateway de código abierto (Open
Source) bajo la licencia GPL (versión 2)
En 2007, Untangle también experimentó un crecimiento significativo y superó
100.000 usuarios repartidos en 2000 organizaciones.
Es probable que Untangle posea uno de los métodos de instalación más sencillos
que exista entre las herramientas de este tipo. Toda su interfaz es muy amigable,
desde el principio de la instalación hasta el último paso en su configuración. Lo
que es aún mejor, Untangle prácticamente no necesita ajustes adicionales una vez
que está instalado. A menos que poseas una necesidad específica, es muy
probable que la configuración por defecto opere de forma ideal dentro de Ia red.
Las diferentes aplicaciones disponibles en Untangle pueden encontrarse en otras
soluciones similares, pero la forma de activarlas es muy interesante. Cada
aplicación es un módulo, sobre el cual debes hacer doble clic para activarlo. Este
nivel de flexibilidad te permitirá "armar" tu propia configuración, y dejar activas sólo
las aplicaciones que creas necesarias. Si posees un buen antivirus en tu
ordenador puedes desactivar las funciones antivirus de Untangle, o hacer que sólo
esté activo el firewall y el filtro web, por ejemplo. Hablando de filtro web, la
capacidad para agregar reglas específicas es impresionante. Puedes bloquear
sitios determinados, tipos de archivo, y hasta configurar categorías para hacer un
bloqueo más amplio.
Untangle es una recopilación de aplicaciones que ayudan a garantizar la
seguridad y el buen funcionamiento de nuestra red. Untangle se distribuye en
forma de sistema operativo basado en Debían para un ordenador dedicado o en
forma de aplicación para Windows.

22. 22
Sitios FTP
El servicio FTP es ofrecido por la capa de aplicación del modelo de capas de
red TCP/IP al usuario, utilizando normalmente el puerto de red 20 y el 21. Un
problema básico de FTP es que está pensado para ofrecer la máxima velocidad
en la conexión, pero no la máxima seguridad, ya que todo el intercambio de
información, desde el login y password del usuario en el servidor hasta la
transferencia de cualquier archivo, se realiza en texto plano sin ningún tipo de
cifrado, con lo que un posible atacante puede capturar este tráfico, acceder al
servidor y/o apropiarse de los archivos transferidos.
Proteger a los usuarios de las amenazas de virus en la Web (http), el correo
electrónico (SMTP, POP e IMAP) y la transferencia de archivos (FTP).
Escanear archivos y archivos comprimidos como ZIP, RAR, TAR y muchos otros.
A diferencia de las soluciones de escritorio, se sitúa en el gateway de la red por lo
que sólo una única aplicación se tendrá que actualizar automáticamente.
Protección sobre los más comunes protocolos de correo electrónico SMTP, IMAP
y POP.
Protección en la web y la transferencia de archivos a través de los protocolos
HTTP y FTP, que son una vía cada vez más común de infección.
Informes y registros de sucesos muestran que virus han sido bloqueados.
Para actualizar sitios Web o para descargar información de un almacén se pueden
utilizar varias alternativas, una de ellas es el protocolo FTP.

23. 23
Instalación de Untangle
La instalación es muy sencilla y mucho más para personas que ya han hecho
instalaciones en distribuciones basadas en Debían, tan solo hay que seguir unos
sencillos pasos para poder hacerlo.
Elegimos el idioma.
Nuestro país.
La distribución del teclado.
Decidimos si queremos formatear el disco entero y
listo.

24. 24
Ahora comenzara el asistente de instalación de la aplicación,
primero elegimos el idioma.
Elegimos las credenciales del usuario
administrador.
Definimos el orden de las interfaces y cual estará
conectada a la LAN y cual a la WAN.
Ahora probaremos que el equipo esté conectado a
internet, entonces tan solo basta con pedir una
renovación, si no contáramos con eso tendríamos
que asignarle una IP de manera estática.
Ahora nos dará dos opciones, una para instalarlo
detrás de un Router, o Firewall configurado
anteriormente o como Router, en mi caso lo
instalare como Router y le definiré la dirección IP
que tendrá la tarjeta de red que va hacia la LAN,
además le diré que configure un servidor DHCP que
le entregue direcciones a los equipos de mi red.

25. 25
Luego nos dirá si deseamos configurar una cuenta de correo
para recibir reportes pero en mi caso lo omitiré.
Con esto habremos finalizado su instalación.
Cuando ingresamos al Untangle observamos una
barra con las opciones que podemos tener, entre
estas ingresar a la terminal pero primero debemos
configurar un password de root.
Como pudimos ver su instalación fue muy sencilla tan solo configuraremos si lo
necesitamos más opciones de la red como lo son el sufijo del DNS o los DNS que
utilizara el Router para resolver direcciones en internet, aparecen dos opciones
que son aplicaciones y configurar, si lo necesitamos procedemos a configurar si
no, nos podemos saltar este paso y dar clic en aplicaciones y luego en mi cuenta.

26. 26
Instalando las aplicaciones.
Ahora vamos a instalar las aplicaciones que
necesitamos (Web Filter Litey Firewall) para esto
accedemos a "Mi Cuenta" y allí comenzaremos, si
no tenemos un registro lo creamos.
Luego de estar en su cuenta pueden
descargar las aplicaciones gratis o comprar las
de pago.
Ahora en la ventana principal del Untangle podrán
observar que el Firewall se instaló satisfactoriamente,
también pueden cambiar los skin del Untangle.
De igual manera que con el firewall instalamos
entonces el Web Filter Lite.
En mi caso tengo un cliente de Windows XP en
la LAN, primero que todo probamos que este
saliendo a internet con una dirección IP
asignada por el Untangle.

27. 27
Implementación
Probablemente, la joya de la corona dentro de Untangle sea la aplicación
"Untangle Reports". Allí podrás ver absolutamente todo lo que ha pasado por el
servidor, desde la clase de tráfico hasta los elementos bloqueados, pasando por la
cantidad de datos descargados y los sitios visitados. También existe la posibilidad
de obtener reportes por usuario y por número de IP, al igual que registros
indicando qué páginas fueron las más visitadas, y hasta la opción de exportar
dichos reportes en formato HTML o PDF para su posterior estudio. Con todas
estas opciones, El Gran Hermano es apenas un niño en comparación con
Untangle.
Todas estas capacidades vienen con un precio. En realidad no se trata de dinero,
sino en requerimientos de sistema. A diferencia de otras soluciones, Untangle
necesita un ordenador de capacidades un poco más altas. Lo cierto es que no es
mucho: Un procesador de 800 Mhz y 512 MB de RAM con un disco de 20 GB
como mínimo es algo que puede considerarse como humilde en estos días, pero
mi fiable K6-2 de 500 Mhz definitivamente no puede recibir a algo como Untangle.
De todas formas, el que sea tan poderoso, gratuito, y de código abierto, hace de
Untangle una excelente opción. Probablemente sea demasiado robusto para una
simple red hogareña (aunque se puede utilizar de todas manera), pero si trabajas
con entornos más complejos, debería tenerse en cuenta.
La lista completa de funciones y servicios de las que dispone Untangle de forma
gratuita son:
* Web Filter
* Spam Blocker
* Virus Blocker
* Spyware Blocker
* Protocol Control
* Firewall
* Reports
* Adblocker
* Open VPN
En Untangle categorizan las funciones de su solución en tres apartados:
productividad, seguridad y acceso remoto.
* Productividad: filtrado web para bloquear el acceso a las páginas que queramos,
bloqueo de spam antes de que llegue al usuario y control de protocolos, para
impedir el uso de aplicaciones tipo e Mule o aquellas que hacen uso de
determinados puertos que no queremos dejar al descubierto.

28. 28
* Seguridad: bloqueo de virus, spyware y phishing, impidiendo que lleguen hasta
los equipos y puedan infectarlos. No elimina ningún virus, simplemente impide su
entrada en la red de la empresa.
* Acceso remoto: acceso remoto a la red de la empresa mediante red privada
virtual, utilizando OpenVPN, conexión remota al escritorio de los equipos dentro de
la red local y una alternativa de acceso vía web a servicios internos de la red.
Practica
La practica la vamos hacer en máquinas virtuales o sea que necesitamos 3
máquinas una va hacer el Untangle y esa es la que va a tener el firewall, la LAN
puede ser una Windows XP y la DMZ en este caso va hacer una CENTOS 5.4.
Para comenzar a configurar el firewall lo primero será iniciar sesión en
la interfaz gráfica de usuario en este caso se hara desde la maquina XP.
Primero vamos a configurar la tarjeta de red de la XP para esto nos vamos a inicio,
Panel de control , conexiones de red

29. 29
Probamos que la maquina se de ping con el
appliance´s.
Digitamos en el browser la dirección IP la cual
tiene la tarjeta red LAN o sea la puerta de
enlace.
Escribimos la clave del administrador
Vamos a instalar la aplicación para esto nos vamos a:
Aplicaciones>Firewall
Nota: para instalar las aplicaciones debes estar registrado en Untangle.
Y observamos que la aplicación esta descargado.
Ahora vamos hacer un NAT para que el DNS que está en la DMZ salga a internet
lo primero será configurarla.

30. 30
Tarjeta de red de la DMZ para ello nos vamos a Configurar>Conexiones. A
continuación vamos a configurar la tarjeta de red de la DMZ.
Le vamos a poner la siguiente dirección IP 192.168.1.1 y si observamos abajo esta
la política de NAT por defecto (SNAT).
Vamos a probar la salida a internet desde la máquina
Vamos a probar la salida a internet desde la maquina XP vamos a resolver una
dirección de internet por ejemplo google.
Lo siguiente será hacer port forwards que hace (DNAT) para que los usuario
Externos o sea de internet puedan ver los servicios de nuestra Redes INTERNAS
Y la creamos así, esta es para el servicio web que tengo en la DMZ.
. Así podemos crear todas las reglas de NAT que queramos para que nuestros
servicios, Empezamos a crear las reglas del Firewall

31. 31
Aquí se muestran las reglas que se han creado.
Untangle está desarrollado por una empresa privada que ofrece un network
gateway de código abierto y tiene una gran cantidad de aplicaciones gratuitas muy
interesantes, tales como.
Spam Blocker: Bloqueo de Spam
Phish Blocker: Prevención de Phishing
Spyware Blocker: Escanea el tráfico buscando Malware
Web Filter Lite: Filtro de contenidos
Virus Blocker: Detecta Malware en archivos analizando el trafico
Intrusion Prevention: IPS
Protocol Control: Bloqueo de puertos
Firewall: Filtro por protocolos, direcciones, DMZ's
Ad Blocker: Bloqueo de publicidad
Captive Portal: Obliga a los usuarios a ingresar a una web para autenticación.
OpenVPN: Red Privada Virtual
Attack Blocker: Previene ataques de tipo DDOS
Reports: Crea informes acerca del comportamiento de la red.
Además cuenta con un gran número de aplicaciones de pago o de prueba que
pueden complementar la seguridad de nuestra red.

32. 32

33. 33
INTRODUCCIÓN
Fortinet fue fundada en el año 2000 por Ken Xie, visionario y previo fundador y
CEO de NetScreen. En su etapa en NetScreen, Ken Xie fue pionero en la
utilización de un Circuito Integrado de Aplicación Específica (ASIC) para acelerar
el proceso Firewall. De este modo lanzó al mercado un lineal de equipos de alto
rendimiento que mediante aceleración hardware permitía realizar un control sobre
el tráfico de las redes en tiempo real, que tuvo inmediatamente una gran acogida
en el mercado. Ken Xie, con objeto de seguir avanzando en su visión propia de la
seguridad en las comunicaciones, abandonó NetScreen y fundó Fortinet. Su
proyecto consistía en dar un enorme paso más en la seguridad en tiempo real,
integrando antivirus, filtrado de contenido, tecnología IDP (Intrusion Detection and
Prevention) y Antispam en un solo dispositivo, junto con el firewall y servidor VPN,
y acelerando esta Protección Completa de Contenidos mediante un nuevo ASIC,
FortiASIC, que permite romper la barrera del procesado de contenidos en tiempo
real. La compañía está formada en la actualidad por más de 1100 empleados, y
tiene su sede central en Sunny Valley, California. Sus centros de soporte técnico,
desarrollo y delegaciones comerciales están distribuidos por todo el mundo,
estando presentes en Australia, Norte América (US, Canadá), Sudamérica, Europa
(Austria, Francia, Alemania, UK, Suecia, Italia, Bélgica, Holanda, República
Checa, Polonia, Suiza y España), Asia (India, Filipinas, China, Japón, Corea,
Singapur, Taiwán e Indonesia) y Oriente Medio (UAE/Dubai). El centro de soporte
y formación europeo está situado en el Centro Tecnológico Sophia-Antipolis,
cercano a Niza (Francia). El equipo de dirección de Fortinet, está formado por un
grupo altamente experimentado en el mundo de la seguridad, con un gran número
de premios y distinciones que así lo reconocen. El primer equipo FortiGate fue
lanzado al mercado en el año 2002 y hoy en día Fortinet cuenta con una base
instalada de más de 450.000 equipos en todo el mundo.

34. 34
Implementación
Los sistemas acelerados por ASIC FortiGate de Fortinet, son sistemas de
Seguridad de una nueva generación de sistemas de protección de red en
tiempo real. Detectan y eliminan las amenazas más peligrosas, basadas en
contenido que van desde Email hasta tráfico Web tales como virus, gusanos,
intrusos, contenido Web inapropiado y más en tiempo real, sin degradar el
rendimiento de la red.
Los productos Fortinet han ganado la mayoría de los premios en la industria
de la seguridad de red, incluyendo el Producto de Seguridad del Año.
Las patentadas tecnologías innovadoras de Fortinet, han recibido la mayoría
de las certificaciones de la industria incluyendo FIPS 140-2 y Common
Criteria EAL4+ y 8 certificaciones ICSA Labs - Gateway Antivirus, Firewall,
IPSec, SSL- TLS, Prevención de Intrusos, Detección y limpieza de antivirus,
y antispyware. Los sistemas FortiGate son los únicos sistemas UTM
certificados por NSS test Labs para IPS y UTM.
Algunas de las características más destacables de Fortinet son las siguientes:
• Presencia mundial de sus centros de operación, ventas y soporte.
• Sede central en Sunnyvale, California.
• Más de 75.000 clientes en todo el mundo con más de 450.000 equipos instalados
• Más de 40 oficinas en América, Asia y EMEA, con sede central europea en
Sophia- Antipolis (Francia)
• Pioneros en la utilización de Circuitos Integrados de Aplicación Específica para
acelerar los procesos de seguridad hasta el nivel de aplicación.
• Único modo de ofrecer Protección Completa en Tiempo Real.
• Líderes en el mercado UTM (Unified Threat Management) según IDC desde el
2003hasta el 2009.
Entrega una clasificación de seguridad acumulativa de cada dispositivo basado en
una serie de conductas. De esta manera entrega información práctica específica
que permite reconocer posibles ataques antes de estar comprometida la red en
tiempo real. El nuevo sistema de detección de antimalware avanzado agrega al
dispositivo un comportamiento basado en motor heurístico y servicios cloud

35. 35
antimalware que incluyen un operativo sistema sandbox y botnet IP de reputación
de base de datos, los cuales le permiten tener un buen funcionamiento.
FortiOS 5 ofrece protección inmejorable de multicapa contra el malware sofisticado
de hoy. Fortinet entiende que la seguridad debe ser contemplada de un modo
global, protegiendo los sistemas de información de los ataques de cualquier tipo,
así como del uso indebido o el desaprovechamiento de los recursos. De esta
manera, el enfoque de la seguridad de los sistemas de información de Fortinet se
basa en la Protección Completa de Contenidos, o CCP (Complete Content
Protection) que permite el análisis del contenido completo de cada transmisión,
realizando el correspondiente reesamblado de todos los paquetes pertenecientes
a una misma transmisión y escaneando el contenido a nivel de aplicación, lo que
permite proteger los sistemas de la totalidad de las amenazas existentes.

36. 36
Dominios Virtuales
Los equipos FortiGate permiten la utilización de Dominios Virtuales, de modo que
sobre una única plataforma física podemos configurar hasta 500 Equipos virtuales,
completamente independientes entre sí y con todas las funcionalidades que posee
cada plataforma física. Todos los equipos FortiGate disponen en su configuración
básica de la capacidad de definición de hasta 10 dominios virtuales, siendo posible
ampliar el número de éstos en los equipos de gama alta (a partir de la gama
FG3000), llegando hasta 500 Dominios Virtuales. Cada uno de estos dominios
virtuales representa de forma lógica una máquina independiente del resto,
asignándoles interfaces lógicos (VLAN’s) o físicos con la posibilidad de trabajar en
modo Router o transparente, aplicar diferentes perfiles y políticas sobre cada
máquina, etc.
Los equipos FortiGate pueden trabajar con enrutamiento dinámico, soportando
RIP (v1 y v2), OSPF y BGP, así como con enrutamiento multicast (PIM
sparse/dense mode), además de trabajar con enrutamiento estático y ofrecer la
posibilidad de realizar policy routing.
Utilizando la funcionalidad de Policy Routing la plataforma FortiGate amplía el
abanico de posibilidades de enrutamiento, permitiendo que el encaminamiento de
los paquetes no se realice únicamente en función de la red de destino, sino
teniendo en cuenta también los siguientes parámetros:
• Interfaz Origen
• Protocolo, servicio o rango de puertos

37. 37
Soporte DiffServ
La funcionalidad DiffServ puede ser configurada en el equipo FortiGate con objeto
de modificar los valores DSCP (Differentiated Services Code Point) para todos los
paquetes a los que se aplica una política en particular. Cada política se puede
configurar para aplicar esos valores en cada uno de los sentidos del flujo, siendo
independientes ambos parámetros entre sí.
Antivirus
FortiGate ofrece el sistema antivirus perimetral de mayor rendimiento gracias a su
optimizada arquitectura y configuración. Los componentes principales del sistema
antivirus de FortiGate son:
• La arquitectura hardware basada en FortiASIC
• Su optimizado sistema operativo FortiOS
•La infraestructura FortiProtect, los laboratorios y centros de desarrollo distribuidos
a lo largo de todo el mundo.
Si el sistema FortiGate detecta la existencia de un archivo infectado en una
transmisión, el archivo es eliminado o guardado en cuarentena, y es sustituido por
un mensaje de alerta configurable por el administrador. Además, el equipo
FortiGate guarda un registro del ataque detectado, y puede configurarse el envío
de un correo de alerta o un trap SNMP. Para una protección extra, el motor
antivirus es capaz de bloquear ficheros de un tipo específico (.bat, .exe, etc) que
potencialmente sean contenedores de virus, o bien bloquear aquellos archivos
adjuntos de correo electrónico que sean de un tamaño superior al límite de
filtrado.
Resumen de costos
Se enfoca básicamente en los negocios industriales, integrado por empresas cuya
actividad principal es la de producir bienes o servicios a partir de la obtención de
ciertos insumos o materiales para después someterlos a cambios físicos y/o
químicos mediante determinados procesos productivos y obtener un producto listo
para su venta. La empresa industrial cuente con 3 grandes departamentos que
son: ventas, producción, y administración, los cuales permiten un buen desarrollo.
También cuenta con un margen de utilidad, que se usa para determinar el precio
de venta, debe tomar en cuenta los siguientes factores: costo de producción de los

38. 38
artículos, gastos necesarios, gastos de ventas, gastos de administración y
algunos gastos de financiamiento.
La serie corporativa de FortiGate cubre las expectativas de las medianas y
gandes organizaciones en lo que respecta rendimiento, disponibilidad y
confiabilidad. Incluye todas las características clave de los otros modelos
FortiGate, con servicios de antivirus en tiempo real, VPN, detección y
prevención de intrusos, antispam, filtro web y servicios de manejo de ancho
de banda. Incluyen características de alta disponibilidad como failover
automático sin pérdida de sesión y capacidades multi-zona.
Fortinet es una empresa que protege la inversión, ya que es muy importante.
• Con desarrollo completo de tecnología propia, no existe el riesgo de perder
funcionalidades cuando estas provienen de terceros, es decir de otros sitios.
• Con el desarrollo de tecnología propia, los precios son más bajos, porque no
existen royalty fees que se deban pagar a terceros.
• Nuestros modelos de licencia por plataforma (no por usuario), reducen el TCO, y
permiten planeación a futuro en el tema de presupuestos.
• Con productos que cubren todo el espectro de protección de seguridad, se
eliminan los costos adicionales de adquirid soluciones especializadas.
• Centralización y optimización de tecnología UTM al manejar una sola marca de
seguridad integrada.
• Disminución en los gastos de operación al minimizar el tiempo de respuesta ante
nuevas solicitudes.

39. 39
Bibliografía
http://pumawifi.org/?q=node/54&page=0,1)
http://www.freebsd.org/releases/7.2R/hardware.html
http://pfsensefirewall40128.blogspot.mx/
http://forum.pfsense.org/index.php?topic=32504.0;wap2
http://www.bellera.cat/josep/pfsense/regles_cs.html
http://www.untangle.com/Downloads/Download-ISO
http://www.untangle.com/
http://www.untangle.com/
http://www.untangle.com/support
http://www.untangle.com/download