Saltar navegación

Defensa Mayo - Proyecto ASIR David Gómez Valdeomillos - Contenido educativo

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 9 de mayo de 2024 por Jose Luis D.

7 visualizaciones

Defensa Mayo - Proyecto ASIR David Gómez Valdeomillos

Más información Transcripción

Descargar la transcripción

Buenas tardes, David. Hoy, día 8 de mayo, a las 19.27, 00:00:00
estamos convocados a través del Jefatorio de Departamento 00:00:04
para la defensa del módulo profesional de proyecto 00:00:07
del ciclo formativo de grado superior 00:00:09
de Administración de Sistemas Informáticos en Red. 00:00:11
Informo que esta grabación se usará en el entorno cerrado de EducaMadrid 00:00:14
con fines educativos, y solo estará a disposición 00:00:17
de los profesores evaluadores en el aula virtual 00:00:20
para llevar a cabo la evaluación y calificación 00:00:22
de la defensa del proyecto. 00:00:25
En el aula virtual de proyectos habéis sido informados 00:00:26
de los criterios y rúbrica de calificación 00:00:29
El orden de la presentación 00:00:31
del proyecto es el siguiente, 15 minutos 00:00:34
máximo para defender el proyecto 00:00:35
5 minutos para preguntas por parte del 00:00:37
tribunal. Dicho esto, tu tiempo 00:00:39
de exposición comienza a partir de este momento 00:00:41
Adelante y mucha suerte 00:00:43
Muy bien 00:00:44
Entonces ahora me compartes 00:00:45
¿Me ves? 00:00:48
00:00:56
Vale 00:00:56
Estupendo, pues 00:00:58
Empezamos 00:01:02
Vale. Para poder desarrollar mi proyecto, me he basado en la petición de una empresa ficticia llamada Tejidos del Sol Sociedad Limitada, que necesita mejorar su seguridad en un site de reciente creación. Para hacerlo, hemos propuesto crear un firewall y una gestora virtual de Check Point. 00:01:04
La arquitectura propuesta está fundamentada en tres patas. El Security Management, donde está la base de datos de objetos, políticas y logs. El Gateway, que es el firewall de la solución donde se aplican las políticas de seguridad. Y la Smart Console, que es la aplicación de gestión donde se definen las políticas, se visualizan logs y amenazas. 00:01:23
El tipo de desarrollo que hemos elegido es Standalone, configurando el Security Management y el Gateway en una sola máquina. 00:01:42
Esta configuración suele ser la estándar para clientes que no necesitan alta disponibilidad y tiene la ventaja de que consume menos recursos a la hora de virtualizarla, en relación a una en la que se separen componentes. 00:01:50
El sistema operativo que usan tanto Security Management como Gateway es Gaia, basado en Linux Red Hat. 00:02:02
La Smart Console se instala en un PC con Windows. Los beneficios de esta implementación son una mayor seguridad contra las amenazas externas, el control de tráfico y protección de datos sensibles, el registro y auditoría de eventos de seguridad y la facilidad de gestión mediante una interfaz gráfica de usuario. 00:02:07
Para realizar el proyecto he seguido los siguientes pasos. Paso primero, diseño del direccionamiento y objetos de la red de cliente. Paso segundo, realizar la instalación del Security Management y el Gateway virtualizándolos en VMWare. 00:02:24
Paso tercero, una vez instalado el aplicativo, definir las políticas de firewall, las creé intentando garantizar el acceso autorizado a recursos y desdirigiendo el tráfico no deseado o malicioso. 00:02:41
Paso cuarto, implementación de IPS y la política de actualizaciones de firmas 00:02:54
Paso quinto y último, implementación de URL filtering 00:03:01
Y paso sexto y último, pruebas y emulación del entorno final 00:03:05
Elegí Checkpoint antes que otros fabricantes como Fortinet o Aparo Alto 00:03:08
Por la facilidad de utilizar sus productos durante 15 días sin limitaciones 00:03:14
Seleccioné VMware debido a la compatibilidad con Checkpoint por su rendimiento 00:03:18
Y por disponer de una licencia facilitada por mi empresa 00:03:23
Descargué de utilizar VirtualBox por problemas de lentitud y errores de acceso 00:03:25
Solamente con la instalación de Gaia, en los primeros pasos, navegar entre los menús se eternizaba 00:03:29
Para simular los accesos de cliente utilizamos tres equipos 00:03:34
Un PC con Windows 11, un PC con Linux Debian 10.13, una Raspberry Pi 4 con Raspberry Pi OS 00:03:41
Y como herramientas adicionales utilicé MovaXterm, la versión 24.0 para el acceso por SSH 00:03:47
la web Visual Paradigm para crear mapas de red y LibreOffice 24.2 para documentación y transparencias. 00:03:54
Esta fue la planificación del proyecto, intentando jugar con los 15 días de la licencia, aunque previamente hubo un tiempo de estudio del fabricante, documentación y demás. 00:04:04
Los primeros 5 días, la instalación y la configuración del entorno virtual, los siguientes 4 días, definición de políticas de firewall, IPS y URL filtering, 00:04:12
Siguiente dos días, pruebas y simulación del entorno final. 00:04:22
Y los dos últimos días, documentación y presentación del proyecto. 00:04:25
Este es el direccionamiento de red que utilizamos para la sede. 00:04:32
Intentamos simular un entorno del real creando varios segmentos de red. 00:04:35
Y asignamos recursos para cada segmento. 00:04:38
Estos recursos están también incluidos como objetos dentro de las políticas. 00:04:41
Me refiero a los servidor bar, servidor lisa, servidor correo y demás. 00:04:45
Estos segmentos de red están configurados en las interfaces de red del gateway como interfaces externas. 00:04:51
hacia router e ISP, que sería el router de mi casa, y hacia los equipos de la LAN en interfaces 00:04:55
internas. Desde aquí se configura en el Landmark Console, analizando previamente la topología. 00:05:01
Antes de eso, las configuré en el gateway con interfaces y subinterfaces, subinterfaces 20 y 00:05:09
subinterfaces 30 para cada VLAN y también en el VMware, creando interfaces virtuales en el PC, 00:05:15
donde estaba montada la máquina con una IP de cada rango. Este es el diseño de las reglas en 00:05:21
política. Sería, por ejemplo, la primera regla 1, acceso a la gestora IFA igual desde el área del 00:05:29
CPD para los servicios SNMP, IGMP, tracerrute, SSH y también acceso por Admar Console. Esta última 00:05:37
requiere la regla ELENI en servicios, debido a los múltiples puertos aleatorios que usa para 00:05:46
comunicarse con el server. En un entorno real lo configuramos así. La segunda regla, actualización 00:05:53
en el linux permite el acceso a los servidores de aviam para actualizaciones de seguridad y 00:05:58
demás he utilizado fqdn para especificar los dominios permitidos con esta regla solamente 00:06:04
tendrían acceso a sus servidores a estos dos dominios y nada más la tercera regla url filtering 00:06:08
bloqueo de sitios web para adultos esto lo explico más adelante lo que es el url filtering 00:06:15
la regla cuarta tráfico web permitido reglas quinta y sexta acceso a servidores de correo y 00:06:21
para finalizar la regla séptima la regla de green up que bloquea todo el tráfico que no 00:06:28
esté específicamente permitido las reglas anteriores aquí bueno explico lo que lo mismo 00:06:32
que te he dicho de las reglas vale en esta transparencia podemos ver las propiedades del 00:06:38
gateway y los distintos blade licenciados y tanto firewall ips un refrigerante y security 00:06:44
management vale implementación de ips hemos instalado el blade ips para proteger las 00:06:51
redes contra intrusiones asociado a él hemos creado una regla automática en la 00:07:00
política de Threat Prevention. Esta política analiza todo el tráfico que pasa por el firewall 00:07:04
revisando posibles ataques. El BDPS tiene una base de datos con vulnerabilidades y lo que hace es 00:07:08
analizar el tráfico buscando patrones de ataques conocidos. Hemos configurado también una política 00:07:14
de actualización de firmas de dos horas. Y un punto clave que tiene SharePoint desde mi punto de vista 00:07:19
es que tiene una ventaja con respecto a otros fabricantes de IPS como McAfee y es que no es 00:07:24
necesario hacer un despliegue hacia el firewall para activar las firmas. Aquí te he puesto la 00:07:29
política que te comentaba, en la que se monitoriza todo el tráfico, origen y destino, y con la categoría 00:07:36
de Optimizer, que también te lo explico un poquito más adelante. Y aquí es donde se configura la política de 00:07:44
utilización de firmas. Cada dos horas, la gestora descarga las firmas y las pasa a los sensores. 00:07:48
Vamos a sensor, pero no al firewall. También hemos implementado un Blade de URL filtering para 00:07:55
controlar el acceso a los sitios web. Esta funcionalidad analiza el tráfico web por 00:08:03
distintas categorías o sitios y todo bloquearlo en relación al sd del cliente. Aquí en la parte 00:08:07
de arriba puedes ver la regla creada, te expliqué un poquito antes la regla cuarta, que estaría 00:08:15
bloqueando todo el tráfico que él categorice como para adultos, lo bloquearía y aparecería un 00:08:21
mensaje de bloqueo de esta página no está disponible. Aquí abajo te he puesto que se 00:08:28
puede configurar tanto por categorías como por sitios web en sí. Puede decir todo el tráfico que 00:08:35
vaya a youtube, todo el tráfico que vaya directamente se bloquea. Hace una especie de proxy. 00:08:41
Luego aquí te he puesto las reglas de, perdón, las pruebas de seguridad que hicimos para ips. 00:08:49
Para poder probar este módulo, lancé un nmap contra una ip del gateway. El firewall lo detectó 00:08:57
correctamente pero no lo llega a bloquear debido al perfil optimizer comentaba anteriormente este 00:09:03
perfil suele ser habitual en los clientes en los que trabajado porque muchas veces 00:09:09
el ip se puede estar falsos positivos y constantemente que aplicar excepciones a 00:09:13
cada firma por ejemplo es ha pasado he visto varias veces que cuando detecta que hay demasiadas 00:09:17
conexiones sh contra un servicio sh puede considerarlo como un ataque de fuerza bruta 00:09:23
Pero a lo mejor ese equipo es un gateway que tiene que acceder. También es verdad que si tuviéramos una situación real de ataque, se puede subir el perfil del IPS para esta regla en strict. Y en ese caso provocaría mucho más. Pero hay que tener en cuenta que podría provocar pérdidas de tráfico. 00:09:28
Aquí tienes el log del ataque IPS que estuve haciendo para comprobar el MNMAP, lo detecta, lo marca como critical, pero tiene la acción de prevent. 00:09:43
Y aquí otros ataques que estuve con el mismo MNMAP de varias líneas de ataque en sí. 00:09:59
A partir de aquí me gustaría hablarte de comandos útiles en el día a día y útiles en el desarrollo del proyecto. 00:10:10
El primer comando sería el cpstat-fpolicyfw 00:10:16
Es un comando muy útil para ver la política instalada 00:10:21
Espera que me ha ido 00:10:24
Para ver la política instalada en el Firewall 00:10:26
En las versiones más modernas no suele haber problemas de confusión de políticas 00:10:28
Porque te avisa a la hora de instalar la política si vas a suscribirla o no 00:10:32
Hay un cambio político y demás 00:10:36
Pero en el R7730 no pasaba 00:10:38
Entonces tú instalabas una política sin darte cuenta que estabas sobreviviendo a la anterior 00:10:43
y te poscaras reglas que bloquean o no permiten tráfico. 00:10:47
A mí personalmente me ha pasado y es un poco lío. 00:10:51
Vale, aquí te he puesto el cpstat-fmulticpuos. 00:10:57
Con este comando podemos ver estadísticas detalladas sobre el uso de la CPU con distintos hilos. 00:11:01
Está relacionado también con el siguiente comando que te voy a poner, 00:11:06
porque una subida de conexiones también sube unos picos de CPU. 00:11:09
Este comando, el firewalltab-tconnection-s, con este comando puedo ver las conexiones activas en el firewall. 00:11:13
Cuando hay un ataque por DDoS, de negación de servicio, por saturación, este suele ser el sitio más evidente. 00:11:23
Hay un pico de conexiones. 00:11:28
Y un pico de conexiones también suele conllevar un pico de CPU y suele conllevar que tú estás en el firewall. 00:11:30
Es una forma de tumbarlo. 00:11:36
Vale, aquí te he puesto el firewallctlzdebookdrop. 00:11:41
Este comando es muy útil para analizar drops en tiempo real. 00:11:44
El firewall tiene políticas implícitas que no están definidas en la política aplicada. 00:11:48
Esas políticas pueden bloquear tráfico. 00:11:53
Y además, si no está marcada en la regla específicamente a la opción de logado, no aparecerían los drops en los logs. 00:11:57
Un caso muy común de esto es con el anti-spoofing. 00:12:04
Si detecta que el origen del tráfico que llega por una interfaz external no es conocido, lo tira. 00:12:06
Y muchas veces se vuelven locos sin saber el motivo del drop. 00:12:12
Este comando es muy útil por eso. 00:12:15
Los otros dos también que te he puesto abajo son muy útiles para hacer troubleshooting, son para hacer capturas en tiempo real. 00:12:18
El típico TCP Dump de sistemas Linux y el Firewall Monitor o el CTP Cap propietario de Checkpoint. 00:12:24
Estos son muy útiles para ver si cierto tráfico pasa por el firewall o para ver tráfico asimétrico, ver errores de SYN y otras pruebas de troubleshooting. 00:12:30
Como curiosidad, los iconos que te he puesto son de la página de la web 101tcpdump.com. 00:12:38
es una web que utilizamos en el día a día mucho para crear tcpdump y cppcap automáticos con lo 00:12:44
que lo digan, teniendo un menú y te vas poniendo las opciones que quieras. Vale aquí te he puesto 00:12:54
el API status, este comando me ha resultado muy útil para ver cuando el acceso por smart 00:13:01
console está accesible, hasta que la cpm, el parámetro que pone aquí de cpm started no esté 00:13:08
nos arrancada, esta es la checkpoint management 00:13:14
si no está inicializada 00:13:17
no se puede acceder a ella desde la smart console 00:13:18
si por SSH, si desde consola 00:13:20
pero no desde la smart console 00:13:23
en el entorno virtualizado 00:13:24
como el PC va un poco a pedales 00:13:26
eso era entre 10 y 15 minutos aproximadamente 00:13:28
hay otros comandos que no he metido 00:13:30
en la presentación, dime 00:13:34
10 minutos te queda 00:13:35
poco tiempo, vale? 00:13:41
ya estoy acabando, me queda poquito 00:13:43
hay otros comandos que no he metido 00:13:44
en la presentación pero que son muy útiles 00:13:47
como por ejemplo el cpstat para ver el estado de un clúster, el cpview para ver estadísticas en tiempo real de cualquier parámetro del equipo 00:13:49
y también te da la opción de ver el histórico hacia atrás de las últimas pruebas. 00:13:56
También al estar en la calle basada en Red Hat, todo el comando de networking de Linux es válido. 00:14:02
Y te permite también crear script de basel para automatizar tareas y demás. 00:14:06
Como conclusiones, el objetivo del proyecto era comprender las necesidades de seguridad de la empresa, 00:14:12
identificar el equipamiento de red existente y segmentar la red. 00:14:17
Ser capaz de instalar desde cero un entorno operativo virtualizado en modo standalone 00:14:19
Y por último, diseñar las políticas de firewall y activar los blades necesarios 00:14:25
Considero que todos los objetivos han sido cumplidos 00:14:28
Y personalmente me ha servido de mucho para practicar cómo trabaja este fabricante 00:14:31
Que es uno de los más utilizados en el mundo de la ciberseguridad 00:14:34
Y listo, fin 00:14:37
Ok, a ver, ves a la página de la planificación que tenías 00:14:41
Has hablado de planificación 00:14:53
pero la planificación que me has mostrado 00:14:57
si quieres compartirla 00:15:00
y lo vemos 00:15:02
Sí, claro 00:15:02
Te refieres a la página de planificación 00:15:03
de aquí 00:15:19
Compártelo, por favor 00:15:20
que no lo veo 00:15:23
No sé 00:15:24
¿Me ves a la pantalla? 00:15:25
No, bueno, no importa 00:15:34
No la veo, pero vamos, no importa 00:15:42
o sea, tú me has enseñado una planificación 00:15:45
en la que el primer paso era 00:15:49
digamos, instalar 00:15:51
¿vale? y luego 00:15:53
Sí, el primer paso, instalación y configuración del entorno virtual 00:15:57
correcto, sí 00:16:01
Antes de la instalación no has tenido que hacer nada 00:16:02
Sí, claro, he tenido que diseñar el 00:16:07
diseñar el entorno 00:16:10
no sé si te lo he puesto más arriba o más abajo 00:16:12
no lo sé 00:16:14
Lo digo para que lo tengas en cuenta porque 00:16:14
cuando haces un proyecto 00:16:17
siempre tienes que pensar en una primera 00:16:19
fase de toma de requisitos 00:16:21
y objetivos 00:16:23
y diseño de la solución 00:16:25
en base a lo que has tomado, ¿vale? 00:16:27
Claro, claro. 00:16:29
Entonces, te has centrado mucho 00:16:31
en la parte de instalación. 00:16:33
Hay una parte de diseño 00:16:35
que ahí no se ve, ¿no? 00:16:37
Y que entiendo que habrás tenido que hacer. 00:16:39
Claro, primero la parte previa 00:16:42
primero entender cómo funciona 00:16:44
un checkpoint, cómo funcionan las políticas y demás 00:16:46
y luego diseñar 00:16:48
la red de la empresa de tejidos del sol 00:16:50
para... Supuestamente 00:16:52
según lo que se dice 00:16:54
en la misma 00:16:56
documentación 00:16:58
Sí, en la rúbrica 00:17:01
nosotros 00:17:04
hay una serie de fases en un proyecto 00:17:06
que tienes que identificar bien 00:17:08
que son la toma de requisitos 00:17:09
de los requisitos de obtener los objetivos 00:17:13
de hacer un diseño 00:17:16
y ese diseño ya 00:17:18
ir a la implementación que es la parte 00:17:20
que más o menos me has enseñado 00:17:22
00:17:23
Una preguntilla 00:17:24
¿Qué resultados 00:17:29
has obtenido? 00:17:32
Tú has hecho una instalación en un laboratorio 00:17:34
¿no? 00:17:36
00:17:36
¿Y eso cómo lo puedes aplicar 00:17:37
a otros? Si mañana llega otra 00:17:40
empresa que te pide lo mismo como lo harías tendrías que hacer claro o sea él imagínate 00:17:42
que esta empresa fuera real el primer paso sería montar el laboratorio aplicar configuraciones en 00:17:49
maqueta y después esa configuración se puede exportar a un entorno real eso te lo puesto 00:17:55
en la documentación de este proyecto tú has sacado algo que te permita hacer eso no pero 00:18:00
es un comando es un mc backup es un ms backup esa casa exporta la configuración y el ron ms 00:18:09
sport y mds import y es para importar esa configuración en el equipo real la pregunta 00:18:15
si has estandarizado tienes algún estándar para hacer las instalaciones y las definiciones a ver 00:18:21
la primera parte de instalación de la gestora así esos estándar hasta que empiezas a diseñar 00:18:29
políticas eso no varía para ningún cliente siempre que utilice la misma versión la 81 10 00:18:34
Y, claro, el proceso en sí de montar la maqueta es sencillo. Es lo complicado luego que funcione todo en sí. Pero sí, se puede estandarizar. 00:18:39
La pregunta es, si tú podrías, o sea, tú haces este proyecto y de aquí sacas alguna guía que te permita llegar a otro sitio e implantarlo de forma más rápida. 00:18:51
Sí, la parte de documentación que te he puesto 00:19:02
de los pasos para 00:19:05
instalar la máquina virtual 00:19:06
de la instalación de Gaia 00:19:08
la instalación de Standard Run, eso sería 00:19:10
estándar para cualquier proyecto de 00:19:11
ChessPod 00:19:14
Llegados a un proyecto 00:19:14
¿Tienes alguna 00:19:16
toma de requisitos o algo así? 00:19:20
¿Qué preguntas 00:19:23
le tienes que hacer al cliente 00:19:24
para 00:19:26
averiguar qué tipo de 00:19:27
reglas tienes que 00:19:31
bueno la primera pregunta sería de cuando tiene que gastarse en sí no pero depende de si quieras 00:19:32
de tener h en la instalación o no si es tener alta disponibilidad si quiere tener un clúster 00:19:42
si quiere tener un mds aparte aparte de los dos security gateway si quiere tener un gestor para 00:19:46
almacenar los todos esos máquinas máquinas que comprará parte y en la hora de él en el 00:19:54
En el fondo lo que se hace en la vida real es darle al cliente la política sin limitaciones, sin la regla green app, que esté trabajando durante X tiempo solamente monitorizando y empiezas a ver cuáles son los protocolos necesarios para que hay que permitir o hay que denegar. 00:20:01
y luego el cliente es el que te va marcando la pauta 00:20:18
es decir, vale, no quiero que haya tráfico 00:20:21
de esta red hacia esta, no quiero que haya 00:20:23
quiero 00:20:24
bloquear el tráfico, lo he puesto en rueda de filtering 00:20:26
no quiero que haya contenido para adultos 00:20:29
en los PCs de navegación o como sea 00:20:31
Vale, no, si lo que estoy buscando 00:20:33
es, miramos 00:20:37
que eso podría haber sido un resultado 00:20:39
del proyecto, ¿no? 00:20:41
¿Cómo tengo que entrar en una empresa para implantar 00:20:42
esto? 00:20:45
Sí. Como un documento aparte, un anexo. Y luego, toda la parte de comandos que me enseñas en la presentación. ¿Tienes algún, has obtenido algún tipo de manual? Ya sé que los comandos en sí mismos tienen manual, ¿no? 00:20:45
Pero cuando tú haces un proyecto, lo que intentas es sacar una lista de comandos y de uso para que los técnicos que vayan a utilizar esto, 00:21:06
por ejemplo, me has comentado que tienes varios comandos que te sirven para hacer troubleshooting. 00:21:19
explicas cómo es 00:21:25
que en algún sitio 00:21:28
queda reflejado 00:21:30
como experiencia 00:21:32
como resultado de este proyecto 00:21:34
qué tipo de travel shooting 00:21:36
se hace, o sea, qué tienes que mirar 00:21:38
vale, si es 00:21:40
haces un TCPD, haces un DAM 00:21:41
miras el tráfico que está pasando y tal 00:21:44
pero igual 00:21:46
con la experiencia de este proyecto 00:21:47
puedes decir, oye pues 00:21:50
fíjate si hay este tipo de paquetes 00:21:51
fíjate 00:21:54
Sí, correcto. No lo he puesto en la documentación, pero sí, claro, eso se puede hacer un documento para operación que le diga cuáles son los pasos básicos. De hecho, sinceramente, en una situación real, después de entregar el proyecto, habría que hacer una entrega del proyecto al grupo de operación para explicarle todo lo que hemos hecho y las pruebas que pueden hacer y dudas que puedan tener. Esa sería la forma estándar a trabajar. 00:21:55
entregarles la documentación y después 00:22:23
tener una sesión de una hora o dos horas para explicarle 00:22:25
qué es, cómo funciona y qué problemas 00:22:27
pueden tener. 00:22:29
Vale, bueno. 00:22:30
Pues por mi parte... 00:22:32
Autor/es:
Jose L. de Dios
Subido por:
Jose Luis D.
Licencia:
Todos los derechos reservados
Visualizaciones:
7
Fecha:
9 de mayo de 2024 - 17:29
Visibilidad:
Clave
Centro:
IES CIFP a Distancia Ignacio Ellacuría
Duración:
22′ 40″
Relación de aspecto:
1.78:1
Resolución:
1920x1080 píxeles
Tamaño:
149.02 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid