ANS COMUNICACIONES LTDA. Wimbox: Software usado para acceso y configuracion de routerboard

ANS COMUNICACIONES LTDA CÓDIGO: P-D-13 VERSIÓN: 01 PROCEDIMIENTO DE SEGURIDAD EN LA RED 1. OBJETIVOS:    Describir detalladamente el proceso de

Author: Eugenio Godoy Martínez

0 downloads 65 Views 910KB Size

Report

DOWNLOAD PDF

Recommend Stories

Hardware, Software y Comunicaciones

Software de recuperación y acceso remoto

Herramientas utilitarias y computación en la nube Software de recuperación y acceso remoto Recuva es un programa de recuperación de datos gratuito, d

Comunicaciones Unificadas con Software Libre

ANS

INTRODUCCION 1. GESTION DE LA CONFIGURACION DEL SOFTWARE (GCS)

SECTOR TRANSPORTES Y COMUNICACIONES REGLAMENTO DE ACCESO DE ENAPU S.A

UNIDAD MOVIL CON TORRE TELESCOPICA DE TELECOMUNICACIONES, COMO MEDIDA PARA LA ELIMINACION DEL RIESGO EN TRABAJO EN ALTURAS ANS COMUNICACIONES LTDA

UNIDAD MOVIL CON TORRE TELESCOPICA DE TELECOMUNICACIONES, COMO MEDIDA PARA LA ELIMINACION DEL RIESGO EN TRABAJO EN ALTURAS ANS COMUNICACIONES LTDA A

CONFIGURACION GENERAL

1. Revise todo su contenido de medios sociales y otras comunicaciones que haya usado para promover a Herbalife

Anuncio: Normas para Afirmaciones sobre un Estilo de Vida Opulento Fecha: 28 de julio 2016 Para: Asociados de los Estados Unidos Entra en Vigor:

MANUAL DE INSTALACION Y CONFIGURACION ANTAMEDIA HOTSPOT

MANUAL DE INSTALACION Y CONFIGURACION ANTAMEDIA HOTSPOT 1. REQUERIMIENTOS MINIMOS DE HARDWARE Antamedia HotSpot software debe ser instalado en un ord

Story Transcript

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED 1. OBJETIVOS:   

Describir detalladamente el proceso de configuracion de equipos para la seguridad en la red Evitar acceso no autorizado a la red que pueda poner en riesgo la estabilidad y desempeño de la misma. Asegurar que los datos que viajan en la red no sean capturados o descifrados.

2. ALCANCE: Este procedimiento alcanza su aplicación en el área de gestión de operaciones de ANS COMUNICACIONES, y a todos los procesos de la empresa relacionados con la actividad en la operación de la organización, con el fin de garantizar la seguridad de la red y evitar el acceso no autorizado.

3. RESPONSABLES   

Gerente operativo: Genera la autorización. Cio: Ejecutar la labor de seguridad de la red efectivamente. Infraestructura: Velar por el acceso a sitios.

4. DEFINICIONES: ROUTERBOARD: Equipo utilizado para enrutamiento de datos Wimbox: Software usado para acceso y configuracion de routerboard. SSH (Secure Shell): Protocolo que permite la comunicación segura entre dos sistemas FTP: (File Transfer Protocol): Protocolo de transferencia de archivos entre sistemas conectados SPAM: Correo electrónico no deseado o correo basura Revisado Por Alirio Santos Sánchez Firma:

Aprobado por Director SGI Fecha: 08/07/2015 Firma:

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED 5. DESARROLLO: PROCEDIMIENTO DE PREVENCION DE ACCESO AL ROUTER POR FUERZA BRUTA SSH Y FTP Detener los ataques FTP. La configuración permite un máximo de 10 intentos de conexión FTP incorrectas por minuto. Se ingresa a la Routerboard y por new terminal se ingresan las líneas para evitar ataques por FTP:

Desde New Terminal se ingresan las siguientes líneas de configuración: [admin@MikroTik] > ip firewall filter [admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp dst-port=21 src -address-list=ftp_blacklist action=drop comment=Bloqueo_Fuerza_Bruta_por_FTP [admin@MikroTik] /ip firewall filter> add chain=output action=accept protocol=tcp comment="530 Login Incorrect" dst-limit=1/1m,9,dst-address/1m [admin@MikroTik] /ip firewall filter> add chain=output action=add-dst-to-address-l ist protocol=tcp content="530 Loging Incorrect" address-list=ftp_blacklist address -list-timeout=3h [admin@MikroTik] /ip firewall filter>

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Visto desde el New Terminal:

Bloqueo de ataques de fuerza bruta por SSH Esta configurción bloquea por 10 dias la dirección de origen después de intentos repetidos: [admin@MikroTik] > ip firewall filter [admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp dst-port=22 src -address-list=ssh_blacklist action=drop comment="bloqueo de ataques de fuerza brut a por SSH" disabled=no [admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp dst-port=22 con nection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list addre ss-list=ssh_blacklist address-list-timeout=10d comment="bloqueo por 10 dias" disab led=no [admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp dst-port=22 con nection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list addre ss-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no [admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp dst-port=22 con nection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list addre ss-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no [admin@MikroTik] /ip firewall filter> add chain=input protocol=tcp dst-port=22 con nection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-l ist-timeout=1m comment="" disabled=no Visto desde New Terminal:

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Por interfaz gráfica se pueden observar las líneas configuradas:

En ip firewall filter> print

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED PROCEDIMIENTO BLOQUEO DE SPAMMER El siguiente procedimiento detecta y bloquea virus SMTP más conocidos como SPAMMER. Se requieren crear dos reglas de Firewall Forward:

Configuración por líneas de comando: [admin@MikroTik] > ip firewall filter [admin@MikroTik] /ip firewall filter> add chain=forward protocol=tcp dst-port=25 src-address-list=spammer action=drop comment="BLOQUEO DE SPAMMER O USUARIOS INF ECTADOS" [admin@MikroTik] /ip firewall filter> add chain=forward protocol=tcp dst-port=25 c onnection-limit=30,32 limit=50,5 action=add-src-to-address-list address-list=spamm pammer address-list-timeout=1d comment="Detecta y adiciona a la lista de SPAMMERS" [admin@MikroTik] /ip firewall filter>

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Cuando un usuario infectado, es detectado con un virus, gusano o hacer correo no deseado, el usuario se agrega a una lista spammer y bloquear el saliente SMTP por 1 día. Normalmente, los ataques de spamming al no tener respuesta descartan la ip del usuario.

Finalmente para ver las reglas en el router se puede revisar por interfaz gráfica:

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED CONFIGURACION PARA BLOQUEO DE PÁGINAS PROHIBIDA (INTERNET SANO) La siguiente es la configuración que se debe aplicar a las routerboard (router) con el fin que las solicitudes de Internet sean verificada por el proxy de ANS Comunicaciones en la nube (Amazon), esto procedimiento es estándar independientemente de la ubicación del cliente final y del proveedor final de Internet.

Se debe ingresar a IP firewall en la pestaña NAT y adicionar la siguiente regla: (se adiciona usando el icono rojo del signo más):

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

INTERFAZ DE LA RED LAN

En la pestaña Action se debe configura Redirect y el puerto de la aplicación de bloqueo (En este caso el Squid utiliza el puerto 3128)

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Esto hace que todas las solicitudes de Internet se redirijan al puerto 3128, posteriormente activamos el Web Proxy del router (routerboard):

IP

WEB PROXY

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Se habilita el servicio de Web Proxy

Se Introduce la dirección del Proxy de ANS en la nube de Amazon con su correspondiente puerto

En caso que alguna página prohibida (listado Internet Sano) trate de ser ejecutada el Proxy la bloqueara e indicara al usuario la causa del bloqueo y le dará un link hacia la página con información sobre Internet Sano.

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED PROCEDIMIENTO DE SEGURIDAD PARA LAS CONEXIONES INALAMBRICAS Con este procedimiento se impiden conexiones inalámbricas no autorizadas.

PROCEDIMIENTO PARA ENLACES MIKROTIK Se realiza acceso por el software propietario Winbox:

Se ingresa al menú de Wireless y se selecciona la pestaña Security Profile:

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Se da click en el icono

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Se puede dejar por defecto este nombre, el cual se usara a la hora de aplicarlo a la conexión inalámbrica

Se configura el key de seguridad inalámbrica asignado por parte de Diseño

Sobre la tarjeta inalámbrica en Security Profile se selecciona el profile 1 que previamente se configuro

Adicionalmente se debe retirar la selección en Default Authenticate del lado del Radio AP con esto es necesario registrar en el Access Lista la MAC Address de la tarjeta inalámbrica del esquipo Station

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED

Para ingresar la MAC Address de la tarjeta inalámbrica del equipo Station , vamos por el menú de wireless y la pestaña Access Lista allí adicionamos con el icono e ingresamos el dato de la MAC Address, adicionalmente se selecciona la interfaz inalámbrica y se puede limitar el ancho de banda del enlace.

ANS COMUNICACIONES LTDA

CÓDIGO: P-D-13 VERSIÓN: 01

PROCEDIMIENTO DE SEGURIDAD EN LA RED PROCEDIMIENTO EN ENLACES UBIQUITI

En la pestaña de WIRELESS en la sección Seguridad Inalambrica

Se seleccionan estos parámetros: WPA2-AES, PSK y la clave WPA entregada por Diseño. Esto aplica para el lado AP como para el lado Station .

Como seguridad adicional se puede habilitar del lado AP el ACL de MAC e introducir la MAC de la Wlan del equipo Station

Fin de procedimiento