TFG Omar Mokrani Gallego

Universidad Politécnica
de Madrid
Escuela Técnica Superior de
Ingenieros Informáticos
Grado en Ingeniería Informática
Trabajo Fin de Grado
Diseño y Manejo de Infraestructuras de

Red Cumpliendo con los Estándares de
Ciberseguridad
Autor: Omar Mokrani Gallego

Tutor: Vicente Martínez Orga
Madrid, Enero de 2021

Este Trabajo Fin de Grado se ha depositado en la ETSI Informáticos de la
Universidad Politécnica de Madrid para su defensa.
Trabajo Fin de Grado

Grado en Ingeniería Informática
Título: DISEÑO y MANEJO de INFRAESTRUCTURAS de RED CUMPLIENDO con
los ESTÁNDARES de CIBERSEGURIDAD
Enero 2021
Autor: Omar Mokrani Gallego
Tutor:
Vicente Martinez Orga
Inteligencia Artificial
ETSI Informáticos
Universidad Politécnica de Madrid
Agradecimientos
El resultado de este trabajo es un reflejo del conocimiento que todos los profesores
me han aportado a lo largo del grado en Ingeniería Informática de la Facultad de
Ingenieros Informáticos de la Universidad Politécnica de Madrid y por esta razón
los sitúo en primer lugar a la hora de expresar mi agradecimiento.
Agradezco a mi familia, en especial a mi madre y a mi hermana, el apoyo que me
han ofrecido a lo largo de mi formación académica y más aún en este año, el cual
nos ha sorprendido con la crisis sanitaria provocada por el coronavirus, el temporal
Filomena y nuevas situaciones de incertidumbre tanto en el entorno académico
como en el profesional.
A mi tutor de trabajo de fin de grado Vicente Martínez Orga, quien, a pesar de sufrir
todos los acontecimientos de 2020 como el resto de los ciudadanos, nunca me ha
negado ninguna petición, ni rehusó, lo que es completamente comprensible, mi
solicitud de realizar este proyecto relacionado con el manejo de infraestructuras de
red, tema muy poco relacionado con la asignatura que me impartió durante mi
tercer curso del grado. Pese a esto, Vicente me ha prestado toda la ayuda que
necesitaba y me ha permitido adaptarme a las inclemencias producidas por el
temporal y las medidas de restricción.
Por último, quiero dar las gracias a mi tutor profesional en la empresa en la que
me encuentro trabajando como analista en ciberseguridad. Ernesto Díaz,
especialista en ciberseguridad, sin él, nunca hubiese descubierto el apasionante
mundo de la seguridad en las TIC y mucho menos hubiese conseguido adquirir los
conocimientos en cuanto a estándares, metodologías y recomendaciones de
ciberseguridad aplicadas en este trabajo.
1
Resumen
Este trabajo pretende explicar de una forma práctica los principales conceptos a
tener en cuenta a la hora de diseñar una infraestructura de red para que no sea
vulnerable a ataques y cumpla con la serie ISO 27000 de estándares de seguridad
publicados por la Organización Internacional para la Estandarización y la Comisión
Electrotécnica Internacional.
Se comentarán los aspectos más relevantes de la ciberseguridad mientras se realiza
la construcción de una red con ciertos requisitos, exponiendo los escenarios a los
que se enfrentan los administradores de redes y seguridad hoy en día.
Una vez conocidas las peculiaridades de la red, sus componentes y sus pequeños
matices en cuanto a configuración se refiere, se procederá a integrar distintas
herramientas de seguridad, auditoría y gestión de vulnerabilidades que nos
ayudarán a mantener libre de amenazas la integridad de los datos.
Por último, se compartirán las preguntas surgidas al realizar este proyecto, como:
¿Qué infraestructuras que son más comunes ver en entornos corporativos
actualmente?, ¿Como está evolucionando el mundo de la computación en la nube?,
¿Es imposible crear un sistema 100% seguro?
2
Abstract
This project aims to explain in a practical way the main concepts to be taken into
account when designing a network infrastructure so that it is not vulnerable to
attacks and complies with the ISO 27000 series of security standards published
by the International Organization for Standardization and the International
Electrotechnical Commission.
The most relevant aspects of cybersecurity will be discussed while building a

network with certain requirements, exposing the scenarios faced by network and
security administrators today.
Once the peculiarities of the network, its components and its small nuances in
terms of configuration are known, we will proceed to integrate different security,
auditing and vulnerability management tools that will help us to keep the
integrity of the data free of threats.
Finally, we will share the questions raised by this project, such as: What
infrastructures are most commonly seen in corporate environments today, How is
the world of cloud computing evolving, Is it impossible to create a 100% secure
system?
3
Tabla de contenidos
Contenido
1 Introducción .......................................................................................... 6
2 Desarrollo .............................................................................................. 8
2.1 Infraestructura de Red ............................................................................ 8
2.1.1 Dispositivos de la infraestructura...................................................... 8
2.1.2 Seguridad Perimetral ...................................................................... 12
2.1.3 Arquitectura de Firewall en la nube ................................................ 13
2.2 Integración de los firewalls con Tufin Policy Manager ............................ 15
2.3 Zscaler: Acceso seguro Internet ............................................................. 17
2.4 Diagrama de la infraestructura ............................................................. 19
2.5 Solución de Disaster Recovery y Always ON .......................................... 21
2.6 Palo Alto ................................................................................................ 22
2.6.1 Expedition....................................................................................... 22
2.6.2 Panorama ....................................................................................... 23
2.7 Fortigate ................................................................................................ 25
2.7.1 Perfiles de seguridad ....................................................................... 26
2.7.2 Reglas del cortafuegos ..................................................................... 27
2.8 Symantec Cloud Workload Protection .................................................... 29
2.9 Qualys................................................................................................... 36
3 Resultados y conclusiones ................................................................... 42
4 Bibliografía .......................................................................................... 43
4
Tabla de figuras
Ilustración 1 Racks del Datacenter .................................................................... 11
Ilustración 2 Internet y MPLS en Meraki ............................................................ 13
Ilustración 3 Arquitectura firewall en la nube .................................................... 14
Ilustración 4 Tufin Orchestation Suite ............................................................... 15
Ilustración 5 Flujos de trabajo de TOS SecureTrack ........................................... 16
Ilustración 6 Visión general Zscaler ................................................................... 18
Ilustración 7 Diagrama de Red diseñado con Visio ............................................. 19
Ilustración 8 Conectividad física Switch Cisco Catalyst ...................................... 20
Ilustración 9 Acciones a realizar por el filtro ...................................................... 27
Ilustración 10 Funcionamiento Symantec CWP en entornos cloud e híbridos..... 30
Ilustración 11 Políticas para aplicaciones software Symantec CWP .................... 34
Ilustración 12 Políticas de sistemas operativos Symantec CWP .......................... 34
Ilustración 13 Políticas globales Symantec CWP................................................. 35
Ilustración 14 Políticas predeterminadas Symantec CWP ................................... 35
Ilustración 15 Sistemas operativos soportados por el agente de Qualys ............. 37
Ilustración 16 Interfaz de usuario gráfica Qualys - Microsoft Azure.................... 40
Ilustración 17 Reporte Ejemplo .......................................................................... 41
5
1 Introducción
Con el ánimo de situarnos en un contexto común para muchos profesionales
dedicados a la gestión de equipos, seguridad y ciberseguridad en un entorno
empresarial, vamos a abordar este manual desde un primer momento en el que no
se encuentra configurado ningún equipo y la infraestructura de red aún no está
diseñada.
En un primer instante se requiere diseñar una red que satisfaga todas las
necesidades que un cliente de una mediana necesite. Para ello se necesitará saber
cuáles son esas necesidades y qué técnicas utilizar para que nuestro sistema pueda
ocuparse de ellas. Un ejemplo de necesidad podría ser él envió de logs de ciertas
máquinas hacia un SIEM con una periodicidad concreta y con un sistema que
asegure la integridad y fiabilidad de esos datos. Se analizarán varios ejemplos de
cómo se pueden implementar estas necesidades para establecer una arquitectura
de red que se utilizará como base para el resto del trabajo.
Esta arquitectura debe asegurar, no solo la integridad y fiabilidad de los datos, sino
la disponibilidad del sistema a un nivel Tier II o superior, lo cual exige cierta
redundancia en los componentes y una solución de recuperación ante desastres
que minimice el tiempo de interrupción de servicio.
Pese a que actualmente las empresas cada vez decantan más la balanza por la
creación de redes en la nube, la mayoría de las infraestructuras son puramente
físicas o híbridas, con el ánimo de exponer ambas situaciones, uno de los requisitos
del diseño será la existencia de dispositivos ubicados en un datacenter junto con
la presencia de un entorno virtualizado. En este escenario se citarán las principales
incompatibilidades entre ambos entornos y las soluciones existentes.
Una vez tenemos un diseño de red válido, procederemos a levantar las máquinas y
redes virtuales necesarias. Estas máquinas, dependiendo de su utilidad, podrán
ser de diferentes sistemas operativos, siempre y cuando la plataforma Microsoft
Azure los soporte. Una vez creadas dichas máquinas, se instalará en ellas el agente
de Microsoft, con el cual podremos hacer un seguimiento global desde el portal, sin
tener la necesidad de acceder a cada una de las máquinas cada vez que se necesite
configurar o consultar el estado de estas.
Tras instalar el agente en las máquinas, se estudiarán las posibles herramientas
adicionales que se quieran instalar, con el fin de llevar un control de
vulnerabilidades más exhaustivo que el que nos ofrece Azure desde el Security
Center.
Como ejemplo de dichas herramientas, cabe destacar entre otras muchas, las
siguientes:
1 Symantec CWP: Se trata de un software de seguridad que agrega un escaneo
antimalware multicapa que protege tanto a la computación como al
almacenamiento mediante la instalación de un agente.
2 Qualys: Gestor de vulnerabilidades que ofrece a los equipos de TI una
visibilidad completa y continua de sus activos de TI globales.
En cuanto a las medidas de control de tráfico utilizaremos un sistema de firewalls,

routers y swicths virtualizados, junto con otros sistemas on premise
proporcionados por las empresas Fortinet y Cisco, aunque se citarán otras
soluciones a tener en cuenta como las del fabricante Palo Alto Networks.
6
Como herramienta de auditoría de reglas, se instalará Tufin Policy Manager, capaz
de ayudar a detectar y solventar los riesgos de seguridad que suponen ciertas
políticas configuradas en los firewalls.
Puesto que la infraestructura debe permitir la conexión a usuarios de otras sedes
o compañías mientras navegan por Internet, Zscaler dispone de un servicio de
navegación segura.
7
2 Desarrollo
2.1 Infraestructura de Red
A lo largo de este capítulo vamos a diseñar una arquitectura los más completa
posible, que nos servirá como soporte a la hora de explicar las herramientas
necesarias para afianzar nuestra infraestructura.
El contexto que hemos establecido para esta red consta de un entorno híbrido, es
decir, dispone tanto de equipos virtualizados en la nube de Microsoft Azure,
pudiendo sustituir esta por la propia de Amazon o Google, como equipos físicos on
premise.
Como objetivo principal, la arquitectura de esta red debe aislar los servidores on
premise ubicados en un Datacenter, permitiéndoles conectar por acceso restringido
a Internet para poder ejecutar las actualizaciones y parcheos de seguridad,
mientras que ofrece sus datos a las compañías autorizadas.
Existe la posibilidad de que, estas compañías autorizadas, aparte de consultar los
datos de los servidores ubicados en el datacenter o en la nube requieran de una
solución, que permita a sus trabajadores operar en la infraestructura, ya sea por
conexión a nivel físico por cable ethernet, por wifi desde las oficinas, o desde sus
casas cuando tengan la necesidad de teletrabajar. Dado que lo que necesitamos es
una alta disponibilidad de servicios para los operarios de estas oficinas y al mismo
tiempo debemos pensar en una solución con fácil escalabilidad, si en un futuro
estas compañías aumentan en gran medida el número de empleados, estas redes
VPN utilizadas para interactuar con la infraestructura, deben permitir hasta 1000
usuarios conectados simultáneamente y con una solución de Disaster Recovery en
el caso de que hubiese pérdida del servicio. Debido a estos requisitos hemos elegido
la solución Always ON, la cual se explicará en más profundidad más adelante en
este capítulo.
2.1.1 Dispositivos de la infraestructura
Lo primero que debemos conocer, son los equipos o servicios que vamos a proteger.
Dado que este apartado se podría extender a una infinita lista de equipos, vamos
a preparar un pequeño catálogo con los activos más comunes, que nos podemos
encontrar en la mayoría de las empresas que requieren de un sistema de
ciberseguridad especializado:
1. Servidor Microsoft Hyper-V: Este equipo ubicado on premise en el
datacenter, permite a los usuarios crear entornos de servidores virtuales y
ejecutar y administrar múltiples sistemas operativos en un solo servidor
físico. A términos generales cumple con la misma funcionalidad que otros
hipervisores como VMware o Citrix. Proporciona a los usuarios un entorno
de pruebas más fácil de administrar y monitorizar que un servidor específico
para cada servicio. Por ejemplo, el equipo de desarrollo de una empresa
quiere probar una nueva funcionalidad de un servidor SMTP, en lugar de
comprar un equipo que en principio cumpla con las características
necesarias, se puede virtualizar dicho equipo en el servidor Hyper-V sin
necesidad de provocar un coste adicional y con la seguridad de que si fuese
necesario un equipo con más cores o más espacio en disco, existe la
posibilidad de levantar una nueva máquina sin mayores complicaciones.
8
El modelo elegido para este estudio es “HP DL380 Hyperv-1”. El motivo de
su elección es la simple familiarización con este modelo. Las configuraciones
de seguridad que se van a exponer no dependen de el modelo de servidor
Hyper-V elegido.[1]
2. Enterprise Manager ForeScout: Proporciona una administración de
seguridad centralizada para el control global de todos los dispositivos
Forescout implementados en la red. Este equipo se encuentra virtualizado
por el servidor Hyper-V, pero para que este funcione, se requiere de la
instalación un nodo Forescout con acceso a toda la red, capaz de recopilar
información de todos los dispositivos de la red. Este nodo si se instalará
físicamente en el datacenter y se elegirá el modelo “Forescout 5140” ya que
se trata de una red muy grande con posibilidad de superar los 10000
dispositivos.[2]
3. Syslog SIEM: El modelo a utilizar es “HP 3PAR 8200”, líder actual en el
mercado por su rápido rendimiento, escalable hasta 3 millones de de IOP,
latencia estable inferior a 1 ms, con protección de datos optimizada para
flash y un 99,99% de disponibilidad de datos. Este servidor tampoco se
encuentra virtualizado, es decir se instalará on premise en el datacenter y
servirá para recolectar todos los registros y eventos que se registran en la
red, de manera que no se pierda ningún dato, tanto de la configuración de
los equipos como de los accesos que han consultado los usuarios. Para que
este servidor actúe correctamente, se deberá configurar en los elementos
que detectan estos eventos, como pueden ser los firewalls, el envío de dichos
registros o logs.[3]
4. Extreme Wireless: El modelo elegido para garantizar la máxima
escalabilidad es el “C5215” con capacidad de soportar hasta 2000
dispositivos conectados. Se trata de una solución fácil de desplegar y
gestionar, que proporciona una funcionalidad avanzada que permite definir
como se procesa el tráfico inalambrico, ya sea voz, vídeo o datos, sin
limitaciones arquitectónicas. Este equipo se instalará de forma física en
aquella oficina o espacio de trabajo que requiera de una conexión fiable
inalámbrica.[4]
5. CORE_SWITCH: El modelo escogido es “Cisco Catalyst 9300L”,
perteneciente a la última generación de la plataforma de conmutación mas
implementada de la industria. Este tipo de switches de acceso, brindan un
acceso unificado inteligente, simple y altamente seguro con la flexibilidad de
90W UPOE + y multigigabit. Cuenta con 48 puertos de 1G para datos PoE+
y mGig. Esate switch se ubicará en el datacenter y permitirá conmutar el
tráfico entre los dispositivos mencionados con anterioridad, los firewalls, los
router Meraki y los router MPLS.[5]
6. RT VOIP: Se trata de un router de voz IP, que se instalará en el centro de
datos, cuya finalidad es proporcionar una comunicación segura y
confidencial entre los operarios que administran el datacenter y los
encargados de la configuración de esta infraestructura. A menudo, no es el
dueño del dispositivo el que accede al equipo, sino un encargado del
datacenter que realiza las configuraciones especificadas por el propietario.
De esta manera consiguen minimizar el número de personas que acceden al
datacenter. Esta practica ha sido fuertemente adoptada en la actual crisis
sanitaria, puesto que no se requiere de contacto social para realizar
modificaciones en el sistema. El modelo a instalar será “Cisco 4321 (VOiP)”,
selecionado por su fácil integración con el resto de la familia de productos
Cisco, como pueden ser los ampliamente conocidos Teléfonos IP “SPA502G”,
o sus versiones mas modernizadas con pantalla LCD “CP-7942G”.[6]
9
7. Cisco Meraki Concentrator: Cisco suministra dos modelos, “MX250” y
“MX450”, para sustituir la tecnología WAN por la SD-WAN. La función de
esta tecnología tradicional consistía en conectar los usuarios de una
sucursal o campus con aplicaciones alojadas en los servidores del data
center. Hasta ahora se utilizaban circuitos MPLS específicos con el
suministrador de la red para contribuir a garantizar la seguridad y fiabilidad
de la conectividad. En un entorno puramente cloud o híbrido esto ya no
funciona. Como innovación surge SD-WAN que mejora la experiencia de
usuario optimizando la conectividad con aplicaciones en la nube, simplifica
la administración facilitando la escalabilidad de usuarios
independientemente de que se encuentren en sucursales o en la nube.
Adicionalmete, los productos de cisco cuentan con la funcionalidad
incorporada de un firewall y un router[7]. La única diferencia entre ambos
modelos reside en los clientes máximos recomendados y el rendimiento del
firewall con estado, siendo 2000 usuarios y 4 Gbps para el MX250 y 10000
usuarios y 6Gbps para el MX450. En este proyecto se ha incorporado el
modelo de menos prestaciones, ya que al diseñar un entorno híbrido se
entiende que parte de los usuarios accederán aún de forma tradicional.[8]
8. Router MPLS: El modelo “Cisco ASR 920” capaz de reenviar paquetes a
través de la tecnología MPLS o conmutación de etiquetas multiprotocolo.
Esta tecnología utiliza etiquetas para que el análisis de encabezado de capa
3 se haga una sola vez (cuando el paquete ingresa en el dominio de la MPLS).
La inspección de etiquetas genera el posterior reenvio de los paquetes, lo que
beneficia enormemente las aplicaciones de redes privadas (VPN), ingeniería
de tráfico (TE), la calidad del servicio (QoS), así como disminuye el
desbordamiento de reenvío en los demás enrutadores de la red,
especialmente en los principales. Se incluye este tipo de dispositivo ya que,
aunque el paso del tiempo nos esta conduciendo a un entorno puramente
en la nube, la mayoría del entorno empresarial privado cuenta con entornos
híbridos o puramente on premise. Con esta solución, junto con el
concentrador MX250, aumentamos la seguridad en ambos escenarios.[9]
9. Firewalls Internos Cisco ASA: Se utilizará el modelo “Cisco ASA 5545-X”
ya que, a pesar de tratarse de un modelo antiguo (2012), dispone de todas
las funcionalidades que la infraestructura requiere. Es capaz de recolectar
eventos y registros y mandarlos al Syslog Siem, enrutar y natear tráfico,
monitorizar en tiempo real, e incluso permite ser monitorizado por
“Prometheus”, herramienta gratuita utilizada para analizar eventos de
seguridad en dispositivos de la red.
10. Firewalls externos Fortinet: Incluimos el módelo “FG-400E” para situarlo
en el exterior de la infraestructura, entre el firewall Cisco ASA e internet,
con el ánimo de establecer una seguridad perimetral y una DMZ,
cumpliendo así con el estándar de seguridad ISO 27001, más adelante en
este capítulo se profundizará más en el concepto de seguridad perimetral.
Se ha elegido el producto suministrado por Fortinet, para poder así, exponer
las diferencias entre ambos fabricantes de firewalls.[10]
11. Router DIBA: Se instalará el modelo de Cisco “ASR 920” con la finalidad de
proporcionar un servicio de acceso y/o presencia en Internet orientado a
empresas de Telefónica. Utiliza un enlace de fibra dedicada entre la salida
del datacenter y la central de telefónica de 10 Gbps.
Con el ánimo de situar mejor al lector y conocer la apariencia que debe tener el
datacenter, adjuntamos la siguiente figura:
10
Ilustración 1 Racks del Datacenter
EL datacenter constará de dos Racks “HPE 3PAR StoreServ 8000 Storage”

preparados para trabajar con redundancia de cableado, es decir, tiene duplicadas
todas las conexiones de corriente. Para que nuestro sistema pueda cumplir con la
definición de alta disponibilidad y ser calificado en Tier 1, todo el sistema debe
estar redundado. De esta manera nunca debería existir pérdida de servicio.
Como se puede observar en la ilustración, todos los equipos que podemos
encontrar en un rack se encuentran duplicados en el otro, todos se encuentran
clusterizados por una conexión HA en modo Activo/Pasivo. Esto quiere decir que,
por ejemplo, en el firewall Fotigate, toda la configuración que dispone el firewall 1
la tiene almacenada en el firewall 2, pero este último solo funcionará cuando el
firewall primario sufriese algún tipo de lentitud o pérdida del servicio.
El único elemento que no se encuentra duplicado es el Monitor + Teclado para la
consola AS400, el cual permitirá al administrador del datacenter, interactuar con
el resto de los dispositivos. Puesto que ocupa mucho espacio del rack y que no se
trata de un servidor que requiera de alta disponibilidad, este equipo no se
encuentra duplicado en el el rack 2. De esta forma optimizamos el espacio para
posibles ampliaciones en el datacenter, como puede ser el caso de requerir una
conexión nueva con una compañía diferente, la cual requiere de una instalación
redundante de un router MPLS.
Sin entrar en más detalle en el tipo de instalación que requiere un datacenter para
ganar la certificación de sistema de alta disponibilidad, el cableado de
interconexión y las fuentes de electricidad también deberían estar duplicadas.
11
2.1.2 Seguridad Perimetral
Desde una visión más enfocada a la seguridad, la solución de alta disponibilidad

considerada para la arquitectura de los firewalls on-premise, se ha configurado en
modo Activo-Pasivo para permitir realizar actualizaciones o mantenimientos sin
interrupción del servicio.
Regresando al motivo de instalar dos niveles de firewalls, uno externo y otro interno
con una red DMZ intermedia, debemos partir de conocer el concepto de seguridad
perimetral.
El concepto de seguridad perimetral es un método de defensa de red, establecido
en la normativa ISO-27001 y recomendado por las instituciones más
representativas como INCIBE, que se basa en el establecimiento de recursos de
seguridad en el perímetro de la red y a diferentes niveles. Esto permite definir
niveles de confianza, permitiendo el acceso de determinados usuarios internos o
externos a determinados servicios, y denegando cualquier tipoi de acceso a
otros.[11]
Los principales objetivos que persigue la seguridad perimetral son:
x Rechazar conexiones a servicios comprometidos.
x Permitir solo ciertos tipos de tráfico, como por ejemplo el correo electrónico.
x Servir como único punto de interconexión entre el datacenter y el exterior
x Redirigir el tráfico entrante a los sistemas adecuados contenidos en el
datacenter.
x Ocultar sistemas y servicios vulnerables que no son fáciles de proteger desde
Internet.
x Auditar el tráfico entre el exterior y el interior.
x Ocultar información, como pueden ser nombres de los sistemas, topología
de la red del datacenter…
Ahora que entendemos la misión de la seguridad perimetral, ¿qué significa DMZ?
DMZ o zona desmilitarizada es una red local que se ubica entre la red interna
(Firewall Cisco ASA) y una red externa como Internet (Firewall Fortigate). Su objetvo
principal es que las conexiones desde la red interna y la externa a la DMZ estén
permitidas, mientras que las conexiones desde la red externa solo se permitan a la
DMZ. Para cualquiera de la red externa que quiera conectarse de forma no legitima
a la red interna, la zona desmilitarizada se convierte en un callejón sin salida.[12]
Para garantizar que todo el tráfico viene o va al origen o destino correcto, se crearán
diferentes vlans, y estas serán enrutadas y filtradas por los firewalls internos y
externos.
Para conectarse a las sucursales y a Azure, dos dispositivos Merakis en modo
activo-pasivo se encargarán de crear un doble túnel hacia las oficinas y Azure.
Cada oficina tendrá un puerto MPLS y una conexión a Internet residencial. Un
dispositivo Meraki instalado en cada sucursal establecerá un túnel VPN sobre el
circuito MPLS como ruta principal y un túnel VPN sobre Internet como ruta
secundaria para llegar al datacenter.
La conectividad con Azure también se realizará mediante los dispositivos Meraki
asignados al centro de datos o en las sedes. El tráfico entre las oficinas, el
datacenter y Azure es directo. Estos dispositivos establecerán un túnel sobre MPLS
como ruta principal y un segundo túnel sobre Internet como ruta secundaria.
12
El tráfico entre las sucursales y Azure, no tendrá que ir primero por el datacenter
para llegar a Azure debido a que los equipos Meraki asignados en cada oficina
establecerán un túnel directo con el dispositivo virtual Meraki en Azure sobre MPLS
y sobre Internet. La siguiente ilustración puede ayudarnos a comprender este
apartado:
Ilustración 2 Internet y MPLS en Meraki
Al encontrarnos en un entorno híbrido, es decir, parte la infraestructura se

encuentra físicamente en un datacenter y otra parte se encuentra virtualizada en
la nube, se deberá prestar especial atención a la conectividad entre todos los
sistemas.
Para este proyecto se ha decidido optar por el entorno cloud suministrado por
Microsoft Azure, aunque no hubiese importado que hubiese sido Amazon Web
Services o Google Cloud. Este entorno virtualizado, cuenta con sus propios firewall
y protocolos de seguridad y conectividad, por lo que, es imperativo que el rango IP
asignado a este entorno se sitúe fuera del rango de direcciones IP del datacenter.
La seguridad perimetral estipulada anteriormente en este documento no es de
utilidad en un entorno virtualizado.
2.1.3 Arquitectura de Firewall en la nube
La arquitectura de seguridad en el entorno cloud se basa en los firewalls de Fortinet
para la zona desmilitarizada (DMZ) y el Firewall de Azure para las comunicaciones
y los servidores internos. Ambos entornos estarán en el mismo grupo de recursos
de Azure.
La solución de Alta Disponibilidad (HA) considerada para la arquitectura del
firewall de Fortinet Cloud en la zona desmilitarizada (DMZ) será Activo-Activo con
acceso a través de un Load Balancer (LB) o balanceador de carga, que evitará el
colapso por exceso de tráfico en los firewalls. Fortinet no recomienda despliegues
Activo/Pasivo para este caso de uso, ya que cualquier manipulación de UDRs o IPs
públicas para las soluciones Activo/Pasivo tarda 30 segundos en aplicarse después
de iniciarse el failover. [13]
13
La siguiente imagen recoge los dos entornos de nube mencionados anteriormente,
la DMZ y la ubicación del servidor interno.
Ilustración 3 Arquitectura firewall en la nube
En la arquitectura DMZ, el tráfico entrante llega a través del balanceador de carga

público y el flujo de tráfico lo determina el propio equilibrador de carga (a menos
que ya se haya establecido una conexión, en cuyo caso el flujo sigue la ruta
existente). Se configurará NAT de origen en las políticas de entrada para mantener
la simetría de la ruta para el tráfico de retorno.
El equilibrador de carga interno de Azure no tiene una dirección IP pública, está
asociado a la subred de la red virtual y tiene una dirección IP privada. Todo el
tráfico se dirigirá al equilibrador de carga interno que funciona como el siguiente
salto de la ruta definida por el usuario (UDR) para las subredes no conectadas
directamente a los dispositivos FortiGate.
A continuación, se describe como se utilizará cada puerto de los nodos Fortigate:
x Port 1: Interfaz de datos externa en el lado que da a la red pública. En ella
se configurará la subred conectada con la dirección IP del Load Balancer.
FortiGate realiza NAT para el tráfico entrante y saliente.
x Port 2: Interfaz de tráfico de datos interno en el lado de la red protegida.
UDRs para redes detrás de los cortafuegos.
x Port 3: Interfaz de gestión dedicada a cada FortiGate para fines de gestión,
como el inicio de sesión en el FortiGate a través de SSH o la GUI.
14
2.2 Integración de los firewalls con Tufin Policy Manager
En este proyecto se utilizará Tufin Orchestration Suite (TOS) para la centralización

de las reglas del cortafuegos. Tras un análisis previo y un debate con el soporte del
fabricante, se llega a la conclusión que, debido al bajo número de firewalls ubicados
en la infraestructura, la decisión óptima es utilizar Tufin en Azure con un requisito
de hardware mínimo (CPU: 4 cores, RAM: 16GB, Storage: 2x500GB). El
rendimiento del servidor en el entorno cloud es correcto para la cantidad de
dispositivos gestionados y no genera alertas ni incompatibilidades en el servicio. El
TOS se deberá instalar en una máquina virtual Red Hat Enterprise Linux (RHEL)
6.10, dado que es la última versión con soporte de mantenimiento activo.
Tufin Orchestration Suite se compone de diferentes soluciones que proporcionan
las diferentes funciones a la plataforma. SecureTrack se centra en la gestión de los
dispositivos de seguridad en la red, la visibilidad en tiempo real y la aplicación de
políticas entre diferentes proveedores y plataformas de seguridad. SecureChange
proporciona una automatización de extremo a extremo en la configuración y los
procesos de seguridad de la red. SecureApp es la solución de gestión de
aplicaciones y automatización de la conectividad segura, permite supervisar y
alertar sobre las aplicaciones empresariales. La solución que completa la
plataforma es SecureCloud, permite aplicar políticas de seguridad y
microsegmentación en entornos de nube híbrida. La siguiente imagen muestra una
vista global de la plataforma TOS y las diferentes soluciones que la componen.
Ilustración 4 Tufin Orchestation Suite
Para que esta herramienta cuente con todas la funcionalidades descritas con
anterioridad y se adapte al diseño de infraestructura de red especificado a lo largo
de este trabajo, se deben contratar las siguientes licencias para la plataforma Tufin
Orchestation Suite:
x TF-SECTRK-SVR: Componente base de SecureTrack. 1 Licencia requerida.
x TF-SECTR-FW-MOD: SecureTrack por cortafuegos individual. 2 Licencias
requeridas. Una por cada firewall de virtualizado en Azure.
x TF-SECTRK-FW-CLS: SecureTrack por cluster de cortafuegos. 2 Licencias
requeridas. Una por cada pareja de firewall en cluster.
15
SecureTrack será la solución centrada en políticas para diseñar, analizar y auditar
automáticamente las políticas de seguridad de los cortafuegos en la red. La gestión
de los dispositivos Fortinet se realizará desde la interfaz web de la solución TOS
SecureTrack, la siguiente imagen contiene el flujo de gestión que se seguirá:
Ilustración 5 Flujos de trabajo de TOS SecureTrack
Una vez que la plataforma Tufin Orchestration Suite gestiona los firewalls de
Fortinet, monitoriza y audita en tiempo real los dispositivos y las configuraciones.
Recoge información de la salud de los dispositivos y su cumplimiento con la política
de seguridad especificada por la normativa ISO 27000-1, se generarán los
siguientes informes para proporcionar información específica de los dispositivos de
red (se podrán modificar estos informes en base a las necesidades del usuario):
Informe Descripción
Device Audit Proporciona el cumplimiento de los
cortafuegos gestionados para determinar el
estado de los dispositivos
Policy Analysis Muestra todos los datos relacionados con la
gestión del tráfico definido en la consulta,
incluidos los dispositivos, las interfaces y las
reglas pertinentes.
Rule and Object Changes Realiza un seguimiento de los cambios que
se han producido en las reglas (y sus objetos)
de un determinado dispositivo, en un
periodo de tiempo especificado. Compara
dos revisiones y enumera qué reglas y
objetos se han añadido, actualizado o
eliminado.
Security Best Practices Proporciona a la organización la capacidad
de garantizar que los controles de seguridad
se basan en las mejores prácticas de
seguridad comunes y de detectar los fallos
de las mejores prácticas.
Security Violations Proporciona un resumen detallado de todos
los riesgos de la política de seguridad
detectados en el dominio, el dispositivo y los
riesgos seleccionados.
Las violaciones de seguridad incluyen
violaciones tales como: políticas de
seguridad violadas, reglas violadas y los
niveles críticos de cada violación.
16
Estos son los informes más comunes para reportar en cualquier organización. Nos
permiten conocer en tiempo real el estado de todos los dispositivos firewall de un
solo vistazo. Estos informes podrán ser programados periódicamente para notificar
a los administradores de las máquinas cuando haya cambios que creen o resuelvan
riesgos en los firewalls.
2.3 Zscaler: Acceso seguro Internet
Zscaler se puede definir como una plataforma de seguridad de la información

basade en cloud. El tráfico de navegación a Internet desde ubicaciones fijas como
sucursales o fábricas, portátiles, teléfonos y demás dispositivos del IOT o Internet
de las cosas se enruta a través de los puntos de presencia de Zscaler antes de pasar
a Internet público. Las políticas de seguridad almacenadas en el datacenter podrán
publicarse en todo el mundo en pocos segundos, siguiendo a los usuarios mientras
cambian de ubicación física, con el ánimo de hacer cumplir estas políticas sin
latencia.
Zscaler funciona como un proxy y un firewall basado en la nube, al enrutar todo el
tráfico a través de su software para aplicar políticas corporativas y de seguridad,
eliminando el tiempo y dinero que las empresas gastan en administrar filtro web,
protección contra fugas de datos, inspección SSL, protección avanzada contra
amenazas y seguridad. servidores. La función primaria de Zscaler es administrar
la seguridad en entornos basados en la computación en la nube y en el Internet de
las cosas, donde la seguridad perimetral se puede ver comprometida.[14]
Zscaler centraliza la administración de usuarios y políticas en una única interfaz
web con una simple visualización. Zscaler puede proporcionar informes completos
de los usuarios casi en tiempo real y constantemente recopila datos de amenazas
globales para proteger a sus clientes. En la siguiente ilustración se puede observar
le flujo de trabajo general de Zscaler descrito anteriormente:
17
Ilustración 6 Visión general Zscaler
Lo ideal en este tipo de infraestructuras, en las que se va a realizar navegación

segura a través de Zscaler es configurar Zscaler para el aprovisionamiento
automático de usuarios. Esto permite la automatización de la configuración local
requerida en los dispositivos de red, en función de los usuarios creados en el tenant
o dominio del entorno cloud. En el caso de este proyecto, se ubican en el Azure
Active Directory (Azure AD).
Los pasos necesarios para realizar una correcta configuración, que cumpla con los
estándares de seguridad son:[15]
1. Creación de una nueva aplicación, predefinida en el portal Azure como
Zscaler.
2. Especificar los usuarios o grupo de usuarios del Directorio Activo, en el
apartado asignaciones de la aplicación, que desean disfrutar del
aprovisionamiento automático.
3. Completar la configuración en la pestaña “Aprovisionamiento” de la
aplicación creada en el paso 1. Añadir la URL del dominio de Microsoft y el
Token secreto de la cuenta de administrador de Zscaler.
4. Tras realizar una prueba de conectividad, se deberá sincronizar los usuarios
y grupos de usuarios de Azure con Zscaler desde la sección “Mappings”.
5. Una vez completados todos los pasos, salvar el aprovisionamiento. Esto
realizará una sincronización inicial que tardará más tiempo que el resto de
las sincronizaciones posteriores. Una vez finalizado, el sistema producirá
una sincronización con los usuarios del AD cada 40 minutos.
18
2.4 Diagrama de la infraestructura
En función de los requisitos definidos previamente, se ha realizado con el editor

Microsoft Visio, un mapa de la infraestructura. Este mapa nos permite ver de un
vistazo, la conectividad de todos los componentes.
Se ha tenido en cuenta la posible integración de nuevas sedes o compañías, es
decir, se puede observar cómo ha de ser la conectividad en el caso de que se
incorporase una nueva compañía.
Los números de las interfaces que se pueden encontrar en las diferentes VLAN son
meramente informativos. Permiten al lector entender que equipos pueden y cuáles
no compartir interfaz.
Ilustración 7 Diagrama de Red diseñado con Visio
19
En adición al diagrama de red general, en la siguiente ilustración se puede apreciar
el aspecto de los Switchs principales Catalyst, clusterizados mediante un enlace
troncal activo-pasivo, con el motivo de asegurar su alta disponibilidad (HA). Estos
Switchs se encuentran enrackados en el datacenter junto con el resto de los
dispositivos que aparecen conectados a ellos.
Ilustración 8 Conectividad física Switch Cisco Catalyst
20
2.5 Solución de Disaster Recovery y Always ON
Se puede definir “Always On” como una solución de alta disponibilidad y

recuperación de de desastres.
La función de grupos Always On es una solución de alta disponibilidad y
recuperación en caso de desastre que ofrece una alternativa a nivel empresarial a
la duplicación de bases de datos. Los grupos de disponibilidad Always On
maximizan la disponibilidad de un conjunto de bases de datos de usuarios para
una empresa. Un grupo de disponibilidad admite un entorno de conmutación por
error para un conjunto discreto de bases de datos de usuarios, conocido como
bases de datos de disponibilidad, que fallan conjuntamente. Un grupo de
disponibilidad admite un conjunto de bases de datos primarias de lectura-escritura
y de uno a ocho conjuntos de bases de datos secundarias correspondientes.
Opcionalmente, las bases de datos secundarias pueden estar disponibles para el
acceso de sólo lectura y/o algunas operaciones de reserva.
Un grupo de disponibilidad falla a nivel de una réplica de disponibilidad. Las fallas
no se deben a problemas de la base de datos, como que una base de datos se vuelva
sospechosa debido a la pérdida de un archivo de datos, la eliminación de una base
de datos o la corrupción de un registro de transacciones.
Always On es una solución de red corporativa de recuperación de desastres que se
basa en un túnel Vpn ipsec ike v2 utilizando el cliente nativo de Microsoft con una
política GPO de directorio activo asociada un grupo de recursos que permitirá a
través de la autenticación Radius contra el AD a los clientes (estaciones de trabajo
finales) establecer un túnel Ipsec automático a través de Internet contra el
cortafuegos (Fortigate del DC Regional) accediendo así a un entorno de red
corporativa, Cuando se contemplan los mismos escenarios de trabajo que en una
oficina, el proceso se lleva a cabo detectando automáticamente cuando hay una
pérdida de conectividad con la red corporativa local (oficinas); también se
contempla un escenario de recuperación de desastres para siempre en el DC ,
generándose su escenario de trabajo en el entorno del Azure. La conectividad con
este entorno se realiza a través de un portal público.
21
2.6 Palo Alto
Palo Alto es el creador y principal fabricante de la nueva generación de firewalls

que implementan la inspección y filtrado de contenidos a nivel de aplicación,
permitiendo analizar el tráfico en base al contenido de la información transmitida
y no en base al número de puerto utilizado.
Los productos de este fabricante pretenden dar un paso más en la seguridad de la
información, previniendo amenazas en tiempo real, analizando el contenido de la
información que se transmite y permitiendo la aplicación de medidas de seguridad
y de prevención de pérdida de datos (DLP) a nivel de aplicación.[16]
Sus principales ventajas son:
x Alto rendimiento
x Suscripción que permite la detección de los últimos virus y amenazas antes
de que lleguen a los equipos finales.
x Filtrado de información a nivel 7, permitiendo identificar todas las
aplicaciones que funcionan por puertos estándar.
x Análisis de la información cifrada SSL
x Identificación de usuarios que generán tráfico en la red.
x Dispone de tecnologías integradas que proporcionan la misma protección en
los datacenter que en la red, nubes públicas y privadas y entornos SaaS.
x Automatización de la protección mediante la creación y reprogramación de
políticas de seguridad en tiempo real.
x Intercambio de inteligencia de amenazas que mejora la prevención y
minimiza la propagación de ataques.
En conclusión, Palo Alto nos proporciona una interfaz más intuitiva, así como
información más completa del tráfico que atraviesa el firewall, que Fortigate. Por
contrapartida Palo Alto no nos ofrece soporte técnico a la hora de levantar túneles
S2S contra dispositivos de otros fabricantes. Por este motivo, se ha decidido no
utilizar este fabricante, ya que, a nivel personal se ha decidido priorizar y afianzar
los requisitos indispensables y su escalabilidad, frente a una mayor optimización
de los recursos.
Estas son las principales diferencias entre los firewall Fortinet y los Palo Alto,
aunque este último dispone de dos herramientas muy útiles a la hora de
implementar por primera vez la configuración de un dispositivo, así como a la hora
de gestionar conjuntos de firewalls, ya sea estando en cluster como de manera
individual. Esta herramientas son Expedition y Panorama.
2.6.1 Expedition
Expedition es la cuarta evolución de Palo Alto Networks Migration Tool. El

propósito principal de esta herramienta es ayudar a reducir el tiempo y los
esfuerzos para migrar una configuración de uno de los proveedores admitidos a
Palo Alto Networks.
Al usar esta herramienta de migración, se permite convertir una configuración de
Checkpoint o Cisco o cualquier otro proveedor a un PAN-OS y darle más tiempo
para mejorar los resultados. Expedition agregó recientemente algunas
funcionalidades para permitir el cumplimiento de las políticas de seguridad
basadas en App-ID y User-ID.
22
Expedition suministra un módulo de aprendizaje automático que puede ayudar a
generar nuevas políticas de seguridad basadas en el tráfico de registros real y
dispone de una herramienta de evaluación de buenas prácticas para verificar que
la configuración cumple con las buenas prácticas recomendadas por los expertos
en seguridad de Palo Alto Networks.[17]
Como desventaja, Expedition no dispone de servicio de soporte técnico,
simplemente pone a disposición del cliente el apoyo de la comunidad “Palo Alto
Networks LIVE community”.
Los requisitos recomendados para esta herramienta son:
x CPU: 4 cores.
x Memoria: 8GB mínimo, 16 GB recomendado.
x Espacio en disco: En el caso de utilizar el aprendizaje automático y el
enriquecimiento de reglas, se requiere un disco de al menos 100 GB.
A parte de estos requisitos, la instalación de una máquina Expedition necesita un
disco secundario de al menos 10 GB, dependiendo del tamaño de la
infraestructura, con el objetivo de albergar los logs que se descarguen de las
máquinas de Palo Alto. Estos archivos de registro se pueden configurar para que
se guarden en formato comprimido o que se eliminen tras un periodo de tiempo
estipulado. Esta segunda opción es muy útil en el caso de que estos logs se estén
recopilando en un Syslog-siem.
2.6.2 Panorama
A menudo, las implementaciones de seguridad en los firewalls saturan de trabajo

a los operarios del sector TI con reglas complejas y datos procedentes de distintas
fuentes. Panorama ofrece una gestión centralizada y fácil de implementar para
obtener información útil sobre las amenazas y el tráfico de la red, así como
administrar firewalls en cualquier lugar.[18]
Los requisitos mínimos par un dispositivo virtual Panorama son:
x CPU: 8 cores.
x RAM: 16GB.
x Espacio en disco: 60GB.
La configuración de Panorama es bastante sencilla en comparación con otras
herramientas, simplemente se necesitará ejecutar el archivo ejecutable
suministrado por el fabricante es su página oficial e introducir los números de
licencia y certificados de autenticación de cada firewall Palo Alto que se quieran
centralizar.
Una vez inicializado Panorama, la acción primordial es la creación de “Devices
Groups”. Se trata de agrupar los firewalls en base a su función. Por ejemplo, dividir
los firewalls de un área de desarrollo entre los que se encuentran en Pre-prducción
y los que se encuentran en Producción. De esta manera, exponiendo un caso
práctico, se podrán incluir reglas en todos los firewalls de producción con la
creación de una sola regla, en vez de crear una por cada firewall.
Además de aplicar una determinada configuración en varios firewalls a la vez,
Panorama nos brinda la opción de definir los cambios de reglas como: previos (se
evaluarán antes de analizar las reglas ya establecidas), posteriores (se ejecutarán
después de las reglas ya establecidas) y predeterminados (se asignarán de manera
aleatoria ya que no disponen de reglas previas).
23
La función de guardado o “commit” de Panorama nos proporciona intuitiva gestión
de cambios de configuración. Dispone de historial completo de acciones realizadas
y dos tipos diferentes de salvado:
x Commit to Panorama: Implementa el cambio realizado en Panorama.
Commit and push to devices: Implementa el cambio tanto en Panorama, como en
los Devices Groups seleccionados.
24
2.7 Fortigate
Fortinet es una empresa multinacional de Estados Unidos con sede en Sunnyvale,

California. Se dedica al desarrollo y comercialización de software, dispositivos y
servicios, como firewalls, antivirus, prevención de intrusiones y seguridad de
usuario, entre otros.
El producto Fortigate es la plataforma icónica del Firewall Empresarial de Fortinet,
la cual está disponible para diferentes tipos de organizaciones, es decir, cuenta con
diferentes tipos de licencia a seleccionar en función del tamaño de la organización.
Desde 2014 los servicios de Amazon Web Services cuentan con Fortigate para
proteger su plataforma.[19]
En esta infraestructura, tanto los firewalls externos del datacenter como los que se
encuentra en Azure, cuentan con este portal para acceder a su configuración. Se
puede acceder a este portal, tanto por un navegador web, como por consola, via
ssh, con una terminal CLI. El puerto por el cual se accede deberá ser configurado
en el momento de su instalación y se recomienda, según las consideraciones de la
comunidad de hacking ético, promocionada por el CNI, no utilizar los mismos
puertos cuando accede el administrador que cuando accede cualquier otro usuario.
Por ejemplo, cuando se trate del usuario administrador, se deberá sustituir el
puerto 22 de acceso por ssh, por el puerto 1022.
Los objetivos que buscan satisfacer los dispositivos de Fortinet son:
x Seguridad de red: Proteger con seguridad avanzada todas las ubicaciones de
tu infraestructura.
x Acceso Seguro: Acceder a aplicaciones y dispositivos de forma segura, sin
comprometer el rendimiento.
x Seguridad física y virtual: Por medio del uso de dispositivos inteligentes,
cuyas características físicas y de programación les sirve para detectar,
prevenir y responder ante cualquier amenaza.
x Protección de dispositivos: Proporciona un monitoreo proactivo de los
equipos, a fin de controlar su funcionamiento en toda la red.
x Seguridad de aplicaciones: Garantizado mediante un software que es capaz
de detectar y detener amenazas en avanzada.
Una de las características más importantes que tiene estos firewalls, es la
compatibilidad con otros fabricantes a la hora de establecer un túnel S2S. A la hora
de levantar túneles VPN contra otras infraestructuras o sedes, Fortinet es de los
pocos fabricantes que brinda soporte técnico cuando este tipo de conexiones se
realizan contra otros firewalls de fabricantes como Cisco, Palo Alto, Checkpoint y
Juniper.
Estos túneles se utilizan en la red definida a lo largo de este trabajo, entre otras
funciones, para establecer las conexiones entre los usuarios de una determinada
compañía y los servidores del centro de datos. Entre este requerimiento y la
necesidad de mantener conectados los servidores a Internet para que sean capaces
de realizar actualizaciones y parchéos automáticos, Fortigate nos brinda la
oportunidad de configurar perfiles de seguridad, que evitarán, un posible
comportamiento malicioso, ya sea evitando ataques DDoS, phishing al correo de
los usuarios o intentos de acceso no legítimos.
Otra ventaja clave de este fabricante frente a sus competidores, es el asistente
Wizard que proporciona Fortigate, con él, se reduce enormemente el tiempo en
implementar cambios de configuración, ya sea a la hora de crear túneles de
25
diferentes tipos, como a la hora de realizar el envío automático de logs a un Syslog-
Siem.
2.7.1 Perfiles de seguridad
Los perfiles de seguridad se activarán en capas del cortafuegos. Esto incluye

Antivirus, Control de Aplicaciones, Filtrado Web, Filtro DNS e inspección SSL.
En cuanto al módulo IPS / IDS dentro de los firewalls externos las consideraciones
que se tienen en cuenta son:
- La política de seguridad permite cierto tráfico de red basado en el remitente, el
receptor, la interfaz, el tipo de tráfico y la hora del día. Las políticas de los firewalls
también pueden ser usadas para denegar el tráfico, pero esas políticas no se
aplican al escaneo de IPS.
- El sensor IPS contiene filtros, entradas de firmas, o ambos. Éstos especifican qué
firmas se incluyen en el sensor IPS.
Un sensor IPS puede ser configurado para usar diferentes firmas y/o filtros. Estos
pueden ser:
- Basado en patrones
- Basado en la tasa
- Personalizado
Los filtros pueden ser seleccionados dependiendo de los requerimientos:

- La aplicación se refiere a la aplicación afectada por el ataque y las opciones de
filtro incluyen más de 25 aplicaciones.
- OS se refiere al sistema operativo afectado por el ataque. Las opciones incluyen
BSD, Linux, MacOS, Otros, Solaris y Windows.
- Protocolo se refiere al protocolo que es el vector del ataque; las opciones de filtro
incluyen más de 35 protocolos, incluyendo "otros".
- La gravedad se refiere al nivel de amenaza que representa el ataque. Las opciones
incluyen Crítico, Alto, Medio, Bajo e Info.
- Objetivo se refiere al tipo de dispositivo al que se dirige el ataque. Las opciones
incluyen cliente y servidor.
Entonces, por cada una de las opciones anteriores, podríamos seleccionar la acción
a tomar:
26
Action Description
Pass Select Pass to allow traffic to continue to its destination.
Select Monitor to allow traffic to continue to its destination and log the activity. The log will appear
Monitor
under Log & Report but will only be visible in the GUI in the event of an intrusion.
Block Select Block to drop traffic matching any the signatures included in the filter.
Select Reset to reset the session whenever the signature is triggered. In the CLI this action is referred to as
Reset
Reject.
Default Select Default to use the default action of the signature.
The quarantine based on the attacker’s IP Address - Traffic from the Attacker’s IP address is refused until
Quarantine the expiration time from the trigger is reached. You may set the Quarantine Duration to any number
of Days, Hours, or Minutes.
Select to enable packet logging for the filter.
Packet Logging
When you enable packet logging on a filter, the unit saves a copy of the packets that match any signatures
included in the filter. The packets can be analyzed later.
Ilustración 9 Acciones a realizar por el filtro
La configuración más común y efectiva es establecer los filtros por Severidad, en la

que recomendamos establecer los de Critical y High a Block. Fortigate tiene
también un proceso automático de actualización de firmas, que traerá la
información de los nuevos ataques al cortafuegos para poder eliminar las
conexiones maliciosas recién descubiertas.
Estos son los perfiles de seguridad más comunes a configurar en entornos
empresariales:
Security Profile Name Description

Web Filter WEBFILTER-USERS Bloquea la navegación
que no se considera
necesaria para el
trabajo.
Web Filter WEBFILTER-SERVERS Bloquea la navegación
que no se considera
necesaria en los
servidores.
Intrusion Prevention HIGH-SECURITY Bloquea todas las
vulnerabilidades
críticas/altas/medias
y algunas de baja
gravedad
SSL/SSH Inspection CERTIFICATE-INSPECTION Permiso de solo
lectura en SSL
handshake
inspection profile
2.7.2 Reglas del cortafuegos
El enfoque recomendado para la gestión de las reglas del cortafuegos para el túnel
de contingencia que conecta el Datacenter en caso de pérdida de servicio será
permitir la conexión a Internet de los dispositivos conectados por VPN, así como el
protocolo ICMP entre las máquinas del Datacenter y las máquinas conectadas a la
VPN. De esta manera será más fácil realizar pruebas de troubleshooting.
27
Aunque a día de hoy no existe un estándar de buenas practicas a la hora de
nombrar las reglas requeridas en los firewall, la comunidad de hacking ético,
recomienda documentar todo lo posible en el campo descripción, la afectación y
motivo de la existencia de dicha regla. A modo de opinión personal, es muy
recomendable nombrar las reglas con caracteres internacionales, sin espacios y sin
determinantes, ya que, aunque el sistema nos lo permita via web, cuando se accede
via ssh suele provocar bugs e incompatibilidades de visualización y edición.
28
2.8 Symantec Cloud Workload Protection
Symantec CWP es una herramienta de antivirus utilizada en entornos cloud e

híbridos, desarrollada por la compañía americana NortonLifeLock con sede en
Tempe, Arizona y que cotiza en el índice bursátil S&P 500.
Este producto surge de la necesidad demandada por las entidades empresariales,
en las que cada vez es más común adoptar una infraestructura de nube híbrida,
combinando cloud en local, pública y privada. Las soluciones tradicionales de
seguridad en local no cuentan con las integraciones nativas de la nube requeridas
para proteger y escalar con cargas de trabajo y almacenamiento en estos entornos
dinámicos.
Esta herramienta nos ofrece un escaneo multicapa antimalware, impulsada por las
tecnologías de Symantec Endpoint Security, para cargas de trabajo, que protege,
tanto la computación como el almacenamiento. Ayuda a descubrir y mitigar virus
y amenazas. [20]
Las principales características que nos ofrece son:
x Escaneo antimalware multicapa para instancias de computación y
servidores, tanto Windows como Linux. Se utilizan para detectar y bloquear
los últimos ataques basados en malware, como pueden ser los bots
maliciosas y los ransonware.
x Tecnologías antimalware que incluyen machine learning y análisis de
reputación de archivos, capaces de descubrir y bloquear gran parte de las
amenazas de tipo Zero Day (Vulnerabilidad que acaba de ser descubierta y
que aún no dispone de parche que la solucione [21]).
x Escaneo automático y programado capaz de descubrir y proteger unidades

de almacenamiento Amazon S3, sin eliminar archivos del entorno cloud, así
como identificar unidades de almacenamiento mal configuradas o accesibles
públicamente.
x Integración con flujos de trabajo DevOps, permitiendo una seguridad que

escala en forma elástica con entornos de nube dinámicos.
x Visibilidad automatizada y seguridad para cargas de trabajo entre los

proveedores mas importantes de la nube como pueden ser: AWS, Microsoft
Azure y Google Cloud Platform.
x Soporte para contenedores Docker y herramientas de orquestación.
29
En adición a las características descritas anteriormente, podemos concluir con que
Symantec CWP incluye: capacidades de endurecimiento de carga de trabajo File
Integrity Monitoring (FIM), el aislamiento del sistema operativo que ayuda a detener
ataques “Zero Day” y permite el uso de recomendaciones automáticas de políticas
para una protección rápida y escalable con servicios de descubrimiento de software
y visibilidad de los cambios de infraestructura.
Para que un activo pueda hacer uso de esta herramienta, se necesitará instalar un
agente, fácilmente descargable desde el apartado descargas del portal de Symantec
CWP. Siempre y cuando el equipo sea soportado, ver tabla inmediatamente después
de este párrafo, el proceso de instalación es bastante sencillo, simplemente se ha
de ejecutar en modo administrador el archivo ejecutable (en el caso de Windows) y
extraer el .tar, proporcionar acceso al archivo installagent.sh (chmod 755
installagent.sh) y ejecutar el script (./installagent.sh)[22].
Equipos soportados por Symantec CWP[23] :
Ilustración 10 Funcionamiento Symantec CWP en entornos

cloud e híbridos.
Sistema Operativo Versiones Plataforma en la

nube
Windows x 2016 Standard Edition x AWS
x 2012 R2 x Azure
x 2008 R2 SP1 x GCP
x 2019
Red Hat Enterprise x 8.1 x AWS
Linux 8 x 8.0 x Azure
x GCP
30
Red Hat Enterprise x 7.2-7.7 x AWS
Linux 7 x Azure
x GCP
Red Hat Enterprise x 6.7 x AWS
Linux 6 x 6.8 x Azure
x 6.9 x GCP
x 6.10
SuSE Linux Enterprise x SuSE Linux Enterprise
Server 15 Server SP0
x SuSE Linux Enterprise
Server SP1
SuSE Linux Enterprise x SuSE Linux Enterprise
Server 12 Server SP5
Server SP4
Server SP3
Server SP2
Server SP1
Server SP0
CentOS 8 x 8.1 x AWS
x 8.0 x Azure
x GCP
CentOS 7 x 7.2 x AWS (7.5 no
x 7.3 soportada)
x 7.4 x Azure (7.5 no
x 7.5 soportada)
x GCP (7.5 no
soportada)
CentOS 6 x 6.7 x AWS (6.8 y
x 6.8 6.10 no
x 6.9 soportada)
x 6.10 x Azure (6.8 y
6.10 no
soportada)
x GCP (6.8 y
6.10 no
soportada)
Oracle Enterprise Linux x 6.6 x AWS
x 7.2 x Azure
x 7.3 x GCP
Oracle Linux 6 x 6.7 x AWS
x 6.8 x Azure
x 6.9 x GCP
x 6.10
Oracle Linux 7 x 7.2 x AWS (7.6 no
x 7.3 soportada)
x 7.4 x Azure (7.6 no
soportada)
31
x 7.5 x GCP (7.6 no
x 7.6 soportada)
x OCI (Solo
versión 7.6)
Amazon Linux/Amazon x 2017.09.01 x AWS
2 x 2017.12
x 2018.03
x
Ubuntu 16.04 LTS x AWS-kernel 4.4, 4.8, x AWS
4.10, 4.11, 4.15 x Azure
x Azure-kernel 4.4, 4.15,
4.13, 4.11
x Generic 4.4
Ubuntu 14.04 LTS x AWS-kernel 3.13, 3.16, x AWS
3.19, 4.2, 4.4 x Azure
x Azure-kernel 4.15, 4.4
x Generic 3.13, 4.4
Ubuntu 18.04 LTS x AWS-kernel 18.4.15 x AWS
x Azure-kernel 18.4.15 x Azure
x GCP 18.4.15 x GCP
x Generic 18.4.15
Requerimientos del Sistema para el agente CWP[24]:
Sistema Procesador Ram Espacio en disco

Operativo
Linux Intel Pentium x Recomendado: x Recomendado:
4 – 2 GHz o 4 GB 8GB
RHEL, CentOS,
superior x Mínimo: 1GB x Mínimo: 6 GB
Ubuntu,
Amazon Linux,
Oracle Linux
Windows Intel Pentium x Recomendado: x Recomendado:
4 with x86-64 8 GB 8GB
support – 2 x Mínimo: 2GB
GHz o superior
Una vez conocido el funcionamiento de esta herramienta, cabe a destacar la

importancia que asumen las políticas, las cuales se componen de una colección de
reglas utilizadas para prevenir y detectar.
El contenido de prevención en una política es un conjunto de reglas configuradas
para fortalecer y proteger proactivamente un activo. Por ejemplo, no permitir que
se instale software de terceros en un equipo.
Por otro lado, el contenido de detección en una política es un conjunto de reglas
que se configuran para tomar medidas cuando se detecta un evento en específico.
Por ejemplo, bloquear la ejecución o escritura de un archivo siempre y cuando el
usuario sea root y no acceda via API.
32
La existencia de estos dos tipos de política no implica que sean excluyentes, es
más, la mayoría de las políticas que proporciona el fabricante mezclan tanto
prevención como detección.
Para ser eficaz, una política debe estar incluida dentro de un grupo de políticas.
Cuando la política se incluye dentro de un grupo, esta, conserva su asociación con
la biblioteca de políticas de la que se derivó. Esto ayuda a rastrear los cambios que
se realizan en la política o cualquier versión más actual de la política que esté
disponible.
Políticas por defecto de Symantec :
x Políticas para aplicaciones software:
Nombre de la Política Descripción

Apache Policy Una política de aplicación
personalizada que proporciona
controles de detección y prevención
para el servidor web Apache y el
lenguaje de programación del lado del
servidor PHP.
Docker Policy Una política de aplicación
para Docker y contenedores.
IIS Policy Una política de aplicación
para el servidor web Microsoft IIS.
Microsoft SQL Policy Una política de aplicación
para la base de datos relacional del
servidor y el cliente de Microsoft SQL
Server.
MongoDB Policy Una política de aplicación
servidor y el cliente de MongoDB.
MySQL Policy Una política de aplicación
servidor y el cliente MySQL.
Oracle Policy Una política de aplicación
para la base de datos relacional de
servidor y cliente de Oracle.
PostgreSQL Policy Una política de aplicación
33
para el sistema de administración de
bases de datos relacionales de objetos
de Postgres.
Tomcat Policy Una política de aplicación
para el servidor web Tomcat Java.
Windows Custom Full Closed Policy Habilita la prevención de violaciones
de políticas por los programas
completamente cerrados que se
definen en la política. Las violaciones
se niegan y se registran a medida que
ocurren.
Windows Custom Full Open Policy Deshabilita la prevención de
violaciones de políticas por parte de
los programas completamente
abiertos que se definen en la
política. Las infracciones se registran
a medida que ocurren, sin embargo,
no se niegan.
UNIX Custom Full Closed Policy Habilita la prevención de violaciones
de políticas por los programas
completamente cerrados que se
definen en la política. Las violaciones
se niegan y se registran a medida que
ocurren.
UNIX Custom Full Open Policy Habilita la prevención de violaciones
de políticas por parte de los
programas completamente abiertos
que se definen en la política. Las
violaciones se niegan y se registran a
medida que ocurren.
Ilustración 11 Políticas para aplicaciones software Symantec CWP
x Políticas para sistemas operativos:

Windows OS Policy Una política de protección de
integridad general para
Windows. Limita muchos de los
servicios que se ejecutan en el
sistema, así como las aplicaciones
comunes.
UNIX OS Policy Una política de protección de
integridad general para UNIX. Limita
muchos de los Daemons que se
ejecutan en el sistema, así como las
aplicaciones comunes.
Ilustración 12 Políticas de sistemas operativos Symantec CWP
34
x Políticas globales:

Windows Global Policy Proporciona los controles de
protección que se aplican a todos los
procesos en el sistema Windows.
UNIX Global Policy Proporciona los controles de
protección que se aplican a todos los
procesos en sistemas UNIX.
Ilustración 13 Políticas globales Symantec CWP
x Políticas predeterminadas:

Windows Default Policy Proporciona la protección
predeterminada para servicios y
programas que no se enrutan a otras
políticas.
UNIX Default Policy Proporciona la protección
predeterminada para servicios y
programas que no se enrutan a otras
políticas.
Windows Anti-Malware Policy Proporciona la protección
predeterminada para instancias de
Windows contra malware.
Unix Anti-Malware Policy Proporciona la protección
predeterminada para instancias de
Linux contra malware.
Ilustración 14 Políticas predeterminadas Symantec CWP
35
2.9 Qualys
Llegados a este punto nos preguntamos, ¿Qué es Qualys y por qué es tan necesaria
su implementación?
Siguiendo la definición que nos ofrece el fabricante californiano con sede en Foster
City, Qualys es una empresa dedicada a la seguridad en la nube que ha
desarrollado la herramienta “VMDR” (Vulnerability Management, Detection and
Response) que proporciona gestión, detección y respuesta ante vulnerabilidades
existentes en una infraestructura, la cual, puede ubicarse al completo en la nube,
al completo on premise o en un entorno mixto.
VMDR proporciona un ciclo de protección continuo desde un único panel de
control, con flujos de trabajo de orquestación integrados y detección de
vulnerabilidades en tiempo real, con el fin de priorizar, remediar y auditar en
entornos de TI híbridos o mixtos. Este portal llamado “Qualys Guard”, en Octubre
de 2020 se pasó a llamar “Qualys Cloud Platform”. [25]
Una vez clarificada la función general de esta herramienta, procedemos a detallar
como realizar una correcta configuración de la misma para cumplir con los
estándares de seguridad, así como con las recomendaciones del fabricante.
Hasta ahora, la herramienta proporcionaba dos formas de sincronizar el estado de
las máquinas de nuestra infraestructura con el panel de control:
1. Virtual Scanner, consta de un escáner periódico completamente
configurable en frecuencia, tipo de máquina, prioridad de procesado, etc,
que detecta las máquinas de una determinada red. Para ello simplemente
necesita acceso a la misma red donde se encuentran los equipos a
monitorizar, ya sean virtualizados u on premise, y asociarlos según nos
interese a un “Device Group”. Por ejemplo, suponiendo que nuestra red sea
10.48.0.0/16, podemos crear un device group solo para los equipos que
formen parte del departamento de desarrollo, los cuales, están ubicados en
la subred 10.48.128.0/24. De esta manera la herramienta escaneará toda
esta subred y realizará un análisis de vulnerabilidades, siempre y cuando
encuentre un puerto TCP y UDP libre.
2. Cloud Agent, esta solución consiste en instalar un agente en la máquina a
monitorizar con el fin de que envía un informe con el estado del equipo de
manera periódica, por defecto, cada 240 minutos. Este tipo de agentes están
diseñados para tener un impacto mínimo tanto en el sistema como en la red,
consumiendo normalmente menos de un 2% de los recursos de la CPU y se
pueden instalar en todo tipo de host, como ordenadores portátiles, de
escritorio, servidor, máquina virtual o local. Es una gran solución para
equipos que disponen de direcciones IP dinámicas.
Los requerimientos del equipo donde se va a instar este agente son los
siguientes:
a. El host debe ser alcanzable por Qualys Cloud Platform (cambiará
según la región en la que nos encontremos) sobre HTTPS por el puerto
443.
b. Para la instalación serán necesarios permisos de administrador o root
sobre la máquina.
c. El agente requiero de un mínimo de 512 MB de memoria RAM y 200
MB de espacio en disco.
Los sistemas operativos soportados se muestran en la siguiente figura:
36
Ilustración 15 Sistemas operativos soportados por el agente de Qualys
Según las últimas noticias aportadas por el soporte técnico de Qualys, la utilización
de “Virtual Scanner” como método de detección de equipos se está quedando
obsoleta y poco a poco se está migrando la plataforma para que solamente se
puedan utilizar Cloud Agent, puesto que la utilización de agentes proporciona una
mayor escalabilidad, recopilación constante de datos (no solo en el momento del
escaneo), categorización de equipos ubicados en distintas redes y gestión de
vulnerabilidades en tiempo real. Adicionalmente se recomienda no utilizar ambos
métodos de detección de equipos, ya que se pueden realizar duplicidades
innecesarias.
Una vez conocidas las formas que tiene Qualys para realizar la detección de equipos
y vulnerabilidades, cabe destacar la existencia de diferentes utilidades que esta
herramienta nos ofrece para automatizar procesos en equipos virtualizados
levantados desde Microsoft Azure o Amazon Web Services.
El servicio más destacado es el conector Azure o conector AWS, el cual, con unos
sencillos pasos, nos proporciona un mayor control del estado de los equipos.
Gracias a este conector, se permite controlar las funciones mas importantes como
la visualización de vulnerabilidades o el Auto-deployment de agentes desde el portal
de Azure, sin necesidad de acceder al panel de control de Qualys.
La creación de este conector habilitará una opción a la hora de crear una máquina
virtual en Azure o AWS que permitirá la instalación y actualización automática de
los agentes requeridos en cada equipo en el momento de su creación en base a
37
unas condiciones fácilmente configurables, por ejemplo, excluir ciertos sistemas
que no queremos que se instale como pueden ser servidores que ya notifican sus
vulnerabilidades a través de otro sistema de gestión de vulnerabilidades. Esto
ahorra mucha carga de trabajo a los administradores de sistemas y redes, sobre
todo en entornos grandes y con fácil escalabilidad.
A continuación, vamos a exponer como se debe crear un conector, tanto en
entornos virtualizados de Microsoft Azure, como para aquellos alojados en AWS y
Google Cloud Platform [26]:
x Microsoft Azure:
1. Crear una aplicación en el directorio activo y obtener el application
ID y el directory ID.
2. En el apartado App Registrations: Crear un nuevo registro y
completar los campos “Nombre” y “Tipos de cuenta adminitidos”.
3. Una vez creado el nuevo registro, añadir en Qualys Guard, en
CloudView Æ Configuration Æ Connectors el Application ID del
cliente y el Directory ID del tenant.
4. Dar permiso a la nueva aplicación para acceder a la API de gestión
de servicios de Azure y crear una clave secreta. Selecciona la
aplicación que has creado y ve a Permisos de la API Æ Añadir un
permiso. Marca Azure Service Management API en Microsoft APIs
para solicitar permisos de API. Selecciona el permiso de suplantación
de identidad del usuario y haz clic en Agregar permisos. Haz clic en
Agregar un permiso. Selecciona Microsoft Graph en las API de
Microsoft para solicitar permisos de la API. Seleccione Permisos de
aplicación y amplíe permisos de usuario seleccionando “Permiso de
usuario de lectura total” y haga clic en “Agregar permisos”. Los
usuarios y/o administradores tendrán que dar su consentimiento,
aunque ya lo hayan hecho anteriormente. Crear una clave secreta,
seleccione la aplicación que ha creado y vaya a Certificados y
Secretos Æ “Nuevo secreto del cliente”, añada una descripción y la
duración de la caducidad de la clave (recomendado: Nunca) y haga
clic en “Añadir”. El valor de la clave aparece en el campo “Valor”,
Copie el valor de la clave en este momento, ya que no estará
disponible más adelante. Pegue el valor de la clave como “Clave de
autenticación” en los detalles del conector.
5. Una vez otorgados estos permisos, será necesario conceder permisos
a la aplicación sobre la subscripción deseada. Desde el apartado
“Subscripciones” Æ “Control de acceso (IAM)” Æ Agregar asignación
de funciones “Lector”. De esta manera garantizamos que la
configuración solo se realizará sobre una o varias subscripciones
específicas y limitamos el acceso para que ningún agente o usuario
de Qualys modifique la infraestructura de Azure.
x Amazon Web Services: En el caso de AWS el proceso es más sencillo,

simplemente es necesario crear un rol para el acceso de cuentas cruzadas
de la siguiente manera:
1. Log in en la consola de AWS Æ Servicio IAM Æ Crear Rol
2. Durante la creación del rol seleccione la opción “Otra cuenta de AWS”
en el campo “Entidad de confianza” e introduzca el ID de la cuenta
de Qualys.
3. Habilitar “Requerir ID externo” y pegar el ID externo de los detalles
del conector y haga click en siguiente.
38
4. En “Permisos” asignar la política “SecurityAudit” y marcar las casilla
de verificación.
5. En el penúltimo paso, en revisión, introducir el nombre deseado para
identificar el rol creado, por ejemplo “QualysCloudViewRole”.
6. Por último copiar el valor del ARN del rol y pegarlo en los detalles del
conector.
x Google Cloud Platform:
1. Log in en Google Cloud Platform (GCP) Æ Seleccione la organización
deseada Æ Seleccione o cree un proyecto Æ En la barra lateral
izquierda acceda a API y Servicios Æ Biblioteca Æ Habilitar las
siguientes APIs:
Compute Engine API
Cloud Resource Manager API
Kubernetes Engine API
Cloud SQL Admin API
BigQuery API
Cloud Functions API
Cloud DNS API
Cloud Key Management Service (KMS) API
Cloud Logging API
Stackdriver Monitoring API
2. Llegados a este punto solo faltaría crear una cuenta de servicio y
descargar el archivo de configuración:
IAM y ADMIN Æ Service Accounts, haz click en “Create Service
Account”.
En Viewer and Security Reviewer asigna el rol de lectura a la
cuenta de servicio y haz click en “Continue” Æ Seleccione
“Create Key”, elige “JASON” como tipo de clave y crear.
Por último cargue la configuración descargada anteriormente
en formato JASON en GCP conector de Qualys Cloud
Platform.
Aunque este conector funcione para las tres plataformas mencionadas
anteriormente, se adjunta la siguiente figura, en la que, podemos ver de una forma
menos abstracta y mas gráfica el funcionamiento de este conector en un entorno
virtualizado con Microsoft Azure, el cual tratamos con más profundidad a lo largo
de este trabajo:
39
Ilustración 16 Interfaz de usuario gráfica Qualys - Microsoft Azure
Ahora que ya sabemos como debe configurarse esta herramienta para descubrir
todos los equipos y así permitir a los agentes que reporten las vulnerabilidades de
cada equipo vamos a ver cual es la forma correcta de visualizar todos los datos que
nos proporcionan dichos agentes.
El primer paso por realizar, según las recomendaciones que, desde el contacto de
soporte del fabricante nos han proporcionado vía email es el etiquetado de
máquinas mediante tags.
Estos tags nos servirán para identificar las máquinas de nuestra infraestructura
según su sistema operativo, dirección IP, fecha de última actividad del agente,
dirección MAC, tipo de dispositivo, etc. Este etiquetado se puede realizar de dos
formas:
1. Estática: Consiste en la creación de un tag en el que se incluirán
manual e individualmente las máquinas deseadas. Por ejemplo,
creamos un tag con nombre “Producción”, el cual va a contener a
todas las máquinas de nuestra infraestructura que se encuentran en
producción. Tras esto accedemos a cada máquina deseada y le
asociamos el tag creado con anterioridad. Esta opción es
recomendable en infraestructuras que no sufren apenas cambios de
máquinas o en las que se desconoce las características de las
mismas.
2. Dinámica: Este método asigna un tag a un conjunto de máquinas
identificado por un rango de direcciones IP, por número de
vulnerabilidades, por puertos abiertos o por contener ciertos
caracteres en el nombre. Por ejemplo podemos crear el tag
“Producción” y asociarle el etiquetado dinámico por red
10.48.0.0/24. De esta manera todas las máquinas que se
encuentran dentro de esta red serán etiquetadas automáticamente.
Cabe a destacar que si se levanta una nueva máquina en esta red y
se instala el agente de Qualys, el sistema le asignará esta etiqueta
inmediatamente. Claramente esta opción es mucho mas aconsejable
40
que el etiquetado estático ya que facilita el trabajo al operario y es
fácilmente escalable.
Una vez identificadas las máquinas mediante tags, para poder visualizar las
vulnerabilidades detectadas en un informe de una forma legible y adaptada para el
resto de los profesionales del sector de las TIC, se requiere configurar una plantilla
de informes en la cual se especificará:
x Los hosts deseados a incluir en el informe, identificados mediante tags.
x Los gráficos que incluir. Por ejemplo, las vulnerabilidades por estado o
criticidad, los puertos detectados, las vulnerabilidades por sistema
operativo, etc.
x Los filtros del reporte, como ejemplo, se pueden excluir los servicios que se
encuentran en la máquina pero que no están funcionando, como los kernels
obsoletos o incluso las vulnerabilidades zero day que no disponen aún de
solución oficial.
x El acceso a esta plantilla o a los informes generados con ella. Se puede
limitar su acceso tanto por tipo de rol, como por usuarios específicos.
Finalizando con las funcionalidades que nos ofrece Qualys, una de las mas
importantes, por no decir la más importante, es la creación de reportes. Para
obtener un informe simplemente debemos acceder a VMDR Æ Reports Æ New Scan
Reporte Æ Template Based y completar los campos: Título, Plantilla, Formato de
Reporte (CSV, XML, HTML, DOCX,PDF,MHT) y Tags.
Adicionalmente desde el apartado “Schedule” se puede programar la creación y
envió de un reporte hacia una lista de distribución con las direcciones de las
personas a las que se desea informar.
Este reporte no solo comunica las vulnerabilidades detectadas, también el impacto
que pueden provocar, la manera de explotarla y la solución, si es que la tiene, que
el fabricante o las base de datos de Qualys nos ofrece. En el caso de esta figura,
podemos observar en un gráfico el riesgo que suponen estas vulnerabilidades
según su criticidad y ubicación, así como comparar si se han aumentado o
disminuido las vulnerabilidades en relación con el anterior reporte ejecutado con
la misma plantilla.
Ilustración 17 Reporte Ejemplo
41
3 Resultados y conclusiones
Hoy en día, las empresas y fabricantes proyectan su futuro a la estandarización

de infraestructuras puramente en la nube, mucho más escalables, fáciles de
conectar y mucho más barato de administrar, tanto a nivel económico como en
gasto de recursos. Pese a este pensamiento, son muchas, las compañías que ya
disponían de una red propia ubicada en un datacenter, con herramientas y
soluciones enfocadas a mejorar la gestión y seguridad de sus dispositivos on
premise. Eliminar dicha red e implementarla en la nube, ocasionaría un
desperdicio de recursos, puesto que todos los equipos ya han sido comprados.
A este problema, se le suma el incremento anual exponencial de trabajadores que

operan desde casa, número que ha aumentado en gran medida este año de crisis
sanitaria y que necesitan disponer de una conexión VPN para que su trabajo no
se vea interrumpido. Esto supone la creación de nuevas redes, mayormente
virtualizadas en la nube, y con ello surgen las incompatibilidades detectadas a lo
largo de este trabajo entre entornos on premise y entornos cloud.
Esta situación hace más propensa la actitud de formar una infraestructura

híbrida, como es el caso de este proyecto, en la que algunas compañías o sedes
con trabajadores tienen la necesidad de mantenerse conectados con el
datacenter, mientras que otras compañías nuevas optan por levantar una red en
la nube que ofrezca la misma funcionalidad que una ubicada en el datacenter a
un menor coste. Esta situación crea la necesidad de revisar todos los protocolos
de ciberseguridad estipulados en el estándar ISO 27000, ya que las tecnologías
actuales deben adaptarse a esta nueva era. Es el caso de la tecnología SD-WAN
frente a la tradicional WAN.
Las nuevas tecnologías generán un nuevo nicho de mercado entre los fabricantes
y proveedores de este tipo de compañías, por ejemplo, Cisco apoyándose en la
tecnología SD-WAN lanza al mercado el modelo Cisco Meraki Concentrator,
dispositivo que también actúa como router, obligando en cierta manera a
disponer de un equipo adaptado al entorno cloud, aunque su finalidad sea
simplemente la función de un router convencional de un datacenter.
Pese a todos estos cambios, el mayor reto reside en generar una batería de
protocolos de seguridad aceptados por una organización certificada que asegure
la fiabilidad de los datos manejados por las organizaciones, así como
proporcionar una experiencia lo mas transparente posible al usuario final. De
esta manera se fomenta el teletrabajo, al recibir una buena experiencia y se evita
que los usuarios finales de una sede tengan que realizar ciertas configuraciones
de seguridad, lo que implica minimizar los fallos humanos y maximizar la
automatización.
De igual forma ocurre a la hora de monitorizar y auditar la infraestructura, las

herramientas actuales son muy propensas a errores en aquellos casos en los que
se encuentre una infraestructura híbrida. Y, aunque sus soluciones de
inteligencia artificial y aprendizaje automático trabajan a diario para detectar
posibles vulnerabilidades en el sistema, todos estos sistemas tendrán que ser
revisados, ya que, al cambiar las tecnologías enfocadas en la seguridad para
optimizar la computación en la nube, las premisas con las que trabajan estos
algoritmos ya no son ciertas.
42
4 Bibliografía
[1] HostDimeBlog Premier Global Datacenter, 19 de Mayo de 2019, ¿Qué es
Hyper-V?
https://www.hostdime.com.pe/blog/que-es-hyper-v-para-que-se-usa-beneficios/
[2] Documentación oficial de Forescout, Julio de 2020, Forescout Licensing and
Sizing Guide.
https://www.forescout.com/company/resources/forescout-licensing-and-sizing-
guide/
[3] HPE, actualizada diariamente, Almacenamiento HPE 3PAR STORESERV.
https://www.hpe.com/es/es/storage/3par.html
[4] ExtremeNetworks, actualizada diariamente, Wireless Controllers Technical
Specifications.
https://cloud.kapostcontent.net/pub/38236555-1e21-43a3-9c61-
af84c71a5844/wireless-controllers-ds-1.pdf
[5] Cisco, Octubre de 2020, Cisco Catalyst 9300 Series Switches.
https://www.cisco.com/c/en/us/products/switches/catalyst-9300-series-
switches/index.html
[6] Cisco, Febrero de 2020, Cisco 4000 Series Integrated Services Routers.
https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-
services-routers-isr/index.html
[7] Soluciones Cisco, 17 de Septiembre de 2017, SD-WAN
https://www.cisco.com/c/es_es/solutions/enterprise-networks/sd-wan/what-is-
sd-wan.html
[8] Meraki Cisco, actualizado a diario, Concentrador MX250 y Concentrador
MX450
https://meraki.cisco.com/product/security-sd-wan/large-branch-campus-
concentrator/mx450/
[9] Soporte Cisco, 2 de Mayo de 2016, Multiprotocol-label-switching-mpls
https://www.cisco.com/c/es_mx/support/docs/multiprotocol-label-switching-
mpls/mpls/4649-mpls-faq-4649.html
[10] Fortinet, actualizado a diario, Fortigate 400E Series.
https://www.fortinet.com/content/dam/fortinet/assets/data-
sheets/FortiGate_400E.pdf
[11] Cursosasir, Enero de 2019, Seguridad perimetral.
https://cursosasir.files.wordpress.com/2015/06/resumen-tema-3.pdf
[12] INCIBE, 19 de Septiembre de 2019, Que es una DMZ y cómo te puede ayudar
a proteger tu empresa.
https://www.incibe.es/protege-tu-empresa/blog/dmz-y-te-puede-ayudar-
proteger-tu-empresa
[13] Fortinet, actualizado a diario, Dynamic Cloud Security for Microsoft Azure.
43
https://www.fortinet.com/products/public-cloud-security/azure#products
[14] Tautenet, Julio de 2017, Soluciones Zscaler.
http://tautenet.com.mx/zscaler.html#:~:text=Zscaler%20funciona%20como%20u
n%20proxy,datos%2C%20inspecci%C3%B3n%20SSL%2C%20protecci%C3%B3n
%20avanzada
[15] Docs Microsoft, actualizado diariamente, Tutoriales de aplicaciones Saas.
https://docs.microsoft.com/es-es/azure/active-directory/saas-apps/zscaler-
provisioning-tutorial
[16] Sercom Cloud & Support, Agosto de 2017, Solución Palo Alto.
https://www.sercom.net/soluciones/paloalto/#:~:text=Palo%20Alto%20es%20el
%20creador,al%20n%C3%BAmero%20de%20puerto%20utilizado.
[17] Palo Alto Networks Live community, 23 de Mayo de 2018, ¿Qué es
Expedition?
https://live.paloaltonetworks.com/t5/expedition-articles/what-is-expedition/ta-
p/215236#
[18] Palo Alto Networks, actualizado a diario, Gestión de la seguridad de la red.
https://www.paloaltonetworks.es/network-
security/panorama#:~:text=Panorama%20ofrece%20funciones%20de%20gesti%C
3%B3n,los%20cortafuegos%20en%20cualquier%20lugar.&text=Gesti%C3%B3n%
20de%20pol%C3%ADticas%20Implemente%20y%20gestione%20pol%C3%ADtica
s%20coherentes%20y%20reutilizables.
[19] Vertical-iberica, 19 de Febrero de 2020, Fortinet y como funciona.
https://vertical-iberica.com/que-es-fortinet-y-como-
funciona/#:~:text=FortiGate%20es%20la%20plataforma%20bandera,para%20dife
rentes%20tipos%20de%20organizaciones.&text=Estos%20dispositivos%20de%20
seguridad%20realizan,malware%20o%20correos%20no%20deseados.
[20] Noticias Cloud, 19 de Septiembre de 2018. Symantec presenta Cloud
Workload Protection Suite.
https://www.computing.es/cloud/noticias/1107640046301/symantec-presenta-
cloud-workload-protection-suite-aumentar-seguridad-nube.1.html
[21] Oficina de Seguridad del Internauta, 28 de Agosto de 2020, ¿Qué es una
vulnerabilidad Zero Day?
https://www.osi.es/es/actualidad/blog/2020/08/28/que-es-una-
vulnerabilidad-zero-day
[22] Portal de ayuda de Symantec, actualizada a diario, Installing or updating a
Cloud Workload Protection agent.
https://help.symantec.com/cs/SCWP/SCWP/v116077713_v111037498/Installi
ng-or-updating-a-Cloud-Workload-Protection-agent?locale=EN_US
[23] Documentación oficial Symantec, actualizada diariamente, Policies shipped
by Symantec.
https://help.symantec.com/cs/scwp/SCWP/v119734584_v111037498/Policies-
shipped-by-Symantec?locale=EN_US&set=CWP_COMPUTE
[24] Documentación oficial Symantec, actualizada diariamente, Supported
platforms, features, and software.
https://help.symantec.com/cs/scwp/SCWP/v115326298_v111037498/Supporte
d-platforms-features-and-software?locale=EN_US&set=CWP_COMPUTE
44
[25] Qualys Security Conference, Las Vegas, 20 de Noviembre de 2019. Solución
de Gestión de Vulnerabilidades.
https://www.qualys.com/company/newsroom/news-releases/es/qualys-lleva-
su-solucion-de-gestion-de-vulnerabilidades-al-siguiente-nivel/.
[26] Cloud Platform Portal, Manual de implementación de conectores,
https://qualysguard.qg2.apps.qualys.eu/cloudview/gcp
45
46
Este documento esta firmado por
Firmante CN=tfgm.fi.upm.es, OU=CCFI, O=Facultad de Informatica - UPM,
C=ES
Fecha/Hora Tue Jan 26 14:38:13 CET 2021
Emisor del EMAILADDRESS=camanager@fi.upm.es, CN=CA Facultad de
Certificado Informatica, O=Facultad de Informatica - UPM, C=ES
Numero de Serie 630
Metodo urn:adobe.com:Adobe.PPKLite:adbe.pkcs7.sha1 (Adobe
Signature)

TFG Omar Mokrani Gallego

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

TFG Omar Mokrani Gallego

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

TFG Omar Mokrani Gallego

Cargado por

Copyright:

Formatos disponibles

Universidad Politécnica

Grado en Ingeniería Informática

Trabajo Fin de Grado

Diseño y Manejo de Infraestructuras de

Autor: Omar Mokrani Gallego

Madrid, Enero de 2021

Trabajo Fin de Grado

Autor: Omar Mokrani Gallego

The most relevant aspects of cybersecurity will be discussed while building a

En cuanto a las medidas de control de tráfico utilizaremos un sistema de firewalls,

2.1 Infraestructura de Red

2.1.1 Dispositivos de la infraestructura

EL datacenter constará de dos Racks “HPE 3PAR StoreServ 8000 Storage”

Desde una visión más enfocada a la seguridad, la solución de alta disponibilidad

Ilustración 2 Internet y MPLS en Meraki

Al encontrarnos en un entorno híbrido, es decir, parte la infraestructura se

Ilustración 3 Arquitectura firewall en la nube

En la arquitectura DMZ, el tráfico entrante llega a través del balanceador de carga

En este proyecto se utilizará Tufin Orchestration Suite (TOS) para la centralización

Ilustración 4 Tufin Orchestation Suite

Ilustración 5 Flujos de trabajo de TOS SecureTrack

Zscaler se puede definir como una plataforma de seguridad de la información

Lo ideal en este tipo de infraestructuras, en las que se va a realizar navegación

En función de los requisitos definidos previamente, se ha realizado con el editor

Ilustración 7 Diagrama de Red diseñado con Visio

Ilustración 8 Conectividad física Switch Cisco Catalyst

Se puede definir “Always On” como una solución de alta disponibilidad y

Palo Alto es el creador y principal fabricante de la nueva generación de firewalls

Expedition es la cuarta evolución de Palo Alto Networks Migration Tool. El

A menudo, las implementaciones de seguridad en los firewalls saturan de trabajo

Fortinet es una empresa multinacional de Estados Unidos con sede en Sunnyvale,

2.7.1 Perfiles de seguridad

Los perfiles de seguridad se activarán en capas del cortafuegos. Esto incluye

Los filtros pueden ser seleccionados dependiendo de los requerimientos:

Ilustración 9 Acciones a realizar por el filtro

La configuración más común y efectiva es establecer los filtros por Severidad, en la

Security Profile Name Description

2.7.2 Reglas del cortafuegos

Symantec CWP es una herramienta de antivirus utilizada en entornos cloud e

x Escaneo automático y programado capaz de descubrir y proteger unidades

x Integración con flujos de trabajo DevOps, permitiendo una seguridad que

x Visibilidad automatizada y seguridad para cargas de trabajo entre los

x Soporte para contenedores Docker y herramientas de orquestación.

Equipos soportados por Symantec CWP[23] :

Ilustración 10 Funcionamiento Symantec CWP en entornos

Sistema Operativo Versiones Plataforma en la

Requerimientos del Sistema para el agente CWP[24]:

Sistema Procesador Ram Espacio en disco

Una vez conocido el funcionamiento de esta herramienta, cabe a destacar la

x Políticas para aplicaciones software:

Nombre de la Política Descripción

x Políticas para sistemas operativos:

Nombre de la Política Descripción

Nombre de la Política Descripción

Nombre de la Política Descripción

x Amazon Web Services: En el caso de AWS el proceso es más sencillo,

Ilustración 17 Reporte Ejemplo

Hoy en día, las empresas y fabricantes proyectan su futuro a la estandarización