Este documento describe la instalación y configuración de sistemas de seguridad como SmoothSec (IPS) y PfSense (firewall) para crear una arquitectura de seguridad con tres zonas (WAN, LAN, DMZ). Se detallan los pasos para instalar y configurar SmoothSec en modo INLINE usando Snort y reglas de Emerging Threats. También se explica la instalación de PfSense y su configuración de interfaces de red y reglas de firewall para controlar el tráfico entre zonas.

1. Universidad Tecnológica de Panamá
Facultad de Ingeniería de Sistemas Computacionales
Maestría en Seguridad Informática
Sistemas de Seguridad II
Proyecto Final de Sistemas de Seguridad II
Profesor:
Mgter.: Leandro Espinoza
Presentado por:
Montenegro, Jesus / Ced.:
Moreno, Jose / Ced.:
Munoz, Andrea / Ced.:
Rodriguez, Carlos / Ced.:
Lunes, 12 de octubre de 2015

2. Agradecimientos
Al profesor
A los compañeros
A nuestros superiores

3. Contenido
Capitulo 1 – Arquitectura de Seguridad
1.1 - Mapa de Estructura
1.2 - Zonas
1.3 - Hardware
1.4 - Software
Capitulo 2 – Instalación y configuración del IPS (SmoothSec)
2.1 - Instalación
2.2 - Configuración de Smoothsec
Capitulo 3 – Instalación y configuración del Firewall (Pfsense)
3.1 - Instalación del Pfsense
3.2 - Configuraciones del menú SYSTEM
3.3 - Configuraciones del menú INTERFACES
3.4 - Configuraciones del menú FIREWALL
3.5 - Configuraciones del menú SERVICES
3.6 - Configuraciones del menú STATUS
Capitulo 4 – Configuración de la zona LAN
4.1 - Switch
4.2 - Host
4.3 - Antivirus
4.4 - HIDS – Comodo Firewall
4.5 - MALWAREBYTES
4.6 - Anti-Exploit
4.7 - OpenVPN
4.8 - Administración de roles
Capitulo 5 – Configuración de la zona DMZ
5.1 - Instalación del Servidor web
5.2 - Preparación del servidor web
5.3 - Instalación de aplicaciones necesarias en el servidor DEBIAN
5.3.1 - Instalación de los paquetes de Apache 2
5.3.2 - Instalación de MySQL server
5.3.3 - Instalación de PHP
5.3.4 - Descomprimir los paquetes Joomla en el servidor
5.3.5 - Crear una base de datos de uso para nuestro sitio web
5.3.6 - Generación de llave pública
5.3.7 - Generación del certificados
5.3.8 - Generación de las huellas digitales del certificados
5.3.9 - Aplicación de la configuración SSL a Apache
5.3.10 - Configuración del archivo default-ssl.conf
5.3.11 - Ataque con Cain y Abel
5.3.12 - Instalación y configuración ModSecurity

4. 5.3.12.1 - Configuración del ModSecurity
5.3.13 - Instalación y configuración de ModEvasive
5.3.14 - Instalación y configuración de Modqos
5.3.14.1 - Configuración del mod qos
5.3.14.2 - Ataque con HTTP Attack
5.4 - Escenario Administración de correos
5.5 - Configuración de DNS Server
5.5.1 - Configuración de cache para el servidor DNS
5.6 - Configuración de Servidor DNS (Master)
5.6.1 - Creación de las zonas
5.6.2 - Creación de la Zona Forward
5.6.3 - Creación de la Zona Reverse
5.7 - Configuración de Permisos y usuario dueño del bind9
5.8 - Prueba de la configuración y archivos de zona
5.8.1 - Verificación de la Zona Forward
5.8.2 - Verificación de la Zona Reverse
5.9 - Prueba DNS Server Master
5.9.1 - Configuración de Servidor DNS Server Slave
5.9.2 - Probamos el DNS Server
5.10 - Instalación de Zimbra Collaboration Suite Ubuntu
5.10.1 - Configuración Previa
5.10.2 - Instalación de Zimbra
5.11 - Instalación Antispam (Scrollout)
5.12 - Configuración Scrollout
5.13 - Honeypot
5.14 - Configuración de ataques
Conclusiones
Bibliografía

5. Capitulo 1
Arquitectura de Seguridad

6. Arquitectura de Seguridad
1.1 – Mapa de la arquitectura
Para este proyecto tenemos la siguiente arquitectura de seguridad, que se muestra a
continuación en la figura #1.1.
Figura #1.1 – Arquitectura de Seguridad

7. Esta es la arquitectura de Seguridad que envuelve el proyecto y que posee tanto el equipo
como lo estructura debidamente separada para el control de la comunicación entre los
diferentes dispositivos que componen la red.
1.2 – Zonas
En la seguridad de la información para mantener la información digital segura, los equipos
dependiendo de la importancia del contenido del mismo, se ubican en zonas específicas de
una red y subnet para que esta reciba un nivel considerable de seguridad.
La estructura básica de toda red de seguridad implica 3 zonas importantes:
WAN: esta es la zona de menor seguridad, ya que dentro de la organización pocos usuarios
tienen acceso directo a esta zona. Sin embargo, todos los clientes y atacantes se
encuentran en esta zona, por lo que el tráfico de esta zona esta estrictamente controlado por
dos dispositivos de vital importancia que vemos en el diagrama, que son el IPS y el Firewall.
LAN: es la zona denominada por excelencia para los usuarios internos de la organización.
Estas personas deben manejar una serie de políticas para el uso de aplicaciones y el acceso
a los servicios de la organización. Sin embargo, sabemos que existe la posibilidad de que
haya potenciales atacantes, dentro de la organización. En nuestro diagrama, el firewall es el
componente que nos va a ayudar a controlar los accesos que tienen los usuarios a los
servicios de la organización. También el antivirus, los privilegios de los usuarios sobre el
Host y los antispywares son elementos que nos van a ayudar a controlar potenciales
atacantes.
DMZ: es la zona crítica de tráfico, ya que en ella se encuentra los servicios de la
organización. En este proyecto tenemos un servicio de correos y el acceso a una página
web, los cuales debemos proteger. Para ello, contamos con herramientas además del
Firewall para proteger nuestros servicios como lo son el antispam de ScrollOut F1 y el WAF
que protege nuestro servicio web. Estos elementos los podremos detallar en los capítulos a
continuación.
1.3 - Hardware
Los equipos utilizados en nuestro proyecto son elementos al alcance de una persona con
salario de profesional. Claro, que es mejor si esta persona tiene un grupo de igual interés y
que todos puedan juntar componentes comunes para hacer un sistema de seguridad.
Cuando pensamos en seguridad, viene a nuestra mente Firewall, IPS, IDS, Routers y
mantenimientos mensuales o anuales que suman una cantidad que puede desechar el
entusiasmo de la organización por la seguridad. De hecho, la seguridad es segunda
instancia en muchos casos.
No es necesario tener equipos costosos para tener un buen consumo de la seguridad, todo
depende de equipos sencillos, investigación de recursos OpenSource, dedicación e iniciativa
para que puedas lograr un gran resultado con pocos recursos. En nuestro proyecto,
contamos con pocos elementos que conforman una red completa y funcional. Estos equipos

8. los detallamos a continuación en el siguiente cuadro:
Zona Cantidad Equipo
WAN
+
Internet
2 Laptop de pruebas (1
opcional para Monitor de IPS)
1 Switch para WAN (ISP)
2 Cable RJ45 (LAN y DMZ
Switches)
3 Cable Cruzado para IPS
1 PC para IPS
1 Barebone para Firewall
1 Router TP-LINK
1 USB Interfaz Ethernet
2 Monitores (IPS y FIREWALL)
LAN
1 Switch para LAN
3 Cable RJ45
2 Laptop de Pruebas
DMZ
1 Switch para DMZ
3 Cable RJ45
2 Laptops para servidores
virtuales
Otros
3 Regletas
2 Extensión de Cable eléctrico
Figura #1.2 – Cuadro de Componentes de hardware utilizados para el proyecto
1.4 – Software
De igual manera cuando hablamos de software de seguridad, pensamos en costosos
software, antivirus, actualizaciones de IPS y Firewall y mensualidades o Anualidades por
mantenimiento costosas. Sin embargo, nuevamente existen alternativas OpenSource que
fue las que usamos en el proyecto para aplicar a nuestra red.
Podemos hablar un poco de algunos de los software OpenSource y algunas características
de ellos a continuación:
SmoothSec: es un sistema operativo Debian basado en Linux, que tiene embebido el IPS,
que conjunto con Snort, Sagan y los HIDS son una barrera protectora contra ataques
externos. Este software protegerá el Router y a través de su monitor podemos verificar el
tráfico y las amenazas que este detecta.

9. Pfsense: es un sistema operativo también, FreeBSD que esta basado en Unix, y que posee
una amplia gama de funcionalidades que puedes configurar. Se puedes descargar paquetes
que ayudan a la monitorización de múltiples elementos en el trafico entre las diferentes
interfases que este sistema puede manejar. Entre los mas destacados están el filtro de
contenido y el control de acceso entre las subnets que administra el firewall.
Zimbra: es un servicio de correos que estamos utilizando en el proyecto para administrar el
trafico de correo y usuarios entre las zonas LAN y DMZ.
Scrollout F1: es un sistema operativo Debian basado en Linux que tiene embebido un
antispam. Su utilidad radica en que contiene muchas funcionalidades para configurar los
correos que se pueden enviar o recibir.
Mod Security/Evasive/Quos (WAF): son módulos que se agregan y se descargan al
APACHE, para la protección del servicio web que se implementa en nuestro proyecto. Entre
sus utilidades esta el bloqueo de ataques Sqli, XSS, DdoS, Denegación de Servicios y
SlowLori.
Bind9: es un paquete que ofrece el crear el servidor DNS. Básicamente se utiliza para crear
las zonas Forward y Reverse que aplicamos al servicio de correos. Y en que creamos un
total de 3 dominios: seguridad.local, mail.seguridad.local y antispam.mail.seguridad.local.

10. Capitulo 2
Instalación y configuración del
IPS (SmoothSec)

11. Instalación y configuración del IPS (SmoothSec)
A continuación detallamos los pasos para el desarrollo del laboratorio:
2.1 Instalación
Los pasos de instalación son parecidos a los de la instalación del sistema operativo Debian.
A continuación se aprecia dicho procedimiento:
 Selección del Idioma
Figura # 1: Selección del Idioma Ingles para el Sistema SmoothSec
 Selección de la Región y el País

12. Figura # 2: Selección de la Locación
Figura # 3: Selección de la Región

13. Figura # 4: Selección del País
 Selección del mapa del teclado
Figura # 5: Elección del Idioma del Teclado
 Seleccionamos el tipo de partición que se desea. Para formatear el disco completo e
instalar la nueva imagen, elegimos la última opción como se muestra a continuación

14. Figura # 6: Selección del tipo de partición de disco que se desea
2.2 Configuración del Smoothsec
 Como primer paso, accedemos a la cuenta de superusuario. Para esto, hacemos login
con root y el password toor. Luego, ejecutamos el script que nos ayudará a
establecer las configuraciones iniciales smothsec.first.setup seleccionando el
deployment ips-standard
Figura # 7: Elección de la opción ips-standard para primeras configuraciones del SmoothSec
 A continuación procederemos a ejemplificar la configuración de Smoothsec en modo
INLINE. Este modo, nos permitirá hacer uso de una base de datos para llevar el
registro de las ocurrencias.

15. Figura # 8.1: Configuración del modo INLINE
Figura # 8.2: Configuración del modo INLINE
En este caso utilizaremos como password 123456 y nuestro username seguridad2.
 Luego de haber configurado nuestro usuario y contraseña, procederemos a ver la
configuración de afpacket.cfg. Dentro de este archivo, estableceremos los siguientes
lineamientos:

16. o IP de Consola de Mantenimiento
o Modo del Smoothsec (IPS o IDS)
o El motor del IPS (Snort o Suricata)
o Los tipos de reglas, en nuestro caso, usaremos Emerging Threats.
o Configuraciones de red:
 Interfaz 1
 Interfaz 2
 Gateway
 Home Network
 IP del Sensor
 IP de Mantenimiento
Figura # 9.1: Configuración de las Interfaces de Red
Como mostraremos en la siguiente imagen, se podrá apreciar todas las configuraciones
mencionadas en el punto anterior. Según nuestro entorno de laboratorio se hace uso de la
red 192.168.1.0/24 y con Gateway 192.168.1.1, además, nuestra interfaz de mantenimiento
eth2: 192.168.1.180

17. Figura # 9.2: Configuración de las Interfaces de Red
 Como siguiente paso, procederemos a instalar nuestra cuenta de Snorby, el cual es un
monitor de suceso que utiliza Smoothsec. Luego de la instalación, reiniciamos el
equipo.

18. Figura # 10: Instalación del Snorby
 Luego de haber instalado el Snorby en el Smoothsec, procedemos a ingresar en otra
máquina a la página www.snort.org para generar el oinkcode ingresando nuestro
usuario y contraseña.

19. Figura # 11.1: Generación del Oinkcode
Figura # 11.2: Regeneración del Oinkcode
 También ingresamos a la página https://portal.emergingthreats.net para generar el
código de la misma y ponerlo en nuestro smoothsec

20. Figura # 12: Generación del código de Emerging Threats
 Luego de haber terminado todas nuestras configuraciones, incluyendo los códigos
generados en la página de snort y emerging threats, procedemos a usar otra máquina
para verificar si tenemos acceso a internet.
Figura # 13: Prueba de Conexión a Internet
 Al verificar que tenemos acceso a internet, procedemos a navegar por internet, para
luego revisar en otra computadora entrando por https://10.10.10.80, monitorear los
eventos que violaban las reglas que se han configurado para la navegación en
internet.

21. Figura # 14: Ingreso a Consola de Monitoreo
Figura # 15: Consola de Monitoreo

22. Figura # 16: Consola de Monitoreo en Ejecución
NOTA: Al tener inconvenientes con la instalación del Smoothsec, se volvió
a reinstalar en una nueva máquina, cambiando así, las direcciones IP que
se estarían usando para el laboratorio. Además, se pudo lograr la
instalación completa del Smoothsec sin que produjera error, al no ingresar
el oinkcode ni dándole update al sistema.

23. CAPITULO 3
Instalación y configuración
del Firewall (PFsense)

24. Instalación y configuración del Firewall (PFsense)
El firewall es el elemento que nos ayuda a establecer las comunicación entre las diferentes
zonas de la red. En nuestro proyecto utilizamos el firewall lógico Pfsense, que esta
desarrollado en FreeBSD.
3.1 - Instalación del Pfsense
Esta es la forma en que ensamblamos los diferentes dispositivos para hacer una instalación
del Pfsense, y de la cual pudimos verificar la conectividad de los equipos que están en la
LAN, WAN y DMZ.
Figura # 3.1 – Esquema hardware para instalación de Pfsense
3.1.1 – Booteando el S.O. Pfsense desde el pendrive
Colocamos el Pfsense en un puerto USB del barebone y comenzamos a setear las
instalación. Esperamos que cargue el programa hasta que despliegue el siguiente menú de
opciones:

25. Figura # 3.2 – Menú de configuración del Pfsense
Se seleccionó la opción 99 la cual nos instala el sistema operativo Pfsense en el barebone,
para que luego de la instalación nos muestre el menú de la figura #2 nuevamente.
Ahora lo que sigue es configurar las interfaces, por lo que seleccionamos la opción #2 del
menú.
Figura # 3.3 – Configurando las Interfaces
Para nuestro Firewall lógico tenemos que configurar las interfaces para 3 áreas:
• WAN
• LAN
• DMZ
De momento solo configuramos la LAN y la WAN. Por lo que iniciamos con la opción #1
(EM0) para la WAN con la configuración mostrada en el cuadro siguiente:
Parámetro Configuración
DHCP para WAN IPv4 si
DHCP para WAN IPv6 no
Dirección IPv6 (sin asignar)
HTTP si

26. Figura #3.4 – Asignación de IP a la WAN
La configuración del cuadro anterior se refleja en la figura #04.
A continuación lo que sigue es la configuración de la LAN por lo que seleccionamos
nuevamente la opción #02 del menú de la figura #02 y escogemos la opción #02 (EM1) para
la asignación de IP a la interfase LAN. Esta configuración la podemos ver en el siguiente
cuadro.
Parámetro Configuración
Dirección IPv4 192.168.0.1
Subtnet bit count 24
LAN IPv4 gateway (sin asignar)
Dirección IPv6 (sin asignar)
DHCP para WAN Si
Rango inicial 192.168.0.2
Rango final 192.168.0.253
Figura # 3.5 – Asignando IP a la LAN

27. La configuración de la LAN la podemos ver en el cuadro de la figura #05.
3.1.2 - Configuración de Pfsense en el Navegador
Teniendo en cuenta que la puerta de enlace de la interfase LAN configurada es 192.168.0.1,
colocamos este IP en el navegador, para encontrarnos con la página de inicio de sesión del
Pfsense, como se muestra a continuación:
Figura # 3.6 – Login de Pfsense
Por defecto, el usuario de pfsense es admin y la contraseña es pfsense. Al ingresar somos
direccionados a la pantalla del menú Status-DashBoard, como se ve a continuación.
Figura # 3.7 – Ventana de inicio de Pfsense
Luego de esto, podemos ir navegando por los menús para ver las opciones que deseamos
configurar y aplicar. Empezamos con el menú system.

28. 3.2 – Configuraciones del menú SYSTEM
Figura #3.8 – Menú system-advanced-AdminAcces
En esta pantalla cambiamos el protocolo seleccionado por HTTPS y habilitamos el login
autocomplete, y a continuación guardamos.
Figura #3.9 – Menu System-General Setup
En la pantalla de la figura #3.9 nos fijamos en el nombre del firewall host y el dominio.
Otro elemento a verificar aquí es la zona horaria, nosotros seleccionamos América/Panamá.

29. 3.2.1 - Instalación de paquetes Squid, SquidGuard, Snort y Ntop
Dentro del menu system esta la opción packages que nos proporciona una lista de
paquetes que puede tener nuestro Firewall con muchas utilidades tanto de seguridad,
monitoreo, etc. El interés se centra en 3 paquetes por el momento: squid, squidGuard, Snort
y Ntop.
Figura #3.10 – Paquetes Squid, SquidGuard y Snort instalados
La pestaña Available packages tiene una gran lista de paquetes útiles. Los que se han
instalado los podemos verificar en la pestaña Installed packages (Figura #3.10).
Figura #3.11 – Administración de usuarios
Aunque no usamos esta opción en el laboratorio es importante resaltarla, ya que el pfsense
nos permite crear varios usuarios que podrían enfocarse en tarea específicas de monitoreo
del sistema. Esta opción se encuentra en el menú system – User manager (Figura #3.11).
3.3 - Configuraciones del menú Interfaces
El siguiente Menú nos permite configurar, agregar y eliminar interfaces según la cantidad de
puertos de red que disponga el equipo, en nuestro caso el barebone provee 5 puertos de red

30. del cual estaremos usando 3 (LAN, WAN y DMZ). A continuación mostramos algunas
imágenes de las opciones de cada interfase.
Figura #3.12 – Interfase WAN
Esta interfase tiene la misma configuración que dejamos al momento de instalar el pfsense
(ver Figura #3.4).
Figura #3.13 – Interfase LAN

31. Similar al caso de la Interfase WAN, esta tiene la misma configuración que dejamos al
momento de instalar el Pfsense (ver Figura #3.5).
Figura #3.14 – Interfase DMZ
A diferencia de las anteriores, esta si fue agregada y configurada en esta pagina web, que
es la información de la figura #3.14.
3.4 – Configuraciones del menú Firewall
De momento las reglas que tenemos creadas de Firewall están para la Interfase LAN, que es
lo que mostramos en la figura a continuación:
Figura #3.15 – Reglas de Protocolos para la LAN

32. 3.5 – Configuraciones del Menú SERVICES
Figura #3.16 – Habilitar SquidGuard desde ProxyFilter
Lo que queremos hacer ahora es habilitar y configurar el filtro del contenido, que se
encuentra en el menú services-proxy filter.
El primer paso, es habilitar los elementos que vemos marcados en las figuras a continuación,
que son:
• Habilitar SquidGuard
• Habilitar GUI log
• Habilitar la opción BlackList.
Guardamos y ahora nos movemos a las siguientes pestañas para terminar de configurar
unas opciones que nos permite iniciar este servicio.
Figura #3.17– Pestaña de filtro de contenido
En la pestaña de “Common ACL”, presionar la flecha verde que dice “Target Rules” para
desplegar la lista de categorías de paginas web que se pueden bloquear, que vemos en la
figura #3.18.

33. Figura #3.18 – Tipos de sitios bloqueables por el firewall
Para activar el squidGuard debemos bajar la base de datos de la lista negra. Esto lo
podemos ver en la pestaña BLACKLIST y colocamos la dirección web que vemos en la
imagen de la figura #3.19.
Figura #3.19 – Descarga del BlackList
Hecho esto regresamos a la pestaña “General Settings”, y presionamos el botón “Apply”, con
lo que se inicia el SquidGuard.

34. .
Figura #3.20
Lo próximo es la configuración de Proxy server donde configuraciones la subnet permitidas y
los puertos permitidos, como vemos en la figura #3.20.
Salimos de este menú, y vamos al menú Services/Snort y vamos a la pestaña “Global
Settings”, donde colocamos el oinkCode generado al registrarnos en la web de Snort.
Figura #3.21 – Aplicación de Snort al Firewall

35. Para terminar en esta pestaña, marcamos todas las casillas a excepción de ETPro.
La siguiente pestaña que vemos es “Snort Interfaces”, y nos fijamos que este habilitado para
todos (ver figura #3.22).
Figura #3.22 – Interfaces sincronizadas con Snort
En la pestaña “UPDATES” podemos actualizar los paquetes de Snort descargados (ver
Figura #3.23).
Figura #3.23 – Paquetes de Snort instalados que se pueden actualizar
Para finalizar, nos fijamos que todos los servicios estén corriendo para lo cual nos vamos al
menú Status/Services.

36. 3.6 - Configuraciones del menú STATUS
Figura #25 – Servicios del firewall en funcionamiento
Lo último que queda es revisar que los servicios estén corriendo. En el caso
del proyecto los que tenemos son los de filtro de contenido, el NTP y el NTOP
para la verificación del trafico.
Solución Problema Servicios Squid3 y SquidGuard 1.9.14
Problema: la última versión de pfsense 2.2-4 presenta dos errores (bugs) los cuales evitan el
inicio de los servicios de Proxy Server y Proxy Filter de los paquetes de Squid y SquidGuard
que se encargan del filtro de contenido. Exisen diversas soluciones planteadas las cuales
son:
Solución1: El cambio del idioma, a la vez de desmarcar opciones del proxy filter
(SquidGuard), para luego volver a iniciar los servicios aplicándolos en varias
ocasiones para que funcione. Nuestra prueba con dichos pasos no logró
convencernos y en muchos casos nunca iniciaba los filtros de contenido al reiniciar el
equipo.
Solución2: La reconstrucción y descarga nuevamente de la base de datos de filtro de
contenido, además de volver a aplicar los cambios cada vez que se iniciaba el
servidor. En está solución logramos habilitar los filtros en todas las pruebas que
efectuamos.
Solución del Problema: en vista que la segunda solución suena más lógica que el
workaround (método para solucionar un problema en un programa), decidimos indagar más
al respecto, y pudimos comprobar los pasos para solucionar el problema de una manera
adecuada.
Paso1: Descargar la base de datos de UrlBlacklist de su página

37. Paso2: Subida del archivo a la sección Diagnostics---->Comand Prompt:------>Upload, a la
ruta /tmp
Paso3: Creación de script que reconstruye la base de datos de filtros y reinicia los servicios
del proxy server y proxy filter en el inicio del sistema

38. Paso4: Añadimos los comandos que van en el script, primero se verifica si el archivo de
squidguard_configurator.inc se encuentra la base de datos en la ruta:
/var/SquidGuard/bigblacklist.tar.gz
Al Verificar que se encuntra procede a reconstruir la base de datos

39. Paso5: Ahora procedemos a mover los archivos del base de datos y del script de la
carpeta /tmp a sus respectivas rutas, dado que la carpeta /tmp como su nombre lo indica los
archivos solo se guardan de manera temporal lo que indica que al reiniciarse en la mayoría
de los sistemas se borran los archivos que se encuentran en dicha carpeta.
Desplazamos la base de datos a la siguiente ruta:
mv /tmp/bigblacklist.tar.gz /var/squidguard

40. Ahora vamos a mover el script a la carpeta correspondiente para que pueda iniciar cuando
inicia el sistema
mv /tmp/squidGuard_blacklist_update.sh /usr/local/etc/rc.d

41. Paso6: vamos a darle permisos de ejecución al script creado con el siguiente comando:
chmod +x squidGuard_blacklist_update.sh

42. Paso7: Verificamos que los servicios se están iniciando y deteniendo cuando hay un reinicio
del sistema, en la imagen siguiente podemos observar como el servicio esta siendo detenido
al reiniciar el sistema.

43. CAPITULO 4
Configuración de la zona
LAN

44. Configuración de la zona LAN
En este capítulo hablaremos acerca de las aplicaciones o softwares que se estarán usando
para la protección de los equipos que navegaran en la Internet, además, estaremos
mencionando las SubNet's que usaremos para efectos de nuestro proyecto.
4.1 SWITCH
Para nuestra implementación, usaremos tres (3) switches que ubicamos de la
siguiente manera:
En la cual, coomo
pudimos ver en el
diagrama, en la LAN se
encuentran los hosts
(equipos físicos a
utilizar para demostración), la DMZ, donde encontramos los servicios que se usarán
en el proyecto, como lo son: el WAF, el ScrollOut F1, Zimbra Server, DNS y Web
Server; y por último, en la WAN donde se tiene el acceso a Internet.
4.2 HOST
Contaremos con dos equipos que serán los host para todas las pruebas que
estaremos realizando en el proyecto final. A continuación, mostraremos las
especificaciones de cada uno de ellos:
4.3 ANTIVIRUS
Cada máquina que se esta usando como Host en nuestro proyecto esta protegido por
un antivirus, para así evitar recibir cualquier tipo de porgrama o archivo
malintencionado en los equipos. En el caso del Host 1(10.10.120.50), se protege

45. mediante el antivirus AVAST, mientras que el Host 2 (10.10.120.55), está protegido por
el antivirus COMODO.
4.4 HIDS – COMODO FIREWALL
Para el uso del HIDS en los equipos, procedimos a instalar el programa COMODO –
FIREWALL, donde como siguiente punto, explicaremos paso a paso la instalación del
mismo:
Paso 1
Descargamos el ejecutable desde la página web: www.comodo.com, luego,
ejecutamos el instalador y este extraerá los archivos que se necesitan para empezar
con la misma.
Figura # 1 - Extracción de los archivos para instalación de COMODO
Paso 2
Procedemos a seleccionar el idioma con el cual estaremos utilizando el software. En
nuestro caso, escogeremos el idioma Inglés.
Figura # 2 - Selección del Idioma del Software
Paso 3
Nos aparecerá una ventana, en la cual debemos colocar nuestro correo electrónico y
escoger si deseamos habilitar el “Cloud Based Behavior Analysis” y enviar a
COMODO la información que maneja nuestro software para ellos poder llevar una
estadística. En nuestro caso, no elegimos ninguna de las dos (2) opciones y le dimos
click a Next.

46. Figura # 3 – Ingreso del e-mail y seleccionar si se desea instalar las opciones que aparece
en la ventana
Paso 4
En la siguiente ventana, nos ofrece las opciones de instalar Chromodo, un browser de
COMODO que es muy parecido a Google Chrome, además de reemplazar e importar
todas las funciones que se tienen configuradas en Chrome a Chromodo. Al igual que
el paso anterior, no seleccionaremos ninguna opción para la instalación.

47. Figura # 4 – Escoger si se desea instalar el browser de COMODO e importar todas las
opciones que se tienen instaladas en el browser que ya se tiene instalado.
Paso 5
Por último, nos aparecerá una siguiente ventana donde tampoco seleccionaremos
ninguna de las dos (2) opciones que aparecen en ella, que son, si deseamos habilitar
la seguridad del Internet cambiando el DNS que ya tenemos configurado al DNS de
COMODO y si deseamos ayudar a COMODO configurando nuestra pagina de inicio y
busqueda con Yahoo!.

48. Figura # 5 – Opciones para usar el DNS de COMODO y configurar la pagina principal con
Yahoo!
Paso 6
Antes de hacer click en Aceptar e Instalar, nos vamos a la opción de Customize
Installation, que se encuentra en la parte inferior izquierda de la ventana y escogemos
solamente la instalación del Firewall y el GeekBudy. Hacemos click en Back y
procedemos a la instalación del software.

49. Figura # 6 – Opciones para instalar el Firewall y el GeekBudy
Figura # 7 – Instalación del Software

50. Figura # 8 – Software COMODO Firewall instalado
4.5 MALWAREBYTES
Otro de los softwares que se encuentran en las máquinas usadas como host, es
Malwarebytes, donde su instalación fue realizada de la siguiente manera:
Paso 1
Descargamos el ejecutable desde la página web: www.malwarebytes.org, luego,
ejecutamos el instalador y este nos mostrará la siguiente ventana donde nos indicará
la versión del software, en este caso la 2.1.6.1022, y la recomendación que nos da
para proceder con la instalación.
Figura # 1 – Inicio de Instalación con la versión del Software y las recomendaciones

51. Paso 2
Al hacer click en el botón Next, nos enviará al acuerdo de licenciamiento del software,
donde para poder continuar, escogemos la opción I accept the agreement (Yo acepto
el acuerdo) y luego damos click en Next.
Figura # 2 – Acuerdo de Licenciamiento
Paso 3
A continuación, nos aparece una ventana de información, donde nos da una breve
explicación de las labores que realiza el software. Luego de leerlo, hacemos click en
Next.
Figura # 3 – Información acerca del Malwarebytes

52. Paso 4
Seleccionamos la locación de destino donde queremos que sea instalado nuestro
software. En nuestro caso, dejamos la dirección que nos apareció por defecto.
Figura # 4 – Selección de la locación de destino de la instalación
Paso 5
Además de seleccionar la locación de destino de la instalación, procederemos a
escoger el nombre y ubicación del Folder del Menu de Inicio (Start Menu Folder). Para
efectos nuestro, dejaremos la configuración que ya viene por defecto.
Figura # 5 – Selección de la locación del Folder del Menú de Inicio y Nombre de la misma

53. Paso 6
Luego procedemos a elegir si deseamos instalar un icono en el escritorio y hacemos
click en Next.
Figura # 6 – Creación de Icono del Software en el Escritorio
Paso 7
Antes de empezar la instalación, nos enviará una ventana donde nos muestra toda la
información que estuvimos seleccionando en cada paso, para así confirmar que es la
correcta. Si no hay ningun cambio que hacer, entonces hacemos click en Install.
Figura # 7 – Configuración de información antes de la Instalación

54. Paso 8
Por último, nos manda la ventana de confirmación de la instalación del software y
también si deseamos instalar el trial de la versión premium. Nosotros solamente,
escogemos la opción de que empiece a correr el software y hacemos click en Finish.
Figura # 8 – Finalización de la instalación de Malwarebytes
4.6 ANTI-EXPLOIT
Por último, otro de los softwares instalados para protección de nuestros equipos fue el
Anti-Exploit, que detallaremos en los siguientes pasos a seguir:
Paso 1
Descargamos el ejecutable desde la página web que utilizamos para descargar el
software malwarebytes, luego, ejecutamos el instalador y este nos mostrará la
siguiente ventana donde nos indicará la versión del anti-exploit, 1.07.1.1015, y
recomendaciones que nos da para proceder con la instalación.

55. Figura # 1 – Inicio de Instalación con la versión del Software y las recomendaciones
Paso 2
Al hacer click en el botón Next, nos enviará al acuerdo de licenciamiento del software,
donde para poder continuar, escogemos la opción I accept the agreement (Yo acepto
el acuerdo) y luego damos click en Next.
Figura # 2 – Acuerdo de Licenciamiento

56. Paso 3
A continuación, nos aparece una ventana de información, donde nos da una breve
explicación de las labores que realiza el anti-exploit. Luego de leerlo, hacemos click en
Next.
Figura # 3 – Información acerca del Antiexploit
Paso 4
Seleccionamos la locación de destino donde queremos que sea instalado nuestro
software. En nuestro caso, dejamos la dirección que nos apareció por defecto.
Figura # 4 – Selección de la locación de destino de la instalación

57. Paso 5
Además de seleccionar la locación de destino de la instalación, procederemos a
escoger el nombre y ubicación del Folder del Menu de Inicio (Start Menu Folder). Para
efectos nuestro, dejaremos la configuración que ya viene por defecto.
Figura # 5 – Selección de la locación del Folder del Menú de Inicio y Nombre de la misma
Paso 6
Luego procedemos a escoger si deseamos instalar una prueba de 30 días para utilizar
la versión premium del software, pero para efectos de nuestras pruebas no la
necesitamos, por ende deseleccionamos esta opción y hacemos click en Next.
Figura # 6 – Elección de Prueba de 30 días para la versión Premium

58. Paso 7
Antes de empezar la instalación, nos enviará una ventana donde nos muestra toda la
información que estuvimos seleccionando en cada paso, para así confirmar que es la
correcta. Si no hay ningún cambio que hacer, entonces hacemos click en Install.
Figura # 7 – Configuración de información antes de la Instalación
Paso 8
Por último, nos manda la ventana de confirmación de la instalación del software.
Figura # 8 – Finalización de la instalación de Anti-Exploit

59. 4.7 OPENVPN
4.8 ADMINISTRACIÓN DE ROLES
Una de las mayores seguridades que se debe tener en cuenta en cada máquina
personal o de una empresa, es tener una cuenta de administrador para evitar que
cualquier usuario que llegue a usar la PC instale algún software malintencionado, ya
que hoy en día todo proceso que se va a ejecutar, si contamos con una cuenta de
administrador, le pedirá al usuario que en el momento este en frente de la máquina,
las credenciales del administrador, sino, este no podrá instalar ni modificar nada de lo
que haya en ella.
Existen programas que son usados especialmente para este tipo de tareas, pero para
un usuario que desee tener algo similar a uno de estos softwares, puede hacerlo
teniendo dos cuentas en sus computadoras personales. A continuación, detallaremos
de que manera se puede hacer esto.
Paso 1
Nos vamos al botón de inicio o start de nuestro sistema operativo, en este caso,
estamos creando el usuario Administrador en una plataforma Windows versión 7.
Luego, ponemos nuestro cursor encima de la imagen que aparezca en el menu de
inicio y hacemos click en ella.
Figura # 1 – Ir a Inicio y seleccionar la imagen que aparece en el menú.
Paso 2
Nos aparecerá una ventana como la vemos en la figura # 2 y escogemos la opción
Manage another account (Manejar otra cuenta).

60. Figura # 2 – Seleccionar opción Manage Another Account
Paso 3
En la siguiente ventana que nos aparecerá, pondremos el nombre del usuario que
deseemos, en nuestro caso elegimos el nombre SECURITY, y en la opciones que se
reflejan debajo del nombre, seleccionamos Administrator, para que la cuenta que
vamos a proceder a crear sea de Administrador.
Figura # 3 – Nombre de la Cuenta y elección del tipo de usuario a crear
Paso 4
Por último, nos pide escribir una contraseña y una pista que nos ayude a recordar la

61. misma por si en algún momento se nos llegase a olvidar.
Figura # 4 – Creación de contraseña para la cuenta de usuario
Cabe resaltar, que la creación de una contraseña no es obligatoria, pero
recomendamos usarla, ya que si se deja sin ella, es innecesaria la creación de un
usuario de Administrador debido a que entonces se podrá hacer cualquier modificación
o configuración y exponer nuestras máquinas a ser infectadas por programas
maliciosos.

62. Capitulo 5
Configuración de la zona
DMZ

63. Configuración de la zona DMZ
5.1 – Instalación del Servidor Web
Se coloca en el virtual box la siguiente configuración para entonces comenzar con la
instalación de los componentes de DEBIAN 8.
Nombre de la máquina DEBIANHTTPS
Memoria Asignada 1024 MB
Tamaño 8 GB
Consumo de procesador 75%
Red (adaptador 1) Adaptador Puente (wlan0)
Figura # 01 – Configuración para instalar DEBIAN 8
Durante la instalación de DEBIAN 8 los datos de la máquina son los siguientes:

64. Hostname debian
Domain name (en blanco)
Root password *********
User Name Carlos Manuel Rodriguez
Account user name carlos
Account user password ****************
Uso de Partición Usar todo el volumen lógico
Software Selection  Web Server
 SSH Server
 Standar System Utilities
Figura #02 – Selección de Software a instalar
Para el laboratorio solo era necesario el Servidor SSH para ejecutar comandos desde la
terminal de nuestra máquina física o putty si fuese el caso de Windows.
También el servidor web que es lo necesario para el alojamiento de nuestra página y para la
prueba con Caín y Abel.
A continuación se procede a la máquina virtual DEBIAN para ingresar y realizar algunas
configuraciones iniciales.
5.2 – Preparación del servidor web DEBIAN

65. Lo primero es ingresar con el usuario que creamos en la instalación anterior. Seguido se
ingresa como superusuario.
Figura # 03 – Ingreso al servidor DEBIAN
Figura # 04 – Verificación del IP del servidor con el comando ifconfig
Ahora nos conectamos por medio de SSH al servidor desde una terminal de nuestra maquina
IP: 192.168.0.230

66. física con el comando ssh carlos@192.168.0.230 . Luego se ingresa como superusuario.
Figura # 05 – Conexión al servidor por SSH
Lo siguiente es actualizar DEBIAN, pero para prevenir errores durante la actualización hay
que editar un archivo de configuración en la ruta /etc/apt/sources.list. Las 2 primeras
lineas donde se ve la palabra mirror y las 2 siguientes donde se ve la palabra security.
Entramos introduciendo: vi /etc/apt/sources.list
Figura # 06 – Edición del archivo sources.list (Editor vi)
Luego de haber hecho esto, podemos proceder con la actualización. Para actualizar
escribimos el comando:
apt-get update
seguido del comando apt-get upgrade

67. Figura # 07 – Actualización de DEBIAN
Figura # 08 – Actualización de los componentes de DEBIAN
5.3 – Instalación de aplicaciones necesarias en el servidor DEBIAN
Ahora procedemos a la instalación de las aplicaciones que necesitamos para tener una
pagina web conectada a una base de datos.
5.3.1 – Instalación de los paquetes de Apache 2
Se instalan con la siguiente instrucción: apt-get install apache2
5.3.2 – Instalación de MySQL server
Para instalar MySQL desde el terminal por conexión ssh, debemos escribir la siguiente
instrucción, para que se descarguen e instalen los paquetes de MySQL:
apt-get install mysql-server
Figura # 09 – Instalación de paquetes MySQL.
5.3.3 – Instalación de PHP
Ahora se procede a instalar de los paquetes php a través de SSH, con la siguiente

68. instrucción:
apt-get install php5 php-pear libapache2-mod-php5
Y los módulos de PHP se instalan con la siguiente instrucción:
apt-get install php5-mysql php5-gd
Figura # 10 – Instalación de php
Con estos elementos instalados podemos verificar aprovechando que tenemos la terminal
abierta, la versión de OpenSSL del servidor, con la instrucción openSSL version.
Figura # 11 – Versión de openSSL instaladas en el servidor
Ahora necesitamos desconectar la terminal del servidor, colocando el comando exit para salir
de sesión superusuario y nuevamente exit para salir de la sesión del usuario
(desconectar).
Figura # 12 – Desconexión SSH del servidor

69. 5.3.4 – Descomprimir los paquetes Joomla en el servidor
Estos paquetes son necesarios para la pagina web que construimos, así que para que el
servidor le de uso, los pasaremos por sftp para luego descomprimirlos. A continuación
mostramos los pasos.
A – Abrir la conexión SFTP con el comando: sftp carlos@192.168.0.230
B – Pasar el archivo que esta en el escritorio de nuestra maquina física a la carpeta home del
servidor con el comando: put /home/crodriguez/Escritorio/Joomla_3.4.4-Stable-
Full_Package.zip /home/carlos.
Figura # 13 – Paso de paquetes Joomla por SFTP.
Salimos del SFT con el comando exit y procedemos a abrir nuevamente una conexión SSH
para escribir comandos al servidor con el comando ssh carlos@192.168.0.230.
Figura # 14 – Salir de SFTP y conectarse al server por SSH

70. Luego ingresamos como superusuario y copiamos el archivo transferido anteriormente a la
carpeta /var/www/html con el comando:
cp Joomla_3.4.4-Stable-Full_Package.zip /var/www/html
Figura # 15 – Copiando los paquetes Joomla
En esta carpeta el dominio de estos archivos lo tiene el usuario actual (root), y necesitamos
que el usuario de los paquetes web (www-data) se encargue de estos paquetes ahora, por lo
que escribimos el siguiente comando para que eso suceda:
chown www-data:www-data /var/www/html
Figura # 16 – Cambiar el dominio de la carpeta /var/www/html del usuario root a www-data
5.3.5 – Crear una base de datos de uso para nuestro sitio web
Para crear una base de datos por medio de comandos se sigue las siguientes instrucciones:
a-Ingresar a MySQL con: mysql -uroot -pcarrod1904mysql
b-Crear una base de datos con el comando: create database seguridad2;
c-Salir de MySQL con: exit.
d-Eliminamos el archivo index.html para descartar errores al generar la pagina web con:
rm -rf-index.html
Figura # 17 – Creación de una base de datos para la pagina web

71. 3.6 – Configuración de la página web
Ahora colocando la dirección IP del servidor en la barra de búsqueda accedemos a la
configuración Joomla de nuestra página, donde hay 4 pestañas que debemos llenar.
Figura # 18 – Configuración Joomla
Luego que llenamos todo, al final nos generara un pequeño codigo en un cuadro de texto que
debemos copiar:
Figura # 19 – En la parte baja de esta pagina debe estar el código a copiar.

72. Lo que sigue es, volver al terminal, reiniciar los servicios de apache y editar el archivo de
configuración pegando el texto generado de la configuración de página web anterior:
Reiniciar apache: service apache2 restart
Abrir archivo de configuración y pegar texto copiado: vi configuration.php
Eliminar archivo de instalación para descartar errores: rm -rf installation
Figura # 20 – Edición del archivo de configuración.
Figura # 21 – Edición y pegado de archivo de configuración.
Hecho los pasos descritos anteriormente podemos recargar la pagina web y tendrá el
aspecto que tenemos en la Figura # 22.

73. Figura # 22 – Joomla Configurado
5.3.6 – Generación de llave pública
Para la generación de la llave pública necesitamos estar en la terminal e ingresar con el
superusuario root. Y ahora escribimos lo siguiente en el terminal:
openssl genrsa -out 192.168.0.230.key 4096
Figura # 23 – Generación de la llave del certificado
5.3.7 – Generación del certificados
Luego de la generación de la llave ahora se necesita generar el certificado, lo cual podemos
hacer escribiendo el siguiente comando en la terminal:
openssl req -new -key 192.168.0.230.key -out 192.168.0.230.csr
Luego de escribir esta linea en la terminal, se requiere que llenemos ciertos parámetros
concernientes al certificado, como se muestra a continuación:

74. Parámetro Valor
Código de País (2 letras) PA
Provincia Panamá
Ciudad Panamá
Nombre de organización Maestría Seguridad
Unidad Organizacional CSO
Nombre de Servidor (IP) 192.168.0.230
Correo Electrónico crodriguez@seguridad2.com
Contraseña *************
Figura # 24 – Configuración del certificado
Es importante remarcar que varios de estos parámetros deben coincidir con los que
colocamos en la configuración de nuestra página web, para que la información sea
congruente y evitar la confusión con las configuraciones realizadas.
5.3.8 - Generación de las huellas digitales del certificados
Para aplicar la firma al certificado, se debe aplicar la siguiente linea en la terminal
openssl x509 -req -days 365 -in 192.168.0.230.csr -signkey

75. 192.168.0.230.key -out 192.168.0.230.crt
Figura # 25 – Firma del certificado
5.3.9 – Aplicación de la configuración SSL a Apache
Para ello debemos mover los archivos recién creados de la llave, el certificado y la firma.
Luego se activa el modulo SSL de Apache y se reinicia los servicios de Apache. Esto lo
logramos aplicando las siguientes lineas en la terminal.
mv 192.168.0.230.csr /etc/ssl/certs
mv 192.168.0.230.key /etc/ssl/certs
mv 192.168.0.230.crt /etc/ssl/private
a2enmod ssl
a2ensite default-ssl
service apache2 restart
Figura # 26 – Aplicación de configuración SSL a apache

76. 5.3.10 – Configuración del archivo default-ssl.conf
Recordando que las carpetas Linux de la distribución que estemos usando viene con
elementos 'default', aun falta mas cosas que configurar para que la página web funcione
correctamente con el certificado creado. Se abre el archivo con la siguiente instrucción:
vi /etc/apache2/sites-enabled/default-ssl.conf
Hay que configurar el archivo defaul-ssl.conf dividiendo el archivo en párrafos y líneas lo que
hay que editar es lo siguiente (campos azules):
- Párrafo 1, línea 2 – 5
<VirtualHost 192.168.0.230:443>
ServerAdmin crodriguez@seguridad2.com
ServerName 192.168.0.230:443
DocumentReboot /var/www/html
- Párrafo 6, líneas 6-7
SSLCertificateFile /etc/ssl/certs/192.168.0.230.crt
SSLCertificateKeyFile /etc/ssl/private/192.168.0.230.key
Figura # 27 – Modificación de archivo default-ssl.conf
Luego debemos recargar y reiniciar APACHE con:

77. service apache reload
service apache restart
Con esta configuración nuestra página web es capaz de responder por HTTP o HTTPS, si
embargo por default, seguirá respondiendo por HTTP.
A continuación haremos que la página web sólo responda por HTTPS modificando el archivo
htaccess.txt
Figura # 28 – Agregar certificado a nuestra página web
El archivo htaccess.txt se encuentra en la siguiente ruta:
vi /var/www/html/htaccess.txt
Si embargo lo que tenemos que hacer es copiar este archivo como contenido a un archivo
que nombraremos .htaccess.
El archivo htaccess.txt está dominado por el usuario www-data, sin embargo cuando
copiamos el archivo a .htaccess el nuevo usuario dominante del archivo es root.
Figura # 29 – Copia del archivo htaccess.txt y sus usuarios apoderados

78. Debemos editar el archivo .htaccess, pero antes editamos otro archivo con un cambio simple.
Ese archivo es el configuration.php, que obtuvimos luego de llenar los parámetros al llenar la
web con la configuración Joomla. Usamos el comando:
vi configuration.php
Se busca la linea que dice $live_site y llenar de la siguiente manera:
var $live_site = 'https://192.168.0.230';
Figura # 30 – Editando el archivo configuration.php
Seguido editamos el .htaccess con: vi .htaccess
Tenemos que editar las siguientes líneas para que la pagina responda con HTTPS.
RewriteEngine On
RewriteCond %{HTTPS} OFF
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Figura # 31 – Edición del archivo .htaccess

79. A continuación nos vamos a nuestra página web para hacer unas configuraciones dentro de
la administración de la página.
Para ello nos vamos al menú del sistemas y elegimos la opción “Configuración Global”
Figura # 32 – Edición de configuración de la pagina web
Figura # 33 – Principales configuraciones de la página

80. Ahora podemos recargar la página y verificar la carga por HTTPS y ver el certificado
generado.
Figura # 34 – Certificado de nuestra página
5.3.11 – Ataque con Cain y Abel
Similar al laboratorio anterior, vamos a preparar un ataque a nuestra web HTTPS con Cain y
Abel y continuación describimos las IP de los equipos que se sniffean como muestra la figura
a continuación:
Las IP 192.168.0.230 y 192.168.0.241 son ambos servidores de una pagina https
configuradas de manera similar por maquinas virtuales en diferentes maquinas físicas, los
cuales son los servidores de prueba para atacar con Caín y Abel.
La maquina virtual con Windows 7 que tiene Cain y Abel es la 192.168.0.105 y el resto
pertenece al router y maquinas físicas.
Figura # 35 – Máquinas virtuales preparadas para la prueba
A continuación elegimos las maquinas atacante (192.168.0.105) y el servidor atacado
(192.168.0.230)

81. Figura # 36 – Eligiendo máquinas para la prueba
Luego de elegidas las maquinas, se procede a presionar el botón de ARP Poisoning para
empezar el ataque. Es aquí donde estamos a la espera de que se consulte la página web.
Figura # 37 – ARP poisoning a la espera para atacar
Copiamos la dirección IP del servidor en la barra de búsqueda del navegador y se nos
despliega la siguiente pantalla:

82. Figura # 38 – Página web afectada por Cain y Abel
Luego de ver esta pantalla, procedemos a clickear donde dice “I Understand the Risk” (para
la prueba), y se nos despliega la pagina web aparentemente normal como se ve a
continuación:
Figura # 39 – Página web se recarga aparentemente bien
Sin embargo si nos fijamos en el certificado vemos lo que aparece en las imágenes a
continuación:
Figura # 40-A y 40-B – Cifrado cambio de RSA a AES y la Firma digital cambio
Por otro lado en el Cain y Abel atrapó la información cuando hicimos el click en “I Understand
the Risk”, como se muestra a continuación:

83. Figura # 41 – Caín y Abel Atrapan la modificación al certificado y la web
Ahora en el momento que se haga login a esta pagina web, esta información sera capturada
por Caín y Abel, como se ve a continuación:
Figura # 42 – En la Pestaña de contraseñas, se ha capturado el usuario y contraseñas

84. 5.3.12 Instalación y configuración ModSecurity
Instalamos las dependencias con el siguiente comando:
apt-get install libxml2 libxml2-dev libxml2-utils
apt-get install libaprutil1 libaprutil1-dev

85. Nos preguntará si deseamos continuar, le decimos que sí, osea presionamos la letra Y y
luego la tecla Enter.
Ahora que ya hemos instalado las dependencias necesarias, podemos iniciar la instalación
del Mod Security.
Instalación del mod_Security: Mod security cambio a la versión dos por eso utilizamos este
comando:
apt-get install libapache2-mod-security2 -y

86. 5.3.12.1 Configuración del ModSecurity
Vamos a copiar la configuración recomendada a su correspondiente archivo en la ubicación
cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf
Ahora procedemos a activar las reglas en el archivo de configuración usamos el siguiente

87. comando:
vi /etc/modsecurity/modsecurity.conf
Buscamos la línea:
SecRuleEngine DetectionOnly
Procedemos a reemplazar la línea anterior, por la siguiente línea:

88. SecRuleEngine On
Incrementamos la cantidad máxima de solicitud a 16MB
SecRequestBodyLimit 16384000
SecRequestBodyInMemoryLimit 16384000

89. Descargamos el Core Set Rule de OWASP
Vamos a descargarlo dentro de la carpeta temporal
cd /tmp
Descargamos las reglas
wget -O SpiderLabs-owasp-modsecurity-crs.tar.gz
https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master

90. Nota: Prestar atención en que el archivo se descargue satisfactoriamente, pues sino al
realizar el siguiente paso nos enviará un error y no podremos continuar.
Descomprimimos
tar -xzvf SpiderLabs-owasp-modsecurity-crs.tar.gz
Copiamos las reglas al directorio del modsecurity
cp -r SpiderLabs-owasp-modsecurity-crs-c63affc/* /etc/modsecurity/
Copiamos o renombramos las reglas por defecto:
cp /etc/modsecurity/modsecurity_crs_10_setup.conf.example
/etc/modsecurity/modsecurity_crs_10_setup.conf
Procedemos a crear los symlinks o enlaces directos de las reglas activas
 cd /etc/modsecurity/base_rules
 for f in * ; do sudo ln -s /etc/modsecurity/base_rules/$f
/etc/modsecurity/activated_rules/$f ; done
 cd /etc/modsecurity/optional_rules
 for f in * ; do sudo ln -s /etc/modsecurity/optional_rules/$f

91. /etc/modsecurity/activated_rules/$f ; done
Nota: Cada comando con viñeta lo ejecutamos por separado, y en ese mismo orden.
Vamos a cargar las reglas en el archivo de configuración del mod secuirty
nano /etc/apache2/mods-available/security2.conf
Añadimos la siguiente línea al archivo de configuración
Include /etc/modsecurity/activated_rules/*.conf
Recargamos los headers de los módulos y reiniciamos el apache
 a2enmod headers
 a2enmod security2
 service apache2 restart
Nota: Cada comando con viñeta lo ejecutamos por separado, y en ese mismo orden.
Verificamos los errores del modsecurity y procedemos a crear unas reglas personalizadas
cd /etc/modsecurity

92. Creamos carpetas donde va nuestras reglas personalizadas
mkdir custom_rules
Para mayores detalles sobre como personalizar nuestras reglas podemos consultar el
siguiente sitio web:
https://digi.ninja/blog/modsecurity_lab.php
Creamos la regla
custom_rules/modsecurity_crs_99_custom.conf
Podemos verificar las reglas activas en el siguiente archivo:
cat /var/log/apache2/modsec_audit.log
Por Ejemplo para desactivar las dos reglas que vemos en pantalla, escribimos el siguiente
comando.
SecRuleRemoveById 981401
SecRuleRemoveById 981407
Además es posible que también halla que desactivar estas reglas:
SecRuleRemoveById 900046
SecRuleRemoveById 981054

93. Creamos el enlace
ln -s /etc/modsecurity/custom_rules/modsecurity_crs_99_custom.conf
/etc/modsecurity/activated_rules/
Reinciamos apache
service apahce2 restart
5.3.13 Instalacion y configuración de ModEvasive
apt-get install libapache2-mod-evasive
Creamos la carpeta o directorio de logs
mkdir /var/log/mod_evasive
Cambiamos el dueño de la carpeta
chown www-data:www-data /var/log/mod_evasive/

94. Editamos el archivo de configuración
vi /etc/apache2/mods-available/evasive.conf
Habilitamos los siguientes parámetros:
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSLogDir /var/log/mod_evasive
DOSEmailNotify EMAIL@DOMAIN.com
DOSWhitelist 127.0.0.1

95. Recargamos el mod evasive
a2enmod evasive
Reiniciamos apache
service apache2 restart
5.3.14 Instalación y configuración de Modqos

96. apt-get -y install libapache2-mod-qos
5.3.14.1 Configuración del mod qos
Ponemos los siguientes parámetros
cd /etc/apache2/mods-available/
Abrimos el siguiente archivo:
nano qos.load

97. Luego agregamos la siguiente línea y guardamos el archivo.
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
Luego abrimos el archivo que aparece abajo y procedemos a modificarlo.
nano qos.conf
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie.
slowloris keeping connections open without requesting anything):
#QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests
too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
El archivo qos.conf debe quedar con los parámetros de la imagen de abajo.

98. Reiniciamos apache
service apache2 restart
Para ver más información sobre la configuración del Mod Qos, podemos consultar el
siguiente sitio:
https://www.howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-
debian-lenny
Si hemos seguido todos los pasos al pie de la letra, ya debemos tener nuestro servidor
apache protegido.
5.3.14.2 Ataque con HTTP Attack:

99. 5.4 Escenario
Para el laboratorio siguiente, necesitamos de 5 máquinas virtuales especificadas de la

100. siguiente manera:
DNS Primario (master)
Nombre de la máquina dns1
Memoria Asignada 512MB
Tamaño 8 GB
Consumo de procesador 75%
Red (adaptador 1) Adaptador Puente (wlan0)
Sistema Operativo Debian 8 64 bit
Hostname masterdns.seguridad.local
IP Address 192.168.0.9
User: root
Pass: Tablet2350
DNS Secundario (slave)
Nombre de la máquina dns2
Memoria Asignada 512MB
Tamaño 8 GB
Consumo de procesador 75%
Red (adaptador 1) Adaptador Puente (wlan0)
Sistema Operativo Debian 8 64 bit
Hostname secondarydns.seguridad.local
IP Address 192.168.0.10
User: root
Pass: Tablet2350
Cliente DNS
Nombre de la máquina Dns-client
Memoria Asignada 512MB
Tamaño 8 GB
Consumo de procesador 75%
Red (adaptador 1) Adaptador Puente (wlan0)
Sistema Operativo Debian 8 64 bit
IP Address 192.168.0.11

101. User: root
Pass: Tablet2350
Servidor de Correos
Nombre de la máquina mta-ubuntu-final
Memoria Asignada 2.5 GB
Tamaño 15 GB
Consumo de procesador 75%
Red (adaptador 1) Adaptador Puente (wlan0)
Sistema Operativo Ubuntu Server 14.04 LTS 64 bit
Hostname mail.seguridad.local
IP Address 192.168.0.12
User: jam620
Pass: A8GZDAY5
Antispam (Scrollout)
Nombre de la máquina SCROLLOUTF1
Memoria Asignada 3 GB
Tamaño 15 GB
Consumo de procesador 75%
Red (adaptador 1) Adaptador Puente (wlan0)
Sistema Operativo Debian 8 64 bit
Hostname antispam.mail.seguridad.local
IP Address 192.168.0.107
User-debian: carlos
Pass: 19carlos
Debian-root root
Pass: scrolloutcar12345
Web Console Scrollout User Admin
Pass Scrolloutcar12345
5.5. Configuración de DNS Server

102. 5.5.1 Configuración de Cache para el servidor DNS
En esta configuración BIND9 encontrará la respuesta a las consultas de nombre y recordar la
respuesta para la próxima consulta. Esto puede ser útil para una conexión a Internet lenta. Al
almacenar en caché las consultas DNS, se reducirá el ancho de banda y (más importante) la
latencia.
La configuración por defecto está configurado para actuar como un servidor de
almacenamiento en caché. Todo lo que se requiere es simplemente añadir las direcciones IP
de los servidores DNS de su ISP.
Instalar paquetes bind9 con el comando:
apt-get install bind9 bind9utils bind9-doc
FIGURA #1
Ahora Procedemos a configurar el siguiente archivo:
vi /etc/bind/named.conf.option
Luego descomentamos y añadimos la siguiente línea:
forwarders {
8.8.8.8;
};

103. FIGURA #2
Ahora reiniciamos el servidor dns bind9 con el siguiente comando:
/etc/init.d/bind9 restart
FIGURA #3
Por ultimo probamos el servidor cache dns con el siguiente comando:
dig -x 127.0.0.1
Debe darnos una salida similar a la que muestra la Figura #4

104. FIGURA #4
5.6. Configuración de Servidor DNS (Master)
Debemos tener previamente instalado el bind9 como vimos en el punto 5.5.1
Una vez tenemos instalado el bin9 procedemos a verificar que el archivo de configuración
incluya las siguientes línes:
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
Para usamos el editor vi en el siguiente archivo:
vi /etc/bind/named.conf

105. FIGURA #5
5.6.1 Creación de las Zonas
Procedemos a editar el archivo:
vi /etc/bind/named.conf.local
Añadimos los siguiente y nos debe quedar como muestra la figura #6
zone "seguridad.local" {
type master;
file "/etc/bind/forward.seguridad";
allow-transfer { 192.168.0.10; };
also-notify { 192.168.0.10; };
};
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/bind/reverse.seguridad";
allow-transfer { 192.168.0.10; };
also-notify { 192.168.0.10; };
};

106. FIGURA #6
5.6.2 Creación de Zona Forward
Vamos a crear las zonas que definimos en el paso anterior
Para ello debemos crear un archivo llamado forward.seguridad dentro de la ruta /etc/bind/
vi /etc/bind/forward.unixmen
Añadimos lo siguiente:

107. FIGURA #7
5.6.3 Creación de la Zona Reverse
Vamos a crear las zonas que definimos en el paso anterior
Para ello debemos crear un archivo llamado reverse.seguridad dentro de la ruta /etc/bind/
vi /etc/bind/reverse.seguridad
Añadimos lo siguiente:
FIGURA #8

108. 5.7 Configuración de Permisos y usuario dueño del bind9
Primero establecemos los permisos por dentro de la carpeta bind sean 755 y luego
cambiamos el usuario dueño de los archivos en este caso es el usuario bind
chmod -R 755 /etc/bind
chown -R bind:bind /etc/bind
FIGURA #9
FIGURA #10
Podemos observar la figura #9 el dueño de los archivos dentro de la carpeta /etc/bind es el
usuario bind y los permisos podemos ver en la figura #10 son los que cambiamos
5.8 Prueba de configuración DNS y archivos de zona
Con los siguientes comandos verificamos si existe un error de sintaxis nos debe dar un error
si qudan en blanco entonces no hay problema de sintaxis
named-checkconf /etc/bind/named.conf
named-checkconf /etc/bind/named.conf.local

109. FIGURA # 11
5.8.1Verificación de la Zona Forward
Usamos el siguiente comando:
named-checkzone seguridad.local /etc/bind/forward.seguridad
FIGURA # 12
5.8.2 Verificación de la Zona Reverse
named-checkzone seguridad.local /etc/bind/reverse.seguridad
FIGURA # 13
Procedemos a reniciar el servidor dns bind9:
/etc/init.d/bind9 restart
FIGURA # 14
Luego hay que cambiar el archivo /etc/resol.conf y añadimos el dns y nameserver, dde la
siguiente manera:
vi /etc/resol.conf

110. FIGURA #15
Para terminar la configuración del servidor DNS Master configuramos el archivo de red
/etc/network/interfaces de la siguiente manera:
vi /etc/network/interfaces
FIGURA # 16
5.9. Prueba DNS Server Master

111. FIGURA # 17
FIGURA # 18
Podemos observar en las figuras 17 y 18 que responde nuestro dns master
5.9.1 Configuración de Servidor DNS Server Slave
En el servidor Slave o secundario vamos a repertir los punto 5.5.1 de instalación del bind9,
5.6 de verificación de los archivos de configuración y 5.6.1 de creación de zonas
Procedemos a editar el arhivo /etc/bind/named.conf.local de la siguiente manera:
vi /etc/bind/named.conf.local

112. FIGURA #19
La diferencia en cuanto al archivo de confgiruación de zonas en este caso como muestra la
figura #19, nuestro archivos de zona son caches recibidos del DNS Master y el ip apunta al
ip del dns master
El archivo de zona en este caso son caches por ende van en la siguiente ruta
/var/cache/bind
Repetimos el punto 5.7
Ahora procedemos a añadir los dns en el archivo /etc/resolv.conf y en el archivo de red
/etc/network/interfaces
FIGURA # 20

113. FIGURA # 21
5.9.2 Probamos el DNS Server
Realizamos las pruebas del DNS Server con el siguiente comando:
nslookup seguridad.local

114. FIGURA #22
FIGURA # 23
5.10. Instalación Zimbra Collaboration Suite Ubuntu
5.10.1 Confiuración Previa
Primero Actualizamos el sistema con el siguiente comando:
apt-get update && sudo apt-get upgrade

115. Procedemos a instalar los repositorios y dependencias
apt-get install libgmp-dev libidn11 wget nano make netcat sudo sysstat libtool libltdl7-
dev build-essential libc6 perl ntp libperl-dev libidn11-dev sysstat sqlite3 wget libaio1
resolvconf unzip pax netcat-openbsd -y
Vamos a editar el archivo /etc/hosts y le añadiremos un nombre de hostname y un nombre al
servidor
vi /etc/hosts
FIGURA # 24
Procedemos a editar el archivo de red /etc/network/interfaces:
FIGURA # 25
Debemos editar el archivo /etc/hostname :
vi /etc/hostname

116. FIGURA # 26
Reiniciamos el hostname con el siguente comando:
service hostname restart
Verificamos que cambiará el hostname con los siguientes comandos:
hostname
FIGURA # 27
hostname -f

117. FIGURA # 28
Por ultimo añadimos nuestro servidor a la zona forward del punto 5.6.2 Creación de Zona
Forward
FIGURA #29
Probamos que respanda el servidor de correo en nustro dns local con el siguiente comando:
nslookup mail.seguridad.local
FIGURA # 30
5.10.2 Instalación del Zimbra
Nota:En esta sección vamos a poner unicamente las instrucciones de la instalación del
zimbra dado que la parte importante del laboratorio es la configuración del antispam
Scrollout F1
Descargamos el zimbra con el siguiente comando:
wget https://files.zimbra.com/downloads/8.6.0_GA/zcs

118. 8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz
Descomprimimos el zimbra
tar xvfz zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116.tgz
Nos movemos al directorio
cd zcs-8.6.0_GA_1153.UBUNTU14_64.20141215151116
Procedemos la instalación la instalación con el siguiente comando y Aceptamos los terminos
y presionamos enter
./install.sh
Operations logged to /tmp/install.log.7384
Checking for existing installation...
zimbra-ldap...NOT FOUND
zimbra-logger...NOT FOUND
zimbra-mta...NOT FOUND
zimbra-dnscache...NOT FOUND
zimbra-snmp...NOT FOUND
zimbra-store...NOT FOUND
zimbra-apache...NOT FOUND
zimbra-spell...NOT FOUND
zimbra-convertd...NOT FOUND
zimbra-memcached...NOT FOUND
zimbra-proxy...NOT FOUND
zimbra-archiving...NOT FOUND
zimbra-core...NOT FOUND
PLEASE READ THIS AGREEMENT CAREFULLY BEFORE USING THE SOFTWARE.
ZIMBRA, INC. ("ZIMBRA") WILL ONLY LICENSE THIS SOFTWARE TO YOU IF YOU
FIRST ACCEPT THE TERMS OF THIS AGREEMENT. BY DOWNLOADING OR INSTALLING
THE SOFTWARE, OR USING THE PRODUCT, YOU ARE CONSENTING TO BE BOUND BY

119. THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS
AGREEMENT, THEN DO NOT DOWNLOAD, INSTALL OR USE THE PRODUCT.
License Terms for the Zimbra Collaboration Suite:
http://www.zimbra.com/license/zimbra-public-eula-2-5.html
Do you agree with the terms of the software license agreement? [N] y ## Type Y and Enter
A continuación, seleccionamos los paquetes a instalar. Instalamos todos los paquetes.
Simplemente pulse Intro para instalar cada uno de los paquetes. Por último, introduzca 'Y'
para instalar los paquetes seleccionados.
Select the packages to install
Install zimbra-ldap [Y] ## Press Enter
Install zimbra-logger [Y] ## Press Enter
Install zimbra-mta [Y] ## Press Enter
Install zimbra-dnscache [Y] ## Press Enter
Install zimbra-snmp [Y] ## Press Enter
Install zimbra-store [Y] ## Press Enter
Install zimbra-apache [Y] ## Press Enter
Install zimbra-spell [Y] ## Press Enter
Install zimbra-memcached [Y] ## Press Enter

120. Install zimbra-proxy [Y] ## Press Enter
Checking required space for zimbra-core
Checking space for zimbra-store
Checking required packages for zimbra-store
zimbra-store package check complete.
Installing:
zimbra-core
zimbra-ldap
zimbra-logger
zimbra-mta
zimbra-dnscache
zimbra-snmp
zimbra-store
zimbra-apache
zimbra-spell
zimbra-memcached
zimbra-proxy
The system will be modified. Continue? [N] y ## Type Y and press Enter
Ahora, el instalador continúa de nuevo. Después de un par de segundos, verás el menú
principal Zimbra.
Main menu
1) Common Configuration:
2) zimbra-ldap: Enabled
3) zimbra-logger: Enabled
4) zimbra-mta: Enabled

121. 5) zimbra-dnscache: Enabled
6) zimbra-snmp: Enabled
7) zimbra-store: Enabled
+Create Admin User: yes
+Admin user to create: admin@mail.seguridad.local
******* +Admin Password UNSET
+Anti-virus quarantine user: quarantine@mail.seguridad.local
+Enable automated spam training: yes
+Spam training user: spam.collector@mail.seguridad.local
+Non-spam(Ham) training user: ham@mail.seguridad.local
+SMTP host:mail.seguridad.local
+Web server HTTP port: 8080
+Web server HTTPS port: 8443
+Web server mode: https
+IMAP server port: 7143
+IMAP server SSL port: 7993
+POP server port: 7110
+POP server SSL port: 7995
+Use spell check server: yes
+Spell server URL: http://mail.seguridad.local:7780/aspell.php
+Enable version update checks: TRUE
+Enable version update notifications: TRUE
+Version update notification email: admin@mail.seguridad.local
+Version update source email: admin@mail.seguridad.local
+Install mailstore (service webapp): yes
+Install UI (zimbra,zimbraAdmin webapps): yes
8) zimbra-spell: Enabled
9) zimbra-proxy: Enabled

122. 10) Default Class of Service Configuration:
s) Save config to file
x) Expand menu
q) Quit
Address unconfigured (**) items (? - help)
Ahora, configuramos los elementos no configurados. Los elementos no configurados se le
aparecen con un par de estrellas (****) en frente de ellos.
Como se puede ver en la salida anterior, el elemento 'password admin' no está configurado.
Este artículo no configurado se encuentra bajo módulo de zimbra-store, que es el número 7.
Para configurar la contraseña de administrador, escribimos el número 7.
Address unconfigured (**) items (? - help) 7
A continuación, vemos el siguiente submenú. Introducimos "4" para establecer la contraseña
del usuario admin.
Store configuration
1) Status: Enabled
2) Create Admin User: yes
3) Admin user to create: admin@mail.seguridad.local
** 4) Admin Password UNSET
5) Anti-virus quarantine user: quarantine@mail.seguridad.local
6) Enable automated spam training: yes

123. 7) Spam training user: spam.collector@mail.seguridad.local
8) Non-spam(Ham) training user: ham@mail.seguridad.local
9) SMTP host: mail.seguridad.local
10) Web server HTTP port: 8080
11) Web server HTTPS port: 8443
12) Web server mode: https
13) IMAP server port: 7143
14) IMAP server SSL port: 7993
15) POP server port: 7110
16) POP server SSL port: 7995
17) Use spell check server: yes
18) Spell server URL: http://mail.seguridad.local:7780/aspell.php
19) Enable version update checks: TRUE
20) Enable version update notifications: TRUE
21) Version update notification email: admin@mail.seguridad.local
22) Version update source email: admin@mail.seguridad.local
23) Install mailstore (service webapp): yes
24) Install UI (zimbra,zimbraAdmin webapps): yes
Select, or 'r' for previous menu [r] 4
Establecemoos una contraseña para el usuario admin. Introducimos la contraseña segura.
Pulse Intro para actualizar la contraseña.
Password for admin@mail.segutidad.local (min 6 characters): [OaInFVvE] *********
Ahora presionamos la tecla 'r' enter para regresar al menu anterior.
Select, or 'r' for previous menu [r] r
La configuración esta comleta presionamos la tecla 'a' para aplicar los cambios.

124. *** CONFIGURATION COMPLETE - press 'a' to apply
Select from menu, or press 'a' to apply config (? - help) a
Por ultimo escribimos 'yes' para completar la instalación.
Save configuration data to a file? [Yes]
Save config in file: [/opt/zimbra/config.17562]
Saving config in /opt/zimbra/config.17562...done.
The system will be modified - continue? [No] yes
Después de unos minutos, veremos el mensaje de instalación completa.
Accedemos al navegador web y escribimos: https://ip-address:7071 o https: //domain-
name:7071 en la barra de direcciones.
Introducimos el nombre de usuario como "admin" y la contraseña de administrador que
configuramos en los pasos anteriores.
En nuestro caso para acceder al panel de administración del zimbra escribimos el siguiente
la siguiente dirección: https://192.169.0.12:7071

125. FIGURA # 31
5.11. Instalación Antispam (ScrolloutF1)
Nota: La instalación del scrolloutf1 es en todo momento similar a la instalación de
debian 8 por ende usaremos capturas con otros ips durante este tutorial.
Principalmente usamos dos instalación de prueba una con el ip 192.168.0.13 y la otra
con el ip 192.168.0.107
Instalación del Scrollout F1 con su distribución por defecto debian 7 la versión de 64bits

126. FIGURA # 32

127. FIGURA # 33

128. FIGURA # 34

129. FIGURA # 34

130. FIGURA # 35

131. FIGURA # 36

132. FIGURA #37
Nota: se omitieron pasos durante el proceso de instalación dado que son los mismos
que cualquier instalación de debian, solo dejamos aquellos que son importantes como
la configuración de la red.
5.12 Configuración de Scrollout F1

133. Primero accedemos a nuestro servidor por medio del navegador de nuestra preferencia, en
este caso como mencionamos en puntos anteriores nuestro ip es el 192.168.0.13
FIGURA # 38
Al acceder al panel de adminsitración del Scrollout F1 nos pedirá las credenciales de acceso
por defecto son:
User:Admin
Pass:123456

134. FIGURA # 39
Un vez entremos al panel de administración debemos cambiar las credenciales de acceso en
la siguiente sección: Secure------->Password
FIGURA # 40

135. El siguiente paso es regresar a la sección principal de CONNECT y llenar los datos
correspondientes:
FIGURA # 41
Hostname: aquí va el nombre de nuestro servidor
Local IP: es el ip del antispam (nuestro ip)
Mask: mascara de la red
Gateway: gateway de la red
DNS Server: llenamos con la dirección del servidor dns
DNS suffixes Search: esta parte es importante dado que tiene que ser el dns de nuestro
scrollout para que pueda enviar correos (debemos crear registros mx en el servidor dns que
apunten al dominio interno).

136. Nota: Durante el laboratorio encontramos el problema que una vez damos apply a
alguna configuración del scrollout nos disparaba una alarma del postfix, esto se debe
a que al aplicar los cambios el mismo scrollout sobre escribe el archivo
/etc/resolv.conf del debian por lo que debemos comentar la linea que apunta al
nameserver local como muestra la figura # 42.
FIGURA # 42
Como en pasos anteriores en concreot el punto 3.2 vamos a crear en la zona de nuestro
servidor dns los registros mx para el antispam

137. FIGURA # 43
FIGURA # 44
En la figura # 44 podemos apreciar como fueron añadidos los registros mx para el scrollout
Probamos si de verdad están funcionando el servidor de smtp en el scrollout como muestra
la figura # 45 con el comando:

138. telnet 192.168.0.107 25
ehlo myhost
FIGURA # 45
Por último verificamos que al hacer la busqueda del dominio obtengamos respuesta por parte
del servidor dns con el siguiente comando:
nslookup antispam.mail.seguridad.local
FIGURA # 46
Configuración de los dominios a proteger por el antispam ROUTE

139. Organization: son los disclaimer o notas de ayuda, nombre de la organización, sitio web de
soporte y telefono al cual puede contactarse para solicitar apoyo.
Domain Name: dominio que protegerá el scrollout y su respectiva dirección ip
Quarantine: correo al cual llega las notificaciones de spam, la cantidad que permite enviar
antes de marcarlo como spam y las opciones de reporte
FIGURA # 46
Si accedemos ala Sección: SECURE--->LEVELS. Podemos ver la figura # 47 con las
opciones de seguridad para el antispam que van del 1 al 10 siendo los extremos menores los
mas optimos y los extremos superiores los menos seguros, se puede jugar con dichos puntos
dependiendo de la necesidad de la empresa y ajustarlos para evitar los falsos positivos

140. FIGURA # 47
Ahora veremos la configuración de los spam en la sección: COLLECTOR
Mailboxes: cuenta a la cual llegarán los correos spam
IMAP Server: ip del servidor que tiene la cuenta que estamos usando para capturar los spam
User name: nombre del usuario
Pass: contraseña del usuario
Legit Folder: GOOD
Spam Folder: SPAM
Nota: durante el laboratorio pudimos apreciar que era necesario crear las carpetas
dentro del zimbra para poder capturar los correos no deseados.

141. FIGURA # 48
Sección de Estadísticas: en está sección revisaremos las estadísticas capturadas por el
scrolloutf1 como podemos apreciar en la figura # 49
FIGURA # 49
Por ultimo podemos verificar que el antispam no refleja en las estadisticas los malwares
creados por su finalidad como spyware, sin embargo entre las herramientas instaldas en la

142. distribución de scrollout se encuentra el clamav cuya finalidad es escanear y notificar
archivos maliciosos, como vemos en la figura # 50 podemos apreciar que se detecta un
troyano enviado al correo que configuramos para la cuarentena.
FIGURA # 50

143. FIGURA # 51
Nota final: en el proyecto no pudimos comprobar el envío de paquetes capturados al
correo del spam collector, según investigaciones que realizamos era necesario contar
con un dominio propio y enviar un correo al creador de la herramienta scrollout para
poder añadir un registro mx dentro de nuestro servidor dns como indica la figura #50

144. Conclusión
Gracias a la ejecución de este proyecto, hemos logrado aprender a configurar e instalar
diferentes software que nos ayudarán en nuestro entorno laboral, para así, poder
implementar lo aprendido en el área IT, con la finalidad de proteger la información sensitiva
que maneje la empresa para la cual estemos prestando nuestros servicios. Además,
podemos mencionar, que no solamente adquirimos conocimientos para ejecutarlos en
nuestros trabajos, sino para crear conciencia de que debemos tener mejor protegidos
nuestras máquinas personales, como un simple ejemplo que podemos mencionar es , contar
siempre con una sesión de administrador para evitar software maliciosos que perjudiquen
nuestros equipos, además de tener instalado en cada máquina un antivirus, antimalware y
antiexploit para la protección de las mismas.
Por otro lado, otros temas aprendidos durante el transcurso de la materia, podemos
mencionar la configuración del Firewall PfSense y el IPS SmoothSec, donde tuvimos que
listar reglas para evitar que el usuario final al momento de querer navegar en Internet, no
entrará a páginas que estén prohibidas en el lugar donde se encuentre. En cuanto a el
firewall, las reglas son implementadas por medio de categorías que nos aparecerán en la
consola del software y el smoothsec se configura mediante un directorio donde debemos
descomentar las que nosotros queremos que el software aplique en su ejecución. Cabe
resaltar, que estos dos software se conectan con varias interfaces de red para poder ejecutar
de manera correcta cada uno de ellos.
Otro tema que pudimos aprender, es la implementación de un antispam para evitar que las
bandejas de entrada de las cuentas de correo electrónico se llenen de información que no es
útil o de documentos malintencionados.
Además, podemos complementar la información brindada en este documento, mencionando
que cada uno de los software que instalamos DEBIAN tener más de una máquina corriendo
para que su ejecución fuera la correcta, siendo así, tener que usar diferentes máquinas
virtuales para cada uno de los puntos ejecutados en nuestro proyecto. Por esto, tuvimos que
generar un diagrama, donde se crearon diferentes zonas para poder llegar a la conclusión de
cual era la mejor manera de llevar a cabo toda la implementación del proyecto.

145. Bibliografía
• The Perfect Server, Consultado el 12 de septiembre de 2015. Disponible en:
https://www.howtoforge.com/tutorial/perfect-server-debian-8-jessie-apache-bind-
dovecot-ispconfig-3/
• Como configurar un servidor LAMP (Linux, Apache, Mysql, PHP), Consultado el 12 de
septiembre de 2015. Disponible en: http://www.cyberciti.biz/faq/how-to-setup-a-lamp-
server-on-debian-linux-8-jessie/
• Como descompimir archivos en sistemas linux, Liliana Portillo, Consultado el 12 de
septiembre de 2015. Disponible en: http://www.cyberciti.biz/tips/how-can-i-zipping-and-
unzipping-files-under-linux.html
• Generación de un certificado openssl, Consultado el 12 de septiembre de 2015.
Disponible en: http://itigloo.com/security/generate-an-openssl-certificate-request-with-
sha-256-signature/
• Como crear un certificado ssl en apache, Consultado el 12 de septiembre de 2015.
Disponible en: https://www.digitalocean.com/community/tutorials/how-to-create-a-ssl-
certificate-on-apache-for-debian-8
• Como usar ssl en un sitio en joomla, Consultado el 12 de septiembre de 2015.
Disponible en: https://www.joomlart.com/tutorials/joomla-tutorials/how-to-use-ssl-in-a-
joomla-site
• Utilizando un Sniffer, Consultado el 14 de septiembe de 2015. Disponible en:
http://foro.elhacker.net/
• Vladimir Koychev , Build IPS Virtual ApplianceBased onVmware ESXi, Snort and
Debian Linux, Consultado 22 de septiembre de 2015.
• Wiki de Documentación Smoothsec, Consultado el 30 de septiembre de 2015.
Disponible en: https://github.com/smoothsec/docs/wiki
• Como configurar un ips/ids de alto rendimiento con snort y smoothsec, Consultado el
30 de septiembre de 2015. Disponible en: http://samiux.blogspot.co.uk/2013/09/howto-
high-performance-idsips-with_24.html
• SmoothSec sin lágrimas, Consultado el 30 de septiembre de 2015. Disponible en:
https://github.com/smoothsec/dev/tree/samiux
• Squid y SquidGuard Problem, Consultado el 11 de octubre de 2015. Disponible en:
https://forum.pfsense.org/index.php?topic=87323.15

146. • Zimbra Arreglando el bug de las cruces rojas, Consultado el 4 de octubre de 2015.
Disponible en: http://blog.phenobarbital.info/2013/05/zimbra-8-arreglando-el-bug-de-
auth-soapreceiver-en-centos-6-4/
• Configuración dns server debian 7, Consultado el 4 de octubre de 2015. Disponible en:
http://www.unixmen.com/setup-dns-server-debian-7-wheezy/
• Configuración de dns server en ubuntu server, Consultado el 4 de octubre de 2015.
Disponible en: http://www.unixmen.com/how-to-setup-dns-server-in-ubuntu/
• Instalación de zimbra server en ubuntu, Consultado el 4 de octubre de 2015.
Disponible en: http://www.unixmen.com/install-zimbra-collaboration-suite-in-ubuntu/
• The perfect server debian 8, Consultado el 9 de octubre de 2015. Disponible en:
https://www.howtoforge.com/tutorial/perfect-server-debian-8-jessie-apache-bind-
dovecot-ispconfig-3/3/
• Contruyendo un sistema de correo y colaboración seguro en zimbra, Consultado el 9
de octubre de 2015. Disponible en:
https://www.jorgedelacruz.es/2014/12/09/construyendo-un-sistema-de-correo-y-
colaboracion-seguro-zimbra-collaboration-y-scrollout-f1/
• Zimbra instalando zimbra 8.5.1 sobre ubuntu 14.04 LTS, Consultado el 9 de octubre de
2015. Disponible en: https://www.jorgedelacruz.es/2014/12/08/zimbra-instalando-
zimbra-8-5-1-sobre-ubuntu-14-04-lts/