FACULTAD DE INGENIERÍA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
“Metodología integral para evaluar el rendimiento de firewalls”
TESIS PARA OBTENER EL TÍTULO PROFESIONAL DE
INGENIERO DE SISTEMAS
AUTOR:
Rogelio Joseph Pacotaype Huaman
ASESOR:
Mg. Reneé Rivera Crisóstomo
LÍNEA DE INVESTIGACIÓN:
Auditoría de sistemas y seguridad de la información
LIMA – PERÚ
2018 Página del jurado
II
Dedicatoria
Esta tesis va dedicada a las personas que me apoyaron y motivaron a lo largo de mi vida, mis padres, esposa y en especial a mi hija Flavia Camila que es mi razón de ser y principal motivación.
III
Agradecimientos
Al Dr. Emigdio Antonio Alfaro Paredes por su motivación, paciencia y apoyo constante en el desarrollo del presente trabajo de investigación a través de sus asesorías.
IV
V
VI
Resumen La presente investigación se desarrolló con el objetivo de elaborar una metodología para la evaluación de rendimiento de firewalls y aplicarla para determinar que los firewalls de hardware tienen mayor rendimiento que los firewalls de software. Para lograr este objetivo, se desarrolló un estudio cuantitativo, pre-experimental, en el que la población estuvo conformada por cuatro (04) firewalls, dos (02) firewalls de hardware (Paloalto y Fortinet) y dos firewalls de software (Endian y Sophos) que fueron comparados. Para evaluar el rendimiento, los criterios de evaluación fueron desempeño en la red (throughput y latencia), eficacia de la seguridad (filtro URL y filtro antimalware) y consumo de recursos (CPU y memoria RAM), se hizo uso de aplicaciones especiales para tal finalidad.
Para analizar los datos obtenidos de las pruebas de evaluación del desempeño de los firewalls, se realizó la prueba de normalidad de Kolmogorov-Smirnov para muestras iguales o superiores a cincuenta datos y Shapiro-Wilk para muestras menores a cincuenta, se aplicó la prueba T como método de análisis estadístico para muestras con distribución normal y la prueba de Mann-Whitney para muestras con datos que no siguen una distribución normal. Finalmente, con la interpretación de dicho análisis, se pudo determinar que los firewalls de hardware (Paloalto y Fortinet) tienen mejor rendimiento que los firewalls de software (Endian y Sophos), bajo las condiciones indicadas en esta investigación.
Palabras clave: metodología, firewall, rendimiento, hardware, software.
VII
Abstract
The present investigation was developed with the objective of developing a methodology for evaluating the performance of firewalls and applying it to determine that hardware firewalls have a higher performance than software firewalls. To achieve this objective, a quantitative, pre-experimental study was developed, in which the population consisted of four (04) firewalls, two (02) hardware firewalls (Paloalto and Fortinet) and two software firewalls (Endian and Sophos) that were compared. To evaluate the performance, the evaluation criteria were performance in the network (throughput and latency), security effectiveness (URL filter and antimalware filter) and consumption of resources (CPU and RAM), special applications were used for such purpose
To analyze the data obtained from the tests, the Kolmogorov-Smirnov normality test was performed for samples equal to or greater than fifty data and Shapiro-Wilk for samples less than fifty, the Student's T test was applied as a statistical analysis method for samples with normal distribution and the Mann-Whitney test for samples with data that do not follow a normal distribution. Finally, with the interpretation of this analysis, it was determined that hardware Firewalls (Paloalto and Fortinet) have better performance than software Firewalls (Endian and Sophos), under the conditions indicated in this research.
Keywords: methodology, firewall, performance, hardware, software.
VIII
Índice general
Página del jurado……………………………………………………………………………………………………………..………II Dedicatoria………………………………...... III Agradecimientos……………………………………………………………………………………………………………………..IV Declaratoria de autenticidad…………………………………………………………………………………………………….V Presentación…………………………………………………………………………………………………………………………….VI Resumen…………………………………………………………………………………………………………………………………VII Abstract…………………………………………………………………………………………………………………………………VIII
I. INTRODUCCIÓN ...... 15 1.1 Realidad problemática...... 16 1.2 Trabajos previos ...... 18 1.2.1 Antecedentes nacionales ...... 18 1.2.2 Antecedentes internacionales ...... 19 1.3 Teorías relacionadas al tema ...... 25 1.3.1 Definición de términos ...... 25 1.3.2 Definición de roles ...... 27 1.3.3 Definición de políticas ...... 29 1.3.4 Rendimiento de Firewall ...... 31 1.3.5 Desempeño en la red ...... 34 1.3.6 Eficacia de la seguridad...... 42 1.3.7 Consumo de recursos ...... 51 1.3.8 Herramientas de medición ...... 58 1.4 Formulación del problema ...... 61 1.5 Justificación del estudio ...... 61 1.5.1 Justificación operativa ...... 61 1.5.2 Justificación tecnológica ...... 62 1.5.3 Justificación económica ...... 63 1.6 Hipótesis ...... 64 1.7 Objetivos ...... 66 II. MÉTODO ...... 67 2.1 Diseño de la investigación ...... 68 2.2 Variables, operacionalización ...... 68 2.2.1 Definición conceptual ...... 68 2.2.2 Definición operacional ...... 69
IX
2.2.3 Operacionalización de las variables ...... 69 2.2.4 Indicadores ...... 71 2.3 Población y muestra ...... 72 2.4 Técnicas e instrumentos de recolección de datos, validez y confiabilidad...... 73 2.4.1 Técnicas e instrumentos de recolección de datos...... 73 2.4.2 Validez ...... 73 2.4.3 Confiabilidad ...... 73 2.5 Métodos de análisis de datos...... 74 2.6 Aspectos éticos ...... 74 III. RESULTADOS ...... 75 3.1 Prueba de normalidad ...... 76 3.1.1 Prueba de normalidad para la dimensión desempeño en la red ...... 76 3.1.2 Prueba de normalidad para la dimensión consumo de recursos...... 79 3.2 Descriptivos ...... 80 3.2.1 Dimensión desempeño en la red ...... 80 3.2.2 Dimensión eficacia de la seguridad ...... 89 3.2.3 Dimensión consumo de recursos...... 90 3.3 Prueba de Hipótesis ...... 92 3.3.1 Dimensión desempeño en la red...... 92 3.3.2 Dimensión eficacia de la seguridad...... 96 3.3.3 Dimensión consumo de recursos...... 97 IV. DISCUSIÓN ...... 100 V. CONCLUSIONES ...... 104 VI. RECOMENDACIONES ...... 107 VII. REFERENCIAS ...... 109
X
Índice de tablas
Tabla 1: Matriz operacional de las variables ...... 70 Tabla 2: Indicadores ...... 71 Tabla 3: Resultados de prueba de normalidad para indicador throughput con paq. 64KB ...... 76 Tabla 4: Resultados de prueba de normalidad para indicador throughput con paq. 128KB ...... 77 Tabla 5: Resultados de prueba de normalidad para indicador throughput con paq. 256KB ...... 77 Tabla 6: Resultados de prueba de normalidad para indicador throughput con paq. 512KB ...... 77 Tabla 7: Resultados de prueba de normalidad para indicador throughput con paq. 1024KB ..... 78 Tabla 8: Resultados de prueba de normalidad para indicador throughput con paq. 1280KB ..... 78 Tabla 9: Resultados de prueba de normalidad para indicador throughput con paq. 1518KB ..... 78 Tabla 10: Resultados de prueba de normalidad del indicador latencia ...... 79 Tabla 11: Resultados de prueba de normalidad del indicador CPU...... 79 Tabla 12: Resultados de prueba de normalidad del indicador memoria RAM ...... 80 Tabla 13: Datos descriptivos del indicador throughput con paq. de 64KB ...... 81 Tabla 14: Datos descriptivos del indicador throughput con paq. de 128KB ...... 82 Tabla 15: Datos descriptivos del indicador throughput con paq. de 256KB ...... 83 Tabla 16: Datos descriptivos del indicador throughput con paq. de 512KB ...... 84 Tabla 17: Datos descriptivos del indicador throughput con paq. de 1024KB ...... 85 Tabla 18: Datos descriptivos del indicador throughput con paq. de 1280KB ...... 86 Tabla 19: Datos descriptivos del indicador throughput con paq. de 1518KB ...... 87 Tabla 20: Datos descriptivos del indicador latencia ...... 88 Tabla 21: Datos descriptivos del indicador filtro antimalware en tabulación cruzada ...... 89 Tabla 22: Datos descriptivos del indicador filtro URL en tabulación cruzada ...... 89 Tabla 23: Datos descriptivos del indicador memoria RAM ...... 90 Tabla 24: Datos descriptivos del indicador CPU ...... 91 Tabla 25: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 64KB ...... 92 Tabla 26: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 128KB .... 93 Tabla 27: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 256KB .... 93 Tabla 28: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 512KB .... 93 Tabla 29: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 1024KB .. 94 Tabla 30: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 1280KB .. 94 Tabla 31: Prueba U de Mann-Whitney para el indicador throughput tamaño de paq. 1518KB .. 94 Tabla 32: Prueba T para muestras independientes para el indicador latencia ...... 95
XI
Tabla 33: Prueba Chi cuadrado para el indicador filtro URL ...... 96 Tabla 34: Prueba Chi cuadrado para el indicador filtro antimalware ...... 97 Tabla 35: Prueba T para muestras independientes para el indicador CPU ...... 98 Tabla 36: Prueba T para muestras independientes para el indicador memoria RAM ...... 99 Tabla 37: Cuadro comparativo de metodologías de evaluación de Firewalls ...... 124 Tabla 38: Criterios de rendimientos y parámetros de medición ...... 128 Tabla 39: Políticas a implementar en el Firewall ...... 132 Tabla 40: Características de los Firewalls...... 133 Tabla 41: Tamaños de paquetes a enviar según RFC Nº 2544 ...... 139 Tabla 42: Ejemplo de tabla de tabulación de datos de Filtrado URL ...... 148 Tabla 43: Ejemplo de tabla de tabulación de datos de filtro antimalware ...... 150 Tabla 44: Tabulación de datos de dimensión desempeño en la red ...... 155 Tabla 45: Tabulación de datos de dimensión eficacia de la seguridad ...... 157 Tabla 46: Tabulación de datos de dimensión consumo de recursos ...... 158
XII
Índice de figuras
Figura 1. Fases de la metodología de evaluación de rendimiento de Firewall...... 126 Figura 2. Estructura de las fases de la metodología MERF...... 127 Figura 3. Escenario con Firewall de intermediario...... 134 Figura 4. Herramienta Ejecutar...... 136 Figura 5. Prueba de conectividad al servidor web...... 137 Figura 6. Icono de la herramienta Jperf...... 137 Figura 7. Panel de configuración de la herramienta Jperf modo server...... 138 Figura 8. Panel de configuración de la herramienta Jperf modo cliente...... 138 Figura 9. Panel application layer options de la herramienta Jperf...... 138 Figura 10. Panel transport layer options de la herramienta Jperf...... 139 Figura 11. Resultado de prueba de throughput con la herramienta Jperf...... 140 Figura 12. Prueba de conectividad al servidor...... 141 Figura 13. Icono Lan Speed Test...... 142 Figura 14. Plataforma Lan Speed Test...... 142 Figura 15. Lan Speed Test resultados...... 143 Figura 16. Visión general del filtrado URL...... 145 Figura 17. Prueba de conectividad a internet...... 146 Figura 18. Barra de direcciones del navegador web...... 146 Figura 19. Página web bloqueada por filtro URL...... 147 Figura 20. Página web de categoría adultos...... 147 Figura 21. Prueba de conectividad a internet...... 149 Figura 22. Barra de direcciones del navegador web...... 149 Figura 23. Página web bloqueada por archivo malicioso...... 149 Figura 24. Página web maliciosa...... 150 Figura 25. Icono del terminal (agente de ataque)...... 152 Figura 26. Ventana del terminal del agente de ataque...... 153 Figura 27. Ataque de denegación de servicios con herramienta hping...... 153 Figura 28. Panel de monitoreo del Firewall Sophos...... 154
XIII
Índice de anexos
Anexo 1: Matriz de consistencia...... 121 Anexo 2: MERF: Metodología para evaluar el rendimiento de Firewall - Estructura . 122 Anexo 3: Hoja de tabulacion de datos del indicador throughput ...... 160 Anexo 4: Hoja de tabulacion de datos del indicador latencia ...... 158 Anexo 5: Hoja de tabulacion de datos del indicador filtro URL ...... 170 Anexo 6: Hoja de tabulacion de datos del indicador filtro antimalware ...... 181 Anexo 7: Hoja de tabulacion de datos del indicador consumo CPU ...... 192 Anexo 8: Hoja de tabulacion de datos del indicador consumo RAM ...... 193 Anexo 9: Acta de aprobación de originalidad de tesis ...... 194 Anexo 10: Resultados de Turnitin ...... 195 Anexo 11: Acta de autorización de publicación de tesis...... 196 Anexo 12: Autorización de la version final del trabajo de investigación ...... 197
XIV
I. INTRODUCCIÓN
1.1 Realidad problemática
La tecnología de la información (TI) ha evolucionado considerablemente con el paso de los años, por lo tanto es necesario que los profesionales en seguridad de TI se desempeñen con eficiencia al mitigar o afrontar diferentes ataques informáticos apoyándose en las herramientas de seguridad de hardware y software disponibles (antivirus, firewalls, antimalware, antispam etc.). Al respecto Cortés (2016) refirió que en Latinoamérica el firewall es el segundo dispositivo de seguridad más usado después del antivirus. Por otro lado Zhao et al. (2014) dijeron: Con el rápido desarrollo de la tecnología de la información, especialmente la tecnología de redes informáticas y el aumento de los ataques a la red, la seguridad de la información atrae cada vez más la atención de las personas. Un firewall es una barrera de seguridad erigida entre la red protegida y la inseguridad de la red externa, que a menudo es blanco de ataques de piratas informáticos y, por lo tanto, juega un papel decisivo en la seguridad de toda la red. (p.2035)
Anteriormente la función de firewall era desempeñada por los diferentes dispositivos de red. Al respecto Ariganello (2013) refirió que la función que cumple el firewall en la actualidad, era cubierta por los enrutadores y que por la necesidad de liberar memoria RAM y CPU, es que las empresas comenzaron a desarrollar firewall autónomos o dedicados, aumentando características de hardware y software, cumpliendo funciones adicionales como antispam, antimalware, entre otras. En consecuencia aparecieron diferentes empresas que desarrollaron firewalls de hardware licenciados como Paloalto Networks, Fortinet, Checkpoint, Cisco, etc. Asimismo otras empresas y/o instituciones desarrollaron firewalls basados en software libre como Endian, Pfsense, Sophos, Untangle, etc.
Si bien es cierto, ante el aumento de amenazas en la red, el firewall se ha convertido en uno de los elementos principales de su seguridad. Al respecto Kim et al. (2013) dijeron “La efectividad de estos equipos depende de la correcta aplicación de políticas de seguridad, para ello deben contar con una consola de administración amigable para el usuario” (p.627).
Por otro lado Kabala y Laskowski (2015) refirieron que una alternativa a los productos comerciales y/o licenciados son las soluciones de firewall de software libre basados en el sistema operativo unix, que permiten libertad de diseño y escalado dinámico
16
de funciones con la finalidad de utilizar todo el potencial del equipo físico donde se implementó, para que estén a la altura de los requerimientos de atención al tráfico de red de la organización.
Por otro lado Bueno (2013) dijo que actualmente se encuentran firewall desde precios cómodos hasta elevados que no todas las empresas, instituciones u organizaciones pueden costear. Es por eso, que la implementación de un firewall de software libre es la mejor alternativa para una empresa con poco presupuesto, ya que no genera costos de licenciamiento y el costo de implementación es bajo. Al respecto Martínez et al. (2009) refirieron que la alternativa mencionada para la implementación de un firewall de software libre, permite a las pequeñas empresas conectarse a internet con amenazas casi nulas.
Por lo tanto implementar un firewall de software libre es menos costoso que implementar un firewall de hardware, la finalidad del presente trabajo es determinar que los firewalls de hardware tienen mayor rendimiento que los firewalls de software. Para ello se necesita evaluar el rendimiento de los firewalls. Al respecto Scarfone et al. (2009) recomendaron acerca de la importancia del uso de los estándares como guías para lograr evaluaciones más acertadas. De esta manera es que al no existir una metodología “integral” para analizar el rendimiento de los equipos firewalls, se propondrá “MERF” una metodología integral para evaluar el rendimiento de los firewalls alineada a los estándares internacionales (NIST SP 800-115, NIST SP 800-41, RFC 2544, RFC 3511, RFC 7528, SECURITY STANDARD–006, ITU-T Y.1564).
17
1.2 Trabajos previos
En esta sección se detallaran algunos estudios relacionados a propuestas metodológicas, implementación y evaluación del rendimiento de equipos firewall, servidores, tanto en el ámbito nacional como en el internacional, los cuales se muestran a continuación:
1.2.1 Antecedentes nacionales Torres, (2014), realizó la investigación: Metodología para la evaluación de rendimiento de servidores de correo electrónico – 2014, en la Escuela de Ingeniería de Sistemas de la Universidad Privada César Vallejo. La investigación tuvo como objetivo elaborar una metodología para la evaluación de rendimiento de servidores de correo electrónico y aplicarla para comparar el rendimiento de servidores de correo electrónico basados en software libre y software licenciado.
La muestra estuvo constituida por cuatro servidores de correo electrónico, dos servidores de correo electrónico de software libre (Sendmail y Postfix) y dos servidores de correo electrónico de licencia de pago (Exchange y Lotus). La metodología se estructuró en seis etapas (a) objetivos, (b) alcance, (c) comparación con metodologías existentes, (d) procedimientos de la metodología, (e) prueba de la metodología y (f) resultados. Asimismo se propusieron tres criterios de evaluación: capacidad antispam (i), filtro antivirus (ii) y consumo de recursos (iii).
Para evaluar el consumo de recursos (RAM y CPU) de los servidores utilizó la herramienta de software SMTP Utils que permitió enviar mil mensajes en tamaños (2KB, 20KB, 200KB y 2MB) respectivamente a cada servidor de correo electrónico. Luego realizó un monitoreo de consumo de recursos en los servidores en mención, obteniendo como resultados el porcentaje de consumo de CPU ante un gran volumen de mensajes para los servidores de correo Sendmail, Postfix, Exchange y Lotus que fue de 3.52%, 1.16%, 10.43% y 0.43% respectivamente. Por otra parte el porcentaje de consumo de RAM ante un gran volumen de mensajes para los servidores de correo Sendmail, Postfix, Exchange y Lotus fue 6.71%, 7.86%, 5.88% y 7.88% respectivamente.
Finalmente de acuerdo a los resultados obtenidos, llegó a la conclusión que la aplicación de una metodología para la evaluación de rendimiento de servidores de correo electrónico permitió efectuar la comparación de los resultados obtenidos en lo que concierne a consumo de recursos del servidor ante gran volumen de mensajes, de esta
18
manera se determinó que los servidores de correo electrónico basados en software libre (Sendmail y Postfix) tienen mayor rendimiento que los servidores de correo licenciados (Microsoft Exchange y Lotus), en lo que respecta a consumo de recursos del servidor ante gran volumen de mensajes, esto bajo las condiciones propuestas en el ambiente de pruebas de dicha investigación.
1.2.2 Antecedentes internacionales En Estados Unidos Xuan et al., en el año 2016 en el artículo académico “Performance Evaluation Model for Application Layer Firewalls” publicado en la revista Plos One. Desarrollaron una investigación cuyo objetivo fue presentar un modelo analítico del Firewall de la capa de aplicación, basado en un análisis del sistema para evaluar el rendimiento del firewall. Emplearon el modelo de cola de Erlangian para analizar los parámetros de rendimiento del sistema con respecto a las tres capas (red, transporte y capas de aplicación). Luego, los resultados del análisis de todas las capas se combinaron para obtener los indicadores generales de rendimiento del sistema y utilizaron un método de simulación de eventos discretos para evaluar el modelo propuesto. Seguidamente, se asignaron recursos limitados de la mesa de servicio para obtener los valores de los indicadores de desempeño en diferentes escenarios de asignación de recursos para determinar el esquema de asignación óptimo. Llegando a la conclusión que la asignación de recursos de CPU puede influir directamente en el rendimiento general de los sistemas de firewall de capa de aplicación. Además, una asignación razonable de recursos puede mejorar efectivamente el rendimiento del firewall de capa de aplicación. Por lo tanto, este modelo se puede utilizar como referencia para el diseño del firewall de capa de aplicación.
En Reino Unido, Fiessler et al., en el año 2016 en su artículo académico “HyPaFilter a Versatile Hybrid FPGA Packet Filter” presentado en la Universidad de Cambridge. Desarrollaron una investigación cuyo objetivo fue implementar HypaFilter un sistema de filtrado híbrido basado en circuitos personalizados en un FPGA como acelerador para firewall de filtro en una red Linux. Su objetivo era demostrar que su sistema era 30 veces mejor en comparación solo con el procesamiento de software. Para ello establecieron métricas de evaluación como tasas de paquetes, latencia y consumo de recursos. Finalmente llegaron a la conclusión que los paquetes de red entrantes se procesaron primero en hardware y se transfirieron al filtro de software solo en el caso
19
donde se requiere un procesamiento complejo. La estrategia se usó en la parte superior de netfilter y no requirió cambios del código fuente netfilter.
En México, Colmenares y Albores, en el año 2016 en su artículo académico “Filter for Web Pornographic Contents Based on Digital Image Processing” publicado en la revista International Journal of Combinatorial Optimization Problems and Informatics. Desarrollaron una investigación cuyo problema fue resolver la visualización de contenidos indeseables en internet, tanto por parte de niños como de jóvenes. La edad promedio a la que un niño ve pornografía por primera vez en internet es de 11 años. Parte de una solución, propusieron filtrar contenido pornográfico en internet basado en el procesamiento de imágenes digitales, que es una herramienta de software diseñada para usuarios de internet que buscan una navegación segura. Luego para detectar desnudos en imágenes digitales, implementaron el algoritmo RSOR (Regiones de Reconocimiento, Selección y Operaciones). Para ello el sistema determino el estado del sitio web de manera (1 = inseguro, 0 = seguro), luego realizaron pruebas del sistema visitando 68 sitios web de los cuales el 51.47% eran sitios seguros y el 48.53% eran sitios no seguros. Finalmente llegaron a la conclusión que obtuvieron un bajo nivel de falsos positivos en el análisis de las imágenes de las URL visitadas, obteniendo una tasa de error del 7.88%, lo que demostró ser una herramienta eficaz para filtrar la pornografía en internet.
En Colombia Vesga et al., en el año 2016 en el artículo académico “Evaluation of the Performance of a Network Lan over Powerline Communications for the transmission of voip” publicado en la revista Iteckne. Desarrollaron una investigación cuyo objetivo fue plantear un diseño experimental de tipo factorial mixto, con el fin de evaluar el rendimiento de una red PLC para la transmisión de voz sobre IP, en términos del throughput, latencia y jitter, en un entorno residencial y con el uso de adaptadores PLC soportados en el estándar HomePlug AV. Para el desarrollo del experimento implementaron la configuración de una red LAN operando sobre el cableado eléctrico y haciendo uso de adaptadores HomePlug AV marca TP-LINK, modelo TL-PA211 en cuyos extremos se conectaron los equipos de usuario final (PCs) con cables ethernet y los equipos utilizados se configuraron con direcciones de red tipo IP clase C. Luego en el esquema propuesto una de las PC, mediante el software D-ITG se configuró como servidor y los equipos restantes se configuraron como clientes. Los clientes tuvieron la función de generar tráfico tipo VoIP, bajo parámetros de configuración específicos acordes con el objetivo del experimento, luego en el servidor realizaron la captura y
20
análisis de los paquetes que circularon por la red HomePlug AV. El resultado del experimento no solo estableció el grado de influencia desde el punto de vista estadístico que puede presentar el tipo de códec utilizado o el número de estaciones activas, sino que permitió identificar cuáles son los códec más recomendados para transmitir voz sobre IP, mejorando el rendimiento de la red y garantizando adecuados niveles de QoS.
En Ecuador Cajas et al., en el año 2015 en el artículo académico “Denegación de servicios con hping3, herramientas virtuales, ataque y mitigación” publicado por el Departamento de ciencias de la computación de la Universidad de las Fuerzas Armadas. Desarrollaron una investigación cuyo objetivo fue la construcción de una red IP virtual, la cual permitiera generar ataques de denegación de servicios, identificar su impacto y evaluar un método de mitigación preventiva. Para esto, se diseñó un escenario experimental mediante la utilización del software Oracle VM Virtual Box, donde crearon una red virtual asistida de un firewall que permitía la comunicación entre un computador anfitrión de virtualización, el web services, las estaciones de trabajo y el internet. Luego desde la máquina virtual con Linux Ubuntu Server realizaron ataques de denegación de servicios que ocuparon el ancho de banda y permitieron la saturación de las capacidades de recursos del servidor web services. Los ataques consistían en un envío de 2000, 5000 y 10000 paquetes TCP con una velocidad superior a lo que una maquina estándar puede procesar. Los resultados que obtuvieron en ataques de 2000 paquetes TCP el uso del CPU disminuyo en un 37% y memoria virtual en un 24%, por otra parte en el envío de 5000 paquetes TCP el uso del CPU disminuyo en un 36% y memoria virtual en un 25% y para el envío de 10000 paquetes TCP el uso del CPU disminuyo en un 2% y memoria virtual en un 22% aprox. Llegando a la conclusión que la utilización de software para monitorear la red es quien detecto, y la aplicación de reglas en el Firewall mitigaron los ataques.
En Republica Checa Vondrous et al., en el año 2015 en el artículo académico “FlowPing - The New Tool for Throughput and Stress Testing” publicado en la revista Information and Communication Technologies and Services. Desarrollaron una investigación cuyo objetivo fue presentar una nueva herramienta para analizar el rendimiento de red y realizar pruebas de estrés. La herramienta Flowping de fácil uso y salida básica es muy similar a la aplicación estándar ping de Linux. La herramienta Flowping no se limitó a las pruebas de capacidad de alcance o de tiempo de ida y vuelta, sino que fue capaz de realizar pruebas complejas de rendimiento basadas en UDP. Esta herramienta implemento funciones que permitieron al usuario realizar pruebas con
21
tamaño variable de paquetes y tasa de tráfico. Esto permitió al usuario utilizar y desarrollar nuevas metodologías para el evaluar el rendimiento de la red y las pruebas de resistencia. Con la herramienta Flowping, se realizaron las pruebas fácilmente incrementando de a poco la cantidad de tráfico de red y monitoreando el comportamiento de red cuando ocurre una congestión.
En Polonia Bolanowski et al., en el año 2014 en el artículo académico “Stress test of network devices with maximum traffic load for second and third layer of ISO/OSI model” publicado en la revista PAK. Desarrollaron una investigación cuyo objetivo fue proponer un método de prueba que permita saturar todos los puertos del switch en función del tráfico enredado entre puertos o instancias de enrutamiento. Dicho enfoque, se basó en estándares abiertos, que permitieron la realización automática de las pruebas por parte del cliente final. Verificaron el funcionamiento funcional de la multidifusión con un dispositivo que atiende este protocolo mediante la CPU principal (sin hardware especializado), y funcionó correctamente. Cuando la CPU estaba cargada con tráfico de producción real, o un aumento en el número de sesiones de multidifusión, el dispositivo no funcionó correctamente con el tráfico de multidifusión porque no tiene un ASIC de hardware dedicado para admitirlo. Cuando se utilizó el método propuesto, fue posible identificar un problema de este tipo con el dispositivo antes de implementarlo en la red de producción. En otras palabras, se pudo preparar la prueba de POC (prueba de concepto) antes de la implementación y eliminar los dispositivos que no cumplieron con los requisitos.
En Alemania Brucker et al., en el año 2014 en el artículo académico “Formal Firewall conformance testing: An application of test and proof techniques” publicado en la revista Software testing verification & reliability. Desarrollaron una investigación cuyo objetivo fue presentar un modelo formal de cortafuegos sin estado y con estado (filtros de paquetes), incluido el NAT, al que se aplica un enfoque de generación de casos de prueba de conformidad basado en especificaciones. Además, presentaron una técnica de optimización verificada para este enfoque: a partir de un modelo formal para firewalls sin estado, una colección de reglas de transformación de políticas que preservan la semántica y un algoritmo que optimiza la especificación con respecto al número de casos de prueba requeridos para la cobertura de ruta de los modelos se derivan. Ampliaron un enfoque existente que integró la verificación y las pruebas, es decir, pruebas y pruebas para respaldar las pruebas de conformidad de las políticas de la red. El enfoque presentado fue
22
respaldado por un marco de prueba que permitió probar cortafuegos reales utilizando los casos de prueba generados sobre la base del modelo formal. Finalmente, presentaron un informe sobre varios estudios de caso más grandes.
En Estados Unidos Ruben Agus, en el año 2014 en la tesis “Performance Analysis of Software and Hardware based Firewalls against and DDoS Attacks” presentado en California State University. Desarrolló una investigación donde comparó el rendimiento de firewalls de hardware y software contra diferentes tipos de ataques de DDoS. El rendimiento fue medido en función del tiempo de acceso del usuario, la administración de recursos de firewall y la eficiencia de rendimiento teórico. Para ello cada firewall fue configurado para ser la única ruta ante cualquier tráfico de red, luego el ataque DDoS fue generado por varias computadoras que enviaron tráfico de red al servidor web. Los ataques consistían en generar tráfico de red durante 5 minutos antes de tomar cualquier lectura de porcentaje de consumo de recursos del firewall, luego del ataque inicial de 5 minutos se tomaron 20 lecturas continuas de las cuales se eliminaron las 5 más bajas y las 5 más altas por irregularidad en los datos. Luego promedió las lecturas sobrantes para obtener el valor del porcentaje de consumo de recursos del firewall. El resultado determinó que un firewall basado en hardware se defiende mejor contra los ataques DDoS de capa 3 y 4, mientras que el firewall basado en software defiende mejor la red contra los ataques DDoS de capa 7.
En la India Alagiya et al., en el año 2013 en el artículo académico “Performance Analysis and Enhancement of UTM Device in Local Area Network” publicado en la revista International Journalist Modern Education and Computer Science. Mencionaron que debido a que se han realizado pocos estudios empíricos para los ataques relacionados con el escaneo de puertos y los que sí existen pueden no reflejar el impacto de tales ataques en las funcionalidades del dispositivo UTM / red y en la red. Para abordar esta falta de conocimiento, propusieron este experimento que llevaron a cabo en un entorno de banco de pruebas totalmente controlado en el que se puede simular un conjunto de variedades de ataques y analizaron el impacto de los ataques en el consumo de recursos y ancho de banda, sugirieron una técnica de mitigación adecuada para mitigar el ataque de escaneo de puertos. El resultado del experimento indicó que la implementación de mitigación de escaneo de puertos en UTM ayudó a reducir la carga en el dispositivo UTM y redujo la congestión de la red de manera efectiva.
23
En la India Sheth y Thakker, en el año 2013 en el artículo académico “Performance Evaluation and Comparison of Network Firewalls under DDoS Attack” publicado en la revista International Journalist Computer Network and Information Security. Desarrollaron una investigación cuyo objetivo fue estudiar y comparar el rendimiento DDoS de varios tipos de firewalls en funcionamiento. El análisis y la comparación detallada se realizaron en el firewall de filtro de paquetes de software libre (PF), Checkpoint SPLAT y Cisco ASA en un entorno de prueba con tráfico DDoS generado por laboratorio. Identificaron varios parámetros de rendimiento (recursos, ancho de banda) del firewall que pueden considerarse afectados durante el ataque DDoS. Además, se llevaron a cabo experimentos para estudiar el efecto de la variación de los temporizadores de apertura de TCP en el rendimiento del firewall de inspección de estado durante el ataque de Sync Flood. Además, para mejorar el rendimiento, la inteligencia se aplicó en base a las reglas de firewall de PF para mitigar los DDoS.
En Chile Rousseau, en el año 2013 en la tesis “Laboratorio de nuevas métricas en Ethernet” presentada en la Universidad de Chile para obtener el título de Ingeniero civil electricista. Desarrollo una investigación que tuvo como objetivo efectuar comparaciones de desempeño entre las métricas obtenidas con instrumentación dedicada y herramientas de software. Para ello implementó un laboratorio y definió las pruebas y aspectos a evaluar orientado a estándares internacionales. Como conclusión estableció que no existe equivalencia con un grado de confianza aceptable en el uso en redes ethernet de instrumentos dedicados para medición, software open source para medición y software de simulación.
En Estados Unidos Beyene et al., en el año 2012 en el artículo académico “A Systematic Approach for Estimating Stateful Firewall Performance” presentado en University of California. Realizaron una investigación cuyo objetivo fue desarrollar un enfoque sistemático para estimar el rendimiento ofrecido por los firewalls con estado. Primero realizaron experimentos exhaustivos con dos firewalls empresariales en una amplia gama de configuraciones y perfiles de tráfico para identificar las características del tráfico de una red que afectan el rendimiento del firewall. Basándose en las observaciones de las mediciones, desarrollaron un modelo que pudo estimar el rendimiento esperado de un firewall con estado en particular cuando se implementa en la red de un cliente. El modelo une un conjunto sucinto de características de tráfico de red y puntos de referencia de firewall. Validaron el modelo con un tercer servidor de
24
seguridad de nivel empresarial y descubrieron que predice el rendimiento del servidor de seguridad con un error de menos del 6-10% en un rango de perfiles de tráfico.
1.3 Teorías relacionadas al tema 1.3.1 Definición de términos A continuación se definirá una serie de términos importantes para la correcta comprensión del documento:
1.3.1.1 Metodología
Metodología es una colección de métodos, procedimientos y estándares que define una síntesis integrada de aproximaciones de ingeniería para el desarrollo de un producto (Paulk et al., 1993, como se citó en Alfaro, 2008, p.13)”. Por otro lado Gordillo (2007) dijo “La metodología es entendida como un concepto global referido al estudio del método desde un proceso sistemático en el cual se adquieren modos y formas de conocimiento” (p.123).
Finalmente Alomía et al. (2007) dijo “La metodología es el conjunto de procedimientos para lograr de manera precisa los objetivos específicos. Debe definir el cómo van a lograrse dichos objetivos y es fundamentar para planear las actividades que se requieren en la investigación” (p.31).
1.3.1.2 Firewall En el ámbito de seguridad informática es importante tener claro el concepto y la función principal del Firewall. Delgado (2009) refirió que los Firewalls son dispositivos de seguridad informática que tienen como función principal restringir y/o permitir la comunicación entre las computadoras o servidores que pertenecen a una red u otra a través de la configuración de diversas políticas.
Por otro lado Cortés (2016) refirió que el “Firewall es una herramienta de software o hardware que filtran todas las conexiones que ingresan a la red interna de la organización o que se dirigen hacia el exterior de la misma” (p.2). Así mismo Blansit (2009) dijo que el Firewall separa una red de otra con la finalidad de disminuir actividades no deseadas o maliciosas. Finalmente Tomar y Tyagi (2014) dijeron que el “Firewall es un mecanismo de seguridad que controla la intrusión, por ejemplo, el ingreso de paquetes
25
con virus mediante el análisis de paquetes entrantes y salientes en la red. Básicamente, los firewalls están categorizados como firewalls de hardware y software” (p.37).
1.3.1.3 Firewall de hardware Es un dispositivo físico que tiene un software y/o sistema operativo especializado que configurado correctamente protege los equipos de una empresa de amenazas externas (Coronel, 2014). Según García et al. (2013) Algunas características de los firewalls de hardware son “Protegen redes enteras, sistema dedicado a la función de firewall, módulos adicionales como IDS/IPS, antivirus o antispam y requieren recursos dedicados de CPU y memoria RAM” (p.373).
Respecto a lo mencionado por García et al., se puede deducir que los firewalls de hardware tienen más funcionalidades, son más complejos de administrar y tienen mejores recursos en CPU y memoria RAM que los firewalls de software. Finalmente Agus (2014) dijo que los firewalls de hardware son dispositivos especiales creados únicamente para ser firewalls.
1.3.1.4 Firewall de software Es una aplicación propia de un sistema operativo como Linux (iptables y packet filter) que pueden instalarse en servidores independientes. La configuración de sus políticas dependerá de las funcionalidades de la aplicación y el rendimiento de acuerdo a los recursos (CPU y memoria RAM) que posee el servidor o computadora donde se desplegó la aplicación (Ferrer, 2006). Asimismo Agus (2014) dijo que los firewalls de software deben instalarse en un servidor, son de fácil configuración y rendirán de acuerdo a las características de hardware del servidor. Al respecto Coronel (2014) dijo:
Los firewall de software están orientados al uso personal o para las pequeñas organizaciones que poseen conexiones de banda ancha no muy amplias. En lugar de adquirir un equipo de hardware personalizado y caro, se opta por conseguir firewall de software el mismo que se implementa en cada equipo de la red organizativa, y esto incluye equipos servidores, equipos de escritorio o equipos móviles. (p.20)
Respecto a lo mencionado por Coronel, recomendó el uso de firewall de software para pequeñas empresas o donde no tengan mucho presupuesto para adquirir firewall basados en hardware especializado. Se infiere del párrafo anterior que los firewalls de hardware son más eficientes y costosos que los firewall de software.
26
1.3.1.5 Arquitectura screened subnet Esta topología de firewall se utilizará para la implementación de los ambientes de pruebas del presente trabajo. Actualmente es la más utilizada en redes empresariales y al respecto Álvarez (2010) indicó:
También es conocida como red perimétrica o demilitarized zone (DMZ) es la más utilizada e implantada hoy en día, ya que añade un nivel de seguridad en las arquitecturas de firewalls situando una subred entre las redes externa e interna, de forma que se consiguen reducir los efectos de un ataque exitoso al firewall. (p.36)
Finalmente Cuenca (2016) refirió que la finalidad de esta topología es aislar el servidor más propenso a ser atacado en la zona denominada DMZ para que en una supuesta penetración, el intruso no pueda acceder a los equipos y/o computadoras ubicadas en subredes vecinas.
1.3.2 Definición de roles
A continuación se definirán roles para la correcta implementación del escenario de pruebas en la metodología MERF propuesta en el anexo 2 del presente trabajo de investigación:
1.3.2.1 Agente de ataque
Se denomina agente de ataque a la computadora que realiza ataques al firewall para evaluar sus diferentes funcionalidades. Al respecto León (2016) dijo “Esta primera máquina del entorno, cuyo sistema operativo es Kali linux, es la máquina que cubre tanto los perfiles del atacante activo como del usuario que conecta con un servidor bloqueado” (p.55).
Por otro lado Alagiya et al. (2013) dijeron que los agentes de ataques tienen como objetivo principal enviar ataques o tráfico malicioso al firewall a través de distintas herramientas y sus perfiles son definidos de acuerdo los tipos de ataques que realizan.
27
1.3.2.2 Firewall El firewall cumple un rol importante puesto que es el objetivo de evaluación de la metodología MERF propuesta en el presente trabajo. Al respecto León (2016) dijo “Esta es la máquina cuya seguridad y funcionalidades van a ser analizadas” (p.55). Por otro lado Alagiya et al. (2013) dijeron “UTM sirve como un dispositivo de nivel de puerta de enlace utilizado para la conectividad de internet para todas las estaciones de trabajo LAN, incluidos los agentes de ataque. El dispositivo UTM se usa como el objetivo de un ataque” (p.46). Respecto a lo mencionado por León y Alagiya et al., coinciden que el Firewall es un dispositivo de seguridad de red perimetral y es el objetivo de los diferentes ataques realizados por externos para evaluar sus funcionalidades o limitar su función.
1.3.2.3 Servidor Los servidores son equipos informáticos que brindan un servicio en la red. Marchionni (2011) dijo “Dan información a otros servidores y a los usuarios. Son equipos de mayores prestaciones y dimensiones que una PC de escritorio” (p.23). Por otro lado Delgado (2009) indico “El servidor es una computadora utilizada para gestionar el sistema de archivos de la red, da servicio a las impresoras, controla las comunicaciones y realiza otras funciones” (p.83).
1.3.2.4 Estación de trabajo La estación de trabajo es una computadora con recursos considerables para que el usuario desarrolle sus tareas de manera sencilla y eficiente. Al respecto Alagiya et al. (2013) dijeron:
Estación de trabajo: una estación de trabajo normal (10.50.50.55) que se ejecuta con Windows XP se utiliza para hacer ping continuo 'www.google.com' con 1000 bytes de datos para garantizar la accesibilidad continua a Internet. Esto ayuda a encontrar cualquier interrupción de la red si está allí durante cualquier momento del experimento. Junto con Ping, la estación de trabajo (10.50.50.55) también accede a los sitios web a través del dispositivo UTM. (p.46)
Respecto a lo mencionado por Alagiya et al., la estación de trabajo tiene acceso a sitios web a través del firewall, lo que permitirá evaluar las funcionalidades de filtrado web y antimalware del mencionado dispositivo de seguridad.
28
1.3.3 Definición de políticas Las políticas de seguridad son reglas creadas en el firewall que definen restricciones en el flujo de tráfico de datos que pasan a través del dispositivo de seguridad (Baiocchi et al., 2015). Cavusoglu et al. (2009) refirieron que la correcta configuración de políticas en el firewall es fundamental para proteger los accesos y resguardar la información. Asimismo Ferrer (2006) dijo: Todo firewall, sea del tipo que sea, se rige por una política de seguridad definida previamente a su configuración. Cuando hablamos de política de seguridad nos referimos a tener una directiva predeterminada y una colección de acciones a realizar en respuesta a tipos de mensajes específicos. Cada paquete se compara, uno a uno, con cada regla de la lista hasta que se encuentra una coincidencia. Si el paquete no coincide con ninguna regla, fracasa y se aplica la directiva predeterminada al paquete. (p.25)
Las políticas o reglas del firewall son creadas con la finalidad de monitorear y controlar el tráfico de red entrante y saliente de la organización, por lo cual es importante una correcta configuración. Asimismo se debe evaluar las políticas del firewall para determinar si los resultados cumplen con las expectativas esperadas y funciones asignadas. Al respecto Chen et al. (2012) refirieron que la mayoría de políticas desplegadas en los firewalls en producción están mal configuradas y generan un agujero en la barrera de seguridad del firewall volviéndolo vulnerable ante posibles ataques que afectarían los procesos comerciales de la empresa.
Por lo antes expuesto, es importante tomar en cuenta algunas recomendaciones para la creación de políticas de seguridad en el firewall. Al respecto los especialistas de la empresa Nss Labs (2017) establecieron los siguientes criterios: Las políticas son reglas que se configuran en un firewall para permitir o denegar el acceso de un recurso de red a otro, en función de criterios de identificación como origen, destino y servicio. Un término típicamente usado para definir el punto de demarcación de una red donde se aplica la política es una zona desmilitarizada (DMZ). Las políticas generalmente se escriben para permitir o denegar el tráfico de red desde una o más de las siguientes zonas. (p.9)
29
Del mismo modo los especialistas de la empresa Paloalto Networks (2015) informaron acerca de las prácticas recomendadas que deben tomarse en cuenta para implementar políticas de seguridad en el firewall:
El orden de las políticas es crucial para garantizar el mejor criterio de coincidencias. Dado que la política se evalúa de arriba a abajo, las políticas más específicas deben preceder a las más generales, de modo que las reglas más específicas no estén atenuadas. Esto quiere decir que una regla no se evalúa o se omite porque se encuentra a un nivel más bajo en la lista de políticas. Cuando la regla se sitúa más abajo, no se evalúa porque otra regla precedente cumple los criterios de coincidencia, impidiendo así la evaluación de política de la primera regla. (p.869)
Respecto a lo mencionado por los especialistas de las empresas del rubro de seguridad informática Nss Labs y Paloalto Networks, se infiere que se deben establecer criterios adecuados para la configuración de políticas o reglas en el firewall (origen, destino y zonas). Asimismo se debe considerar el orden en las que serán configuradas ya que por la naturaleza de sus funciones algunas tienen mayor prioridad que otras. Si bien es cierto que ambas políticas tienen diferentes prioridades de acuerdo al orden, tienen el mismo objetivo que es el de brindar seguridad. Asimismo Bezzazi et al. (2013) dijeron que “El objetivo de una política de firewall debe ser seguridad: una implementación es segura si no se rechaza ningún paquete legal y no se permite ningún paquete ilegal durante la implementación” (p.121).
Por otra parte los especialistas de la empresa Sophos (2011) con más de 30 años de experiencia en el rubro de seguridad informática, en su guía de implementación de políticas recomendaron “Tener en cuenta los servicios necesarios en la red. Por ejemplo: DHCP, DNS, RIP. La configuración predeterminada del firewall cuenta con reglas para la mayoría de estos servicios. Sin embargo tenga en cuenta cuales debería permitir y cuales no necesita” (p.10). Además Coronel (2014) dijo “En caso de tener una red DMZ, esta deberá tener acceso a internet seleccionando puertos específicos o habilitando los puertos según se requiera” (p.83). Por otro lado Ferrer (2006) dijo “Los trabajadores de la red interna podrán tener acceso a los servicios más comunes de (DNS, SMTP, POP3, SSH, TELNET y WEB), el resto, quedarán cerrados” (p.26). Es importante agregar que los especialistas del National Institute of Standards and Technology a través del estándar [SP 800-115] (2008) dijeron: 30
Las reglas imponen el acceso de privilegio mínimo, como especificar solo las direcciones IP y puertos necesarios. Reglas más específicas se activan antes que las reglas generales. No hay puertos abiertos innecesarios que puedan cerrarse para ajustar la seguridad del perímetro. El conjunto de reglas no permite que el tráfico evite otras defensas de seguridad. Para los conjuntos de reglas de firewall basados en host, las reglas no indican la presencia de puertas traseras, actividad de spyware o aplicaciones prohibidas, como programas de intercambio de archivos punto a punto. (p.20)
Respecto a lo mencionado por los especialistas del National Institute of Standards and Technology a través del estándar [SP 800-115], se debe tener especial cuidado al desplegar las reglas en el firewall y poner énfasis en las que están orientadas a los host ya que a través de programas (P2P, proxyes, etc.) pueden ser vulneradas. Del mismo modo los especialistas a través del Security Standard [SS-06] (2017) dijeron:
Se debe crear una política para cada límite de seguridad que se implementa. Esta política debe reflejar la amenaza y/o vulnerabilidad que los controles dentro del límite intentan abordar y el nivel de riesgo que presenta la amenaza. La política debe ser informada por el resultado de una evaluación de riesgos documentada. La política debe definir los puntos finales que pueden comunicarse a través del límite. La política debe describir los requisitos de inspección que se aplicarán al tráfico que atraviesa el límite de seguridad. (p.6)
Respecto a lo mencionado por los especialistas a través del Security Standard [SS- 06], se deben establecer límites de seguridad en la red local para disminuir los riesgos de una posible amenaza y crear políticas para que haya una comunicación fluida e inspeccionada entre los límites de seguridad establecidos. Siguiendo esta recomendación se optó por utilizar la arquitectura screened subnet en la presente investigación, ya que la arquitectura en mención establece límites de seguridad a través de las diferentes zonas creadas en la red de trabajo (zona WAN, zona LAN y DMZ) cumpliendo lo recomendado por los especialistas a través del estándar.
1.3.4 Rendimiento de Firewall El rendimiento del firewall es importante para determinar el impacto que tiene este dispositivo de seguridad en la organización. Al respecto Lyu y Lau (2002) refirieron que el firewall es la mejor solución para proteger la red interna de ataques externos, pero el
31
uso de este dispositivo de seguridad puede impactar sobre el rendimiento de la red. Por consiguiente se debe tener claro la capacidad del firewall para que se realicen los cálculos necesarios con la finalidad de implementarse de manera correcta en la organización sin afectar el rendimiento de la red. En otras palabras Beyene et al. (2012) dijeron que se debe evaluar el rendimiento del firewall por el siguiente motivo:
Hasta ahora, la caracterización del desempeño del firewall ha recibido una atención limitada tanto de la industria como de los investigadores. Para contrarrestar los enfoques adoptados por los proveedores de firewall que informan números de alto rendimiento no realistas (por ejemplo, mediante el uso de paquetes UDP de máximo tamaño), las agencias de prueba de terceros como NSS miden el rendimiento del firewall utilizando una mezcla de tráfico predefinida más realista. (p.74)
Respecto a lo mencionado por Beyene et al., debido a que muchos de los proveedores de firewalls no brindan información realista respecto al rendimiento de sus equipos de seguridad; es importante que los usuarios evalúen los firewalls, ya que el resultado de la evaluación les permitirá elegir el más apropiado y el que más se ajuste a las necesidades de la organización.
Los firewalls son dispositivos que protegen la red interna contra los riesgos de seguridad de la información. Sin embargo, si el rendimiento del firewall es bajo puede afectar la opinión que el usuario tenga acerca del producto. Por lo tanto, el análisis del rendimiento desempeña un papel fundamental en la evaluación de los firewall, ya que dependerá de su rendimiento la preferencia que los usuarios tengan sobre él (Xuan et al., 2016). Por otra parte los especialistas de la empresa Nss Labs (2017) enunciaron que el criterio de evaluación que todo profesional de seguridad informática al evaluar un firewall debe considerar es el siguiente:
Eficacia de seguridad: El objetivo de un firewall es separar las redes confiables internas de redes externas no confiables mediante políticas y enrutamiento, e identificar y bloquear ataques contra activos al tiempo que permite que el tráfico controlado selecto fluya entre redes confiables y no confiables. (p.8)
Respecto a lo mencionado por los especialistas de la empresa Nss Labs, la eficacia de la seguridad en un firewall dependerá de la correcta implementación de las políticas
32
de seguridad. Por lo tanto es un aspecto fundamental a evaluar a través de diferentes pruebas de funcionalidades.
Otro aspecto a evaluar en el firewall es el consumo de recursos frente a ataques de denegación de servicios o pruebas de estrés. Al respecto los especialistas de la National Institute of Standards and Technology a través del estándar [SP 800-41] (2009) dijeron:
Las soluciones proporcionan un rendimiento adecuado durante el uso normal y máximo. En muchos casos, la mejor manera de probar el rendimiento bajo la carga de una implementación de prototipo es usar generadores de tráfico simulado en una red de prueba en vivo para imitar las características reales del tráfico esperado lo más cerca posible. Simular las cargas causadas por los ataques DoS también puede ser útil para evaluar el rendimiento del firewall. Las pruebas deben incorporar una variedad de aplicaciones que atravesarán el firewall, especialmente las que con mayor probabilidad se verán afectadas por el rendimiento de la red o problemas de latencia. (p.40)
Respecto a lo mencionado por los especialistas de la National Institute of Standards and Technology a través del estándar [SP 800-41], se debe evaluar el rendimiento del firewall a través de pruebas que simulen la carga real de tráfico de una red de producción para identificar las características reales de los equipos firewall.
Finalmente otro aspecto a evaluar es el desempeño en la red que tienen los firewalls. Los especialistas de Xena Networks (2016) refirieron respecto a desempeño de red lo siguiente:
Dado que los dispositivos de seguridad de red como los firewalls están ubicados en la línea de red, lo que significa que tanto el tráfico de señalización como el tráfico de datos deben pasar por el firewall para el examen de seguridad, el cuello de botella del rendimiento del tráfico suele ser una de las principales preocupaciones de la empresa. Una red puede alcanzar 10 Gigabits por segundo de rendimiento sin un firewall y podría soportar una reducción de solo la mitad, o incluso menos, del rendimiento original con funciones avanzadas y funciones habilitadas. (p.3)
Respecto a lo mencionado por los especialistas de la empresa Xena Networks, es importante evaluar el desempeño en la red de un firewall porque debe existir un
33
dimensionamiento apropiado al momento de la implementación en la organización, ya que de esto depende la carga de trabajo a asignarle de acuerdo a su capacidad para evitar el cuello de botella en el tráfico de red entrante y saliente de la red local.
1.3.5 Desempeño en la red El desempeño en la red es un aspecto fundamental a evaluar en un firewall. Ya que permite analizar la tarea que cumple el firewall en la organización, respecto a la capacidad de afrontar la carga de red sin generar encolamiento o cuellos de botella que retarden la comunicación. Sheth et al. (2013) refirieron que se debe prestar atención al desempeño de una red, ya que permite la disponibilidad permanente de los servicios en línea de la organización. Además los especialistas del National Institute of Standards and Technology a través del estándar [NIST SP 800-41] (2009) dijeron que se debe tener en cuenta el throughput y latencia según las necesidades de trafico de red actual y a futuro de la organización para evitar que el firewall ocasiones un cuello de botella en la red.
Los especialistas de Telecommunication Standardization Sector of Itu a través del estándar [ITU-T Y.1564] (2016) dijeron que el throughput y la latencia pueden usarse como métricas para la evaluación del desempeño. Así mismo Flores et al. (2017) afirmaron que “Los parámetros relacionados para medir la QoS, son: ancho de banda, throughput, latencia, jitter y paquetes perdidos, estos parámetros son establecidos por la Unión Internacional de Telecomunicaciones (ITU por sus siglas en inglés)” (p.4).
Por otra parte los especialistas de la National Institute of Standards and Technology a través del estándar [SP 800-41] (2009) dijeron:
Debido a la importancia de implementar seguridad efectiva en las redes de las organizaciones haciendo uso de los firewalls, se hace necesario realizar la correcta elección, implementación y configuración de una arquitectura adecuada que satisfaga las necesidades de las organizaciones y que brinde un equilibrio en cuanto al rendimiento y seguridad para que de esta manera no se vea afectado el desempeño de las redes. (p.40)
Respecto a lo mencionado por los especialistas de la National Institute of Standards and Technology a través del estándar [SP 800-41], es importante evaluar el firewall para determinar sus capacidades y no afectar el desempeño de la red. Sobretodo Flores et al., (2017) refirieron que el análisis del throughput es decisivo para determinar la calidad de servicio que brinda el firewall. Normalmente se menciona mucho el
34
rendimiento y el ancho de banda, los cuales son la antesala del throughput, ya que con este se determina la velocidad real del tráfico de red que atraviesa el firewall debido a que no se considera el encabezado de la trama y por ende su valor será siempre menor. Asimismo Vesga et al. (2016) dijeron:
Por eso entre los parámetros más comunes para evaluar el rendimiento de una red se pueden mencionar: throughput, latencia, jitter y porcentaje de paquetes perdidos. Sin embargo, en el presente artículo solo se considerarán throughput, latencia como parámetros para evaluar el rendimiento de la red para la transmisión de voip. (p.87)
Respecto a lo mencionado por Vesga et al., en el presente trabajo dentro de los criterios de evaluación propuestos para evaluar el desempeño en la red de un firewall, solo se considerara la evaluación del throughput y latencia del tráfico de red que atravesará el firewall, por ser de mayor importancia, excluyendo al jitter que está orientado a redes de voz. Finalmente Álvarez (2010) dijo acerca de la importancia de tomar en cuenta el desempeño en la red al implementar una arquitectura de seguridad:
Actualmente los administradores de red, a la hora de planear la seguridad, lo hacen centrándose básicamente en el firewall a implementar: sus vulnerabilidades y fortalezas orientadas a la seguridad; no cuentan con herramientas de decisión con las que puedan elegir la mejor opción a la hora de implementar una arquitectura de seguridad basada en firewall, pasando por alto que esta puede afectar la calidad de servicio y el rendimiento en una red. (p.15)
Respecto a lo mencionado por Álvarez, no existen herramientas de decisión que permitan elegir un firewall adecuado a los requerimientos de desempeño de red requerido por una organización, lo que puede afectar el normal desempeño de una red local. Motivo por el cual es de suma importancia considerar este aspecto antes de colocar un firewall en producción.
Indicadores de desempeño en la red
A) Medición de throughput
El throughput es un parámetro clave para determinar el desempeño del firewall en la red, ya que es la cantidad real de información útil transmitida en un canal de comunicaciones
35
en un tiempo determinado y su unidad de medida es bits/seg (Vesga et al., 2012). Del mismo modo Hickman et al. (2003) a través del estándar RFC Nº 2544 dijeron “El throughput es la velocidad más rápida a la que el recuento de tramas de prueba transmitidas por el DUT es igual al número de tramas de prueba que le envía el equipo de prueba” (p.16). Por otra parte Rousseau (2013) explicó que el objetivo principal de la medición del throughput es:
Determinar la máxima tasa de línea sin pérdida de tramas que el dispositivo o red puede manejar. La medición se hace por separado para cada tamaño de tramas y para cada una, el procedimiento es comenzar la medición a un 100% de velocidad de línea por un periodo determinado de tiempo, si hay pérdida de al menos 1 trama se reduce la velocidad de medición hasta que no las haya, momento en el cual se comienza la medición con el próximo tamaño de trama. (p.33)
Respecto a lo mencionado por Rousseau (2013), se debe considerar como prueba válida para la evaluación del throughput cuando no existan perdidas de paquetes. Además Flores et al. (2017) dijo que para analizar el throughput se deben plantear diferentes escenarios con tráfico y sin tráfico de red generado a través de un simulador con el protocolo de transporte TCP.
Por otro lado Vesga et al. (2016) refirieron que antes de realizar las pruebas para obtener el valor del throughput se debe determinar la cantidad mínima de veces a realizar dichas pruebas para que la cantidad de muestras tomadas sean las adecuadas. En efecto Vondrous et al. (2015) dijo que una opción para evaluar el throughput son las pruebas de paquetes con tamaños variables en un escenario simplificado. Por consiguiente Álvarez (2010) refirió que como primera medida se debe establecer el tamaño de los paquetes con el que se genera tráfico de red ya que si son demasiado grandes aumenta la posibilidad de que los paquetes se dañen.
Por lo tanto Rousseau (2013) refirió que según la recomendación del estándar RFC Nº 2544, elaborado por los especialistas de la IETF para evaluar el throughput se deben usar tramas de los siguientes tamaños: 64; 128; 256; 512; 1024; 1280 y 1518 bytes. Asimismo Beyene et al. (2012) dijeron que la RFC-2544 especifica que para evaluar el rendimiento de los dispositivos se deben realizar pruebas con paquetes de 64, 128, 256, 512, 1024 y 1518 bytes y de preferencia con el protocolo UDP. Por otro lado Vesga et
36
al. (2012) refirieron que el throughput puede variar de acuerdo al protocolo usado para la transmisión de los datos.
Seguidamente Rousseau (2013) dijo que una vez definido el tamaño de los paquetes a enviar desde un punto a otro, el siguiente paso es verificar que exista conexión entre los dos puntos a través del protocolo ICMP para luego generar tráfico entre ambos extremos y realizar las pruebas sin mayores complicaciones.
Por otra parte se debe definir la herramienta a utilizar para evaluar el throughput. Al respecto Vesga et al. (2016) refirieron que la mayoría de herramientas que analizan la red, trabajan mediante configuraciones cliente/servidor y funcionan enviando paquetes desde una computadora a otra permitiendo elegir el protocolo de transporte TCP o UDP y el tamaño de los paquetes a enviar. Además Callegati et al. (2016) recomendaron que para generar tráfico de red de manera creciente desde un origen hacia un destino deben utilizar tarjetas de red gigabit y herramientas como iperf. Igualmente Vondrous et al. (2015) refirieron que la herramienta iperf genera paquetes y los envía a la máxima velocidad posible de acuerdo al medio de transmisión.
Por consiguiente Klepac et al. (2015) dijeron “La aplicación iperf se utilizó para medir el rendimiento de la comunicación TCP entre un cliente y un servidor iperf. El tráfico es enviado por el cliente iperf y recibido en el lado del servidor” (p.525). Asimismo los especialistas de Wireless Lan Professionals (s. f.) dijeron:
Una forma de utilizar la herramienta iperf es probando entre un servidor iperf y un cliente iperf en el mismo segmento cableado. Esta forma de prueba puede ayudar a identificar un desempeño deficiente o descalificar a Ethernet o al puerto del switch como el problema. (p.2)
Respecto a lo mencionado por los especialistas de Wireless Lan Professionals, la herramienta iperf ayuda a evaluar el desempeño de un dispositivo de red (firewall, switch, router, etc.) para descartar deficiencias en sus puertos. Para un correcto uso de la herramienta los especialistas de Wireless Lan Professionals (s.f.) dijeron:
Necesitarás dos máquinas. Estos pueden ser de escritorio, servidores o portátiles. Prácticamente cualquier cliente que pueda conectarse a Ethernet o inalámbrico funcionará. Puede ejecutar un sistema operativo Linux, Windows o MAC. Deberá
37
descargar el software iperf y cargarlo en ambas máquinas. El uso de la herramienta iperf estándar requerirá que escriba manualmente los comandos en una ventana de terminal, tanto en el Servidor como en el Cliente. (p.2)
Respecto a lo mencionado por los especialistas de Wireless Lan Professionals, refirieron que es tedioso usar la versión estándar de iperf ya que se deben introducir los comandos de manera manual. Al respecto los especialistas Wireless Lan Professionals (s. f.) recomendaron el uso de la versión grafica de iperf y los pasos para su instalación “Deberá descomprimir el software jperf y colocarlo en su escritorio, dentro de la carpeta deberá ejecutar el archivo jperf.bat” (p.3). Por otra parte Rousseau (2013) dijo “Las mediciones con software se realizan conectando el firewall con dos computadores independientes con el software en ellos. Las IP para los puertos son 192.168.0.3 para el iperf en modo cliente y 192.168.0.4 para iperf en modo servidor” (p.45). El siguiente paso es configurar la herramienta Jperf según los roles definidos, al respecto los especialistas de Wireless Lan Professionals (s. f.) dijeron:
Deberá elegir la opción de rol de servidor en la máquina seleccionada para ejecutar como servidor, luego haga clic en el botón "Ejecutar iperf" en la parte superior derecha. En seguida deberá hacer lo mismo en la máquina cliente, comenzando con la identificación de la máquina como cliente; luego coloque la dirección IP del servidor en la ventana dirección IP del servidor. Finalmente haga clic en el botón “Ejecutar iperf”. (p.4)
Del mismo modo para realizar las pruebas de evaluación del throughput con mayor exactitud y fiabilidad de acuerdo a los requerimientos definidos anteriormente, los especialistas de Wireless Lan Profesionals (s. f.) recomendaron:
Ahora podemos comenzar a realizar cambios en la manera en que se informa el resultado de su prueba. Puede cambiar la duración de la prueba, el formato de salida, (Kbits, Mbits, Gbits). También puede cambiar la frecuencia con la que desea que sus resultados sean graficados, y finalmente puede cambiar manualmente el puerto de prueba del valor predeterminado a otro valor (solo recuerde que también deberá cambiarlo en el servidor para que coincida). (p.4)
38
Por otra parte Álvarez (2010) dijo que otra manera de obtener un valor de throughput fiable es a través de la siguiente prueba:
En las pruebas de Rendimiento y Rendimiento/QoS, se realizan 50 descargas de un archivo de 136 MB desde y hacia diferentes zonas, dependiendo de la arquitectura a evaluar; se realiza la captura con el analizador de protocolos wireshark, y se toma el tiempo desde el inicio de la descarga hasta el último byte transmitido correctamente. Con los datos obtenidos de cada uno de los cálculos, se realiza un análisis estadístico de la media y se obtiene un resultado final. (p.32)
Respecto a lo explicado por Álvarez, se entiende que se debe generar tráfico de red entre las diferentes zonas del firewall y a través de herramientas de análisis de red como el wireshark se debe calcular el valor del throughput con los siguientes datos: (a) tamaño del archivo y (b) el tiempo que se demora en descargar dicho archivo desde una zona a otra zona del firewall y promediar los resultados obtenidos.
Vesga et al. (2012) dijeron que las pruebas consisten en establecer reiteradas conexiones entre computadoras ubicadas en diferentes zonas del firewall enviándose tráfico de red para luego promediar los resultados obtenidos y llegar a una aproximación más exacta. Para concluir, según Hickman et al. (2003) en el RFC Nº 2544 dijeron que los resultados se deben presentar de la siguiente manera:
Formato de informe: Los resultados de la prueba de throughput deben informarse en forma de gráfico. Si es así, la coordenada “X” debe ser el tamaño del paquete, la coordenada “Y” debe ser la velocidad del paquete. Debe haber al menos dos líneas en el gráfico. Debería haber una línea que muestre la velocidad de cuadros teórica para los medios en los distintos tamaños de cuadros. La segunda línea debe ser la gráfica de los resultados de la prueba. Pueden usarse líneas adicionales en el gráfico para informar los resultados de cada tipo de flujo de datos probado. El texto que acompaña al gráfico debe indicar el protocolo, el formato de flujo de datos y el tipo de medio utilizado en las pruebas. (p.17)
39
B) Medición de Latencia
La latencia se define como el tiempo que demora un paquete en ser transmitido desde un punto hacia otro (Vesga et al., 2012). Por otro lado Álvarez (2010) dijo “El término latencia hace referencia a los retardos existentes en la transmisión de datos en una red, exactamente el retardo entre paquetes a la hora de transmitir datos de un punto a otro” (p.22).
El objetivo de medir la latencia es calcular el tiempo que toma una trama en cruzar la red atravesando el firewall de un punto a otro (Rousseau, 2013). Así mismo los especialistas de Nss Labs (2017) dijeron:
El objetivo de las pruebas de latencia y tiempo de respuesta del usuario es determinar el efecto que tiene el DUT en el tráfico que pasa a través de él en diversas condiciones de carga. El tráfico de prueba se transfiere a través de los conmutadores de infraestructura y a través de todos los pares de puertos en línea del DUT simultáneamente (la latencia de la infraestructura básica es conocida y constante durante todas las pruebas). (p.22)
Respecto a lo mencionado por los especialistas de Nss Labs, refirieron que se debe evaluar la latencia en el firewall para determinar el efecto que tiene el tráfico de red al pasar a través de él, de acuerdo a los resultados de esta prueba se podrá definir si el Firewall cumple un buen desempeño en la red respecto al retardo que genera al tráfico de red que lo atraviesa. Al respecto Lyu y Lau (2002) dijeron:
La latencia es el tiempo requerido por un sistema para completar una sola transacción de principio a fin. La inspección de datos en el firewall alargaría el tiempo requerido para la comunicación de datos, así como la latencia de red o transacción. Experimentalmente, este indicador se mide ejecutando un conjunto de transacciones secuencialmente en un solo hilo y el resultado se obtiene tomando el tiempo transcurrido utilizado para procesar cada transacción. El tiempo de transacción total, por otro lado, se refiere a la cantidad de tiempo que toma abrir una o más conexiones en una transacción desde el cliente al servidor y solicitar y descargar datos desde el servidor. (p.3)
40
Respecto a lo mencionado por Lyu y Lau (2002) el tráfico de red al ser inspeccionado por el Firewall, este decide la acción a ejecutar de acuerdo a sus políticas configuradas (permitir o denegar) lo que genera un retardo en el flujo de datos en la red que debe ser evaluado. Por otra parte Álvarez (2010) dijo:
Desde el punto de vista del usuario, la calidad de servicio, abarca un número de medidas de servicio objetivas y subjetivas determinado por la secuencia de eventos del sistema hasta la terminación del servicio. La QoS se evalúa mediante la medida de parámetros como: Latencia, Jitter, y Pérdida de Paquetes. El término latencia hace referencia a los retardos existentes en la transmisión de datos en una red, más exactamente el retardo entre paquetes a la hora de transmitir datos de un punto a otro. (p.22)
Respecto a lo mencionado por Álvarez, menciona que la latencia es muy importante ya que permite identificar el retardo existente en la transmisión de datos y de acuerdo al retardo que genere un firewall se podrá determinar su desempeño en la red.
Por otro lado los especialistas de Telecommunication Standardization Sector of Itu (2016) a través del estándar [ITU-T Y.1564] dijeron “La latencia se mide de forma limitada, solo en una trama cada dos minutos, y solo a la carga máxima transmitida sin tasa de pérdida, que es muy probable que sea mayor que la tasa de información comprometida acordada” (p.6). Asimismo Bradner y McQuaid (1999) a través del RFC Nº 2544 refirieron que para evaluar la latencia primero se debe definir el tamaño del paquete a enviar desde un punto a otro. Además recomiendan que la prueba de envío de paquetes se realice primero de manera directa entre los puntos, es decir sin tener de intermediario al firewall, y se tome el tiempo de envío de paquetes (Tiempo A), luego se deberá tomar el tiempo (Tiempo B) de la misma prueba de envío de paquetes entre los puntos pero con el firewall de intermediario. La latencia es la diferencia del Tiempo B menos el Tiempo A. Finalmente sugieren que para obtener un valor de latencia fiable la prueba debe repetirse por lo menos 20 veces promediando todos los resultados. (p.16)
Según Hickman et al. (2003) recomendaron realizar las mediciones de latencia con paquetes de diferentes tamaños y realizar pruebas escalonadas en que el tamaño de los paquetes aumente o disminuya. Finalmente Álvarez (2010) dijo: El valor de Latencia para las pruebas de QoS y Rendimiento/Qos, se obtiene realizando 50 llamadas de 1 minuto desde y hacia diferentes zonas dependiendo
41
de la arquitectura a evaluar. Con el analizador de protocolos wireshark se toman las capturas desde la zona del servidor y del cliente respectivamente y el valor es arrojado por el mismo analizador, el cual realiza el cálculo aplicando la Ecuación (1), para cada una de las capturas tomadas. De igual forma se realiza el análisis estadístico de media para obtener datos más acertados. (p.25)
Respecto a lo mencionado por Álvarez, plantea que para evaluar la latencia se debe generar tráfico de red de un punto a otro ubicado en una zona diferente. También refiere que se debe realizar esta prueba cincuenta (50) veces y para obtener el valor de una latencia fiable se debe obtener la media de los resultados obtenidos. Para concluir, según Hickman et al. (2003) en el RFC Nº 2544 dijeron que los resultados se deben presentar de la siguiente manera: Formato de informe: el informe debe indicar qué definición de latencia (de RFC 1242) se usó para esta prueba. Los resultados de la latencia deben informarse en el formato de una tabla con una fila para cada uno de los tamaños de trama probados. Debería haber columnas para el tamaño de trama, la velocidad a la que se ejecutó la prueba de latencia para ese tamaño de trama, para los tipos de medios probados y para los valores de latencia resultantes para cada tipo de flujo de datos probado. (p.16)
1.3.6 Eficacia de la seguridad
La eficacia de la seguridad es el nivel de protección que te brinda el firewall a través de sus políticas configuradas. Al respecto Brucker et al. (2014) dijeron la importancia de evaluar la eficacia de la seguridad:
Los firewalls son un medio importante para proteger las infraestructuras críticas de TIC. Como productos configurables listos para usar, la efectividad de un firewall depende crucialmente tanto de la corrección de la implementación como de la configuración correcta. Mientras se prueba, la implementación puede ser hecha una vez por el fabricante, la configuración debe ser probada para cada aplicación individualmente. Esto es particularmente desafiante ya que la configuración, la implementación de una política de firewall, es inherentemente
42
compleja, difícil de entender, administrada por diferentes partes interesadas y, por lo tanto, es difícil de validar. (p.1)
Respecto a lo mencionado por Brucker et al., es fundamental desplegar correctamente las políticas de seguridad en el firewall y evaluar su efectividad, ya que de eso depende el nivel de protección que brindan a la red. Además se debe evaluar sus diferentes funcionalidades de acuerdo a los requerimientos de la organización. Por otro lado Romero et al. (2016) dijeron que las políticas de seguridad pueden ser vulneradas:
Dentro de las políticas de una organización podría encontrar el no permitir que los usuarios accedan a sitios en Internet para el entretenimiento o las redes sociales, como en el caso de las organizaciones de producción y educativas, por tanto, un firewall utiliza ciertas reglas en base a las políticas de la organización, bloquea el acceso a ciertos sitios definidos, mientras deja los demás libres. Sin embargo, como no se ha implementado reglas para bloquear proxies de Sistemas de Evasión de Censura de Internet, el usuario puede acceder a los proxies fácilmente. Las direcciones de estos servidores proxy cambian con mucha frecuencia, por lo que es casi imposible de bloquear a todos ellos, y con el tiempo aparecen más. (p.475)
Respecto a lo mencionado por Romero et al., afirma que se puede vulnerar la seguridad del firewall (filtrado URL) a través de técnicas de evasión (proxies) que permiten a los usuarios acceder a páginas restringidas en la organización. Weinberg et al. (2012) refirieron que restringir el acceso web es una práctica común en varios países y los usuarios están obligados a recurrir a las técnicas de evasión para eludir la seguridad a través de herramientas como TOR. Así mismo Ragnarsson y Gustafsson (2009) refirieron que son pocas las aplicaciones que pueden evadir la seguridad brindada por el firewall entre las cuales figuran los proxies y herramientas de acceso remoto. Cortés (2016) refirió que solo existen dos aplicaciones que pueden evadir las políticas de seguridad que son los proxies y las herramientas de acceso remoto. Por otro lado León (2016) refirió acerca de la importancia de evaluación del filtro URL:
Los motivos detrás del bloqueo de contenidos pueden ser la protección de los menores, evitando su acceso a páginas de adultos o con cualquier tipo de contenido cuestionable, o en el caso de las empresas, se busca el cumplimiento de normativas y políticas de seguridad. Así, es factible pensar que un entorno
43
corporativo se bloquee el acceso a pornografía por la normativa de uso y, que además, se impida el acceso a categorías de hacking que puedan introducir malware en la red, o a proxies web que puedan ayudar en la evasión de las propias políticas de seguridad corporativa. (p.63)
Respecto a lo mencionado por León, el filtro URL se usa para proteger que los niños ingresen a páginas de adultos o evitar que los colaboradores de una empresa reduzcan su productividad o filtren información. Motivo por el cual es importante la evaluación de la efectividad de dicha funcionalidad del firewall. Al respecto Bezzazi et al. (2013) refirió que todos los firewalls deben contar con esta funcionalidad para que satisfagan las necesidades de la organización y protejan el tráfico de red. Finalmente Romero et al. (2016) dijeron: Bloquee el acceso a ciertas direcciones IP y permita el acceso al resto. Este método es bastante útil, ya que es muy útil para las organizaciones que quieren acceder a todos los sitios de Internet, excepto si desean que los usuarios no accedan a las redes sociales como facebook.com, pero si pueden acceder a las páginas de la red mundo para hacer investigación. (p.478)
Respecto a lo mencionado por Romero et al., el uso correcto de la política de filtrado URL es permitir el acceso a todas las páginas web excepto a las prohibidas por la organización, ya que si bien es cierto se debe restringir el acceso a algunas páginas también se debe permitir el acceso a las páginas que colaboren con el desarrollo de las funciones de la organización.
Otro aspecto a evaluar es el filtro antimalware (software malicioso). Al respecto los especialistas de The British Standards Institution (2012) a través del estándar [ISO/IEC 27032:2012] refirieron que el “Software malicioso contiene características o capacidades que pueden causar daños directa o indirectamente al usuario y/o al sistema informático del usuario. Ejemplo: virus, gusanos, troyanos” (p.6). Según Blansit (2009) refiere que las empresas requieren mayor seguridad en la red por lo que un dispositivo de seguridad como el firewall debe incluir funcionalidades como escanear paquetes que contengan software malicioso. Al respecto Christodorescu y Jha (2004) dijeron:
El software malicioso puede infiltrarse en los hosts utilizando una variedad de métodos, como ataques que explotan fallas de software conocidas, funcionalidad oculta en programas regulares e ingeniería social. Un detector de malware
44
identifica y contiene malware antes de que pueda llegar a un sistema o red. Una evaluación exhaustiva de la calidad de un detector de malware debe tener en cuenta la gran variedad de amenazas que representan los malware. (p.1)
Respecto a lo mencionado por Christodorescu y Jha, el trabajo del filtro antimalware es importante ya que previene que estos softwares maliciosos lleguen al sistema o a la red y puedan ocasionar daños, para ello deben ser evaluados de manera exhaustiva. De acuerdo a los especialistas del National Institute of Standards and Technology (2009) a través del estándar [NIST-SP 800-41] refirieron que el Firewall debe contar con funcionalidades adicionales como VPN y antimalware, además dichas funcionalidades deben ser evaluadas para asegurarse que funcionan correctamente.
Por otro lado Tomar y Tyagi (2014), refirieron que es importante protegerse de los software maliciosos que se encuentran ocultos en paquetes que viajan a través de la red y que ralentizan el flujo de la red o consumen recursos de los dispositivos de seguridad y/o host que se encuentran en la red. Por lo tanto es fundamental una correcta configuración de las políticas en el firewall para contrarrestar dichos ataques. Finalmente Huang et al. (2014) refirieron:
Una amenaza web se refiere a cualquier amenaza que utiliza internet para facilitar la ciberdelincuencia. En la práctica, las amenazas web pueden usar múltiples tipos de malware y fraude. Una característica común es que todas las amenazas web utilizan protocolos HTTP o HTTPS, aunque algunas amenazas también pueden usar otros protocolos y componentes, como enlaces en correos electrónicos o mensajes instantáneos, o archivos adjuntos de malware. A través de amenazas web, los ciberdelincuentes a menudo roban información privada o secuestran computadoras como bots en botnets. Se ha dado cuenta de que las amenazas web conllevan enormes riesgos, que incluyen daños financieros, robos de identidad, pérdidas de información .y datos confidenciales, robos de recursos de red, marcas dañadas y reputación personal y erosión de la confianza del consumidor en el comercio electrónico y la banca en línea. (p.1376)
Respecto a lo mencionado por Huang et al., las amenazas web pueden usar diferentes protocolos para propagarse de distintas maneras como archivos adjuntos con malware, enlaces de correo electrónico. La finalidad de estas amenazas es robar
45
información confidencial, sensible, financiera, que pueda afectar a los usuarios de los servicios que brinda la organización y en consecuencia perder la confianza del consumidor. Por lo tanto es fundamental evaluar este aspecto en el firewall.
Indicadores de eficacia de la seguridad:
A) Filtrado URL
El filtrado de URL es una de las herramientas más utilizadas para evitar que los usuarios tengan acceso a páginas web prohibidas en la organización (Feng et al., 2011). Al respecto Roy et al. (2012) dijeron “Los filtros URL son comúnmente utilizados por las empresas para bloquear sitios web con contenido objetable” (p.499). Por otro lado Feng et al. (2011) dijeron acerca del funcionamiento del filtrado URL:
El filtrado de contenido web es uno de los enfoques populares para proporcionar seguridad de acceso web. La función clave de este método es la clasificación en páginas web. En proporción a una estructura jerárquica para clasificar una gran colección de contenido web. (p.2)
Respecto a lo mencionado por Feng et al., el filtrado URL se encarga de verificar la etiqueta de clasificación de las páginas web para proceder a bloquearlas de acuerdo a las políticas de seguridad implementadas en el firewall. Según Feng et al. (2011) refirieron que los proveedores de dispositivos de seguridad como Cisco, Bluecoat, entre otros, han incluido esta funcionalidad para clasificar, monitorear y controlar el tráfico web. Según Demertzis e Iliadis (2015) dijeron que el filtrado de URL es una técnica que a través de reglas configuradas en el firewall permiten o restringen el acceso a sitios web específicos.
Por otro lado Roy et al. (2012) dijeron “Un servicio web puede ser activado remotamente por un cliente utilizando HTTP. Normalmente, el cliente enviará una consulta, el servicio web recuperará la información relevante de una base de datos subyacente y enviará la respuesta” (p.499). Asimismo Mohammad et al. (2014) dijeron el funcionamiento de las políticas de filtrado URL:
El primero se basa en listas negras, en las que la URL solicitada se compara con las de esa lista. La desventaja de este enfoque es que la lista negra generalmente no puede cubrir todos los sitios web de phishing; ya que, en segundos, se espera
46
el lanzamiento de un nuevo sitio web fraudulento. El segundo enfoque se conoce como método basado en heurística, donde se recopilan varias características del sitio web para clasificarlo como phishing o legítimo. En contraste con el método de la lista negra, una solución basada en heurística puede reconocer sitios web de phishing recién creados. La precisión del método basado en heurística depende de la selección de un conjunto de características discriminatorias que puedan ayudar a distinguir la clase de sitio web. (p.153)
Referente a lo mencionado por Mohammad et al., el funcionamiento de las políticas de filtrado pueden ser de dos maneras, el primer método se basa en listas negras donde el usuario detalla los sitios web a bloquear, pero esta medida es ineficiente debido a que se bloquea una cantidad limitada de sitios web para adultos, entonces esa regla no aplicaría a los sitios web para adultos publicados después de la creación de la regla de filtrado. El segundo método se basa en la heurística donde por ejemplo el firewall se encarga de bloquear los sitios web para adultos y luego verifica y compara características de los sitios web para determinar si pertenecen a la categoría adultos para que luego proceda a bloquearlos.
Por otra parte Colmenares y Albores (2016) refirieron que el usuario ejecuta su navegador web e ingresa a un sitio web, luego la dirección URL es analizada por el firewall respecto al estado de su dominio (confiable o no confiable) para determinar si restringe o permite el acceso al sitio web en consulta por el usuario. Asimismo Colmenares y Albores (2016) dijeron acerca del análisis que realiza el firewall a una URL:
Si el dominio no está entre los sitios seguros, la URL se busca dentro del caché (servidor de base de datos de URL). La respuesta puede ser cualquiera de los siguientes estados: 0, 1; En el caso del estado 0, el sitio web se mostrará directamente. Si el estado es 1, representa un sitio bloqueado y, por lo tanto, se redirige a uno seguro, que ha sido predefinido por el sistema. (p.17)
Referente a lo mencionado por Colmenares y Albores, el firewall brinda un valor al sitio web para permitir su visualización o proceder con su bloqueo. Finalmente Colmenares y Albores (2016) dijeron “Se realizaron pruebas del sistema, donde de los 68 sitios web visitados (51.47% eran sitios seguros, mientras que 48.53% no eran seguros), todos ellos desconocidos por el sistema, para llevar a cabo las estadísticas que se muestran
47
a continuación. El sistema determina el estado del sitio web (1 = inseguro, 0 = seguro) (p. 18).” Finalmente Rajalakshmi y Aravindan (2018) recomendaron:
Los enfoques basados en contenido no son adecuados cuando la página web contiene solo imágenes. Zhang et al analizaron el uso de URL para detectar páginas web pornográficas. Utilizaron la representación de n-gramas para las URL y aplicaron la selección de características en función de su propia medida de relevancia. Combinaron el enfoque basado en contenido con las características basadas en URL para detectar las páginas web objetables. Kan clasificó las páginas web mediante el uso de características extraídas del texto de la URL, el texto del título, el texto de anclaje y el texto de la página. Además, demostraron que es posible clasificar las páginas web utilizando solo las funciones de URL sin usar el contenido y lograron una medida de F1 promedio de 0.338 en el conjunto de datos de Web KB. Como el sistema de clasificación basado en URL ahorra ancho de banda y acelera el proceso de clasificación, gana atractivo. (p.367)
Respecto a lo mencionado por Rajalakshmi y Aravindan, dijeron que no es recomendable evaluar el filtro web a través de enfoques basados en contenido (imágenes). Por el contrario recomendaron el uso de bloqueo por categorías es decir cuando el usuario acceda a un sitio web, el firewall revisara la categoría asociada a dicha web para determinar si bloqueara o permitirá el acceso solicitado por el usuario.
B) Filtrado de malware
En internet existen gran cantidad de sitios web que contienen archivos maliciosos (malware) que buscan infectar la red de los usuarios que acceden a dichas páginas. Al respecto Huang et al. (2014) dijeron:
Aunque los mecanismos adversos exactos detrás de las actividades delictivas web pueden variar, todos intentan atraer a los usuarios a visitar sitios web maliciosos haciendo clic en la URL correspondiente. Una URL se llama maliciosa si se crea con un propósito malicioso y lleva al usuario a una amenaza específica que puede convertirse en un ataque, como spyware, malware y phishing. Las URL maliciosas son un riesgo importante en la web. Por lo tanto, la detección de URL maliciosas es una tarea esencial en la inteligencia de seguridad de la red. (p.1376)
48
Respecto a lo mencionado por Huang et al., refiere que existen URL maliciosas que son un riesgo latente para la organización por lo que menciona la importancia de detectar estos sitios maliciosos. Al respecto Huang et al. (2014) refirieron que es importante que el firewall realice una detección eficaz de algún archivo malicioso:
La detección debe tener una alta precisión. […] Cuando la exactitud es preocupante, la frecuencia de visita de las URL también debe ser considerada. Por lo tanto, es importante detectar correctamente las URL visitadas con frecuencia. De manera similar, es altamente deseable que un método de detección de URL maliciosos tenga una alta recuperación para que se puedan detectar muchas URL maliciosas. Nuevamente, cuando la recuperación se calcula en este contexto, se debe considerar la frecuencia de visita de las URL. (p.1376)
Respecto al párrafo anterior, para que el firewall pueda realizar una detección eficaz de algún software malicioso (malware) debe realizarlo en tiempo real. Al respecto Huang et al. (2014) dijo:
Detección en tiempo real: Para proteger a los usuarios de manera efectiva, se debe advertir a un usuario antes de que visite una URL maliciosa. El tiempo de detección de la URL sospechosa debe ser muy corto para que los usuarios no tengan que esperar mucho tiempo y sufran una mala experiencia de usuario. (p. 1376)
Respecto a lo mencionado por Huang et al., el firewall debe tener la capacidad de detectar la URL maliciosa en tiempo real y rápido ya que una demora en la carga del sitio web generara mala experiencia al usuario. Al respecto Christodorescu y Jha (2004) dijeron:
Al elegir una metodología de prueba, uno tiene que considerar la naturaleza de los detectores de malware: primero, la mayoría de los detectores de malware son software comercial, y sus algoritmos y tecnologías son propietarios. Esto nos limita al uso de pruebas funcionales o de caja negra. En segundo lugar, la naturaleza misma del malware hace que sea imposible definirlo claramente: un malware puede verse como un código que pasa por alto la política de seguridad de un sistema. Esto significa que el espacio de entrada no se puede reducir simplemente a un tamaño manejable mediante el uso de clases de equivalencia,
49
como "gusanos", "virus" y "programas benignos". Consideramos dos métodos para explorar el espacio de entrada: pruebas aleatorias y adaptativas. (p.2)
Respecto a lo mencionado por Christodorescu y Jha, no hay una metodología definida para detectar malware, ya que es imposible definir características asociadas a un malware como tamaño, extensión del archivo, etc. debido a que estas características son muy variables. Por lo que refirieron que solo hay dos métodos para detectar malware los cuales son pruebas aleatorias y adaptativas. Al respecto Christodorescu y Jha (2004) refirieron que los antimalware funcionan analizando archivos, mensajes de correo electrónico, paquetes de red, sitios web y determinan si los datos contienen programas ejecutables ocultos y para ello aplican el método sistema operativo host. En efecto León (2016) dijo:
Como ya hemos mencionado, uno de los principales vectores de infección es la propia navegación web. Aunque habitualmente los usuarios descargan software de orígenes poco confiables e infectan sus ordenadores, cada vez es más frecuente que el usuario se vea afectado sin necesidad de que descargue manualmente un fichero malicioso. El simple hecho de utilizar navegadores o plugins desactualizados, como puedan ser Java o Flash, y llegar a una página maliciosa o que haya sido comprometida para redirigir al landing-page de un exploit kit puede suponer la infección del usuario. (p.66)
Respecto a lo mencionado por León (2016), afirma que los usuarios pueden infectarse accediendo a sitios web maliciosos y recomienda tener los plugins de los navegadores web actualizados, por lo tanto el Firewall como primer mecanismo de seguridad perimetral de la organización debe analizar los sitios web a los que accede el usuario y bloquear los que contengan algún archivo malicioso. Además León (2016) refiere que para evaluar la funcionalidad antimalware del firewall a través de sus motores antivirus, se debe acceder a páginas web que se encuentren infectadas por archivos maliciosos para que el Firewall pueda detectarlas y bloquearlas. Si se logra descargar el archivo entonces la prueba habrá fallado y por lo tanto se entiende que el archivo malicioso atravesó la seguridad perimetral ofrecida por el firewall. Por consiguiente Zouina y Outtaj (2017) dijeron que para evaluar la detección de malware de un firewall se debe recopilar direcciones URL de las cuales al acceder al sitio web, 50% deben
50
contener algún malware y el 50% restante deben ser páginas web legítimas es decir sin contenido de archivos maliciosos.
1.3.7 Consumo de recursos Es importante evaluar el consumo de recursos en los dispositivos de seguridad, ya que si estos están asignados correctamente influyen en el buen rendimiento del Firewall (Xuan et al., 2016). Asimismo Fiessler et al. (2016) refirieron que el consumo de recursos es una métrica importante para evaluar el rendimiento. Al respecto Seth et al. (2013) dijeron
En los últimos tiempos, existe una fuerte demanda para analizar el rendimiento de los firewalls de red cuando se los somete a ataques DDoS. Si los firewalls de red están mal diseñados para soportar ataques DDoS, la seguridad general de la red protegida será de alto riesgo. Específicamente, existe una creciente demanda de análisis, modelado y simulación del rendimiento de los firewalls de red para predecir qué tan eficiente es el firewall de red bajo ataques DDoS. (p.62)
Respecto a lo mencionado por Seth et al., justifica la evaluación del consumo de recursos del firewall ante un ataque de denegación de servicios, ya que si el firewall no pude mitigar dicho ataque simplemente no garantiza seguridad. Por lo tanto Jarrín (2010) “Considera como índices de desempeño más adecuados y necesarios para su evaluación de acuerdo a sus valores umbrales con el estudio requerido que se presentan son los siguientes: CPU, memoria, discos, red, cache, archivo de paginación y servidor (p.49)”.
Por consiguiente Torres (2014) “Considera como criterios de rendimiento a medir al consumo de memoria RAM ante un gran volumen de mensajes y al consumo de CPU ante grandes volúmenes de mensajes” (p.38). Al respecto Bolanowski (2014) dijo que se debe evaluar el consumo de recursos en un firewall de la siguiente manera:
Generar tal tráfico de prueba es por supuesto posible, pero: en condiciones de laboratorio utilizando generadores de tráfico muy costosos (Ixia, JDSU) o con un entorno de producción que generalmente está asociado con ciertos inconvenientes para los usuarios finales y es inaceptable en las redes de producción. Actualmente, las mediciones se relacionan principalmente con: retraso máximo, retraso unidireccional, variación de retardo, velocidad de pérdida de paquetes, ancho de banda, tiempo de transferencia de archivos, consumo de recursos (CPU, memoria, búferes, cola). (p.854)
51
Respecto a lo mencionado por Bolanowski, refiere que es importante evaluar el consumo de recursos en los dispositivos de seguridad. Asimismo recomienda que se debe realizar las pruebas generando tráfico de red en un escenario controlado fuera de la red de producción. Cheng et al. (2011) refirieron que “El ataque de denegación de servicio (DoS), intenta saturar el ancho de banda de la red o los recursos del sistema, como la CPU y el espacio de memoria del IPS” (p.2). Además Sheth et al. (2013) refirieron “En los ataques de agotamiento de recursos DDoS, el atacante envía un paquete mal formado que ata los recursos de la red o agota los recursos del sistema, de modo que no quedan recursos para usuarios legítimos” (p.62). Para evaluar el consumo de recursos se recurren a diferentes métodos y al respecto Gordon (2017) dijo: Hay múltiples opciones que permiten a una organización probar su entorno de red sin estar expuesto a las consecuencias de un verdadero ataque DDoS. Estos incluyen soluciones de hardware que respaldan la realización de simulaciones y facilitan la investigación para comparar y contrastar las diversas técnicas vistas con los ataques DDoS, proporcionando valiosos datos de tráfico de red que se pueden medir y analizar. Por ejemplo, Tomar & Tyagi (2014) realizan modelado de ataques de inundación DoS utilizando un generador de tráfico para crear una simulación DoS. Ellos comparan los resultados y el nivel de efectividad de los ataques del protocolo TCP y UDP. (p.51)
Respecto a lo mencionado por Gordon, se puede utilizar herramientas de hardware para simular ataques de red y poder evaluar los dispositivos de seguridad. Gordon (2017) refiere que para realizar una prueba de estrés más precisa, se debe considerar el impacto que esta genera a la memoria y CPU del Firewall. Por consiguiente Aijaz y Parveen (2016) dijeron:
La denegación de servicio (DoS) y la denegación de servicio distribuida (DDoS) son amenazas que agotan los recursos de un sistema, por lo que no están disponibles para usuarios legítimos y violan la disponibilidad del componente de seguridad. […] Estos ataques pueden agotar fácilmente los recursos informáticos y de comunicación de su víctima en un corto período de tiempo. Se ha hecho necesario que los investigadores y desarrolladores entiendan el comportamiento de estos ataques DDoS porque afecta a la red objetivo con poca o ninguna advertencia previa. (p.130)
52
Respecto a lo mencionado por Aijaz y Parveen, refirieron que los ataques de denegación de servicios tienen por finalidad agotar los recursos del Firewall. Al respecto Zapata (2012) dijo:
Son ataques que provocan que un servicio, equipo o recurso sea inaccesible para usuarios legítimos. Para esto se envía mensajes TCP de petición de conexión por parte del cliente, pero sin enviar su confirmación lo cual provoca colapsos en equipos y consumo de recursos en forma desproporcionada, muchas veces la dirección de origen es falsificada. (p.13)
Puesto que varios autores coinciden en realizar una prueba de denegación de servicios para evaluar los recursos de un firewall. Por consiguiente se debe determinar las herramientas y procedimientos a utilizar para que se realicen correctamente las pruebas. Al respecto Bolanowski et al. (2014) dijeron:
El generador de tráfico de red JDSU TS170 se utilizó para generar tráfico de red con un rendimiento de 1 o 10 Gb / s en ambos casos. Este generador tiene la capacidad de generar hasta 4K sesiones de prueba independientes y definir parámetros de tráfico para hasta 4 capas del modelo ISO / OSI. Este generador puede ser sustituido por aplicaciones Jperf y una computadora de clase PC adaptada adecuadamente. (p.855)
Respecto a lo mencionado por Bolanoswki et al., recomendaron que se debe utilizar generadores de tráfico de red de hardware. También brinda algunas opciones en software libre como Jperf instalado en una computadora personal. Por otra parte Jürjens y Wimmel (2001) propusieron la siguiente alternativa para evaluar los consumos de recursos: Prueba de estrés: Para un componente de firewall elegido, genere todos los casos de prueba a partir de la especificación, donde este firewall descarta un paquete que llega. Por lo tanto, el sistema de firewall que se va a probar se puede inundar sistemáticamente con paquetes que se deberían eliminar. Como ejemplo, para el componente de firewall F1, debemos especificar que un paquete llega a uno de los puertos de entrada, pero no se da una indicación de paso en el siguiente paso de ejecución. Este MSC muestra la ruta de un paquete proveniente de Internet que llega a la DMZ, donde la dirección de destino es el servidor de correo, pero luego
53
se transmite incorrectamente a la F1 dentro de la DMZ, por ejemplo, por un troyano. (p.6)
Respecto a lo mencionado por Jürjens y Wimmel, refirieron que se puede inundar los recursos de un firewall a través de paquetes enviados al puerto de entrada, aun sabiendo que el firewall los va a rechazar. Es decir el firewall al rechazar un paquete también utiliza recursos de CPU y memoria.
Indicadores de consumo de recursos:
A) Consumo de CPU ante un ataque de denegación de servicios
Para poder medir el consumo de CPU en el firewall se debe adoptar alguna metodología u estándar que brinde los procedimientos adecuados. Al respecto Agus (2014) refiere: Existen algunas pautas sobre la medición del rendimiento del firewall, como en RFC 3511 para ser utilizado en el tráfico de red regular. Hay muchos estándares propuestos de análisis de rendimiento de firewall en el filtrado de tráfico de red. También hay información sobre la comparación del rendimiento del cortafuegos en el ataque DDoS, que el autor simuló un ataque DDoS basado en ataques TCP (SYN) en los cortafuegos y midió el rendimiento en función del rendimiento del ancho de banda, la utilización de la CPU y el tiempo para alcanzar la denegación de servicio. El rendimiento del firewall basado en hardware y software en este estudio se analizará utilizando los siguientes criterios; el tiempo de acceso del cliente, los recursos de la CPU y el rendimiento del ancho de banda durante un ataque DDoS. Las características de la administración de recursos para cada tipo de firewall al manejar el ataque DDoS se ilustrarán, compararán y analizarán en detalle. (p.21)
Respecto a lo mencionado por Agus, propone la guía de estándares como el RFC 3511 para evaluar el consumo de CPU en el firewall. Además refiere que la evaluación se debe realizar a través de un ataque de denegación de servicios basado en el protocolo TCP (SYN). Por otra parte Alagiya et al. (2013) refiere acerca del consumo de recursos ante un ataque de denegación de servicios:
54
Se observa que en condiciones normales, el uso de la memoria se mantiene alrededor del 50% y el uso de la CPU se mantiene alrededor del 8% en UTM. A medida que aumenta la carga de ataque en el dispositivo UTM, el uso de la CPU y la memoria aumenta linealmente. En situaciones de alta carga de ataque, el uso de memoria llega al 69% y el uso de la CPU llega al 100%, lo que resulta en la falta de disponibilidad de recursos, y el dispositivo UTM no puede atender el tráfico genuino de manera eficiente debido a los datos de ataque inundado. (p.49)
Respecto a lo mencionado por Alagiya et al., compara el consumo de recursos del firewall (CPU y memoria) en condiciones normales y bajo un ataque de denegación de servicios. Al respecto Cajas et al. (2015) dijeron “La principal característica de estos ataques es que ocupan el ancho de banda, lo que provoca que se saturen las capacidades de los recursos del servidor. Este asunto se puede apreciar mediante las herramientas de medición de recursos del sistema” (p.4)
Por lo tanto Agus (2014) detalla acerca de las características que deben tener el escenario de pruebas para realizar el ataque de denegación de servicios en un ambiente controlado: El banco de pruebas constará de lo siguiente: Un Firewall basado en hardware (CISCO ASA 5505), un firewall basado en software (Microsoft TMG 2010), un servidor web (Apache 2.6), una estación de trabajo de atacantes (Kali Linux y Microsoft Windows Server 2012), finalmente una estación de trabajo de usuario final y conmutadores de red. El firewall basado en hardware es un CISCO ASA 5505 con procesador de 2 GHz, 512 MB de memoria y una tarjeta flash de 256 MB. Viene con un paquete de seguridad que incluye: usuario ilimitado con un límite de 10,000 conexiones y firmware ASA 8.2. El firewall basado en software es un Microsoft TMG 2010 instalado dentro de un Microsoft Windows Server 2008 R2, service pack 2. Para nivelar la especificación de hardware hacia el Firewall basado en hardware, el Firewall basado en software se instaló en una estación de trabajo con Intel Quad Core Procesador a 2,4 GHz con 4 GB de RAM. El servidor web se basa en Apache 2.6, instalado en un sistema operativo Windows Server 2012 con procesadores de 12 núcleos a 2,4 GHz y 24 GB de RAM. (p.22)
55
Respecto a lo mencionado por Agus, este recomienda realizar la prueba con equipos firewalls de hardware y de software de similares recursos para que los resultados sean equilibrados. Para complementar Vesga et al. (2016) señalaron:
En el esquema propuesto una de las PC, mediante el software D-ITG se configura como servidor y los equipos restantes se configuran como clientes. Los clientes tienen la función de generar tráfico tipo VoIP, bajo parámetros de configuración específicos acordes con el objetivo del experimento, en el servidor se realiza la captura y el análisis de los paquetes que circulan por la red HomePlug AV. (p.90)
Respecto a lo mencionado por Vesga et al., dijeron que se debe generar tráfico desde los equipos clientes hacia el servidor que se encuentra protegido por el firewall. Finalmente Agus (2014) dijo: Para obtener el resultado promedio para cada prueba de rendimiento, un ataque DoS será lanzado desde múltiples estaciones de trabajo de atacantes. Estos ataques iniciales se ejecutarán un mínimo de 5 minutos antes de que se tomen las lecturas. Después del período inicial de ataque de cinco minutos, se tomarán 20 lecturas continuas. Los 5 más bajos y los 5 más altos se descartarán como irregularidades en los datos. El promedio se calculará de la siguiente manera: Datos promedio = (D6 + D7 + D… + D15) / 10. Donde D6 - D15 es el dato medio adquirido. (p.24)
Respecto a lo mencionado por Agus (2014), las pruebas de denegación de servicios deben durar como mínimo 5 minutos, luego se procederá a tomar la lectura de los cambios de porcentaje de uso del CPU. Asimismo se tomaran 20 lecturas del porcentaje de consumo de CPU en el firewall y se descartaran los 5 valores más bajos y los 5 valores más altos. Finalmente se promediaran los 10 resultados restantes para que se obtenga un valor más fiable. Por otra parte Cajas et al. (2015) refirieron: El envío de peticiones de conexión TCP hecho por la herramienta Hping3 encargada de la denegación de servicios, se examinó en los ataques internos como externos. Los ataques consistían en un envío de 2000, 5000 y 10000 paquetes TCP con una velocidad superior a una maquina estándar puede procesar, para proceder a verificar el consumo de recursos en cada caso, se utilizó un período de 10 minutos. Cuando se realizó esto se calculó el ancho de banda utilizado, el uso de CPU y de memoria. (p.4)
56
Respecto a lo mencionado por Cajas et al. Propusieron otro procedimiento para evaluar el consumo de CPU y memoria en el firewall. Dicho procedimiento consiste en el envío de grandes cantidades de paquetes al firewall en un periodo de 10 minutos.
B) Consumo de memoria ante un ataque de denegación de servicios Es importante evaluar el consumo de memoria de un firewall. Para ello se debe realizar un ataque de denegación de servicios. Al respecto Bolanowski et al. dijeron:
Los principales problemas encontrados en este tipo de pruebas es el problema de generar tráfico que sea lo suficientemente complejo. Por ejemplo, un conmutador de red de tamaño mediano tiene 48 puertos de red con una capacidad total de 96 Gb/s. Generar tal tráfico de prueba es posible, pero en condiciones de laboratorio usando generadores de tráfico muy costosos (Ixia, JDSU) o en un entorno de producción que generalmente está asociado con ciertos inconvenientes para los usuarios finales y es inaceptable en las redes de producción. Actualmente, las mediciones se relacionan principalmente con: ancho de banda, tiempo de transferencia de archivos, consumo de recursos (CPU, memoria, búferes, cola). Pero a menudo todos estos parámetros se prueban en condiciones de baja carga de tráfico. (p.854) Respecto a lo mencionado por Bolanowski et al., identifica la generación necesaria de tráfico de red como principal problema para realizar una prueba de denegación de servicios. Asimismo refiere que se debe evaluar el consumo de recursos como la memoria del firewall y esta se puede realizar con baja carga de red. Al respecto Cajas et al. (2015) dijeron “La principal característica de estos ataques es que ocupan el ancho de banda, lo que provoca que se saturen las capacidades de los recursos del servidor. Este asunto se puede apreciar mediante las herramientas de medición de recursos del sistema” (p.4). Finalmente Agus (2014) dijo: Para obtener el resultado promedio para cada prueba de rendimiento, un ataque DoS será lanzado desde múltiples estaciones de trabajo de atacantes. Estos ataques iniciales se ejecutarán un mínimo de 5 minutos antes de que se tomen las lecturas. Después del período inicial de ataque de cinco minutos, se tomarán 20 lecturas continuas. Los 5 más bajos y los 5 más altos se descartarán como irregularidades en los datos. El promedio se calculará de la siguiente manera: Datos promedio = (D6 + D7 + D… + D15) / 10. Donde D6 - D15 es el dato medio adquirido. (p. 24)
57
Respecto a lo mencionado por Agus (2014), las pruebas de denegación de servicios deben durar como mínimo 5 minutos, luego se procederá a tomar la lectura de los cambios de porcentaje de uso del CPU. Asimismo se tomaran 20 lecturas del porcentaje de consumo de CPU en el Firewall y se descartaran los 5 valores más bajos y los 5 valores más altos. Finalmente se promediaran los 10 resultados restantes para que se obtenga un valor más fiable.
Por otra parte Cajas et al. (2015) presentaron otra alternativa para evaluar el consumo de recursos en el firewall:
El envío de peticiones de conexión TCP hecho por la herramienta Hping3 encargada de la denegación de servicios, se examinó en los ataques internos como externos. Los ataques consistían en un envío de 2000, 5000 y 10000 paquetes TCP con una velocidad superior a una maquina estándar puede procesar, para proceder a verificar el consumo de recursos en cada caso, se utilizó un período de 10 minutos. Cuando se realizó esto se calculó el ancho de banda utilizado, el uso de CPU y de memoria. (p.4)
Respecto a lo mencionado por Cajas et al. Propusieron otro procedimiento para evaluar el consumo de CPU y memoria en el firewall. Dicho procedimiento consiste en el envío de grandes cantidades de paquetes al firewall en un periodo de 10 minutos con la herramienta hping. Al respecto Aijaz y Parveen (2016) dijeron acerca del uso de la herramienta hping: “El ataque se realizó mediante el uso de la herramienta Hping. La máquina de la víctima se inundó usando la herramienta ejecutando el siguiendo el comando Hping del sistema del atacante: # hping3 --flood –S –p 80 192.168.0.5 (p.134)”.
1.3.8 Herramientas de medición A continuación se detallaran las herramientas que se utilizaran para evaluar el rendimiento de los firewalls:
1.3.8.1 Iperf Iperf es una herramienta de software libre utilizada para evaluar el throughput. Al respecto Rousseau (2013) dijo “Iperf en la actualidad es ampliamente utilizado para las medidas básicas de throughput en los enlaces Ethernet. Este se instala en un computador
58
personal y utiliza la puerta RJ45 como interfaz de entrada/salida para la medición (p.32)”. Por otro lado Mirawalls et al. (2017) dijeron: Utilizando TCP, es capaz de estimar el ancho de banda útil máximo; sin embargo, cuando se utiliza UDP es necesario conocerlo, ya que al no tener retroalimentación del otro extremo, iperf3 envía siempre a máxima tasa, y solo el servidor es capaz de detectar cuantos paquetes le llegan realmente. Por ello, para medir el ancho de banda con UDP en cada escenario, se ha buscado primero de manera iterativa el ancho de banda máximo que se podía lograr sin pérdidas antes de tomar las medidas. (p.120)
Respecto a lo mencionado por Mirawalls et al., Iperf plantea las pruebas de medición de throughput en diferentes escenarios de acuerdo al protocolo utilizado como TCP o UDP. En el presente trabajo se utilizará esta herramienta para evaluar el throughput desde un punto a otro atravesando el Firewall, enviando paquetes de diferentes tamaños 64, 128, 256, 512, 1024, 1280 y 1518 bytes establecidos en el RFC Nº 2544.
1.3.8.2 Lan speed test Esta herramienta permite calcular el tiempo de la descarga de un archivo desde otra zona del Firewall y será utilizada en las pruebas de latencia del presente trabajo. Los especialistas de la empresa Totusoft (2018) dijeron:
Lan speed test fue diseñada desde cero para ser una herramienta simple pero poderosa para medir la transferencia de archivos, el disco duro, la unidad USB y las velocidades de la red de área local. Para ello, construye un archivo en la memoria, luego lo transfiere en ambos sentidos mientras realiza un seguimiento del tiempo, y luego realiza los cálculos por usted. (p.3)
Respecto a lo mencionado por los especialistas de Totusoft, esta herramienta permite medir el tiempo de la transferencia de archivos desde el servidor hasta la PC de usuario.
59
1.3.8.3 Hping Hping es una herramienta incluida en Kali Linux que permite realizar ataques de denegación de servicios y pruebas de estrés a equipos informáticos. Al respecto Jara y Pacheco (2012) señalaron que “Es una herramienta del tipo packet crafter indispensable para la evaluación, auditoría de redes y dispositivos. Permite manipular paquetes TCP/IP y configurarlos a gusto. La última versión disponible es hping3” (p.240).
Hping evaluara el número de conexiones TCP que puede atender el Firewall en un periodo determinado de tiempo y generará paquetes TCP con destino al Firewall a medida, para posteriormente evaluar las cantidades de paquetes TCP que atendió el Firewall en el tiempo determinado. Al respecto Cajas et al. (2015) dijeron:
La herramienta hping es un analizador/ensamblador de paquetes TCP/IP de uso en modo consola. Está inspirado en el comando ping de unix, aunque a diferencia de éste, hping no solo es capaz de enviar paquetes ICMP sino que además también puede enviar paquetes TCP, UDP, y RAW-IP. Todo esto quiere decir, que con esta herramienta, podemos generar paquetes TCP/IP a medida, que contengan la información que queramos. Esto puede resultar muy interesante para poder efectuar auditorías de red y poder así prevenir ataques malintencionados. (p.2)
Respecto a lo mencionado por Cajas et al., la herramienta Hping es capaz de enviar paquetes con protocolos TCP y será utilizado en el presente trabajo para realizar pruebas de denegación de servicios.
1.3.8.4 Panel de monitoreo del Firewall El panel de monitoreo es una herramienta inherente al firewall que se utilizara en el presente trabajo para medir el consumo de recursos de los firewalls. Al respecto los especialistas de Paloalto Networks (2016) dijeron “Los widgets de la pestaña muestran información general del dispositivo, como la versión de dashboard, el estado operativo de cada interfaz, la utilización de recursos y las entradas más recientes en los logs de sistema, configuración y amenazas (Paloalto Networks, 2016, p. 252).”
Por otra parte los especialistas de Fortinet (2017) dijeron “El Panel de control consta de una serie de widgets, cada uno de los cuales muestra un conjunto diferente de información. Hay disponibles una serie de widgets pre configurados que se pueden personalizar para satisfacer sus necesidades (p. 246)”.
60
1.4 Formulación del problema
Sobre la base de realidad problemática presentada se planteó los siguientes problemas de investigación:
1.4.1 Problema general
¿Cuáles serán los procedimientos de una metodología para la evaluación de rendimiento de Firewalls y que resultado nos dará al comparar el rendimiento de un Firewall de hardware y un Firewall de software?
1.4.2 Problemas específicos Los problemas específicos de la investigación fueron los siguientes:
PE1: ¿Cuáles serán los procedimientos de una metodología para la evaluación de rendimiento de Firewalls y que resultado nos dará al comparar el rendimiento de Firewall de hardware y Firewall de software en cuanto a desempeño en la red?
PE2: ¿Cuáles serán los procedimientos de una metodología para la evaluación de rendimiento de Firewalls y que resultado nos dará al comparar el rendimiento de Firewall de hardware y Firewall de software en cuanto a eficacia de la seguridad?
PE3: ¿Cuáles serán los procedimientos de una metodología para la evaluación de rendimiento de Firewalls y que resultado nos dará al comparar el rendimiento de Firewall de hardware y Firewall de software en cuanto a consumo de recursos?
1.5 Justificación del estudio 1.5.1 Justificación operativa
En el presente trabajo de investigación se propone una metodología para evaluar el rendimiento de un Firewall en la DIRTIC PNP, que permita disminuir considerablemente este laborioso proceso y tiempo de evaluación. No contar con una metodología integral para evaluar un Firewall trae consecuencias. Beyene et al. (2010) dijeron que debido a que no hay una metodología estandarizada para evaluar el rendimiento de un Firewall, los datasheet con la información de las características y capacidades de estos dispositivos
61
de seguridad se encuentran infladas o evaluadas en escenarios poco confiables y en consecuencia no hay métricas definidas para evaluar y elegir el Firewall que mejor se adapte a las necesidades de la organización. Así mismo Ragnarsson y Gustafsson (2009) refirieron que en la actualidad todas las redes están protegidas por un Firewall, pero los estudios han demostrado que los Firewalls no son configurados correctamente ya que no existe una metodología para probar el funcionamiento correcto de estos y en consecuencia los usuarios creen que están protegidos pero no lo están. Ante lo citado es que se propone “MERF” que es una metodología sencilla que proporciona los pasos apropiados basados en los criterios de evaluación determinados (desempeño en la red, eficacia de la seguridad y consumo de recursos) con la finalidad de evaluar de manera ordenada y sistemática el rendimiento de un Firewall.
1.5.2 Justificación tecnológica
Al revisar la literatura no se ha encontrado una metodología integral y/o estándar referente a la evaluación del rendimiento de los Firewalls de nueva generación. Sin embargo Hickman et al. (2003) a través del “RFC 3511” proponen una metodología titulada “Benchmarking Methodology for Firewall Performance” que a la fecha con la aparición de los Firewalls de nueva generación ha quedado desfasada. Por lo que actualmente la evaluación de Firewalls está sujeta a la experiencia y/o grado de satisfacción que tienen los usuarios. Al respecto Beyene et al. (2010) dijeron:
Dado que no existe una metodología sistemática para evaluar e informar el desempeño del Firewall, los proveedores de Firewall informan un alto rendimiento poco realista obtenido con perfiles de tráfico no especificados o elegidos arbitrariamente, y métricas de rendimiento que pueden ser fácilmente "evaluadas" como discutiremos más tarde. Como resultado, los clientes tienen que confiar en las recomendaciones de boca en boca o pasar por el laborioso proceso de probar cada Firewall ellos mismos. (p.74)
La metodología propuesta en el presente trabajo permite evaluar las nuevas funcionalidades inherentes de un Firewall de nueva generación. Por lo que desplaza a las metodologías antiguas y/o desfasadas basadas en Firewall de primera generación que trabajaban mayormente en la capa de transporte del modelo OSI.
62
Los cortafuegos son la piedra angular de la seguridad de la red. Están presentes en miles de organizaciones y sirven para proteger sus redes internas. Los Firewalls modernos no solo operan en la capa de red, sino también en las capas de transporte y aplicación para proporcionar la máxima seguridad. Los Firewalls se implementan comúnmente como filtros de paquetes y funcionan al examinar los paquetes entrantes y compararlos con un conjunto de reglas predefinidas llamadas listas de control de acceso. Luego, el Firewall decide si enrutar el paquete a la red de confianza o filtrarlo. (Ganesh et al., 2014, p.1594)
1.5.3 Justificación económica
Es necesario evaluar los Firewalls para poder determinar y comparar los de mejor rendimiento. En el presente trabajo se evaluará el rendimiento de Firewalls de hardware y software, si los Firewalls de software tienen mayor o igual rendimiento que los Firewalls de hardware, se tendrá una buena opción para implementar seguridad perimetral a bajo costo. Al respecto Martínez et al. (2009) dijeron:
Existen en el mercado algunas soluciones (hardware y software) específicas para proporcionar a las pequeñas y medianas empresas la mejor protección posible de información. Estas propuestas se han diseñado para reducir los costos, los riesgos y la complejidad, pero aún siguen estando fuera del alcance presupuestal de estas compañías. (p.156)
Por otro lado Pacheco y Martínez (2009) dijeron las características de un Firewall basado en el sistema operativo Linux:
Un Firewall Linux es totalmente flexible y adaptable a las necesidades particulares de cada situación. En términos monetarios no hay forma más económica y confiable para filtrar paquetes. El costo de instalar un Firewall Linux puede ser hasta diez veces más económico que comprar un Firewall por hardware o paquetes de software comerciales. (p.20)
Respecto a lo mencionado por Pacheco y Martínez, presentan alternativas de seguridad informática económicas basadas en software libre que permitirán reducir costos en adquisición de equipos de seguridad informática a las empresas. Caso contrario si los Firewalls de hardware tienen mayor rendimiento, se justificará la costosa compra de
63
estos equipos de hardware por ser de mayor rendimiento y ofrecer mayor seguridad en comparación a los equipos Firewall de software. Ya que el impacto que tendría una organización por no estar segura es mucho mayor al gasto que puedan realizar al comprar equipos de seguridad informática (Gordon, 2017).
1.6 Hipótesis 1.6.1 Hipótesis general
HG: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software.
Los Firewalls de hardware son soluciones idóneas, suelen ser costosos, complejos, difíciles de escalar y algo complicados a la hora de configurarlos. En otras palabras, están orientados para administradores de TI que cuentan con el conocimiento necesario para administrar este tipo de equipos. Los Firewalls de software están orientados al uso personal o para las pequeñas organizaciones que poseen conexiones de banda ancha no muy amplias. (Coronel, 2014, p.24)
Se infiere del párrafo anterior que los Firewalls de hardware son más eficientes en redes que trabajan a mayor velocidad, con una mayor carga laboral es decir mayor exigencia.
1.6.2 Hipótesis específicas
HE1: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red.
Almirón et al. (2014) dijeron que los Firewalls de hardware tienen mejor desempeño de red:
Se puede utilizar Firewall por hardware o por software, dependiendo de la necesidad que tengamos. El costo de hardware diseñado para Firewall, además de ser más elevado que el costo de un Firewall por software, puede ofrecer varias herramientas. Si nuestra red cuenta con muy pocos equipos activos
64
constantemente en Internet, adquirir un Firewall por software es la mejor opción, ya que no se justificaría instalar un Firewall por hardware (p.159).
HE2: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a eficacia de la seguridad.
Ramos et al. (2015) afirmaron que los Firewalls de hardware son más seguros que los Firewalls de software:
Esta gama de productos comerciales incorporan una serie de servicios que las versiones de código abierto no poseen. Por un lado, se cuenta con el servicio de soporte del fabricante; en caso de tener algún problema con la solución, también se dispone de un departamento en el fabricante de I+D, cuyo objetivo es ir aumentando la base de datos de vulnerabilidades web de la solución, con lo que, cada cierto tiempo, el WAF se actualizará con las nuevas vulnerabilidades que se hayan publicado (p.281).
HE3: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewall de hardware tienen mayor rendimiento que los Firewall de software en cuanto a consumo de recursos ante una prueba de estrés.
Fiessler et al. (2016) dijeron que los Firewall de hardware son más usados en entornos de alta velocidad por tener mejor rendimiento y menos consumo de recursos:
Con las tasas de tráfico de red en continuo crecimiento, los sistemas de seguridad, como los Firewalls, enfrentan cada vez más desafíos para procesar los paquetes entrantes a la velocidad de la línea sin sacrificar la protección. En consecuencia, los Firewalls especializados de hardware se usan cada vez más en entornos de alta velocidad. Las soluciones de hardware, sin embargo, son intrínsecamente limitadas en términos de la complejidad de las políticas que pueden implementar, a menudo obligando a los usuarios a elegir entre el rendimiento y el análisis integral. (p.1)
65
1.7 Objetivos 1.7.1 Objetivo general
Elaborar una metodología para la evaluación de rendimiento de Firewalls y aplicarla para determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software.
1.7.2 Objetivos específicos Los objetivos específicos fueron los siguientes:
OE1: Elaborar una metodología para la evaluación de rendimiento de Firewalls y aplicarla para determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red.
OE2: Elaborar una metodología para la evaluación de rendimiento de Firewalls y aplicarla para determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a eficacia de la seguridad.
OE3: Elaborar una metodología para la evaluación de rendimiento de Firewalls y aplicarla para determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a consumo de recursos.
66
II. MÉTODO
2.1 Diseño de la investigación
El diseño utilizado en esta investigación es pre-experimental, el cual tiene como objetivo elaborar una metodología para la evaluación de rendimiento de Firewalls y aplicarla para determinar que los Firewall de hardware tienen mejor rendimiento que los Firewall de software. Al respecto Fernández y Baptista (2014) dijeron:
Los preexperimentos se llaman así porque su grado de control es mínimo. Consiste en administrar un estímulo o tratamiento a un grupo y después aplicar una medición de una o más variables para observar cual es el nivel del grupo en estas. Este diseño no cumple con los requisitos de un experimento “puro”. No hay manipulación de la variable independiente (niveles) o grupos de contraste (ni siquiera el mínimo de presencia o ausencia). Tampoco hay una referencia previa de cuál era el nivel que tenía el grupo en la o las variables dependientes antes del estímulo. No es posible establecer causalidad con certeza ni se controlan las fuentes de invalidación interna. (p.141)
Respecto a lo mencionado por Fernández y Baptista, el grupo estaría conformado por los Firewalls de hardware y software definidos más adelante y el estímulo o tratamiento son las pruebas a las que serán sometidos de acuerdo a los criterios de evaluación definidos.
2.2 Variables, operacionalización 2.2.1 Definición conceptual
Rendimiento de Firewalls Los especialistas de la Real academia española dijeron “Rendimiento es la proporción entre el producto o el resultado obtenido y los medios utilizados”. “Un Firewall es un dispositivo de hardware o software diseñado para proteger los dispositivos de red de los usuarios externos de la red y/o de aplicaciones y archivos maliciosos, gestionándolo de acuerdo a unas determinadas políticas de configuración. (Martínez et al., 2009, p. 156)”. Por lo que se infiere de lo citado que el rendimiento de un Firewall es el resultado obtenido al evaluar estos dispositivos de seguridad de características y funcionalidades similares a través de diferentes pruebas.
68
2.2.2 Definición operacional
Rendimiento de Firewalls
El rendimiento del Firewall es el resultado obtenido al evaluar de manera ordenada y sistemática estos dispositivos de seguridad a través de criterios de evaluación (desempeño en la red, eficacia de la seguridad y consumo de recursos). Sin embargo, el rendimiento del Firewall puede afectar la experiencia del usuario. Por lo tanto, el análisis del rendimiento desempeña un papel importante en la evaluación de los Firewalls. (Xuan et al., 2016)
2.2.3 Operacionalización de las variables El proceso de operacionalización de la variable permite detallar la funcionalidad, la estructura, las dimensiones y los indicadores de la variable de estudio.
69
Matriz de Operacionalización de las variables
Tabla 1.
Matriz operacional de las variables
Variable Definición Conceptual Dimensión Indicador Descripción Los especialistas de la Real Desempeño en la red Medición de Se evaluara la velocidad real academia española dijeron throughput (throughput) en que el Firewall “Rendimiento es la envía los paquetes de tamaños proporción entre el producto (64, 128, 256, 512, 1024, 1280 y o el resultado obtenido y los 1518 bytes). medios utilizados”. “Un Medición de latencia Se evaluara el retardo (latencia) Firewall es un dispositivo de hardware o software que genera el Firewall al tiempo diseñado para proteger los de descarga de un archivo. dispositivos de red de los usuarios externos de la red Eficacia de la seguridad Evaluación de las Cantidad de evasiones detectadas Rendimiento de Firewall y/o de aplicaciones y políticas de filtrado a las políticas de filtrado URL archivos maliciosos, URL. ante la navegación web en gestionándolo de acuerdo a páginas bloqueadas. unas determinadas políticas Evaluación de las Cantidad de evasiones detectadas de configuración” (Martínez políticas de filtrado a las políticas antimalware ante et al., 2009, p.156). antimalware. la navegación web en páginas maliciosas. Por lo que se infiere de lo citado que el rendimiento de Consumo de recursos Evaluación del Porcentaje de consumo de CPU un Firewall es el resultado consumo de CPU. ante una ataque de denegación de obtenido al evaluar estos servicios. dispositivos de seguridad de características y Evaluación del Porcentaje de consumo de funcionalidades similares a consumo de memoria memoria RAM ante una ataque través de diferentes pruebas. RAM. de denegación de servicios.
70
2.2.4 Indicadores Tabla 2.
Indicadores
VARIABLE INDICADORES DESCRIPCION INSTRUMENTO UNIDAD DE MEDIDA Throughput Se evaluara la velocidad real (throughput) en que el Hoja de tabulación de datos Unidad Firewall envía los paquetes de tamaños (64, 128, 256, 512, 1024, 1280 y 1518 bytes). Latencia Se evaluara el retardo (latencia) que genera el Firewall Hoja de tabulación de datos Unidad al tiempo de descarga de un archivo. Filtro URL Cantidad de evasiones detectadas a las políticas de Hoja de tabulación de datos Por ciento filtrado URL ante la navegación web en páginas Rendimiento bloqueadas. de Firewall Filtro Cantidad de evasiones detectadas a las políticas Hoja de tabulación de datos Por ciento antimalware antimalware ante la navegación web en páginas maliciosas. CPU Porcentaje de consumo de CPU ante una ataque de Hoja de tabulación de datos Por ciento denegación de servicios.
RAM Porcentaje de consumo de memoria RAM ante una Hoja de tabulación de datos Por ciento ataque de denegación de servicios.
71
2.3 Población y muestra Población En el presente estudio la población está conformada por (04) cuatro Firewalls de los cuales (02) dos son de hardware y (02) dos de software y sus marcas respectivamente son Paloalto, Fortinet, Endian y Sophos. Los mismos que serán evaluados en los siguientes aspectos como desempeño en la red, eficacia de la seguridad y consumo de recursos para determinar quién tiene mayor rendimiento. Respecto a la población Posada (2016) dijo: La población o universo es un conjunto de elementos a los cuales se le estudian algunas características comunes; por ejemplo, los docentes de una institución educativa, las empresas de un sector productivo, los barrios de una ciudad, los artículos vendidos en un supermercado, las calificaciones de una prueba de aptitud, entre otros. (p.14)
Muestra El muestreo para la presente investigación es no probabilístico por conveniencia y la muestra es de sujetos voluntarios, ya que la selección de los Firewalls elegidos es accesible para el investigador y no se utilizarán fórmulas de selección. Morlote y Celiseo (2004) dijeron: De sujetos voluntarios. El investigador elabora conclusiones sobre individuos o especímenes que llegan a él de forma casual. Puede considerarse como un tipo de muestreo por conveniencia. A menudo se utilizan para diseños experimentales y situaciones de laboratorio. Por ejemplo, el empleo de grupos de estudiantes para determinar la eficacia de un método de enseñanza. (p.92)
En la presente investigación la muestra es de igual cantidad que la población y está constituida por (04) cuatro equipos Firewall que poseen características similares, los cuales serán evaluados de acuerdo a los registros de información que están relacionados a el desempeño en la red, eficacia de la seguridad y consumo de recursos para evaluar el rendimiento de los Firewalls.
72
2.4 Técnicas e instrumentos de recolección de datos, validez y confiabilidad 2.4.1 Técnicas e instrumentos de recolección de datos El instrumento que se utilizará para este tipo de investigación será la tabulación de datos, ya que se necesita un instrumento en el que se pueda colocar la información obtenida de las aplicaciones usadas (Jperf, hping, panel de monitoreo) para realizar las pruebas (throughput, latencia, filtro URL, filtro antimalware, CPU y RAM) en la metodología MERF. Al respecto Ortiz, Mota y García (2012) nos mencionan que “Los datos se pueden tabular en una hoja para luego procesarlos y así poder comprobar las hipótesis planteadas (p. 30)”. Al respecto Posada (2016) dijo:
La tabulación de datos es el proceso mediante el cual se toman los diferentes valores o atributos de la variable y se ubican en una columna, según el criterio de ordenación definido por el investigador, y al frente de cada valor o atributo se coloca la frecuencia. (p.33)
2.4.2 Validez Para este proyecto de investigación se utilizará la validación por contenido debido a que la información que compone el instrumento de recolección de datos representa el contenido que se trata de evaluar, como lo mencionan Escobar y Cuervo (2007):
La validez de contenido es un componente importante de la estimación de la validez de inferencias derivadas de los puntajes de las pruebas, ya que brinda evidencia acerca de la validez de constructo y provee una base para la construcción de formas paralelas de una prueba en la evaluación a gran escala. (p.2)
2.4.3 Confiabilidad No se necesita medir la confiabilidad en este proyecto debido a que se utilizará la hoja de tabulación de datos como instrumento recolector de datos, por lo tanto este apartado no aplicará para esta investigación. Se usara el 95% del nivel de confianza en las pruebas estadísticas que se aplicaran.
73
2.5 Métodos de análisis de datos El método de análisis de datos dependerá de la normalidad de las muestras. Podemos usar el método T de student para muestras relacionadas. Al respecto Fernández y Baptista (2014) dijeron:
La prueba T se basa en una distribución muestral o poblacional de diferencia de medias conocida como la distribución t de Student que se identifica por los grados de libertad, los cuales constituyen el número de maneras en que los datos pueden variar libremente. Son determinantes, ya que nos indican qué valor debemos esperar de T, dependiendo del tamaño de los grupos que se comparan. (p.310)
Como alternativa a la prueba T de Student se utilizará la prueba de rangos con signo de Wilcoxon. Al respecto Gómez et al. (2013) dijo:
Se hace la comparación de medias con la prueba de la suma de rangos de Wilcoxon, la cual usa la magnitud de las diferencias entre las mediciones respecto a un supuesto parámetro de ubicación; cabe agregar que esta prueba tiene los siguientes supuestos: 1) que la muestra sea aleatoria; 2) que la variable sea continua; 3) que la población se distribuya de manera simétrica alrededor de la media, y 4) que la escala de medición sea al menos de intervalos; en esencia, esta prueba revela si las medianas son diferentes. (p.82)
2.6 Aspectos éticos Esta investigación se está respetando la propiedad intelectual de las diferentes fuentes de información citando y referenciando en base a las normas internacionales (estilo APA) y los datos que se obtendrán al aplicar la metodología propuesta serán verídicos y cumplirán con todos los parámetros correspondientes.
74
III. RESULTADOS
75
En este capítulo, se describen los resultados obtenidos de la investigación con base a los indicadores de rendimiento del Firewall, tales como: throughput, latencia, filtro URL, filtro antimalware, consumo de CPU, consumo de memoria RAM y también se realiza el procesamiento de los datos obtenidos al aplicar la metodología MERF para evaluar el rendimiento de Firewalls. Los datos fueron procesados a través del programa estadístico SPSS v.20.
3.1 Prueba de normalidad
Se realizó la prueba para comprobar si los resultados siguen una distribución normal, para ello se considera el tamaño de la muestra para elegir la prueba correspondiente: (a) método de Kolmogorov-Smirnov, cuando el tamaño de la muestra es igual o superior a 50. (b) método Shapiro-Wilk, cuando el tamaño de la muestra es menor a 50. Los datos son contrastados con el nivel de significancia para la toma de decisión de la prueba de hipótesis, las cuales se establecen de la siguiente manera:
Ho: Los datos siguen una distribución normal.
Ha: Los datos no siguen una distribución normal.
Nivel de significancia: α=0,05. Entonces, cuando p ≤ α: se rechaza la Ho; o por el contrario p > α: se acepta la Ho.
3.1.1 Prueba de normalidad para la dimensión desempeño en la red
Para el caso de los indicadores throughput y latencia para calcular la normalidad se aplicó la prueba de Kolmogorov-Smirnov pues el tamaño de la muestra es superior a 50 datos.
Tabla 3.
Resultados de prueba de normalidad del indicador throughput con paquetes de 64KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,219 50 ,000 ,764 50 ,000 SORTWARE ,258 50 ,000 ,785 50 ,000 a. tamaño paquete = 64 KB b. Corrección de significación de Lilliefors
76
Tabla 4.
Resultados de prueba de normalidad para indicador throughput con paquetes de 128KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico Gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,106 50 ,200* ,881 50 ,000 SORTWARE ,202 50 ,000 ,773 50 ,000 *. Esto es un límite inferior de la significación verdadera. a. tamaño paquete = 128 KB b. Corrección de significación de Lilliefors
Tabla 5.
Resultados de prueba de normalidad del indicador throughput con paquetes de 256KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,214 50 ,000 ,811 50 ,000 SORTWARE ,115 50 ,096 ,924 50 ,003 a. tamaño paquete = 256 KB b. Corrección de significación de Lilliefors
Tabla 6.
Resultados de prueba de normalidad del indicador throughput con paquetes de 512KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,206 50 ,000 ,773 50 ,000 SORTWARE ,199 50 ,000 ,744 50 ,000 a. tamaño paquete = 512 KB b. Corrección de significación de Lilliefors
77
Tabla 7.
Resultados de prueba de normalidad del indicador throughput con paquetes de 1024KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,107 50 ,200* ,944 50 ,019 SORTWARE ,222 50 ,000 ,733 50 ,000 *. Esto es un límite inferior de la significación verdadera. a. tamaño paquete = 1024 KB b. Corrección de significación de Lilliefors
Tabla 8.
Resultados de prueba de normalidad del indicador throughput con paquetes de 1280KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,273 50 ,000 ,654 50 ,000 SORTWARE ,097 50 ,200* ,950 50 ,034 *. Esto es un límite inferior de la significación verdadera. a. tamaño paquete = 1280 KB b. Corrección de significación de Lilliefors
Tabla 9.
Resultados de prueba de normalidad del indicador throughput con paquetes de 1518KB
Pruebas de normalidada Kolmogorov-Smirnovb Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. THROUGHPUT HARDWARE ,318 50 ,000 ,521 50 ,000 SORTWARE ,094 50 ,200* ,936 50 ,009 *. Esto es un límite inferior de la significación verdadera. a. tamaño paquete = 1518 KB b. Corrección de significación de Lilliefors
78
De acuerdo con esto, los valores de significancia que corresponden a 0,000 son menor a α=0,05; por lo cual se rechaza la Ho, es decir los datos no siguen una distribución normal. Sin embargo, existen registros de datos mayores a α=0,05 que no permite rechazar la Ho y por ende siguen una distribución normal. En consecuencia, se aplicaron pruebas no paramétricas para todos los estudios inferenciales de del indicador throughput.
Tabla 10.
Resultados de prueba de normalidad del indicador latencia
Pruebas de normalidad Kolmogorov-Smirnova Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. LATENCIA Hardware ,081 50 ,200* ,962 50 ,103 Software ,059 50 ,200* ,972 50 ,288 *. Esto es un límite inferior de la significación verdadera. a. Corrección de significación de Lilliefors
A los efectos de este resultado, para la normalidad el valor de la significancia obtenido es igual a 0.200* mayor que α=0,05; lo que no permite rechazar la Ho y por ende los datos siguen una distribución normal, a la cual se les aplicó una prueba t para muestras independientes para los estudios inferenciales del indicador latencia.
3.1.2 Prueba de normalidad para la dimensión consumo de recursos
Para el caso de los indicadores CPU Y RAM para calcular la normalidad se aplicó la prueba de Shapiro-Wilk pues el tamaño de la muestra es inferior a 50 datos.
Tabla 11.
Resultados de prueba de normalidad del indicador CPU
Pruebas de normalidad Kolmogorov-Smirnova Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. CPU Hardware ,103 10 ,200* ,968 10 ,874 Software ,148 10 ,200* ,962 10 ,803 *. Esto es un límite inferior de la significación verdadera. a. Corrección de significación de Lilliefors
79
Tabla 12.
Resultados de prueba de normalidad del indicador memoria RAM
Pruebas de normalidad Kolmogorov-Smirnova Shapiro-Wilk FIREWALL Estadístico gl Sig. Estadístico gl Sig. RAM Hardware ,138 10 ,200* ,961 10 ,794 Software ,116 10 ,200* ,976 10 ,940 *. Esto es un límite inferior de la significación verdadera. a. Corrección de significación de Lilliefors
En correspondencia con los resultados, la significancia para normalidad de los indicadores de CPU y RAM de acuerdo a la prueba aplicada, evidencia que son mayores a α=0,05; lo que no permite rechazar la Ho y por ende, siguen una distribución normal, a los cuales se les aplicó una prueba t para muestras independientes.
3.2 Descriptivos
A través, de la estadística descriptiva se puede organizar y describir los datos, caracteriza al grupo y ayudan en la elaboración de las conclusiones.
3.2.1 Dimensión desempeño en la red
Incluye los resultados de los indicadores throughput (para cada tamaño de paquete) y latencia.
80
Tabla 13.
Datos descriptivos del indicador throughput con paquetes de 64KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 4,4598 ,06116 95% de intervalo de Límite 4,3369 confianza para la inferior media Límite 4,5827 superior Media recortada al 5% 4,5080 Mediana 4,5650 Varianza ,187 Desviación estándar ,43246 Mínimo 2,62 Máximo 5,03 Rango 2,41 Rango intercuartil ,30 Asimetría -2,302 ,337 Curtosis 6,500 ,662 SOFTWARE Media 2,8584 ,08412 95% de intervalo de Límite 2,6894 confianza para la inferior media Límite 3,0274 superior Media recortada al 5% 2,9092 Mediana 3,1550 Varianza ,354 Desviación estándar ,59479 Mínimo 1,15 Máximo 3,42 Rango 2,27 Rango intercuartil ,64 Asimetría -1,365 ,337 Curtosis ,740 ,662 a. paquete2 = 64KB
81
Tabla 14.
Datos descriptivos del indicador throughput con paquetes de 128KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 8,9894 ,09259 95% de intervalo de Límite inferior 8,8033 confianza para la media Límite 9,1755 superior Media recortada al 5% 9,0494 Mediana 9,0600 Varianza ,429 Desviación estándar ,65474 Mínimo 6,37 Máximo 9,90 Rango 3,53 Rango intercuartil ,86 Asimetría -1,613 ,337 Curtosis 4,244 ,662 SOFTWARE Media 7,4216 ,10071 95% de intervalo de Límite inferior 7,2192 confianza para la media Límite 7,6240 superior Media recortada al 5% 7,5029 Mediana 7,5900 Varianza ,507 Desviación estándar ,71212 Mínimo 4,07 Máximo 8,21 Rango 4,14 Rango intercuartil ,62 Asimetría -2,548 ,337 Curtosis 9,319 ,662 a. paquete2 = 128KB
82
Tabla 15.
Datos descriptivos del indicador throughput con paquetes de 256KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 15,5642 ,40870 95% de intervalo de Límite inferior 14,7429 confianza para la media Límite 16,3855 superior Media recortada al 5% 15,8398 Mediana 16,8750 Varianza 8,352 Desviación estándar 2,88993 Mínimo 6,05 Máximo 18,45 Rango 12,40 Rango intercuartil 3,56 Asimetría -1,450 ,337 Curtosis 1,516 ,662 SOFTWARE Media 11,8840 ,35531 95% de intervalo de Límite inferior 11,1700 confianza para la media Límite 12,5980 superior Media recortada al 5% 12,0437 Mediana 12,1000 Varianza 6,312 Desviación estándar 2,51243 Mínimo 4,52 Máximo 14,90 Rango 10,38 Rango intercuartil 3,77 Asimetría -,819 ,337 Curtosis ,193 ,662 a. paquete2 = 256KB
83
Tabla 16.
Datos descriptivos del indicador throughput con paquetes de 512KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 29,0060 ,65181 95% de intervalo de Límite inferior 27,6961 confianza para la media Límite 30,3159 superior Media recortada al 5% 29,5656 Mediana 30,4750 Varianza 21,243 Desviación estándar 4,60900 Mínimo 9,35 Máximo 33,55 Rango 24,20 Rango intercuartil 3,81 Asimetría -2,254 ,337 Curtosis 6,375 ,662 SOFTWARE Media 27,0736 ,78394 95% de intervalo de Límite inferior 25,4982 confianza para la media Límite 28,6490 superior Media recortada al 5% 27,7880 Mediana 28,8250 Varianza 30,728 Desviación estándar 5,54333 Mínimo 4,46 Máximo 31,75 Rango 27,29 Rango intercuartil 4,71 Asimetría -2,225 ,337 Curtosis 5,586 ,662 a. paquete2 = 512KB
84
Tabla 17.
Datos descriptivos del indicador throughput con paquetes de 1024KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 57,2690 ,90121 95% de intervalo de Límite inferior 55,4579 confianza para la media Límite 59,0801 superior Media recortada al 5% 57,6389 Mediana 58,4000 Varianza 40,609 Desviación estándar 6,37254 Mínimo 38,70 Máximo 67,10 Rango 28,40 Rango intercuartil 8,75 Asimetría -,862 ,337 Curtosis ,442 ,662 SOFTWARE Media 54,7594 2,25634 95% de intervalo de Límite inferior 50,2251 confianza para la media Límite 59,2937 superior Media recortada al 5% 56,7644 Mediana 61,0000 Varianza 254,554 Desviación estándar 15,95476 Mínimo 1,32 Máximo 67,45 Rango 66,13 Rango intercuartil 13,39 Asimetría -1,936 ,337 Curtosis 3,259 ,662 a. paquete2 = 1024KB
85
Tabla 18.
Datos descriptivos del indicador throughput con paquetes de 1280KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 75,9060 1,69781 95% de intervalo de Límite inferior 72,4941 confianza para la media Límite 79,3179 superior Media recortada al 5% 77,7306 Mediana 80,8000 Varianza 144,128 Desviación estándar 12,00535 Mínimo 24,70 Máximo 84,70 Rango 60,00 Rango intercuartil 8,33 Asimetría -2,682 ,337 Curtosis 7,915 ,662 SOFTWARE Media 72,8100 1,01498 95% de intervalo de Límite inferior 70,7703 confianza para la media Límite 74,8497 superior Media recortada al 5% 73,2228 Mediana 74,0000 Varianza 51,510 Desviación estándar 7,17703 Mínimo 50,55 Máximo 84,15 Rango 33,60 Rango intercuartil 8,41 Asimetría -,910 ,337 Curtosis 1,075 ,662 a. paquete2 = 1280KB
86
Tabla 19.
Datos descriptivos del indicador throughput con paquetes de 1518KB
Descriptivosa Error FIREWALL Estadístico estándar THROUGHPUT HARDWARE Media 74,0398 1,40022 95% de intervalo de Límite inferior 71,2259 confianza para la media Límite 76,8537 superior Media recortada al 5% 75,3611 Mediana 75,8250 Varianza 98,031 Desviación estándar 9,90107 Mínimo 22,49 Máximo 97,00 Rango 74,51 Rango intercuartil 3,78 Asimetría -3,630 ,337 Curtosis 17,867 ,662 SOFTWARE Media 42,0266 2,40980 95% de intervalo de Límite inferior 37,1839 confianza para la media Límite 46,8693 superior Media recortada al 5% 42,8460 Mediana 44,9750 Varianza 290,356 Desviación estándar 17,03984 Mínimo ,10 Máximo 70,40 Rango 70,30 Rango intercuartil 21,15 Asimetría -,856 ,337 Curtosis ,587 ,662 a. paquete2 = 1518KB
87
Tabla 20.
Datos descriptivos del indicador latencia
Descriptivos FIREWALL Estadístico Error estándar LATENCIA Hardware Media 10,2282 ,05689 95% de intervalo de Límite inferior 10,1139 confianza para la media Límite superior 10,3425 Media recortada al 5% 10,2448 Mediana 10,2859 Varianza ,162 Desviación estándar ,40225 Mínimo 8,85 Máximo 10,94 Rango 2,09 Rango intercuartil ,54 Asimetría -,740 ,337 Curtosis 1,345 ,662 Software Media 12,8404 ,06651 95% de intervalo de Límite inferior 12,7068 confianza para la media Límite superior 12,9741 Media recortada al 5% 12,8438 Mediana 12,8394 Varianza ,221 Desviación estándar ,47029 Mínimo 11,96 Máximo 13,67 Rango 1,70 Rango intercuartil ,66 Asimetría -,029 ,337 Curtosis -,803 ,662
La distribución de los datos de los indicadores throughput y latencia muestran una dispersión y forma de ubicarse dentro de la curva. Reflejan el valor promedio (media) y la forma que se acercan o alejan del conjunto de datos (desviación estándar). En el caso del indicador throughput el mayor promedio de rendimiento de acuerdo al tamaño de los paquetes lo registró 1280KB y el menor promedio se evidencia en el 64KB tanto para el
88
hardware y el software. Por su parte, los datos correspondientes al indicador latencia con mayor promedio se encuentran en el Firewall del software.
3.2.2 Dimensión eficacia de la seguridad
De acuerdo a la naturaleza de los datos, se empleó tablas cruzadas para calcular el recuento de eficiencia de seguridad de hardware y software tanto para archivos maliciosos y filtros URL.
Tabla 21.
Datos descriptivos del indicador filtro antimalware en tabulación cruzada
Filtro antimalware*FIREWALL tabulación cruzada Recuento FIREWALL Hardware Software Total Filtro antimalware No Bloqueo 865 916 1781 Bloqueo 135 84 219 Total 1000 1000 2000
Tabla 22.
Datos descriptivos del indicador filtro URL en tabulación cruzada
Filtro URL*FIREWALL tabulación cruzada Recuento FIREWALL Hardware Software Total Filtro URL Bloqueo 940 922 1862 No bloqueo 60 78 138 Total 1000 1000 2000
Estos datos reflejan las observaciones para las veces que el Firewall de hardware y software realizó bloqueo de amenazas o no lo efectúo. Se evidencia que el mayor bloqueo para archivos malicioso lo realizo el Firewall de hardware. También, para filtro URL el Firewall de hardware ejecutó más bloqueo sobre los de Firewall de software. Posteriormente, a estos datos se les aplicará una prueba de Chi cuadrado para el contraste de hipótesis.
89
3.2.3 Dimensión consumo de recursos.
Se describen los resultados de medidas de tendencia central y de dispersión de los datos para los indicadores RAM Y CPU.
Tabla 23.
Datos descriptivos del indicador memoria RAM
Descriptivos FIREWALL Estadístico Error estándar RAM Hardware Media 26,650 1,9308 95% de intervalo de Límite inferior 22,282 confianza para la media Límite superior 31,018 Media recortada al 5% 26,528 Mediana 25,500 Varianza 37,281 Desviación estándar 6,1058 Mínimo 18,5 Máximo 37,0 Rango 18,5 Rango intercuartil 10,9 Asimetría ,416 ,687 Curtosis -,941 1,334 Software Media 34,350 3,5096 95% de intervalo de Límite inferior 26,411 confianza para la media Límite superior 42,289 Media recortada al 5% 34,389 Mediana 35,250 Varianza 123,169 Desviación estándar 11,0982 Mínimo 17,0 Máximo 51,0 Rango 34,0 Rango intercuartil 19,3 Asimetría -,082 ,687 Curtosis -1,075 1,334
90
Tabla 24.
Datos descriptivos del indicador CPU
Descriptivos FIREWALL Estadístico Error estándar CPU Hardware Media 34,550 1,6490 95% de intervalo de Límite inferior 30,820 confianza para la media Límite superior 38,280 Media recortada al 5% 34,583 Mediana 34,750 Varianza 27,192 Desviación estándar 5,2146 Mínimo 26,5 Máximo 42,0 Rango 15,5 Rango intercuartil 9,1 Asimetría -,134 ,687 Curtosis -1,091 1,334 Software Media 46,050 2,5369 95% de intervalo de Límite inferior 40,311 confianza para la media Límite superior 51,789 Media recortada al 5% 45,944 Mediana 44,750 Varianza 64,358 Desviación estándar 8,0224 Mínimo 35,0 Máximo 59,0 Rango 24,0 Rango intercuartil 14,3 Asimetría ,289 ,687 Curtosis -1,142 1,334
Para el caso de los indicadores de RAM y CPU, el valor promedio (media) superior se registró en el Firewall del software con respecto al hardware. En cuanto a la forma que se acercan o alejan del conjunto de datos (desviación estándar), ocurre de forma similar, los datos en el Firewall del software son superiores en comparación al hardware.
91
Además, se muestran valores de medida de tendencia central que en conjunto con la media caracterizan la dispersión de cada indicador.
3.3 Prueba de Hipótesis 3.3.1 Dimensión desempeño en la red.
Se evaluó atendiendo dos indicadores, throughput y latencia, los cuales de acuerdo a los resultados obtenidos en la normalidad se les aplicó pruebas para muestras independientes no paramétricas y paramétricas, respectivamente. Se establecen las hipótesis en cada caso para el contraste con respecto al nivel de significancia, para la posterior decisión.
Ho: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware no tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red.
Ha: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red.
Nivel de significancia: α=0,05. Entonces, cuando p ≤ α: se rechaza la Ho; o por el contrario p > α: se acepta la Ho.
Tabla 25.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 64KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 41,500 W de Wilcoxon 1316,500 Z -8,332 Sig. asintótica (bilateral) ,000
92
Tabla 26.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 128KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 92,000 W de Wilcoxon 1367,000 Z -7,983 Sig. asintótica (bilateral) ,000
Tabla 27.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 256KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 401,500 W de Wilcoxon 1676,500 Z -5,850 Sig. asintótica (bilateral) ,000 a. paquete2 = 256KB b. Variable de agrupación: FIREWALL
Tabla 28.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 512KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 869,000 W de Wilcoxon 2144,000 Z -2,627 Sig. asintótica (bilateral) ,009 a. paquete2 = 512KB b. Variable de agrupación: FIREWALL
93
Tabla 29.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 1024KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 1056,000 W de Wilcoxon 2331,000 Z -1,337 Sig. asintótica (bilateral) ,181 a. paquete2 = 1024KB b. Variable de agrupación: FIREWALL
Tabla 30.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 1280KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 716,500 W de Wilcoxon 1991,500 Z -3,678 Sig. asintótica (bilateral) ,000 a. paquete2 = 1280KB b. Variable de agrupación: FIREWALL
Tabla 31.
Prueba U de Mann-Whitney para el indicador throughput tamaño de paquetes 1518KB
Estadísticos de pruebaa,b
THROUGHPUT U de Mann-Whitney 80,000 W de Wilcoxon 1355,000 Z -8,066 Sig. asintótica (bilateral) ,000 a. paquete2 = 1518KB b. Variable de agrupación: FIREWALL
94
De acuerdo a los resultados, descritos en las diferentes tablas, se evidencia que en los casos de tamaño de paquete 64 kb, 128 kb, 256 kb, 512 kb, 1280 kb, 1518 kb el nivel de significancia corresponde a 0,000, lo que significa que son menor a α=0,05; por lo cual se rechaza la Ho, es decir, los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red. No obstante, en el paquete de tamaño 1024 kb se comportó diferente y su significancia es igual 0,181 mayor a α=0,05; lo que no permite rechazar la Ho, por lo cual para ese tamaño de paquete no demuestra en cuanto a desempeño en la red que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software.
En el caso del indicador latencia, se aplicó prueba de T para muestras independientes los resultados se muestran en la tabla N° 31:
Tabla 32.
Prueba T para muestras independientes para el indicador latencia
Prueba de muestras independientes Prueba de Levene de calidad de varianzas prueba t para la igualdad de medias 95% de intervalo Diferencia de confianza de la Sig. Diferencia de error diferencia F Sig. t gl (bilateral) de medias estándar Inferior Superior LATENCIA Se asumen - - - 1,875 ,174 98 ,000 -2,61222 ,08752 varianzas 29,848 2,78590 2,43854 iguales No se asumen - - - 95,700 ,000 -2,61222 ,08752 varianzas 29,848 2,78595 2,43849 iguales
Posteriormente, a la prueba T, se obtiene un nivel de significancia de valor= 0,000, el cual es menor a α=0,05; por lo que se rechaza la Ho. En este sentido, los resultados demuestran que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red, de acuerdo al indicador latencia.
95
3.3.2 Dimensión eficacia de la seguridad.
Se calculó atendiendo dos indicadores, filtrado URL y filtrado antimalware, a los cuales se les aplicó la prueba no paramétricas Chi cuadrado. Para el contraste con el nivel de significancia se establecieron las siguientes hipótesis:
Ho: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware no tienen mayor rendimiento que los Firewalls de software en cuanto a eficacia de la seguridad.
Ha: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a eficacia de la seguridad.
Tabla 33.
Prueba Chi cuadrado para el indicador filtro URL
Pruebas de chi-cuadrado Sig. asintótica Significación Significación Valor gl (2 caras) exacta (2 caras) exacta (1 cara) Chi-cuadrado de Pearson 2,522a 1 ,112 Corrección de continuidadb 2,249 1 ,134 Razón de verosimilitud 2,529 1 ,112 Prueba exacta de Fisher ,133 ,067 Asociación lineal por 2,521 1 ,112 lineal N de casos válidos 2000 a. 0 casillas (.0%) han esperado un recuento menor que 5. El recuento mínimo esperado es 69.00. b. Sólo se ha calculado para una tabla 2x2
96
Tabla 34.
Prueba Chi cuadrado para el indicador filtro antimalware
Pruebas de chi-cuadrado Sig. asintótica Significación Significación Valor gl (2 caras) exacta (2 caras) exacta (1 cara) Chi-cuadrado de Pearson 13,337a 1 ,000 Corrección de continuidadb 12,819 1 ,000 Razón de verosimilitud 13,447 1 ,000 Prueba exacta de Fisher ,000 ,000 Asociación lineal por 13,330 1 ,000 lineal N de casos válidos 2000 a. 0 casillas (.0%) han esperado un recuento menor que 5. El recuento mínimo esperado es 109.50. b. Sólo se ha calculado para una tabla 2x2
Con atención a los datos reflejados de la tablas N° 33 y 34, los resultados de rendimiento de los Firewalls en cuanto eficacia de seguridad en el indicador filtro antimalware, se evidencia que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software pues el nivel de significancia arrojado por la prueba corresponde a 0,000, lo que significa que son menor a α=0,05; por lo cual se rechaza la Ho. Sin embargo, para el indicador filtro URL no existen evidencias estadísticas suficientes para rechazar la Ho, por lo cual no hay diferencias significativas entre los Firewalls de hardware y los Firewalls de software, tanto que el nivel de significancia tuvo un valor de 0,112 mayor a α=0,05; lo que no permite rechazar la Ho.
3.3.3 Dimensión consumo de recursos.
Se calculó con base a dos indicadores, CPU y memoria RAM, se les aplicó pruebas T para muestras independientes en correspondencia a los resultados obtenidos en la prueba de normalidad. Del mismo modo, se establecen las hipótesis para el contraste con respecto al nivel de significancia, para su posterior análisis.
Ho: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewall de hardware no tienen mayor rendimiento que los Firewall de software en cuanto a consumo de recursos.
97
Ha: La aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewall de hardware tienen mayor rendimiento que los Firewall de software en cuanto a consumo de recursos.
Tabla 35.
Prueba T para muestras independientes para el indicador CPU
Prueba de muestras independientes Prueba de Levene de calidad de varianzas prueba t para la igualdad de medias 95% de intervalo Diferencia de confianza de la Sig. Diferencia de error diferencia F Sig. t gl (bilateral) de medias estándar Inferior Superior CPU Se asumen - - varianzas 2,578 ,126 18 ,001 -11,5000 3,0257 -5,1432 3,801 17,8568 iguales No se asumen varianzas - - 15,453 ,002 -11,5000 3,0257 -5,0673 iguales 3,801 17,9327
98
Tabla 36.
Prueba T para muestras independientes para el indicador memoria RAM
Prueba de muestras independientes Prueba de Levene de calidad de varianzas prueba t para la igualdad de medias 95% de intervalo Diferencia de confianza de la Sig. Diferencia de error diferencia F Sig. t gl (bilateral) de medias estándar Inferior Superior RAM Se asumen - - 3,954 ,062 18 ,071 -7,7000 4,0056 ,7155 varianzas 1,922 16,1155 iguales No se asumen - - 13,991 ,075 -7,7000 4,0056 ,8917 varianzas 1,922 16,2917 iguales
Hecha las observaciones anteriores en la tabla N° 29, los resultados demuestran que para el indicador CPU los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software, al contrastar los resultado de la significancia de la prueba T con α=0,05, los cuales son menores, en consecuencia se rechaza la Ho.
Por el contrario, ocurre con los datos del indicador memoria RAM, no existe diferencia significativa para rechazar la Ho, motivado a que los resultados obtenidos en la significancia de la prueba T son mayores que α=0,05; lo que no permite rechazar la Ho. En este sentido, los Firewall de hardware no tienen mayor rendimiento que los Firewall de software en cuanto a consumo de recursos.
99
IV. DISCUSIÓN
100
De acuerdo a los resultados obtenidos en la presente investigación referida a la elaboración de una metodología para la evaluación de rendimiento de Firewalls para determinar si los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software se plantea el siguiente análisis considerando las hipótesis de la investigación y los estudios previos referidos.
En relación a la hipótesis específica 1 la aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red. Se obtuvieron resultados para los indicadores throughput y latencia que se orientan a un nivel de significancia correspondiente a 0,000 en ambos casos, lo que significa que son menores α=0,05; por lo cual se rechaza la Ho, es decir, los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a desempeño en la red.
De acuerdo a los resultados obtenidos, los que fueron comparados con trabajos realizados previamente, se pudo observar que son semejantes a los de Rousseau (2013, p. 57) en el que evaluó el throughput aplicando la recomendación RFC-2544 y utilizando tramas de: 64, 128, 256, 512, 1024, 1280 y 1518 bytes. Del mismo modo Flores et al. (2017, p. 6) evaluó el throughput generando tráfico de red en dos escenarios (con movimiento y sin movimiento) definidos por el número de nodos. Por otro lado Álvarez (2010, p.72) evaluó la latencia realizando cincuenta llamadas de un minuto desde y hacia diferentes zonas del Firewall para luego calcular el retardo y finalmente Lyu y Lau (2002, p. 4) evaluaron la latencia ante el envío de paquetes de 5 Mb a través del protocolo FTP de un host a otro.
Con respecto, a la segunda hipótesis específica sobre la aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a eficacia de la seguridad, se obtuvieron que los resultados de seguridad en la percepción de filtro antimalware, indican que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software pues el nivel de significancia arrojado por la prueba corresponde a 0,000, lo que significa que son menor a α=0,05; por lo cual se rechaza la Ho. Por el contrario, en el filtro URL no existen evidencias estadísticas suficientes para rechazar la Ho, por lo cual no hay diferencias significativas en la eficacia de seguridad
101
entre los Firewalls de hardware y los Firewalls de software, tanto que el nivel de significancia tuvo un valor de 0,112 mayor a α=0,05.
Considerando las ideas anteriores, los resultados obtenidos, fueron comparados con trabajos realizados previamente, se pudo observar que son semejantes al de León (2016, p.83) en el que evaluó la cantidad de evasiones al filtro antimalware de Firewalls de software libre, descargando el fichero EICAR test como carga maliciosa que debería ser detectada por las soluciones de seguridad. Asimismo Huang et al. (2013, p.1388) evaluó a través del algoritmo GA una lista de 500 K de URL maliciosas y 1,000 K de URL benignas que fueron comparadas para determinar las características propias de su categoría. Por otro lado Colmenares et al. (2016, p.18) evaluó la seguridad de las URL, para realizar esta prueba visito 68 páginas pornográficas de las cuales con ayuda del algoritmo RSOR determino que el 51.47 % son seguras y el 48.53% son inseguras.
En lo que se refiere, a la hipótesis específica 3 sobre la aplicación de una metodología para la evaluación de rendimiento de Firewalls permitirá determinar que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en cuanto a consumo de recursos, los resultados arrojaron las siguientes consideraciones para el indicador CPU los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software, al contrastar los resultado de la significancia de la prueba T con α=0,05, los cuales son menores, en consecuencia se rechaza la Ho. No obstante, los datos del indicador RAM evidencian que no existe diferencia significativa para rechazar la Ho, motivado a que los resultado obtenidos en la significancia de la prueba T son mayores que α=0,05; lo que no permite rechazar la Ho. En consecuencia, los Firewall de hardware no tienen mayor rendimiento que los Firewall de software en cuanto a consumo de recursos.
De acuerdo a esto, la investigación de los siguientes autores soporta el presente estudio al mostrar resultados equivalentes, Cajas et al. (2015, p.4) evaluó el consumo de CPU y memoria RAM enviando 2000 y 5000 paquetes de red al puerto del Firewall durante diez minutos para luego compararlos. Asimismo Agus (2014, p.21) realizó un ataque de denegación de servicios a Firewalls de hardware y software para luego evaluar el consumo de memoria RAM y CPU concluyendo que los Firewalls de hardware son superiores a los Firewall de software en ataques realizados a las capas 3 y 4 del modelo
102
OSI. Por otra parte Alagiya et al. (2013, p.49) evaluó el consumo de recursos de Firewall (CPU y memoria RAM) en cinco escenarios de trafico de red variable.
Finalmente, la presente investigación con base en los autores considerados y los resultados obtenidos, permitió corroborar que la aplicación de una metodología para la evaluación de rendimiento de Firewalls determinó que los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software.
103
V. CONCLUSIONES
104
De acuerdo a los resultados obtenidos, se ha llegado a las siguientes conclusiones:
1. Los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en lo que respecta a desempeño en la red, esto bajo las condiciones propuestas en el ambiente de pruebas de la presente investigación. Cabe mencionar que después de realizar las pruebas de desempeño en la red definidas en la metodología, el indicador throughput que calcula la velocidad real a la cual se transmiten los paquetes de red de tamaño (64, 128, 256, 512, 1024, 1280 y 1518 bytes) a través del Firewall se mostró favorable a los Firewalls de hardware con un promedio de (4,4598; 8,9894; 15,5642; 29,0060; 57,2690; 75,9060 y 74,0398 Mbps) respectivamente contra un (2,8584; 7,4216; 11,8840; 27,0736; 54,7594; 72,8100 y 42,0266 Mbps) de los Firewalls de software libre. Asimismo el indicador latencia que calcula el retardo que genera el Firewall al tráfico de red que pasa a través de él se mostró favorable a los Firewalls de hardware con un promedio de 10,228 s contra un promedio de 12,840 s de los Firewalls de software.
2. Los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en lo que respecta a eficacia de la seguridad, esto bajo las condiciones propuestas en el ambiente de pruebas de la presente investigación. Cabe mencionar que después de realizar las pruebas de eficacia de la seguridad definidas en la metodología, el indicador filtro antimalware que bloquea los archivos maliciosos provenientes de internet a la red local se mostró favorable respecto a los bloqueos realizados por los Firewalls de hardware con 61,6 % contra un 38,4 % de los Firewalls de software. Asimismo el indicador filtro URL que bloquea el acceso a las páginas web con contenido pornográfico se mostró ligeramente favorable respecto a los bloqueos realizados por los Firewalls de hardware con un 50.5 % contra un 49,5 % de los Firewalls de software.
3. Los Firewalls de hardware tienen mayor rendimiento que los Firewalls de software en lo que respecta a consumo de recursos, esto bajo las condiciones propuestas en el ambiente de pruebas de la presente investigación. Cabe mencionar que después de realizar las pruebas de consumo de recursos definidas en la metodología, el indicador Porcentaje de consumo de CPU ante un ataque de denegación de servicios se mostró favorable para los Firewalls de hardware con un promedio de 34,550 % contra un 46,050 % de los Firewalls de software. Asimismo el indicador Porcentaje de
105
consumo de memoria RAM ante un ataque de denegación de servicios se mostró favorable para los Firewalls de hardware con un promedio de 26,650 % contra un 34,350 % de los Firewalls de software.
Finalmente, se puede concluir de manera general que la aplicación de una metodología para la evaluación de rendimiento de Firewalls sí permite determinar que los Firewalls de hardware (Paloalto y Fortinet) tienen mayor rendimiento que los Firewalls de software (Endian y Sophos), demostrándose esto en los resultados que se obtuvieron de los indicadores de los Firewalls de hardware con respecto a los Firewalls de software implementados, todo esto bajo las condiciones propuestas en el ambiente de pruebas de la presente investigación.
106
VI. RECOMENDACIONES
107
Las recomendaciones para futuras investigaciones son las siguientes:
1. Para investigaciones similares se recomienda evaluar el throughput utilizando herramientas de hardware que generan gran volumen de tráfico de red con la finalidad de simular un ambiente real de trabajo similar a un ambiente de producción, con la finalidad de evaluar equipos Firewalls de mayor performance.
2. Se sugiere que para investigaciones futuras se considere a los criterios de evaluación filtro antispam e IPS con la finalidad de ampliar el alcance de la presente metodología a las nuevas funcionalidades que adquieren los Firewalls.
3. Se recomienda que las empresas adquieran productos antimalware y antivirus independientes del Firewall que aumenten su capacidad de protección en la red local, debido a la poca efectividad que mostraron los Firewalls ante pruebas que evaluaron el filtro antimalware.
4. Para medianas y grandes empresas se recomienda que utilicen Firewall de hardware licenciado por tener mejor rendimiento que los Firewalls de software y adquieran las licencias completas para asegurar la seguridad de su red local y garantizar la disponibilidad, integridad y confidencialidad de su información.
108
VII. REFERENCIAS
109
Agus, R. (2014). Performance Analysis of Software and Hardware based Firewalls against DDoS Attacks (Tesis de Maestría). California State University, California, Estados Unidos.
Alfaro, E. (2008). Metodología para la auditoría integral de la gestión de la tecnología de la información (Tesis de pregrado). Pontificia Universidad Católica del Perú, Lima, Perú.
Almirón, I., (2014). Redes configuración y administración, Buenos Aires, Argentina: Fox Andina.
Ariganello, E., (2013). Redes Cisco: Guía de estudio para la certificación CCNA Security, México DF, México: Alfaomega.
Álvarez, N. (2010). Análisis de rendimiento y calidad de servicio en tres arquitecturas de seguridad basadas en Firewall (tesis de pregrado). Universidad Militar Nueva Granada, Bogotá, Colombia.
Aijaz, M. y Parveen, S. (2016). Analysis of Dos and Ddos attacks. International Journal of Emerging Research in Management &Technology. 5(5), 130-140.
Alagiya, A., Joshi, H. y Jani, A. (2013). Performance analysis and enhancement of UTM device in local area network. International Journalist Modern Education and Computer Science, 10(1), 43-52.
Alomia, H., Escallon, V. y Ortegón, K. (2007). Guía metodológica para realización de proyectos de grado. Universidad Icesi – Santiago de Cali, Colombia.
Baiocchi, A., Maiolini, G., Mingo, A. y Goretti, D. (2015). Adaptive conflict-free optimization of rule sets for network security packet filtering devices. Journal of Computer Networks and Communications, 2015(1), 1-17.
110
Bolanowski, M., Paszkiewicz, P., Zapala, P. y Zak, R. (2014). Stress test of network devices with maximum traffic load for second and third layer of ISO/OSI model. PAK, 60(10), 854-857.
Bueno, J. (2013). Sistema de control y seguridad Endian Firewall para la empresa Frada Sport (Tesis de pregrado). Universidad Tecnológica Israel, Quito, Ecuador.
Brucker, A. D., Brügger, L. y Wolff, B. (2014). Formal Firewall conformance testing: an application of test and proof techniques. Software Testing, Verification and Reliability, 25(1), 34-71.
Bezzazi, F., Kartit, A., El Marraki, M. y Aboutajdine, D. (2013). Enhanced strategy of deployment Firewall policies. Journal of Theoretical and Applied Information Technology, 54(1), 121-126.
Beyene, Y., Faloutsos, M. y Madhyastha, H. (2012). Syfi: A systematic approach for estimating stateful Firewall performance. International Conference on Passive and Active Network Measurement, 74-84.
Blansit, B. D. (2009). Firewalls: Basic principles and some implications. Journal of Electronic Resources in Medical Libraries, 6(1), 260-269.
Bradner, S. y McQuaid, J. (1999). Benchmarking Methodology for Network Interconnect Devices. The Internet Society, 1-31.
Chen, F., Liu, A. X., Hwang, J. y Xie, T. (2012). First step towards automatic correction of Firewall policy faults. ACM Transactions on Autonomous and Adaptive Systems, 7(2), 1-24.
Cheng, T., Lin, Y., Lai, Y. y Lin, P. (2011). Evasion Techniques: Sneaking through your Intrusion Detection/Prevention Systems. IEEE Communications Surveys & Tutorials, 1-10.
111
Christodorescu, M. y Jha, S. (2004). Testing malware detectors. International Symposium on Software Testing and Analysis. 1-11.
Callegati, F., Cerroni, W. y Contoli, C. (2016). Virtual networking performance in openstack platform for network function virtualization. Journal of Electrical and Computer Engineering, 2016(1), 1-15.
Cortés, D. G. (2016). Firewalls de nueva generación: la seguridad informática vanguardista. Universidad Piloto de Colombia, 1-9.
Colmenares, L. y Albores, F. (2016). Filter for web pornographic contents based on digital image processing. International Journal of Combinatorial Optimization Problems and Informatics, 7(2), 13-21.
Coronel, V. (2014). Diagnóstico de la seguridad que ofrecen los Firewalls para las agencias productoras y asesoras de seguros de la ciudad de Guayaquil (Tesis de pregrado). Universidad Católica de Santiago de Guayaquil, Guayaquil, Ecuador.
Cuenca, J. (2016). Firewall o cortafuegos. Universidad Nacional de Loja.
Cajas, A., Benavides, J. y Gómez, L. (2015). Denegación de servicios con hping3, herramientas virtuales, ataque y mitigación. Departamento de Ciencias de la Computación - Universidad de las Fuerzas Armadas. 1-8.
Cavusoglu, H., Raghunathan, S. y Cavusoglu, H. (2009). Configuration of and Interaction Between Information Security Technologies: The case of Firewalls and Intrusion Detection Systems. Information Systems Research, 20(2), 198-217.
Department for Work & Pensions. (2017). Security Standard – Security Boundaries (SS- 006). Recuperado de https://assets.publishing.service.gov.uk/government/uploads/system/uploads/atta chment_data/file/691103/dwp-ss006-security-standard-security-boundaries.pdf
112
Demertzis, K. y Iliadis, L. (2015). Evolving Smart URL Filter in a Zone-based Policy Firewall for Detecting Algorithmically Generated Malicious Domains. 1-10.
Delgado, H. (2009). Redes inalámbricas. Lima, Perú: Ediciones Macro.
Escobar, A. y Cuervo, A. (2008). Validez de contenido y juicio de expertos: Una aproximación a su utilización. 1-10
Fiessler, A., Hager, S., Scheuermann, B. y Moore, A. W. (2016). Hypafilter – a versatile hybrid FPGA packet filter. Simposio ACM / IEEE sobre arquitecturas para redes y sistemas de comunicaciones, 1-12.
Feng, Y., Huang, N. y Chen, C. (2011). An efficient caching mechanism for network- based url filtering by multi-level counting bloom filters. IEEE International Conference on Communications. 1-6.
Ferrer, M. (2006). Firewalls software: Estudio, instalación, configuración de escenarios y comparativa (Tesis de pregrado). Universidad Politécnica de Catalunya, Catalunya, España.
Flores, E., Coyotecatl, M., Torrealba, R. y Ambrosio R. (2017). Análisis del parámetro throughput en una red ad hoc y manet en el estándar 802.11ac. Revista de Aplicación Científica y Técnica, 3(7), 1-9.
Fernández, C. y Baptista L. (2014). Metodología de la investigación. México D.F., México: Mc Graw Hill Education.
García, J., Fernández, H., Martínez, R., Ochoa, A. y Ramos, A. (2013). Hacking y seguridad en internet, Bogotá, Colombia: Ediciones de la U.
Gordillo, N. (2007). Metodología, método y propuestas metodológicas en Trabajo Social. Revista Tendencia &Retos, 12, 119-135.
113
Gordon, R. (2017). DDos attack simulation to validate the effectiveness of common and emerging threats. Journal of Information Warfare, 16(1), 49-63.
Ganesh, A., Sudarsan, A., Krishna, A. y Ramalingam, D. (2014). Improving Firewall performance by using a cache table. International Journal of Advances in Engineering & Technology, 7(5), 1594-1607.
Hickman, B., Newman, D., Tadjudin, S. y Martin, T. (2003). Benchmarking Methodology for Firewall Performance. The Internet Society, 1-34.
Huang, D., Xu, K. y Pei, J. (2014). Malicious URL detection by dynamically mining patterns without pre-defined elements. World Wide Web, 17, 1375-1394.
IEEE Standards Association. (2012). IEEE Standard for Ethernet. Recuperado de http:// http://www.moduletek.com/Download/IEEE-Standard-for-Ethernet.pdf
Jarrín, G. (2010). Análisis de rendimiento de los servidores de Firewall, mail y aplicaciones externas para la Organización Iliniza S.A. (tesis de pregrado). Escuela Politécnica Nacional, Quito, Ecuador.
Jara, H. y Pacheco, F., (2012). Ethical Hacking 2.0, Buenos Aires, Argentina: Fox Andina.
Jürjens, J. y Wimmel, G. (2001). Specification-based Testing of Firewalls. International Andrei Ershov Memorial Conference on Perspectives of System Informatics, 1-8.
Kabala, P. y Laskowski, D. (2015). Analysis of network traffic filtering. Journal of KONBIN, 1(33), 41-60.
Klepac, M., Hegr, T. y Bohac, (2015). Enhancing availability of services using software- defined networking. Information and communication technologies and services, 13(5), 522-528.
114
Kim, U. H., Kang, J. M., Lee, J. S., Kim H. S. y Jung, S. Y. (2013). Practical Firewall policy inspection using anomaly detection and its visualization. Multimedia Tools and Applications, 71(1), 627-641.
León, D. (2016). Estudio de soluciones Unified Threat Management (UTM) de libre acceso (Tesis de Maestría). Universidad Internacional de la Rioja, Madrid, España.
Lyu, M. R. y Lau, L. K. (2002). Firewall security: Policies, testing and performance evaluation. IEEE Computer Society's International Computer Software and Applications Conference. 1-6.
Marchionni, E., (2011). Administrador de servidores, Buenos Aires, Argentina: Fox Andina.
Miravalls, E., Muelas, D., López, J. E., Ramos, J. y Aracil, J. (2017). Evaluación de equipamiento de bajo coste para realizar medidas de red en entornos domésticos. Jitel. 1-6.
Mohammad, R., Thabtah, F. y McCluskey, L. (2013). Intelligent rule-based phishing websites classification. IET Information Security, 8(3), 153-160.
Morlote, N. y Celiseo, R. (2004). Metodología de la investigación. México D. F., México: Mcgraw-Hill.
Martínez, K., Pacheco, J. y Zúñiga, I. (2009). Firewall – Linux: una solución de seguridad informática para pymes (pequeñas y medianas empresas). UIS Ingenierías Revista de la Facultad de Ingenierías Fisicomecanicas, 8(2), 155-165.
Nss Labs (2017). Test Methodology Evasion. Recuperado de: https://www.nsslabs.com/publication-research-library/
Nss Labs (2016). Test Methodology Next Generation Firewall. Recuperado de: https://www.nsslabs.com/publication-research-library/
115
National Institute of Standards and Technology. (2009). Special Publication 800-41 - Guidelines on Firewalls and Firewall Policy. Recuperado de https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf
National Institute of Standards and Technology. (2008). Special Publication 800-115 - Secure Virtual Network Configuration for Virtual Machine (VM) Protection. Recuperado de https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800- 125B.pdf
National Institute of Standards and Technology. (2008). Special Publication 800-125B - Technical Guide to Information Security Testing and Assessment. Recuperado de https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800- 115.pdf
Pacheco, J. y Martínez, K. (2009). Diseño e implementación de un servidor Firewall en linux (Tesis de pregrado). Universidad Tecnológica de Bolívar, Cartagena de Indias, Colombia.
Paloalto Networks (2015). Guía del administrador PAN-OS. Recuperado de: https://docs.paloaltonetworks.com/pan-os/7-1/pan-os-admin
Posada, G., (2016). Elementos básicos de estadística descriptiva para el análisis de datos, Medellín, Colombia: Fondo Editorial Luis Amigó.
Ragnarsson, P., y Gustafsson, N. (2009). Firewall Implementation and Testing.
Rajalakshmi, R. y Aravindan, C. (2014). A Naive Bayes approach for URL classification with supervised feature selection and rejection framework. Computational Intelligence, 2018(34), 363-396.
Ramos, A., Barbero, C., Martínez, R., García, A. y Gonzales, J., (2015). Hacking y seguridad de páginas web, Bogotá, Colombia: Ediciones de la U.
116
Romero, C. A., Pineda, F. E., y López, J. V. (2016). Determine the operation of a Firewall to block avoidance internet censorship systems based on proxy. Revista de Investigación Altoandina, 18(4), 475-482.
Roy, S., Kumar, A. y Singh, A. (2012). A novel approach to prevent sql injection attack using url filter. International Journal of Innovation, Management and Technology, 3(5), 499-502.
Rousseau, A. (2013). Laboratorio de nuevas métricas en Ethernet (Tesis de pregrado). Universidad de Chile, Santiago de Chile, Chile.
Sheth, C. y Thakker, R. (2013). Performance evaluation and comparison of network Firewalls under ddos attack. International Journalist Computer Network and Information Security, 12(1), 60-67.
Scafone, K., Benigni, D. y Grance, T. (2009). Cyber security Standards. Recuperado de https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=152153
Sophos (2011). Sophos Enterprise Manager Guía de configuración de políticas. Recuperado de https://www.sophos.com/es- es/medialibrary/PDFs/manuals/sem_47_psgeng.pdf
Tomar, K. y Tyagi, S. (2014). HTTP packet inspection policy for improvising internal network security. Internacional Journalist Computer Network and Information Security, 11, 35-42.
Torres, P. (2014). Metodología para evaluar el rendimiento de los servidores de correo electrónico (Tesis de pregrado). Universidad Cesar Vallejo, Lima, Perú.
Totusoft (2018). Lan Speed Test. Recuperado de: https://totusoft.com/files/lanspeed_doc.pdf
117
The British Standards Institution. (2012). Information Technology - Security techniques - Guidelines for cybersecurity. Recuperado de https://www.iso.org/standard/44375.html
Vesga, J. C., Vesga, J. A., y Granados, G. (2016). Evaluation of the performance of a network lan over powerline communications for the transmission of voip. Iteckne, 13 (1), 83-95.
Vondrous, O., Macejko, P. y Kocur, Z. (2015). Flowping - the new tool for throughput and stress testing. Information and Communication Technologies and Services, 13(5), 516-521.
Vesga, J. C., Granados, G. y Contreras, M. F. (2012). Modelo empírico que permite evaluar el throughput de la red lan basada en el estándar homeplug av para la transmisión de voz sobre el protocolo IP. 1-7.
Weinberg, Z., Wang, J., Yegneswaran, V., Briesemeister, L., Cheung, S., Wang, F. y Boneh, D. (2012). StegoTorus: A camouflage proxy for the tor anonymity system. Conference on Computer and Communications Security, 109-120.
Wireless Lan Professionals (s. f.). “How to Guide” on Jperf & Iperf. Recuperado de: https://community.cisco.com/legacyfs/online/attachments/discussion/how-to- guide-on-jperf-and-iperf.pdf
Xuan, S., Yang, W., Dong, H. y Zhang, J. (2016). Performance evaluation model for application layer Firewalls. Plos One, 11(11), 1-15.
Xena Network (2016). Performance verification of next-generation Firewalls. Recuperado de: https://www.xenanetworks.com/wp- content/uploads/2017/07/Performance-Verification-of-Next-Generation-Firewall-4- WP.pdf
118
Zhao, H., Luo, Y., Meng, J. y Ma, T. (2014). A novel project of access control of multi- Level security Firewall. Applied Mechanics and Materials, 687-691, 2035- 2038.
Zapata, L. (2012). Evaluación y mitigación de ataques reales a redes ip utilizando tecnologías de virtualización de libre distribución. Ingenius Revista de Ciencia y Tecnología, 1(8), 11-19.
Zouina, M. y Outtaj, B. (2017). A novel lightweight URL phishing detection system using SVM and similarity index. Human-centric Computing and Information Sciences, 7(17).
119
ANEXOS
120
Anexo 1: Matriz de consistencia
121
Anexo 2: Metodología para evaluar el rendimiento del Firewall
1. Objetivo de la metodología El objetivo de la metodología es evaluar el rendimiento de Firewalls de hardware y software.
2. Alcance de la metodología El alcance de la metodología comprende la evaluación del rendimiento de los Firewalls de hardware y de software libre basándose en criterios como el desempeño en la red, eficacia de la seguridad y consumo de recursos. Para evaluar un Firewall se debe conocer sus características técnicas y funciones. La información a buscar depende de la evaluación de los tipos de Firewalls de hardware y software a evaluar. Esto a su vez incluye:
Revisión de guías de implementación y administración de Firewalls de hardware y software libre que incluyan: (a) requerimientos previos necesarios para que el Firewall funcione correctamente y (b) procedimiento de implementación y configuración básica Revisión de la literatura para configurar y definir las políticas de seguridad en el Firewall Revisión de aplicaciones para efectuar las pruebas de rendimiento: (a) desempeño en la red, (b) eficacia de la seguridad y (c) consumo de recursos, criterios de evaluación definidos en la presente metodología Revisión de estándares internacionales relacionados a seguridad informática y Tecnología de la Información.
3. Comparación con metodologías existentes
En la revisión de la literatura realizada, se han encontrado tres metodologías para evaluar Firewalls:
Hickman et al. (2003), propusieron la metodología “Benchmarking Methodology for Firewall performance”, publicada en la página web del IETF (Internet Engineering Task Force) organización internacional abierta de normalización que regula las propuestas y los estándares de internet,
122
conocidos como RFC. Dicha publicación se identifica con el código RFC Nº 3511. Álvarez (2010), en la Tesis de Pregrado “Análisis de rendimiento y calidad de servicio en tres arquitecturas de seguridad basadas en Firewall”, presentada en la Universidad Militar Nueva Granada – Colombia, propuso una metodología para analizar el rendimiento del Firewall orientado a evaluar el desempeño del Firewall en la red.
León (2016), en la Tesis de Maestría “Estudio de Soluciones Unified Threat Management (UTM) de libre acceso”, presentada en la Universidad Internacional de La Rioja – España. Propuso una metodología para evaluar las funcionalidades UTM de los Firewall de software de nueva generación.
123
3.1. Cuadro comparativo de metodologías existentes:
Tabla 37.
Cuadro comparativo de metodologías de evaluación de Firewalls
METODOLOGÍA METODOLOGÍA METODOLOGÍA PARA BENCHMARKING INTEGRAL PARA PARA ANALIZAR EL COMPARAR EL METHODOLOGY FOR EVALUAR EL RENDIMIENTO DEL RENDIMIENTO DE FIREWALL RENDIMIENTO DEL FIREWALL. FIREWALL. PERFORMANCE. FIREWALL. AUTOR(ES): Rogelio Joseph Nury Julieth ALVAREZ Diego LEON CASAS – B. HICKMAN, D. PACOTAYPE ROA – Universidad Universidad Internacional NEWMAN, S. TADJUDIN HUAMAN – Militar Nueva Granada - de La Rioja - España T. MARTIN – Internet Universidad Cesar Colombia Society (ISOC) – Estados Vallejo - Perú Unidos OBJETIVO: Evaluar el rendimiento Analizar el rendimiento y Comparar el rendimiento de Definir una serie de pruebas de Firewalls de QoS en tres arquitecturas Firewalls UTM de software para describir las hardware y software de seguridad basadas en libre. características de rendimiento Firewall. del Firewall.
124
CARACTERISTICAS: Tiene como criterios de Tiene como criterios de Tiene como criterio de Tiene como criterio de evaluación: Desempeño evaluación desempeño en evaluación las diversas evaluación el desempeño en en la red, eficacia de la la red y está orientado a funcionalidades UTM de los la red y está orientado a seguridad (evaluación de redes de voz. Firewalls de nueva Firewall de primera políticas) y consumo de generación. generación. recursos. FASES: 1. Planeamiento 1. Documentación y No tiene fases. No tiene fases. 2. Implementación y selección. pruebas 2. Diseño e 3. Análisis de implementación. Resultados. 3. Pruebas y análisis de resultados.
TIPOS DE PRUEBA: 1. Throughput 1. Throughput 1. Escaneo de 1. Throughput 2. Latencia 2. Latencia vulnerabilidades 2. Conexiones TCP 3. Filtrado web 3. Jitter 2. Archivos maliciosos 3. Latencia 4. Archivos Malicioso 4. Perdida de paquetes 3. Evasión 4. Denegación de servicios. 5. Consumo de memoria 4. Control de protocolo RAM 5. Filtrado web 6. Consumo de CPU
125
4. Fases de la metodología La metodología propuesta para la evaluación de rendimiento de Firewalls se divide en tres fases como lo sugiere el estándar de seguridad de la información “Technical Guide to Information Security Testing and Assessment” [SP 800-115] y otros autores (Farfán, 2015, p. 66; National Institute of Standards and Technology, 2008, p. 13). Como se muestra en el siguiente gráfico:
Figura 1. Fases de la metodología de evaluación de rendimiento de Firewall.
Planeamiento: Punto de partida de la metodología que contiene aspectos de carácter investigativo y teórico. Fase donde se recopila información necesaria como identificación de criterios de evaluación, definición del sujeto de medición, de aplicaciones para evaluar el rendimiento, roles y políticas de Firewall para la ejecución de la fase de implementación y pruebas. (Álvarez, 2010, p. 34; National Institute of Standards and Technology, 2008, p. 13) Implementación y pruebas: En esta fase se realiza la preparación del ambiente de pruebas de acuerdo a los escenarios propuestos en la presente metodología y la ejecución de las pruebas para evaluar el rendimiento del Firewall. Al terminar esta fase los evaluadores deben haber recopilado información acerca de la medición del rendimiento de los Firewalls de acuerdo a los criterios de evaluación. (Álvarez, 2010, p. 34; National Institute of Standards and Technology, 2008, p. 13) Análisis de resultados: Finalmente en esta fase se analizan los resultados obtenidos en las diferentes pruebas y se genera un reporte final. (Álvarez, 2010, p. 34; National Institute of Standards and Technology, 2008, p. 13)
126
En la siguiente figura se detalla el desarrollo de las fases de la metodología integral para evaluar el rendimiento de Firewalls:
Figura 2. Estructura de las fases de la metodología MERF.
127
4.1. Planeamiento A. Seleccionar Firewalls La selección de los Firewalls (tanto de hardware como software) a implementar en el ambiente de pruebas, se realizó a conveniencia por ser accesibles al investigador (Morlote y Celiseo, 2004, p. 92), los cuales son:
Firewall Paloalto (Hardware) Firewall Fortinet (Hardware) Firewall Endian UTM (Software) Firewall Sophos UTM (Software)
B. Identificar criterios evaluación de rendimiento y parámetros de medición Teniendo ya seleccionados los tipos de Firewalls a implementar y evaluar, se hace necesario identificar los criterios mediante los cuales se va a evaluar el rendimiento de dichos Firewalls. Los criterios de evaluación de rendimiento representan las características que se van a medir y cuantificar, las cuales influyen en la comparación de rendimiento de los Firewalls. Sobre la base de la revisión de la literatura se ha definido los criterios de rendimiento, tal como aparece en la siguiente tabla:
Tabla 38.
Criterios de rendimientos y parámetros de medición
CRITERIO CONCEPTO Throughput: (Flores et al., 2017, p. 4; Medición de throughput ante el Vesga et al., 2016, p. 87; envío de paquetes. Telecommunication Standardization Sector of Itu, 2016, p. 6; Vondrous et al., 2015, p. 517; Rousseau, 2013, p. 33; National Institute of Standards and Technology, 2009, p. 40; Hickman et al., 2003, p. 15) Latencia: (Flores et al., 2017, p. 4; Nss Medición de latencia ante la Labs, 2017, p. 22; Vesga et al., 2016, p. 87; descarga de un archivo. Telecommunication Standardization Sector of Itu, 2016, p. 6; Álvarez, 2010, p. 22; National Institute of Standards and Technology, 2009, p. 40; Hickman et al., 2003, p. 16; Bradner y McQuaid, 1999, p. 28)
128
CRITERIO CONCEPTO Filtro web: (Rajalakshmi y Aravindan; Cantidad de evasiones detectadas a 2018, p. 367; Colmenares y Albores, 2016, las políticas de filtrado URL ante la p. 17; Romero et al., 2016, p. 475; León, navegación web. 2016, p. 63; Demertzis e Iliadis, 2015, p. 4; Mohammad et al., 2014, p. 153; Bezzazi et al., 2013, p. 122; Roy et al., 2012, p. 499; Feng et al., 2011, p. 2; ) Filtrado de malware: (The British Cantidad de evasiones detectadas a Standards Institution, 2012, p. 6; León, la política antimalware ante la 2016, p. 66; Huang et al., 2014, p. 1376; navegación web en páginas Christodorescu y Jha, 2004, p. 2 ) maliciosas. Consumo de memoria RAM: (Gordon, Porcentaje de consumo de memoria 2017, p. 52; Cajas et al., 2016, p. 4; RAM ante una prueba de Bolanowski, 2014, p. 854; Torres, 2014, p. denegación de servicios. 38; Cheng et al., 2011, p. 2; Jarrín, 2010, p. 49)
Consumo de CPU: (Gordon, 2017, p. 52; Porcentaje de consumo de CPU ante Cajas et al., 2015, p. 4; Agus, 2014, p. 21; una prueba de denegación de Bolanowski, 2014, p. 854; Torres, 2014, p. servicios. 38; Alagiya et al., 2013, p. 49; Cheng et al., 2011, p. 2; Jarrín, 2010, p. 49)
C. Definir el sujeto de medición A continuación se definen las características técnicas del sujeto a medición (Firewalls de hardware y software) donde se realizarán las pruebas. Cabe mencionar que dichas características fueron consideradas en base a la disponibilidad del equipamiento de seguridad informática de la DIRTIC y son similares. Las características técnicas son las siguientes:
Características del sujeto de medición para Firewall Paloalto Networks: (a) velocidad del procesador 1.8 GHz, (b) memoria RAM 3 GB, (c) disco duro 80 GB y (d) sistema operativo Pan-OS. Características del sujeto de medición para Firewall Fortinet: (a) velocidad del procesador 1.80 GHz, (b) memoria RAM 3 GB, (c) disco duro 40 GB y (d) sistema operativo Forti-OS. Características del sujeto de medición para Firewall Sophos UTM (a) velocidad del procesador 1.80 GHz, (b) memoria RAM 3 GB, (c) disco duro 40 GB, y (d) sistema operativo Sophos-OS.
129
Características del sujeto de medición para Firewall Endian UTM (a) velocidad del procesador 1.80 GHz, (b) memoria RAM 3 GB, (c) disco duro 40 GB, y (d) sistema operativo Linux.
D. Elegir las aplicaciones para realizar las pruebas de rendimiento Las herramientas para realizar las pruebas de rendimiento de Firewalls serán las siguientes:
A. Jperf: Es una herramienta de software libre que permite realizar medidas básicas de throughput en los enlaces Ethernet de la red local. (Miravalls et al., 2017, p. 120; Klepac et al., 2015, p. 525; Rousseau, 2013, p. 32).
B. Lan speed test: Es una herramienta simple para medir el tiempo de la transferencia de archivos desde una zona a otra del Firewall. (Totusoft, 2018, p. 3)
C. Hping: Es una herramienta incluida en el sistema operativo Kali Linux, permite realizar ataques de denegación de servicios y pruebas de estrés a dispositivos de red. (Cajas et al., 2015, p. 2; Jara y Pacheco, 2012, p. 240)
D. Panel de monitoreo del Firewall Muestra información general del dispositivo, como la versión de software, el estado operativo de cada interfaz, la utilización de recursos, el uso del CPU, etc. (Fortinet, 2017, p. 246; PaloAlto Networks, 2016, p. 252).
E. Definir roles Para realizar las pruebas definidas en la metodología MERF y evaluar el rendimiento del Firewall, se usaron diferentes componentes y dispositivos de red, cada uno con roles diferentes de acuerdo a su función:
A. Agente de ataque Esta computadora se encuentra ubicada en la zona WAN de la arquitectura de red y tiene por objetivo realizar a través de sus herramientas diferentes ataques para
130
verificar el rendimiento del Firewall, el sistema operativo que utiliza es Kali Linux. (León, 2016, p. 55; Alagiya et al., 2013, p. 46)
B. Firewall Este dispositivo de seguridad se encuentra adelante de las zonas LAN y DMZ controlando y restringiendo el tráfico que fluye entre estas zonas hacia la zona WAN y/o viceversa. En el presente trabajo existirán diferentes escenarios donde se probará el rendimiento de diferentes Firewalls entre los cuales tenemos: Firewall Paloalto Networks, Firewall Fortinet, Firewall Endian UTM y Firewall Sophos UTM (León, 2016, p. 55; Alagiya et al., 2013, p. 46).
C. Servidor El servidor contará con diversos servicios como FTP, DNS, HTTPS que servirán para probar el rendimiento y el nivel de protección que brindan los Firewalls a través de la aplicación de la metodología MERF y el uso de herramientas antes señaladas. Se ubicará en la zona DMZ de la topología del Firewall. (Marchionni, 2011, p. 23; Delgado, 2009, p. 83)
D. Estación de trabajo Las estaciones de trabajo son computadoras que están disponibles a los colaboradores de la empresa, servirán para probar la efectividad de la políticas implementadas que restringen a los usuarios locales. Se encontrará en la zona LAN de la topología del Firewall. (Alagiya et al., 2013, p. 46)
F. Definir políticas Antes de realizar algún cambio en el Firewall debe asegurarse que se encuentra en la configuración por defecto, es decir cerrado ya que al no tener políticas implementadas debe restringir todo el tráfico que pase a través de él. Se debe crear políticas de seguridad diferentes para cada límite de seguridad y/o zonas del Firewall según sugiere el estándar de seguridad SS-06. Tomando las recomendaciones dadas por los autores de los distintos artículos académicos, empresas del rubro de seguridad informática y especialistas en seguridad informática, las políticas deben cumplir con ciertas características: tener un determinado orden ya que de acuerdo al orden se ejecutan y solo se deben crear
131
las políticas necesarias. En el presente proyecto las políticas a desplegar se determinarán de acuerdo a las necesidades de permisos y usos de protocolos para realizar las diferentes pruebas de evaluación de rendimiento del Firewall (Security Standard [SS-06], 2017, p. 6; Nss Labs, 2016, p. 9; Senn et al., 2015, p. 1; Paloalto Networks, 2015, p. 869; Baiocchi et al., 2015, p. 1; Coronel, 2014, p. 83; Bezzazi et al., 2013, p. 121; Chen et al., 2012, p. 27; Sophos, 2011, p. 10; Huseyin et al., 2009, p. 198; National Institute of Standards and Technology, 2008, p. 20; Ferrer, 2006, p. 25).
Tabla 39.
Políticas a implementar en el Firewall
Políticas de Firewall Zonas Denegar todo el tráfico entrante de la zona WAN a la zona Zona WAN Zona LAN o DMZ, excepto en los puertos 22, 80 y 443 (Paloalto LAN o DMZ Networks, 2015, p. 47; National Institute of Standards and Technology, 2008, p. 19; Ragnarsson y Gustafsson, 2005, p. 5; Lyu y Lau, 2002, p. 3). Permitir tráfico entre zonas internas mediante los Zona LAN protocolos ICMP, HTTP y FTP (Fortinet, 2017, p. 727; DMZ Paloalto Networks, 2015, p. 47; Coronel, 2014, p. 82; Sophos, 2011, p. 10).
Permitir el acceso a internet a los usuarios vía HTTP y Zona LAN o DMZ HTTPS (Coronel, 2014, p. 82). Zona WAN
Habilitar el filtro URL para la categoría de páginas de Zona LAN Zona adultos (León, 2016, p. 35; Paloalto Networks, 2015, p. WAN 63; Coronel, 2014, p. 84).
Habilitar la protección contra escaneo de puertos y Zona WAN Zona Denegación de servicios (Fortinet, 2017, p. 729; León, LAN o DMZ 2016, p. 33).
132
4.2. Implementación y pruebas
A. Preparar el ambiente de pruebas Se debe asegurar la igualdad de los recursos para las pruebas. Con la finalidad de que dichas pruebas se realicen en un entorno de total igualdad, se utilizó Firewalls con similares características.
Tabla 40.
Características de los Firewalls
TIPO MARCA SISTEMA CPU MEMORIA VELOCIDAD OPERATIVO RAM DE PUERTOS DE RED Firewall PaloAlto Pan-Os 1.8 GHz 3 Gb 1 Gbps de Fortinet Forti-Os 1.8 GHz 3 Gb 1 Gbps hardware Firewall Endian Linux 1.8 GHz 3 Gb 1 Gbps de Sophos Sophos-Os 1.8 GHz 3 Gb 1 Gbps software
Los Firewalls de software se implementaron en computadoras de iguales características que los Firewalls de hardware. Los servidores y computadoras de usuario se encuentran con el sistema operativo actualizado. La arquitectura de Firewall que se utilizará en la presente metodología es “Screened subnet” porque segmenta la red local en zonas para mitigar los riesgos de un ataque. El escenario propuesto se dividirá en tres zonas: WAN, LAN y DMZ que a su vez serán los límites de seguridad establecidos para las configuraciones de las diversas políticas en el Firewall (National Institute of Standards and Technology, 2016, p. 3; UNE- ISO/IEC 27002, 2015, p. 65; NTP-ISO/IEC 27001, 2014, p. 28).
A continuación se propone el escenario de pruebas para evaluar cada uno de los Firewalls. El escenario se encuentran en una red distinta a la red de producción por lo que no hay riesgo de pérdida de información o caída de algún servicio, ya que salen a Internet por una IP pública distinta y la red local no es la red de trabajo
133
(UNE-ISO/IEC 27002, 2015, p. 53; NTP-ISO/IEC 27001, 2014, p. 26; ISO/IEC 27032, 2012, p. 29). El escenario propuesto es el siguiente:
Escenario - Screened Subnet: El siguiente diagrama muestra la topología de Firewall Screened Subnet con tres zonas (LAN, WAN y DMZ) para evaluar el rendimiento de los Firewalls. En la zona WAN (red 192.168.8.0/24) se ubicara el servidor Kali Linux (agente de ataque), en la zona DMZ (red 10.10.10.0/24) se ubicara el servidor y en la zona LAN (red 172.31.10.0/24) se ubicara la estación de trabajo. El tráfico de red que va de una zona a otra siempre atravesará el Firewall y sus políticas de seguridad.
Figura 3. Escenario con Firewall de intermediario.
134
B. Procedimiento para realizar las pruebas de desempeño en la red
OBJETIVO
Evaluar el rendimiento del Firewall de acuerdo al criterio de evaluación desempeño en la red.
Se busca determinar el grado de influencia que ejerce cada uno de los Firewalls sobre el tráfico de red que le atraviesa y evaluar la velocidad real en la que transmiten los datos (throughput).
Se busca determinar el grado de influencia que ejerce cada uno de los Firewalls sobre el tráfico de red que le atraviesa y determinar el retardo que genera al procesar la información (latencia).
ALCANCE
El alcance del procedimiento incluye:
a. Revisión de los procesos de la fase de planeamiento de la presente metodología. b. Revisión de documentación relacionada a las pruebas de desempeño en la red respecto a los indicadores throughput y latencia. c. Revisión de la vigencia de las pruebas (National Institute of Standards and Technology, 2008, p. 18). d. Verificación de la correcta ejecución de las pruebas.
ENTRADAS
Para realizar estas pruebas, se requiere que se haya desarrollado la fase de planeamiento de la presente metodología (Identificación de criterios de evaluación, definición del sujeto de medición, aplicaciones para evaluar el rendimiento, roles y políticas de seguridad) y preparado el ambiente de pruebas de acuerdo a los escenarios propuestos para cada Firewall a evaluar.
135
PROCESOS
Las actividades a realizar para calcular el valor del throughput ante el envío de paquetes son las siguientes:
1. La prueba para hallar el throughput consiste en generar tráfico a través del envío de paquetes de diferentes tamaños desde la estación de trabajo hacia el servidor. (Vesga et al., 2016, p. 88; Rousseau, 2013, p. 33) 2. La comunicación entre la estación de trabajo (zona LAN) y el servidor (zona DMZ) no es directa y atraviesa por los filtros y/o políticas del Firewall. 3. Asignar direcciones IP de host a los dispositivos, según la red que le corresponda:
IP servidor : 10.10.10.0/24 IP estación de trabajo : 172.31.10.0/24
4. Verificar que exista conectividad entre la estación de trabajo y el servidor con ayuda del comando ping (protocolo ICMP). 5. En la estación de trabajo debe presionar la tecla “Windows + R” y aparecerá la herramienta ejecutar.
Figura 4. Herramienta Ejecutar. 6. Tal como se muestra en la figura anterior, en la herramienta ejecutar debe escribir la palabra “CMD” para abrir el símbolo del sistema. 7. Después de que cargue la consola del símbolo del sistema “CMD” debe ejecutar el comando ping acompañado de la dirección IP del servidor y/o estación de trabajo. Por ejemplo:
136
Figura 5. Prueba de conectividad al servidor web. 8. Debe obtener respuesta del servidor como se observa en la imagen anterior caso contrario no podrá realizar la prueba. 9. Nota: La herramienta a utilizar en la presente prueba es Jperf que es la versión grafica de iperf, encargada de enviar paquetes de red en cantidades y peso según las necesidades de la prueba. 10. Ejecutar Jperf en el servidor, haciendo doble clic en el icono ubicado en el escritorio. (Callegati et al., 2016, p. 5; Klepac et al., 2015, p. 525)
Figura 6. Icono de la herramienta Jperf.
11. Configurar la herramienta Jperf en modo server (Servidor) y dejar la configuración por defecto (puerto 5001 y número de conexiones 1), como se muestra en la siguiente imagen (Vesga et al., 2016, p. 90; Rousseau, 2013, p. 45):
137
Figura 7. Panel de configuración de la herramienta Jperf modo server. 12. Hacer clic en el botón “Run Iperf” para iniciar la herramienta Jperf en modo server. 13. Ejecutar la herramienta Jperf en la estación de trabajo haciendo doble clic en el icono del escritorio, tal como se indica en la figura Nº 4. 14. Configurar la herramienta Jperf en modo cliente (Estación de trabajo), ingresar la dirección ip del servidor (10.10.10.10) y colocar el puerto activo por defecto (5001), como se muestra en la siguiente imagen (Rousseau, 2013, p. 45):
Figura 8. Panel de configuración de la herramienta Jperf modo cliente. 15. Configurar el menú “Application layer options” del Jperf (Estación de trabajo) el tiempo de transmisión en 50 segundos, el Output Format en MBits y el test port en 5001. Como se muestra en la siguiente imagen:
Figura 9. Panel application layer options de la herramienta Jperf.
138
16. Definir el tamaño de paquetes en bytes a utilizar para la realización de las pruebas. Según los estándares RFC-2544 e ITU-T Y.1564 se deben usar los siguientes tamaños de paquetes en bytes (Vesga et al., 2016, p. 90; Vondrous et al., 2015, p. 517; Rousseau, 2013, p. 22 ; Álvarez, 2010, p. 25):
Tabla 41.
Tamaños de paquetes a enviar según RFC Nº 2544
a b c d E f g 64 128 256 512 1024 1280 1518
17. Configurar el menú “Transport layer options” del Jperf (Estación de trabajo), para ello debe seleccionar el protocolo UDP para el envío de paquetes y luego debe configurar el “UDP Bandwidth” con los datos según el medio de transmisión utilizado (1000) cable UTP Giga Ethernet. 18. Seguidamente en las opciones del menú “UDP Buffer Size” y “UDP Packet Size” del Jperf (Estación de trabajo) debe colocar los valores definidos en la tabla anterior (64, 128, 256, 512, 1024, 1280, 1518) y finalmente debe hacer clic en el botón “Run Iperf” para dar inicio a la prueba. En la siguiente figura se muestra como debe quedar el menú “Transport layer options” después de introducir los valores indicados.
Figura 10. Panel transport layer options de la herramienta Jperf.
139
19. Observar el panel “Output” de la herramienta Jperf que se encuentra ejecutándose en el servidor. En la siguiente figura se muestra como aparecerán los resultados de la prueba en el panel.
Figura 11. Resultado de prueba de throughput con la herramienta Jperf. 20. Ahora debe tomar nota de los 50 resultados mostrados en la columna “Bandwidth” del Jperf (Servidor) y agruparlos en la tabla de tabulación de datos según las columnas Firewall, tamaño de paquetes y las filas según el orden que corresponde. 21. Seguidamente debe repetir el paso 17 hasta el 21cambiando los valores de acuerdo a la tabla indicada en el paso 17 (64, 128, 256, 512, 1024, 1280, 1518) bytes para dar cumplimiento a los estándares internacionales. 22. La evaluación del throughput en la presente metodología concluye cuando se ha realizado las pruebas a todos los Firewalls con los valores indicados en la tabla.
Las actividades a realizar para calcular el valor de la Latencia ante la descarga de un archivo son las siguientes:
1. La prueba para hallar la latencia consiste en descargar en la estación de trabajo un archivo ubicado en el servidor y calcular el tiempo de descarga. (Vesga et al., 2012, p. 1) 2. La comunicación entre la estación de trabajo (zona LAN) y el servidor (zona DMZ) no es directa y atraviesa por los filtros y/o políticas del Firewall.
140
3. Asignar las siguientes direcciones IP a los dispositivos, según la red a la que pertenezcan de acuerdo al siguiente detalle:
IP servidor : 10.10.10.0/24 IP estación de trabajo : 172.31.10.0/24
4. Verificar que exista conectividad entre la estación de trabajo y el servidor con ayuda del comando ping (protocolo ICMP). 5. En la estación de trabajo debe presionar la tecla “Windows + R” y aparecerá la herramienta ejecutar.
Figura 2. Herramienta Ejecutar.
6. Tal como se muestra en la figura anterior, en la herramienta ejecutar debe escribir “CMD” para abrir el símbolo del sistema. 7. Después de que cargue la consola del símbolo del sistema “CMD” debe ejecutar el comando ping acompañado de la dirección IP del servidor y/o estación de trabajo. Por ejemplo:
Figura 12. Prueba de conectividad al servidor.
141
8. Debe obtener respuesta del servidor como se observa en la imagen anterior caso contrario no podrá realizar la prueba. 9. Nota: La herramienta a utilizar en la presente prueba es Lan Speed Test, encargada de contabilizar el tiempo que demora en descargar un archivo desde el servidor.
10. Ejecutar la herramienta Lan Speed Test en la estación de trabajo, haciendo doble clic en el icono ubicado en el escritorio. En
Figura 13. Icono Lan Speed Test. 11. Configurar la herramienta Lan Speed Test seleccionando la opción “Test read” para que solo mida el tiempo de transferencia de archivo desde el servidor hacia la estación de trabajo.
Figura 14. Plataforma Lan Speed Test. 12. En el panel de la herramienta Lan Speed Test (Estación de trabajo) debe configurar la dirección IP del servidor en la opción “LST Server IP”, para indicar la ubicación donde se generara el archivo en el servidor. Por ejemplo \\10.10.10.10\folder tal como se muestra en la Figura.
142
13. Debe seleccionar el tamaño del archivo a descargar desde el servidor. En la presente prueba se definió que el tamaño de archivo a utilizar es de 200 Mb. (Hickman et al., 2003, p. 16) 14. Hacer clic en el botón “Start Test” para iniciar con la prueba. En seguida aparecerá los resultados de la prueba de transferencia de archivos.
Figura 15. Lan Speed Test resultados. 15. Tomar nota del tiempo de descarga del archivo desde el Servidor Estación de trabajo. Para ello debe observar el panel vista de resultados de la herramienta software Lan Speed Test y debe tomar nota del tiempo que demoro la transferencia de archivos desde el servidor hacia la estación de trabajo (Reading - Download). Como se puede observar en el ejemplo de la imagen anterior el tiempo es 7.3593 segundos. 16. Realizar 50 descargas de archivo desde Servidor Estación de trabajo con la herramienta Speed Lan Test. 17. Anotar el tiempo de cada una de las cincuenta (50) descargas y agruparlos en la tabla de tabulación en la columna “Firewall” y en las filas según el orden que les corresponda. 18. La evaluación de la latencia en la presente metodología concluye cuando se han realizado las cincuenta (50) descargas teniendo como intermediario a cada uno de los Firewalls a evaluar.
143
SALIDAS a. Reporte referente al Firewall que tiene mayor rendimiento en cuanto al indicador Throughput según el resultado de la media de los valores calculados. b. Reporte referente al Firewall que tiene mayor rendimiento en cuanto al indicador latencia según el resultado de la media de los valores calculados.
C. Procedimiento para realizar las pruebas de eficacia de la seguridad
OBJETIVO
Evaluar el rendimiento del Firewall de acuerdo al criterio de eficacia de la seguridad.
Se busca determinar el grado de influencia que ejerce cada uno de los Firewalls sobre la navegación web (Filtro URL).
Se busca determinar el grado de influencia que ejerce cada uno de los Firewalls sobre la descarga de archivos maliciosos (malware).
ALCANCE
El alcance del procedimiento incluye:
a. Revisión de los procesos de la fase de planeamiento de la presente metodología. b. Revisión de documentación relacionada a las pruebas de eficacia de la seguridad respecto a los indicadores Filtro URL y descarga de archivos maliciosos. c. Revisión de la vigencia de las pruebas (National Institute of Standards and Technology, 2008, p. 18). d. Verificación de la correcta ejecución de las pruebas.
ENTRADAS
Para realizar estas pruebas, se requiere que se haya desarrollado la fase de planeamiento de la presente metodología (Identificación de criterios de evaluación, definición del sujeto de medición, aplicaciones para evaluar el rendimiento, roles y
144
políticas de seguridad) y preparado el ambiente de pruebas de acuerdo a los escenarios propuestos para cada Firewall a evaluar.
PROCESOS
Las actividades a realizar para evaluar la protección que brinda el filtrado URL son las siguientes:
1. La prueba consiste en verificar las páginas web que saltan la seguridad del filtro URL del Firewall.
2. Para el correcto funcionamiento de la prueba, debe asegurarse que el Firewall tiene activado el filtro URL para que bloquee el acceso a las páginas web de categoría “adultos” (León, 2016, p. 63). 3. Nota: Desde la estación de trabajo debe conectarse a diferentes páginas web con contenido sexual (adultos). El Firewall analizara la dirección URL y la categoría a la que pertenece la página web para determinar si permite o bloquea el acceso a la página.
Figura 16. Visión general del filtrado URL. 4. Verificar que la estación de trabajo (zona LAN) tenga acceso a internet. Para ello debe presionar la tecla “Windows + R” y aparecerá la herramienta ejecutar donde debe escribir la palabra “CMD” para abrir el símbolo del sistema.
145
5. Ejecutar el comando ping acompañado de una dirección web externa. Por ejemplo: ping www.google.com, deberá tener respuesta caso contrario no tiene acceso a internet y no podrá realizar la presente prueba.
Figura 17. Prueba de conectividad a internet. 6. Abrir el navegador web (Internet explorer, Google chrome, etc.) y esperar que cargue la página de inicio del navegador. 7. Definir las direcciones web a evaluar, para ello se cuenta con un listado de quinientas (500) direcciones web de páginas web de categoría “adultos” (ver Anexo3). 8. Las quinientas (500) direcciones web de categoría “adultos” serán las mismas para todos los Firewalls a evaluar en la presente prueba. 9. Acceder a una página web con contenido sexual, para ello debe escribir en la barra de direcciones la dirección web según del listado que se encuentra en el anexo 3 del presente trabajo (Feng et al., 2011, p. 5).
Figura 18. Barra de direcciones del navegador web. 10. Nota: Cuando el Firewall detecte que la página web pertenece a la categoría adultos procederá a bloquearla.
146
Figura 19. Página web bloqueada por filtro URL. 11. Caso contrario la página cargara correctamente en el navegador. Por lo que se evidencia que el filtro URL ha sido vulnerado.
Figura 20. Página web de categoría adultos. 12. Colocar en la tabla de tabulación de datos las respuestas según el resultado obtenido: 1=Si bloqueó; 0=No bloqueó
147
Tabla 42.
Ejemplo de tabla de tabulación de datos de Filtrado URL FW1 FW2 FW3 FW4 Página 1 0 1 1 1 Página 2 1 0 1 1 Página 3 1 1 0 1 Página 4 0 1 1 0 Página 500 1 0 1 1 TOTAL 17 43 39 39
13. La prueba termina cuando se han visitado las quinientas (500) direcciones web de categoría “adultos” a través de todos los Firewalls a evaluar.
Las actividades a realizar para evaluar la protección que brinda la función antimalware de un Firewall son las siguientes:
1. Nota: La navegación web es un vector de ataque, a través del cual se descargan archivos maliciosos (malware) en los dispositivos que acceden a internet. 2. La prueba consiste en verificar las páginas web que saltan la seguridad de las políticas antimalware del Firewall. 3. Para la correcta realización de la prueba, debe asegurarse que el Firewall tiene implementadas políticas antimalware que analizan las páginas web que contienen malware. 4. Nota: Desde la estación de trabajo debe conectarse a diferentes páginas web no confiables. El Firewall analizara la dirección URL y el contenido de algún malware en la página web para determinar si permite o bloquea el acceso a la página. 5. Verificar que la estación de trabajo (zona LAN) tenga acceso a internet. Para ello debe presionar la tecla “Windows + R” y aparecerá la herramienta ejecutar donde debe escribir la palabra “CMD” para abrir el símbolo del sistema. 6. Ejecutar el comando ping acompañado de una dirección web externa. Por ejemplo: ping www.hotmail.com, deberá tener respuesta caso contrario no tiene acceso a internet y no podrá realizar la presente prueba.
148
Figura 21. Prueba de conectividad a internet. 7. Abrir el navegador web (Internet explorer, Google chrome, etc.) y esperar que cargue la página de inicio del navegador. 8. Definir las direcciones web no confiables a evaluar, para ello se cuenta con un listado de quinientas (500) direcciones web maliciosas (ver Anexo 4). 9. Las quinientas (500) direcciones web maliciosas serán las mismas para todos los Firewalls a evaluar en la presente prueba. 10. Acceder a una página web no confiable, para ello debe escribir en la barra de direcciones la dirección web según del listado que se encuentra en el anexo 3 del presente trabajo.
Figura 22. Barra de direcciones del navegador web. 11. Nota: Cuando el Firewall detecte que la página web contiene un archivo malicioso procederá a bloquearla.
Figura 23. Página web bloqueada por archivo malicioso.
149
12. Caso contrario la página cargara correctamente en el navegador. Por lo que se evidencia que la política antimaware ha sido vulnerado.
Figura 24. Página web maliciosa. 13. Colocar en la tabla de tabulación de datos las respuestas según el resultado obtenido: 0=Si bloqueó; 1=No bloqueó
Tabla 43.
Ejemplo de tabla de tabulación de datos de filtro antimalware
FW1 FW2 FW3 FW4 Página 1 0 1 1 1 Página 2 1 0 1 1 Página 3 1 1 0 1 Página 4 0 1 1 0 Página 500 1 0 1 1 TOTAL 439 426 484 432
14. La prueba termina cuando se han visitado las quinientas (500) direcciones web maliciosas a través de todos los Firewalls a evaluar.
150
SALIDAS a. Reporte referente al Firewall que tiene mayor rendimiento en cuanto al indicador Filtro URL según el resultado de la cantidad de bloqueos realizados. b. Reporte referente al Firewall que tiene mayor rendimiento en cuanto al indicador Filtro antimalware según el resultado de la cantidad de bloqueos realizados.
D. Procedimiento para efectuar las pruebas de consumo de recursos OBJETIVO
Evaluar el rendimiento del Firewall de acuerdo al criterio de evaluación consumo de recursos.
ALCANCE
El alcance del procedimiento incluye: a. Revisión de los procesos de la fase de planeamiento de la presente metodología. b. Revisión de documentación relacionada a las pruebas de eficacia de la seguridad respecto a los indicadores Filtro URL y descarga de archivos maliciosos. c. Revisión de la vigencia de las pruebas (National Institute of Standards and Technology, 2008, p. 18). d. Verificación de la correcta ejecución de las pruebas.
ENTRADAS
Para realizar estas pruebas, se requiere que se haya desarrollado la fase de planeamiento de la presente metodología (Identificación de criterios de evaluación, definición del sujeto de medición, aplicaciones para evaluar el rendimiento, roles y políticas de seguridad) y preparado el ambiente de pruebas de acuerdo a los escenarios propuestos para cada Firewall a evaluar.
151
PROCESOS
Las actividades a realizar para evaluar el consumo de recursos (memoria RAM y CPU) del Firewall ante un ataque de denegación de servicios:
1. La prueba para hallar el consumo de recursos (memoria RAM y CPU) consiste en realizar un ataque de denegación de servicios a un puerto del Firewall y anotar los cambios que muestra el panel de monitoreo del Firewall respecto al consumo de memoria RAM y CPU. 2. Mención del escenario de prueba a utilizar: Segundo escenario: la comunicación entre el agente de ataque (zona WAN) y el puerto WAN del Firewall directa y atraviesa por los filtros y/o políticas del Firewall. 3. Nota: Para realizar correctamente esta prueba, los Firewalls deben tener habilitado la opción anti denegación de servicios, caso contrario se saturaran y no permitirán realizar los cálculos que se muestra en el panel de monitoreo respecto a los recursos. 4. Asignar dirección Ip a los dispositivos, según el siguiente detalle: IP agente de ataque : 192.168.8.0/24
IP puerto WAN Firewall : 192.168.8.254
5. Verificar que exista conectividad entre el agente de ataque y el puerto WAN del Firewall con ayuda del comando ping (protocolo ICMP). 6. Hacer doble clic en el icono terminal ubicado en el escritorio de la computadora con el sistema operativo Kali Linux (agente de ataque).
Figura 25. Icono del terminal (agente de ataque). 7. Cuando se abra la ventana del terminal, deberá escribir el comando ping con la dirección IP del puerto WAN del Firewall para comprobar que exista conectividad. Ejemplo: ping 192.168.8.254
152
Figura 26. Ventana del terminal del agente de ataque. 8. Deberá obtener respuesta del Firewall como se observa en la imagen anterior, caso contrario debe revisar las políticas del Firewall. 9. Nota: La herramienta a utilizar en la presente prueba es Hping que se encargara de realizar el ataque de denegación de servicios. 10. Comenzar con el ataque de denegación de servicios, para ello debe ejecutar la herramienta Hping y configurar el puerto y la dirección IP del Firewall a atacar.
Figura 27. Ataque de denegación de servicios con herramienta hping.
11. Esperar un mínimo de cinco (5) minutos antes de comenzar a tomar las lecturas de los cambios respecto a los recursos (memoria RAM y CPU) en los gráficos que se muestran en el panel de monitoreo del Firewall. 12. Después del periodo inicial de ataque de cinco (5) minutos, debe tomar 20 lecturas continuas de los cambios en el panel de monitoreo del Firewall respecto al consumo de recursos (memoria RAM y CPU).
153
Figura 28. Panel de monitoreo del Firewall Sophos. 13. De las veinte (20) lecturas tomadas debe descartar los cinco (05) más bajos y los (05) más altos como irregularidades en los datos. 14. La presente prueba culmina cuando se haya evaluado todos los Firewalls.
SALIDAS
a. Reporte referente al Firewall que tiene mayor rendimiento en cuanto al indicador Filtro URL según el resultado de la cantidad de bloqueos realizados. b. Reporte referente al Firewall que tiene mayor rendimiento en cuanto al indicador Filtro antimalware según el resultado de la cantidad de bloqueos realizados.
154
4.3. Análisis de resultados
Los resultados se presentaran en función a los criterios de evaluación (CE) e indicadores (I) respectivos. En las siguientes tablas los Firewalls estarán representados según el siguiente criterio:
FW1: Firewall Paloalto FW2: Firewall Fortinet FW3: Firewall Endian FW4: Firewall Sophos
CE1: DESEMPEÑO EN LA RED.
En este criterio de evaluación los indicadores son throughput y latencia.
En la prueba para medir el throughput ante el envío de paquetes, se enviaron cincuenta (50) paquetes de diferentes tamaños (64, 128, 256, 512, 1024, 1280 y 1518 bytes), el promedio de cada resultado es colocado en la siguiente tabla.
En la prueba para medir la latencia ante la descarga de un archivo, se realizaron cincuenta (50) descargas de un archivo de doscientos (200) Megabytes por cada Firewall, el promedio de los resultados de tiempo por cada descargas en los diferentes Firewalls es colocado en la siguiente tabla.
Tabla 44.
Tabulación de datos de dimensión desempeño en la red
TAMAÑO FW1 FW2 FW3 FW4 DE PAQUETES I1: Medición del 64 bytes 4,49 4,43 4,15 1,56 throughput ante el 128 bytes 8,99 8,99 8,94 5,90 envío de paquetes 256 bytes 15,65 15,48 12,12 11,65 512 bytes 29,46 28,55 27,24 26,90 1024 bytes 57,36 57,18 56,86 52,66 1280 bytes 76,16 75,65 73,42 72,20
155
1518 bytes 74,13 73,95 65,38 18,67 I2: Medición de la 200 8,0759 10,9456 13,6414 12,0394 latencia ante la Megabytes descarga de un archivo
Respecto al indicador 1 (I1), se puede observar que el promedio del throughput expresado en Mbits por segundos para el Firewall paloalto (FW1) ante el envío de paquetes (64, 128, 256, 512, 1024, 1280 y 1518 bytes) casi siempre es mayor con relación a los otros Firewalls.
En el caso del indicador 2 (I2), se puede observar que el tiempo de descarga de un archivo (latencia) expresado en segundos para el Firewall paloalto (FW1) es menor respecto a los otros Firewalls.
Finalmente se puede concluir que el dispositivo que mejor desempeño tiene respecto al indicador 1 es el Firewall paloalto porque transmite los paquetes a mayor velocidad que los otros Firewalls y respecto al indicador 2 el dispositivo que mejor desempeño tiene es el Firewall paloalto porque descargar un archivo en menor tiempo, es decir su retardo (latencia) es menor respecto a los otros Firewalls. Por lo que se deduce que los Firewalls de hardware tienen mejor rendimiento que los Firewall de software respecto al desempeño en la red.
CE2: EFICACIA DE LA SEGURIDAD.
En este criterio de evaluación los indicadores son filtro URL y filtro de malware.
En la prueba para medir la cantidad de evasiones detectadas a las políticas de filtrado URL se realizaron visitas a quinientas (500) páginas pornográficas, la cantidad de bloqueos que realizaron los Firewall se colocan en la siguiente tabla.
En la prueba para medir la cantidad de evasiones detectadas a las políticas antimalware se realizaron visitas a quinientas (500) páginas maliciosas, la cantidad de bloqueos que realizaron los Firewall se colocan en la siguiente tabla.
156
Tabla 45.
Tabulación de datos de dimensión eficacia de la seguridad.
FW1 FW2 FW3 FW4 I3: Cantidad 17 43 39 39 de evasiones detectadas a las políticas de filtrado URL I4: Cantidad 439 426 484 432 de evasiones detectadas a las políticas antimalware
Respecto al indicador 3 (I3), se puede observar que la cantidad de evasiones a las políticas de filtrado URL es menor para el Firewall paloalto (FW1) con relación a los otros Firewalls.
En el caso del indicador 4 (I4), se puede observar la cantidad de evasiones a las políticas antimalware es menor para el Firewall fortinet (FW2) con relación a los otros Firewalls.
Finalmente se puede concluir que el dispositivo que mejor desempeño tiene respecto al indicador 3 es el Firewall paloalto porque su política de filtrado URL (bloqueo de páginas pornográficas) ha sido vulnerado menos veces respecto a los otros Firewalls y respecto al indicador 4 el dispositivo que mejor desempeño tiene es el Firewall fortinet porque su política de filtrado de páginas maliciosas (antimalware) ha sido vulnerado menos veces respecto a los otros Firewalls. Por lo que se deduce que los Firewalls de hardware tienen mejor rendimiento que los Firewall de software respecto eficacia de la seguridad.
157
CE3: CONSUMO DE RECURSOS.
En este criterio de evaluación los indicadores son memoria RAM y CPU.
En la prueba para medir el porcentaje de consumo de memoria RAM ante un ataque de denegación de servicios, se realizaron ataques TCP SYN FLOOD al puerto WAN del Firewall, el promedio de los diez (10) valores tomados del panel de monitoreo de recursos del Firewall respecto al porcentaje de memoria RAM usada se colocan en la siguiente tabla.
En la prueba para medir el porcentaje de consumo de CPU ante un ataque de denegación de servicios, se realizaron ataques TCP SYN FLOOD al puerto WAN del Firewall, el promedio de los diez (10) valores tomados del panel de monitoreo de recursos del Firewall respecto al porcentaje de CPU usada se colocan en la siguiente tabla.
Tabla 46.
Tabulación de datos de dimensión consumo de recursos FW1 FW2 FW3 FW4 I5: 23,8 29,5 35,6 33,1
Porcentaje
de consumo de memoria RAM
I6: 35,6 33,5 41,8 50,3 Porcentaje
de consumo de CPU
Respecto al indicador 5 (I5), se puede observar que el porcentaje de memoria RAM utilizada ante un ataque de denegación de servicios es menor para el Firewall paloalto (FW1) con relación a los otros Firewalls.
En el caso del indicador 6 (I6), se puede observar que el porcentaje de CPU utilizado ante un ataque de denegación de servicios es menor para el Firewall Fortinet (FW2) con relación a los otros Firewalls.
158
Finalmente se puede concluir que el dispositivo que mejor desempeño tiene respecto al indicador 5 es el Firewall paloalto porque ante un ataque DoS consume menos recursos de memoria RAM respecto a los otros Firewalls y respecto al indicador 6 el dispositivo que mejor desempeño tiene es el Firewall fortinet porque ante un ataque DoS consume menos recursos de CPU respecto a los otros Firewalls. Por lo que se deduce que los Firewalls de hardware tienen mejor rendimiento que los Firewall de software respecto al consumo de recursos.
159
Anexo 3: Resultado de la prueba de medición de throughput TAMAÑO DE Nº PAQUETES PALOALTO FW FORTINET FW ENDIAN FW SOPHOS FW 1 64 KB 3,40 1,84 2,03 0,27 2 64 KB 3,72 2,98 2,13 0,96 3 64 KB 4,03 3,14 2,17 1,04 4 64 KB 4,14 3,15 2,18 1,10 5 64 KB 4,18 3,19 2,27 1,14 6 64 KB 4,30 3,54 2,33 1,21 7 64 KB 4,32 4,05 2,80 1,21 8 64 KB 4,33 4,05 2,86 1,30 9 64 KB 4,33 4,23 2,96 1,33 10 64 KB 4,35 4,28 3,18 1,41 11 64 KB 4,35 4,29 3,65 1,41 12 64 KB 4,39 4,34 3,65 1,42 13 64 KB 4,45 4,36 3,81 1,47 14 64 KB 4,46 4,37 3,86 1,49 15 64 KB 4,49 4,41 3,93 1,50 16 64 KB 4,51 4,44 4,15 1,52 17 64 KB 4,51 4,45 4,17 1,55 18 64 KB 4,53 4,47 4,18 1,56 19 64 KB 4,54 4,47 4,23 1,56 20 64 KB 4,54 4,48 4,40 1,59 21 64 KB 4,55 4,50 4,59 1,60 22 64 KB 4,55 4,51 4,62 1,60 23 64 KB 4,55 4,53 4,64 1,63 24 64 KB 4,55 4,54 4,64 1,65 25 64 KB 4,55 4,56 4,65 1,65 26 64 KB 4,56 4,58 4,66 1,66 27 64 KB 4,56 4,60 4,71 1,67 28 64 KB 4,57 4,60 4,72 1,67 29 64 KB 4,57 4,64 4,72 1,67 30 64 KB 4,58 4,68 4,72 1,68 31 64 KB 4,58 4,69 4,73 1,69 32 64 KB 4,58 4,71 4,74 1,70 33 64 KB 4,58 4,74 4,74 1,71 34 64 KB 4,59 4,74 4,74 1,73 35 64 KB 4,61 4,76 4,75 1,74 36 64 KB 4,61 4,78 4,75 1,74 37 64 KB 4,61 4,78 4,75 1,74 38 64 KB 4,61 4,78 4,76 1,74 39 64 KB 4,63 4,79 4,76 1,75 40 64 KB 4,63 4,80 4,76 1,75 41 64 KB 4,63 4,86 4,78 1,76 42 64 KB 4,64 4,87 4,81 1,77 43 64 KB 4,65 4,88 4,81 1,78
160
44 64 KB 4,65 4,90 4,82 1,79 45 64 KB 4,67 4,91 4,84 1,79 46 64 KB 4,67 4,91 4,84 1,80 47 64 KB 4,68 4,92 4,89 1,81 48 64 KB 4,69 4,92 4,91 1,85 49 64 KB 4,76 5,09 4,92 1,86 50 64 KB 4,78 5,27 4,95 1,89 PROMEDIO 4,49 4,43 4,15 1,56
1 128 KB 5,35 7,38 4,40 3,74 2 128 KB 6,97 7,77 7,83 3,74 3 128 KB 7,87 8,16 8,12 4,43 4 128 KB 7,92 8,28 8,33 4,43 5 128 KB 7,92 8,55 8,60 4,59 6 128 KB 8,02 8,72 8,62 4,62 7 128 KB 8,04 8,76 8,71 4,75 8 128 KB 8,07 8,78 8,81 4,76 9 128 KB 8,07 8,79 8,83 4,99 10 128 KB 8,09 8,80 8,83 5,20 11 128 KB 8,17 8,82 8,85 5,40 12 128 KB 8,29 8,83 8,85 5,51 13 128 KB 8,43 8,84 8,92 5,56 14 128 KB 8,48 8,86 8,92 5,59 15 128 KB 8,59 8,87 8,94 5,83 16 128 KB 8,69 8,88 8,96 5,84 17 128 KB 8,76 8,90 9,01 5,88 18 128 KB 8,84 8,96 9,01 5,97 19 128 KB 8,86 9,00 9,01 5,97 20 128 KB 8,87 9,01 9,01 6,01 21 128 KB 8,91 9,05 9,02 6,02 22 128 KB 8,93 9,05 9,03 6,04 23 128 KB 8,94 9,05 9,03 6,05 24 128 KB 9,00 9,08 9,04 6,08 25 128 KB 9,01 9,08 9,05 6,09 26 128 KB 9,02 9,11 9,07 6,14 27 128 KB 9,14 9,12 9,08 6,20 28 128 KB 9,16 9,12 9,09 6,21 29 128 KB 9,40 9,14 9,09 6,22 30 128 KB 9,45 9,14 9,12 6,22 31 128 KB 9,49 9,16 9,13 6,32 32 128 KB 9,51 9,17 9,14 6,34 33 128 KB 9,52 9,17 9,14 6,35 34 128 KB 9,53 9,18 9,15 6,39 35 128 KB 9,56 9,19 9,16 6,39 36 128 KB 9,59 9,22 9,18 6,43 37 128 KB 9,64 9,23 9,19 6,43
161
38 128 KB 9,67 9,24 9,20 6,48 39 128 KB 9,80 9,25 9,21 6,51 40 128 KB 9,85 9,26 9,22 6,52 41 128 KB 9,85 9,26 9,23 6,55 42 128 KB 9,89 9,28 9,29 6,61 43 128 KB 9,92 9,28 9,29 6,61 44 128 KB 9,95 9,28 9,30 6,64 45 128 KB 9,95 9,31 9,32 6,65 46 128 KB 10,00 9,31 9,43 6,67 47 128 KB 10,00 9,31 9,52 6,69 48 128 KB 10,10 9,32 9,55 6,72 49 128 KB 10,10 9,38 9,56 6,77 50 128 KB 10,20 9,60 9,61 6,80 PROMEDIO 8,99 8,99 8,94 5,90
1 256 KB 6,96 5,13 7,83 1,20 2 256 KB 11,20 6,19 8,45 5,47 3 256 KB 11,90 7,98 8,51 5,61 4 256 KB 12,20 8,36 8,81 6,37 5 256 KB 13,00 8,37 8,94 6,68 6 256 KB 13,00 8,94 9,30 7,66 7 256 KB 13,90 9,45 9,70 7,94 8 256 KB 14,10 10,30 9,96 8,11 9 256 KB 14,20 11,30 10,40 8,55 10 256 KB 14,30 11,80 10,50 8,88 11 256 KB 14,30 11,90 10,70 9,31 12 256 KB 14,40 13,00 11,00 9,31 13 256 KB 14,70 13,60 11,10 9,95 14 256 KB 15,20 13,80 11,50 10,00 15 256 KB 15,30 14,10 11,50 10,10 16 256 KB 15,40 14,90 12,10 10,10 17 256 KB 15,90 15,60 12,10 10,10 18 256 KB 15,90 15,60 12,10 10,20 19 256 KB 16,00 16,10 12,30 10,40 20 256 KB 16,20 16,30 12,30 10,50 21 256 KB 16,30 16,30 12,30 10,60 22 256 KB 16,50 16,30 12,50 10,80 23 256 KB 16,50 16,50 12,50 10,90 24 256 KB 16,50 16,80 12,60 11,00 25 256 KB 16,60 17,10 12,60 11,20 26 256 KB 16,60 17,20 12,80 11,80 27 256 KB 16,70 17,50 12,90 11,80 28 256 KB 16,70 17,60 13,00 12,30 29 256 KB 16,70 17,60 13,00 12,50 30 256 KB 16,70 17,80 13,00 13,20 31 256 KB 16,80 17,90 13,10 13,30
162
32 256 KB 16,80 17,90 13,10 13,50 33 256 KB 16,80 18,10 13,20 13,70 34 256 KB 16,80 18,10 13,20 14,20 35 256 KB 16,80 18,20 13,20 14,30 36 256 KB 16,80 18,30 13,30 14,50 37 256 KB 16,90 18,30 13,30 14,60 38 256 KB 16,90 18,30 13,40 15,00 39 256 KB 16,90 18,30 13,40 15,10 40 256 KB 16,90 18,40 13,50 15,20 41 256 KB 16,90 18,50 13,50 15,20 42 256 KB 16,90 18,50 13,50 15,30 43 256 KB 16,90 18,60 13,50 15,60 44 256 KB 16,90 18,70 13,60 15,60 45 256 KB 16,90 18,70 13,70 15,60 46 256 KB 17,00 18,90 13,70 15,80 47 256 KB 17,00 19,00 13,70 15,80 48 256 KB 17,10 19,10 13,90 15,80 49 256 KB 17,20 19,20 13,90 15,90 50 256 KB 17,30 19,60 13,90 15,90 PROMEDIO 15,65 15,48 12,12 11,65
1 512 KB 0,00 18,70 0,00 8,91 2 512 KB 12,20 21,70 4,59 21,10 3 512 KB 17,10 22,70 5,64 21,10 4 512 KB 20,10 22,90 12,30 21,10 5 512 KB 21,60 23,30 19,10 21,20 6 512 KB 22,30 23,40 20,60 21,40 7 512 KB 25,90 24,80 20,90 22,90 8 512 KB 26,60 25,10 20,90 23,50 9 512 KB 26,80 25,20 21,50 24,10 10 512 KB 27,00 25,30 24,20 24,90 11 512 KB 27,90 25,40 24,40 25,40 12 512 KB 28,90 25,70 26,00 25,70 13 512 KB 29,90 25,80 26,10 26,00 14 512 KB 30,20 26,50 26,40 26,40 15 512 KB 30,70 27,00 27,00 26,40 16 512 KB 30,80 27,10 27,30 26,60 17 512 KB 30,90 27,40 27,50 27,00 18 512 KB 31,20 27,40 27,80 27,20 19 512 KB 31,50 27,60 28,30 27,40 20 512 KB 31,50 27,60 28,60 27,60 21 512 KB 31,60 28,50 28,70 28,00 22 512 KB 31,60 28,90 28,70 28,10 23 512 KB 31,60 28,90 28,70 28,20 24 512 KB 31,70 29,00 29,00 28,30 25 512 KB 31,70 29,10 29,10 28,50
163
26 512 KB 31,80 29,30 29,20 28,50 27 512 KB 31,80 29,30 30,00 28,50 28 512 KB 31,90 29,70 30,30 28,60 29 512 KB 31,90 29,90 30,40 28,60 30 512 KB 32,10 30,10 30,50 28,70 31 512 KB 32,10 30,10 30,80 28,70 32 512 KB 32,10 30,20 31,00 28,80 33 512 KB 32,10 30,30 31,50 28,80 34 512 KB 32,20 30,40 31,60 28,90 35 512 KB 32,20 30,40 32,00 28,90 36 512 KB 32,20 30,40 32,20 28,90 37 512 KB 32,20 30,60 32,20 28,90 38 512 KB 32,30 30,70 32,40 29,00 39 512 KB 32,30 30,90 32,50 29,00 40 512 KB 32,50 31,40 32,50 29,00 41 512 KB 32,80 32,00 32,60 29,20 42 512 KB 32,80 32,00 32,60 29,20 43 512 KB 32,80 32,30 32,70 29,50 44 512 KB 32,80 32,60 32,80 29,60 45 512 KB 33,00 32,70 32,80 29,70 46 512 KB 33,00 33,20 32,90 29,70 47 512 KB 33,10 33,30 33,00 29,70 48 512 KB 33,20 33,40 33,40 29,90 49 512 KB 33,30 33,50 33,40 29,90 50 512 KB 33,40 33,70 33,60 29,90 PROMEDIO 29,46 28,55 27,24 26,90
1 1024 KB 36,00 41,40 2,64 0,00 2 1024 KB 38,50 46,80 12,80 0,00 3 1024 KB 42,40 47,30 31,40 0,00 4 1024 KB 43,00 48,50 35,70 13,60 5 1024 KB 47,90 49,80 39,10 18,30 6 1024 KB 48,10 50,40 40,00 18,70 7 1024 KB 49,30 50,50 40,10 32,40 8 1024 KB 51,10 50,60 41,60 39,80 9 1024 KB 51,70 50,80 43,30 44,10 10 1024 KB 51,80 51,50 49,60 45,70 11 1024 KB 53,50 51,50 51,70 45,80 12 1024 KB 53,90 52,60 53,60 48,10 13 1024 KB 54,10 53,00 54,60 49,10 14 1024 KB 54,40 53,20 55,00 52,80 15 1024 KB 54,80 53,30 55,40 53,30 16 1024 KB 55,00 53,50 57,10 54,20 17 1024 KB 56,30 53,60 57,60 54,60 18 1024 KB 56,90 53,70 58,10 54,90 19 1024 KB 56,90 55,20 60,80 54,90
164
20 1024 KB 57,00 55,30 61,30 55,10 21 1024 KB 57,20 56,20 61,50 56,40 22 1024 KB 58,30 57,10 62,00 57,20 23 1024 KB 58,30 57,10 62,10 57,80 24 1024 KB 58,60 57,20 62,90 57,90 25 1024 KB 58,60 57,60 63,10 58,40 26 1024 KB 59,60 57,80 63,20 59,30 27 1024 KB 60,00 58,30 63,20 59,40 28 1024 KB 60,50 58,70 63,30 62,20 29 1024 KB 60,70 59,00 63,40 62,60 30 1024 KB 60,80 59,60 63,70 63,00 31 1024 KB 61,60 59,70 63,70 63,20 32 1024 KB 61,80 59,70 64,50 63,30 33 1024 KB 62,10 59,80 64,60 63,40 34 1024 KB 62,30 60,90 64,60 63,70 35 1024 KB 62,30 60,90 64,70 64,10 36 1024 KB 62,50 61,00 64,70 64,40 37 1024 KB 62,90 61,00 64,80 64,70 38 1024 KB 63,10 61,30 65,00 64,90 39 1024 KB 63,10 61,50 65,30 64,90 40 1024 KB 63,30 62,10 65,50 65,00 41 1024 KB 63,50 62,10 65,70 65,30 42 1024 KB 63,50 62,30 65,90 65,70 43 1024 KB 63,50 62,80 66,00 65,80 44 1024 KB 63,60 63,20 66,00 66,00 45 1024 KB 63,70 63,90 66,20 66,10 46 1024 KB 63,80 64,40 66,50 66,20 47 1024 KB 63,80 66,10 67,00 66,20 48 1024 KB 63,90 67,40 67,40 66,40 49 1024 KB 64,20 67,80 67,40 66,80 50 1024 KB 64,20 70,00 67,50 67,40 PROMEDIO 57,36 57,18 56,86 52,66
1 1280 KB 14,60 34,80 52,70 48,40 2 1280 KB 35,50 37,40 57,10 54,10 3 1280 KB 50,80 49,70 60,80 57,10 4 1280 KB 60,20 53,30 62,00 59,20 5 1280 KB 63,20 62,20 62,60 63,20 6 1280 KB 64,20 62,50 65,40 63,60 7 1280 KB 65,90 63,30 66,40 64,10 8 1280 KB 67,00 67,60 66,90 64,80 9 1280 KB 69,20 69,90 67,60 65,00 10 1280 KB 70,70 70,50 67,90 65,60 11 1280 KB 71,80 73,50 68,50 66,80 12 1280 KB 72,70 74,30 68,50 68,90 13 1280 KB 72,80 75,30 68,60 69,50
165
14 1280 KB 76,40 75,40 69,20 69,80 15 1280 KB 79,20 75,80 69,30 70,30 16 1280 KB 79,70 76,30 69,50 71,90 17 1280 KB 79,90 76,80 70,50 72,00 18 1280 KB 80,10 77,20 70,60 72,20 19 1280 KB 80,30 77,70 71,00 72,40 20 1280 KB 80,40 78,30 71,90 72,40 21 1280 KB 80,50 78,60 72,10 73,40 22 1280 KB 80,60 79,80 72,30 73,40 23 1280 KB 80,80 80,10 72,70 73,70 24 1280 KB 80,90 80,30 72,90 73,80 25 1280 KB 80,90 80,50 73,80 73,90 26 1280 KB 81,20 80,60 74,00 74,30 27 1280 KB 81,40 80,60 74,50 75,10 28 1280 KB 81,40 80,70 74,70 75,20 29 1280 KB 81,50 80,70 75,10 75,40 30 1280 KB 81,60 80,80 75,30 75,60 31 1280 KB 81,60 80,90 75,40 75,80 32 1280 KB 81,60 81,00 75,50 75,90 33 1280 KB 81,70 81,10 75,80 76,00 34 1280 KB 81,70 81,20 76,50 76,60 35 1280 KB 82,10 81,60 77,30 76,70 36 1280 KB 82,20 81,60 77,60 76,70 37 1280 KB 82,20 82,10 77,70 76,80 38 1280 KB 82,30 82,10 77,70 76,90 39 1280 KB 82,50 82,20 78,00 77,20 40 1280 KB 82,70 82,30 79,00 77,40 41 1280 KB 82,90 82,50 79,00 77,40 42 1280 KB 83,30 82,60 79,10 77,40 43 1280 KB 83,90 82,90 81,20 77,60 44 1280 KB 84,00 83,00 82,00 78,00 45 1280 KB 84,10 83,10 83,90 78,10 46 1280 KB 84,10 83,20 84,70 78,30 47 1280 KB 84,50 83,50 85,10 80,00 48 1280 KB 84,50 83,70 86,80 80,20 49 1280 KB 85,10 83,70 87,00 80,90 50 1280 KB 85,60 83,80 87,30 81,00 PROMEDIO 76,16 75,65 73,42 72,20
1 1518 KB 36,60 8,38 0,04 0,15 2 1518 KB 39,60 39,40 0,05 2,74 3 1518 KB 66,30 65,10 0,13 3,51 4 1518 KB 67,50 69,60 0,53 3,61 5 1518 KB 70,20 71,60 40,60 3,62 6 1518 KB 71,40 72,60 41,00 3,91 7 1518 KB 71,60 72,70 41,30 6,55
166
8 1518 KB 72,20 72,80 47,00 6,59 9 1518 KB 72,30 73,40 51,10 7,03 10 1518 KB 72,40 73,50 51,80 7,54 11 1518 KB 72,50 73,50 52,30 7,77 12 1518 KB 73,00 73,70 53,50 8,72 13 1518 KB 73,10 73,80 56,00 10,10 14 1518 KB 74,30 73,90 56,10 11,20 15 1518 KB 74,50 74,20 56,30 11,60 16 1518 KB 74,60 74,30 56,60 12,40 17 1518 KB 74,70 74,40 63,60 12,40 18 1518 KB 74,80 74,70 63,90 14,30 19 1518 KB 74,80 74,90 65,70 14,40 20 1518 KB 75,00 74,90 66,20 14,70 21 1518 KB 75,20 75,10 66,60 14,80 22 1518 KB 75,20 75,20 68,00 15,80 23 1518 KB 75,30 75,60 68,20 16,50 24 1518 KB 75,40 75,80 68,80 16,90 25 1518 KB 75,60 75,90 71,30 17,00 26 1518 KB 75,80 76,00 73,50 18,10 27 1518 KB 76,00 76,00 75,10 18,40 28 1518 KB 76,30 76,10 75,20 18,90 29 1518 KB 76,30 76,30 78,20 19,00 30 1518 KB 76,30 76,30 78,30 19,10 31 1518 KB 76,40 76,40 78,50 19,20 32 1518 KB 76,40 76,50 78,50 21,80 33 1518 KB 76,40 76,80 78,60 21,80 34 1518 KB 76,50 76,80 78,70 22,40 35 1518 KB 76,60 77,00 78,80 22,70 36 1518 KB 76,60 77,10 79,90 24,30 37 1518 KB 76,70 77,30 80,10 25,30 38 1518 KB 77,00 77,30 80,60 26,40 39 1518 KB 77,30 77,40 82,00 26,70 40 1518 KB 77,70 77,60 84,40 27,50 41 1518 KB 77,80 77,90 84,40 27,70 42 1518 KB 78,00 78,10 84,50 29,10 43 1518 KB 78,10 78,20 84,80 31,90 44 1518 KB 78,10 78,20 84,90 33,90 45 1518 KB 78,30 78,40 85,60 34,00 46 1518 KB 78,70 79,10 86,40 36,00 47 1518 KB 78,70 79,20 90,10 39,30 48 1518 KB 78,90 79,30 91,10 40,50 49 1518 KB 79,00 79,70 94,30 40,80 50 1518 KB 94,30 99,70 95,80 45,00 PROMEDIO 74,13 73,95 65,38 18,67
167
Anexo 4: Resultado de la prueba de medición de latencia Nº PALOALTO FW FORTINET FW ENDIAN FW SOPHOS FW 1 7,3593 9,3517 12,6118 11,3175 2 7,3625 10,2595 12,6195 11,3293 3 7,3630 10,4176 12,6513 11,3518 4 7,3724 10,4555 12,6607 11,3692 5 7,3859 10,4737 13,0327 11,3844 6 7,4008 10,5571 13,0423 11,5086 7 7,4666 10,5577 13,0456 11,5506 8 7,5438 10,5746 13,0944 11,6012 9 7,5522 10,6342 13,1351 11,6256 10 7,5865 10,6440 13,1799 11,6421 11 7,5902 10,6673 13,2352 11,6466 12 7,6010 10,7191 13,3312 11,6520 13 7,6426 10,7245 13,3850 11,6528 14 7,7266 10,7304 13,4135 11,6705 15 7,7273 10,7574 13,4136 11,6757 16 7,7512 10,7693 13,4253 11,6852 17 7,7801 10,7932 13,4464 11,7385 18 7,7832 10,8094 13,4678 11,7466 19 7,8005 10,8903 13,4707 11,8113 20 7,8357 10,9154 13,5201 11,8237 21 7,8677 10,9289 13,5262 11,8647 22 7,9065 10,9320 13,5792 11,9019 23 8,1185 10,9557 13,6102 11,9184 24 8,1215 10,9860 13,6529 11,9370 25 8,1280 10,9965 13,6751 11,9757 26 8,1291 11,0134 13,6931 12,0134 27 8,1357 11,0464 13,7509 12,0183 28 8,1472 11,0613 13,7667 12,0564 29 8,1722 11,0902 13,7879 12,1215 30 8,1724 11,0963 13,7927 12,1263 31 8,2220 11,1073 13,7986 12,1494 32 8,2719 11,1286 13,8217 12,1622 33 8,2830 11,1361 13,8257 12,1890 34 8,3123 11,1517 13,8535 12,2579 35 8,3233 11,1584 13,8996 12,2778 36 8,3236 11,1631 13,9610 12,3006 37 8,3316 11,1657 13,9729 12,3104 38 8,3731 11,1868 14,0165 12,3172 39 8,3788 11,2089 14,0279 12,3791 40 8,4600 11,2490 14,1552 12,4227 41 8,5037 11,2703 14,1691 12,5184 42 8,5809 11,2724 14,2235 12,5575 43 8,6530 11,2745 14,2264 12,5859 44 8,7243 11,3121 14,2520 12,7344
168
45 8,7933 11,4085 14,2768 12,7581 46 8,8289 11,4214 14,2856 12,7596 47 8,8581 11,4300 14,2926 12,7783 48 8,9225 11,4311 14,3271 12,8134 49 8,9268 11,4748 14,3317 12,9810 50 9,1930 11,5228 14,3380 12,9986 PROMEDIO 8,0759 10,9456 13,6414 12,0394
169
Anexo 5: Resultado de la prueba de evasión de filtro URL PALOALTO FORTINET ENDIAN SOPHOS Nº DIRECCIONES WEB FW FW FW FW
1 http://www.pornogratis.com.pe 0 0 1 0 2 http://www.drporno.xxx 0 1 0 0 3 http://www.xvideos.com 0 0 0 0 4 http://www.pornoamateurvip.com 0 0 0 0 5 http://www.viejasfollando.xxx 0 0 0 0 6 http://www.pornpy.com 0 0 0 0 7 http://www.zubby.com 0 0 0 0
8 http://www.xnxx.com 0 0 0 0 9 http://www.photokinesiologas.com 0 1 0 1 10 http://www.chiclayovip.com 0 1 1 0
11 http://www.icelebrityporn.com 0 1 0 0 12 http://www.serviporno.com 0 0 0 0
13 http://www.culioneros.com.mx 0 0 0 0 14 http://www.pornogratisdiario.com 0 0 0 0 15 http://www.fotosxxxgratis.org 0 0 0 0 16 http://www.jovencitas.gratis 0 0 0 0 17 http://www.redwap.me 0 0 0 0 18 http://www.rubias09.com 0 0 0 0 19 http://www.porn311.com 0 1 0 0
20 http://www.nutaku.net 0 0 0 0
21 http://www.chibolitas.com.pe 0 0 0 0 22 http://www.pornotecahd.com 0 0 0 0 23 http://www.petardas.com 0 0 0 0 24 http://www.javwide.com 0 0 0 0 25 http://www.shiraxxx.com 0 0 0 0 26 http://www.pornolider.com 0 0 0 0 27 http://www.transexuales.gratis 0 0 0 0 28 http://www.gordas.xxx 0 1 0 0 29 http://www.puritanas.com 0 1 0 0 30 http://www.porno.com.ar 0 0 0 0 31 http://www.brazzersnetwork.com 0 0 0 0 32 http://www.gatitasperversas.com 0 0 0 0 33 http://www.pornofotos.org 0 0 0 0 34 http://www.putas.enculadas.net 0 0 0 0 35 http://www.mypornstarbook.net 0 0 0 0 36 http://www.fotosxxx.org 0 0 0 0 37 http://www.videosparaadultos.net 0 0 0 0 38 http://www.tetazas.net 0 0 0 0 39 http://www.tetonas.me 0 0 1 1 40 http://www.grasientas.com 0 0 0 0
41 http://www.haztepajas.com 0 0 0 0 42 http://www.vecinitas.net 0 0 0 0 43 http://www.muycerdas.xxx 0 0 0 0
170
44 http://www.orgasmatrix.com 0 1 0 0
45 http://www.videosxxxporno.gratis 0 1 0 0 46 http://www.webpornovip.com 0 0 0 0 47 http://www.mellow-moon.com 1 0 0 1 48 http://www.maebamadrid.com 0 0 0 0 49 http://www.legioncaliente.com 0 0 0 0 50 http://www.tubetubetube.com 0 0 0 0 51 http://www.jpgravure.com 0 0 0 0 52 http://www.omankodaisuki.com 0 0 0 0 53 http://www.amateurvideoxxx.com 0 1 0 0 54 http://www.sensualgirls.org 0 1 0 0 55 http://www.chicasdesnudas.xxx 0 0 0 0 56 http://www.videosporno.me 0 0 0 0 57 http://www.xmamis.com 0 0 0 0 58 http://www.sesso04ore.com 0 0 0 0 59 http://www.culosadictos.com 0 0 0 1 60 http://www.nenas08.com 0 0 0 0 61 http://www.88gals.com 0 0 0 0 62 http://www.rubiasputas.com 0 0 0 0 63 http://www.argentinasgratis.com.ar 0 0 0 0 64 http://www.chicasdesnudasya.com 0 0 0 0 65 http://www.imageweb.ws 0 0 0 0 66 http://www.delamujerelportal.com.ar 0 0 0 0 67 http://www.vechicas.com 0 0 0 0 68 http://www.bytesexy.com 0 0 0 0 69 http://www.r08.com 0 0 0 0 70 http://www.pornhub.com 0 0 0 0 71 http://www.irelatoseroticos.com 0 0 0 0 72 http://www.redteenporn.com 0 0 0 0 73 http://www.lettherebeporn.com 0 0 0 0 74 http://www.jeuneetsexy.fr 0 0 0 0 75 http://www.pornoreino.com 0 0 0 0 76 http://www.legalteenlust.com 0 0 0 0 77 http://www.sexaflam4u.com 0 0 0 0 78 http://www.picavita.com 0 0 0 0 79 http://www.iporno.xxx 0 0 0 0 80 http://www.morbototal.com 0 0 0 0 81 http://www.flogamateur.com 0 0 0 0 82 http://www.quenovias.com 0 0 0 1 83 http://www.madurashd.com 0 0 0 0 84 http://www.xculo.es 0 0 1 0 85 http://www.superamateur.net 0 0 0 0 86 http://www.fraccata.com 0 0 0 0 87 http://www.pezporn.com 0 0 0 0 88 http://www.sexoservicio.com 0 0 0 0 89 http://www.campornoxxx.com 0 0 0 0
171
90 http://www.hotmovs.com 0 0 0 0 91 http://www.fotosputasxxx.com 0 0 0 0 92 http://www.canalgirl.com 0 0 0 0
93 http://www.imagenesporno.com.ar 0 1 0 0 94 http://www.mujeresdesnudas.com.ar 0 0 0 0 95 http://www.soloporno.xxx 0 1 0 0 96 http://www.amaporn.com 0 0 0 0 97 http://www.videosxxxputas.xxx 0 0 0 0 98 http://www.videospornosos.com 0 0 0 0 99 http://www.subirfotosporno.com 0 0 0 0 100 http://www.europornstar.com 0 0 0 0 101 http://www.cumlouder.biz 0 0 0 0 102 http://www.tatuadasporno.com 0 0 0 0 103 http://www.mybigtitsbabes.com 0 0 0 0 104 http://www.jaquemateateos.com 0 0 0 0 105 http://www.superporno.xxx 0 0 0 0 106 http://www.4plaisir.com 0 0 0 0 107 http://www.webporno.xxx 0 0 0 0 108 http://www.guarrasdelporno.com 0 0 0 0 109 http://www.loquovip.com 1 0 0 0 110 http://www.incestuosas.com 0 0 0 0 111 http://www.ftvgirlsfan.com 0 0 0 0 112 http://www.naked-galls.info 0 0 0 0 113 http://www.zazelparadise.com 0 0 0 0 114 http://www.sexywebcam.com 0 0 0 0 115 http://www.totally-pussy.com 0 0 0 0 116 http://www.mrpornogratis.xxx 0 1 0 0 117 http://www.alicante69.com 0 0 0 0 118 http://www.peru-amateur.com 0 0 0 0 119 http://www.fpo.xxx 0 0 0 0 120 http://www.fakehostel.com 0 0 0 0 121 http://www.topxamateur.com 0 0 0 0 122 http://www.pornoperuano.pe 0 0 0 0 123 http://www.pornocasero.com.ar 0 0 0 0 124 http://www.xvideosxxx.xxx 0 0 0 0 125 http://www.pornoobsesion.com 0 0 0 0 126 http://www.xvideospanish.net 0 0 1 1 127 http://www.extremesquirtingporn.com 0 0 0 0 128 http://www.srporno.xxx 0 1 0 0 129 http://www.free3dadultgames.com 0 0 0 0 130 http://www.clubglamour.net 0 0 0 0 131 http://www.galleries.badgirlsblog.com 0 0 0 0 132 http://www.primecurves.com 0 0 0 0 133 http://www.mobilepornmovies.com 0 0 0 0 134 http://www.big-boob-world.com 0 0 0 1 135 http://www.lesbianpornvideos.com 0 0 0 0
172
136 http://www.rexmag.com 0 0 0 0 137 http://www.donaldchase.com 0 0 0 0 138 http://www.viciosascaseras.com 0 0 0 0 139 http://www.jjgirls.com 0 0 0 0 140 http://www.asianpornmovies.com 0 0 0 0 141 http://www.asianbabesdatabase.com 0 0 0 0
142 http://www.bobx.com 0 1 1 1 143 http://www.avidolpics.com 0 0 0 0 144 http://www.deliciousbabes.org 0 0 0 0 145 http://www.eroticteenphotos.com 0 0 0 0 146 http://www.coedsandbabes.com 0 0 0 0 147 http://www.lateenie.com 0 0 0 0 148 http://www.sohairyporn.com 0 0 0 0
149 http://www.nicesoloteens.com 0 0 0 0 150 http://www.andpics.com 0 0 0 0 151 http://www.sexystockingslegs.com 0 0 0 0 152 http://www.escortsjapan.com 0 0 0 0 153 http://www.daunmuda.org 0 0 0 0 154 http://www.999x.blue 0 0 0 0 155 http://www.videospornogratisx.net 0 0 0 0 156 http://www.relatoseroticos.tv 0 0 0 0 157 http://www.fuq.com 0 0 0 0 158 http://www.travestiscam.es 0 0 0 0 159 http://www.zonatravestis.com 0 0 1 0 160 http://www.travestiguide.com 0 0 0 0 161 http://www.paraisoamateur.net 0 0 0 0 162 http://www.japanesebeauties.net 0 0 0 0 163 http://www.cerdas.com 0 0 0 0 164 http://www.pornpics.com 0 0 0 0 165 http://www.ebalovo.info 0 0 1 0 166 http://www.fotodewasa.biz 0 0 0 0 167 http://www.pmates.com 0 0 0 0 168 http://www.bigtitsgallery.net 0 0 0 0 169 http://www.nsfwsluts.com 0 0 0 0 170 http://www.mrvideospornogratis.xxx 0 1 1 0 171 http://www.originalretroporn.com 0 0 0 0 172 http://www.hentainga.com 0 0 0 0 173 http://www.xxx.com 0 0 0 0 174 http://www.xvideosnovinha.com 0 0 0 0 175 http://www.perucaliente.com 0 0 0 0 176 http://www.tappeto-elastico.eu 1 0 1 0 177 http://www.pornopatia.com 0 0 0 0 178 http://www.amateurmexicano.com 0 1 0 0 179 http://www.indixxxtb.com 0 0 0 0 180 http://www.pornobrasil.co 0 1 0 0 181 http://www.xpaja.net 0 0 0 0
173
182 http://www.inhumanity.com 0 0 0 0 183 http://www.ver-hentai.com 0 0 1 0
184 http://www.sustitutas.es 0 0 1 0
185 http://www.taxidrivermovie.com 0 0 0 0 186 http://www.bienperuanas.com 0 0 0 0 187 http://www.perfectshemales.com 1 0 0 0 188 http://www.shemaletube.com 0 0 0 0 189 http://www.cholotube.com.pe 0 0 0 0 190 http://www.videosdegaysx.com 0 0 0 0 191 http://www.teenpornvideo.xxx 0 0 0 0 192 http://www.actressnudephotos.com 0 0 0 0 193 http://www.tube8.es 0 0 0 0 194 http://www.thumbzilla.com 0 0 0 0 195 http://www.livejasmin.com 0 0 0 0 196 http://www.videoscaseros.gratis 0 0 0 0 197 http://www.myfreecams.com 0 0 0 0 198 http://www.xvideo.tv.br 0 0 0 1 199 http://www.kinesiologasenperu.com 1 0 0 0 200 http://www.anuncioskinesiologas.com 1 0 0 1 201 http://www.kissnueve.site 0 0 0 1 202 http://www.coqnu.com 0 0 0 0 203 http://www.matures-amatrices.com 0 0 0 0 204 http://www.kimkardashiantaped.org 0 0 1 0 205 http://www.fusionporno.com 0 0 0 0 206 http://www.videospornosgratisx.com 0 0 0 0 207 http://www.xmaniacos.com 0 0 0 0 208 http://www.nccibd.com 0 0 0 0 209 http://www.xcelebrityporn.com 0 1 0 0 210 http://www.sex-techniques-and-positions.com 0 0 0 0 211 http://www.ingyen-szex.net 0 0 0 0 212 http://www.bustyteengallery.com 0 1 0 0 213 http://www.bestsexpositionsforyou.com 0 0 1 0 214 http://www.vitamineh.com 0 0 0 0 215 http://www.videosputas.xxx 0 0 0 0 216 http://www.videospornodetv.com 0 1 0 0 217 http://www.videosxxxincestos.com 0 0 0 0 218 http://www.noticiasdesexo.com 0 0 0 0 219 http://www.jizzday.com 0 0 0 0 220 http://www.pornonacionais.com 0 0 0 0 221 http://www.camvideos.tv 0 0 0 0 222 http://www.dlouha-videa.cz 0 0 0 0 223 http://www.deutsche-amateure.tv 0 0 0 0 224 http://www.contospicantes.net.br 0 0 0 0 225 http://www.oral-amateure.com 0 0 0 0 226 http://www.tiascaseras.com 0 0 0 0 227 http://www.esposasymaridos.com 0 0 0 0
174
228 http://www.vreviews.com 0 0 0 0 229 http://www.temagay.org.es 0 0 0 0 230 http://www.x08.xxx 0 0 0 0 231 http://www.lewdgays.com 0 0 0 0 232 http://www.sex-rencontre.net 0 0 0 0 233 http://www.011famosasdesnudas.com 0 1 0 0 234 http://www.famosas-desnudas.org 0 1 0 0 235 http://www.celebjihad.com 0 0 0 0 236 http://www.peliculaspornohd.xxx 0 0 0 0 237 http://www.tubeshd.com 0 0 0 1 238 http://www.videosdemadurasx.com 0 0 0 0 239 http://www.muymaduras.com 0 0 0 0 240 http://www.xxxgratis.com.ar 0 0 0 0 241 http://www.eporno.xxx 0 0 0 0 242 http://www.peliculaspornomega.com 0 0 0 0 243 http://www.muyzorras.com 0 0 0 0 244 http://www.fotosxxx.mx 0 0 0 0 245 http://www.tusrelatoscalientes.com 0 0 0 0 246 http://www.eliterelatos.com 0 0 0 0 247 http://www.member-hookup.com 1 0 0 0 248 http://www.relatoseroticos.com 0 0 1 0 249 http://www.videosgays.org 0 0 0 1 250 http://www.cumlouder.com 0 0 0 0 251 http://www.sexogaygratis.biz 0 1 0 0 252 http://www.relatosxxx.net 0 0 0 0 253 http://www.sexosintabues.com 0 0 0 0 254 http://www.relatosporno.com 0 0 0 0 255 http://www.videoscaseros.com.mx 0 0 0 0 256 http://www.zonamaduras.com 0 0 0 0 257 http://www.hwysex.com 1 0 1 0 258 http://www.fakings.com 0 1 0 0 259 http://www.ethporn.com 0 0 0 0 260 http://www.subirporno.com 0 0 0 0 261 http://www.peeperz.com 0 0 0 0 262 http://www.xxxrasuradas.com 0 0 0 0 263 http://www.pornocasero.com.co 0 0 0 0 264 http://www.morbocornudos.com 0 0 0 0 265 http://www.dyslexiateacher.guru 0 0 0 0 266 http://www.comicporno.xxx 0 1 0 0 267 http://www.zpornogratis.com 0 0 0 0 268 http://www.videosmaduras.xxx 0 0 0 0 269 http://www.teatroporno.com 0 0 0 0 270 http://www.xnalgas.com 0 0 0 0 271 http://www.mrporngeek.com 0 1 0 0 272 http://www.comic-porno.com 0 0 0 0 273 http://www.videospornohentai.org 0 0 0 0
175
274 http://www.bogotagay.com 0 0 1 0 275 http://www.pornoanimexxx.com 0 1 0 0 276 http://www.videoszoofiliaanimal.com 0 0 1 1 277 http://www.videospornogay.net 0 1 0 0 278 http://www.cuentorelatos.com 0 0 1 1 279 http://www.temagay.com 0 0 0 0 280 http://www.cuentarelatos.com 0 0 0 0 281 http://www.qualitythumbnails.com 0 0 0 0 282 http://www.foxhq.com 0 0 0 0 283 http://www.thelesbianconnection.com 0 0 0 0 284 http://www.pornadept.com 0 0 0 0 285 http://www.amateurindex.com 0 0 0 0 286 http://www.slashfeed.com 0 0 0 1 287 http://www.0110erotic.com 0 0 0 0 288 http://www.porntube.com 0 0 0 0 289 http://www.youjizz.com 0 0 0 0 290 http://www.drtuber.com 0 0 0 0 291 http://www.zksx.nl 0 0 1 1 292 http://www.flyflv.com 0 0 0 0 293 http://www.babosas.com 0 0 0 0 294 http://www.purematureporn.com 0 0 0 0 295 http://www.filmporno.tv 0 1 0 0 296 http://www.brazzerslove.com 0 0 0 0 297 http://www.pimpyporn.com 0 0 0 0 298 http://www.ultrahdporn.eu 0 1 0 0 299 http://www.pornoou.com 0 0 0 0 300 http://www.pornwikileaks.com 0 0 0 0 301 http://www.jmrfitness.eu 1 0 0 0 302 http://www.worldpornlist.com 0 0 0 0 303 http://www.dorcelvision.com 0 0 0 0 304 http://www.porn-star.com 0 0 0 0 305 http://www.rushporn.com 0 0 0 0 306 http://www.alrincon.com 0 0 0 0 307 http://www.videofucktory.com 0 0 0 0 308 http://www.yourdailypornstars.com 0 0 0 0 309 http://www.teshovo.eu 0 0 0 1 310 http://www.sexo08.net 0 0 0 0 311 http://www.felizporno.com 0 0 0 0 312 http://www.redtube.com 0 1 0 0 313 http://www.porniki.com 0 0 0 0 314 http://www.babepedia.com 0 0 0 0 315 http://www.sexmixxx.com 0 0 0 0 316 http://www.bonporn.com 0 0 0 0 317 http://www.porndig.com 0 0 0 0 318 http://www.cholotube.com 0 1 0 0 319 http://www.yahoo-news.co 0 0 1 1
176
320 http://www.iafd.com 0 0 0 0 321 http://www.4tube.com 0 0 0 0 322 http://www.eporner.com 0 0 0 0 323 http://www.youporn.com 0 0 0 0 324 http://www.nudevista.com 0 0 0 0 325 http://www.adultfilmdatabase.com 0 0 0 0 326 http://www.pornhdhdporn.com 0 0 0 0 327 http://www.pornmd.com 0 0 0 0 328 http://www.freeones.com 0 0 0 0 329 http://www.pornaq.com 0 0 0 0
330 http://www.gonzolust.com 0 0 0 0 331 http://www.duniamontenegro.com 0 0 0 0 332 http://www.porn11.org 0 0 0 0 333 http://www.porn.com 0 0 0 0 334 http://www.okfap.com 0 0 0 0 335 http://www.nubileporn.net 0 1 0 0 336 http://www.eurobabeindex.com 0 0 0 0 337 http://www.010modeling.com 0 0 0 0 338 http://www.cnnamador.com 0 0 0 0 339 http://www.solotransex.com 0 0 0 0 340 http://www.videosxxxgratis.com.ar 0 0 0 0 341 http://www.sweetlicious.net 0 0 1 0 342 http://www.fotoschicas.org.es 0 0 0 0 343 http://www.pussybook.xyz 0 0 0 0 344 http://www.muypilladas.com 0 0 0 0 345 http://www.pichurris.com 0 0 0 0 346 http://www.tia-tanaka.com 0 0 0 1 347 http://www.culonas.org 0 0 0 0 348 http://www.realteengirls.org 0 0 0 0 349 http://www.follandola.com 0 0 0 0 350 http://www.mujeres-desnudas.com 0 0 0 0 351 http://www.cometetas.es 0 0 0 0 352 http://www.xvideosamador.net 0 0 0 0 353 http://www.carmenlaviciosa.es 0 0 0 0 354 http://www.chateaconchicas.com 0 0 0 0 355 http://www.pendejasdesnudas.com 0 0 0 0 356 http://www.muerdeculos.es 0 0 0 0 357 http://www.culosgrandiosos.com 0 0 0 0 358 http://www.amateurcolombiano.com 0 0 0 0 359 http://www.ociosexual.com 0 0 1 1 360 http://www.clubalettaocean.com 0 0 0 0 361 http://www.pibasporwebcam.com 0 0 0 0 362 http://www.fuegodevida.com 0 0 1 0 363 http://www.pony-play.net 1 0 1 1 364 http://www.atlasescorts.com 0 0 0 0 365 http://www.narcosxxx.com 0 0 0 0
177
366 http://www.tandalatinas.com 0 0 0 0 367 http://www.myxxxblog.com 0 0 0 0 368 http://www.loquo69.com 1 0 0 1 369 http://www.badjojo.com 0 0 0 0 370 http://www.chicomania.net 0 0 0 1 371 http://www.travestisonline.org 0 0 0 0 372 http://www.oloxablog.com.br 0 0 1 0 373 http://www.safadasnaweb.com.br 0 0 0 0 374 http://www.nudegirlspicture.com 0 0 0 0 375 http://www.bomba.su 0 0 0 0 376 http://www.grosnews.com 0 0 0 0 377 http://www.gostosashd.blog.br 0 0 0 0 378 http://www.cocotasonfire.com 0 0 0 0 379 http://www.fotosdeamadoras.com 0 0 0 0 380 http://www.cherrynudes.com 0 0 0 0
381 http://www.mulheresnuas.net.br 0 1 0 1 382 http://www.afro-dites.com 0 0 0 0 383 http://www.ligadasnovinhas.com 0 1 0 0 384 http://www.cooletto.com 0 0 0 0 385 http://www.fotosmulherpelada.com 0 0 0 0 386 http://www.tatarada.com.br 0 1 0 0 387 http://www.3movs.com 0 0 0 0 388 http://www.celebrity-slips.com 0 0 0 0 389 http://www.safadinhas.blog.br 0 0 1 1 390 http://www.fadadosexo.com 0 1 0 0 391 http://www.older-mature.net 0 0 0 0 392 http://www.perfectwifes.com 0 0 0 0 393 http://www.completeporndatabase.com 0 0 0 0 394 http://www.mnimi.eu 1 0 1 1 395 http://www.judinwire.eu 0 0 1 1 396 http://www.tacamateurs.com 0 0 0 0 397 http://www.sluts-asia.com 0 0 0 0 398 http://www.chocolatemodels.com 0 0 0 0 399 http://www.blackgirlslust.com 0 0 0 0 400 http://www.entrylevel.eu 1 0 0 1 401 http://www.postyourmature.com 0 0 0 0 402 http://www.porno.com 0 0 0 0 403 http://www.bg-sex.net 0 0 0 0 404 http://www.altporn4u.com 0 0 0 0 405 http://www.porno-landia.com 0 0 0 0 406 http://www.zorrasyputitas.com 0 0 0 0 407 http://www.mycartoonvideo.net 0 0 1 1 408 http://www.pornoperra.com 0 1 0 0 409 http://www.lesbianm.com 1 0 0 0 410 http://www.mundokinesiologas.com 0 0 0 0 411 http://www.muyputas.xxx 0 0 0 0
178
412 http://www.videospornomexicanos.co 0 0 0 0 413 http://www.proyecto-progreso.eu 1 0 1 0 414 http://www.porngifxxx.com 0 0 0 0 415 http://www.xxxery.com 0 0 0 0 416 http://www.realgfporn.com 0 0 0 0 417 http://www.porno-nado.mobi 0 0 0 0 418 http://www.lenkino.video 0 0 0 0 419 http://www.pornsitestars.com 0 0 0 0 420 http://www.hormonemale.com 0 0 0 0 421 http://www.officecunts.com 0 0 0 0 422 http://www.gifsfor.com 0 0 0 0 423 http://www.escortpormadrid.com 0 0 0 1 424 http://www.gifsporn.net 0 0 0 0 425 http://www.xfreak.net 0 0 0 0 426 http://www.coquinetv.com 0 0 0 0 427 http://www.erotik-list.com 0 0 0 0 428 http://www.pornosexgif.org 0 0 0 0 429 http://www.coompra.com 0 0 1 0 430 http://www.relatos-eroticos.xyz 0 0 1 0 431 http://www.gaysenchile.com 0 0 0 0 432 http://www.gaysenvenezuela.com 0 0 0 0 433 http://www.novinhas.tv 0 0 0 0 434 http://www.encuentros-sexuales.net 1 0 1 0 435 http://www.cdn0.rogreviews.com 0 0 0 0 436 http://www.sextingforum.net 0 0 0 0 437 http://www.desvirgaciones.net 0 1 0 0 438 http://www.pornvideos.com.bz 0 0 0 0 439 http://www.pornographiclove.com 0 0 0 0 440 http://www.scat-porn.biz 0 0 0 0 441 http://www.scatshop.com 0 0 0 1 442 http://www.sg-video.com 0 0 0 0 443 http://www.wunschvideo.net 0 0 0 0 444 http://www.welovegoodsex.com 0 0 0 0 445 http://www.destroyersongs.com 0 0 0 1 446 http://www.adultsitesmenu.com 0 0 0 0 447 http://www.popularpages.net 0 0 0 0 448 http://www.rabbitsreviews.com 0 0 0 0 449 http://www.zoo.xxx 0 0 0 1 450 http://www.blablacul.com 0 0 0 1 451 http://www.pornobilderdeutsch.com 0 0 0 0 452 http://www.girlsofdesire.org 0 0 0 0 453 http://www.bare08.com 0 0 0 0 454 http://www.softandhot.com 0 0 0 0 455 http://www.galleroslatinos.com 0 0 0 1 456 http://www.videosporno.com.ec 0 0 0 0 457 http://www.sexblog04.pl 0 0 0 0
179
458 http://www.dream-galleries.com 0 1 0 0 459 http://www.babehub.com 0 0 0 0 460 http://www.amigasbellas.com 0 0 1 0 461 http://www.reference-sexe.com 0 0 0 0 462 http://www.cartoonsextube.com 0 0 0 0 463 http://www.justsexyteengirls.com 0 0 0 0
464 http://www.pornos.cl 0 0 0 0 465 http://www.novinhasdozap.com 0 0 0 0 466 http://www.pornoxota.com 0 0 1 0 467 http://www.hublinks.com.br 0 0 0 0 468 http://www.arquivoporno.com 0 0 0 0 469 http://www.nudelas.com 0 0 0 0 470 http://www.porncomix.info 0 0 0 0 471 http://www.porncomix.one 0 1 0 0 472 http://www.8muses.com 0 0 0 0 473 http://www.pornolandia.xxx 0 0 0 0 474 http://www.megatube.xxx 0 0 0 0 475 http://www.fotoscaserasx.com 0 0 0 0 476 http://www.fotosprivadas.com 0 0 0 0 477 http://www.colegialasinocentes.com 0 0 0 0 478 http://www.porn08sex.com 0 0 0 0 479 http://www.aznude.com 0 0 0 0 480 http://www.pincelebs.net 1 0 0 0 481 http://www.imperiodefamosas.com 0 0 0 0 482 http://www.bellasycalientes.com 0 0 0 0 483 http://www.memeteca08.com 0 0 0 0 484 http://www.ashleymadison.com 0 0 1 1 485 http://www.sexvideogif.com 0 0 0 0 486 http://www.wellhellolive.com 0 0 0 0 487 http://www.xopenload.video 0 0 0 0 488 http://www.between-legs.com 0 0 0 0 489 http://www.javqd.com 0 0 0 0 490 http://www.canalporno.com 0 0 0 0 491 http://www.myfreexxxtube.com 0 0 1 0 492 http://www.fondoseroticos.com 0 0 0 0 493 http://www.esperanzagomez.com.co 0 0 0 0 494 http://www.borrachas.com.mx 0 0 0 0 495 http://www.furorporno.com 0 0 0 0 496 http://www.xvideotravestis.com 0 0 0 1 497 http://www.gatitasmegaplaza.com 0 0 1 1 498 http://www.txxx.com 0 0 0 0 499 http://www.pornsink.com 0 0 0 0 500 http://www.porncnn.com 0 0 0 0 EVASIONES AL FILTRO URL POR FIREWALL 17 43 39 39
180
Anexo 6: Resultado de la prueba de bloqueo del filtro antimalware PALOALTO FORTINET ENDIAN SOPHOS Nº DIRECCIONES WEB FW FW FW FW 1 101hentai.com 0 0 0 0 2 1publicagent.com 0 0 0 0 3 4bir.com 0 0 0 0 4 58.shlega.com 1 1 0 0 5 93.shlega.com 1 1 0 0 6 a.carvideotube.com 0 0 0 0 7 accum.eu 0 0 0 0 8 ads.avocet.io 0 0 0 1 9 adv.offlinefamily.net 0 1 0 1 10 akisu.blogs.fr 0 0 0 0 11 ali.files.cdn.2gs.com 1 1 0 0 12 allofhentai.com 0 0 0 0 13 amateurhumps.com 0 0 0 0 14 amateurinaction.com 0 0 0 0 15 andro4all.com 0 0 0 0 16 angelescortsin.asia 0 0 0 0 17 animeidhentai.com 0 0 0 0 18 api.fotapro.com 0 0 1 1 19 appcdn.co 1 1 0 0 20 arabsexyvideo.com 0 0 0 0 21 arisandigi.com 0 0 0 0 22 assets-ht.mencontent.com 0 0 0 0 23 assprice.com 0 0 0 0 24 avtoshina45.ru 0 0 0 0 25 babeswp.com 0 0 0 0 26 bdsmredux.com 0 0 0 0 27 beegifs.com 0 0 0 0 28 beerband.eu 0 0 0 0 29 befirstcdn.com 0 1 0 1 30 bellefemmenue.net 0 0 0 0 31 bellezastarapotinas.blogspot.com 0 0 0 0 32 between-legs.com 0 0 0 0 33 beurette-vicieuse.com 0 0 0 0 34 biteenfeu.b.i.pic.centerblog.net 0 0 0 0 35 blachnicka.eu 0 0 0 0 36 blog.azianiiron.com 0 0 0 0 37 bodyfluids-jav.com 0 0 0 0 38 boobking.com 0 0 0 0 39 boobsandtits.co.uk 0 0 0 0 40 boys-here.com 0 0 0 0 41 breastbabyproducts.com 0 0 0 0 42 brigadasvecinales.org 1 1 0 1 43 buy-amoxil.ru 0 0 0 0
181
44 bxvdc.com 1 1 0 1 45 cache.cdn.blackgfs.com 0 0 0 0 46 cadenatop.com 0 0 0 1 47 cams.com 0 0 0 0 48 candidfashionpolice.com 0 0 0 0 49 catereza.eu 0 0 0 0 50 cdn.2nsfw.com 0 0 0 0 51 cdn.3gpkings.info 0 0 0 0 52 cdn.bestofferwords.com 0 0 0 1 53 cdn.biggianttits.com 0 0 0 0 54 cdn.boafoda.me 0 0 0 0 55 cdn.hairymomspussy.com 0 0 0 0 56 cdn.hdpornpictures.com 0 0 0 0 57 cdn.hdxxx.top 0 0 0 0 58 cdn.mngappnf.com 1 1 1 1 59 cdn.mngepvra.com 1 1 0 1 60 cdn.nudemomxxx.com 0 0 0 0 61 cdn.onlyindian.net 0 0 0 0 62 cdn.peniscat.com 0 0 0 0 63 cdn.shemale-movies.org 0 0 0 0 64 cdn.shemaleoffice.com 0 0 0 0 65 cdn.starexample.com 1 1 1 1 66 cdn.vegasmovs.com 0 0 0 0 67 cdn.xvideoshd.pro 0 0 0 0 68 cdn1.cumlocator.com 0 0 0 0 69 cdn2.wearehairy.com 0 0 0 0 70 cdn2.xxxvideo.name 0 0 0 0 71 cdn7.images.realitykings.com 0 0 0 0 72 cdni.luscious.net 0 0 0 0 73 check.frogupdate.com 1 1 0 1 74 chmurak.pl 0 0 0 0 75 cia4opm.com 0 0 0 0 76 clearbabes.com 0 0 0 0 77 commonborders.eu 0 0 0 0 78 content4.babecentrum.com 0 0 0 0 79 content6.novoteens.com 0 0 0 0 80 contenta.babesmachine.com 0 0 0 0 81 contenta.babeuniversum.com 0 0 0 0 82 cosplay.ero2ch.net 0 0 0 0 83 critdick.com 0 0 0 0 84 d34jvmqfdbkyi.cloudfront.net 0 0 0 1 85 d3mwhxgzltpnyp.cloudfront.net 0 0 0 1 86 dasistlustig.de 0 0 0 0 87 dedr.net 0 0 0 0 88 defincasyservicios.com 0 0 0 0 89 descargar.cnet.com 0 0 0 0
182
90 discovernative.com 0 1 0 1 91 dist.divx.com 0 0 0 1 92 dominiosaplis1.com 0 0 0 0 93 doneaza.eu 0 0 0 0 94 downloadbokepindo.xyz 0 0 0 0 95 duckmovies.net 0 0 0 0 96 ecuador.anunciosprepagos.com 0 0 0 0 97 elrinconx.com 0 0 0 0 98 en.softonic.com 0 0 0 0 99 enter.javhd.com 0 0 0 0 100 erojyukujo.com 0 0 0 0 101 erolord.com 0 0 0 0 102 es.freedownloadmanager.org 0 0 0 0 103 es.gizmodo.com 0 0 0 0 104 es.zluj.com 0 0 0 0 105 events.jetengine.be 0 1 0 1 f2ee59b-b7f9-4e77-afd1- 106 11971236ff5.s.submityourgame.com 0 0 0 1 107 fapshack.xxx 0 0 0 0 108 fb-haresvaniq.info 0 0 0 0 109 figurasanime.com 0 0 0 0 110 finde.latercera.com 0 0 0 0 111 fisting.vip 0 0 0 0 112 foxyasiamagazine.com 0 0 0 0 113 fr.slavic-companions.com 0 0 0 0 114 frauengeile.net 0 0 0 0 115 freakfoul.com 0 0 0 0 116 freecontent.faith. 1 1 0 0 117 freecontent.party. 1 1 0 0 118 freecontent.science. 1 1 0 1 119 freecontent.trade. 1 1 0 0 120 ftyoutube.com 0 0 0 0 121 fuckmeblack.com 0 0 0 0 122 fulanax.com 0 0 0 0 123 gahapa.com 1 0 0 1 124 galinkabis.ru 0 0 0 0 125 gartenofen.eu 0 0 0 0 126 gavuer.ru 0 0 0 0 127 gelbooru.com 0 0 0 0 128 genepi.org 0 0 0 0 129 ggg.koapkmobi.com 1 0 0 0 130 gigispice.net 0 0 0 0 131 glamur.biz 0 0 0 0 132 go.wellhello.com 0 0 0 0 133 gobdsm.com 0 0 0 0 134 gotabused.com 0 0 0 0
183
135 gravure.com 0 0 0 0 136 h.mobcells.com 0 1 0 1 137 h4.hqtube.tv 0 0 0 0 138 hellothere.publicvm.com 1 0 1 1 139 hentai-manga.porn 0 0 0 0 140 hornygamer.com 0 0 0 0 141 hosted2.88square.com 0 0 0 0 142 hostingcloud.accountant. 1 1 0 0 143 hostingcloud.bid. 1 1 0 0 144 hostingcloud.date. 1 1 0 0 145 hostingcloud.download. 1 1 0 0 146 hostingcloud.faith. 1 1 0 0 147 hostingcloud.loan. 1 1 0 1 148 hotjpg.pl 0 0 0 0 149 hotopponents.site 1 0 1 1 150 hunkhighway.com 0 0 0 0 151 i.hugehd.tv 0 0 0 0 152 images.ebonybombas.net 0 0 0 0 153 images.nakedteens.photos 0 0 0 0 154 images.nudeasians.pics 0 0 0 0 155 images.tetoo.net 0 0 0 0 156 img.favefreeporn.com 0 0 0 0 157 img.fighexhamster.com 0 0 0 0 158 img.freshmilfs.com 0 0 0 0 159 img.secretas.com 0 0 0 0 160 img.superzooi.com 0 0 0 0 161 img2.megatube.xxx 0 0 0 0 162 img2.nudedworld.com 0 0 0 0 163 imp.searchdcnow.com 0 1 0 1 164 indaflash.ru 0 0 0 0 165 iredirect.xyz 0 1 0 1 166 is.sankakucomplex.com 0 0 0 0 167 isshiki.donmai.us 0 0 0 0 168 jasug.com 0 0 0 0 169 javbi.com 0 0 0 0 170 javfetish.b-cdn.net 0 0 0 0 171 jeep-trader.com 0 0 0 0 172 jerkhour.com 0 0 0 0 173 join.tiny4k.com 0 0 0 0 174 jshosting.bid. 1 1 0 0 175 jshosting.date. 1 1 0 1 176 jshosting.download. 1 1 0 1 177 jshosting.loan. 1 1 0 0 178 jshosting.party. 1 1 0 1 179 jshosting.racing. 1 1 0 0 180 jshosting.review. 1 1 0 0
184
181 jshosting.stream. 1 1 0 1 182 jshosting.trade. 1 1 0 1 183 jshosting.win. 1 1 0 0 184 kinky.com 0 0 0 0 185 kladoffka.com 0 0 0 0 186 koiwasexyangel.com 0 0 0 0 187 la.spankbang.com 0 0 0 0 188 lacychanning.com 0 0 0 0 189 ladybaba.net 0 0 0 0 190 laranza.eu 0 0 0 0 191 latinangels.tv 0 0 0 0 192 lavillabar.ru 0 0 0 0 193 lingerieavblog.com 0 0 0 0 194 locopelis.tv 0 0 0 0 195 losvirales.com 0 0 0 0 196 lovehentaimanga.com 0 0 0 0 197 lucrari-licenta.info 0 0 0 0 198 luxemedialine.ru 0 0 0 0 199 m.dapink.com 0 0 0 0 200 mahometown.com 0 0 0 0 201 maniacosporcomics.com 0 0 0 0 202 matomo.donmai.us 0 0 0 0 203 mcslniecko.eu 0 0 0 0 204 media.javmovie.com 0 0 0 0 205 media.megafilmporno.com 0 0 0 0 206 media.thagson.com 0 0 0 0 207 mekomeko.com 0 0 0 0 208 meufs-nues.com 0 0 0 0 209 milftoon.com 0 0 0 0 210 milftoons.info 0 0 0 0 211 minaoka.net 0 0 0 0 212 mitelefonocelular.com 0 0 0 0 213 mocmovies.net 0 0 0 0 214 money-maker-default.info 1 1 0 1 215 moviebox.pro 0 0 0 0 216 mubi.com 0 0 0 0 217 musicacristianachat.com 0 0 0 0 218 mx.skokka.com 0 0 0 0 219 mx-static.skokka.com 0 0 0 0 220 mykink.club 0 0 0 0 221 mysislovesme.com 0 0 0 0 222 narutopixxx.com 0 0 0 0 223 nashi-devki.com 0 0 0 0 224 naughtyza.co.za 0 0 0 0 225 nawashi.com.ua 0 0 0 0 226 negani.com 0 0 0 0
185
227 neko-punch.biz 0 0 0 0 228 network.ynot.com 0 0 0 0 229 newage.newminersage.com 1 0 1 0 230 nexgenbikes.com 0 1 0 0 231 nl.m.xhamster.com 0 0 0 0 232 nozokimite.click 0 0 0 0 233 nudebase.com 0 0 0 0 234 nudenakedpics.com 0 0 0 0 235 nxt-comics.com 0 0 0 0 236 openload.co/f/jDjtW14-gms 0 0 0 0 237 os-orion.eu 0 0 0 0 238 overseas.jccjd.com:81 0 1 0 1 239 p.pimpmovs.com 0 0 0 0 240 pasaelpack.xyz 0 0 0 0 241 passionhdfan.com 0 0 0 0 242 pbs.gigapron.com 0 0 0 0 243 pbwstatic.ixxx.space 0 0 0 0 244 pcache-pv-eu1.tetoo.net 0 0 0 0 245 pcache-pv-us1.tetoo.net 0 0 0 0 246 peliculasenlinea.net 0 0 0 0 247 pennvad.eu 0 0 0 0 248 piatnitsa-12.ru 0 0 0 0 249 pic.catchy-eyes.nl 0 0 0 0 250 pic.dadaporn.mobi 0 0 0 0 251 pic.gpv4.com 0 1 0 1 252 pic.tinyapps.co.uk 0 0 0 0 253 picmir.cc 0 0 0 0 254 pics.jerkoffer.com 0 0 0 0 255 pics.wankservice.com 0 0 0 0 256 pics12.godsartnudes.com 0 0 0 0 257 picshd.biguz.net 0 0 0 0 258 pitube.net 0 0 0 0 259 pix.mazolporn.com 0 0 0 0 260 pizdoliz.com 0 0 0 0 261 pizzda.net 0 0 0 0 262 play.istlandoll.com 0 1 1 0 263 popcorntime-update.xyz 1 1 1 1 264 ppvtech.ru 0 0 0 0 265 prajwaldesai.com 0 0 0 0 266 professional.pcgamer.site 1 0 0 1 267 programasfullmega.com 1 0 0 1 268 pushame.com 0 1 0 1 269 q2w3.website 1 1 0 0 270 queerdiary.com 0 0 0 0 271 radioannika.eu 0 0 0 0 272 rapefilms.net 0 0 0 0
186
273 rastreadordecelular.org 0 0 0 0 274 rb-cdn.com 1 0 0 0 275 readystream24.com 0 0 0 0 276 remote.ricehidhadore.com 1 1 0 0 277 resource.vpgcdn.com 0 0 0 1 278 rorierodouga.com 0 0 0 0 279 rotumal.com 1 0 0 1 280 rududulu.com 1 1 1 1 281 rwnlt.com 0 0 0 0 282 s2.maturemoms.tv 0 0 0 0 283 s2.vtraxe-ru.com 0 0 0 0 284 sambadur.net 0 0 0 0 285 scathd.com 0 0 0 0 286 scatlab.net 0 0 0 0 287 sebz.goforandroid.com 0 1 0 1 288 services.nexodyne.com 1 1 1 1 289 sexysuperheroes.sexacartoon.com 0 0 0 0 290 shlega.com 1 1 0 0 291 shop.xprodev.com 0 1 0 1 292 snaptubedescargar.com 0 0 0 0 293 spaces.slimspots.com 0 0 0 0 294 srv6.feedallapps.com 0 0 0 1 295 static.ohix.com 0 0 0 0 296 static.update.xprodev.com 0 1 0 1 297 static.videosbrasileiros.com 0 0 0 0 298 static3.mvideoporno.xxx 0 0 0 0 299 static-fhg.eroticbeauty.com 0 0 0 0 300 straightpornstuds.com 0 0 0 0 301 streamxxx.tv 0 0 0 0 302 support.brandysecplus.com 0 1 0 1 303 support2.sweepc.com 0 1 0 1 304 t.blackbootypictures.com 0 0 0 0 305 t3.market.xiaomi.com 0 0 0 1 306 tags.h2-media.com 0 1 0 1 307 tatuajes-tattoos.com 1 1 0 1 308 th.cdngangsta.com 0 0 0 0 309 th8.dirtypornvids.com 0 0 0 0 310 thehentaiworld.com 0 0 0 0 311 thepyrates.com 1 1 0 1 312 thumb.pinkvisual.com 0 0 0 0 313 thumbs.cdn.redtube.com 0 0 0 0 314 tight-pussy-fuck.com 0 0 0 0 315 toqatab.com 1 1 1 1 316 torinonline.eu 0 0 0 0 317 torrich.com 1 0 0 1 318 tour.siennawest.com 0 0 0 0
187
319 trailer.acces-vod.com 0 0 0 0 320 trk.superads.cn 0 0 0 1 321 tshare.eu 0 0 0 0 322 tubeplay.net 0 0 0 0 323 tuyella.es 0 0 0 0 324 tvhero.thewhizmarketing.com 1 1 1 0 325 u.xprodev.com 0 1 0 1 326 update.iobit.com 0 0 0 1 327 updatepopcorntime.xyz 0 1 1 1 328 upic.me 0 0 0 1 329 upxxxvdo.com 0 0 0 0 330 urchintelemetry.com 1 1 0 0 331 us.hbomax.tv 0 0 0 0 332 uteentube.com 0 0 0 0 333 vadiandonanet.com 0 0 0 0 334 vcdn110.spankbang.com 0 0 0 0 335 verpeliculasnuevas.com 0 0 0 0 336 version.api.goforandroid.com 0 1 0 1 337 viajandoporperu.com 1 1 0 1 338 videoassets.eispop.com 0 0 0 0 339 videotop.tv 0 0 0 0 340 vip-dubai-bunnies.com 0 0 0 0 341 votzen.club 0 0 0 0 342 vz.skokka.com 0 0 0 0 343 wagng.com 1 1 1 1 344 wavbsly.com 1 1 1 1 345 way2pussy.com 0 0 0 0 346 webileht.eu 0 0 0 0 347 wellhello.com 0 0 0 0 348 wetred.org 0 0 0 0 349 world.9364173.pix-cdn.org 0 0 0 0 350 ww.gameover.hostaty.com 0 1 0 1 351 www.15den.com 0 0 0 0 352 www.665leather.com 0 0 0 0 353 www.69dv.com 0 0 0 0 354 www.7dog.com 0 0 0 0 355 www.alcanalibros.com 0 0 0 0 356 www.amateurgalls.com 0 0 0 0 357 www.amateurmilfs.co.uk 0 0 0 0 358 www.amateurs.pw 0 0 0 0 359 www.amordegoma.com 0 0 0 0 360 www.andrithbebes.com 0 0 0 0 361 www.androidjefe.com 0 0 0 0 362 www.babescartel.com 0 0 0 0 363 www.bangbrosteenporn.com 0 0 0 0 364 www.bbw-hotties.com 0 0 0 0
188
365 www.bestandfree.com 0 0 0 0 366 www.bigbootytube.net 0 0 0 0 367 www.bigtitsgenie.net 0 0 0 0 368 www.blog3sex.pl 0 0 0 0 369 www.bondagester.com 0 0 0 0 370 www.bordell-fick.com 0 0 0 0 371 www.camapple.com 0 0 0 0 372 www.camloca.com 0 0 0 0 373 www.camtorride.com 0 0 0 0 374 www.canalchat.net 0 0 0 0 375 www.carcoma.es 0 0 0 0 376 www.carlacumlouder.com 0 0 0 0 377 www.chat.pe 0 0 0 0 378 www.chateacongente.com 0 0 0 0 379 www.chatzona.org 0 0 0 0 380 www.cine.ar 0 0 0 0 381 www.clubtug.com 0 0 0 0 382 www.cocovideosfb.com 0 0 0 0 383 www.comicspornox.com 0 0 0 0 384 www.coonymilfs.com 0 0 0 0 385 www.corponovo.com.co 0 0 0 0 386 www.danicollada.com 0 0 0 0 387 www.danjoweb.com 0 0 0 0 388 www.digitalplayground.com 0 0 0 0 389 www.dy538.com 0 0 0 0 390 www.efukt.me 0 0 0 0 391 www.escortdelux.net 0 0 0 0 392 www.escorts-luxury.com 0 0 0 0 393 www.escortswow.es 0 0 0 0 394 www.estrenosdvx.com 0 0 0 0 395 www.faphentai.net 0 0 0 0 396 www.faponix.com 0 0 0 0 397 www.femme-arabe.com 0 0 0 0 398 www.free18.net 0 0 0 0 399 www.freelibros.me 0 0 0 0 400 www.freezoo.top 0 0 0 0 401 www.gameturkce.com 0 0 0 0 402 www.glamourhound.com 0 0 0 0 403 www.glamourimages.net 0 0 0 0 404 www.gonzoxxxmovies.com 0 0 0 0 405 www.greatestapps.mobi 1 1 0 1 406 www.greatnass.com 0 0 0 0 407 www.hbrowse.com 0 0 0 0 408 www.hegrehunter.com 0 0 0 0 409 www.hentai.nu 0 0 0 0 410 www.hentairing.com 0 0 0 0
189
411 www.hotmomteen.info 0 0 0 0 412 www.hottescorts.es 0 0 0 0 413 www.ideal-babe.com 0 0 0 0 414 www.imagefaq.info 0 0 0 0 415 www.inbdsm.com 0 0 0 0 416 www.intercambiosvirtuales.org 0 0 0 0 417 www.izle5.net 0 0 0 0 418 www.japanxstyle.com 0 0 0 0 419 www.jshosting.party. 1 1 0 1 420 www.jucycam.com 0 0 0 0 421 www.juegosdemashayeloso.net 0 0 0 0 422 www.juicechan.net 0 0 0 0 423 www.kartinki24.ru 0 0 0 0 424 www.klick.my 0 0 0 0 425 www.kodwow.com 0 0 0 0 426 www.l7cos.com 0 0 0 0 427 www.labrise.eu 0 0 0 0 428 www.latex-post.com 0 0 0 0 429 www.learningtoolkit.club 0 1 0 0 430 www.lifeboxset.com 0 0 0 0 431 www.lilbabes.com 0 0 0 0 432 www.locopelis.tv 0 0 0 0 433 www.lolhentai.net 0 0 0 0 434 www.medixafire.tk 0 0 0 0 435 www.megatitspost.com 0 0 0 0 436 www.moodyz.com 0 0 0 0 437 www.mundirelax.es 0 0 0 0 438 www.myarabs.com 0 0 0 0 439 www.naughtydesiree.com 0 0 0 0 440 www.naughtyoffice1.com 0 0 0 0 441 www.netchix.online 0 0 0 0 442 www.nudefi.com 0 0 0 0 443 www.pelis24.in 0 0 0 0 444 www.photodp.xyz 0 0 0 0 445 www.playvids.com 0 0 0 0 446 www.plescamac.com 0 0 0 0 447 www.porneva.com 0 0 0 0 448 www.pornoyporno.com 0 0 0 0 449 www.relatoscortos.com 0 0 0 0 450 www.rencontre-salopes.com 0 0 0 0 451 www.rifalohdate.com 1 1 0 0 452 www.roku.com 0 0 0 0 453 www.ruerovideos.me 0 0 0 0 454 www.ruizarafoto.es 1 1 0 0 455 www.sdc.com 0 0 0 0 456 www.sensacine.com 0 0 0 0
190
457 www.shlang.net 0 0 0 0 458 www.sicakhikayes.xyz 0 0 0 0 459 www.silwenae.org 0 0 0 0 460 www.smyw.org 0 0 0 0 461 www.staxusblog.de 0 0 0 0 462 www.streamxxxx.com 0 0 0 0 463 www.superhq.net 0 0 0 0 464 www.telefonoeroticosinesperas.com 0 0 0 0 465 www.titu.com 0 0 0 0 466 www.tokyocity.net 0 0 0 0 467 www.toytube.com 0 0 0 0 468 www.tse-tse.in 0 0 0 0 469 www.tubechat.eu 0 0 0 0 470 www.unocero.com 0 0 0 0 471 www.urgeoverkillhq.com 0 0 0 0 472 www.usedwhitewives.com 0 0 0 0 473 www.vedrabreden.tk 0 0 0 0 474 www.vernovelastv.net 0 0 0 0 475 www.veyqo.net 0 0 0 0 476 www.videosdefamosasdesnudas.net 0 0 0 0 477 www.vovoh.com 0 0 0 0 478 www.washingtoncoalclub.org 0 0 0 0 479 www.webcam-erotico.com 0 0 0 0 480 www.werotic.com 0 0 0 0 481 www.x-art.com 0 0 0 0 482 www.xart.xxx 0 0 0 0 483 www.xsiamclip.com 0 0 0 0 484 www.yagyed.com 0 0 0 0 485 www.youlovejack.com 0 0 0 0 486 www.yupiyupi.com 0 0 0 0 487 www.zfrdxjz.com 1 1 0 1 488 xartfan.com 0 0 0 0 489 x-images11.bangbros.com 0 0 0 0 490 xmaturemom.com 0 0 0 0 491 xperua.com 0 0 0 0 492 xshemale.online 0 0 0 0 493 xtasie.com 0 0 0 0 494 xvideo.space 0 0 0 0 495 xxx7x.com 0 0 0 0 496 xxxbios.com 0 0 0 0 497 xxxnakedimages.com 0 0 0 0 498 zoldiakos.eu 0 0 0 0 499 zoover.adclixx.net 0 1 0 1 500 zZz.xyz 1 0 1 0 CANTIDAD DE BLOQUEOS POR FIREWALL 61 74 16 68
191
Anexo 7: Resultado de la prueba de consumo de memoria RAM FORTINET ENDIAN SOPHOS Nº PALOALTO FW FW FW FW 1 16 21 19 15 2 18 23 24 20 3 19 24 26 25 4 21 26 28 28 5 22 27 33 35 6 24 29 36 37 7 25 33 41 39 8 28 35 45 41 9 30 38 49 44 10 35 39 55 47 PROMEDIO 23,8 29,5 35,6 33,1
192
Anexo 8: Resultado de la prueba de consumo de CPU PALOALTO FORTINET ENDIAN SOPHOS Nº FW FW FW FW 1 28 25 31 39 2 30 26 33 42 3 33 29 35 45 4 34 30 36 47 5 36 32 38 48 6 37 34 42 51 7 38 36 45 54 8 39 39 49 57 9 40 41 52 59 10 41 43 57 61 PROMEDIO 35,6 33,5 41,8 50,3
193
Anexo 9: Acta de aprobación de originalidad de tesis
194
Anexo 10: Resultados del Turnitin
195
Anexo 11: Autorización de publicación de tesis
196
Anexo 12: Autorización de la versión final del trabajo de investigación
197