tema 2 implantación de mecanismos de seguridad activa · pdf filelos comandos que...

Tema 2 – Implantación de mecanismos de seguridad

activa

Juan Luis Cano Condés Página 1

Práctica 6 – Riesgos Potenciales en los Servicios de Red

Se van a identificar vulnerabilidades de los diversos dispositivos de red y se van a asegurar

Switches y Routers. Las prácticas a y b todavía no pueden implantarse.

a) Laboratorio 2.A. CCNA Security – Asegurando Routers

Se van a asegurar routers utilizando el PDF de este laboratorio. Hay varios problemas con los

nombres, ya que se ha tenido que reiniciar los routers varias veces. Esta es la topología a

seguir.

Y este es el escenario en GNS3.


activa


Ahora se configurarán los routers y hosts.

Ahora se configuran los routers. El primero de ellos es R1, que involucra a las redes

192.168.1.0/24 y a la red 10.1.1.0/30


activa


Y ahora el router que conecta a los otros dos, R2. Conecta las redes 10.1.1.0/30 y 10.2.2.0/30

Finalmente el router R3, que engloba las redes 192.168.3.0/24 y 10.2.2.0/30


activa


Se configura el enrutamiento estático en R1, R2 y R3.

Se comprueba el enrutamiento entre el router R3 y el host 192.168.1.1


activa


Ahora se configuran contraseñas seguras en el router R1 y la configuración del Telnet.

Ahora se hace Telnet desde R2 a R1. El comando es rechazado porque no pide la contraseña.


activa


Siguiendo los pasos se configura de nuevo.

Y entra.

En R1 se ve la conexión.


activa


Si queremos ver las contraseñas desde el router R2 se ven encriptadas.

Mientras que las líneas de consola se ven perfectamente.

El nivel de la contraseña secreta de enable es 5, y las de las líneas de consola son 15. El nivel de

la contraseña secreta de enable es mayor, ya que es prioritaria para acceder a cualquier

configuración del router.


activa


Ahora se procederá a encriptar las contraseñas.

Tras ello se ve que las contraseñas están encriptadas y el nivel de privilegio, que antes era 15,

ahora es 7. Cabe destacar que el nivel de privilegio aumenta cuando el número es menor.

Ahora se configurará un banner para avisar de errores de conexión, para ello se utiliza el

comando banner motd $texto$

Se procederá a la investigación sobre la creación de usuarios. Las opciones son estas.


activa


Se va a crear un usuario sin encriptación. En el running-config puede verse el usuario con la

contraseña encriptada. La contraseña es inves12345

Ahora se crea otro usuario, esta vez con una contraseña secreta.

Tras ello se configura el login para que englobe a los usuarios creados y se accede al router

como uno de ellos.


activa


Ahora desde un equipo cliente se accede vía Telnet al router.


activa


Ahora falla la conexión.


activa


Tras ello se le ingresan las líneas al router en las que se le permite el login.

Y se realiza la conexión de nuevo desde el cliente Telnet.


activa


Se van a comprobar los parámetros del logging entre routers.

Se realiza un telnet del router R2 al R1 que falla porque el hyperterminal no está habilitado.

Si se habilita.

Se accederá al otro router vía hyperterminal.


activa


Tras ejecutar el comando service password-encryption se ve el running-config y todas las

contraseñas pueden observarse encriptadas, y todas tienen el nivel 7 de prioridad.

Tras ponerle el banner el $ se cambia por los signos ^C


activa


Se crean los usuarios user01 y user02 y se ve el running.

Se abre el puerto de consola y se entra de nuevo.

Al conectarse vía telnet falla.


activa


Se va a configurar el login seguro entre routers.

Se realiza un telnet, si fallamos al obtener nombre y contraseña da el mensaje “Login failed”.

Ahora se configura el protocolo SSH en el router.


activa


Y se ve el estado del protocolo.

Se modifican los parámetros por defecto del protocolo.

Y se conecta desde un cliente.


activa


Se habilita la contraseña y la vista para root.

Se crea una nueva vista “admin1”

Y se observan los comandos que pueden introducirse.


activa


Entre muchos otros.

Y tras ello entramos en la vista “admin1” y vemos los comandos que se pueden realizar. La

contraseña es “admin01pass”.


activa


Se crea la vista admin2.

Entramos en ella.


activa


Los comandos que faltan en comparación de ls vista “admin1” son debug y configure.

Se va a crear la vista “tech” y se le agregan algunos comandos.

Se puede ver que el comando “show ip interface brief” asignado previamente puede realizarlo,

sin embargo el comando “show ip route” no es capaz porque no se le ha asignado.


activa


Posteriormente se vuelve a la vista de “root” y se procede a configurar y proteger el IOS del

router. Los comandos no funcionan porque el IOS es externo (ya que es en laboratorio GNS3).

Se continúa utilizando el servicio NTP. Para ello se configura el router R2 modificándole la

configuración horaria.

Y en el router 1 se ve la asociación establecida mediante NTP con el router 2.


activa


Como puede verse, no existe el comando debuf ntp all. Si se ve la hora en el router R1, se ha

actualizado a la configurada en R2.

Se va a configurar el log de seguridad en el router 1.


activa


Se ve el logging del host.

Se va a proceder a asegurar el router R3 utilizando el comando auto secure, que realiza una

política por defecto para el router en cuestión, aplicándole algunos parámetros de

configuración como son las contraseñas de enable, un usuario predefinido, el protocolo SSH

entre otros.


activa


Se ve el startup.


activa


El cliente rechaza la conexión.

Por última tarea se va a crear una auditoría de seguridad usando el CCP. Para ello se habilita el

servidor HTTP y se configura el CCP.

Tras configurar el servidor se conecta con el CCP.


activa


Se guarda la configuración del router en el equipo.


activa


Y finalmente se configurará una auditoría de seguridad.


activa


Se clica en “Perform Security Audit” y se continúa.

Se seleccionan las interfaces, siendo la serial la externa y la Fast Ethernet la interna.


activa


Tras iniciarla aparece un informe.


activa


Tras darle a “Siguiente”, el programa informa de que hay que seleccionar al menos un cuadro

de diálogo.

Tras seleccionar todos los objetos se continúa.

Y aparece un cuadro para insertar una contraseña, que será la contraseña secreta de enable,

cisco12345.


activa


Se selecciona el nivel de login a errores.

Hace un resumen.


activa


Se aplican los comandos tras clicar en “Deliver”.


activa


b) Laboratorio 6.A. CCNA Security – Asegurando Switches

Se va a realizar el laboratorio 6.A del CCNA Security, en el que se va a mplantar seguridad en

dos Switches en el programa Cisco Packet Tracert


activa


Tras ponerle las direcciones al router y a los equipos, se procede a realizarlo con los switches.

Ahora se configuran las líneas del router. (En el packet tracert no permite activar o desactivar el

servicio HTTP en el router)


activa


Se realiza una comunicación entre los equipos y se procede a establecer SSH en los switches.


activa


No permite generar la clave para realizar el SSH.

Pero si se introduce el comando “#crypto key generate rsa” aparecerá un cuadro de diálogo para

configurarlo, por lo que se le asignarán los 1024 bytes.

Se comprueba que SSH está habilitado, teniendo la versión 1.99, siendo 3 intentos los

permitidos y teniendo un tiempo de salida de 120 segundos (2 minutos). Se cambia la

configuración de SSH y se comprueba de nuevo.


activa


Pero no se puede acceder desde un cliente, ya que en el packet tracert no se pueden realizar

conexiones SSH desde los clientes (el comando no funciona)

Se va implantar el modo seguro entre los dos switches utilizando el “mode trunk”


activa


Se configura el modo tronco entre los dos switches, siendo primero el switch 1.

Se habilita el modo tronco en el switch 2 y se le asigna la VLAN Nativa en 99 al switch 2.

Se comprueba que ha habilitado la VLAN nativa en Sjl_2.


activa


No deja introducir el comando para desactivar la negociación.

Se habilita la tormenta de boradcast, pero no deja comprobarlo.

Se aseguran los puertos.


activa


Aunque se ha confiigurado el bpduguard no aparece.

Se observa la dirección MAC de la interfaz FastEthernet 0/1

Se habilita el puerto en la interfaz 0/5 y se le asigna la dirección MAC de la fast0/1


activa


Se observa la seguridad del puerto y se comunica con un equipo.


activa


Se apaga la interfaz y se le aplica la dirección MAC de la interfaz 0/1

Se sigue realizando la comunicación con el ordenador.

Se ve la seguridad del puerto.


activa


Se le quita la MAC añadida.

Se deshabilitan los puertos del switch no utilizados.


activa


Se va a configurar el PVLAN, la VLAN protegida, no deja introducir el comando.

Se configura el SPAN Monitor. Tampoco se puede configurar.


activa


c) Vulnerabilidades del Protocolo IP en la Capa de Transporte y de

Aplicación

Se van a reconocer vulnerabilidades del protocolo IP en la Capa de Transporte y en la de

Aplicación, además de cómo evitar esos peligros.

Capa de transporte

La principal tarea de la Capa de Transporte es proporcionar la comunicación entre un programa

de aplicación y otro.

Las principales vulnerabilidades están asociadas a la autenticación de integración y

autenticación de confidencialidad. Estos términos se relacionan con el acceso a los

protocolos de comunicación entre capas, permitiendo la denegación o manipulación de ellos.

La mejor protección es utilizar el protocolo TCP que es más confiable que UDP, a pesar de que

el paquete tarde más en manejarse.

Capa de aplicación

Hay varios puntos críticos en las aplicaciones, como pueden ser:

1: Se establecen las deficiencias del servicio de nombres de dominio. en el momento

que una persona solicita una conexión a un servicio determinado, se solicita una

dirección IP y un nombre de dominio, se envía un paquete UDP (Protocolo de

Comunicación el cual envía los datos del usuario) a un servidor DNS (Dominio de

Nombre de Servicio).


activa


2: Está dado por el servicio Telnet, el cual se encarga de autentificar la solicitud de

usuario, de nombre y contraseña que se trasmiten por la red, tanto por el canal

de datos como por el canal de comandos.

3: Está dado por File Transfer Protocol (FTP), el cual al igual que el servicio Telnet, se

encarga de autentificar. La diferencia se encuentra en que el FTP lo hace más

vulnerable ya que es de carácter anónimo.

4: Está dado por el protocolo HTTP, el cual es responsable del servicio World Wide

Web. La principal vulnerabilidad de este protocolo, está asociado a las deficiencias de

programación que puede presentar un link determinado [7], lo cual puede poner

en serio riesgo el equipo que soporta este link, es decir, el computador servidor.

El principal problema viene dado porque hay que diseñar mecanismos de seguridad específico

para cada aplicación, siendo muy complicado implantar seguridad. Hasta ahora, lo mejor es

implantar mecanismos de seguridad específicos e intentar unificarlos, además de siempre

estar al día sobre actualizaciones de seguridad.

tema 2 implantación de mecanismos de seguridad activa · pdf filelos comandos que...

Documents