Implantación de técnicas de acceso remoto. Seguridad ... · Implantación de técnicas de acceso...

2012

Álvaro Primo Guijarro

Practicas UD03

12/01/2012

Implantación de técnicas de acceso remoto. Seguridad perimetral


2

Contenido 1.NAT: ............................................................................................................................................ 5

a) Comprobación de la seguridad perimetral a través de un NAT (Laboratorio virtual) .......... 5

2. Router frontera: ........................................................................................................................ 8

a) Planteamiento escenario CISCO Packet Tracert: esquema. .................................................. 8

b) Realiza una comparativa entre los routers frontera atendiendo a las opciones de

seguridad perimetral (NAT,Firewall,DMZ,…etc) ....................................................................... 9

Router D-Link DI-604 ............................................................................................................. 9

Router LINKSYS WRT54L ...................................................................................................... 10

Router 300Mbps Multi-Function Wireless N Router .......................................................... 12

3. DMZ ......................................................................................................................................... 13

a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas. ......................... 13

b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas.................... 14

4. VPN sobre red local ................................................................................................................. 15

a) Instalación de un servidor VPN en Windows XP. ................................................................ 15

b) Instalación de un servidor VPN en Windows 2003/2008. .................................................. 19

c) Instalación de un servidor VPN en GNU/Linux .................................................................... 23

d) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN. ...................... 29

5. VPN de acceso remoto ............................................................................................................ 34

6. VPN sitio a sitio ........................................................................................................................ 41

a) Escenario CISCO: Instalación de VPNs IPSEC sitio a sitio con CLI entre .............................. 41

routers CISCO utilizando Packet Tracert Router. .................................................................... 41

7. SSH ........................................................................................................................................... 42

a) Instalación del servidor SSH en GNU/Linux......................................................................... 42

b) Conexión al servidor SSH mediante cliente GNU/Linux y ................................................... 43

cliente Windows. ..................................................................................................................... 43

c) Escenario CISCO: Conexión segura a la administración de un router. ................................ 45

8. Protocolos de autenticación: .................................................................................................. 48

a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP ,CHAP. ............ 48

9. Servidores de autenticación .................................................................................................... 49

a) Redes Inalámbricas: WPA Personal ......................................................................................... 49

b) SERVIDOR RADIUS: .............................................................................................................. 52

1.- Simulación de un entorno de red con servidor RADIUS CISCO en el ............................. 52


3

Packet Tracert Router. ........................................................................................................ 52

2.- Instalación de un servidor Radius bajo GNU/LINUX (freeradius) , para autenticar

conexiones que provienen de un router de acceso Linksys WRT54GL: WPA Empresarial.

Comprobación en un escenario real. ....................................................................................... 60


4


5

1.NAT:

a) Comprobación de la seguridad perimetral a través de un NAT (Laboratorio

virtual)

Configuramos la maquina virtual en modo NAT, para ello le damos a Edit / Virtual Network

Editor.

Editamos el modo NAT con las IP´S que queramos.

El escenario propuesto será el siguiente:


6

El cliente Molinux está en VMnet 8 (NAT).

El Cliente XP, actúa como NAT:


7

El cliente Ubuntu que esta en modo Bridge.

La practica será la siguiente desde el cliente Molinux en VMnet8 (NAT) realizaremos un ping al

cliente Bridge(Ubuntu), de modo que nos tiene que dejar:


8

Sin embargo, si realizamos un ping desde el Ubuntu al Molinux, no nos debe dejar, esto quiere

decir que funciona correctamente la seguridad perimetral con NAT.

2. Router frontera:

a) Planteamiento escenario CISCO Packet Tracert: esquema.

En este caso tenemos 2 Routers, uno que será el que le proporcione servicio a la empresa(

Router Frontera), y otro Router que será el del ISP, que es el que proporciona internet.


9

b) Realiza una comparativa entre los routers frontera atendiendo a las

opciones de seguridad perimetral (NAT,Firewall,DMZ,…etc)

Router D-Link DI-604

Firewall

Permite Configurar el origen y el destino junto con las direcciones IPS, de cada uno. Puede ser

de una LAN o una WAN, además incluye para indicarle en que momento queremos que entren

a nuestro Router.


10

DMZ

Configuramos una zona desmilitarizada con la ip 192.168.0.252.

Este modelo te permite realizar pocas configuraciones respecto al DMZ

Router LINKSYS WRT54L

Firewall

Este modelo permite bloquear las respuestas anónimas de internet, un filtro multicast,etc…


11

VPN

Permite aceptar un túnel VPN.

Internet Access

Se pueden crear listas de acceso de PCS, a la red.


12

Router 300Mbps Multi-Function Wireless N Router

SECURITY

Permite utilizar el SPI Firewall, configurar algunos parámetros de VPN, y ALG.

DMZ

Este sin embargo te permite asignarle el rango que queramos a la zona desmilitarizada.


13

ACL

Permite crear listas de acceso, a los host de la red.

3. DMZ

a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert):

esquemas. DMZ Basico:


14

DMZ Complejo:

b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual):

esquemas.

DMZ Simple:


15

DMZ Complejo:

Son los mismos esquemas que los anteriores lo que pasa que los routers son equipos con dos

tarjetas, redireccionando.

4. VPN sobre red local

a) Instalación de un servidor VPN en Windows XP.

En conexiones de red, creamos una nueva conexión de red.

Seleccionamos una Conexión Avanzada.


16

Marcamos la opción de Aceptar conexiones entrantes

Le damos a siguiente


17

Permitimos las conexiones privadas Virtuales (VPN).

Permitimos al usuario administrador, que acceda a esta VPN.


18

Seleccionamos el protocolo TCP/IP, y pinchamos en propiedades.

Ahora ponemos un rango de direcciones IP.

Finalizamos el proceso de creación del servidor VPN, veremos algo asi:


19

b) Instalación de un servidor VPN en Windows 2003/2008.

Al igual que en Windows XP, creamos una nueva conexión de red.

Le damos a Configurar una conexión avanzada:

Aceptamos las conexiones entrantes:


20

No marcamos nada, le damos a siguiente:


21

Como queremos hacer VPN, permitimos conexiones privadas virtual.

Autorizamos al usuario Administrador.


22

Seleccionamos el Protocolo TCP/IP, propiedades:

Configuramos un rango de direcciones IP.


23

Finalizamos el proceso de instalación.

c) Instalación de un servidor VPN en GNU/Linux

Instalamos el un servidor VPN para Linux:

Ahora procedemos a configurarlo, editamos el archivo siguiente:


24

Ahora editamos las siguientes líneas del archivo:

En el mismo fichero configuramos el rango de direcciones ip:

Configuramos el archivo /etc/ppp/chap-secrets, donde agregaremos los usuarios:

Donde alvaro será el nombre de usuario, primoguijarro será el nombre del servidor, inves será

la contraseña de alvaro, y el * quiere decir que cojera todas las direcciones IP.

Reiniciamos los servicios:


25

Bien ahora tenemos bien configurado el Servidor VPN, ahora accedemos con un cliente

Windows 7, con la dirección IP 10.33.20.5.

Conexiones de Red, Crear una nueva…

Seleccionamos esta opción:

Le damos a usar mi conexión a Internet(VPN).


26

Le indicamos la IP del servidor VPN, y un nombre adecuado para la conexión:

Le añadimos el usuario y la contraseña:


27

Nos dice que se ha creado correctamente.

Ahora probamos a conectarnos, le damos a conectar:

Le introducimos nuestros datos de acceso:


28

Esperamos mientras se comprueba y registra la conexión:

Podemos ver como ya estamos conectados a Trazos-Secret:

Si le damos a propiedades podemos observar como la información que se envían por el túnel

tiene compresión:


29

d) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor

VPN.

En conexiones de red, creamos una nueva y marcamos:

Usar mi conexión a Internet (VPN).

Ponemos la IP del servidor, y le asignamos un nombre


30

Autentificamos un usuario y un administrador:

Le damos a crear, y se crea correctamente. Ahora en conexiones de red, le damos a conectar a

Conexión VPN.


31

El usuario es administrador, con Contraseña:

clave3.

Le damos a Conectar.

Se esta conectando…

Podemos ver como se ha creado el tunel VPN correctamente.

Vemos en el Servidor la conexión como se ha creado.


32

AHORA LO CONFIGURAMOS DESDE UN CLIENTE UBUNTU

En conexiones de red le damos a Añadir una Nueva Conexión VPN

Seleccionamos la opción PPTP


33

Creamos la conexión, con los siguientes datos:

Le damos a conectarnos, y podemos comprobar como nos marca con una V, como de que se

ha conectado


34

5. VPN de acceso remoto a) Utiliza la plantilla del curso virtual para configurar los parámetros. b) Configurar el router Linksys RV200 como un servidor VPN de acceso remoto. Utiliza el simulador http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm Nos creamos la autenticación con un usuario:

VPN sitio a sitio

a) Utiliza la plantilla del curso virtual para configurar los parámetros. b) En cada sitio existe un router Linksys RV042. Configurar cada sitio - router Linksys RV042 utilizando el simulador http://ui.linksys.com/files/RV042/1.2.3/home.htm

http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm

http://ui.linksys.com/files/RV042/1.2.3/home.htm


35

CONFIGURACIÓN ROUTER CENTRAL


36

CONFIGURACIÓN ROUTER SUCURSAL


37

c) Compara la configuración de dicho router Linksys inalámbrico Linksys WRT54GL con un

router de acceso inalámbrico TP-LINK, utilizando un simulador de modelo elegido con VPN:

http://www.tp-link.com/en/support/emulators/

El Router TL-MR3420 respecto al Linksys WRT54GL tiene las siguientes características:

- Permite crear conexiones 3G, indicándole el operador de la compañía:

http://www.tp-link.com/en/support/emulators/


38

Según el país que escojamos, existirán diversas compañías:

El Router Linksys WRT54GL no te permite conexiones 3G.

Este Router te permite conexiones dns dinamicas a través de dyndns, no-ip, y comexe.


39

El Router linksys permite estas proveedores:

Respecto al filtrado de MAC, el Router TP-LINK, permite añadir hosts específicos, haciéndonos

asi mas fácil el filtrado de MAC.


40

Sin embargo el Linksys es más simple y solo permite activarlo y desactivarlo:

El Router TP-LINK permite crear una zona DMZ, mediante esta opción:

El Router Linksys no permite crear zonas DMZ.

En cuanto al apartado de VPN, nos permite activar los protocolos de envió de VPN.


41

Esta característica es la misma que en el Router Linksys:

En definitiva, el Router TP-LINK, permite configurar algunos parámetros, mas que en el Router

Linksys, al igual que en este configuras parámetros que en el TP-LINK no los tiene, de modo

que son de similares características, execpto que el TP-LINK, permite crear conexiones 3G.

6. VPN sitio a sitio

a) Escenario CISCO: Instalación de VPNs IPSEC sitio a sitio con CLI entre

routers CISCO utilizando Packet Tracert Router.


42

7. SSH

a) Instalación del servidor SSH en GNU/Linux Procedemos a la instalación de openssh-server:

Comprobamos el estado del servidor:

Esta funcionando ahora vamos a ver los archivos de configuración, aunque no lo tocaremos ya

que queremos permitir la conexión a todos los equipos de la red, porque al ser una practica,

no es necesario restringir nada:

Esta situado en la ruta /etc/ssh/ssh_config


43

b) Conexión al servidor SSH mediante cliente GNU/Linux y

cliente Windows.

Instalamos en un cliente W7, el cliente SSH, en mi caso instalare el cliente PuttY:

Lo instalamos y lo ejecutamos:

Lo primero que nos saldrá es esta ventana donde tenemos que introducir la dirección IP del

servidor ssh (10.33.20.5):

Le damos a Open


44

Nos logueamos con un usuario dado de alta en el sistema, con su correspondiente contraseña:

Comprobamos como accedemos al equipo servidor, desde un cliente ssh.

AHORA DESDE UN CLIENTE UBUNTU

Instalamos el cliente ssh:


45

Ahora accedemos al servidor de la siguiente manera:

ssh usuario@ipServidor

Comprobamos que podemos acceder:

c) Escenario CISCO: Conexión segura a la administración de un router.

Tenemos el siguiente escenario ssh, de modo que vas a entrar desde el pc al Router para

administrarlo de forma segura:


46

Configuramos lo siguiente en el Router:

- Nombre

- Un dominio

- Una key rsa

Configuramos el puerto para que se transporte por ssh:

Añadimos esta línea para poder autentificarse con el usuario primoguijarro.


47

Accedemos desde el cliente, probamos la conectividad e intentamos autentificarnos


48

8. Protocolos de autenticación:

a) Escenarios CISCO: Interconexión de redes mediante protocolos

PPP,PAP ,CHAP.

Podemos ver como de R1 a R2 utilizamos el protocolo de autenticación HDLC, De R2 a R3

utilizamos el método de autenticación PAP, y de R3 y R1 utilizamos CHAP.

Vemos como funciona correctamente


49

9. Servidores de autenticación

a) Redes Inalámbricas: WPA Personal

Desactivamos le servidor DHCP:


50

Le ponemos un nombre a la SSID, y desactivamos SSID Broadcast.

Configuramos la red inalámbrica con WPA2 Personal, con el Algoritmo TKIP+AES

Con la clave:


51

Desactivamos el filtrado de MAC:

Intentamos conectarnos a la red asir01:

Podemos comprobar como se ha conectado correctamente:


52

b) SERVIDOR RADIUS:

1.- Simulación de un entorno de red con servidor RADIUS CISCO en el

Packet Tracert Router.

Tenemos la siguiente estructura, donde existe un servidor RADIUS, un cliente RADIUS que será

él un Router Linksys por el cual enviara la petición al servidor RADIUS, este autentifica, si es

correcta la configuración devuelve al Router Linksys el acceso a la red.


53

Configuración del servidor DNS

Configuración servidor HTTP


54

Configuración servidor RADIUS

Tenemos el cliente RADIUS, que será el Router Linksys, y nos crearemos 2 usuarios llamados

alvaro y primo, mediante los cuales nos autentificaremos:

Configuramos con una dirección ip estatica, y las DNS que apunten al servidor DNS


55

Configuramos el servidor DHCP, para que de direcciones IPS, con su puerta de enlace y sus

DNS.

Configuramos el servidor RADIUS, y el tipo de encriptación:


56

En la configuración del cliente, le damos a configurar una nueva conexión:

En este ejemplo como nos sabemos los datos de la red, los meteremos manualmente:


57

Le indicamos que es una autenticación WPA2 Enterprise ( La que nos deja utilizar autenticación

RADIUS):

Le metemos nuestros datos alvaro(inves):


58

Nos muestra un resumen:

Podemos comprobar cómo se ha conectado correctamente:


59

Accedemos al servidor web, para comprobar que funciona:

Por último realizamos un ping a www.asir.es para ver si resuelve bien los nombres el S.DNS

http://www.asir.es/


60

2.- Instalación de un servidor Radius bajo GNU/LINUX

(freeradius) , para autenticar conexiones que provienen de un

router de acceso Linksys WRT54GL: WPA Empresarial.

Comprobación en un escenario real. Tenemos el siguiente escenario:

El servidor radius tiene la dirección ip: 192.168.2.150

Instalamos el servidor RADIUS, en Ubuntu poniendo: #apt-get install freeradius

Accedemos a configurar los archivos mas importantes:

Agregamos los siguientes usuarios al archivo users.


61

Configuramos el cliente RADIUS, que será el Router:

Configuramos la red inalámbrica del Router:


62

Modo WPA2 Enterprise, indicamos la IP del servidor RADIUS, y la contraseña:

Configuración manual de un cliente w7, para una autenticación RADIUS:


63

Implantación de técnicas de acceso remoto. Seguridad ... · Implantación de técnicas de acceso...

Documents

Transcript of Implantación de técnicas de acceso remoto. Seguridad ... · Implantación de técnicas de acceso...