SEGURIDAD Y ALTADISPONIBILIDAD

Tema 5. Seguridad en Redes Corporativas

PrácticasEn las siguientes prácticas se pide documentar todo el proceso para realizarlas, así como las pruebas necesarias.Deberá entregarse un documento en formato Word o Pdf con las soluciones documentadas antes del día 30 de enero de 2014.

1. A continuación se lista una serie de enlaces que permiten realizar un test de la velocidad de acceso a Internet, de modo que un resultado muy inferior

al contratado podría ser un síntoma de tener ocupantes no deseados en nuestra máquina. ¿Son las velocidades de subida y bajada las esperadas?

http://www.adsl4ever.com/test/

http://www.testdevelocidad.es/

No se ha podido realizar la prueba debido al proxy

http://www.internautas.org/testvelocidad/

http://www.adslayuda.com/test-de-velocidad/

Recuerda que el ancho de banda del aula es compartido por todos los PC del mismo. Realiza el test de velocidad de manera individual (sin que nadie en el aula lo realice o esté haciendo uso de Internet).

2. Configura de forma segura un router Linksys WRT54GL mediante su web para simulación de configuración online:

http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm

Cambiamos el nombre al router y la dirección IP, además le configuramos con la hora de España y desactivamos el servidor DHCP

Ahora configuramos wifi de manera que cambiamos el nombre de la red wireless (SSID)

Activamos la seguridad wireless con el algoritmo AES y la encriptación WPA2 Personal, además la clave tendrá 20 dígitos que es lo más adecuado para que WPA2 sea efectivo

En Windows, abrimos la consola de comandos y escribimos ipconfig /all para ver la dirección MAC de nuestro ordenador e incluirla en la lista de dispositivos a los que se permite la conexión. Pongamos el caso de que en lugar de ser un adaptador Ethernet fuera un adaptador wi-fi.

La siguiente ventana la dejamos como está

Dejamos el Firewall activado

Aquí tampoco hacemos nada

En el caso de que tuviéramos que redirigir puertos a nuestro ordenador porque tenemos por ejemplo un servidor web y queremos que sea accesible

desde el exterior de nuestra red, la configuración de los puertos la haríamos aquí

Si quisiéramos que algún equipo estuviera en la zona desmilitarizada le pondríamos aquí

En esta ventana añadimos el acceso web por HTTPS

¿Es posible configurar todos los aspectos analizados en el tema?

Creo que se han configurado los aspectos más importantes en cuanto a seguridad wireless

3. Busca información sobre la pintura antiwifi de EM-SEC Technologies y descubre su principio de funcionamiento. ¿Crees que podría ser útil y seguro? ¿Cómo se implementaría?

Puedes leer sobre dicha pintura en: http://www.publico.es/ciencias/273942/una-pinturaprotege-a-los-navegantes-de-los-intrusos/version-imprimible

Si en realidad funciona podría ser bastante útil por ejemplo en los hospitales donde las ondas de baja frecuencia pueden interferir con determinados aparatos médicos hospitalarios. Su implementación consistiría en pintar las paredes de las salas donde estén estos equipos con esta pintura.

4. Realiza el siguiente test sobre phishing de Verisign disponible en https://www.phish-nophish.com/es con consejos útiles para reconocer páginas web falsas y realiza un resumen con recomendaciones útiles.

¿Crees ahora que solo garantizando que la web es https se trata de una web confiable?

Una web no es confiable únicamente porque en la URL ponga https ya que hay imitaciones de las páginas originales muy buenas que a veces se detectan por fallos en el texto o el formato, pero que en caso de navegar con premura casi no nos daríamos cuenta de ello.

5. Establece una comunicación HTTP entre dos máquinas bajo un túnel SSH previamente establecido. Primero realiza la comunicación en HTTP y monitorízala con WireShark. Después establécela bajo el túnel SSH y monitorízala con WireShark. Compara los resultados.

Realizamos una conexión desde el explorador de W715 a la máquina Ubuntu15 que tiene a Webalizer como página principal del servidor web

Al hacer la captura del trafico con Wireshark, podemos ver que se ven todos los datos de la conexión, cosa que no es muy segura

Para asegurar la conexión http, vamos a crear un tunel ssh con la opción de Putty SSH-->Tunnels

Nos conectamos a la máquina Ubuntu15 por ssh

Ahora que tenemos el tunel creado, volvemos a conectarnos por http a la máquina Ubuntu15 y a su página principal de Webalizer

Como podemos ver, ya no se captura ningún dato con Wireshark, por lo que el túnel ssh es realmente efectivo en cuanto a seguridad

6. Crea una VPN del tipo acceso remoto entre dos equipos. El cliente VPN estará en la red externa y el servidor VPN en la red interna. El servidor VPN será Windows Server. Aplicarlo al uso por parte del usuario remoto de cualquier aplicación/servicio de la red interna.

Instalamos en el Server 2008 el servidor de enrutamiento y acceso remoto

En la siguiente ventana seleccionamos Configuración personalizada

Elegimos Acceso a VPN

Damos a finalizar…

… iniciamos el servicio de enrutamiento y acceso remoto

En usuarios y equipos de Active Directory, creamos el usuario manu

En propiedades de manu, vamos a Marcado y en Permiso de acceso a redes marcamos Permitir acceso, damos a Aplicar y aceptamos

Al crear una nueva conexión entrante, lo primero que se nos pregunta es ¿Quién puede conectarse a este equipo? Seleccionamos a los usuarios Administrador y manu

Por defecto se conectarán a través de Internet

Pinchamos en Propiedades del Protocolo de Internet versión 4

Asignamos un rango de direcciones desde 10.0.15.100 hasta 10.0.15.150

El sistema nos informa que el nombre del equipo es WS2008NAT15

Vamos a Windows 7 y configuramos una nueva conexión de red.Seleccionamos Conectarse a un área de trabajo

En la dirección de Internet ponemos el nombre del servidor VPN

Introducimos el usuario manu que creamos anteriormente en el servidor

Efectivamente, nos hemos conectado

Poniendo ipconfig /all en la consola de Windows 7, vemos que la IP que nos ha dado el servidor VPN es la 10.0.15.102, que está dentro del rango de direcciones que habíamos configurado en el servidor

7. Crea una VPN del tipo acceso remoto usando Zentyal. En este caso Zentyal hará también las funciones de router software.

Se puede consultar la web http://doc.zentyal.org/es/vpn.html

Creamos la ruta a la IP de Carlos 10.0.14.0/24

Hacemos un ping desde Zentyal15 a la máquina de Carlos

Vemos que tenemos el servicio VPN corriendo

Vemos los certificados que tenemos en el servidor

Habilitamos el servidor VPN

Comprobamos la configuración del servidor VPN

Por último nos aseguramos que el módulo VPN está activado

Parte cliente desde máquina Windows 7

Como cliente desde W715, nos conectamos via WinSCP a la máquina de Carlos que es el servidor VPN de Zentyal

Hemos descargado el paquete de certificados del servidor VPN en Zentyal de Carlos

Desempaquetamos los certificados en el directorio config de la carpeta OpenVPN

Realizamos la conexión VPN a la máquina Zentyal

Vemos la IP que nos ha asignado el servidor VPN

Hacemos ping a una IP de la red privada virtual y aunque nos aparezca que es un destino inaccesible, los paquetes han sido recibidos

Parte de la práctica correspondiente al cliente de Carlos

Descarga por parte de Carlos del paquete de certificados del servidor VPN Zentyal15 de Manuel

Desempaquetado de certificados en la carpeta config de OpenVPN

Conexión de Carlos a Zentyal15

Dirección IP asignada por el servidor VPN de Zentyal15

Ping desde la máquina Windows de Carlos al servidor VPN de Manuel en Zentyal15

8. Crea una VPN del tipo site-to-site usando Zentyal, tal y como se muestra en la figura.

Se puede consultar la web http://doc.zentyal.org/es/vpn.html

Nota: para esta práctica será necesario coordinarse con un compañero si se utilizan los equipos del aula. En el caso de los portátiles habrá que utilizar dos instancias de VirtualBox y/o VMware para simular las dos redes internas.

Creamos un cliente en Zentyal15

Subimos el paquete del servidor Zentyal de Carlos

Habilitamos el cliente de Zentyal15

En la consola hacemos un ifconfig para ver si el servidor VPN nos ha dado IP

Hacemos ping al servidor VPN de Carlos y vemos que estamos conectados

Parte ServidorAñadimos un servidor VPN a Zentyal15

Habilitamos el servidor VPN

Configuramos el servidor VPN de Zentyal15

Descargamos el paquete del cliente para enviárselo a Carlos

Enviamos el paquete de configuración a Carlos en 10.0.14.1

La parte cliente de Carlos es la siguiente

Carlos vuelve a descargar con WinSCP en Windows 7 el paquete de configuración.

Una vez lo ha descargado lo desempaqueta en la carpeta OpenVPN

Desde Windows 7, se realiza la conexión al servidor VPN de Zentyal15 en la IP 10.0.15.6

Carlos hace un ipconfig en la consola de Windows y aparece la IP asignada por el servidor VPN

Desde Windows 7, Carlos hace ping al servidor VPN de Manu en Zentyal 15 con la dirección VPN de este, produciéndose la conexión

9. Instalar OpenVPN Access Server en Ubuntu o en Debian. Es una solución VPN completa sobre SSL que integra las capacidades del servidor OpenVPN, gestión empresarial, interfaz de usuario para la conexión

OpenVPN simplificada y paquetes software para clientes OpenVPN en Windows, MAC y Linux.- Descargar el paquete de 32 bits según se haga para Ubuntu o para Debian:sudo wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Ubuntu12.i386.debwget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Debian6.i386.debo para 64 bits.wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Ubuntu12.amd_64.debwget http://swupdate.openvpn.org/as/openvpn-as-1.8.5-Debian6.amd_64.deb

- Instalar el paquete que corresponda:dpkg -i openvpn-as-1.8.5-Ubuntu12.i386.debdpkg –i openvpn-as-1.8.5-Debian6.i386.debo para 64 bits.dpkg -i openvpn-as-1.8.5-Ubuntu12.amd_64.debdpkg –i openvpn-as-1.8.5-Debian6.amd_64.deb

- Crear una clave para el usuario openvpn:sudo passwd openvpn

- Configurar el software de administración y cliente abriendo las siguientes URIs:Admin UI: https://YourIpAddress:943/adminClient UI: https://YourIPAddress:943/

- Desde la interfaz del cliente se puede acceder al servidor. Se introduce el usuario openvpn y la password creada anteriormente. Aparecerá una ventana como ésta:

Se descarga el fichero de configuración del cliente. Una vez descargado, se instala openvpn (si no lo está ya) y se realiza la conexión al servidor mediante el siguiente comando:

sudo openvpn --config client.ovpn

En cualquier momento se pueden hacer cambios de configuración en el servidor accediendo a través del interfaz de usuario Admin.

Se puede acceder al servidor OpenVPN AS desde un Smartphone. Se puede descargar la app desde la página oficial de Androidhttps://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=eso desde la de IOS.https://itunes.apple.com/es/app/openvpn-connect/id590379981?mt=8

Descargamos OpenVPN en Ubuntu15

Instalamos con dpkg

Creamos contraseña para openvpn

En el navegador de Windows715, introducimos la dirección:https://10.0.15.3:943. Nos aparecerá un mensaje y responderemos que vaya a ese sitio

Introducimos el usuario openvpn y la contraseña que le dimos en Ubuntu15

Ahora hacemos click en click here to continue para descargar el paquete que nos permitirá conectarnos al servidor VPN

Damos a guardar

Ahora hacemos doble click en el archivo de conexión

Tras identificarnos con el usuario openvpn, ya estamos conectados