Tema 2 Implantación de mecanismos de seguridad activa · PDF fileLos comandos que...

Tema 2 – Implantación de mecanismos de seguridad

activa

Juan Luis Cano Condés Página 1

Práctica 6 – Riesgos Potenciales en los Servicios de Red

Se van a identificar vulnerabilidades de los diversos dispositivos de red y se van a asegurar

Switches y Routers. Las prácticas a y b todavía no pueden implantarse.

a) Laboratorio 2.A. CCNA Security – Asegurando Routers

Se van a asegurar routers utilizando el PDF de este laboratorio. Hay varios problemas con los

nombres, ya que se ha tenido que reiniciar los routers varias veces. Esta es la topología a

seguir.

Y este es el escenario en GNS3.

activa

Ahora se configurarán los routers y hosts.

Ahora se configuran los routers. El primero de ellos es R1, que involucra a las redes

192.168.1.0/24 y a la red 10.1.1.0/30

activa

Y ahora el router que conecta a los otros dos, R2. Conecta las redes 10.1.1.0/30 y 10.2.2.0/30

Finalmente el router R3, que engloba las redes 192.168.3.0/24 y 10.2.2.0/30

activa

Se configura el enrutamiento estático en R1, R2 y R3.

Se comprueba el enrutamiento entre el router R3 y el host 192.168.1.1

activa

Ahora se configuran contraseñas seguras en el router R1 y la configuración del Telnet.

Ahora se hace Telnet desde R2 a R1. El comando es rechazado porque no pide la contraseña.

activa

Siguiendo los pasos se configura de nuevo.

Y entra.

En R1 se ve la conexión.

activa

Si queremos ver las contraseñas desde el router R2 se ven encriptadas.

Mientras que las líneas de consola se ven perfectamente.

El nivel de la contraseña secreta de enable es 5, y las de las líneas de consola son 15. El nivel de

la contraseña secreta de enable es mayor, ya que es prioritaria para acceder a cualquier

configuración del router.

activa

Ahora se procederá a encriptar las contraseñas.

Tras ello se ve que las contraseñas están encriptadas y el nivel de privilegio, que antes era 15,

ahora es 7. Cabe destacar que el nivel de privilegio aumenta cuando el número es menor.

Ahora se configurará un banner para avisar de errores de conexión, para ello se utiliza el

comando banner motd $texto$

Se procederá a la investigación sobre la creación de usuarios. Las opciones son estas.

activa

Se va a crear un usuario sin encriptación. En el running-config puede verse el usuario con la

contraseña encriptada. La contraseña es inves12345

Ahora se crea otro usuario, esta vez con una contraseña secreta.

Tras ello se configura el login para que englobe a los usuarios creados y se accede al router

como uno de ellos.

activa

Ahora desde un equipo cliente se accede vía Telnet al router.

activa

Ahora falla la conexión.

activa

Tras ello se le ingresan las líneas al router en las que se le permite el login.

Y se realiza la conexión de nuevo desde el cliente Telnet.

activa

Se van a comprobar los parámetros del logging entre routers.

Se realiza un telnet del router R2 al R1 que falla porque el hyperterminal no está habilitado.

Si se habilita.

Se accederá al otro router vía hyperterminal.

activa

Tras ejecutar el comando service password-encryption se ve el running-config y todas las

contraseñas pueden observarse encriptadas, y todas tienen el nivel 7 de prioridad.

Tras ponerle el banner el $ se cambia por los signos ^C

activa

Se crean los usuarios user01 y user02 y se ve el running.

Se abre el puerto de consola y se entra de nuevo.

Al conectarse vía telnet falla.

activa

Se va a configurar el login seguro entre routers.

Se realiza un telnet, si fallamos al obtener nombre y contraseña da el mensaje “Login failed”.

Ahora se configura el protocolo SSH en el router.

activa

Y se ve el estado del protocolo.

Se modifican los parámetros por defecto del protocolo.

Y se conecta desde un cliente.

activa

Se habilita la contraseña y la vista para root.

Se crea una nueva vista “admin1”

Y se observan los comandos que pueden introducirse.

activa

Entre muchos otros.

Y tras ello entramos en la vista “admin1” y vemos los comandos que se pueden realizar. La

contraseña es “admin01pass”.

activa

Se crea la vista admin2.

Entramos en ella.

activa

Los comandos que faltan en comparación de ls vista “admin1” son debug y configure.

Se va a crear la vista “tech” y se le agregan algunos comandos.

Se puede ver que el comando “show ip interface brief” asignado previamente puede realizarlo,

sin embargo el comando “show ip route” no es capaz porque no se le ha asignado.

activa

Posteriormente se vuelve a la vista de “root” y se procede a configurar y proteger el IOS del

router. Los comandos no funcionan porque el IOS es externo (ya que es en laboratorio GNS3).

Se continúa utilizando el servicio NTP. Para ello se configura el router R2 modificándole la

configuración horaria.

Y en el router 1 se ve la asociación establecida mediante NTP con el router 2.

activa

Como puede verse, no existe el comando debuf ntp all. Si se ve la hora en el router R1, se ha

actualizado a la configurada en R2.

Se va a configurar el log de seguridad en el router 1.

activa

Se ve el logging del host.

Se va a proceder a asegurar el router R3 utilizando el comando auto secure, que realiza una

política por defecto para el router en cuestión, aplicándole algunos parámetros de

configuración como son las contraseñas de enable, un usuario predefinido, el protocolo SSH

entre otros.

activa

Se ve el startup.

activa

El cliente rechaza la conexión.

Por última tarea se va a crear una auditoría de seguridad usando el CCP. Para ello se habilita el

servidor HTTP y se configura el CCP.

Tras configurar el servidor se conecta con el CCP.

activa

Se guarda la configuración del router en el equipo.

activa

Y finalmente se configurará una auditoría de seguridad.

activa

Se clica en “Perform Security Audit” y se continúa.

Se seleccionan las interfaces, siendo la serial la externa y la Fast Ethernet la interna.

activa

Tras iniciarla aparece un informe.

activa

Tras darle a “Siguiente”, el programa informa de que hay que seleccionar al menos un cuadro

de diálogo.

Tras seleccionar todos los objetos se continúa.

Y aparece un cuadro para insertar una contraseña, que será la contraseña secreta de enable,

cisco12345.

activa

Se selecciona el nivel de login a errores.

Hace un resumen.

activa

Se aplican los comandos tras clicar en “Deliver”.

activa

b) Laboratorio 6.A. CCNA Security – Asegurando Switches

Se va a realizar el laboratorio 6.A del CCNA Security, en el que se va a mplantar seguridad en

dos Switches en el programa Cisco Packet Tracert

activa

Tras ponerle las direcciones al router y a los equipos, se procede a realizarlo con los switches.

Ahora se configuran las líneas del router. (En el packet tracert no permite activar o desactivar el

servicio HTTP en el router)

activa

Se realiza una comunicación entre los equipos y se procede a establecer SSH en los switches.

activa

No permite generar la clave para realizar el SSH.

Pero si se introduce el comando “#crypto key generate rsa” aparecerá un cuadro de diálogo para

configurarlo, por lo que se le asignarán los 1024 bytes.

Se comprueba que SSH está habilitado, teniendo la versión 1.99, siendo 3 intentos los

permitidos y teniendo un tiempo de salida de 120 segundos (2 minutos). Se cambia la

configuración de SSH y se comprueba de nuevo.

activa

Pero no se puede acceder desde un cliente, ya que en el packet tracert no se pueden realizar

conexiones SSH desde los clientes (el comando no funciona)

Se va implantar el modo seguro entre los dos switches utilizando el “mode trunk”

activa

Se configura el modo tronco entre los dos switches, siendo primero el switch 1.

Se habilita el modo tronco en el switch 2 y se le asigna la VLAN Nativa en 99 al switch 2.

Se comprueba que ha habilitado la VLAN nativa en Sjl_2.

activa

No deja introducir el comando para desactivar la negociación.

Se habilita la tormenta de boradcast, pero no deja comprobarlo.

Se aseguran los puertos.

activa

Aunque se ha confiigurado el bpduguard no aparece.

Se observa la dirección MAC de la interfaz FastEthernet 0/1

Se habilita el puerto en la interfaz 0/5 y se le asigna la dirección MAC de la fast0/1

activa

Se observa la seguridad del puerto y se comunica con un equipo.

activa

Se apaga la interfaz y se le aplica la dirección MAC de la interfaz 0/1

Se sigue realizando la comunicación con el ordenador.

Se ve la seguridad del puerto.

activa

Se le quita la MAC añadida.

Se deshabilitan los puertos del switch no utilizados.

activa

Se va a configurar el PVLAN, la VLAN protegida, no deja introducir el comando.

Se configura el SPAN Monitor. Tampoco se puede configurar.

activa

c) Vulnerabilidades del Protocolo IP en la Capa de Transporte y de

Aplicación

Se van a reconocer vulnerabilidades del protocolo IP en la Capa de Transporte y en la de

Aplicación, además de cómo evitar esos peligros.

Capa de transporte

La principal tarea de la Capa de Transporte es proporcionar la comunicación entre un programa

de aplicación y otro.

Las principales vulnerabilidades están asociadas a la autenticación de integración y

autenticación de confidencialidad. Estos términos se relacionan con el acceso a los

protocolos de comunicación entre capas, permitiendo la denegación o manipulación de ellos.

La mejor protección es utilizar el protocolo TCP que es más confiable que UDP, a pesar de que

el paquete tarde más en manejarse.

Capa de aplicación

Hay varios puntos críticos en las aplicaciones, como pueden ser:

1: Se establecen las deficiencias del servicio de nombres de dominio. en el momento

que una persona solicita una conexión a un servicio determinado, se solicita una

dirección IP y un nombre de dominio, se envía un paquete UDP (Protocolo de

Comunicación el cual envía los datos del usuario) a un servidor DNS (Dominio de

Nombre de Servicio).

activa

2: Está dado por el servicio Telnet, el cual se encarga de autentificar la solicitud de

usuario, de nombre y contraseña que se trasmiten por la red, tanto por el canal

de datos como por el canal de comandos.

3: Está dado por File Transfer Protocol (FTP), el cual al igual que el servicio Telnet, se

encarga de autentificar. La diferencia se encuentra en que el FTP lo hace más

vulnerable ya que es de carácter anónimo.

4: Está dado por el protocolo HTTP, el cual es responsable del servicio World Wide

Web. La principal vulnerabilidad de este protocolo, está asociado a las deficiencias de

programación que puede presentar un link determinado [7], lo cual puede poner

en serio riesgo el equipo que soporta este link, es decir, el computador servidor.

El principal problema viene dado porque hay que diseñar mecanismos de seguridad específico

para cada aplicación, siendo muy complicado implantar seguridad. Hasta ahora, lo mejor es

implantar mecanismos de seguridad específicos e intentar unificarlos, además de siempre

estar al día sobre actualizaciones de seguridad.

Tema 2 Implantación de mecanismos de seguridad activa · PDF fileLos comandos que...

Documents

Transcript of Tema 2 Implantación de mecanismos de seguridad activa · PDF fileLos comandos que...

El Comando DEBUG

CCNA ACL.pdf

Debug utilitario dos

Como Hacer Debug en Un Smartform

9 Clase Ensamblador Debug e Instrucciones Iniciales

Tutorial assembler en Debug - Rocio Balbin Lazo

El programa Debug. DEBUG “Bug" significa fallo, defecto en un programa; "debug" significa depurar (escrutar y eliminar fallos). La palabra ha quedado.

Dell Command | Configure · Introducción a Dell Command | Configure 4.3 Dell Command | Configure es un paquete de software que ofrece capacidades sencillas de configuración para

Codigo Máquina Debug

Debug no Eclipse - Instituto de Computaçãovanini/mc302/Aula Debug.pdf · Debug no Eclipse MC302 EF Programação Orientada a Objetos PED: Lucas Augusto Carvalho lucas.carvalho@ic.unicamp.br

Trabajo de Investigacion Del Debug

Comandos CCNA 1 y CCNA 2 V5 RS

59862353 Como Hacer Debug en Un Smartform

Practica 2. Debug. Exe

System RPL Con Debug 4x 18-01-2012

Tutorial Debug

Configure su puesto de trabajo.pdf

Semestre1 Ccna

CCNA Discovery

Practivas Debug