Implantación de técnicas de acceso remoto. Seguridad ... · Implantación de técnicas de acceso...
-
Upload
vuongquynh -
Category
Documents
-
view
221 -
download
2
Transcript of Implantación de técnicas de acceso remoto. Seguridad ... · Implantación de técnicas de acceso...
2012
Álvaro Primo Guijarro
Practicas UD03
12/01/2012
Implantación de técnicas de acceso remoto. Seguridad perimetral
Implantación de técnicas de acceso remoto. Seguridad perimetral
2
Contenido 1.NAT: ............................................................................................................................................ 5
a) Comprobación de la seguridad perimetral a través de un NAT (Laboratorio virtual) .......... 5
2. Router frontera: ........................................................................................................................ 8
a) Planteamiento escenario CISCO Packet Tracert: esquema. .................................................. 8
b) Realiza una comparativa entre los routers frontera atendiendo a las opciones de
seguridad perimetral (NAT,Firewall,DMZ,…etc) ....................................................................... 9
Router D-Link DI-604 ............................................................................................................. 9
Router LINKSYS WRT54L ...................................................................................................... 10
Router 300Mbps Multi-Function Wireless N Router .......................................................... 12
3. DMZ ......................................................................................................................................... 13
a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas. ......................... 13
b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas.................... 14
4. VPN sobre red local ................................................................................................................. 15
a) Instalación de un servidor VPN en Windows XP. ................................................................ 15
b) Instalación de un servidor VPN en Windows 2003/2008. .................................................. 19
c) Instalación de un servidor VPN en GNU/Linux .................................................................... 23
d) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN. ...................... 29
5. VPN de acceso remoto ............................................................................................................ 34
6. VPN sitio a sitio ........................................................................................................................ 41
a) Escenario CISCO: Instalación de VPNs IPSEC sitio a sitio con CLI entre .............................. 41
routers CISCO utilizando Packet Tracert Router. .................................................................... 41
7. SSH ........................................................................................................................................... 42
a) Instalación del servidor SSH en GNU/Linux......................................................................... 42
b) Conexión al servidor SSH mediante cliente GNU/Linux y ................................................... 43
cliente Windows. ..................................................................................................................... 43
c) Escenario CISCO: Conexión segura a la administración de un router. ................................ 45
8. Protocolos de autenticación: .................................................................................................. 48
a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP ,CHAP. ............ 48
9. Servidores de autenticación .................................................................................................... 49
a) Redes Inalámbricas: WPA Personal ......................................................................................... 49
b) SERVIDOR RADIUS: .............................................................................................................. 52
1.- Simulación de un entorno de red con servidor RADIUS CISCO en el ............................. 52
Implantación de técnicas de acceso remoto. Seguridad perimetral
3
Packet Tracert Router. ........................................................................................................ 52
2.- Instalación de un servidor Radius bajo GNU/LINUX (freeradius) , para autenticar
conexiones que provienen de un router de acceso Linksys WRT54GL: WPA Empresarial.
Comprobación en un escenario real. ....................................................................................... 60
Implantación de técnicas de acceso remoto. Seguridad perimetral
5
1.NAT:
a) Comprobación de la seguridad perimetral a través de un NAT (Laboratorio
virtual)
Configuramos la maquina virtual en modo NAT, para ello le damos a Edit / Virtual Network
Editor.
Editamos el modo NAT con las IP´S que queramos.
El escenario propuesto será el siguiente:
Implantación de técnicas de acceso remoto. Seguridad perimetral
6
El cliente Molinux está en VMnet 8 (NAT).
El Cliente XP, actúa como NAT:
Implantación de técnicas de acceso remoto. Seguridad perimetral
7
El cliente Ubuntu que esta en modo Bridge.
La practica será la siguiente desde el cliente Molinux en VMnet8 (NAT) realizaremos un ping al
cliente Bridge(Ubuntu), de modo que nos tiene que dejar:
Implantación de técnicas de acceso remoto. Seguridad perimetral
8
Sin embargo, si realizamos un ping desde el Ubuntu al Molinux, no nos debe dejar, esto quiere
decir que funciona correctamente la seguridad perimetral con NAT.
2. Router frontera:
a) Planteamiento escenario CISCO Packet Tracert: esquema.
En este caso tenemos 2 Routers, uno que será el que le proporcione servicio a la empresa(
Router Frontera), y otro Router que será el del ISP, que es el que proporciona internet.
Implantación de técnicas de acceso remoto. Seguridad perimetral
9
b) Realiza una comparativa entre los routers frontera atendiendo a las
opciones de seguridad perimetral (NAT,Firewall,DMZ,…etc)
Router D-Link DI-604
Firewall
Permite Configurar el origen y el destino junto con las direcciones IPS, de cada uno. Puede ser
de una LAN o una WAN, además incluye para indicarle en que momento queremos que entren
a nuestro Router.
Implantación de técnicas de acceso remoto. Seguridad perimetral
10
DMZ
Configuramos una zona desmilitarizada con la ip 192.168.0.252.
Este modelo te permite realizar pocas configuraciones respecto al DMZ
Router LINKSYS WRT54L
Firewall
Este modelo permite bloquear las respuestas anónimas de internet, un filtro multicast,etc…
Implantación de técnicas de acceso remoto. Seguridad perimetral
11
VPN
Permite aceptar un túnel VPN.
Internet Access
Se pueden crear listas de acceso de PCS, a la red.
Implantación de técnicas de acceso remoto. Seguridad perimetral
12
Router 300Mbps Multi-Function Wireless N Router
SECURITY
Permite utilizar el SPI Firewall, configurar algunos parámetros de VPN, y ALG.
DMZ
Este sin embargo te permite asignarle el rango que queramos a la zona desmilitarizada.
Implantación de técnicas de acceso remoto. Seguridad perimetral
13
ACL
Permite crear listas de acceso, a los host de la red.
3. DMZ
a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert):
esquemas. DMZ Basico:
Implantación de técnicas de acceso remoto. Seguridad perimetral
14
DMZ Complejo:
b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual):
esquemas.
DMZ Simple:
Implantación de técnicas de acceso remoto. Seguridad perimetral
15
DMZ Complejo:
Son los mismos esquemas que los anteriores lo que pasa que los routers son equipos con dos
tarjetas, redireccionando.
4. VPN sobre red local
a) Instalación de un servidor VPN en Windows XP.
En conexiones de red, creamos una nueva conexión de red.
Seleccionamos una Conexión Avanzada.
Implantación de técnicas de acceso remoto. Seguridad perimetral
16
Marcamos la opción de Aceptar conexiones entrantes
Le damos a siguiente
Implantación de técnicas de acceso remoto. Seguridad perimetral
17
Permitimos las conexiones privadas Virtuales (VPN).
Permitimos al usuario administrador, que acceda a esta VPN.
Implantación de técnicas de acceso remoto. Seguridad perimetral
18
Seleccionamos el protocolo TCP/IP, y pinchamos en propiedades.
Ahora ponemos un rango de direcciones IP.
Finalizamos el proceso de creación del servidor VPN, veremos algo asi:
Implantación de técnicas de acceso remoto. Seguridad perimetral
19
b) Instalación de un servidor VPN en Windows 2003/2008.
Al igual que en Windows XP, creamos una nueva conexión de red.
Le damos a Configurar una conexión avanzada:
Aceptamos las conexiones entrantes:
Implantación de técnicas de acceso remoto. Seguridad perimetral
20
No marcamos nada, le damos a siguiente:
Implantación de técnicas de acceso remoto. Seguridad perimetral
21
Como queremos hacer VPN, permitimos conexiones privadas virtual.
Autorizamos al usuario Administrador.
Implantación de técnicas de acceso remoto. Seguridad perimetral
22
Seleccionamos el Protocolo TCP/IP, propiedades:
Configuramos un rango de direcciones IP.
Implantación de técnicas de acceso remoto. Seguridad perimetral
23
Finalizamos el proceso de instalación.
c) Instalación de un servidor VPN en GNU/Linux
Instalamos el un servidor VPN para Linux:
Ahora procedemos a configurarlo, editamos el archivo siguiente:
Implantación de técnicas de acceso remoto. Seguridad perimetral
24
Ahora editamos las siguientes líneas del archivo:
En el mismo fichero configuramos el rango de direcciones ip:
Configuramos el archivo /etc/ppp/chap-secrets, donde agregaremos los usuarios:
Donde alvaro será el nombre de usuario, primoguijarro será el nombre del servidor, inves será
la contraseña de alvaro, y el * quiere decir que cojera todas las direcciones IP.
Reiniciamos los servicios:
Implantación de técnicas de acceso remoto. Seguridad perimetral
25
Bien ahora tenemos bien configurado el Servidor VPN, ahora accedemos con un cliente
Windows 7, con la dirección IP 10.33.20.5.
Conexiones de Red, Crear una nueva…
Seleccionamos esta opción:
Le damos a usar mi conexión a Internet(VPN).
Implantación de técnicas de acceso remoto. Seguridad perimetral
26
Le indicamos la IP del servidor VPN, y un nombre adecuado para la conexión:
Le añadimos el usuario y la contraseña:
Implantación de técnicas de acceso remoto. Seguridad perimetral
27
Nos dice que se ha creado correctamente.
Ahora probamos a conectarnos, le damos a conectar:
Le introducimos nuestros datos de acceso:
Implantación de técnicas de acceso remoto. Seguridad perimetral
28
Esperamos mientras se comprueba y registra la conexión:
Podemos ver como ya estamos conectados a Trazos-Secret:
Si le damos a propiedades podemos observar como la información que se envían por el túnel
tiene compresión:
Implantación de técnicas de acceso remoto. Seguridad perimetral
29
d) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor
VPN.
En conexiones de red, creamos una nueva y marcamos:
Usar mi conexión a Internet (VPN).
Ponemos la IP del servidor, y le asignamos un nombre
Implantación de técnicas de acceso remoto. Seguridad perimetral
30
Autentificamos un usuario y un administrador:
Le damos a crear, y se crea correctamente. Ahora en conexiones de red, le damos a conectar a
Conexión VPN.
Implantación de técnicas de acceso remoto. Seguridad perimetral
31
El usuario es administrador, con Contraseña:
clave3.
Le damos a Conectar.
Se esta conectando…
Podemos ver como se ha creado el tunel VPN correctamente.
Vemos en el Servidor la conexión como se ha creado.
Implantación de técnicas de acceso remoto. Seguridad perimetral
32
AHORA LO CONFIGURAMOS DESDE UN CLIENTE UBUNTU
En conexiones de red le damos a Añadir una Nueva Conexión VPN
Seleccionamos la opción PPTP
Implantación de técnicas de acceso remoto. Seguridad perimetral
33
Creamos la conexión, con los siguientes datos:
Le damos a conectarnos, y podemos comprobar como nos marca con una V, como de que se
ha conectado
Implantación de técnicas de acceso remoto. Seguridad perimetral
34
5. VPN de acceso remoto a) Utiliza la plantilla del curso virtual para configurar los parámetros. b) Configurar el router Linksys RV200 como un servidor VPN de acceso remoto. Utiliza el simulador http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm Nos creamos la autenticación con un usuario:
VPN sitio a sitio
a) Utiliza la plantilla del curso virtual para configurar los parámetros. b) En cada sitio existe un router Linksys RV042. Configurar cada sitio - router Linksys RV042 utilizando el simulador http://ui.linksys.com/files/RV042/1.2.3/home.htm
Implantación de técnicas de acceso remoto. Seguridad perimetral
37
c) Compara la configuración de dicho router Linksys inalámbrico Linksys WRT54GL con un
router de acceso inalámbrico TP-LINK, utilizando un simulador de modelo elegido con VPN:
http://www.tp-link.com/en/support/emulators/
El Router TL-MR3420 respecto al Linksys WRT54GL tiene las siguientes características:
- Permite crear conexiones 3G, indicándole el operador de la compañía:
Implantación de técnicas de acceso remoto. Seguridad perimetral
38
Según el país que escojamos, existirán diversas compañías:
El Router Linksys WRT54GL no te permite conexiones 3G.
Este Router te permite conexiones dns dinamicas a través de dyndns, no-ip, y comexe.
Implantación de técnicas de acceso remoto. Seguridad perimetral
39
El Router linksys permite estas proveedores:
Respecto al filtrado de MAC, el Router TP-LINK, permite añadir hosts específicos, haciéndonos
asi mas fácil el filtrado de MAC.
Implantación de técnicas de acceso remoto. Seguridad perimetral
40
Sin embargo el Linksys es más simple y solo permite activarlo y desactivarlo:
El Router TP-LINK permite crear una zona DMZ, mediante esta opción:
El Router Linksys no permite crear zonas DMZ.
En cuanto al apartado de VPN, nos permite activar los protocolos de envió de VPN.
Implantación de técnicas de acceso remoto. Seguridad perimetral
41
Esta característica es la misma que en el Router Linksys:
En definitiva, el Router TP-LINK, permite configurar algunos parámetros, mas que en el Router
Linksys, al igual que en este configuras parámetros que en el TP-LINK no los tiene, de modo
que son de similares características, execpto que el TP-LINK, permite crear conexiones 3G.
6. VPN sitio a sitio
a) Escenario CISCO: Instalación de VPNs IPSEC sitio a sitio con CLI entre
routers CISCO utilizando Packet Tracert Router.
Implantación de técnicas de acceso remoto. Seguridad perimetral
42
7. SSH
a) Instalación del servidor SSH en GNU/Linux Procedemos a la instalación de openssh-server:
Comprobamos el estado del servidor:
Esta funcionando ahora vamos a ver los archivos de configuración, aunque no lo tocaremos ya
que queremos permitir la conexión a todos los equipos de la red, porque al ser una practica,
no es necesario restringir nada:
Esta situado en la ruta /etc/ssh/ssh_config
Implantación de técnicas de acceso remoto. Seguridad perimetral
43
b) Conexión al servidor SSH mediante cliente GNU/Linux y
cliente Windows.
Instalamos en un cliente W7, el cliente SSH, en mi caso instalare el cliente PuttY:
Lo instalamos y lo ejecutamos:
Lo primero que nos saldrá es esta ventana donde tenemos que introducir la dirección IP del
servidor ssh (10.33.20.5):
Le damos a Open
Implantación de técnicas de acceso remoto. Seguridad perimetral
44
Nos logueamos con un usuario dado de alta en el sistema, con su correspondiente contraseña:
Comprobamos como accedemos al equipo servidor, desde un cliente ssh.
AHORA DESDE UN CLIENTE UBUNTU
Instalamos el cliente ssh:
Implantación de técnicas de acceso remoto. Seguridad perimetral
45
Ahora accedemos al servidor de la siguiente manera:
ssh usuario@ipServidor
Comprobamos que podemos acceder:
c) Escenario CISCO: Conexión segura a la administración de un router.
Tenemos el siguiente escenario ssh, de modo que vas a entrar desde el pc al Router para
administrarlo de forma segura:
Implantación de técnicas de acceso remoto. Seguridad perimetral
46
Configuramos lo siguiente en el Router:
- Nombre
- Un dominio
- Una key rsa
Configuramos el puerto para que se transporte por ssh:
Añadimos esta línea para poder autentificarse con el usuario primoguijarro.
Implantación de técnicas de acceso remoto. Seguridad perimetral
47
Accedemos desde el cliente, probamos la conectividad e intentamos autentificarnos
Implantación de técnicas de acceso remoto. Seguridad perimetral
48
8. Protocolos de autenticación:
a) Escenarios CISCO: Interconexión de redes mediante protocolos
PPP,PAP ,CHAP.
Podemos ver como de R1 a R2 utilizamos el protocolo de autenticación HDLC, De R2 a R3
utilizamos el método de autenticación PAP, y de R3 y R1 utilizamos CHAP.
Vemos como funciona correctamente
Implantación de técnicas de acceso remoto. Seguridad perimetral
49
9. Servidores de autenticación
a) Redes Inalámbricas: WPA Personal
Desactivamos le servidor DHCP:
Implantación de técnicas de acceso remoto. Seguridad perimetral
50
Le ponemos un nombre a la SSID, y desactivamos SSID Broadcast.
Configuramos la red inalámbrica con WPA2 Personal, con el Algoritmo TKIP+AES
Con la clave:
Implantación de técnicas de acceso remoto. Seguridad perimetral
51
Desactivamos el filtrado de MAC:
Intentamos conectarnos a la red asir01:
Podemos comprobar como se ha conectado correctamente:
Implantación de técnicas de acceso remoto. Seguridad perimetral
52
b) SERVIDOR RADIUS:
1.- Simulación de un entorno de red con servidor RADIUS CISCO en el
Packet Tracert Router.
Tenemos la siguiente estructura, donde existe un servidor RADIUS, un cliente RADIUS que será
él un Router Linksys por el cual enviara la petición al servidor RADIUS, este autentifica, si es
correcta la configuración devuelve al Router Linksys el acceso a la red.
Implantación de técnicas de acceso remoto. Seguridad perimetral
53
Configuración del servidor DNS
Configuración servidor HTTP
Implantación de técnicas de acceso remoto. Seguridad perimetral
54
Configuración servidor RADIUS
Tenemos el cliente RADIUS, que será el Router Linksys, y nos crearemos 2 usuarios llamados
alvaro y primo, mediante los cuales nos autentificaremos:
Configuramos con una dirección ip estatica, y las DNS que apunten al servidor DNS
Implantación de técnicas de acceso remoto. Seguridad perimetral
55
Configuramos el servidor DHCP, para que de direcciones IPS, con su puerta de enlace y sus
DNS.
Configuramos el servidor RADIUS, y el tipo de encriptación:
Implantación de técnicas de acceso remoto. Seguridad perimetral
56
En la configuración del cliente, le damos a configurar una nueva conexión:
En este ejemplo como nos sabemos los datos de la red, los meteremos manualmente:
Implantación de técnicas de acceso remoto. Seguridad perimetral
57
Le indicamos que es una autenticación WPA2 Enterprise ( La que nos deja utilizar autenticación
RADIUS):
Le metemos nuestros datos alvaro(inves):
Implantación de técnicas de acceso remoto. Seguridad perimetral
58
Nos muestra un resumen:
Podemos comprobar cómo se ha conectado correctamente:
Implantación de técnicas de acceso remoto. Seguridad perimetral
59
Accedemos al servidor web, para comprobar que funciona:
Por último realizamos un ping a www.asir.es para ver si resuelve bien los nombres el S.DNS
Implantación de técnicas de acceso remoto. Seguridad perimetral
60
2.- Instalación de un servidor Radius bajo GNU/LINUX
(freeradius) , para autenticar conexiones que provienen de un
router de acceso Linksys WRT54GL: WPA Empresarial.
Comprobación en un escenario real. Tenemos el siguiente escenario:
El servidor radius tiene la dirección ip: 192.168.2.150
Instalamos el servidor RADIUS, en Ubuntu poniendo: #apt-get install freeradius
Accedemos a configurar los archivos mas importantes:
Agregamos los siguientes usuarios al archivo users.
Implantación de técnicas de acceso remoto. Seguridad perimetral
61
Configuramos el cliente RADIUS, que será el Router:
Configuramos la red inalámbrica del Router:
Implantación de técnicas de acceso remoto. Seguridad perimetral
62
Modo WPA2 Enterprise, indicamos la IP del servidor RADIUS, y la contraseña:
Configuración manual de un cliente w7, para una autenticación RADIUS: