Laboratorio 5 Redes de Comunicaciones II.pdf

Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 1

Redes de Comunicaciones II

Laboratorio 5 Redes de Comunicaciones II

Daz, Jos

[email protected]

Universidad Distrital Francisco Jos de Caldas

Resumen El siguiente documento es un informe de una prctica de laboratorio sobre la simulacin e

implementacin de una red LAN, con el objetivo de analizar

el concepto de VLSM para la creacin de subredes y el

servicio DHCP para cada una de estas subredes, adems de

implementar mecanismos de seguridad que restrinjan el

acceso a los routers de una red.

ndicedeTrminos Simulacin,RedLAN,VLSM,

subred, DHCP, seguridad.

INTRODUCCIN

La instalacin de redes LAN, redes de rea local, es de vital

importancia para el funcionamiento interno de las

organizaciones, as como su distribucin y la interconexin

que se da entre las mismas ya que permite que ciertas

dependencias se comuniquen con otras. Usualmente las

organizaciones estn divididas en reas funcionales o

secciones para las cuales es necesario crear una subred para

cada una de acuerdo a sus necesidades de conexin. Luego

de que la red se encuentra configurada y que los routers

realizan su trabajo de enrutamiento de manera correcta es

necesario implementar mecanismos de seguridad que

garanticen que ninguna persona ajena al diseo y

mantenimiento de la red pueda acceder a ellos, evitando de

esta manera que voluntaria o involuntariamente alteren la

configuracin de la red.

1. MARCOTEORICO

1.1.SUBREDES

Las subredes son un mtodo para maximizar el espacio de

direcciones IPv4 de 32 bits y reducir el tamao de las tablas

de enrutamiento en una interred mayor. En cualquier clase

de direccin, las subredes proporcionan un medio de asignar

parte del espacio de la direccin host a las direcciones de

red, lo cual permite tener ms redes. La parte del espacio de

direccin de host asignada a las nuevas direcciones de red se

conoce como nmero de subred.[1]

1.2. VLSM

VLSM permite que una organizacin utilice ms de una

mscara de subred dentro del mismo espacio de

direccionamiento de red. La implementacin de VLSM

maximiza la eficiencia del direccionamiento y con

frecuencia se la conoce como divisin de subredes en

subredes.

Los protocolos de enrutamiento con clase necesitan que una

sola red utilice la misma mscara de subred. Por ejemplo,

una red con la direccin de 192.168.187.0 puede usar slo

una mscara de subred, por ejemplo 255.255.255.0.

Un protocolo de enrutamiento que admite VLSM le

confiere al administrador de red la libertad para usar

distintas mscaras de subred para redes que se encuentran

dentro de un sistema autnomo. La Figura muestra un

ejemplo de cmo un administrador de red puede usar una

mscara de 30 bits para las conexiones de red, una mscara

de 24 bits para las redes de usuario e incluso una mscara

de 22 bits para las redes con hasta 1000 usuarios. [2]

1.3. DHCP

Es un protocolo de red que permite a los clientes de una red

IP obtener sus parmetros de configuracin

automticamente. Se trata de un protocolo de tipo

cliente/servidor en el que generalmente un servidor posee

una lista de direcciones IP dinmicas y las va asignando a

los clientes conforme stas van quedando libres, sabiendo

en todo momento quin ha estado en posesin de esa IP,

cunto tiempo la ha tenido y a quin se la ha asignado

despus. [3]

1.4. SEGURIDAD EN ROUTERS

Para la seguridad en redes se definen tres componentes

bsicos que son:

Autenticacin: En esta etapa se identifica quien

solicita los servicios de red. Por lo general se

solicita un usuario y contrasea que un servidor

autentica, por ejemplo Active Directory.

Autorizacin:En la etapa anterior, la autenticacin

controla quien puede acceder a los recursos de red,

pero la autorizacin dice lo que pueden hacer

cuando acceden los recursos. La autorizacin vara

de usuario a usuario dependiendo de los derechos

que requiera el solicitante.



Auditoria: Se requiere procedimientos que

recopilen los datos de la actividad de la red. Esto

responde a los incidentes que pueden suceder en una

red.Normalmente se debe incluir los intentos de

autenticacin y autorizacin, conocidos como pistas

de auditora.

Dentro de las tcnicas para aumentar la seguridad en redes

estn:

1. Cifrado de datos: Es un proceso que mezcla los

datos para protegerlos de su lectura por alguien que

no sea el receptor esperado. Se utilizan dispositivos

que cifran los datos como un router, un servidor o

sistema dedicado para cifrar o descifrar. Es una

opcin de seguridad muy til, proporciona

confidencialidad de los datos.

2. Contraseas: Para aumentar la seguridad en los

routers es necesario establecer contraseas para los

diferentes modos de acceso: modo privilegiado,

consola y telnet.

Para el modo consola se configura a travs del

comando line console 0 y luego se especifica la

contrasea mediante el comando password.

Para el modo privilegiado se pueden usar dos

comandos enable password o enable secret, el

segundo esta altamente encriptado.

A travs de las lneas vty se puede acceder a un

router a travs de telnet por lo cual es necesario

establecer una contrasea de acceso para todas las

lneas vty disponibles.

Se recomienda establecer por medio del comando

exec-timeout 5, que al cabo de 5 minutos de

abandono por parte del usuario, la comunicacin

sea interrumpida, con esto se previene que usuarios

no autorizados ingresen a travs de sesiones

abandonadas. [4]

2. PRACTICA DE LABORATORIO

2.1. DIRECCIONAMIENTO USANDO VLSM

Seccin Direccin de Red

Mascara de Subred

No Redes

Mismo Tamao

No Hosts

Medicina 172.16.0.0/21 255.255.248.0

32 2000

Veterinaria 172.16.8.0/22 255.255.252.0

2 1000

Salud Oc 172.16.12.0/23 255.255.254.0

2 400

Administ 172.16.14.0/26 255.255.255.192

8 50

Tabla 1: Direccionamiento subredes Facultad

2.2. TOPOLOGIA Usando el software Cisco Packet Tracer se dise la siguiente topologa:

Figura 1: Topologa lgica Facultad CSALUD

2.3. CONFIGURACION DEL SERVIDOR DHCP

El servidor DCHP se encuentra instalado en la oficina de

cmputo en la red de administrativos su configuracin de red es

la siguiente:

Tabla 2: Configuracin de Red del servidor



A continuacin se configuran los pools de direcciones para cada

una de las subredes de la siguiente manera:

Pool Name Default

Gateway

Start IP

Address

Subnet

Mask

#Host

Medicina 172.16.0.1 172.16.0.10 255.255.248.0 2000

Veterinaria 172.16.8.1 172.16.8.10 255.255.252.0 1000

SaludOc 172.16.12.1 172.16.12.10 255.255.254.0 400

Administrativo 172.16.14.1 172.16.14.10 255.255.255.192 50

Tabla 3: Configuracin de Pools de direcciones para el servidor

DHCP

Luego se ejecuta el comando ip helper-address para configurar

el servidor con el router y de esta manera poder consumir el

servicio DHCP desde todas las redes.

2.4 IDENTIFICACION DE FALLAS

Seis meses despus de la puesta en funcionamiento ocurri un

incidente de seguridad grave que ha dejado a la red totalmente

desconfigurada. Alguien que tena acceso al cuarto de

comunicaciones principal al momento de salir no cerr con llave

dicho cuarto y una persona ingres y manipul desde las

conexiones fsicas del router hasta la configuracin del mismo,

causando el fallo mencionado.

A continuacin se presentan las fallas que se encontraron en la

red luego de analizarla tanto en software como en hardware.

Fallas de Hardware:

a) La primera falla encontrada fue que el router estaba apagado,

por lo cual por obvias razones la red no funciona.

Figura 2: Router Apagado

b) La segunda falla encontrada fue que la conexin del router al

switch de la red de veterinaria se estaba haciendo al puerto

de consola por lo cual fallaba la conexin.

Luego de prender el router y realizar la correcta conexin del

router con el switch de veterinaria las conexiones fsicas del

router cambiaron a:

Figura 3: Conexiones fsicas del router despus de reparar fallas

Fallas de Software:

Para comprobar las fallas de software en el router se realiza una

comprobacin de la configuracin actual y la configuracin de

inicio del dispositivo mediante los comandos show running-

config y show startup-config respectivamente y se obtuvieron los

siguientes resultados:

Configuracin actual:

Current configuration: 695 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet0/1 no ip address ip helper-address 172.16.14.2 duplex auto speed auto shutdown ! interface FastEthernet1/0 ip address 172.16.8.1 255.255.252.0 ip helper-address 172.16.14.1 duplex auto speed auto ! interface FastEthernet1/1 ip address 172.26.0.1 255.255.248.0 ip helper-address 172.16.14.2 duplex auto speed auto ! ip classless line con 0 ! line aux 0 ! line vty 0 4 login end A continuacin se muestra la configuracin de inicio:

Using: 695 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption



! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet0/1 no ip address ip helper-address 172.16.14.2 duplex auto speed auto shutdown ! interface FastEthernet1/0 ip address 172.16.8.1 255.255.252.0 ip helper-address 172.16.14.1 duplex auto speed auto ! interface FastEthernet1/1 ip address 172.26.0.1 255.255.248.0 ip helper-address 172.16.14.2 duplex auto speed auto ! ip classless line con 0 ! line aux 0 ! line vty 0 4 login end

Como se puede ver la configuracin de inicio y la actual son la

misma y de ella se pueden detectar las siguientes fallas:

a) Las interfaces 0/0 y 0/1 no estn activadas por lo cual no se puede dar la conexin.

b) Las interfaces 0/0 y 0/1 no tienen asignada ninguna direccin

IP por lo cual no pueden comunicarse.

c) La conexin entre el router y el servidor es incorrecta para la interfaz 1/0 dado que la direccin establecida actualmente

para la conexin es la 172.16.14.1. Tampoco hay conexin

para la interfaz 0/0 ya que no se especifica ninguna

direccin.

d) La direccin IP asignada actualmente para la interfaz 1/1 es incorrecta dado que tiene asignada la direccin 172.26.0.1 la

cual no pertenece a la red.

Luego de identificar estas fallas se procede a realizar los

siguientes cambios para restablecer la comunicacin en la red:

a) Activar las interfaces 0/0 y 0/1.

b) Asignar la correspondiente direccin IP a las interfaces 0/0 y

0/1. Para la 0/0 la direccin 172.16.14.1 y para la 0/1 la

direccin 172.16.12.1.

c) Cambiar la direccin IP establecida para la comunicacin

entre router y servidor en la interfaz 1/0 a la direccin

172.16.14.2 que es la direccin IP del servidor DHCP.

Asignar esta misma direccin a la interfaz 0/0.

d) Cambiar la direccin IP de la interfaz 0/1 a la direccin 172.16.0.1

Luego de realizar estos cambios se guarda la configuracin actual

en la configuracin de inicio para prevenir que se pierdan los

cambios al reiniciar el dispositivo. Al terminar se puede ver que

ya se estableci conexin en toda la red y todos los dispositivos

obtuvieron exitosamente su configuracin DHCP.

Figura 4: Estado de la red luego de reparar fallas.

Figura 5: Configuracin DHCP exitosa.

2.5. APLICANDO SEGURIDAD AL ROUTER

A continuacin se van a aplicar algunas medidas de seguridad

para prevenir que se vuelva a presentar la misma situacin.

a) Primero se establece una autenticacin sin encriptacin antes de acceder al modo privilegiado mediante el comando enable

password, de la siguiente forma:



CSALUD> enable

CSALUD# configure terminal

CSALUD(config)# enable password elevar

Al realizar esto en la configuracin actual aparecen los cambios

realizados e indica que se determino una autenticacin

mostrando: enable password elevar.

Luego se guarda la configuracin y se sale de todos los modos

del router. A continuacin se ingresa de nuevo al modo

privilegiado y el sistema pide ingresar una contrasea y al

ingresarla da acceso al modo privilegiado.

CSALUD>enable Password: CSALUD#

b) Luego se establece una contrasea para limitar el acceso de los dispositivos mediante conexin de consola. Con esto se

asegura que nadie se conecte al puerto de consola sino es

mediante una contrasea. Esto se realiza mediante los

siguientes comandos:

CSALUD> enable CSALUD# configure terminal CSALUD(config)# line console 0 CSALUD(config-line)# password consola CSALUD(config-line)# login

En la configuracin actual del servidor ahora aparece:

line con 0 password consola login Ahora se guarda la configuracin y se accede al modo

privilegiado primero saliendo de todos los modos del router.

Ahora para acceder a la configuracin del router primero es

necesario ingresar la contrasea del puerto de consola y

luego la de acceso al modo privilegiado:

User Access Verification Password: CSALUD>enable Password: CSALUD#

c) Luego se establece una autenticacin con encriptacin para acceder al modo privilegiado de la siguiente forma:

CSALUD> enable CSALUD# configure terminal CSALUD(config)# enable secret elevar2

En la configuracin del router ahora aparecen ambas

autenticaciones:

enable secret 5 $1$mERr$Ye3Qc2wsBoiWsXm5zJ5pT1 enable password elevar

Como se puede ver con el ltimo comando la contrasea aparece

encriptada.

Ahora se guarda la configuracin y se accede al modo

privilegiado primero saliendo de todos los modos del router.

Ahora para acceder a la configuracin del router primero es

necesario ingresar la contrasea del puerto de consola y luego la

de acceso al modo privilegiado, pero la contrasea encriptada

tiene prioridad sobre la que no est encriptada por lo cual si se

ingresa la primera contrasea establecida no se podr obtener

acceso:

User Access Verification Password:

CSALUD>enable Password: Password: CSALUD#

d) Ahora es necesario establecer una autenticacin para el acceso a todas las lneas vty disponibles y de esta manera

prevenir el acceso al router a travs de telnet. Esto se hace

de la siguiente forma: CSALUD> enable CSALUD# configure terminal CSALUD(config)# line vty 0 15 CSALUD(config-line)# password remoto CSALUD(config-line)# login

En la configuracin actual del router ahora aparece:

line vty 0 4 password remoto login line vty 5 15 password remoto login

Ahora se guarda la configuracin y se sale de todos los modos del

router y desde un PC de la red se ingresa via telnet desde la

interfaz de lnea de comandos. Al hacer esto es necesario ingresar

la contrasea para las lneas vty y luego el password para el modo

privilegiado:

PC>telnet 172.16.0.1 Trying 172.16.0.1 ...Open User Access Verification Password: CSALUD>enable Password: CSALUD# Luego se ejecuta el mismo comando desde otro PC estableciendo

la puerta de enlace de otra red en este caso 172.16.12.1 y se

obtiene acceso de igual forma:



PC>telnet 172.16.12.1 Trying 172.16.12.1 ...Open User Access Verification Password: CSALUD>enable Password: CSALUD# Si se establece una puerta de enlace invalida o de una red que no

se encuentra conectada no se puede obtener acceso.

e) Ahora se procede a activar el servicio de encriptacin mediante el cual se aplica una encriptacin dbil a todas las

contraseas no encriptadas y de esta manera se evita que

usuarios no autorizados vean las contraseas del archivo de

configuracin. Esto se realiza de la siguiente manera:

CSALUD> enable CSALUD# configure terminal CSALUD(config)# service password-encryption

En la configuracin del router ahora aparece:

enable secret 5 $1$mERr$Ye3Qc2wsBoiWsXm5zJ5pT1 enable password 7 0824404B1F1817 line con 0 password 7 082243401A160916 login ! line aux 0 ! line vty 0 4 password 7 08334943060D0A login line vty 5 15 password 7 08334943060D0A login

Como se puede ver ahora todas las contraseas establecidas han

sido encriptadas. Por ltimo se guarda la configuracin actual en

la de inicio.

CONCLUSIONES

Existen muchos mecanismos que pueden fortalecer la seguridad

de una red, y de esta manera prevenir que usuarios no autorizados

puedan cambiar la configuracin de la misma ya sea de forma

voluntaria o involuntaria.

Adems de las medidas establecidas en la configuracin del

router es necesario que en la empresa se establezcan medidas que

impidan que personas distintas a los diseadores y el personal de

mantenimiento de la red tenga acceso a los equipos fsicos. Esto

se puede realizar estableciendo una autenticacin que autorice el

ingreso al armario de comunicaciones, ya sea mediante huella

digital, lector de retina, etc. Adems es bueno llevar un registro

de quienes ingresan a dicho lugar y en qu momento.

BIBLIOGRAFIA

[1] http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-

31/index.html

[2] http://programoweb.com/%C2%BFque-es-vlsm-y-por-que-se-

usa/

[3]http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Pr

otocol

[4]central.utn.ac.cr/foro/weblogs/upload/.../Seguridad_pptx10575

23461.ppt

Laboratorio 5 Redes de Comunicaciones II.pdf

Documents

Transcript of Laboratorio 5 Redes de Comunicaciones II.pdf