Laboratorio 5 Redes de Comunicaciones II.pdf
-
Upload
jose-luis-diaz -
Category
Documents
-
view
223 -
download
4
Transcript of Laboratorio 5 Redes de Comunicaciones II.pdf
-
Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 1
Redes de Comunicaciones II
Laboratorio 5 Redes de Comunicaciones II
Daz, Jos
Universidad Distrital Francisco Jos de Caldas
Resumen El siguiente documento es un informe de una prctica de laboratorio sobre la simulacin e
implementacin de una red LAN, con el objetivo de analizar
el concepto de VLSM para la creacin de subredes y el
servicio DHCP para cada una de estas subredes, adems de
implementar mecanismos de seguridad que restrinjan el
acceso a los routers de una red.
ndicedeTrminos Simulacin,RedLAN,VLSM,
subred, DHCP, seguridad.
INTRODUCCIN
La instalacin de redes LAN, redes de rea local, es de vital
importancia para el funcionamiento interno de las
organizaciones, as como su distribucin y la interconexin
que se da entre las mismas ya que permite que ciertas
dependencias se comuniquen con otras. Usualmente las
organizaciones estn divididas en reas funcionales o
secciones para las cuales es necesario crear una subred para
cada una de acuerdo a sus necesidades de conexin. Luego
de que la red se encuentra configurada y que los routers
realizan su trabajo de enrutamiento de manera correcta es
necesario implementar mecanismos de seguridad que
garanticen que ninguna persona ajena al diseo y
mantenimiento de la red pueda acceder a ellos, evitando de
esta manera que voluntaria o involuntariamente alteren la
configuracin de la red.
1. MARCOTEORICO
1.1.SUBREDES
Las subredes son un mtodo para maximizar el espacio de
direcciones IPv4 de 32 bits y reducir el tamao de las tablas
de enrutamiento en una interred mayor. En cualquier clase
de direccin, las subredes proporcionan un medio de asignar
parte del espacio de la direccin host a las direcciones de
red, lo cual permite tener ms redes. La parte del espacio de
direccin de host asignada a las nuevas direcciones de red se
conoce como nmero de subred.[1]
1.2. VLSM
VLSM permite que una organizacin utilice ms de una
mscara de subred dentro del mismo espacio de
direccionamiento de red. La implementacin de VLSM
maximiza la eficiencia del direccionamiento y con
frecuencia se la conoce como divisin de subredes en
subredes.
Los protocolos de enrutamiento con clase necesitan que una
sola red utilice la misma mscara de subred. Por ejemplo,
una red con la direccin de 192.168.187.0 puede usar slo
una mscara de subred, por ejemplo 255.255.255.0.
Un protocolo de enrutamiento que admite VLSM le
confiere al administrador de red la libertad para usar
distintas mscaras de subred para redes que se encuentran
dentro de un sistema autnomo. La Figura muestra un
ejemplo de cmo un administrador de red puede usar una
mscara de 30 bits para las conexiones de red, una mscara
de 24 bits para las redes de usuario e incluso una mscara
de 22 bits para las redes con hasta 1000 usuarios. [2]
1.3. DHCP
Es un protocolo de red que permite a los clientes de una red
IP obtener sus parmetros de configuracin
automticamente. Se trata de un protocolo de tipo
cliente/servidor en el que generalmente un servidor posee
una lista de direcciones IP dinmicas y las va asignando a
los clientes conforme stas van quedando libres, sabiendo
en todo momento quin ha estado en posesin de esa IP,
cunto tiempo la ha tenido y a quin se la ha asignado
despus. [3]
1.4. SEGURIDAD EN ROUTERS
Para la seguridad en redes se definen tres componentes
bsicos que son:
Autenticacin: En esta etapa se identifica quien
solicita los servicios de red. Por lo general se
solicita un usuario y contrasea que un servidor
autentica, por ejemplo Active Directory.
Autorizacin:En la etapa anterior, la autenticacin
controla quien puede acceder a los recursos de red,
pero la autorizacin dice lo que pueden hacer
cuando acceden los recursos. La autorizacin vara
de usuario a usuario dependiendo de los derechos
que requiera el solicitante.
-
Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 2
Redes de Comunicaciones II
Auditoria: Se requiere procedimientos que
recopilen los datos de la actividad de la red. Esto
responde a los incidentes que pueden suceder en una
red.Normalmente se debe incluir los intentos de
autenticacin y autorizacin, conocidos como pistas
de auditora.
Dentro de las tcnicas para aumentar la seguridad en redes
estn:
1. Cifrado de datos: Es un proceso que mezcla los
datos para protegerlos de su lectura por alguien que
no sea el receptor esperado. Se utilizan dispositivos
que cifran los datos como un router, un servidor o
sistema dedicado para cifrar o descifrar. Es una
opcin de seguridad muy til, proporciona
confidencialidad de los datos.
2. Contraseas: Para aumentar la seguridad en los
routers es necesario establecer contraseas para los
diferentes modos de acceso: modo privilegiado,
consola y telnet.
Para el modo consola se configura a travs del
comando line console 0 y luego se especifica la
contrasea mediante el comando password.
Para el modo privilegiado se pueden usar dos
comandos enable password o enable secret, el
segundo esta altamente encriptado.
A travs de las lneas vty se puede acceder a un
router a travs de telnet por lo cual es necesario
establecer una contrasea de acceso para todas las
lneas vty disponibles.
Se recomienda establecer por medio del comando
exec-timeout 5, que al cabo de 5 minutos de
abandono por parte del usuario, la comunicacin
sea interrumpida, con esto se previene que usuarios
no autorizados ingresen a travs de sesiones
abandonadas. [4]
2. PRACTICA DE LABORATORIO
2.1. DIRECCIONAMIENTO USANDO VLSM
Seccin Direccin de Red
Mascara de Subred
No Redes
Mismo Tamao
No Hosts
Medicina 172.16.0.0/21 255.255.248.0
32 2000
Veterinaria 172.16.8.0/22 255.255.252.0
2 1000
Salud Oc 172.16.12.0/23 255.255.254.0
2 400
Administ 172.16.14.0/26 255.255.255.192
8 50
Tabla 1: Direccionamiento subredes Facultad
2.2. TOPOLOGIA Usando el software Cisco Packet Tracer se dise la siguiente topologa:
Figura 1: Topologa lgica Facultad CSALUD
2.3. CONFIGURACION DEL SERVIDOR DHCP
El servidor DCHP se encuentra instalado en la oficina de
cmputo en la red de administrativos su configuracin de red es
la siguiente:
Tabla 2: Configuracin de Red del servidor
-
Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 3
Redes de Comunicaciones II
A continuacin se configuran los pools de direcciones para cada
una de las subredes de la siguiente manera:
Pool Name Default
Gateway
Start IP
Address
Subnet
Mask
#Host
Medicina 172.16.0.1 172.16.0.10 255.255.248.0 2000
Veterinaria 172.16.8.1 172.16.8.10 255.255.252.0 1000
SaludOc 172.16.12.1 172.16.12.10 255.255.254.0 400
Administrativo 172.16.14.1 172.16.14.10 255.255.255.192 50
Tabla 3: Configuracin de Pools de direcciones para el servidor
DHCP
Luego se ejecuta el comando ip helper-address para configurar
el servidor con el router y de esta manera poder consumir el
servicio DHCP desde todas las redes.
2.4 IDENTIFICACION DE FALLAS
Seis meses despus de la puesta en funcionamiento ocurri un
incidente de seguridad grave que ha dejado a la red totalmente
desconfigurada. Alguien que tena acceso al cuarto de
comunicaciones principal al momento de salir no cerr con llave
dicho cuarto y una persona ingres y manipul desde las
conexiones fsicas del router hasta la configuracin del mismo,
causando el fallo mencionado.
A continuacin se presentan las fallas que se encontraron en la
red luego de analizarla tanto en software como en hardware.
Fallas de Hardware:
a) La primera falla encontrada fue que el router estaba apagado,
por lo cual por obvias razones la red no funciona.
Figura 2: Router Apagado
b) La segunda falla encontrada fue que la conexin del router al
switch de la red de veterinaria se estaba haciendo al puerto
de consola por lo cual fallaba la conexin.
Luego de prender el router y realizar la correcta conexin del
router con el switch de veterinaria las conexiones fsicas del
router cambiaron a:
Figura 3: Conexiones fsicas del router despus de reparar fallas
Fallas de Software:
Para comprobar las fallas de software en el router se realiza una
comprobacin de la configuracin actual y la configuracin de
inicio del dispositivo mediante los comandos show running-
config y show startup-config respectivamente y se obtuvieron los
siguientes resultados:
Configuracin actual:
Current configuration: 695 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet0/1 no ip address ip helper-address 172.16.14.2 duplex auto speed auto shutdown ! interface FastEthernet1/0 ip address 172.16.8.1 255.255.252.0 ip helper-address 172.16.14.1 duplex auto speed auto ! interface FastEthernet1/1 ip address 172.26.0.1 255.255.248.0 ip helper-address 172.16.14.2 duplex auto speed auto ! ip classless line con 0 ! line aux 0 ! line vty 0 4 login end A continuacin se muestra la configuracin de inicio:
Using: 695 bytes ! version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption
-
Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 4
Redes de Comunicaciones II
! interface FastEthernet0/0 no ip address duplex auto speed auto shutdown ! interface FastEthernet0/1 no ip address ip helper-address 172.16.14.2 duplex auto speed auto shutdown ! interface FastEthernet1/0 ip address 172.16.8.1 255.255.252.0 ip helper-address 172.16.14.1 duplex auto speed auto ! interface FastEthernet1/1 ip address 172.26.0.1 255.255.248.0 ip helper-address 172.16.14.2 duplex auto speed auto ! ip classless line con 0 ! line aux 0 ! line vty 0 4 login end
Como se puede ver la configuracin de inicio y la actual son la
misma y de ella se pueden detectar las siguientes fallas:
a) Las interfaces 0/0 y 0/1 no estn activadas por lo cual no se puede dar la conexin.
b) Las interfaces 0/0 y 0/1 no tienen asignada ninguna direccin
IP por lo cual no pueden comunicarse.
c) La conexin entre el router y el servidor es incorrecta para la interfaz 1/0 dado que la direccin establecida actualmente
para la conexin es la 172.16.14.1. Tampoco hay conexin
para la interfaz 0/0 ya que no se especifica ninguna
direccin.
d) La direccin IP asignada actualmente para la interfaz 1/1 es incorrecta dado que tiene asignada la direccin 172.26.0.1 la
cual no pertenece a la red.
Luego de identificar estas fallas se procede a realizar los
siguientes cambios para restablecer la comunicacin en la red:
a) Activar las interfaces 0/0 y 0/1.
b) Asignar la correspondiente direccin IP a las interfaces 0/0 y
0/1. Para la 0/0 la direccin 172.16.14.1 y para la 0/1 la
direccin 172.16.12.1.
c) Cambiar la direccin IP establecida para la comunicacin
entre router y servidor en la interfaz 1/0 a la direccin
172.16.14.2 que es la direccin IP del servidor DHCP.
Asignar esta misma direccin a la interfaz 0/0.
d) Cambiar la direccin IP de la interfaz 0/1 a la direccin 172.16.0.1
Luego de realizar estos cambios se guarda la configuracin actual
en la configuracin de inicio para prevenir que se pierdan los
cambios al reiniciar el dispositivo. Al terminar se puede ver que
ya se estableci conexin en toda la red y todos los dispositivos
obtuvieron exitosamente su configuracin DHCP.
Figura 4: Estado de la red luego de reparar fallas.
Figura 5: Configuracin DHCP exitosa.
2.5. APLICANDO SEGURIDAD AL ROUTER
A continuacin se van a aplicar algunas medidas de seguridad
para prevenir que se vuelva a presentar la misma situacin.
a) Primero se establece una autenticacin sin encriptacin antes de acceder al modo privilegiado mediante el comando enable
password, de la siguiente forma:
-
Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 5
Redes de Comunicaciones II
CSALUD> enable
CSALUD# configure terminal
CSALUD(config)# enable password elevar
Al realizar esto en la configuracin actual aparecen los cambios
realizados e indica que se determino una autenticacin
mostrando: enable password elevar.
Luego se guarda la configuracin y se sale de todos los modos
del router. A continuacin se ingresa de nuevo al modo
privilegiado y el sistema pide ingresar una contrasea y al
ingresarla da acceso al modo privilegiado.
CSALUD>enable Password: CSALUD#
b) Luego se establece una contrasea para limitar el acceso de los dispositivos mediante conexin de consola. Con esto se
asegura que nadie se conecte al puerto de consola sino es
mediante una contrasea. Esto se realiza mediante los
siguientes comandos:
CSALUD> enable CSALUD# configure terminal CSALUD(config)# line console 0 CSALUD(config-line)# password consola CSALUD(config-line)# login
En la configuracin actual del servidor ahora aparece:
line con 0 password consola login Ahora se guarda la configuracin y se accede al modo
privilegiado primero saliendo de todos los modos del router.
Ahora para acceder a la configuracin del router primero es
necesario ingresar la contrasea del puerto de consola y
luego la de acceso al modo privilegiado:
User Access Verification Password: CSALUD>enable Password: CSALUD#
c) Luego se establece una autenticacin con encriptacin para acceder al modo privilegiado de la siguiente forma:
CSALUD> enable CSALUD# configure terminal CSALUD(config)# enable secret elevar2
En la configuracin del router ahora aparecen ambas
autenticaciones:
enable secret 5 $1$mERr$Ye3Qc2wsBoiWsXm5zJ5pT1 enable password elevar
Como se puede ver con el ltimo comando la contrasea aparece
encriptada.
Ahora se guarda la configuracin y se accede al modo
privilegiado primero saliendo de todos los modos del router.
Ahora para acceder a la configuracin del router primero es
necesario ingresar la contrasea del puerto de consola y luego la
de acceso al modo privilegiado, pero la contrasea encriptada
tiene prioridad sobre la que no est encriptada por lo cual si se
ingresa la primera contrasea establecida no se podr obtener
acceso:
User Access Verification Password:
CSALUD>enable Password: Password: CSALUD#
d) Ahora es necesario establecer una autenticacin para el acceso a todas las lneas vty disponibles y de esta manera
prevenir el acceso al router a travs de telnet. Esto se hace
de la siguiente forma: CSALUD> enable CSALUD# configure terminal CSALUD(config)# line vty 0 15 CSALUD(config-line)# password remoto CSALUD(config-line)# login
En la configuracin actual del router ahora aparece:
line vty 0 4 password remoto login line vty 5 15 password remoto login
Ahora se guarda la configuracin y se sale de todos los modos del
router y desde un PC de la red se ingresa via telnet desde la
interfaz de lnea de comandos. Al hacer esto es necesario ingresar
la contrasea para las lneas vty y luego el password para el modo
privilegiado:
PC>telnet 172.16.0.1 Trying 172.16.0.1 ...Open User Access Verification Password: CSALUD>enable Password: CSALUD# Luego se ejecuta el mismo comando desde otro PC estableciendo
la puerta de enlace de otra red en este caso 172.16.12.1 y se
obtiene acceso de igual forma:
-
Universidad Distrital Francisco Jos de Caldas. Daz Jos, Laboratorio 5 Redes de comunicaciones II 6
Redes de Comunicaciones II
PC>telnet 172.16.12.1 Trying 172.16.12.1 ...Open User Access Verification Password: CSALUD>enable Password: CSALUD# Si se establece una puerta de enlace invalida o de una red que no
se encuentra conectada no se puede obtener acceso.
e) Ahora se procede a activar el servicio de encriptacin mediante el cual se aplica una encriptacin dbil a todas las
contraseas no encriptadas y de esta manera se evita que
usuarios no autorizados vean las contraseas del archivo de
configuracin. Esto se realiza de la siguiente manera:
CSALUD> enable CSALUD# configure terminal CSALUD(config)# service password-encryption
En la configuracin del router ahora aparece:
enable secret 5 $1$mERr$Ye3Qc2wsBoiWsXm5zJ5pT1 enable password 7 0824404B1F1817 line con 0 password 7 082243401A160916 login ! line aux 0 ! line vty 0 4 password 7 08334943060D0A login line vty 5 15 password 7 08334943060D0A login
Como se puede ver ahora todas las contraseas establecidas han
sido encriptadas. Por ltimo se guarda la configuracin actual en
la de inicio.
CONCLUSIONES
Existen muchos mecanismos que pueden fortalecer la seguridad
de una red, y de esta manera prevenir que usuarios no autorizados
puedan cambiar la configuracin de la misma ya sea de forma
voluntaria o involuntaria.
Adems de las medidas establecidas en la configuracin del
router es necesario que en la empresa se establezcan medidas que
impidan que personas distintas a los diseadores y el personal de
mantenimiento de la red tenga acceso a los equipos fsicos. Esto
se puede realizar estableciendo una autenticacin que autorice el
ingreso al armario de comunicaciones, ya sea mediante huella
digital, lector de retina, etc. Adems es bueno llevar un registro
de quienes ingresan a dicho lugar y en qu momento.
BIBLIOGRAFIA
[1] http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-
31/index.html
[2] http://programoweb.com/%C2%BFque-es-vlsm-y-por-que-se-
usa/
[3]http://es.wikipedia.org/wiki/Dynamic_Host_Configuration_Pr
otocol
[4]central.utn.ac.cr/foro/weblogs/upload/.../Seguridad_pptx10575
23461.ppt