Objetivo:
Conocer los conceptos de la seguridad en la red, consultando la información que presenta la cuurricula, para reconocer las técnicas de prevención de ataques o amenazas, de acuerdo a las vulnerabilidades de la red.
Reflexión:
Actualmente las empresas deben de establecer protección en sus redes debido al crecimiento de amenazas que cada vez son más sofisticadas, pero hay delitos que pueden evitarse con una administración eficaz y cuidadosa de la red, como son las amenazas internas, la denegación de servicios, la penetración del sistema y detección de contraseñas.
Pero el desafío de una buena administración de la red esta en equilibrar las necesidades de mantener las redes abiertas para respaldar los requisitos comerciales, y la de proteger la información privada, personal y estratégica.
Es relevante que las empresas cuenten con políticas de seguridad, donde se establece el aseguramiento de la red mediante la aplicación de las políticas y que existan soluciones de seguridad, así como controles para detectar violaciones de seguridad. También es importante mencionar, que dichas políticas deben someterse a pruebas donde se verifique su funcionalidad.
Objetivo:
Configurar la autenticación OSPF, a través de las herramientas del packet tracer, para saber como establecer contraseñas de seguridad al intercambiar actualizaciones de enrutamiento entre dispositivos.
Reflexión:
La autenticación sencilla de OSPF se envía una contraseña como texto, y no es tan segura porque está contraseña no esta cifreda.
La autenticación OSPF se activa para intercambiar información de actualizaciones de enrutamiento seguras.
La diferencia entre de la autenticación MD5 con la autenticación OSPF simple, es que en la primera, la contraseña no se envía a través de la red, y la segunda si es a través de la red, es por eso que la primera se considera más segura.
Se deben configurar todas las interfaces de la misma área con la misma autenticación.
Anexos:
1. Configuración R1 con autenticación simple OSPF.
- R1(config)#router ospf 1
- #area 0 authentication
- #int s0/0/0
- #ip ospf authentication-key cisco123
2. Configurar R2 con autenticación simple OSPF.
- R2(config)#int s0/0/0
- #ip ospf authentication
- #ip ospf authentication-key cisco123
3. Configurar R3 con authentication MD5 OSPF.
- R1(config)#router ospf 1
- #area 0 authentication message-digest
- #int s0/0/1
- #ip ospf message-digest-key 1 md5 cisco123
4. Configurar R2 con autenticación MD5 OSPF.
- R1(config)#int s0/0/1
- #ip ospf authentication message-digest
- #ip ospf message-digest-key 1 md5 cisco123
5. Verificar enrutamiento.
- R2#sh ip route
- R2#sh ip ospf neighbor
Objetivo:
Aprender a actualizar una imagen IOS, utilizando las herramientas de packet tracer, para realizar tareas de actualización como parte de medidas de seguridad y respaldo.
Reflexión:
Por seguridad es conveniente actualizar periódicamente las imágenes de IOS de Cisco, así como asegurarse que todos los dispositivos conectados tengan la misma versión actualizada.
Las copias de seguridad de imágenes de routers son importantes, para reutilizarlas en caso de que el router se dañe o borre por accidente.
El uso de servidores es muy útil, en este se pueden almacenar el origen o la copia de seguridad de las imágenes, y se pueden administrar a los routers por medio de la red.
Anexos:
1. Verificar la imagen IOS de cisco actual.
- R2#sh version
- R2#sh flash
2. Configurar acceso al servicio TFTP.
- R2(config)#int fa0/1
- #ip address 192.168.20.1 255.255.255.0
- #no shut
- #end
- R2#ping 192.168.20.254
3. Cargar una nueva imagen IOS de cisco.
- R2#copy tftp flash
- address... 192.168.20.254
- filename... c1841-ipbasek9-mz.124-12.bin
4. Configurar el comando Bootsystem.
- R2(config)#bootsystem flash c1841-ipbasek9-mz.124-12.bin
- #end
- R2#copy running-config startup-config
5. Probar la nueva imagen.
- R2#reload
- R2#sh version
Objetivo:
Configurar la seguridad básica de un router, utilizando las herramientas de packet tracer, para reforzar los conocimientos adquiridos sobre el tema.
Reflexión:
En este desafío se realizo la configuración de enrutamiento OSPF, en este caso se utilizo la autenticación MD5 ofrece contraseñas encriptadas y son más seguras, y se realizo una actualización de imagen IOS, que siempre debe mantenerse actualizada, así como tener copia de seguridad de la misma por si ocurre algún accidente y por último se realizó la propagación del enrutamiento OSPF, la cual simplifica la configuración de los routers de distribución, y permite al administrador de red obtener información del enrutamiento.
Anexos:
1. Configurar ruta predeterminada al ISP.
- R2(config)#ip route 0.0.0.0 0.0.0.0 s0/1/0
2. Configurar enrutamiento OSPF.
- R1(config)#router ospf 1
- #network 10.1.1.0 0.0.0.3 a 0
- #area 0 authentication message-digest
- R2(config)#router ospf 1
- #network 10.1.1.0 0.0.0.3 a 0
- #network 10.2.2.0 0.0.0.3 a 0
- #area 0 authentication message-digest
- R3(config)#router ospf 1
- #network 10.2.2.0 0.0.0.3 a 0
- #area 0 authentication message-digest
3. Propagar la ruta predeterminada.
- R2(config-router)#default-information originate
4. Configurar autenticación OSPF.
- R1(config)#s0/0/0
- #ip ospf authentication message-digest
- #ip ospf message-digest-key 1 md5 cisco123
- R2(config)#int s0/0/0
- #ip ospf authentication message-digest
- #ip ospf message-digest-key 1 md5 cisco123
- R2(config)#int s0/0/1
- #ip ospf authentication message-digest
- #ip ospf message-digest-key 1 md5 cisco123
- R3(config)#int s0/0/1
- #ip ospf authentication message-digest
- #ip ospf message-digest-key 1 md5 cisco123
5. Actualizar imagen IOS.
- R2#copy tftp flash
- address... 192.168.20.254
- filename... c1841-ipbasek9-mz.124-12.bin
6. Router 2 cargue nueva imagen (bootsystem).
- R2(config)#bootsystem flash c1841-ipbasek9-mz.124-12.bin
7. Verificar nueva imagen.
- R2#copy running-config startup-config
- #reload
8. Propagación de enrutamiento OSPF.
- R1(config)#router ospf 1
- #passive-interface default
- R2(config)#router ospf 1
- #passive-interface default
- R3(config)#router ospf 1
- #passive-interface default
Objetivo:
Establecer la colocación de las ACL, resolviendo ejercicios para entender el proceso de elección y colocación de manera correcta.
Reflexión:
Las ACL's son sentencias que definen cómo los paquetes entran a las interfaces, se reenvían a través del router y salen de las interfaces. Las sentencias operan en orden secuencial lógico , si se cumple una condición el paquete se permite o se niega, y el resto de las sentencias no se verifican.
Las ACL estándar verifican sólo la dirección origen de los paquetes que se deben enrutar. Las ACL se usan cuando se desea bloquear todo el tráfico de una red, permitir todo el tráfico desde una red específica o negar conjuntos de protocolo. Las ACL aunque son fáciles de crear, proporcionan menor control sobre el tráfico de red.
Objetivo:
Establecer la colocación de las ACL y máscara Wildcard, resolviendo ejercicios para entender cómo asignarla de manera correcta en la red.
Reflexión:
ACL estandar: permiten o deniegan tráfico basándose en la dirección de origen.
La sintaxis de una Lista de Control de Acceso esta compuesta de la siguiente manera:
Router(config)# access-list "número de lista (1-99)" "orden (permit, deny ó remark)" "dirección IP origen" "máscara wildcard".
La máscara Wildcard: es una agrupación de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una máscara wildcard es similar a una máscara de subred, se puede decir, que la máscara wildcard es la inversa de la máscara de subred.
Las máscaras wildcard se emplean junto con un valor IP para seleccionar direcciones IP, esto es porque la máscara indica con sus ceros y sus unos qué bits han de compararse o no. Un cero indica que un bit ha de compararse y un uno indica que se ignore.
Cuando se quiere comprobar un host concreto se utiliza como wilcard 0.0.0.0 o la palabra "host". Por ejmplo: 192.168.1.135 0.0.0.0 = host 192.168.1.135.
Para hacer referencia a toda la red se utiliza una de las dos opciones: 0.0.0.0 0.255.255.255 = any.
Objetivo:
Aprender a establecer ACL nombradas, por medio de ejercicios para entender como configurar y asignar ACL nombradas a una red.
Reflexión:
Las ACL nombradas permiten que las ACL IP estándar y extendidas se identifiquen con una cadena alfanumérica (nombre) en lugar de la representaci{on n{umerica actual (1 a 99). Las ACL nombradas se pueden usar para eliminar entradas individuales de una ACL específica. Esto permite modificar sus ACL sin eliminarlas y leugo reconfigurarlas. Se usan las ACL nombradas urar en un cuando:
- Se desea identificar intuitivamente las ACL utilizando un nombre alfanumérico.
- Existen más de 99 ACL simples y 100 extendidas que se deben configurar en un router para un protocolo determinado.
Para nombrar la ACL, se utiliza el siguiente comando:
Router(config)#ip access-list (standard | extended) name.
Objetivo:
Aprender a configurar ACL, por medio de las herramientas de packet tracer, para aprender a asignar ACL aplicando los comandos correctos y establecer seguridad a la red.
Reflexión:
En esta actividad se definieron criterios de filtrado, se configuraron ACL estándar, se aplicaron ACL a interfaces de tres routers y se verifico la implementación de ACL. Además antes de implementar ACL se realizo una evaluación para evaluar la política de la red, así como planificar las ACL en diferentes LAN.
Anexos:
1. Investigar la configuración actual de la red.
* Visualizar la configuración en ejecución de routers.
- R1#sh running-config
* Confirmar que todos los dispositivos accedan a los demás.
- R1#sh ip route.
*Realizar pings.
- PC1>ping 192.168.11.10
- PC2>ping 209.165.202.158
- PC4>ping 192.168.20.254
2. Evaluar política de red y planificar implementación ACL.
3. Configurar ACL estándar numeradas,
- R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
- #access-list 10 permit any
- R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255
- #access-list 11 permit any
*Aplicar sentencias a las interfaces.
- R1(config)#int fa0/1
- #ip access-group 10 out
- R2(config)#int s0/1/0
- #ip access-group 11 out
*Verificar y probar ACL.
- PC2>ping 192.168.30.10
- PC2>ping 192.168.30.128
4.Configurar ACL estándar nombrada.
- R3(config)#ip access-list standard NO_ACCESSS
- #deny host 192.168.30.128
- #permit any
*Aplicar sentencia a interfaz.
- R3(config)#int fa0/0
- #ip access-group NO_ACCESSS in
Objetivo:
Aprender a configurar ACL extendida, por medio de las herramientas de packet tracer , para entender cómo aplicar las políticas de la red e implementar la ACL extendida.
Reflexión:
Las ACL extendidas se usan con mayor frecuencia para verificar condiciones porque ofrecen una mayor cantidad de opciones de control que las ACL estándar. Se puede usar una ACL extendida cuando se desea permitir el tráfico de la Web pero denegar el Protocolo de Transferencia de Archivos (FTP) o telnet desde las redes que no pertenecen a la empresa. Las ACL extendidas verifican las direcciones origen y destino de los paquetes. También pueden verificar protocolos, números de puerto y otros parámetros específicos. Esto ofrece mayor flexibilidad para descubrir las verificaciones que deben realizar la ACL. Se pueden permitir o denegar paquetes según su origen o destino. Por ejemplo, la ACL extendida puede permitir el tráfico de correo electrónico desde E0 a destinos S0 específicos, denegando al mismo tiempo conexiones remotas o transferencias de archivos.
Para un control más preciso de filtrado de tráfico se usan las ACL extendidas. Las sentencias de las ACL extendidas verifican la dirección origen y destino. Además, al final de la sentencia de la ACL extendida, se obtiene precisión adicional con un campo que específica el número de puerto de protocolo opcional TCP o del Protocolo de Datagrama del Usuario (UDP). Estos pueden ser números de puerto conocidos para TCP/IP. Se puede especificar la operación lógica que la ACL extendida efectuará en protocolos específicos. Las ACL extendidas usan un número dentro del intervalo del 100 al 99.
Objetivo:
Aprender a establecer ACL extendidas, por medio de ejercicios para entender como configurar y asignar ACL extendidas a una red.
Reflexión:
La sintáxis de la ACL extendida es la siguiente:
Router(config)#access-list "nº" "orden" "protocolo" "origen" "Wildcard" "destino" "wildcard" "op" "puerto/servicio".
Donde:
- access-list: comando.
- nº: número de ACL.
- orden: donde se pone permit/deny/remark.
- protocolo: protocolo sobre el que se aplica la lista como TCP,UDP,IP, ICMP...
- origen: dirección IP de origen.
- Wildcard: Máscara Wildcard origen.
- destino: dirección IP de destino.
- Wildcard: Máscara Wildcard destino.
- op: operador como lt, eq, gt o también range. para especificar menor que, igual, mayor que o especificar un rango.
- puerto/servicio: se utiliza un número de puerto o un servicio.
Se debe tener en cuenta el protocolo de capa de transporte del servicio. A continuación se mencionan algunos:
Protocolo Puerto Servicio
TCP 20,21 FTP
TCP 22 SSH
TCP 23 TELNET
TCP 25 SMTP
TCP/UDP 53 DNS
UDP 69 TFTP
TCP 80 WWW
TCP 110 POP
También hay que tener en cuenta que al igual que en las ACLs estándar también lleva implícito una sentencia al final de la lista que lo deniega todo.
Las ACLs extendidas como norma general hay que ponerlas lo más cerca posible del origen. De esta forma evitamos tráfico innecesario.
Tanto en ACL estándar como en las extendidas, no se pueden borrar una sentencia concreta, si no toda la lista y nunca hay que añadir sentencias o borrar una lista mientras este activo el router.
Objetivo:
Identificar los problemas de configuración en los dispositivos, mediante el uso de comandos de verificación, para realizar las correcciones adecuadas.
Reflexión:
En esta actividad se realizo un análisis completo de la red, en la cual, por medio de comandos "SHOW" se visualizaba la configuración de cada dispositivo, con el fin de encontrar las inconsistencias y así poder realizar los cambios necesarios.
Lo importante de la actividad es poder identificar el tipo de problema y encontrar soluciones para resolver estos problemas de manera eficiente, para desarrollar habilidades en cuanto el manejo de problemas.
Objetivo:
Configurar ACL's, por medio de herramientas de packet tracer, para comprender por medio de ejercicios donde se aplican las ACL's y que protocolos usar, de acuerdo a las especificaciones del problema.
Reflexión:
En la actividad se realizaron varias configuraciones de ACL de tal manera que se aplicaron restricciones en los diferentes dispositivos, esto con el fin de tener de habilidad de razonar rápidamente el problema y poder aplicar el acceso que se mencionaba en cada situación.
Objetivo:
Diseñar, aplicar y probar ACL´s nombradas estándar y ampliadas, por medio del equipo físico, para aprender a configurar y resolver problemas en el mundo real.
Reflexión:
En esta practica tuvimos que configurar toda la red de tal manera que existiera conectividad de extremo a extremo. Después configuramos la primera ACL que nos restringía hacer ping con una subred. La segunda ACL era ampliada y con ella se restrigio el acceso de una subred al Loopback de un Router. y la ultima ACL fue para deshabilitar el telnet de una subred.
Cada una de las ACL se configuraron en cada uno de los tres router, de manera que al aplicar entre una ACL y otra no afectaban las restricciones establecidas entre sí.
Anexos:
Tarea1: Preparar la red. se conctan los dispositivos entre sí, como lo muestra la topología del manual.
Tarea2: Realizar las configuraciones de los routers. En esta parte se configuran los hostname, las contraseñas en el modo EXEC, el linea de consola y en el telnet. Ademas se configuran las mascaras y direcciones en las interfaces correspondientes y se habilita el enrutamiento OSPF.
Tarea3: Configurar una ACL estándar. La ACL se crea en el R3 denegando el acceso a la subred de la PC2 y se aplica en la interfaz serial como entrada. Esta ACL se prueba haciendo ping de PC2 a PC3 y este resulte fallido.
Tarea4: Configurar una ACL ampliada. Se configura la ACL ampliada y nombrada en el R1, denegando el acceso a la interfaz Loopback del R2, desde la subred de la PC1 y se aplica en la interfaz serial en modo de salida. Esta ACL se prueba haciendo ping desde la PC1 hacia la interfaz loopback del R2 el cual falla.
Tarea5: Controlar el acceso a la lineas VTY con una ACL estándar. Se configura la ACL nombrada en el R2 permitiendo el acceso al R3 y denegando el acceso de la subred de la PC3. Se aplica en el telnet del R2. Se prueba esta configuración al hacer telnet desde el R1 al R2 y este debe fallar, pero al hacer telnet desde el R3 al R2 si da acceso al router.
Tarea6: Resolución de problemas en las ACL. El primer problema es cuando se aplica una ACL de modo entrante y se cambia por el modo saliente. Esto provoca que la ACL no se aplique correctamente y permite el acceso a una subred que se supone debería ser denegada.
Otro problema es cuando se aplica una ACL que se configura para el acceso telnet y se coloca en una interfaz incorrecta lo que produce un bloqueo de conectividad en la interfaz donde se aplico la ACL.
No hay comentarios:
Publicar un comentario