Implantacion de Tecnicas de Acceso Remoto

2012
Implantacin de tcnicas de acceso remoto.

Seguridad perimetral
lvaro Primo Guijarro

Practicas UD03
12/01/2012
Implantacin de tcnicas de acceso remoto. Seguridad

perimetral
Contenido
1.NAT: ............................................................................................................................................ 5
a) Comprobacin de la seguridad perimetral a travs de un NAT (Laboratorio virtual) .......... 5
2. Router frontera: ........................................................................................................................ 8
a) Planteamiento escenario CISCO Packet Tracert: esquema. .................................................. 8
b) Realiza una comparativa entre los routers frontera atendiendo a las opciones de
seguridad perimetral (NAT,Firewall,DMZ,etc) ....................................................................... 9
Router D-Link DI-604 ............................................................................................................. 9
Router LINKSYS WRT54L...................................................................................................... 10
Router 300Mbps Multi-Function Wireless N Router .......................................................... 12
3. DMZ ......................................................................................................................................... 13
a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas. ......................... 13
b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas.................... 14
4. VPN sobre red local ................................................................................................................. 15
a) Instalacin de un servidor VPN en Windows XP. ................................................................ 15
b) Instalacin de un servidor VPN en Windows 2003/2008. .................................................. 19
c) Instalacin de un servidor VPN en GNU/Linux .................................................................... 23
d) Conexin desde un cliente Windows y GNU/Linux VPN a un servidor VPN. ...................... 29
5. VPN de acceso remoto ............................................................................................................ 34
6. VPN sitio a sitio........................................................................................................................ 41
a) Escenario CISCO: Instalacin de VPNs IPSEC sitio a sitio con CLI entre .............................. 41
routers CISCO utilizando Packet Tracert Router. .................................................................... 41
7. SSH........................................................................................................................................... 42
a) Instalacin del servidor SSH en GNU/Linux......................................................................... 42
b) Conexin al servidor SSH mediante cliente GNU/Linux y ................................................... 43
cliente Windows. ..................................................................................................................... 43
c) Escenario CISCO: Conexin segura a la administracin de un router. ................................ 45
8. Protocolos de autenticacin: .................................................................................................. 48
a) Escenarios CISCO: Interconexin de redes mediante protocolos PPP,PAP ,CHAP. ............ 48
9. Servidores de autenticacin .................................................................................................... 49
a) Redes Inalmbricas: WPA Personal......................................................................................... 49
b) SERVIDOR RADIUS: .............................................................................................................. 52
1.- Simulacin de un entorno de red con servidor RADIUS CISCO en el ............................. 52

perimetral
Packet Tracert Router. ........................................................................................................ 52
2.- Instalacin de un servidor Radius bajo GNU/LINUX (freeradius) , para autenticar
conexiones que provienen de un router de acceso Linksys WRT54GL: WPA Empresarial.
Comprobacin en un escenario real. ....................................................................................... 60

perimetral

perimetral
1.NAT:
a) Comprobacin de la seguridad perimetral a travs de un NAT (Laboratorio
virtual)
Configuramos la maquina virtual en modo NAT, para ello le damos a Edit / Virtual Network
Editor.
Editamos el modo NAT con las IPS que queramos.
El escenario propuesto ser el siguiente:

perimetral
El cliente Molinux est en VMnet 8 (NAT).
El Cliente XP, acta como NAT:

perimetral
El cliente Ubuntu que esta en modo Bridge.
La practica ser la siguiente desde el cliente Molinux en VMnet8 (NAT) realizaremos un ping al
cliente Bridge(Ubuntu), de modo que nos tiene que dejar:

perimetral
Sin embargo, si realizamos un ping desde el Ubuntu al Molinux, no nos debe dejar, esto quiere
decir que funciona correctamente la seguridad perimetral con NAT.
2. Router frontera:
a) Planteamiento escenario CISCO Packet Tracert: esquema.
En este caso tenemos 2 Routers, uno que ser el que le proporcione servicio a la empresa(
Router Frontera), y otro Router que ser el del ISP, que es el que proporciona internet.

perimetral
b) Realiza una comparativa entre los routers frontera atendiendo a las
opciones de seguridad perimetral (NAT,Firewall,DMZ,etc)
Router D-Link DI-604
Firewall
Permite Configurar el origen y el destino junto con las direcciones IPS, de cada uno. Puede ser
de una LAN o una WAN, adems incluye para indicarle en que momento queremos que entren
a nuestro Router.

perimetral
DMZ
Configuramos una zona desmilitarizada con la ip 192.168.0.252.
Este modelo te permite realizar pocas configuraciones respecto al DMZ
Router LINKSYS WRT54L

Firewall
Este modelo permite bloquear las respuestas annimas de internet, un filtro multicast,etc
10

perimetral
VPN
Permite aceptar un tnel VPN.
Internet Access
Se pueden crear listas de acceso de PCS, a la red.
11

perimetral
Router 300Mbps Multi-Function Wireless N Router
SECURITY
Permite utilizar el SPI Firewall, configurar algunos parmetros de VPN, y ALG.
DMZ
Este sin embargo te permite asignarle el rango que queramos a la zona desmilitarizada.
12

perimetral
ACL
Permite crear listas de acceso, a los host de la red.
3. DMZ
a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert):
esquemas.
DMZ Basico:
13

perimetral
DMZ Complejo:
b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual):

esquemas.
DMZ Simple:
14

perimetral
DMZ Complejo:
Son los mismos esquemas que los anteriores lo que pasa que los routers son equipos con dos
tarjetas, redireccionando.
4. VPN sobre red local

a) Instalacin de un servidor VPN en Windows XP.
En conexiones de red, creamos una nueva conexin de red.
Seleccionamos una Conexin Avanzada.
15

perimetral
Marcamos la opcin de Aceptar conexiones entrantes
Le damos a siguiente
16

perimetral
Permitimos las conexiones privadas Virtuales (VPN).
Permitimos al usuario administrador, que acceda a esta VPN.
17

perimetral
Seleccionamos el protocolo TCP/IP, y pinchamos en propiedades.

Ahora ponemos un rango de direcciones IP.
Finalizamos el proceso de creacin del servidor VPN, veremos algo asi:
18

perimetral
b) Instalacin de un servidor VPN en Windows 2003/2008.

Al igual que en Windows XP, creamos una nueva conexin de red.
Le damos a Configurar una conexin avanzada:
Aceptamos las conexiones entrantes:
19

perimetral
No marcamos nada, le damos a siguiente:
20

perimetral
Como queremos hacer VPN, permitimos conexiones privadas virtual.
Autorizamos al usuario Administrador.
21

perimetral
Seleccionamos el Protocolo TCP/IP, propiedades:
Configuramos un rango de direcciones IP.
22

perimetral
Finalizamos el proceso de instalacin.
c) Instalacin de un servidor VPN en GNU/Linux

Instalamos el un servidor VPN para Linux:
Ahora procedemos a configurarlo, editamos el archivo siguiente:
23

perimetral
Ahora editamos las siguientes lneas del archivo:
En el mismo fichero configuramos el rango de direcciones ip:
Configuramos el archivo /etc/ppp/chap-secrets, donde agregaremos los usuarios:
Donde alvaro ser el nombre de usuario, primoguijarro ser el nombre del servidor, inves ser
la contrasea de alvaro, y el * quiere decir que cojera todas las direcciones IP.
Reiniciamos los servicios:
24

perimetral
Bien ahora tenemos bien configurado el Servidor VPN, ahora accedemos con un cliente
Windows 7, con la direccin IP 10.33.20.5.
Conexiones de Red, Crear una nueva
Seleccionamos esta opcin:
Le damos a usar mi conexin a Internet(VPN).
25

perimetral
Le indicamos la IP del servidor VPN, y un nombre adecuado para la conexin:
Le aadimos el usuario y la contrasea:
26

perimetral
Nos dice que se ha creado correctamente.
Ahora probamos a conectarnos, le damos a conectar:
Le introducimos nuestros datos de acceso:
27

perimetral
Esperamos mientras se comprueba y registra la conexin:
Podemos ver como ya estamos conectados a Trazos-Secret:
Si le damos a propiedades podemos observar como la informacin que se envan por el tnel
tiene compresin:
28

perimetral
d) Conexin desde un cliente Windows y GNU/Linux VPN a un servidor
VPN.
En conexiones de red, creamos una nueva y marcamos:
Usar mi conexin a Internet (VPN).
Ponemos la IP del servidor, y le asignamos un nombre
29

perimetral
Autentificamos un usuario y un administrador:
Le damos a crear, y se crea correctamente. Ahora en conexiones de red, le damos a conectar a

Conexin VPN.
30

perimetral
El usuario es administrador, con Contrasea:

clave3.
Le damos a Conectar.
Se esta conectando
Podemos ver como se ha creado el tunel VPN correctamente.
Vemos en el Servidor la conexin como se ha creado.
31

perimetral
AHORA LO CONFIGURAMOS DESDE UN CLIENTE UBUNTU

En conexiones de red le damos a Aadir una Nueva Conexin VPN
Seleccionamos la opcin PPTP
32

perimetral
Creamos la conexin, con los siguientes datos:
Le damos a conectarnos, y podemos comprobar como nos marca con una V, como de que se
ha conectado
33

perimetral
5. VPN de acceso remoto
a) Utiliza la plantilla del curso virtual para configurar los parmetros.
b) Configurar el router Linksys RV200 como un servidor VPN de acceso remoto.
Utiliza el simulador
http://ui.linksys.com/files/WRV200/1.0.29/SetupDHCP.htm
Nos creamos la autenticacin con un usuario:
VPN sitio a sitio

a) Utiliza la plantilla del curso virtual para configurar los parmetros.
b) En cada sitio existe un router Linksys RV042.
Configurar cada sitio - router Linksys RV042 utilizando el simulador
http://ui.linksys.com/files/RV042/1.2.3/home.htm
34

perimetral
CONFIGURACIN ROUTER CENTRAL
35

perimetral
CONFIGURACIN ROUTER SUCURSAL
36

perimetral
c) Compara la configuracin de dicho router Linksys inalmbrico Linksys WRT54GL con un
router de acceso inalmbrico TP-LINK, utilizando un simulador de modelo elegido con VPN:
http://www.tp-link.com/en/support/emulators/
El Router TL-MR3420 respecto al Linksys WRT54GL tiene las siguientes caractersticas:

-
Permite crear conexiones 3G, indicndole el operador de la compaa:
37

perimetral
Segn el pas que escojamos, existirn diversas compaas:
El Router Linksys WRT54GL no te permite conexiones 3G.

Este Router te permite conexiones dns dinamicas a travs de dyndns, no-ip, y comexe.
38

perimetral
El Router linksys permite estas proveedores:
Respecto al filtrado de MAC, el Router TP-LINK, permite aadir hosts especficos, hacindonos
asi mas fcil el filtrado de MAC.
39

perimetral
Sin embargo el Linksys es ms simple y solo permite activarlo y desactivarlo:
El Router TP-LINK permite crear una zona DMZ, mediante esta opcin:
El Router Linksys no permite crear zonas DMZ.

En cuanto al apartado de VPN, nos permite activar los protocolos de envi de VPN.
40

perimetral
Esta caracterstica es la misma que en el Router Linksys:
En definitiva, el Router TP-LINK, permite configurar algunos parmetros, mas que en el Router
Linksys, al igual que en este configuras parmetros que en el TP-LINK no los tiene, de modo
que son de similares caractersticas, execpto que el TP-LINK, permite crear conexiones 3G.
6. VPN sitio a sitio

a) Escenario CISCO: Instalacin de VPNs IPSEC sitio a sitio con CLI entre
routers CISCO utilizando Packet Tracert Router.
41

perimetral
7. SSH
a) Instalacin del servidor SSH en GNU/Linux
Procedemos a la instalacin de openssh-server:
Comprobamos el estado del servidor:
Esta funcionando ahora vamos a ver los archivos de configuracin, aunque no lo tocaremos ya
que queremos permitir la conexin a todos los equipos de la red, porque al ser una practica,
no es necesario restringir nada:
Esta situado en la ruta /etc/ssh/ssh_config
42

perimetral
b) Conexin al servidor SSH mediante cliente GNU/Linux y
cliente Windows.
Instalamos en un cliente W7, el cliente SSH, en mi caso instalare el cliente PuttY:
Lo instalamos y lo ejecutamos:
Lo primero que nos saldr es esta ventana donde tenemos que introducir la direccin IP del
servidor ssh (10.33.20.5):
Le damos a Open
43

perimetral
Nos logueamos con un usuario dado de alta en el sistema, con su correspondiente contrasea:
Comprobamos como accedemos al equipo servidor, desde un cliente ssh.
AHORA DESDE UN CLIENTE UBUNTU

Instalamos el cliente ssh:
44

perimetral
Ahora accedemos al servidor de la siguiente manera:
ssh usuario@ipServidor
Comprobamos que podemos acceder:
c) Escenario CISCO: Conexin segura a la administracin de un router.

Tenemos el siguiente escenario ssh, de modo que vas a entrar desde el pc al Router para
administrarlo de forma segura:
45

perimetral
Configuramos lo siguiente en el Router:
-
Nombre
Un dominio
Una key rsa
Configuramos el puerto para que se transporte por ssh:
Aadimos esta lnea para poder autentificarse con el usuario primoguijarro.
46

perimetral
Accedemos desde el cliente, probamos la conectividad e intentamos autentificarnos
47

perimetral
8. Protocolos de autenticacin:
a) Escenarios CISCO: Interconexin de redes mediante protocolos
PPP,PAP ,CHAP.
Podemos ver como de R1 a R2 utilizamos el protocolo de autenticacin HDLC, De R2 a R3
utilizamos el mtodo de autenticacin PAP, y de R3 y R1 utilizamos CHAP.
Vemos como funciona correctamente
48

perimetral
9. Servidores de autenticacin
a) Redes Inalmbricas: WPA Personal
Desactivamos le servidor DHCP:
49

perimetral
Le ponemos un nombre a la SSID, y desactivamos SSID Broadcast.
Configuramos la red inalmbrica con WPA2 Personal, con el Algoritmo TKIP+AES

Con la clave:
50

perimetral
Desactivamos el filtrado de MAC:
Intentamos conectarnos a la red asir01:
Podemos comprobar como se ha conectado correctamente:
51

perimetral
b) SERVIDOR RADIUS:
1.- Simulacin de un entorno de red con servidor RADIUS CISCO en el
Packet Tracert Router.
Tenemos la siguiente estructura, donde existe un servidor RADIUS, un cliente RADIUS que ser
l un Router Linksys por el cual enviara la peticin al servidor RADIUS, este autentifica, si es
correcta la configuracin devuelve al Router Linksys el acceso a la red.
52

perimetral
Configuracin del servidor DNS
Configuracin servidor HTTP
53

perimetral
Configuracin servidor RADIUS
Tenemos el cliente RADIUS, que ser el Router Linksys, y nos crearemos 2 usuarios llamados
alvaro y primo, mediante los cuales nos autentificaremos:
Configuramos con una direccin ip estatica, y las DNS que apunten al servidor DNS
54

perimetral
Configuramos el servidor DHCP, para que de direcciones IPS, con su puerta de enlace y sus
DNS.
Configuramos el servidor RADIUS, y el tipo de encriptacin:
55

perimetral
En la configuracin del cliente, le damos a configurar una nueva conexin:
En este ejemplo como nos sabemos los datos de la red, los meteremos manualmente:
56

perimetral
Le indicamos que es una autenticacin WPA2 Enterprise ( La que nos deja utilizar autenticacin
RADIUS):
Le metemos nuestros datos alvaro(inves):
57

perimetral
Nos muestra un resumen:
Podemos comprobar cmo se ha conectado correctamente:
58

perimetral
Accedemos al servidor web, para comprobar que funciona:
Por ltimo realizamos un ping a www.asir.es para ver si resuelve bien los nombres el S.DNS
59

perimetral
2.- Instalacin de un servidor Radius bajo GNU/LINUX

(freeradius) , para autenticar conexiones que provienen de un
router de acceso Linksys WRT54GL: WPA Empresarial.
Comprobacin en un escenario real.
Tenemos el siguiente escenario:
El servidor radius tiene la direccin ip: 192.168.2.150

Instalamos el servidor RADIUS, en Ubuntu poniendo: #apt-get install freeradius
Accedemos a configurar los archivos mas importantes:
Agregamos los siguientes usuarios al archivo users.
60

perimetral
Configuramos el cliente RADIUS, que ser el Router:
Configuramos la red inalmbrica del Router:
61

perimetral
Modo WPA2 Enterprise, indicamos la IP del servidor RADIUS, y la contrasea:
Configuracin manual de un cliente w7, para una autenticacin RADIUS:
62

perimetral
63

Implantacion de Tecnicas de Acceso Remoto

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Implantacion de Tecnicas de Acceso Remoto

Diunggah oleh

Hak Cipta:

Format Tersedia

2012

Implantacin de tcnicas de acceso remoto.

lvaro Primo Guijarro

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

El escenario propuesto ser el siguiente:

Implantacin de tcnicas de acceso remoto. Seguridad

El Cliente XP, acta como NAT:

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Router LINKSYS WRT54L

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

Implantacin de tcnicas de acceso remoto. Seguridad

b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual):

Implantacin de tcnicas de acceso remoto. Seguridad

4. VPN sobre red local

Seleccionamos una Conexin Avanzada.

Implantacin de tcnicas de acceso remoto. Seguridad

Marcamos la opcin de Aceptar conexiones entrantes

Implantacin de tcnicas de acceso remoto. Seguridad

Permitimos las conexiones privadas Virtuales (VPN).

Permitimos al usuario administrador, que acceda a esta VPN.

Implantacin de tcnicas de acceso remoto. Seguridad

Seleccionamos el protocolo TCP/IP, y pinchamos en propiedades.

Finalizamos el proceso de creacin del servidor VPN, veremos algo asi:

Implantacin de tcnicas de acceso remoto. Seguridad

b) Instalacin de un servidor VPN en Windows 2003/2008.

Le damos a Configurar una conexin avanzada:

Aceptamos las conexiones entrantes:

Implantacin de tcnicas de acceso remoto. Seguridad

No marcamos nada, le damos a siguiente:

Implantacin de tcnicas de acceso remoto. Seguridad

Autorizamos al usuario Administrador.

Implantacin de tcnicas de acceso remoto. Seguridad

Configuramos un rango de direcciones IP.

Implantacin de tcnicas de acceso remoto. Seguridad

c) Instalacin de un servidor VPN en GNU/Linux

Ahora procedemos a configurarlo, editamos el archivo siguiente:

Implantacin de tcnicas de acceso remoto. Seguridad

En el mismo fichero configuramos el rango de direcciones ip:

Configuramos el archivo /etc/ppp/chap-secrets, donde agregaremos los usuarios:

Implantacin de tcnicas de acceso remoto. Seguridad

Seleccionamos esta opcin:

Le damos a usar mi conexin a Internet(VPN).

Implantacin de tcnicas de acceso remoto. Seguridad

Le indicamos la IP del servidor VPN, y un nombre adecuado para la conexin:

Le aadimos el usuario y la contrasea:

Implantacin de tcnicas de acceso remoto. Seguridad

Ahora probamos a conectarnos, le damos a conectar:

Le introducimos nuestros datos de acceso:

Implantacin de tcnicas de acceso remoto. Seguridad

Podemos ver como ya estamos conectados a Trazos-Secret:

Implantacin de tcnicas de acceso remoto. Seguridad

Usar mi conexin a Internet (VPN).

Ponemos la IP del servidor, y le asignamos un nombre

Implantacin de tcnicas de acceso remoto. Seguridad

Autentificamos un usuario y un administrador:

Le damos a crear, y se crea correctamente. Ahora en conexiones de red, le damos a conectar a