Story Transcript
Tema 2 – Implantación de mecanismos de seguridad activa Práctica 6 – Riesgos Potenciales en los Servicios de Red Se van a identificar vulnerabilidades de los diversos dispositivos de red y se van a asegurar Switches y Routers. Las prácticas a y b todavía no pueden implantarse.
a) Laboratorio 2.A. CCNA Security – Asegurando Routers Se van a asegurar routers utilizando el PDF de este laboratorio. Hay varios problemas con los nombres, ya que se ha tenido que reiniciar los routers varias veces. Esta es la topología a seguir.
Y este es el escenario en GNS3.
Juan Luis Cano Condés
Página 1
Tema 2 – Implantación de mecanismos de seguridad activa Ahora se configurarán los routers y hosts.
Ahora se configuran los routers. El primero de ellos es R1, que involucra a las redes 192.168.1.0/24 y a la red 10.1.1.0/30
Juan Luis Cano Condés
Página 2
Tema 2 – Implantación de mecanismos de seguridad activa
Y ahora el router que conecta a los otros dos, R2. Conecta las redes 10.1.1.0/30 y 10.2.2.0/30
Finalmente el router R3, que engloba las redes 192.168.3.0/24 y 10.2.2.0/30
Juan Luis Cano Condés
Página 3
Tema 2 – Implantación de mecanismos de seguridad activa
Se configura el enrutamiento estático en R1, R2 y R3.
Se comprueba el enrutamiento entre el router R3 y el host 192.168.1.1 Juan Luis Cano Condés
Página 4
Tema 2 – Implantación de mecanismos de seguridad activa
Ahora se configuran contraseñas seguras en el router R1 y la configuración del Telnet.
Ahora se hace Telnet desde R2 a R1. El comando es rechazado porque no pide la contraseña.
Juan Luis Cano Condés
Página 5
Tema 2 – Implantación de mecanismos de seguridad activa
Siguiendo los pasos se configura de nuevo.
Y entra.
En R1 se ve la conexión.
Juan Luis Cano Condés
Página 6
Tema 2 – Implantación de mecanismos de seguridad activa Si queremos ver las contraseñas desde el router R2 se ven encriptadas.
Mientras que las líneas de consola se ven perfectamente.
El nivel de la contraseña secreta de enable es 5, y las de las líneas de consola son 15. El nivel de la contraseña secreta de enable es mayor, ya que es prioritaria para acceder a cualquier configuración del router.
Juan Luis Cano Condés
Página 7
Tema 2 – Implantación de mecanismos de seguridad activa Ahora se procederá a encriptar las contraseñas.
Tras ello se ve que las contraseñas están encriptadas y el nivel de privilegio, que antes era 15, ahora es 7. Cabe destacar que el nivel de privilegio aumenta cuando el número es menor.
Ahora se configurará un banner para avisar de errores de conexión, para ello se utiliza el comando banner motd $texto$
Se procederá a la investigación sobre la creación de usuarios. Las opciones son estas.
Juan Luis Cano Condés
Página 8
Tema 2 – Implantación de mecanismos de seguridad activa
Se va a crear un usuario sin encriptación. En el running-config puede verse el usuario con la contraseña encriptada. La contraseña es inves12345
Ahora se crea otro usuario, esta vez con una contraseña secreta.
Tras ello se configura el login para que englobe a los usuarios creados y se accede al router como uno de ellos.
Juan Luis Cano Condés
Página 9
Tema 2 – Implantación de mecanismos de seguridad activa
Ahora desde un equipo cliente se accede vía Telnet al router.
Juan Luis Cano Condés
Página 10
Tema 2 – Implantación de mecanismos de seguridad activa
Ahora falla la conexión.
Juan Luis Cano Condés
Página 11
Tema 2 – Implantación de mecanismos de seguridad activa
Tras ello se le ingresan las líneas al router en las que se le permite el login.
Y se realiza la conexión de nuevo desde el cliente Telnet.
Juan Luis Cano Condés
Página 12
Tema 2 – Implantación de mecanismos de seguridad activa Se van a comprobar los parámetros del logging entre routers.
Se realiza un telnet del router R2 al R1 que falla porque el hyperterminal no está habilitado.
Si se habilita.
Se accederá al otro router vía hyperterminal.
Juan Luis Cano Condés
Página 13
Tema 2 – Implantación de mecanismos de seguridad activa
Tras ejecutar el comando service password-encryption se ve el running-config y todas las contraseñas pueden observarse encriptadas, y todas tienen el nivel 7 de prioridad.
Tras ponerle el banner el $ se cambia por los signos ^C
Juan Luis Cano Condés
Página 14
Tema 2 – Implantación de mecanismos de seguridad activa Se crean los usuarios user01 y user02 y se ve el running.
Se abre el puerto de consola y se entra de nuevo.
Al conectarse vía telnet falla.
Juan Luis Cano Condés
Página 15
Tema 2 – Implantación de mecanismos de seguridad activa
Se va a configurar el login seguro entre routers.
Se realiza un telnet, si fallamos al obtener nombre y contraseña da el mensaje “Login failed”. Ahora se configura el protocolo SSH en el router.
Juan Luis Cano Condés
Página 16
Tema 2 – Implantación de mecanismos de seguridad activa
Y se ve el estado del protocolo.
Se modifican los parámetros por defecto del protocolo.
Y se conecta desde un cliente. Juan Luis Cano Condés
Página 17
Tema 2 – Implantación de mecanismos de seguridad activa
Se habilita la contraseña y la vista para root.
Se crea una nueva vista “admin1”
Y se observan los comandos que pueden introducirse.
Juan Luis Cano Condés
Página 18
Tema 2 – Implantación de mecanismos de seguridad activa
Entre muchos otros.
Y tras ello entramos en la vista “admin1” y vemos los comandos que se pueden realizar. La contraseña es “admin01pass”. Juan Luis Cano Condés
Página 19
Tema 2 – Implantación de mecanismos de seguridad activa
Se crea la vista admin2.
Entramos en ella.
Juan Luis Cano Condés
Página 20
Tema 2 – Implantación de mecanismos de seguridad activa Los comandos que faltan en comparación de ls vista “admin1” son debug y configure. Se va a crear la vista “tech” y se le agregan algunos comandos.
Se puede ver que el comando “show ip interface brief” asignado previamente puede realizarlo, sin embargo el comando “show ip route” no es capaz porque no se le ha asignado.
Juan Luis Cano Condés
Página 21
Tema 2 – Implantación de mecanismos de seguridad activa
Posteriormente se vuelve a la vista de “root” y se procede a configurar y proteger el IOS del router. Los comandos no funcionan porque el IOS es externo (ya que es en laboratorio GNS3).
Se continúa utilizando el servicio NTP. Para ello se configura el router R2 modificándole la configuración horaria.
Y en el router 1 se ve la asociación establecida mediante NTP con el router 2. Juan Luis Cano Condés
Página 22
Tema 2 – Implantación de mecanismos de seguridad activa
Como puede verse, no existe el comando debuf ntp all. Si se ve la hora en el router R1, se ha actualizado a la configurada en R2.
Se va a configurar el log de seguridad en el router 1.
Juan Luis Cano Condés
Página 23
Tema 2 – Implantación de mecanismos de seguridad activa Se ve el logging del host.
Se va a proceder a asegurar el router R3 utilizando el comando auto secure, que realiza una política por defecto para el router en cuestión, aplicándole algunos parámetros de configuración como son las contraseñas de enable, un usuario predefinido, el protocolo SSH entre otros.
Juan Luis Cano Condés
Página 24
Tema 2 – Implantación de mecanismos de seguridad activa
Se ve el startup.
Juan Luis Cano Condés
Página 25
Tema 2 – Implantación de mecanismos de seguridad activa El cliente rechaza la conexión.
Por última tarea se va a crear una auditoría de seguridad usando el CCP. Para ello se habilita el servidor HTTP y se configura el CCP.
Tras configurar el servidor se conecta con el CCP.
Juan Luis Cano Condés
Página 26
Tema 2 – Implantación de mecanismos de seguridad activa
Se guarda la configuración del router en el equipo.
Juan Luis Cano Condés
Página 27
Tema 2 – Implantación de mecanismos de seguridad activa
Y finalmente se configurará una auditoría de seguridad.
Juan Luis Cano Condés
Página 28
Tema 2 – Implantación de mecanismos de seguridad activa Se clica en “Perform Security Audit” y se continúa.
Se seleccionan las interfaces, siendo la serial la externa y la Fast Ethernet la interna.
Juan Luis Cano Condés
Página 29
Tema 2 – Implantación de mecanismos de seguridad activa Tras iniciarla aparece un informe.
Juan Luis Cano Condés
Página 30
Tema 2 – Implantación de mecanismos de seguridad activa Tras darle a “Siguiente”, el programa informa de que hay que seleccionar al menos un cuadro de diálogo.
Tras seleccionar todos los objetos se continúa.
Y aparece un cuadro para insertar una contraseña, que será la contraseña secreta de enable, cisco12345. Juan Luis Cano Condés
Página 31
Tema 2 – Implantación de mecanismos de seguridad activa
Se selecciona el nivel de login a errores.
Hace un resumen.
Juan Luis Cano Condés
Página 32
Tema 2 – Implantación de mecanismos de seguridad activa
Se aplican los comandos tras clicar en “Deliver”.
Juan Luis Cano Condés
Página 33
Tema 2 – Implantación de mecanismos de seguridad activa
b) Laboratorio 6.A. CCNA Security – Asegurando Switches Se va a realizar el laboratorio 6.A del CCNA Security, en el que se va a mplantar seguridad en dos Switches en el programa Cisco Packet Tracert
Juan Luis Cano Condés
Página 34
Tema 2 – Implantación de mecanismos de seguridad activa Tras ponerle las direcciones al router y a los equipos, se procede a realizarlo con los switches.
Ahora se configuran las líneas del router. (En el packet tracert no permite activar o desactivar el servicio HTTP en el router)
Juan Luis Cano Condés
Página 35
Tema 2 – Implantación de mecanismos de seguridad activa
Se realiza una comunicación entre los equipos y se procede a establecer SSH en los switches.
Juan Luis Cano Condés
Página 36
Tema 2 – Implantación de mecanismos de seguridad activa No permite generar la clave para realizar el SSH.
Pero si se introduce el comando “#crypto key generate rsa” aparecerá un cuadro de diálogo para configurarlo, por lo que se le asignarán los 1024 bytes.
Se comprueba que SSH está habilitado, teniendo la versión 1.99, siendo 3 intentos los permitidos y teniendo un tiempo de salida de 120 segundos (2 minutos). Se cambia la configuración de SSH y se comprueba de nuevo. Juan Luis Cano Condés
Página 37
Tema 2 – Implantación de mecanismos de seguridad activa
Pero no se puede acceder desde un cliente, ya que en el packet tracert no se pueden realizar conexiones SSH desde los clientes (el comando no funciona)
Se va implantar el modo seguro entre los dos switches utilizando el “mode trunk”
Juan Luis Cano Condés
Página 38
Tema 2 – Implantación de mecanismos de seguridad activa Se configura el modo tronco entre los dos switches, siendo primero el switch 1.
Se habilita el modo tronco en el switch 2 y se le asigna la VLAN Nativa en 99 al switch 2.
Se comprueba que ha habilitado la VLAN nativa en Sjl_2.
Juan Luis Cano Condés
Página 39
Tema 2 – Implantación de mecanismos de seguridad activa
No deja introducir el comando para desactivar la negociación.
Se habilita la tormenta de boradcast, pero no deja comprobarlo.
Se aseguran los puertos.
Juan Luis Cano Condés
Página 40
Tema 2 – Implantación de mecanismos de seguridad activa Aunque se ha confiigurado el bpduguard no aparece.
Se observa la dirección MAC de la interfaz FastEthernet 0/1
Se habilita el puerto en la interfaz 0/5 y se le asigna la dirección MAC de la fast0/1
Juan Luis Cano Condés
Página 41
Tema 2 – Implantación de mecanismos de seguridad activa
Se observa la seguridad del puerto y se comunica con un equipo.
Juan Luis Cano Condés
Página 42
Tema 2 – Implantación de mecanismos de seguridad activa Se apaga la interfaz y se le aplica la dirección MAC de la interfaz 0/1
Se sigue realizando la comunicación con el ordenador.
Se ve la seguridad del puerto.
Juan Luis Cano Condés
Página 43
Tema 2 – Implantación de mecanismos de seguridad activa
Se le quita la MAC añadida.
Se deshabilitan los puertos del switch no utilizados.
Juan Luis Cano Condés
Página 44
Tema 2 – Implantación de mecanismos de seguridad activa
Se va a configurar el PVLAN, la VLAN protegida, no deja introducir el comando.
Se configura el SPAN Monitor. Tampoco se puede configurar.
Juan Luis Cano Condés
Página 45
Tema 2 – Implantación de mecanismos de seguridad activa c) Vulnerabilidades del Protocolo IP en la Capa de Transporte y de Aplicación Se van a reconocer vulnerabilidades del protocolo IP en la Capa de Transporte y en la de Aplicación, además de cómo evitar esos peligros.
Capa de transporte La principal tarea de la Capa de Transporte es proporcionar la comunicación entre un programa de aplicación y otro. Las principales vulnerabilidades están asociadas a la autenticación de integración y autenticación de confidencialidad. Estos términos se relacionan con el acceso a los protocolos de comunicación entre capas, permitiendo la denegación o manipulación de ellos.
La mejor protección es utilizar el protocolo TCP que es más confiable que UDP, a pesar de que el paquete tarde más en manejarse.
Capa de aplicación Hay varios puntos críticos en las aplicaciones, como pueden ser: 1: Se establecen las deficiencias del servicio de nombres de dominio. en el momento que una persona solicita una conexión a un servicio determinado, se solicita una dirección IP y un nombre de dominio, se envía un paquete UDP (Protocolo de Comunicación el cual envía los datos del usuario) a un servidor DNS (Dominio de Nombre de Servicio).
Juan Luis Cano Condés
Página 46
Tema 2 – Implantación de mecanismos de seguridad activa 2: Está dado por el servicio Telnet, el cual se encarga de autentificar la solicitud de usuario, de nombre y contraseña que se trasmiten por la red, tanto por el canal de datos como por el canal de comandos. 3: Está dado por File Transfer Protocol (FTP), el cual al igual que el servicio Telnet, se encarga de autentificar. La diferencia se encuentra en que el FTP lo hace más vulnerable ya que es de carácter anónimo. 4: Está dado por el protocolo HTTP, el cual es responsable del servicio World Wide Web. La principal vulnerabilidad de este protocolo, está asociado a las deficiencias de programación que puede presentar un link determinado [7], lo cual puede poner en serio riesgo el equipo que soporta este link, es decir, el computador servidor. El principal problema viene dado porque hay que diseñar mecanismos de seguridad específico para cada aplicación, siendo muy complicado implantar seguridad. Hasta ahora, lo mejor es implantar mecanismos de seguridad específicos e intentar unificarlos, además de siempre estar al día sobre actualizaciones de seguridad.
Juan Luis Cano Condés
Página 47