2012 Implantación de técnicas de acceso remoto. Seguridad Álvaro Primo Guijarro Practicas UD03 12/01/2012
Contenido 1.NAT:... 5 a) Comprobación de la seguridad a través de un NAT (Laboratorio virtual)... 5 2. Router frontera:... 8 a) Planteamiento escenario CISCO Packet Tracert: esquema.... 8 b) Realiza una comparativa entre los routers frontera atendiendo a las opciones de seguridad (NAT,Firewall,DMZ, etc)... 9 Router D-Link DI-604... 9 Router LINKSYS WRT54L... 10 Router 300Mbps Multi-Function Wireless N Router... 12 3. DMZ... 13 a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas.... 13 b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas... 14 4. VPN sobre red local... 15 a) Instalación de un servidor VPN en Windows XP.... 15 b) Instalación de un servidor VPN en Windows 2003/2008.... 19 c) Instalación de un servidor VPN en GNU/Linux... 23 d) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN.... 29 5. VPN de acceso remoto... 34 6. VPN sitio a sitio... 41 a) Escenario CISCO: Instalación de VPNs IPSEC sitio a sitio con CLI entre... 41 routers CISCO utilizando Packet Tracert Router.... 41 7. SSH... 42 a) Instalación del servidor SSH en GNU/Linux... 42 b) Conexión al servidor SSH mediante cliente GNU/Linux y... 43 cliente Windows.... 43 c) Escenario CISCO: Conexión segura a la administración de un router.... 45 8. Protocolos de autenticación:... 48 a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP,CHAP.... 48 9. Servidores de autenticación... 49 a) Redes Inalámbricas: WPA Personal... 49 b) SERVIDOR RADIUS:... 52 1.- Simulación de un entorno de red con servidor RADIUS CISCO en el... 52 2
Packet Tracert Router.... 52 2.- Instalación de un servidor Radius bajo GNU/LINUX (freeradius), para autenticar conexiones que provienen de un router de acceso Linksys WRT54GL: WPA Empresarial. Comprobación en un escenario real.... 60 3
4
1.NAT: Implantación de técnicas de acceso remoto. Seguridad a) Comprobación de la seguridad a través de un NAT (Laboratorio virtual) Configuramos la maquina virtual en modo NAT, para ello le damos a Edit / Virtual Network Editor. Editamos el modo NAT con las IP S que queramos. El escenario propuesto será el siguiente: 5
El cliente Molinux está en VMnet 8 (NAT). El Cliente XP, actúa como NAT: 6
El cliente Ubuntu que esta en modo Bridge. La practica será la siguiente desde el cliente Molinux en VMnet8 (NAT) realizaremos un ping al cliente Bridge(Ubuntu), de modo que nos tiene que dejar: 7
Sin embargo, si realizamos un ping desde el Ubuntu al Molinux, no nos debe dejar, esto quiere decir que funciona correctamente la seguridad con NAT. 2. Router frontera: a) Planteamiento escenario CISCO Packet Tracert: esquema. En este caso tenemos 2 Routers, uno que será el que le proporcione servicio a la empresa( Router Frontera), y otro Router que será el del ISP, que es el que proporciona internet. 8
b) Realiza una comparativa entre los routers frontera atendiendo a las opciones de seguridad (NAT,Firewall,DMZ, etc) Router D-Link DI-604 Firewall Permite Configurar el origen y el destino junto con las direcciones IPS, de cada uno. Puede ser de una LAN o una WAN, además incluye para indicarle en que momento queremos que entren a nuestro Router. 9
DMZ Configuramos una zona desmilitarizada con la ip 192.168.0.252. Este modelo te permite realizar pocas configuraciones respecto al DMZ Router LINKSYS WRT54L Firewall Este modelo permite bloquear las respuestas anónimas de internet, un filtro multicast,etc 10
VPN Permite aceptar un túnel VPN. Internet Access Se pueden crear listas de acceso de PCS, a la red. 11
Router 300Mbps Multi-Function Wireless N Router SECURITY Permite utilizar el SPI Firewall, configurar algunos parámetros de VPN, y ALG. DMZ Este sin embargo te permite asignarle el rango que queramos a la zona desmilitarizada. 12
ACL Permite crear listas de acceso, a los host de la red. 3. DMZ a) Planteamiento de escenarios DMZ en Cisco (Packet Tracert): esquemas. DMZ Basico: 13
DMZ Complejo: b) Planteamiento de escenarios DMZ en Linux (laboratorio virtual): esquemas. DMZ Simple: 14
DMZ Complejo: Son los mismos esquemas que los anteriores lo que pasa que los routers son equipos con dos tarjetas, redireccionando. 4. VPN sobre red local a) Instalación de un servidor VPN en Windows XP. En conexiones de red, creamos una nueva conexión de red. Seleccionamos una Conexión Avanzada. 15
Marcamos la opción de Aceptar conexiones entrantes Le damos a siguiente 16
Permitimos las conexiones privadas Virtuales (VPN). Permitimos al usuario administrador, que acceda a esta VPN. 17
Seleccionamos el protocolo TCP/IP, y pinchamos en propiedades. Ahora ponemos un rango de direcciones IP. Finalizamos el proceso de creación del servidor VPN, veremos algo asi: 18
b) Instalación de un servidor VPN en Windows 2003/2008. Al igual que en Windows XP, creamos una nueva conexión de red. Le damos a Configurar una conexión avanzada: Aceptamos las conexiones entrantes: 19
No marcamos nada, le damos a siguiente: 20
Como queremos hacer VPN, permitimos conexiones privadas virtual. Autorizamos al usuario Administrador. 21
Seleccionamos el Protocolo TCP/IP, propiedades: Configuramos un rango de direcciones IP. 22
Finalizamos el proceso de instalación. c) Instalación de un servidor VPN en GNU/Linux Instalamos el un servidor VPN para Linux: Ahora procedemos a configurarlo, editamos el archivo siguiente: 23
Ahora editamos las siguientes líneas del archivo: En el mismo fichero configuramos el rango de direcciones ip: Configuramos el archivo /etc/ppp/chap-secrets, donde agregaremos los usuarios: Donde alvaro será el nombre de usuario, primoguijarro será el nombre del servidor, inves será la contraseña de alvaro, y el * quiere decir que cojera todas las direcciones IP. Reiniciamos los servicios: 24
Bien ahora tenemos bien configurado el Servidor VPN, ahora accedemos con un cliente Windows 7, con la dirección IP 10.33.20.5. Conexiones de Red, Crear una nueva Seleccionamos esta opción: Le damos a usar mi conexión a Internet(VPN). 25
Le indicamos la IP del servidor VPN, y un nombre adecuado para la conexión: Le añadimos el usuario y la contraseña: 26
Nos dice que se ha creado correctamente. Ahora probamos a conectarnos, le damos a conectar: Le introducimos nuestros datos de acceso: 27
Esperamos mientras se comprueba y registra la conexión: Podemos ver como ya estamos conectados a Trazos-Secret: Si le damos a propiedades podemos observar como la información que se envían por el túnel tiene compresión: 28
d) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN. En conexiones de red, creamos una nueva y marcamos: Usar mi conexión a Internet (VPN). Ponemos la IP del servidor, y le asignamos un nombre 29
Autentificamos un usuario y un administrador: Le damos a crear, y se crea correctamente. Ahora en conexiones de red, le damos a conectar a Conexión VPN. 30
El usuario es administrador, con Contraseña: clave3. Le damos a Conectar. Se esta conectando Podemos ver como se ha creado el tunel VPN correctamente. Vemos en el Servidor la conexión como se ha creado. 31
AHORA LO CONFIGURAMOS DESDE UN CLIENTE UBUNTU En conexiones de red le damos a Añadir una Nueva Conexión VPN Seleccionamos la opción PPTP 32
Creamos la conexión, con los siguientes datos: Le damos a conectarnos, y podemos comprobar como nos marca con una V, como de que se ha conectado 33
5. VPN de acceso remoto a) Utiliza la plantilla del curso virtual para configurar los parámetros. b) Configurar el router Linksys RV200 como un servidor VPN de acceso remoto. Utiliza el simulador http://ui.linksys.com/files/wrv200/1.0.29/setupdhcp.htm Nos creamos la autenticación con un usuario: VPN sitio a sitio a) Utiliza la plantilla del curso virtual para configurar los parámetros. b) En cada sitio existe un router Linksys RV042. Configurar cada sitio - router Linksys RV042 utilizando el simulador http://ui.linksys.com/files/rv042/1.2.3/home.htm 34
CONFIGURACIÓN ROUTER CENTRAL 35
CONFIGURACIÓN ROUTER SUCURSAL 36
c) Compara la configuración de dicho router Linksys inalámbrico Linksys WRT54GL con un router de acceso inalámbrico TP-LINK, utilizando un simulador de modelo elegido con VPN: http://www.tp-link.com/en/support/emulators/ El Router TL-MR3420 respecto al Linksys WRT54GL tiene las siguientes características: - Permite crear conexiones 3G, indicándole el operador de la compañía: 37
Según el país que escojamos, existirán diversas compañías: El Router Linksys WRT54GL no te permite conexiones 3G. Este Router te permite conexiones dns dinamicas a través de dyndns, no-ip, y comexe. 38
El Router linksys permite estas proveedores: Respecto al filtrado de MAC, el Router TP-LINK, permite añadir hosts específicos, haciéndonos asi mas fácil el filtrado de MAC. 39
Sin embargo el Linksys es más simple y solo permite activarlo y desactivarlo: El Router TP-LINK permite crear una zona DMZ, mediante esta opción: El Router Linksys no permite crear zonas DMZ. En cuanto al apartado de VPN, nos permite activar los protocolos de envió de VPN. 40
Esta característica es la misma que en el Router Linksys: En definitiva, el Router TP-LINK, permite configurar algunos parámetros, mas que en el Router Linksys, al igual que en este configuras parámetros que en el TP-LINK no los tiene, de modo que son de similares características, execpto que el TP-LINK, permite crear conexiones 3G. 6. VPN sitio a sitio a) Escenario CISCO: Instalación de VPNs IPSEC sitio a sitio con CLI entre routers CISCO utilizando Packet Tracert Router. 41
7. SSH Implantación de técnicas de acceso remoto. Seguridad a) Instalación del servidor SSH en GNU/Linux Procedemos a la instalación de openssh-server: Comprobamos el estado del servidor: Esta funcionando ahora vamos a ver los archivos de configuración, aunque no lo tocaremos ya que queremos permitir la conexión a todos los equipos de la red, porque al ser una practica, no es necesario restringir nada: Esta situado en la ruta /etc/ssh/ssh_config 42
b) Conexión al servidor SSH mediante cliente GNU/Linux y cliente Windows. Instalamos en un cliente W7, el cliente SSH, en mi caso instalare el cliente PuttY: Lo instalamos y lo ejecutamos: Lo primero que nos saldrá es esta ventana donde tenemos que introducir la dirección IP del servidor ssh (10.33.20.5): Le damos a Open 43
Nos logueamos con un usuario dado de alta en el sistema, con su correspondiente contraseña: Comprobamos como accedemos al equipo servidor, desde un cliente ssh. AHORA DESDE UN CLIENTE UBUNTU Instalamos el cliente ssh: 44
Ahora accedemos al servidor de la siguiente manera: ssh usuario@ipservidor Comprobamos que podemos acceder: c) Escenario CISCO: Conexión segura a la administración de un router. Tenemos el siguiente escenario ssh, de modo que vas a entrar desde el pc al Router para administrarlo de forma segura: 45
Configuramos lo siguiente en el Router: - Nombre - Un dominio - Una key rsa Configuramos el puerto para que se transporte por ssh: Añadimos esta línea para poder autentificarse con el usuario primoguijarro. 46
Accedemos desde el cliente, probamos la conectividad e intentamos autentificarnos 47
8. Protocolos de autenticación: a) Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP,CHAP. Podemos ver como de R1 a R2 utilizamos el protocolo de autenticación HDLC, De R2 a R3 utilizamos el método de autenticación PAP, y de R3 y R1 utilizamos CHAP. Vemos como funciona correctamente 48
9. Servidores de autenticación a) Redes Inalámbricas: WPA Personal Desactivamos le servidor DHCP: 49
Le ponemos un nombre a la SSID, y desactivamos SSID Broadcast. Configuramos la red inalámbrica con WPA2 Personal, con el Algoritmo TKIP+AES Con la clave: 50
Desactivamos el filtrado de MAC: Intentamos conectarnos a la red asir01: Podemos comprobar como se ha conectado correctamente: 51
b) SERVIDOR RADIUS: 1.- Simulación de un entorno de red con servidor RADIUS CISCO en el Packet Tracert Router. Tenemos la siguiente estructura, donde existe un servidor RADIUS, un cliente RADIUS que será él un Router Linksys por el cual enviara la petición al servidor RADIUS, este autentifica, si es correcta la configuración devuelve al Router Linksys el acceso a la red. 52
Configuración del servidor DNS Configuración servidor HTTP 53
Configuración servidor RADIUS Tenemos el cliente RADIUS, que será el Router Linksys, y nos crearemos 2 usuarios llamados alvaro y primo, mediante los cuales nos autentificaremos: Configuramos con una dirección ip estatica, y las DNS que apunten al servidor DNS 54
Configuramos el servidor DHCP, para que de direcciones IPS, con su puerta de enlace y sus DNS. Configuramos el servidor RADIUS, y el tipo de encriptación: 55
En la configuración del cliente, le damos a configurar una nueva conexión: En este ejemplo como nos sabemos los datos de la red, los meteremos manualmente: 56
Le indicamos que es una autenticación WPA2 Enterprise ( La que nos deja utilizar autenticación RADIUS): Le metemos nuestros datos alvaro(inves): 57
Nos muestra un resumen: Podemos comprobar cómo se ha conectado correctamente: 58
Accedemos al servidor web, para comprobar que funciona: Por último realizamos un ping a www.asir.es para ver si resuelve bien los nombres el S.DNS 59
2.- Instalación de un servidor Radius bajo GNU/LINUX (freeradius), para autenticar conexiones que provienen de un router de acceso Linksys WRT54GL: WPA Empresarial. Comprobación en un escenario real. Tenemos el siguiente escenario: El servidor radius tiene la dirección ip: 192.168.2.150 Instalamos el servidor RADIUS, en Ubuntu poniendo: #apt-get install freeradius Accedemos a configurar los archivos mas importantes: Agregamos los siguientes usuarios al archivo users. 60
Configuramos el cliente RADIUS, que será el Router: Configuramos la red inalámbrica del Router: 61
Modo WPA2 Enterprise, indicamos la IP del servidor RADIUS, y la contraseña: Configuración manual de un cliente w7, para una autenticación RADIUS: 62
63