Implantación de técnicas de acceso remoto. Seguridad perimetral SAD
RESULTADOS DE APRENDIZAJE Implanta técnicas seguras de acceso remoto a un sistema informático, interpretando y aplicando el plan de seguridad.
Elementos básicos de la seguridad perimetral: - Concepto de seguridad perimetral. - Objetivos de la seguridad perimetral. - Perímetro de la red: -Routers frontera. - Cortafuegos (firewalls). - Sistemas de Detección de Intrusos. - Redes Privadas Virtuales. - Software y servicios. Host Bastion. - Zonas desmilitarizadas (DMZ) y subredes controladas. Arquitecturas de cortafuegos: - Cortafuego de filtrado de paquetes. - Cortafuego Dual-Homed Host. - Screened Host. - Screened Subnet (DMZ). - Otras arquitecturas CONCEPTOS I
CONCEPTOS II Políticas de defensa en profundidad: - Defensa perimetral. Interacción entre zona perimetral (DMZ) y zona externa. Monitorización del perímetro: detección y prevención de intrusos - Defensa interna. Interacción entre zona perimetral (DMZ) y zonas de seguridad interna). Routers y cortafuegos internos Monitorización interna Conectividad externa (Enlaces dedicados y redes VPN) Cifrados a nivel host - Factor Humano.
Redes privadas virtuales. VPN. - Beneficios y desventajas con respecto a las líneas dedicadas. - Tipos de conexión VPN: VPN de acceso remoto, VPN sitio a sitio (tunneling) VPN sobre LAN. - Protocolos que generan una VPN: PPTP, L2F, L2TP. Técnicas de cifrado. Clave pública y clave privada: - Pretty Good Privacy (PGP). GNU Privacy Good (GPG). - Seguridad a nivel de aplicación: SSH ( Secure Shell ). - Seguridad en IP (IPSEC). - Seguridad en Web : SSL ("Secure Socket Layer ). TLS ("Transport Layer Security ) CONCEPTOS III
Servidores de acceso remoto: - Protocolos de autenticación. - Protocolos PPP, PPoE, PPPoA - Autenticación de contraseña: PAP - Autenticación por desafío mutuo: CHAP - Autenticación extensible: EAP. Métodos. - PEAP. - Kerberos. - Protocolos AAA: Radius TACACS+ - Configuración de parámetros de acceso. - Servidores de autenticación. CONCEPTOS IV
CONCEPTOS Resumen tema : 3-5 minutos Actor principal alumno Internet
EXPOSICIÓN DE SEGURIDAD PERIMETRAL: 1. Router frontera: a) Manual usuario /técnico de un router doméstico. b) Realiza una comparativa entre los routers frontera atendiendo a las opciones de seguridad perimetral (NAT,Firewall,DMZ, etc) Router DLINK: http://support.dlink.com/emulators/di604_reve Router LINKSYS: simulador: http://ui.linksys.com/files/wrt54gl/4.30.0/setup.htm simulador: http://ui.linksys.com/files/ag241/1.00.16/setup.htm Router TP-LINK: http://www.tp-link.com/resources/simulator/wr842nd(un)1.0/index.htm 2. DMZ: a) DMZ construida con un router doméstico. Servicio Web. TAREAS O ACTIVIDADES I 3. NAT: a) Comprobación de la seguridad perimetral de un router doméstico. Utilizar DNS Dinámico (DDNS) 2 b) Port Forwarding (Reenvio de puertos) en un router doméstico. Servicio Web en la red interna. c) Informe: Diferencia entre Port Forwarding y Port Triggering en los routers. 1
REDES PRIVADAS VIRTUALES (VPN) 4. VPN de acceso remoto a) Informe: Protocolo PPTP. Comparación con otros protocolos VPN. b) Acceso VPN a IES Gregorio Prieto. Protocolo PPTP. 1. - Cliente Windows / Cliente Linux. 2.- (OPCIONAL): Otros clientes. 4 c) Acceso VPN Passthrough. Protocolo PPTP. d) Acceso VPN a Casa. Servidor VPN. Protocolo PPTP. e) CISCO CCNA Security 1.1. Laboratorio Lab-8-B; VPN Acceso.remoto 1 - Realizar en el laboratorio virtual (GNS3) individualmente. 2 - Realizar en el laboratorio físico por grupos de alumnos. 3 5 EXPOSICIÓN DE TAREAS O ACTIVIDADES II 5. VPN sitio a sitio a) CISCO CCNA Security 1. 1. Laboratorio Lab- 8- A: VPN sitio-a-sitio 1 - Realizar en el laboratorio virtual (GNS3) individualmente. 2 - Realizar en el laboratorio físico por grupos de alumnos.
REDES PRIVADAS VIRTUALES (VPN) 6. VPN sobre red local - Realizar en grupos de alumnos. a) Instalación de un servidor VPN en Windows XP/7/ Windows 2003/2008 Server. b) Instalación de un servidor VPN en GNU/Linux (Ubuntu/Debian/Fedora/Zentyal, ). c) Conexión desde un cliente Windows y GNU/Linux VPN a un servidor VPN de la red local. TECNICAS DE CIFRADO: COMUNICACIONES SEGURAS 7. SSH a) Instalación del servidor SSH en GNU/Linux b) Conexión al servidor SSH mediante cliente GNU/Linux y cliente Windows. c) Conexión segura a la administración de un router CISCO (Simulación GNS3) 6 EXPOSICIÓN DE TAREAS O ACTIVIDADES III
EXPOSICIÓN DE SERVIDORES DE ACCESO REMOTO 8. Protocolos de autenticación: 1.- Escenarios CISCO: Interconexión de redes mediante protocolos PPP,PAP, CHAP - Realizar en el laboratorio virtual (GNS3) individualmente. TAREAS O ACTIVIDADES IV 9. Servidores de autenticación a) SERVIDOR RADIUS: 1.- Simulación de un entorno de red con servidor RADIUS CISCO en el simulador Packet Tracer. 2.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius), para autenticar conexiones que provienen de un router de acceso CISCO Linksys WRT54GL. a.- Autenticación de usuarios en texto plano. b.- Autenticación de usuarios basado en bases de datos (MySQL,SQL Server,etc.)
SERVIDORES DE ACCESO REMOTO 3.- Instalación de un servidor RADIUS en Zentyal para autenticar conexiones que provienen de un router de acceso Linksys WRT54GL. Comprobación en un escenario real. 4.- Busca información sobre EDUROAM y elabora un breve informe sobre dicha infraestructura. http://www.eduroam.es/ EXPOSICIÓN DE TAREAS O ACTIVIDADES V 5.- (OPCIONAL) CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo seguro utilizando AAA y RADIUS (WinRadius en Windows XP) - Realizar en el laboratorio físico por grupos de alumnos. 6.- (OPCIONAL) Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius), para autenticar conexiones que provienen de un punto de acceso CISCO AIRONET 1130AG. a.- Autenticación de usuarios en texto plano. b.- Autenticación de usuarios basado en bases de datos (MySQL, SQLServer,etc.)
EXPOSICIÓN DE SERVIDORES DE ACCESO REMOTO 9. Servidores de autenticación b) SERVIDOR LDAP: (OPCIONAL) 1.- Instalación de un servidor OpenLDAP GNU/LINUX (OpenLDAP). http://www.openldap.org/ 2.- Instalación de un cliente LDAP bajo Windows o GNU/Linux para autenticarse. 3.- Busca información sobre LDAP y su implementación en productos comerciales. http://www.rediris.es/ldap/ TAREAS O ACTIVIDADES VI
EXPOSICIÓN DE SERVIDORES DE ACCESO REMOTO 9. Servidores de autenticación c) SERVIDOR KERBEROS (OPCIONAL) 1.- Instalación de un servidor Kerberos 5 GNU/LINUX. http://web.mit.edu/kerberos/www/ 2.- Instalación de un cliente Kerberos 5 bajo Windows o GNU/Linux para autenticarse. 3.- Busca información sobre el estado actual de Kerberos y su adaptación e integración en las Empresas TAREAS O ACTIVIDADES VII
REALIZACIÓN DE TAREAS O ACTIVIDADES POR EL ALUMNO RECUERDA Realizar un video-resumen de esta unidad didáctica