KORE U3 A2 ABCD - OPTIMIZACION DE REDES PDF

Preview

Summary

OPTIMIZACION DE REDES...

Description

DIVISIÓN DE CIENCIAS EXACTAS, INGENIERÍA Y TECNOLOGÍA

Unidad 3 / Actividad 2 Configuración de router seguro

Optimización de Redes

Ingeniería en Telemática

INDICE.

Introducción ……………………………………………………………………………………………. 02 Práctica configuración de seguridad ………………………………………………………………… 04 Diagrama en Packet Tracer ………………………………………………………………………….. 19 Conclusiones …………………………………………………………………………………………… 20 Referencias bibliográficas …………………………………………………………………………….. 21

INTRODUCCIÓN. Las grandes empresas normalmente despliegan sistemas de seguridad distribuidos que protegen redes y servicios de red frente a accesos no autorizados. Esto garantiza el control de quién se conecta a la red y qué están autorizados a hacer los usuarios conectados, al tiempo que permite mantener una pista de auditoría de la actividad de los usuarios. Los protocolos AAA (Authentication, Authorization, Accounting), como RADIUS (RFC 2865) y TACACS+ (desarrollado por Cisco), fueron concebidos para resolver estos problemas. La arquitectura AAA permite el acceso de los usuarios legítimos a los activos conectados a la red e impide el acceso no autorizado. La aplicación Secure ACS de Cisco, por ejemplo, permite disponer de protección AAA en el acceso a red mediante el uso del protocolo TACACS+ en muchas de las grandes corporaciones. Autenticación Los esquemas de ID de usuario / contraseña para redes proporcionan un nivel de seguridad primitivo. Sólo se configura un número limitado de ID de cuentas y es preciso administrarlas en cada hardware. Cada vez que se añade, se elimina o se modifica una cuenta, es preciso acceder individualmente a cada sistema, lo que resulta costoso y aumenta las posibilidades de cometer errores. Asimismo, cada usuario tiene que recordar su ID y contraseña para obtener acceso. Si tenemos en cuenta el gran número de ID y contraseñas que los usuarios deben recordar para distintos fines, esto puede suponer un problema cuando el usuario necesita obtener acceso en un momento crítico. Dado que las ID y contraseñas se envían a través de red, cualquier equipo de seguimiento sencillo es capaz de capturar esta información con facilidad y exponer su red a un riesgo de seguridad. Al utilizar un sistema AAA se eliminan estos problemas. Todas las ID y contraseñas están centralizadas y se pueden utilizar las cuentas existentes para acceder a nuevos equipos a medida que la red cambia o crece. Los procesos de actualización de cuentas ya existentes eliminan los errores y la frustración de los usuarios. Las ID y contraseñas se cifran mediante un algoritmo de hash de eficacia contrastada. En consecuencia, sus cuentas estarán a salvo de intrusiones. También es posible configurar servidores de autenticación principal y secundaria redundantes para garantizar el acceso. Dichos servidores pueden ser de tipos diferentes.

Autorización Tras la autenticación del usuario, la autorización determina los recursos a los que puede acceder el usuario y las operaciones que puede realizar. Usuario de “Administración” con acceso de lectura/escritura completo, así como un perfil de usuario “Operador” de solo lectura, los perfiles pueden configurarse y controlarse desde el servidor de autenticación. Como proceso centralizado, esto elimina los inconvenientes que plantea la edición en cada equipo individualmente. Contabilización La faceta de contabilización de los servidores AAA proporciona una pista de auditoría de cómo establecieron los usuarios la conexión, de qué dirección IP procedían y cuánto tiempo han permanecido conectados. Esto permite a los administradores revisar fácilmente problemas de seguridad y de acceso operativo que hayan tenido lugar en el pasado.

Práctica configuración de seguridad. Se inició la práctica configurando una red de acuerdo a las indicaciones. Las siguientes imágenes muestran la configuración inicial.

Los comandos utilizados. En cada router no ip domain-lookup banner motd #ACCESO RESTRINGIDO#

!solo en R1 int fa0/1 ip address 192.168.10.1 255.255.255.0 no shut exit int s0/0/0 ip address 10.1.1.1 255.255.255.252 no shut exit

!solo en R2 int fa0/0 ip address 192.168.20.1 255.255.255.0 no shut exit int s0/0/0 ip address 10.2.2.1 255.255.255.252 no shut exit interface Loopback0 ip address 209.165.200.225 255.255.255.224

!solo en R3 int fa0/1 ip address 192.168.30.1 255.255.255.0 no shut exit int s0/0/1 ip address 10.2.2.1 255.255.255.252 no shut exit int s0/0/0 ip address 10.1.1.2 255.255.255.252 no shut exit

!en S1 vlan 10 exit interface vlan 10 ip address 192.168.10.2 255.255.255.0 ip default-gateway 192.168.10.1 no shutdown interface range fastethernet 0/1 - 2 switchport access vlan 10 switchport mode access exit

!en S3 vlan 30 exit interface vlan 30 ip address 192.168.30.2 255.255.255.0 ip default-gateway 192.168.30.1 no shutdown interface range fastethernet 0/1 - 2 switchport access vlan 30 switchport mode access exit

!En PC1 NIC 192.168.10.10 255.255.255.0 192.168.10.1

!En PC3 NIC 192.168.30.10 255.255.255.0 192.168.30.1

!en Servidor TFTP NIC 192.168.20.254 255.255.255.0 192.168.20.1

!en todos los routers router rip version 2 passive-interface default no auto-summary !En R1 no passive-interface s0/0/1

network 10.1.1.0 network 192.168.10.0

!En R2 no passive-interface s0/0/1 no passive-interface s0/0/0 network 10.2.2.0 network 192.168.20.0 network 209.165.200.224

!En R3 no passive-interface s0/0/1 network 10.1.1.0 network 10.2.2.0 network 192.168.30.0 ! se checaron las networks correspondientes con show ip route connected

Contraseñas seguras y autenticacion AAA mediante BD local

!En R1 service password-encryption enable secret ciscoccna username ccna password ciscoccna aaa new-model aaa authentication login local_auth local

!Para establecer la seguridad de las lineas de consola y vty line con 0

exec-timeout 5 0 transport output telnet line vty 0 4 login authentication local_auth transport input telnet login block-for 300 attempt 2 within 120 security authentication failure rate 10 log

C: Establecer la seguridad de acceso a la red Paso 1. Impedir la propagación de la actualización del enrutamiento RIP. Paso 2. Impedir la recepción no autorizada de actualizaciones RIP. Paso 3. Verificar que el enrutamiento RIP sigue funcionando.

!En R1: key chain RIP_KEY key 1 key-string cisco int s0/0/0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY router rip version 2 passive-interface default no passive-interface s0/0/0 network 10.0.0.0 network 192.168.10.0 no auto-summary

!En R2: key chain RIP_KEY key 1 key-string cisco int s0/0/1 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY router rip version 2 passive-interface default no passive-interface s0/0/1 network 10.0.0.0 network 192.168.20.0 no auto-summary

!En R3: key chain RIP_KEY key 1 key-string cisco int s0/0/1 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY int s0/0/0 ip rip authentication mode md5 ip rip authentication key-chain RIP_KEY

router rip version 2 passive-interface default no passive-interface s0/0/0 no passive-interface s0/0/1 network 10.0.0.0 network 192.168.30.0 no auto-summary

Van las imágenes de la configuración final de cada router y los switches. Router 1

Ahora el router 2

Router 3

Switch 1

Switch 3

Diagrama completo tomado de Packet Tracer

Referencias bibliográficas. ND. (ND). Uso de seguridad AAA para la administración de Equipos de Conectividad. ---, de Perle Systems, Sitio web: https://www.perlesystems.es/supportfiles/aaa-security.shtml ND. (ND). Protocolo AAA. ---, de WikiPedia, Sitio web: https://es.wikipedia.org/wiki/Protocolo_AAA ND. (ND). Configuración de AAA básico en un servidor de acceso. ---, de Cisco, Sitio web: https://www.cisco.com/c/es_mx/support/docs/security-vpn/terminal-access-controller-access-controlsystem-tacacs-/10384-security.html ND. (2012). Configurar servidor AAA. ---, de TodoPacketracer, Sitio web: https://todopacketracer.com/2012/03/16/configurar-servidor-aaa/...