SEGURIDAD Y ALTA
DISPONIBILIDAD
Tema 5. Seguridad en Redes
Corporativas
Prcticas
En las siguientes prcticas se pide documentar todo el proceso para
realizarlas, as como las pruebas necesarias.
Deber entregarse un documento en formato Word o Pdf con las
soluciones documentadas antes del da 30 de enero de 2014.
�1. A continuacin se lista una serie de enlaces que permiten realizar un test
de la velocidad de acceso a Internet, de modo que un resultado muy inferior
al contratado podra ser un sntoma de tener ocupantes no deseados en
nuestra mquina. Son las velocidades de subida y bajada las esperadas?
http://www.adsl4ever.com/test/
http://www.testdevelocidad.es/
No se ha podido realizar la prueba debido al proxy
http://www.internautas.org/testvelocidad/
�http://www.adslayuda.com/test-de-velocidad/
Recuerda que el ancho de banda del aula es compartido por todos los PC del
mismo. Realiza el test de velocidad de manera individual (sin que nadie en
el aula lo realice o est haciendo uso de Internet).
�2. Configura de forma segura un router Linksys WRT54GL mediante su web
para simulacin de configuracin online:
http://ui.linksys.com/files/WRT54GL/4.30.0/Setup.htm
Cambiamos el nombre al router y la direccin IP, adems le
configuramos con la hora de Espaa y desactivamos el servidor DHCP
�Ahora configuramos wifi de manera que cambiamos el nombre de la
red wireless (SSID)
Activamos la seguridad wireless con el algoritmo AES y la
encriptacin WPA2 Personal, adems la clave tendr 20 dgitos que es
lo ms adecuado para que WPA2 sea efectivo
�En Windows, abrimos la consola de comandos y escribimos ipconfig /all para
ver la direccin MAC de nuestro ordenador e incluirla en la lista de
dispositivos a los que se permite la conexin. Pongamos el caso de que en
lugar de ser un adaptador Ethernet fuera un adaptador wi-fi.
La siguiente ventana la dejamos como est
�Dejamos el Firewall activado
Aqu tampoco hacemos nada
�En el caso de que tuviramos que redirigir puertos a nuestro ordenador
porque tenemos por ejemplo un servidor web y queremos que sea accesible
desde el exterior de nuestra red, la configuracin de los puertos la haramos
aqu
Si quisiramos que algn equipo estuviera en la zona desmilitarizada le
pondramos aqu
�En esta ventana aadimos el acceso web por HTTPS
Es posible configurar todos los aspectos analizados en el tema?
Creo que se han configurado los aspectos ms importantes en cuanto a
seguridad wireless
3. Busca informacin sobre la pintura antiwifi de EM-SEC Technologies y
descubre su principio de funcionamiento. Crees que podra ser til y
seguro? Cmo se implementara?
Puedes leer sobre dicha pintura en:
http://www.publico.es/ciencias/273942/una-pinturaprotege-a-losnavegantes-de-los-intrusos/version-imprimible
Si en realidad funciona podra ser bastante til por ejemplo en los
hospitales donde las ondas de baja frecuencia pueden interferir con
determinados aparatos mdicos hospitalarios. Su implementacin consistira
en pintar las paredes de las salas donde estn estos equipos con esta
pintura.
�4. Realiza el siguiente test sobre phishing de Verisign disponible en
https://www.phish-nophish.com/es con consejos tiles para reconocer
pginas web falsas y realiza un resumen con recomendaciones tiles.
Crees ahora que solo garantizando que la web es https se trata de
una web confiable?
Una web no es confiable nicamente porque en la URL ponga https ya que
hay imitaciones de las pginas originales muy buenas que a veces se
detectan por fallos en el texto o el formato, pero que en caso de navegar
con premura casi no nos daramos cuenta de ello.
5. Establece una comunicacin HTTP entre dos mquinas bajo un tnel
SSH previamente establecido. Primero realiza la comunicacin en HTTP y
monitorzala con WireShark. Despus establcela bajo el tnel SSH y
monitorzala con WireShark. Compara los resultados.
Realizamos una conexin desde el explorador de W715 a la mquina
Ubuntu15 que tiene a Webalizer como pgina principal del servidor web
�Al hacer la captura del trafico con Wireshark, podemos ver que se ven todos
los datos de la conexin, cosa que no es muy segura
�Para asegurar la conexin http, vamos a crear un tunel ssh con la opcin de
Putty SSH-->Tunnels
Nos conectamos a la mquina Ubuntu15 por ssh
�Ahora que tenemos el tunel creado, volvemos a conectarnos por http a la
mquina Ubuntu15 y a su pgina principal de Webalizer
Como podemos ver, ya no se captura ningn dato con Wireshark, por lo que
el tnel ssh es realmente efectivo en cuanto a seguridad
�6. Crea una VPN del tipo acceso remoto entre dos equipos. El cliente VPN
estar en la red externa y el servidor VPN en la red interna. El servidor
VPN ser Windows Server. Aplicarlo al uso por parte del usuario remoto
de cualquier aplicacin/servicio de la red interna.
Instalamos en el Server 2008 el servidor de enrutamiento y acceso remoto
�En la siguiente ventana seleccionamos Configuracin personalizada
�Elegimos Acceso a VPN
�Damos a finalizar
iniciamos el servicio de enrutamiento y acceso remoto
�En usuarios y equipos de Active Directory, creamos el usuario manu
En propiedades de manu, vamos a Marcado y en Permiso de acceso a redes
marcamos Permitir acceso, damos a Aplicar y aceptamos
�Al crear una nueva conexin entrante, lo primero que se nos pregunta es
Quin puede conectarse a este equipo? Seleccionamos a los usuarios
Administrador y manu
Por defecto se conectarn a travs de Internet
�Pinchamos en Propiedades del Protocolo de Internet versin 4
Asignamos un rango de direcciones desde 10.0.15.100 hasta 10.0.15.150
�El sistema nos informa que el nombre del equipo es WS2008NAT15
�Vamos a Windows 7 y configuramos una nueva conexin de red.
Seleccionamos Conectarse a un rea de trabajo
En la direccin de Internet ponemos el nombre del servidor VPN
�Introducimos el usuario manu que creamos anteriormente en el servidor
Efectivamente, nos hemos conectado
Poniendo ipconfig /all en la consola de Windows 7, vemos que la IP que nos
ha dado el servidor VPN es la 10.0.15.102, que est dentro del rango de
direcciones que habamos configurado en el servidor
�7. Crea una VPN del tipo acceso remoto usando Zentyal. En este caso
Zentyal har tambin las funciones de router software.
Se puede consultar la web http://doc.zentyal.org/es/vpn.html
Creamos la ruta a la IP de Carlos 10.0.14.0/24
Hacemos un ping desde Zentyal15 a la mquina de Carlos
�Vemos que tenemos el servicio VPN corriendo
Vemos los certificados que tenemos en el servidor
Habilitamos el servidor VPN
�Comprobamos la configuracin del servidor VPN
�Por ltimo nos aseguramos que el mdulo VPN est activado
Parte cliente desde mquina Windows 7
Como cliente desde W715, nos conectamos via WinSCP a la mquina de
Carlos que es el servidor VPN de Zentyal
�Hemos descargado el paquete de certificados del servidor VPN en Zentyal
de Carlos
Desempaquetamos los certificados en el directorio config de la carpeta
OpenVPN
�Realizamos la conexin VPN a la mquina Zentyal
�Vemos la IP que nos ha asignado el servidor VPN
Hacemos ping a una IP de la red privada virtual y aunque nos aparezca que
es un destino inaccesible, los paquetes han sido recibidos
�Parte de la prctica correspondiente al cliente de Carlos
Descarga por parte de Carlos del paquete de certificados del servidor VPN
Zentyal15 de Manuel
Desempaquetado de certificados en la carpeta config de OpenVPN
�Conexin de Carlos a Zentyal15
Direccin IP asignada por el servidor VPN de Zentyal15
Ping desde la mquina Windows de Carlos al servidor VPN de Manuel en
Zentyal15
�8. Crea una VPN del tipo site-to-site usando Zentyal, tal y como se
muestra en la figura.
Se puede consultar la web http://doc.zentyal.org/es/vpn.html
Nota: para esta prctica ser necesario coordinarse con un compaero si
se utilizan los equipos del aula. En el caso de los porttiles habr que
utilizar dos instancias de VirtualBox y/o VMware para simular las dos redes
internas.
Creamos un cliente en Zentyal15
Subimos el paquete del servidor Zentyal de Carlos
�Habilitamos el cliente de Zentyal15
En la consola hacemos un ifconfig para ver si el servidor VPN nos ha dado IP
�Hacemos ping al servidor VPN de Carlos y vemos que estamos conectados
Parte Servidor
Aadimos un servidor VPN a Zentyal15
Habilitamos el servidor VPN
�Configuramos el servidor VPN de Zentyal15
Descargamos el paquete del cliente para envirselo a Carlos
�Enviamos el paquete de configuracin a Carlos en 10.0.14.1
La parte cliente de Carlos es la siguiente
Carlos vuelve a descargar con WinSCP en Windows 7 el paquete de
configuracin.
Una vez lo ha descargado lo desempaqueta en la carpeta OpenVPN
�Desde Windows 7, se realiza la conexin al servidor VPN de Zentyal15 en la
IP 10.0.15.6
Carlos hace un ipconfig en la consola de Windows y aparece la IP asignada
por el servidor VPN
Desde Windows 7, Carlos hace ping al servidor VPN de Manu en Zentyal 15
con la direccin VPN de este, producindose la conexin
�9. Instalar OpenVPN Access Server en Ubuntu o en Debian. Es una
solucin VPN completa sobre SSL que integra las capacidades del servidor
OpenVPN, gestin empresarial, interfaz de usuario para la conexin
OpenVPN simplificada y paquetes software para clientes OpenVPN en
Windows, MAC y Linux.
- Descargar el paquete de 32 bits segn se haga para Ubuntu o para
Debian:
sudo wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Ubuntu12.i386.deb
wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Debian6.i386.deb
o para 64 bits.
wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Ubuntu12.amd_64.deb
wget http://swupdate.openvpn.org/as/openvpn-as-1.8.5Debian6.amd_64.deb
- Instalar el paquete que corresponda:
dpkg -i openvpn-as-1.8.5-Ubuntu12.i386.deb
dpkg i openvpn-as-1.8.5-Debian6.i386.deb
o para 64 bits.
dpkg -i openvpn-as-1.8.5-Ubuntu12.amd_64.deb
dpkg i openvpn-as-1.8.5-Debian6.amd_64.deb
- Crear una clave para el usuario openvpn:
sudo passwd openvpn
- Configurar el software de administracin y cliente abriendo las siguientes
URIs:
Admin UI: https://YourIpAddress:943/admin
Client UI: https://YourIPAddress:943/
- Desde la interfaz del cliente se puede acceder al servidor. Se introduce el
usuario openvpn y la password creada anteriormente. Aparecer una
ventana como sta:
�Se descarga el fichero de configuracin del cliente. Una vez descargado, se
instala openvpn (si no lo est ya) y se realiza la conexin al servidor
mediante el siguiente comando:
sudo openvpn --config client.ovpn
En cualquier momento se pueden hacer cambios de configuracin en el
servidor accediendo a travs del interfaz de usuario Admin.
Se puede acceder al servidor OpenVPN AS desde un Smartphone. Se puede
descargar la app desde la pgina oficial de Android
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=es
o desde la de IOS.
https://itunes.apple.com/es/app/openvpn-connect/id590379981?mt=8
Descargamos OpenVPN en Ubuntu15
�Instalamos con dpkg
Creamos contrasea para openvpn
En el navegador de Windows715, introducimos la direccin:
https://10.0.15.3:943. Nos aparecer un mensaje y responderemos
que vaya a ese sitio
�Introducimos el usuario openvpn y la contrasea que le dimos en
Ubuntu15
Ahora hacemos click en click here to continue para descargar el
paquete que nos permitir conectarnos al servidor VPN
�Damos a guardar
Ahora hacemos doble click en el archivo de conexin
Tras identificarnos con el usuario openvpn, ya estamos conectados
