Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GRUPO “MiNdWiDe”
JUAN ALEJANDRO BEDOYA
JOSE DE ARLEX DOMINGUEZ
NEIFER ERNEY GIRALDO
JHON FREDY HERRERA
YOJAN LEANDRO USME
Mauricio Ortiz
INDICE
Introducción ......................................................................................................................... 3
Objetivo ............................................................................................................................... 4
Tabla de direccionamiento .................................................................................................... 6
Realización de la configuración básica en los dispositivos ........................................................................ 7
En R1...................................................................................................................................................... 7
En R2...................................................................................................................................................... 8
Configuración del direccionamiento planteado en la tabla de direccionamiento..................................... 9
En R1...................................................................................................................................................... 9
En R2...................................................................................................................................................... 9
Configuración PPP con autenticación CHAP ............................................................................................ 10
En R1.................................................................................................................................................... 10
En R2.................................................................................................................................................... 10
Rutas estáticas para la internetwork ....................................................................................................... 10
En R1.................................................................................................................................................... 10
En R2.................................................................................................................................................... 10
Tabla de enrutamiento de R1 .............................................................................................................. 11
Tabla de enrutamiento de R2 .............................................................................................................. 11
Show interface s0/0............................................................................................................................. 12
Permitir la salida de todos los host de la LAN .......................................................................................... 13
EN R1 (router de frontera) .................................................................................................................. 13
Show ip nat translations ...................................................................................................................... 13
Configurando Firewall en R1 (router de frontera) ................................................................................... 14
Descripción .......................................................................................................................................... 14
Regla 1 ..................................................................................................................................................... 15
En R1 (router frontera) ........................................................................................................................ 15
Regla 2 ..................................................................................................................................................... 16
En r1 (router frontera) ......................................................................................................................... 16
Regla 3 ..................................................................................................................................................... 17
En R1.................................................................................................................................................... 17
Conclusiones....................................................................................................................... 18
Bibliografía ......................................................................................................................... 18
MiNdWiDe - Group 2
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Introducción
La seguridad en las redes de datos de las compañías se ha vuelto un elemento muy importante
para la realización de las tareas cotidianas, ya que cada vez manejamos información sensible para
nosotros y por ello necesitamos confidencialidad y privacidad. Por eso muchas veces escuchamos
hablar de firewalls.
Un muro de fuego (firewall en inglés) es una parte de un sistema o una red que está diseñada para
bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se
trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, las características de cifrado y descifrado se permiten en un firewall agregando
funcionalidades al mismo convirtiéndose así en una solución más robusta y efectiva. Esta serie de
atributos o comportamientos se aplican al tráfico tanto entrante como saliente entre los
diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
MiNdWiDe - Group 3
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Objetivo
MiNdWiDe - Group 4
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Tabla de direccionamiento
Mascara de Gateway
Dispositivo Interfaz Direccion IP
subred predeterminada
S0/0 208.67.222.1 255.255.255.252 NO APLICABLE
R1
Fa1/0 172.16.100.254 255.255.255.0 NO APLICABLE
S0/0 208.67.222.2 255.255.255.252 NO APLICABLE
R2
Fa1/0 10.10.0.254 255.255.255.0 NO APLICABLE
SVR-HTTP-SSH-
NIC 172.16.100.253 255.255.255.0 172.16.100.254
01
SVR-FTP-SSH-01 NIC 172.16.100.252 255.255.255.0 172.16.100.254
MiNdWiDe - Group 6
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
En R1
enable
configure t
line console 0
logging synchronous
exec-timeout 0 0
history size 30
password cisco
login
exit
line vty 0 4
password cisco
login
logging synchronous
exec-timeout 0 0
history size 30
exit
enable secret class
banner motd &
!!!! SOLO PERSONAL AUTORIZADO !!!!
&
hostname R1
end
cop r s
MiNdWiDe - Group 7
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
En R2
enable
configure t
line console 0
logging synchronous
exec-timeout 0 0
history size 30
password cisco
login
exit
line vty 0 4
password cisco
login
logging synchronous
exec-timeout 0 0
history size 30
exit
enable secret class
banner motd &
!!!! SOLO PERSONAL AUTORIZADO !!!!
&
hostname R2
end
cop r s
MiNdWiDe - Group 8
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
En R1
R1(config)#interface s0/0
R1(config-if)#ip address 208.67.222.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#clock rate 64000
R1(config-if)#description LINK TO R2
R1(config-if)#exit
R1(config)#interface fa1/0
R1(config-if)#ip address 172.16.100.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#description LAN_LOCAL
R1(config-if)#exit
En R2
R2(config)#interface s0/0
R2(config-if)#ip address 208.67.222.2 255.255.255.252
R2(config-if)#no shutdown
R1(config-if)#description LINK TO R2
R2(config-if)#exit
R2(config)#interface fa1/0
R2(config-if)#ip address 10.10.0.254 255.255.255.0
R1(config-if)#no shutdown
R2(config-if)#description LAN_LOCAL
R2(config-if)#exit
MiNdWiDe - Group 9
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
En R1
R1(config)#interface s0/0
R1(config-if)#encapsulation ppp
R1(config-if)#ppp authentication chap
R1(config-if)#ppp chap password cisco123
R1(config-if)#exit
R1(config)#username R2 password cisco123
En R2
R2(config)#interface s0/0
R2(config-if)#encapsulation ppp
R2(config-if)#ppp authentication chap
R2(config-if)#ppp chap password cisco123
R2(config-if)#exit
R2(config)#username R1 password cisco123
En R1
En R2
MiNdWiDe - Group 10
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Tabla de enrutamiento de R1
Tabla de enrutamiento de R2
MiNdWiDe - Group 11
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
MiNdWiDe - Group 12
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
EN R1 (router de frontera)
R1(config)#interface s0/0
R1(config-if)#ip nat outside
R1(config-if)#exit
R1(config)#interface f1/0
R1(config-if)#ip nat inside
MiNdWiDe - Group 13
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Descripción
La LAN_LOCAL tiene publicado para el exterior los siguientes servicios de red:
FTP.
HTTP.
SSH.
El servidor de nombre SVR-FTP-SSH-01 ejecuta los servicios de FTP y SSH sobre la plataforma Linux
(CentOS 5.4), con una dirección IPv4 172.16.100.252/24.
El servidor de nombre SVR-HTTP-SSH-01 ejecuta los servicios de HTTP y SSH sobre la plataforma
Linux (CentOS 5.4), con una dirección IPv4 172.16.100.253/24.
MiNdWiDe - Group 14
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Regla 1
Permitir que solo los host de la LAN_LOCAL puedan tener acceso a internet y no otra red.
En R1 (router frontera)
R1(config)#interface fa1/0
R1(config-if)#ip access-group LAN_LOCAL in
Nota: bueno el comando al final log es muy útil ya que si por algún motivo queremos o tenemos
montado un servidor de syslog en nuestra red, podemos hacerle un seguimiento a las políticas
implementadas en los routers de una forma centralizada y por supuesto cómoda.
R1#
01:20:09: %SEC-6-IPACCESSLOGP: list LAN_LOCAL denied udp 192.168.10.48(0) -> 192
.168.10.255(0), 2 packets
MiNdWiDe - Group 15
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Regla 2
En r1 (router frontera)
Nota: Bueno en esta pequeña sección definimos o mejor publicamos a internet los servicios de
nuestra LAN_LOCAL como lo especificamos anteriormente FTP, HTTP y SSH.
MiNdWiDe - Group 16
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Regla 3
Ahora que ya hemos publicado los servicios procederemos a permitir conexiones desde internet
solo esos servicios.
En R1
Nota: Con estas reglas finales estaremos primero que todo definiendo el acceso a los servicios que
hemos publicado, y denegamos todo otro tipo de tráfico que se intente establecer desde el
internet.
MiNdWiDe - Group 17
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Conclusiones
Flexibilidad a la hora de crear un entorno de prueba ya que hay herramientas que permiten la
simulación de este tipo de soluciones.
Bibliografía
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5
b9a.shtml
http://www.cisco.com/en/US/tech/tk713/tk507/technologies_configuration_example09186a0080
094333.shtml
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_q_and_a_item09186a00800e523b.
shtml
http://www.gns3.net/
MiNdWiDe - Group 18
Mind Wide Open™
BLOG – http://jfherrera.wordpress.com
Seguridad de la red | Diseño del plan de seguridad de la información
GROUP | “???”
Gracias…
Juan Alejandro Bedoya
MiNdWiDe - Group 19